Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Ordinanza ingiunzione nei confronti del Comune di Urago d'Oglio - 13 febbraio 2020 [9285411]

[doc. web n. 9285411]

Ordinanza ingiunzione nei confronti del Comune di Urago d'Oglio - 13 febbraio 2020

Registro dei provvedimenti
n. 35 del 13 febbraio 2020

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante il “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE” (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019, in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore la dott.ssa Giovanna Bianchi Clerici;

PREMESSO

1. Il reclamo.

Con reclamo, la sig. XX ha lamentato la pubblicazione, sul sito web istituzionale del Comune di Urago d’Oglio, del documento n. XX (denominato “XX”) e del testo integrale della sentenza n. XX (RG n. XX), al cui interno erano presenti dati personali, anche relativi alla salute.

2. L’attività istruttoria.

Dalla verifica preliminare effettuata dall’Ufficio in data XX è emerso che sul sito web istituzionale del Comune di Urago D’Oglio (BS) (http://www.comune.uragodoglio.bs.it), nella sezione “XX”, era disponibile un documento denominato “XX” (url: http://...). Nella stessa pagina web era altresì reso disponibile, e liberamente scaricabile, il file in formato pdf del testo integrale della sentenza n. XX (RG n. XX).

In riscontro alle specifiche richieste dell’Ufficio (nota prot. n. XX del XX), il Comune ha rappresentato (cfr. nota del XX, prot. n. XX) fra l’altro, che:

- unitamente ad altre controversie tra la reclamante e l’amministrazione, “XX”;

- “le notizie riguardo a questo e ai precedenti contenziosi sono state in particolar modo riportate in più occasioni nel settimanale locale Chari Week” (l’interessata avrebbe in più occasioni rilasciato interviste (come documentato dagli articoli di giornale, allegati alla nota del XX, cit.);

- “all’esito del giudizio, ciò che premeva all’amministrazione Comunale […era] quello di riscattare con dignità il danno all’immagine e al proprio operato pesantemente danneggiato dalle informazioni e dichiarazioni distorte che sono state diffuse soprattutto attraverso la stampa e i social, alcune delle quali rilasciate anche dalla stessa XX”;

- “l’informazione è stata resa pubblica pertanto solo per ragioni di trasparenza e di dovere di informazione riguardo ad un fatto noto e a un documento pubblico come la sentenza”;

- l’interessata avrebbe potuto invitare “l’Ente ad oscurare la pubblicazione della sentenza”, mentre “al Comune la XX non si è mai rivolta e non ha mai formulato alcuna richiesta lasciando che la sentenza rimanesse pubblicata per mesi prima di presentare l’esposto al Garante, per lamentare la violazione della privacy in suo danno”.

In ogni caso, ancor prima di fornire il riscontro alla richiesta di elementi dell’Ufficio, il Comune ha dichiarato di aver provveduto a “oscurare il provvedimento pubblicato sul sito web del Comune di Urago d’Oglio”, provvedendo a rimuovere il documento contenente la sentenza (cfr. nota del XX, prot. n. XX); successivamente, lo stesso ha fornito prova di aver effettivamente rimosso anche ogni altro dato personale dell’interessata riconducibile alla fattispecie lamentata (cfr. nota XX, prot. n. XX).

Con nota del XX (prot. n.XX), l’Ufficio, sulla base degli elementi acquisiti dalle verifiche compiute e dalla documentazione inviata dal Comune, e dei fatti emersi a seguito dell’attività istruttoria, ha notificato al Comune ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, paragrafo 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

Con la nota sopra menzionata, l’Ufficio ha rilevato che il Comune ha pubblicato sul sito web istituzionale gli atti e documenti contenenti dati personali riferiti all’interessata, consistenti in informazioni di dettaglio relativi a vicende che l’hanno riguardata nel corso del rapporto di lavoro nonché dati relativi alle patologie insorte, nel corso del tempo:

- in maniera non conforme al rispetto dei principi di “liceità, correttezza e trasparenza” nonché di “minimizzazione” del trattamento, in violazione dell’art. 5, par. 1, lett. a) e c), del Regolamento;

- in assenza di un idoneo presupposto normativo, in violazione dell’art. 2-ter, commi 1 e 3, del Codice e dell’art. 6, par. 1, lett. c), e), par. 2 e par. 3, lett. b), del Regolamento;

- in violazione del divieto di diffusione dei dati sulla salute di cui all’art. 2-septies, comma 8, del Codice.

Con nota del XX (prot. n. XX) il Comune ha fatto pervenire le proprie memorie
difensive, rappresentando, tra l’altro, che:

- “l’interessata non si è avvalsa del diritto di [cui all’art.52 del Codice];

- “il comportamento dell’interessata ha indotto l’ente a ritenere in ogni caso la sussistenza del consenso implicito della dipendente alla pubblicazione sul sito comunale della sentenza”;

- l’ente ha agito al fine di “fornire un’informazione trasparente e imparziale”;

- “la contestata pubblicazione è conseguente alla interpretazione del vigente quadro normativo in tema di informatica giuridica nel senso dell’ammissibilità della pubblicazione della sentenza integrale […] la dipendente infatti […] non si è avvalsa del diritto di cui all’art. 52 d.lg. n. 196/2003 chiedendo […] che fosse apposta l’annotazione volta a precludere, in caso di riproduzione della sentenza, per finalità di informazione giuridica sulla stampa, supporti elettronici, reti di comunicazione elettronica ecc.. l’indicazione delle generalità e di altri dati significativi […]”;“la disposizione in esame [art. 52 del Codice] è stata considerata diposizione specifica e speciale per l’informatica giuridica, tale da prevalere sulla diversa disposizione che vieta la diffusione dei dati personali inerenti alla salute art. 2-septies, comma 8 del d.lg. n. 196/2003”.

Nella documentazione inviata, il Comune ha ribadito di aver rimosso i dati personali dell’interessata e ha illustrato al Garante le iniziative che intende adottare per evitare che in futuro possano verificarsi situazioni analoghe al caso oggetto di reclamo.

Il Comune ha precisato, inoltre, che nel piano triennale per la prevenzione della corruzione, adottato dal Comune con Delibera di Giunta comunale n. 2 del 24.01.2018, “si fa obbligo di pubblicare i dati non richiesti da legge (art. 7 bis, co. 3, d.lg. n. 33/2013) secondo la tecnica dell’anonimizzazione che, invece, per il caso di specie, non si è proceduto, attingendo alla riserva per cui i dati giudiziari sono svincolati, in quanto non trattavasi di rapporti di famiglia e/o minori, come evidenziato nella nota del Dpo e per tutte le ragioni sopra evidenziate, prime tra tutte il consenso implicito della dipendente e la buona fede”.

3. Esito dell’attività istruttoria.

La disciplina di protezione dei dati personali prevede che i soggetti pubblici, anche qualora operino nello svolgimento dei propri compiti di datori di lavoro, possono trattare i dati personali (art. 4, n. 1, del Regolamento) dei dipendenti, se il trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” (si pensi a specifici obblighi o compiti previsti dalla legge per finalità di gestione del rapporto di lavoro) oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e) del Regolamento).

Più specificamente, i datori di lavoro pubblici possono trattare i dati personali dei lavoratori, anche relativi a categorie particolari di dati e relativi alla salute, per adempiere a specifici obblighi o compiti previsti dalla legge per finalità di gestione del rapporto di lavoro (cfr. artt. 9, par. 2, lett. b) e par. 4, e 88 del Regolamento; artt. 2-sexies e 2-septies del Codice) mediante il personale “autorizzato” e debitamente “istruito” in merito all’accesso ai dati (artt. 4, par. 10, 29 e 32, par. 4 del Regolamento).

Più in generale la normativa europea prevede che “Gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento). Al riguardo, si evidenzia che l’operazione di diffusione di dati personali (come la pubblicazione su Internet), da parte di soggetti pubblici, è ammessa solo quando prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento (art. 2-ter, commi 1 e 3, del Codice).

Il titolare del trattamento è tenuto, inoltre, a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c), del Regolamento).

In particolare, nel rispetto del principio di “minimizzazione dei dati” (art. 5, par. 1, lett. c), del Regolamento), anche in presenza di un obbligo di pubblicazione, i soggetti chiamati a darvi attuazione non possono comunque diffondere i dati personali eccedenti o non pertinenti (cfr., provv. n. 243 del 15 maggio 2014, Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati, doc. web n. 3134436, parte seconda parr. 1 e 3.a.).

In ogni caso, i dati relativi alla salute, ossia quelli “attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, n. 15), in ragione della particolare delicatezza di tale categoria di dati, “non possono essere diffusi” (art. 2-septies, comma 8 e art. 166, comma 2, del Codice).

Si rappresenta altresì che, seppure la violazione dei dati personali oggetto dell’istruttoria da parte di questa Autorità sia iniziata nel 2017, prima della data di applicazione del Regolamento, al fine della determinazione del quadro normativo applicabile sotto il profilo temporale deve essere richiamato il principio di legalità di cui all’art. 1, comma 2, della legge n. 689/1981 che, nel prevedere come «Le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in esse considerati», stabilisce la ricorrenza del principio del tempus regit actum. L’applicazione di tale principio determina, quindi, l’obbligo di prendere in considerazione le disposizioni vigenti al momento della commessa violazione. Nel caso in questione, la rimozione dal sito web del documento oggetto di reclamo e altro dato personale dell’interessata riconducibile alla fattispecie lamentata è avvenuta successivamente al 25 maggio 2018 (v. note del XX e del XX, cit.). Pertanto, considerando la natura permanente dell’illecito, di carattere peraltro omissivo, la disciplina applicabile va individuata con riferimento a quella vigente alla data di perfezionamento della fattispecie, da ravvisarsi appunto nel momento della cessazione della condotta, verificatasi successivamente alla data di applicazione tanto il citato Regolamento, quanto della normativa interna di adeguamento (d.lgs. n. 101/2018).

3.1. La diffusione dei dati personali

In tale quadro, si osserva in via preliminare che non rileva quanto dichiarato dall’Ente con riferimento al consenso implicito della dipendente - desumibile dal generale contegno avuto dalla medesima - in ordine alla diffusione dei propri dati personali, anche relativi alla salute, e alle vicende professionali e giudiziarie, che l’hanno coinvolta con l’amministrazione comunale in qualità di datore di lavoro.

Occorre, infatti, considerare che il consenso - che per consolidato orientamento a livello europeo è da considerarsi criterio residuale di legittimazione del trattamento con riguardo ai trattamenti nel contesto del rapporto di lavoro, indipendentemente dalla natura pubblica o privata del datore di lavoro (cfr. Gruppo "Articolo 29", Parere 2/2017 sul trattamento dei dati sul posto di lavoro, WP 249, pag. 7 e 26 e Parere 8/2001 sul trattamento dei dati personali nel contesto dell'occupazione", WP 48, 13.9.2001, pag. 3, 23 e 26) - non può, di regola, costituire un valido presupposto di liceità per il trattamento dei dati personali, sussistendo “un evidente squilibrio tra l’interessato e  il titolare” (cfr. considerando 43, del Regolamento), specie quando, come nel caso di specie, questo sia un’autorità pubblica nell’esecuzione di un “compito di interesse pubblico o connesso all’esercizio di pubblici poteri” (art. 6, par.1, lett. e), del Regolamento; Gruppo "Articolo 29", Linee Guida sul consenso ai sensi del Regolamento UE 2016/679, WP 259, adottate il 28.11.2017 e modificate il 10.4.2018).

Si rileva inoltre che il richiamo fatto dall’Ente all’art. 52 del Codice è del tutto inconferente in quanto tale disposizione disciplina le modalità di riproduzione delle sentenze o provvedimenti dell’autorità giudiziaria, esclusivamente a fini di “informatica giuridica” (titolo, I, capo III del Codice), prevedendo talune misure a tutela della dignità degli interessati. Pertanto, contrariamente a quanto sostenuto dal Comune, l’art. 52 del Codice non trova applicazione al caso di specie, atteso che la pubblicazione della sentenza detenuta dal Comune in quanto “parte” del relativo procedimento giudiziario non è stata effettuata per le finalità di informatica giuridica di cui all’art. 52 del Codice, bensì al fine, come dichiarato dal Comune, di “riscattare […] il danno all’immagine” subito dall’amministrazione nonché per generiche finalità di “trasparenza”. A tal riguardo non possono essere accolte le argomentazioni dell’amministrazione circa la finalità di fornire un’informazione trasparente alla collettività, né la necessità di tutelare la propria immagine, che si assume danneggiata dal contegno e dalle dichiarazioni della dipendente, attesa la possibilità di far valere le proprie pretese attivando le opportune forme di tutela previste dall’ordinamento, fra le quali non rientra certamente la pubblicazione integrale della sentenza sul sito web del Comune.

Per le ragioni che precedono, non essendo state indicate dal Comune specifiche disposizioni di legge o di regolamento che prevedano siffatta pubblicazione, si ritiene che la diffusione sul proprio sito web istituzionale dei dati personali della reclamante, contenuti nel documento sopra indicato e nel testo integrale della menzionata sentenza, sia avvenuta in assenza di idonea base normativa.

Considerata inoltre la presenza nel testo della sentenza di informazioni riconducibili, non già solo a “stati d’animo”, ma a vere e proprie patologie dell’interessata, tale diffusione è, altresì, avvenuta in violazione dell’art. 2-septies, comma 8 del Codice (art. 9, par. 4 del Regolamento; cfr., da ultimo, Cass. Civ., Sez. II, 4 aprile 2019, n. 9382, che ha confermato una precedente decisione del Garante avente ad oggetto la diffusione on line da parte di una provincia di determina contenente dati relativi allo stato di salute di un dipendente, provv. 25 giugno 2009, doc web 1640102). Nell’adeguamento dell’ordinamento nazionale alle disposizioni del Regolamento, l’art. 2-septies del Codice (Misure di garanzia  per  il  trattamento  dei  dati genetici, biometrici e relativi alla salute) - oltre a prevedere che è lecito il trattamento di tali categorie di dati al ricorrere di una delle condizioni enumerate dal Regolamento all’art. 9, paragrafo 2 e “in conformità alle misure di garanzia disposte dal Garante”- ha confermato, infatti, il generale divieto alla diffusione dei dati relativi alla salute (v. già, art. 22, comma 8 del Codice, anteriore alle modifiche di cui al d.lg. n. 101/2018).

Nel caso di specie, come confermato dalla stessa amministrazione comunale, la pubblicazione avrebbe dovuto avvenire, pertanto, nel rispetto dell’art. 7-bis, comma 3, d.lg. n. 33/2013 in base al quale “Le pubbliche amministrazioni possono disporre la pubblicazione nel proprio sito istituzionale di dati, informazioni e documenti che non hanno l'obbligo di pubblicare ai sensi del presente decreto o sulla base di specifica previsione di legge o regolamento, nel rispetto dei limiti indicati dall'articolo 5-bis, procedendo alla indicazione in forma anonima dei dati personali eventualmente presenti”.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Ciò anche considerando che sin dal 2014 l’Autorità, nelle Linee guida sopra citate, ha fornito a tutti i soggetti pubblici specifiche indicazioni sulle modalità per contemperare gli obblighi di trasparenza e pubblicità dell’azione amministrativa con il diritto alla protezione dei dati personali degli interessati.

Pertanto, si confermano le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Comune di Urago d’Oglio, per aver diffuso dati e informazioni personali della dipendente, contenuti nel documento n. 214 (denominato “XX”) e nel testo integrale della sentenza n. XX (RG n. XX), in assenza di idonei presupposti normativi, in violazione dell’art. 2-ter, commi 1 e 3 del Codice e dell’art. 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del Regolamento nonché dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a) e c) del Regolamento; poiché, nella menzionata sentenza, erano presenti anche dati relativi alla salute dell’interessata, la pubblicazione è avvenuta anche in violazione del divieto di diffusione dei dati sulla salute di cui all’art. 2-septies, comma 8, del Codice.

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che il Comune ha dichiarato di aver provveduto a rimuovere i documenti dal sito web istituzionale, non ricorrono i presupposti per l’adozione di misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

In applicazione del paragrafo 3 dell’art. 83 del Regolamento, in base al quale, se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento viola, con dolo o colpa, varie disposizioni del Regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave (di cui all’art. 83, par. 5, del Regolamento), le suindicate violazioni avendo ad oggetto, tra gli altri, la diffusione di dati sulla salute di cui all’art. 2-septies, comma 8 del Codice, sono da ricondursi, ai sensi dell’art. 83, par. 3 dello stesso Regolamento e dell’art. 166, comma 2 del Codice, nell’alveo della sanzione prevista per la predetta violazione con conseguenziale applicazione della sanzione prevista all’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

In relazione ai predetti elementi è stata considerata la particolare delicatezza dei dati personali della reclamante illecitamente diffusi dall’Ente, tra i quali i dati sulla salute (artt. 4, par. 1, n. 15 e 9, par. 1, del Regolamento), anche alla luce delle indicazioni che, sin dal 2014, il Garante, ha fornito a tutti i soggetti pubblici nelle Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati, sopra citate.

Si prende comunque favorevolmente atto che il Comune di Urago d’Oglio, che è un ente di piccole dimensioni (circa 3.700 abitanti) con un limitato numero di dipendenti e con scarse risorse di bilancio, si è comunque attivato per rimuovere i dati personali contenuti nei documenti pubblicati e ha collaborato con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi cooperando attivamente con l’Autorità nel corso della istruttoria e del presente procedimento. Non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria tenendo anche conto della fase di prima applicazione delle disposizioni sanzionatorie ai sensi dell’art. 22, comma 13, del d. lgs. 10/08/2018, n. 101, nella misura di euro 4.000,00 (quattromila) per la violazione degli artt. 5, par. 1, lett. a) e c) e 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del Regolamento, nonché degli artt. 2-ter, commi 1 e 3 e 2-septies, comma 8 del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Tenuto conto della particolare delicatezza dei dati diffusi, nonché dell’esteso lasso temporale durante il quale i predetti dati sono stati resi reperibili in rete, si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

rileva l’illiceità del trattamento effettuato dal Comune di Urago d’Oglio per violazione degli artt. 5, par. 1, lett. a) e c) e 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del Regolamento, nonché degli artt. 2-ter, commi 1 e 3 e 2-septies, comma 8 del Codice, nei termini di cui in motivazione

ORDINA

al Comune di Urago d’Oglio, in persona del legale rappresentante pro-tempore, con sede legale in Piazza Guglielmo Marconi, 26, 25030 Urago d'Oglio (BS) C.F. 00958050171 di pagare la somma di euro 4.000,00 (quattromila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al medesimo Comune di pagare la somma di euro 4.000,00 (quattromila), in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e si ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 13 febbraio 2020

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia