g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Comune di Castellanza - 25 marzo 2021 [9584421]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9584421]

Ordinanza ingiunzione nei confronti di Comune di Castellanza - 25 marzo 2021

Registro dei provvedimenti
n. del 25 marzo 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Introduzione.

Con reclamo del XX, presentato ai sensi dell’art. 77 del Regolamento, è stata lamentata la pubblicazione della determina n.XX del XX, da parte del Comune di Castellanza, avente ad oggetto il “XX”, contenente i dati personali della reclamante e degli altri partecipanti alla procedura, tra cui la residenza anagrafica. Da quanto rappresentato nel reclamo la delibera, inoltre, era reperibile anche in rete, tramite i motori di ricerca.

2. L’attività istruttoria.

Con nota del XX (prot. n. XX), il Comune, in risposta a una richiesta di informazioni formulata dall’Ufficio, ha dichiarato, in particolare, che:

- la procedura di mobilità è stata posta in essere nel rispetto dell’art.30 del d.lgs. 165 del 2001 e dell’art 25 del Regolamento interno “per la disciplina dei concorsi e delle altre procedure di assunzione”;

- in data XX la reclamante ha chiesto “l’immediato oscuramento dei dati personali riguardanti la propria residenza, pubblicati sulla Determina n. XX del XX”;

- a seguito della predetta comunicazione, in data XX, è stata predisposta “la rimozione del verbale della determina n. XX […] e la sua nuova pubblicazione su sito web istituzionale dell’Ente a seguito di applicazione del metodo di codifica per oscuramento” di tutti i dati della reclamante e degli altri candidati;

- sebbene l’amministrazione abbia dato seguito, tramite il metodo di oscuramento dei dati, alla richiesta della reclamante, “le determinazioni redatte dalla P.A. sono conformi alla tutela del diritto all’accesso dei dati e la base giuridica del trattamento riguardante la pubblicazione della determina concernente la ricerca di personale tramite procedura di mobilità volontaria nonché la necessità che in tale atto fosse riportato il dato relativo alla residenza […] come accertato dal DPO dell’ente”;

- “il decreto legislativo 14 marzo 2013, n. 33, introduce il principio del controllo diffuso da parte dei cittadini sull'operato delle istituzioni e sull'utilizzo delle risorse pubbliche. Il principio della trasparenza viene esteso dal decreto legislativo 25 maggio 2016, n. 97, con l’accessibilità totale ai documenti gestiti dalle pubbliche amministrazioni;

- “il d.lgs. n. 97/2016 ha operato una serie di modifiche alla normativa sulla trasparenza, con l’ampliamento dell’istituto dell’accesso civico finalizzati al controllo delle attività delle istituzioni e dell’impiego di risorse pubbliche”.

Con nota del XX (prot. n. XX), sulla base degli elementi acquisiti, anche attraverso la documentazione inviata, e i fatti emersi nel corso dell’attività istruttoria, l’Ufficio ha notificato al Comune, in qualità di titolare del trattamento, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto le presunte violazioni degli artt. 6, par. 1, lett. c) ed e) e parr. 2 e 3 lett. b) e 5, par. 1, lett. a) e c), del Regolamento, nonché dell’art. 2-ter, commi 1 e 3 del Codice, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).

Il Comune ha fatto pervenire le proprie memorie difensive, con nota del XX (prot. n. XX), rappresentando, in particolare, che:

- la reclamante “lamentava una violazione della privacy in relazione alla pubblicazione del verbale XX. In particolare […] evidenziava come nel verbale allegato alla determinazione XX del XX fosse presente il suo recapito di residenza e chiedeva l’immediato oscuramento dei dati personali”;

- il Comune “constatando l’evidenza della segnalazione […] provvedeva d’ufficio a sospendere immediatamente l’atto pubblicato […] sull’apposita pagina web istituzionale nella sezione Amministrazione Trasparente”;

- “per ottemperare agli obblighi del D.Lgs. 33/2013, il Servizio Personale veniva invitato a predisporre il verbale della procedura di mobilità nel rispetto della normativa della privacy e successivamente l’Ufficio Informazione/Innovazione curava che fosse effettuata la pubblicazione con l’omissione dei dati personali”;

- il Comune “non appena venuto a conoscenza della violazione segnalata, [ha provveduto] ad adottare opportune misure per ridurre il rischio di diffusione dei dati (rimozione dell’atto e ripubblicazione dello stesso con l’anonimizzazione e codifica dei dati personali presenti nel verbale omettendo non solo i riferimenti personali (indirizzo e data di nascita), ma anche i nominativi delle persone che avevano partecipato alla mobilità)”;

- “i dati pubblicati […] sono dati di pubblico dominio, ovvero diffusi e reperibili da fonti materiali e immateriali, quali rubriche telefoniche, data base elettronici online […] social media in genere; i dati pubblicati sono facilmente reperibili sui social;

- “secondo il regolamento di anagrafe, DPR 233/1989 art. 33, comma 1 “Fatti salvi i divieti di comunicazione di dati, stabiliti da speciali disposizioni di legge, e quanto previsto dall'articolo 35, l'ufficiale di anagrafe rilascia a chiunque ne faccia richiesta, previa identificazione, i certificati concernenti la residenza, lo stato di famiglia degli iscritti nell'anagrafe nazionale della popolazione residente, nonché ogni altra informazione ivi contenuta”.

3. Esito dell’attività istruttoria.

3.1 Il quadro normativo.

La disciplina di protezione dei dati personali prevede che i soggetti pubblici, qualora operino nello svolgimento di procedure concorsuali, selettive o comunque valutative, possono trattare i dati personali degli interessati (art. 4, n. 1, del Regolamento), se il trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e) del Regolamento).

La disciplina nazionale ha introdotto, inoltre, disposizioni più specifiche per adeguare l’applicazione delle norme del Regolamento, determinando, con maggiore precisione, requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto (art. 6, par. 2, del Regolamento) e, in tale ambito, ha previsto che le operazioni di trattamento, e tra queste la “diffusione” di dati personali, sono ammesse solo quando previste da una norma di legge o, nei casi previsti dalla legge, di regolamento (art. 2-ter, commi 1 e 3, del Codice).

Il titolare del trattamento è tenuto, inoltre, a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c), del Regolamento).

3.2 Diffusione dei dati personali

Con riguardo alla pubblicità degli esiti delle prove concorsuali e delle graduatorie finali si rileva che le norme di settore stabiliscono, in generale, la pubblicità dei provvedimenti finali e delle graduatorie, nonché degli altri atti riguardanti i concorsi, le prove selettive e le progressioni di carriera e di altri procedimenti che si concludono con la formazione di graduatorie. Altre specifiche forme di conoscibilità di tali atti, previste dall’ordinamento, trovano la propria disciplina in disposizioni stratificatesi nel tempo al fine di consentire agli interessati, partecipanti alle procedure concorsuali o selettive, l’attivazione delle forme di tutela dei propri diritti e di controllo della legittimità dell’azione amministrativa.

Tali norme dispongono, inoltre, che siano pubblicate le sole graduatorie definitive dei vincitori di concorso e non anche gli esiti delle prove intermedie o ulteriori dati personali dei concorrenti, tra cui la residenza (cfr. art. 7, d.P.R. 10 gennaio 1957, n. 3; nonché art. 15, d.P.R. 9 maggio 1994, n. 487, in particolare, commi 5, 6 e 6 bis, Regolamento recante norme sull’accesso agli impieghi nelle pubbliche amministrazioni e le modalità di svolgimento dei concorsi, dei concorsi unici e delle altre forme di assunzione nei pubblici impieghi e più in generale, sulla pubblicità delle procedure di reclutamento del personale delle pubbliche amministrazioni, art. 35, comma 3, d. lgs. 30 marzo 2001, n. 165). Il Garante ha fornito, inoltre, specifiche indicazioni alle pubbliche amministrazioni in ordine alle cautele da adottare per la diffusione di dati personali in Internet per finalità di trasparenza e pubblicità dell’azione amministrativa con le Linee guida in materia di trasparenza, anche con riferimento alla pubblicazione delle graduatorie dei concorsi pubblici (provv. n. 243 del 15 maggio 2014, doc. web n. 3134436, spec. II, par. 3.b), ma vedi anche Linee guida in materia di trattamento di dati personali, di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico, provv. del 14 giugno 2007, n.161, doc web n.1417809).

Il d.lgs. 14 marzo 2013, n. 33, inoltre, richiamato dal Comune nel corso dell’istruttoria, non contiene alcuna disposizione che preveda la pubblicazione obbligatoria di tale tipologia di atti o, in generale, di determinazioni che riportino dati personali dei candidati, tra cui il dato relativo alla residenza. Ciò in quanto la disposizione relativa a concorsi e prove selettive contenuta nell’art. 23, comma 1, lett. c), del predetto decreto, peraltro relativa alla pubblicazione di elementi di sintesi dei provvedimenti finali dei procedimenti, è stata abrogata dall’art. 22, comma 1, lett. a), n. 3, del d. lgs. 25 maggio 2016, n. 97. In ogni caso, inoltre, l’art. 19 del d.lgs. 14 marzo 2013, n. 33 che prevede la pubblicazione delle sole graduatorie finali, e peraltro, essendo entrato in vigore dal 1° gennaio 2020, non trova applicazione al caso di specie.

Pertanto, salve le forme di pubblicità legale delle graduatorie, codesto Comune non avrebbe dovuto indicizzare la pagina del proprio sito web, che ospitava la determina oggetto del reclamo, sui motori di ricerca generalisti, atteso che l’art. 9 del d.lgs. 14 marzo 2013, n. 33, che prevede il divieto per le amministrazioni pubbliche di “disporre filtri e altre soluzioni tecniche atte ad impedire ai motori di ricerca web di indicizzare ed effettuare ricerche all'interno della sezione Amministrazione trasparente”, non era applicabile al caso di specie.

Né può essere invocato il controllo diffuso da parte dei cittadini sull’operato della Pubblica Amministrazione né l’istituto dell’accesso civico generalizzato (art. 5 comma 2 del decreto legislativo sopra richiamato) considerando che questo - seppur consenta a chiunque di accedere a dati e documenti detenuti dalle pubbliche amministrazioni ulteriori rispetto a quelli oggetto di pubblicazione, (nei limiti previsti dall’art. 5-bis comma 2) - si configura, in ogni caso, come autonomo e indipendente da obblighi di pubblicazione che rimangono invece circoscritti esclusivamente a quelli indicati dalla legge. Difatti, anche in presenza di una specifica istanza di accesso civico, che comunque non risulta essere stata ricevuta dal Comune, il quadro normativo sopra richiamato prevede l’attivazione di una specifica procedura che include il coinvolgimento del controinteressato al quale è comunque assicurata la possibilità di presentare una motivata opposizione; in ogni caso l’accesso civico deve essere rifiutato se viene verificata l’esistenza di un pregiudizio concreto alla protezione dei dati personali (art. 5-bis, comma 2 lett. a).

Peraltro, il Comune, qualora avesse voluto pubblicare la determina, che non aveva l’obbligo di pubblicare, ai sensi del d.lgs. n. 33/2013, avrebbe dovuto, sin da subito, “disporre la pubblicazione nel proprio sito istituzionale di dati, informazioni e documenti […] procedendo alla indicazione in forma anonima dei dati personali eventualmente presenti” (art. 7-bis, comma 3, del d.lgs. n. 33/2013).

La circostanza che i dati pubblicati fossero “di pubblico dominio” non consente, in ogni caso, di ritenere lecito il trattamento posto in essere dal Comune, atteso che i dati personali pubblicati in pubblici registri, elenchi, atti o documenti conoscibili da chiunque possono essere trattati con i limiti e le modalità che le leggi di settore applicabili stabiliscono per la conoscibilità e pubblicità dei dati, in ossequio al principio di "limitazione della finalità", in base al quale i dati personali devono essere "raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità" (art. 5, par. 1, lett. b) del Regolamento). In altri termini, il semplice fatto che informazioni personali siano rese pubblicamente conoscibili online non comporta che le stesse siano liberamente riutilizzabili da chiunque e per qualsiasi scopo, dovendosi di volta in volta valutare “se, per quali finalità e secondo quali limiti e condizioni eventuali utilizzi ulteriori dei dati personali resi pubblici possano ritenersi leciti alla luce del "principio di finalità" e degli altri principi di matrice europea in materia di protezione dei dati personali” (v., proprio in ambito lavorativo, il provvedimento del Garante del 12 marzo 2020, doc. web n. 9429218 e cfr., seppur in relazione al tema del riutilizzo dei dati pubblicati per finalità di trasparenza, il par. 6 delle "Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati" del Garante, sopra citate).

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento negli scritti difensivi ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice - non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si rappresenta, altresì, che al fine della determinazione della norma applicabile sotto il profilo temporale, deve essere richiamato il principio di legalità di cui all’art. 1, comma 2, della legge n. 689 del 24/11/1981 per cui «Le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in esse considerati». L’applicazione di tale principio determina l’obbligo di prendere in considerazione le disposizioni vigenti al momento della commessa violazione. Pertanto, seppure la condotta oggetto dell’istruttoria da parte di questa Autorità sia iniziata prima (XX) della data di piena applicazione del Regolamento, nel caso che ci occupa tale momento - considerando la natura permanente della condotta contestata - deve essere individuato nel momento di cessazione della condotta illecita che, dagli atti dell’istruttoria, risulta essersi protratta almeno fino al XX, ossia in epoca successiva al 25 maggio 2018, data in cui il Regolamento è divenuto pienamente applicabile.

Pertanto, si confermano le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Comune di Castellanza, per aver diffuso dati personali relativi alla reclamante contenuti nella determina n. XX del XX avente ad oggetto il “XX” in assenza di idonei presupposti normativi, in violazione dell’art 6 del Regolamento e dell’art. 2-ter, del Codice, nonché dei principi di base del trattamento contenuti nell’art. 5, par. 1, lett. a) e c) del Regolamento.

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che la pubblicazione della determina, contenente i dati della reclamante e degli altri candidati, sul sito web del Comune è cessata, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

In relazione ai predetti elementi è stato considerato che la rilevata condotta, tenuta in violazione della disciplina in materia di protezione dei dati personali, ha avuto a oggetto la diffusione di dati personali, anche alla luce delle indicazioni che, sin dal 2014, il Garante, ha fornito a tutti i soggetti pubblici nelle “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” sopra citate. Tale diffusione di dati personali si è protratta per un considerevole lasso di tempo (circa un anno).

Di contro, si è tenuto favorevolmente conto che il Comune ha tenuto una condotta collaborativa con questa Autorità e che non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 4.000,00 (quattromila) per la violazione degli artt. 5, paragrafo 1, lett. a) e c), 6, paragrafo 1, lett. c) ed e) e 2 e 3, lett. b) del Regolamento, nonché degli artt. 2-ter, commi 1 e 3 del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, paragrafo 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Tenuto conto dell’esteso lasso temporale durante il quale i predetti dati sono stati reperibili in rete, si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecita la condotta tenuta dal Comune di Castellanza, descritta nei termini di cui in motivazione, consistente nella violazione degli artt. 5, par. 1, lett. a) e c), 6 del Regolamento e degli artt. 2-ter del Codice, nei termini di cui in motivazione;

ORDINA

al Comune di Castellanza, in persona del legale rappresentante pro-tempore, con sede legale in Viale Rimembranze 4 - 21053 Castellanza (VA), C.F. 00252280128, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 5, del Regolamento e 166, comma 2, del Codice, di pagare la somma di euro 4.000,00 (quattromila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione;

INGIUNGE

al predetto Comune di pagare la somma di euro 4.000,00 (quattromila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981. Al riguardo, si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro 30 giorni dalla data della notifica del presente provvedimento, ai sensi dell’art. 166, comma 8, del Codice (cfr. anche art. 10, comma 3, del d.lgs. n. 150 dell’1/9/2011);

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione del presente provvedimento sul sito web del Garante, ritenendo che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 25 marzo 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei