g-docweb-display Portlet

Provvedimento dell'8 luglio 2021 [9703134]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9703134]

Provvedimento dell'8 luglio 2021

Registro dei provvedimenti
n. 302 del 8 luglio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO il d. lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida in materia di trasparenza”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore l’avv. Guido Scorza;

PREMESSO

1. Introduzione

Questa Autorità ha ricevuto due reclami da parte dei Sigg.ri XX e XX (di seguito “i reclamanti”), con i quali è stata contestata una violazione della normativa in materia di protezione dei dati personali, derivante dalla pubblicazione sul sito web istituzionale dell’Ente Parco Nazionale dell’Aspromonte di propri dati e informazioni personali.

Al riguardo, dalla verifica preliminare effettuata dall’Ufficio, è risultato che sul sito web istituzionale del predetto Ente, nella sezione «Albo on line»/«XX» (http://...), era possibile visualizzare e scaricare liberamente il documento, di n. 4 pagine, intitolato «XX».

Il predetto documento era accessibile direttamente anche dall’url http://..., e recava in chiaro dati personali dei reclamanti XX e XX (pagg. 1 e 4).

Nello specifico, erano riportate informazioni in chiaro relative al «XX».

Nello stesso documento erano inoltre riportate anche altre informazioni oscurate con delle etichette di colore bianco. Tuttavia, dalla medesima verifica preliminare è risultato che attraverso un comune visualizzatore di file PDF era possibile effettuare una semplice operazione di copia e incolla delle informazioni personali che si trovavano sotto le citate “etichette oscuranti” all’interno di un mero file .doc (es. Word). Tramite tale operazione era possibile visualizzare il seguente testo sottostante: «XX».

Dagli atti risulta che i reclamanti si sono erano previamente già rivolti all’Ente per segnalare quanto sopra riportato.

2. La normativa in materia di protezione dei dati personali

Ai sensi della disciplina in materia, «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)» e «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).

Al riguardo, con particolare riferimento al caso sottoposto all’attenzione di questa Autorità, si ricorda che la diffusione di dati personali – ossia «il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione» – da parte di soggetti pubblici, come l’Ente Parco Nazionale dell’Aspromonte, è ammessa solo se tale operazione è prevista «da una norma di legge o, nei casi previsti dalla legge, di regolamento» (art. 2-ter, commi 1, 3, 4, lett. b, del Codice).

Il trattamento dei dati personali deve, inoltre, avvenire nel rispetto dei principi indicati nell’art. 5 del RGPD, fra cui quelli di «limitazione della finalità» nonché di «minimizzazione dei dati», secondo i quali i dati personali devono essere – rispettivamente – «raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità», nonché «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (par. 1, lett. b e c).

Il Garante, fin dal 2014, ha fornito specifiche indicazioni alle amministrazioni sulle cautele da adottare in ordine alla diffusione di dati personali sui siti web istituzionali nel provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (attualmente in corso di aggiornamento, ma ancora attuali nella parte sostanziale).

Si evidenzia inoltre che – in ogni caso – il titolare del trattamento dei dati personali è tenuto a mettere in atto «fin dalla progettazione», ossia sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso, «misure tecniche e organizzative adeguate, […] volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati», garantendo «che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento» (art. 25, parr. 1 e 2, RGPD).

3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato.

A seguito dalle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX dell’XX ha accertato che l’Ente Parco Nazionale dell’Aspromonte – diffondendo i dati e le informazioni personali dei reclamanti contenuti nei documenti pubblicati online prima descritti – ha effettuato un trattamento di dati personali non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD. Pertanto, con la medesima nota sono state notificate al predetto Ente le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD e invitando la predetta amministrazione a far pervenire al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentita da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

4. Memorie difensive.

L’Ente Parco Nazionale dell’Aspromonte, con la nota prot. n. XX del XX, ha inviato al Garante i propri scritti difensivi in relazione alle violazioni notificate.

Al riguardo, si ricorda che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, intitolato «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante».

Nello specifico, l’ente ha stato evidenziato, fra l’altro, quanto segue.

- «In materia di trasparenza sui siti web della PA, il D.Lgs. 33/2013 impone alle Pubbliche Amministrazioni l’obbligo di pubblicazione on line di tutte le informazioni concernenti l’organizzazione e l’attività delle pubbliche amministrazioni, allo scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche. La pubblicazione di che trattasi è avvenuta sull’Albo Pretorio dell’Ente Parco, in adempimento degli obblighi previsto dalla normativa in materia di trasparenza concernenti l’organizzazione e l’attività delle pubbliche amministrazioni»;

- «Inoltre, il Regolamento per la Organizzazione e la Gestione dell’Albo Pretorio Online dell’Ente Parco, […] prevede, all’art. 6 - Completezza degli atti pubblicati, l’obbligo della pubblicazione integrale delle delibere del Consiglio direttivo, quale quella qui in oggetto: “Le deliberazioni del Consiglio Direttivo e della Giunta esecutiva e le determinazioni dirigenziali sono pubblicate nella loro versione integrale ivi compresi tutti gli allegati, nel presupposto che in sede di redazione delle relative proposte siano stati autonomamente e responsabilmente accertati i requisiti inerenti il rispetto della norma sulla garanzia della privacy, sul Codice dell’Amministrazione digitale, giusta l’apposita istruttoria da parte dei responsabili di procedimento”»;

- «L’obbligo della pubblicazione in forma integrale delle deliberazioni assunte dagli organi di vertice dell’Ente, come il Consiglio Direttivo, pare non possa esservi dubbio che assolva a quelli di pubblicità e trasparenza pretesi dalla pertinente normativa (D.Lgs. 33/2013). Quindi, sotto il presente profilo, si ritiene che la pubblicazione sia avvenuta in adempimento obblighi di legge, nonché del regolamento interno dell’Ente».

- «Quanto alla violazione dell’art. 2-ter, commi 1 e 3, del Codice e dell’art. 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD, per essere stati pubblicati i dati sensibili non «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati», in violazione del principio di «minimizzazione dei dati», di cui all’art. 5, par. 1, c), del RGPD[,] Non si vuole negare che dal contenuto della pubblicazione si evince che vi sia un procedimento penale pendente a carico dei reclamanti. È vero anche, però che essa diffonde il mero dato della esistenza di un procedimento penale pendente, ma non quelli inerenti il tipo di reato oggetto del giudizio»;

- «In tale pubblicazione non vi è stata alcuna intenzione di portare detrimento all’immagine professionale degli interessati»;

- «Peraltro, i dati della cui diffusione gli interessati si sono lagnati sono relativi ad un procedimento penale instaurato per reato XX»;

- «Inoltre, la sussistenza di un procedimento penale non comporta l’esposizione di altri, e più penetranti dati, trattandosi di atti giudiziari di natura non amministrativa, e quindi tutelati dal divieto assoluto di accesso, se non in casi specifici e determinati. Quello che si vuole affermare è che tale notizia, di per sé non lesiva, non avrebbe potuto determinare l’acquisizione di ulteriori dati o elementi da parte di una platea indifferenziata»;

- «In ogni caso, si ritiene che l’eliminazione di anche uno solo dei dati riportati nell’intestazione della detta deliberazione, avrebbe vanificato gli scopi di trasparenza sottesi alla pubblicazione di che trattasi»;

- «Quanto alla violazione dell’art. 25, parr. 1 e 2, del RGPD, per avere l’Ente sottovalutato i rischi del trattamento, non adotta[ndo]o «misure tecniche e organizzative» adeguate «ad attuare in modo efficace i principi di protezione dei dati» fin dalla progettazione e per garantire che siano trattati per «impostazione predefinita» solo «i dati personali necessari per ogni specifica finalità del trattamento[,] Il documento di che trattasi è stato pubblicato sull’Albo Pretorio on line dell’Ente in formato PDF, con oscurato il testo della specifica delibera inerente le determinazioni assunte dal Consiglio Direttivo circa il procedimento penale pendente a carico dei signori XX e XX. Si è ritenuto di avere adottato tutte le misure per mantenere il livello di protezione rispetto ai dati oscurati. Tanto è vero che il contenuto messo in chiaro a seguito dell’esecuzione di “copia e incolla”, nulla aggiunge a quanto già esposto con l’intitolazione della deliberazione, in quanto, continuando a mantenere l’inaccessibilità agli OMISSIS, riporta la mera notizia della notifica di un avviso di fissazione di udienza preliminare avanti il Tribunale di Reggio Calabria. In ogni caso, corre l’obbligo di precisare che le operazioni che consentono di vedere in chiaro quanto oscurato non siano alla portata di qualunque utente, anche non particolarmente esperto»;

- «Con riferimento alla questione di che trattasi, l’Ente a seguito della segnalazione da parte di codesta Spett.le Autorità è prontamente intervenuto, non avendo al suo interno un operatore informatico, dopo numerosi tentativi cercando di sostituire il pdf introducendo il verbale con l’omissis in corrispondenza dei nomi e naturalmente ponendo l’omissis in corrispondenza del testo del verbale, inerente le determinazioni assunte dal Consiglio Direttivo circa il procedimento penale pendente a carico dei signori XX e XX, si è eliminato il link all’archivio storico».

5. Valutazioni del Garante.

La questione oggetto del caso sottoposto all’attenzione del Garante riguarda la diffusione di dati e informazioni personali dei reclamanti relativi a un procedimento penale a loro carico e alla data dell’udienza preliminare di fronte al giudice, contenuti nel documento intitolato «XX» pubblicato sul sito web istituzionale dell’Ente Parco Nazionale dell’Aspromonte.

Nell’ambito dell’istruttoria aperta al riguardo da questa Autorità, il predetto Ente ha confermato, nelle proprie memorie difensive, l’avvenuta diffusione online dei dati personali descritti, sostenendo la legittimità del proprio operato in quanto sussisterebbe un obbligo di pubblicazione online per finalità di trasparenza dell’atto pubblicato e, in ogni caso, pur essedo stato diffuso «il mero dato della esistenza di un procedimento penale pendente», non è stato divulgato «il tipo di reato oggetto del giudizio». L’amministrazione sostiene inoltre di avere adottato «tutte le misure per mantenere il livello di protezione rispetto ai dati oscurati», ritenendo che «le operazioni che consentono di vedere in chiaro quanto oscurato» non sarebbero «alla portata di qualunque utente, anche non particolarmente esperto», e che «il contenuto messo in chiaro a seguito dell’esecuzione di “copia e incolla”, nulla aggiunge a quanto già esposto con l’intitolazione della deliberazione».

Al riguardo, in primo luogo, si evidenzia che la base normativa richiamata dall’Ente per giustificare la diffusione dei dati personali oggetto di contestazione non costituisce un idoneo presupposto normativo per la diffusione di dati personali, ai sensi dell’art. 2-ter, commi 1 e 3, del Codice. Ciò in quanto la normativa statale in materia di trasparenza contenuta nel d. lgs. n. 33/2013 non prevede alcun obbligo di pubblicazione del documento oggetto di reclamo, che non appare riconducibile agli atti di cui all’art. 13 citato nelle memorie difensive. Il citato decreto prevede, invece, che «Le pubbliche amministrazioni possono disporre la pubblicazione nel proprio sito istituzionale di dati, informazioni e documenti che non hanno l'obbligo di pubblicare ai sensi del presente decreto o sulla base di specifica previsione di legge o regolamento, nel rispetto dei limiti indicati dall’articolo 5-bis» procedendo però «alla indicazione in forma anonima dei dati personali eventualmente presenti» (art. 7-bis, comma 3).

Quanto alle disposizioni contenute nel «Regolamento per la organizzazione e la gestione dell’albo pretorio online» approvato dall’Ente parco, anch’esso citato nelle memorie difensive, si rappresentano seri dubbi in ordine alla possibilità che l’art. 6 possa costituire un’idonea base normativa per la diffusione dei dati personali oggetto di reclamo ai sensi dell’art. 2-ter, commi 1 e 3, del Codice. Ciò anche considerando che la citata disposizione – anche se prevede pubblicazione nella versione integrale delle deliberazioni del Consiglio Direttivo, della Giunta esecutiva e delle determinazioni dirigenziali – sancisce espressamene che in sede «di redazione delle relative proposte» debbano essere «siano stati autonomamente e responsabilmente accertati i requisiti inerenti il rispetto della norma sulla garanzia della privacy […] giusta l’apposita istruttoria da parte dei responsabili di procedimento». Inoltre gli artt. 2 e 5 del medesimo regolamento prevedono – rispettivamente – che «La pubblicazione degli atti all’Albo Pretorio online deve rispettare i principi generali che presiedono al trattamento dei dati personali ai sensi del D. Lgs. 196/2003 e.s.m.i. “Codice in materia di protezione dei dati personali”, ed in particolare: a) il principio di necessità; b) il principio di proporzionalità e non eccedenza; c) il principio di esattezza e aggiornamento dei dati; d) il diritto all’oblio, in base al quale una volta trascorso il periodo di pubblicazione, gli atti verranno spostati e resi non più accessibili al pubblico, fatto salvo l’esercizio del diritto di accesso ai sensi della L. 241/1990 e s.m.i.» e che la durata della pubblicazione sia in ogni caso pari a 15 giorni (termine che nel caso in esame è ampiamente decorso).

In ogni caso, questa Autorità ha in più occasioni ricordato che la presenza di uno specifico regime di pubblicità, non può tuttavia comportare alcun automatismo rispetto alla diffusione online dai dati e informazioni personali, né una deroga ai principi in materia di protezione dei dati personali di provenienza europea, previsti dal RGPD, quali – fra gli altri – quello di «minimizzazione», in base al quale i dati personali – anche contenuti in atti o documenti la cui diffusione online sia prevista da una specifica base normativa – devono essere non solo «adeguati» e «pertinenti», ma anche «limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. c).

Ciò, d’altronde, è confermato anche dal sistema di protezione dei dati personali contenuto nel RGPD, alla luce del quale è inoltre previsto che il titolare del trattamento debba mettere «in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento» («privacy by default») e debba essere «in grado di dimostrare» – alla luce del principio di «responsabilizzazione» («accountability») – di averlo fatto (artt. 5, par. 2; 24 e 25, par. 2, RGPD).

Il quadro decritto è del resto coerente con quanto affermato dal Garante fin dal 2014 con Linee guida prima richiamate (par. 2), laddove è stato indicato alle pp.aa. che – anche nell’ipotesi in cui esista un obbligo per l’amministrazione di pubblicare un atto o documento nel proprio sito web istituzionale, come nel caso in esame – è in ogni caso necessario «selezionare i dati personali da inserire in tali atti e documenti, verificando, caso per caso, se ricorrono i presupposti per l’oscuramento di determinate informazioni», in quanto non necessari rispetto alle finalità per le quali sono trattati (cfr. ora il principio di “minimizzazione” dei dati di cui art. 5, par. 1, lett. c, del RGPD, che ha sostituito i principi di pertinenza e non eccedenza, nonché di necessità, di cui agli artt. 3, 11, comma 1, lett. d, del Codice previgente e all’art. 6, par. 1, lett. c, della Direttiva 95/46/CE abrogata dal RGPD).

Ciò chiarito, non è inoltre accoglibile l’eccezione sollevata dall’Ente parco per la quale non ci sarebbe alcuna violazione della disciplina in materia di protezione dei dati personali, in quanto pur essendo stato diffuso «il mero dato della esistenza di un procedimento penale pendente», non è stato divulgato «il tipo di reato oggetto del giudizio». Ciò in quanto anche l’informazione inerente alla pendenza di un giudizio penale e alla qualità di indagato o imputato, anche senza specificazione della tipologia del reato, è in ogni caso un’informazione personale di natura delicata che va protetta.

D’altronde rispetto alle finalità di trasparenza dichiarate dall’Ente parco di far conoscere «l’organizzazione e l’attività delle pubbliche amministrazioni, allo scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche», la diffusione dei dati e delle informazioni dei reclamanti inerenti alla citazione in giudizio dinnanzi al tribunale penale e all’esistenza del relativo procedimento in corso, risulta del tutto sproporzionato in quanto i dati diffusi risultano non conformi al principio di «minimizzazione», perché non «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. c, del RGPD).

Dagli atti risulta, altresì, che la stessa amministrazione era consapevole della necessità di dover adottare specifiche cautele per la diffusione dei dati personali online per tutelare le esigenze di riservatezza derivati dall’instaurazione del procedimento penale, avendo in proposito autonomamente provveduto a oscurare alcune parti del verbale pubblicato online. Tuttavia tale operazione è stata incompleta (in quanto non sono stati oscurati tutti i dati personali dei soggetti interessati) ed è avvenuta in ogni caso con strumenti del tutto inadeguati all’obiettivo, sottovalutando i rischi del trattamento (art. 25, parr. 1 e 2, RGPD).

Al riguardo, infatti, la tecnica di oscuramento utilizzata è risultata del tutto inidonea allo scopo, considerando che chiunque in maniera molto agevole – contrariamente a quanto sostenuto nelle memorie difensive – poteva visualizzare il testo sottostante alle “etichette oscuranti” di colore bianco utilizzate, tramite una semplice operazione di copia e incolla all’interno di un mero file .doc (es. Word).

6. Esito dell’istruttoria relativa al reclamo presentato.

Per tutto quanto sopra descritto, le circostanze evidenziate negli scritti difensivi esaminate nel loro complesso, sicuramente meritevoli di considerazione ai fini della valutazione della condotta, non risultano sufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo alcuna delle ipotesi previste dall’art. 11 del Regolamento del Garante n. 1/2019. Ciò anche considerando che sin dal 2014 l’Autorità, nelle Linee guida in materia di trasparenza e pubblicazione online sopra citate, ha fornito a tutte le pp.aa. specifiche indicazioni sulle modalità per contemperare gli obblighi di trasparenza e pubblicità dell’azione amministrativa con il diritto alla protezione dei dati personali dei soggetti interessati.

In tale quadro, si confermano le valutazioni preliminari dell’Ufficio con la nota prot. n. XX dell’X e si rileva la non conformità alla disciplina in materia di protezione dei dati personali della condotta tenuta dall’Ente Parco Nazionale dell’Aspromonte, in quanto:

1. sono stati diffusi dati e informazioni personali dei reclamanti, relativi a un procedimento penale in corso prima descritti, contenuti nel documento intitolato «XX» pubblicato online:

a) in assenza di idonei presupposti normativi (quali una norma di legge o, nei casi previsti dalla legge, di regolamento), in violazione dell’art. 2-ter, commi 1 e 3, del Codice e dell’art. 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD; nonché in maniera non conforme agli artt. 2, 5 e 6 del «Regolamento per la organizzazione e la gestione dell’albo pretorio online» approvato dall’Ente parco;

b) non «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati», in violazione del principio di «minimizzazione dei dati», di cui all’art. 5, par. 1, lett. c), del RGPD;

2. sono state adottate – con particolare riferimento alle tecniche di oscuramento del documento oggetto di reclamo agevolmente superabili tramite una semplice operazione di “copia e incolla” da parte di chiunque anche non esperto e senza particolari strumenti informatici – «misure tecniche e organizzative» non adeguate «ad attuare in modo efficace i principi di protezione dei dati» fin dalla progettazione e per garantire che siano trattati per «impostazione predefinita» solo «i dati personali necessari per ogni specifica finalità del trattamento» utilizzate), in violazione dell’art. 25, parr. 1 e 2, del RGPD.

In tale quadro, si reputa necessario ingiungere ai sensi dell’art. 58, par. 2, lett. d), del RGPD, all’Ente Parco Nazionale dell’Aspromonte di mettere in atto misure adeguate per garantire l’effettivo oscuramento dei dati personali contenuti nei documenti pubblicati online laddove non debbano essere oggetto di diffusione ai sensi della disciplina in materia di protezione dei dati personali, integrando «nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del [RGPD] e tutelare i diritti degli interessati» (art. 25, parr. 1 e 2, RGPD).

Si ricorda, che l’inosservanza della predetta ingiunzione è punita con la sanzione amministrativa di cui all’art. 83, par. 5, lett. e), del RGPD.

Ai sensi dell’art. 157 del Codice, richiede all’Ente Parco Nazionale dell’Aspromonte di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto precedentemente ingiunto ai sensi dell’art. 58, par. 2, lett. d), del RGPD, entro trenta giorni dalla comunicazione del presente provvedimento. Si evidenzia, altresì, che il mancato riscontro alla richiesta, formulata ai sensi dell’art. 157 cit., è punito con la sanzione amministrativa di cui all’art. 166, comma 2, del Codice.

7. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e di ulteriori provvedimenti correttivi (artt. 58, par. 2, lett. d e i; 83 RGPD).

L’Ente Parco Nazionale dell’Aspromonte risulta aver violato gli artt. 5, par. 1, lett. c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b); 25, parr. 1 e 2, del RGPD; nonché l’art. 2-ter, commi 1 e 3, del Codice.

Per la violazione delle predette disposizioni– considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – è prevista l’applicazione delle sanzioni amministrative di cui all’art. 83, parr. 4 e 5, del RGPD.

Al riguardo, l’art. 83, par. 3, del RGPD, prevede che «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave».

In ordine alla condotta in esame, pertanto, la violazione delle disposizioni citate è soggetta alla sanzione amministrativa pecuniaria più grave prevista dall’art. 83, par. 5, del RGPD, che si applica pertanto al caso di specie.

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD, nonché dell’art. 166 del Codice, ha il potere correttivo di «infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso». In tale quadro, «il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice» (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del RGPD.

In tal senso, la rilevata condotta tenuta in violazione della disciplina in materia di protezione dei dati personali risulta di natura colposa e ha avuto a oggetto la diffusione online di dati personali, per poco più di un anno, relativi a un procedimento penale, riferiti a due soli soggetti interessati. L’amministrazione, a seguito della richiesta dell’Ufficio è intervenuta tempestivamente, collaborando con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alla violazione, attenuandone i possibili effetti negativi. Non risultano, in ogni caso, eventuali precedenti violazioni del RGPD pertinenti commesse dall’ente.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, parr. 2 e 3, del RGPD l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, del RGPD, nella misura di euro 10.000,00 (diecimila) per la violazione degli artt. 5, par. 1, lett. c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b); 25, parr. 1 e 2, del RGPD; nonché dell’art. 2-ter, commi 1 e 3, del Codice; quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo RGPD.

In relazione alle specifiche circostanze del presente caso, relative alla diffusione di dati personali online in assenza di una idonea base normativa, in violazione del principio di minimizzazione dei dati (art. 5, par. 1, lett. c, RGPD), e all’adozione di tecniche di oscuramento dei dati personali non efficaci, si ritiene altresì che debba essere applicata la sanzione accessoria della pubblicazione del presente provvedimento sul sito Internet del Garante, prevista dall’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

1. ai sensi dell’art. 57, par. 1, lett. f), del RGPD, dichiara l’illiceità del trattamento nei termini indicati in motivazione, effettuato dall’Ente Parco Nazionale dell’Aspromonte con sede legale in Via Aurora, 1 - 89057 Santo Stefano in Aspromonte (RC) - C.F. 92014250804, per la violazione degli artt. 5, par. 1, lett. c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b); 25, parr. 1 e 2, del RGPD; nonché dell’art. 2-ter, commi 1 e 3, del Codice;

2. ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD nonché dell’art. 166 del Codice, infligge all’Ente Parco Nazionale dell’Aspromonte la sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. a) del succitato Regolamento ordinando e contestualmente ingiungendo al predetto trasgressore, di pagare la somma di euro € 10.000,00 (diecimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981. Al riguardo, si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro 30 giorni dalla data della notifica del presente provvedimento, ai sensi dell’art. 166, comma 8, del Codice (cfr. anche art. 10, comma 3, del d. lgs n. 150 dell’1/9/2011);

3. ai sensi dell’art. 58, par. 2, lett. d), del RGPD, ingiunge all’Ente Parco Nazionale dell’Aspromonte di mettere in atto misure adeguate per garantire l’effettivo oscuramento dei dati personali contenuti nei documenti pubblicati online laddove non debbano essere oggetto di diffusione ai sensi della disciplina in materia di protezione dei dati personali, integrando «nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del [RGPD] e tutelare i diritti degli interessati» (art. 25, parr. 1 e 2, RGPD);

4. ai sensi dell’art. 157 del Codice, richiede all’Ente Parco Nazionale dell’Aspromonte di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto disposto al precedente punto n. 3 del presente provvedimento entro trenta giorni dalla notifica dello stesso;

5. ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019, dispone la pubblicazione del presente provvedimento sul sito web del Garante;

6. ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, dispone l’annotazione nel registro interno dell’Autorità delle violazioni e delle misure adottate, ai sensi dell’art. 58, par. 2, del RGPD, con il presente provvedimento.

Si ricorda, che l’inosservanza di quanto ordinato al precedente punto n. 3 è punita con la sanzione amministrativa di cui all’art. 83, par. 6, del RGPD. Si evidenzia, altresì, che il mancato riscontro alla richiesta, formulata ai sensi dell’art. 157, di cui al precedente punto 4 è punito con la sanzione amministrativa di cui all’art. 166, comma 2, del Codice.

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 8 luglio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei