[doc. web n. 9704048]

Ordinanza ingiunzione nei confronti di Consorzio di Bonifica dell’Oristanese - 16 settembre 2021

Registro dei provvedimenti
n. 319 del 16 settembre 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n.1098801;

Relatore l’avv. Guido Scorza;

PREMESSO

1. Il reclamo.

Con reclamo dell'XX, presentato ai sensi dell’art. 77 del Regolamento, è stata lamentata la pubblicazione, nella sezione amministrazione trasparente del sito web del Consorzio di Bonifica dell’Oristanese (di seguito “Consorzio”), di un provvedimento disciplinare nei confronti della reclamante, dipendente del Consorzio, contenente anche informazioni relative al suo stato di salute. Dal reclamo è emerso che la delibera era reperibile anche in rete, consultando il motore di ricerca “Google” (www.google.it) e che, a seguito di richiesta di esercizio dei diritti da parte della reclamante, tra cui la richiesta di cancellazione dei dati, il Consorzio ha provveduto a rimuovere la delibera dal sito.

2. L’attività istruttoria.

Con nota del XX (prot. n.XX), l’Ufficio, sulla base degli elementi acquisiti, delle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato al Consorzio, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto le presunte violazioni degli artt. 5, par. 1, lett. a) e c), 6, paragrafo 1, lett. c) ed e), 2 e 3, lett. b), nonché degli artt. 2-ter, commi 1 e 3 e 2-septies, comma 8 del Codice, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).

Il Consorzio ha fatto pervenire le proprie memorie difensive, con nota prot.n. XX del XX rappresentando che:

- “Il Consorzio pubblicò in data XX la Delibera Commissariale n° XX del XX con la quale veniva disposto un provvedimento disciplinare nei confronti [della reclamante]”;

- la Delibera fu pubblicata direttamente nella Sezione Amm.Trasparente/Provvedimenti in luogo dell'Albo Pretorio […]. L'accorgimento di utilizzare la Sezione Amm.Trasparente/Provvedimenti in sostituzione di Albo Pretorio comporta la necessità di intervenire manualmente per rimuovere i documenti dalla sezione una volta trascorsi i 15 giorni di pubblicazione. Nel caso in questione tale operazione non fu eseguita alla scadenza dei 15 giorni di pubblicazione, […] per mera dimenticanza”;

- “non appena [la reclamante] segnalò l'anomalia, […] abbiamo provveduto ad anonimizzare l'oggetto del provvedimento ed a non consentire l’accesso alla delibera attraverso la Sezione di Amm.ne Trasparente, chiedendo peraltro ai principali motori di ricerca di cancellare dai loro archivi la vecchia pagina contenente la medesima”;

- “sul provvedimento de quo si apre una pagina contenente la dicitura “il provvedimento è conservato agli atti in ottemperanza alla normativa in materia di Protezione dei Dati personali (GDPR 679/2016-D.Lgs 196/2003 ss.mm.ii) […] Del pronto intervento è stata data immediata comunicazione all’istante/interessata.”;

- “nel merito della natura particolare del dato contestato (dati relativi allo stato di salute), e diffuso con la pubblicazione del provvedimento, si evidenzia che nel corpo del provvedimento, inizialmente pubblicato, erano presenti due diciture: la prima richiamava il ritardo nell’audizione dell’interessata in ordine al comportamento oggetto di censura, a seguito dei ripetuti rinvii richiesti dalla stessa per motivi salute; e la seconda, contenuta nel verbale richiamato, in cui “la dipendente ha ammesso di aver commesso errori nella gestione e registrazione delle proprie assenze e chiede comprensione perché negli ultimi anni ha avuto problemi di salute e di famiglia”;

- “si deve innanzitutto osservare che entrambe le diciture erano assolutamente generiche, in ogni caso tali da non rivelare neppure indirettamente alcun dettagliato riferimento alle infermità e/o condizioni psico-fisiche della dipendente”;

- “in secondo luogo la (seconda) frase è stata inserita in narrativa all'interno della Deliberazione citata al solo scopo di giustificare l'adozione di un provvedimento disciplinare assolutamente mite al confronto con le violazioni contestate […]. L'Amministrazione all’epoca, anche in considerazione delle condizioni di salute della dipendente, (cosi come dalla stessa dichiarate a giustificazione del proprio comportamento), ha voluto adottare un provvedimento indulgente giustificandolo con la comprensione per i dichiarati problemi di salute e di famiglia”;

- “al di là del rilievo mosso dall'Autorità a questo Ente con la nota che si riscontra, si osserva che l'aver indicato in delibera tale generico riferimento alle condizioni di salute della dipendente, allo scopo di motivare l'adozione di un provvedimento mite, se non di favore, e giustificare almeno in parte gli errori commessi dalla dipendente nella gestione del suo operato, salvaguardando in tal modo il posto di lavoro, sia stato strumentalmente utilizzato dalla stessa dipendente contro coloro che lo hanno adottato”.

3. Esito dell’attività istruttoria.

3.1 Il quadro normativo.

La disciplina di protezione dei dati personali prevede che i soggetti pubblici, anche qualora operino nello svolgimento dei propri compiti di datori di lavoro, possono trattare i dati personali dei lavoratori, anche relativi a categorie particolari di dati - tra i quali sono ricompresi anche i “dati relativi alla salute” (cfr. art. 9, par. 1, del Regolamento) - se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti dalle norme nazionali di settore (artt. 6, par. 1, lett. c) ed e); 9, par. 2, lett. b) e par. 4; 88 del Regolamento).

La normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento). Al riguardo, si evidenzia che l’operazione di “diffusione” di dati personali (come la pubblicazione online), da parte di soggetti pubblici, è ammessa solo quando prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento (art. 2-ter, commi 1, 3 e 4, lett. b), del Codice).

In ogni caso, i “dati relativi alla salute”, ossia quelli “attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, n. 15, del Regolamento), per effetto delle maggiori garanzie che il Regolamento e il Codice riconoscono in ragione della particolare delicatezza di tale categoria di dati, “non possono essere diffusi” (art. 2-septies, comma 8, del Codice e art. 9, par. 4, del Regolamento).

Il titolare del trattamento è poi, in ogni caso, tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c) del Regolamento).

3.2 La diffusione dei dati personali.

In via preliminare si fa presente che per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile”, dovendosi considerare “identificabile la persona fisica che può essere identificata, direttamente o indirettamente […]” (art. 4, par. 1, n. 1).

Nel caso di specie la determinazione in questione conteneva l’espressa indicazione che l’interessata aveva “problemi di salute e di famiglia”, facendo anche riferimento a vicende della vita privata della stessa. Contrariamente a quanto dichiarato dal Consorzio, secondo il quale nella delibera non era contenuto “alcun dettagliato riferimento alle infermità e/o condizioni psico-fisiche della dipendente”, l’atto oggetto di pubblicazione, pur non indicando la specifica patologia sofferta, conteneva dati personali relativi alla salute dell’interessata (cfr. art.4 par.1, n.15 e considerando 35 del Regolamento). Rientra, infatti, nella nozione di dato personale relativo alla salute anche il mero riferimento a “qualsiasi informazione da cui si possa desumere, anche indirettamente, lo stato di malattia o l’esistenza di patologie dei soggetti interessati” (v. “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati”, del 15 maggio 2014, doc. web n. 3134436. Cfr. anche “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico" del Garante, provv. n. 23 del 14 giugno 2007, doc. web n. 1417809). Tale principio è stato ribadito in numerose decisioni del Garante con riguardo a singoli casi (v. tra i tanti, da ultimo, con specifico riguardo al contesto lavorativo, provv.ti n.68 del 25 febbraio 2021 doc. web 9567429 e 255 del 24 giugno 2021 in corso di pubblicazione; in giurisprudenza, cfr. punto 50 della sentenza della Corte di giustizia delle Comunità europee 6 novembre 2003 C-101/01, Lindqvist, e Cass. civ. Sez. I, 8 agosto 2013, n. 18980, ove si afferma che “non può essere messo in dubbio che un'assenza dal lavoro "per malattia" costituisca un dato personale "relativo alla salute" del soggetto cui l'informazione si riferisce”). Per tali ragioni la pubblicazione di tale delibera ha determinato una illecita diffusione di dati relativi alla salute della dipendente (art.5, 6 e 9 del Regolamento e 2-ter e 2-septies del Codice).

Peraltro, nella delibera oggetto di pubblicazione, contenente l’irrogazione della sanzione disciplinare nei confronti dell’interessata, si dava conto anche di specifiche vicende relative al rapporto di lavoro in essere con la stessa, circostanza che connota di ulteriore gravità la condotta del Consorzio (cfr. Cass. civ., sez. II, ord. n. 18292 del 3 settembre 2020, che ha confermato la decisione del Garante n. 193 del 26 marzo 2015, adottata nei confronti di un Comune). La violazione della disciplina in materia di protezione dei dati personali mediante la pubblicazione di atti e documenti contenenti riferimenti a vicende legate al rapporto di lavoro, a valutazioni dell’operato dei dipendenti, a procedimenti disciplinari nonché a dettagli relativi alla sfera privata degli stessi, è stata, infatti, accertata in numerosi provvedimenti del Garante (cfr., da ultimo, provv. 24 giugno 2021, n. 256, in corso di pubblicazione; 25 febbraio 2021, n. 69, doc. web n. 9565258; 25 febbraio 2021, n. 68, sopra citato; 27 gennaio 2021, n. 34, doc. web n. 9549165).

Sotto altro profilo, inoltre, il Consorzio non ha comprovato l’esistenza di alcuna specifica disposizione normativa che consenta la pubblicazione della determinazione oggetto del reclamo né può ritenersi sufficiente il mero richiamo alla disciplina concernente la pubblicità degli atti degli enti locali sull’albo pretorio (art. 124, d.lgs. 18 agosto 2000, n. 267 nonché art. 32, l. 18 giugno 2009, n. 69), considerando che la pubblicazione si è comunque protratta, ancorché “per mera dimenticanza”, ben oltre il termine dei 15 giorni previsto dalla normativa (cfr. Cass. civ., sez. II, ord. n. 18292 del 3 settembre 2020).

In ogni caso, come chiarito dal Garante in numerose occasioni, anche in presenza di una norma di legge che preveda l’obbligo di pubblicare determinati atti e documenti, il titolare deve rispettare i principi di protezione dei dati, tra i quali il principio di “minimizzazione dei dati” (art. 5, par. 1, lett. c), del Regolamento; cfr. parte II, par. 3(a), delle Linee guida del Garante sopra citate), fermo restando che i dati relativi alla salute non possono essere diffusi (art. 2-septies, par. 8, del Codice e art. 9, par. 4, del Regolamento). Ciò anche in considerazione del fatto che, al fine di rispettare il principio di adeguata motivazione di cui all’art. 3 della l. 241/1990, non è necessaria la pubblicazione della versione integrale della determina poiché la stessa, rimanendo agli atti del titolare, è accessibile, da parte di soggetti qualificati, nei modi e nei limiti previsti dalla legge.

Da ultimo, con specifico riguardo a quanto dichiarato dal Consorzio, in ordine alla circostanza che la pubblicazione della delibera sia stata effettuata nella Sezione Amministrazione Trasparente del sito invece che nell'albo pretorio online, si ricorda che, come chiarito sin dal 2014 dal Garante, vanno tenute distinte, considerato il profilo del diverso regime giuridico applicabile, le disposizioni che regolano gli obblighi di pubblicità dell’azione amministrativa per finalità di trasparenza da quelle che regolano forme di pubblicità per finalità diverse (es.: pubblicità legale; cfr. Linee guida cit.).

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si rappresenta, altresì, che per la determinazione della norma applicabile, sotto il profilo temporale, deve essere richiamato in particolare il principio di legalità di cui all’art. 1, comma 2, della l. n. 689/1981 che sancisce come «Le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in esse considerati». Ciò determina l’obbligo di prendere in considerazione le disposizioni vigenti al momento della commessa violazione. Dagli atti dell’istruttoria è emerso che la determinazione nel suo testo integrale è stata pubblicata dal XX fino al XX, data in cui, secondo quanto dichiarato dal reclamante e confermato dal Consorzio, è stata rimossa dal sito e, pertanto, in piena vigenza delle disposizioni del Regolamento e del Codice.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Consorzio di Bonifica dell’Oristanese, per aver diffuso dati personali relativi alla reclamante, anche relativi alla salute, contenuti nella delibera n. XX del XX, in assenza di idonei presupposti normativi, in violazione degli artt. 6 del Regolamento e degli artt. 2-ter, e 2-septies, comma 8 del Codice, nonché dei principi di base del trattamento contenuti nell’art. 5, par. 1, lett. a) e c) del Regolamento.

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo e art. 166, comma 2, del Codice.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che la pubblicazione della delibera in questione sul sito web del Consorzio è cessata, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

In relazione ai predetti elementi è stata considerata la natura dei dati (dati relativi alla salute) e riferiti a un procedimento disciplinare a carico di un dipendente, che sono stati oggetto di diffusione; il periodo di tempo in cui i dati personali sono stati oggetto di pubblicazione; ciò anche alla luce delle indicazioni che, sin dal 2014, il Garante, ha fornito a tutti i soggetti pubblici nelle Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati, sopra citate.

Di contro, si è tenuto favorevolmente atto che il Consorzio ha rimosso la determina oggetto di pubblicazione e ha tenuto una condotta collaborativa con questa Autorità al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi. Non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento.
In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria, nella misura di euro 5.000 (cinquemila) per la violazione degli artt. 5, par. 1, lett. a) e c), 6 del Regolamento e degli artt. 2-ter e 2-septies, comma 8, del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Tenuto conto del lasso temporale durante il quale i predetti dati sono stati resi reperibili in rete, si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito web del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecita la condotta tenuta dal Consorzio di Bonifica dell’Oristanese descritta nei termini di cui in motivazione, consistente nella violazione degli artt. 5, par. 1, lett. a) e c) e 6 del Regolamento e degli artt. 2-ter e 2-septies, comma 8, del Codice, nei termini di cui in motivazione

ORDINA

al Consorzio di Bonifica dell’Oristanese, in persona del legale rappresentante pro-tempore, con sede legale in Via Cagliari, 170 - 09170 Oristano C.F.90022600952, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 5, del Regolamento e 166, comma 2, del Codice, di pagare la somma di euro 5.000 (cinquemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione;

INGIUNGE

al predetto Consorzio di pagare la somma di euro 5.000 (cinquemila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981. Al riguardo, si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro 30 giorni dalla data della notifica del presente provvedimento, ai sensi dell’art. 166, comma 8, del Codice (cfr. anche art. 10, comma 3, del d.lgs. n. 150 dell’1/9/2011);

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione del presente provvedimento sul sito web del Garante, ritenendo che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 16 settembre 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL VICE SEGRETARIO GENERALE
Filippi