[doc. web n. 10140369]

Provvedimento del 10 aprile 2025

Registro dei provvedimenti
n. 204 del 10 aprile 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e dott. Claudio Filippi – il Segretario generale reggente;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Introduzione.

Con reclamo presentato ai sensi dell’art. 77 del Regolamento, è stata lamentata da alcuni dipendenti del Comune di Ponte nelle Alpi ( di seguito “Comune”), per il tramite del proprio Avvocato, la diffusione di propri dati personali, rappresentando, in particolare, che sono state pubblicate all'albo pretorio online del Comune le “valutazioni individuali dei singoli dipendenti […] ai fini dell’attribuzione dei premi per il raggiungimento degli obbiettivi prefissi, nell'ambito del piano delle performance”.

Successivamente a integrazione del predetto reclamo è stata trasmessa ulteriore documentazione a seguito della pubblicazione, sul sito web del Comune, della delibera della Giunta Comunale del XX, n.XX avente ad oggetto “APPROVAZIONE RELAZIONE SULLA PERFORMANCE ANNO XX”, contenente in allegato gli elenchi dei dipendenti riportanti il nome e cognome degli stessi con l’indicazione del punteggio attribuito ad ogni singolo dipendente.

2. L’attività istruttoria.

Con note del XX e del XX, il Comune, in riscontro alle richieste di informazioni del Garante (note prot. n.XX dell’XX e prot.n. XX del XX), ha dichiarato, in particolare, che:

- “a decorrere dal XX, per effetto delle modifiche introdotte dal d.l. 139/2021, convertito con legge n. 205/2021, il testo dell’art. 2 ter recita: 1. la base giuridica prevista dall'articolo 6, paragrafo 3, lettera b), del regolamento è costituita da una norma di legge o di regolamento o da atti amministrativi generali. infatti, in data XX il comune di ponte nelle alpi si è dotato di apposito regolamento di disciplina del sistema di misurazione e valutazione della performance e del sistema di incentivazione”;

- “per quanto riguarda la liceità di pubblicazione sul sito web nella sezione "Albo pretorio", la pubblicazione viene fatta in ossequio al disposto del TUEL D.Lgs. 1 8.8.2000, n. 267, in particolare ai sensi dell'art. 124. Più specificamente, nella pubblicazione della delibera vengono inclusi i dati personali dei soggetti interessati (minimizzati al cognome e nome). Dal punto di vista normativo, tale pubblicazione si ritiene legittima ai sensi dell'art. 2 ter del D.Lgs. 196/2003 che autorizza la diffusione di dati personali in presenza di "una norma di legge o di regolamento” o di “atti amministrativi generali". A tal proposito, il Comune, dal XX, si è dotato di specifico "Regolamento di disciplina del sistema di misurazione e valutazione della performance e del sistema di incentivazione" previsto espressamente dall’art. 14, comma 4 lett. d), del D.Lgs. n. 150/2009. Dal punto di vista sostanziale, la pubblicazione all'Albo pretorio dell'atto rappresenta la data di inizio di attivazione, da parte del dipendente che si legge nella delibera, dell'eventuale procedura di conciliazione, come si evince dalla formulazione dell’art. 13”;

- “si ribadisce che i nominativi dei dipendenti non sono associati all’indicazione di compensi incentivanti sulla produttività individuale” bensì a meri punteggi di performance”;

- “art. 10, c. 8, lett. b) del d.lgs. 33/2013, il quale ricollega il sistema della performance al sistema di prevenzione della corruzione, specifica chiaramente che ogni amministrazione ha l'obbligo di pubblicare sul proprio sito istituzionale nella sezione: «amministrazione trasparente» di cui all'articolo 9: b) il piano e la relazione di cui all'articolo 10 del decreto legislativo 27 ottobre 2009, n. 150”;

- “si ricorda infine che nel rispetto di quanto previsto alla parte seconda, paragrafi 2.a e 3.a, della delibera del Garante n. 243 del 15.05.2014 “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” e a differenza di quelli pubblicati nella sezione “Amministrazione trasparente”, i documenti pubblicati nell’Albo pretorio online non sono indicizzati. La loro pubblicazione avviene limitatamente al periodo previsto dall’ordinamento per rispettare il principio di temporaneità e il diritto all’oblio. Decorso il termine di pubblicazione, il sistema informatico impedisce la ricerca di qualsiasi esemplare del documento pubblicato tramite accesso alle proprie banche dati; inoltre, il sistema informatico segnala la temporaneità delle informazioni pubblicate ai motori di indicizzazione e di ricerca, anche attraverso formati idonei e accorgimenti tecnici di dialogo con sistemi esterni all’ente”.

Con nota del XX, prot. n.XX, l’Ufficio, sulla base degli elementi acquisiti, delle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato al Comune, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, per aver diffuso online i dati personali degli interessati, mediante la pubblicazione sul proprio sito web istituzionale delle deliberazioni riferite al piano delle performance per gli anni XX, XX e XX contenenti l’elenco dei nominativi dei dipendenti con l’indicazione del punteggio attribuito ad ogni singolo dipendente, in particolare, le deliberazioni n.XX; n.XX. La pubblicazione dei predetti atti - contenenti dati personali dei reclamanti e di altri interessati (segnatamente: nome, cognome e punteggio attribuito al singolo dipendente) è avvenuta in violazione degli artt. 5 e 6 del Regolamento e 2-ter del Codice. Tale pubblicazione si è protratta dal giorno della emanazione delle deliberazioni e, relativamente alla pubblicazione nell’albo pretorio, per i 15 giorni successivi alla pubblicazione. Nella sezione Amministrazione Trasparente, invece, i nominativi degli interessati contenuti nei predetti atti sono stati sostituiti da una numerazione progressiva.

Con la medesima nota, il predetto titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).

Con nota del XX, prot. n. XX il Comune, che non ha richiesto di essere audito, ha presentato una memoria difensiva, dichiarando, in particolare, che:

- “in relazione alla pubblicazione all’Albo pretorio comunale dei nominativi (cognome e nome, ufficio di appartenenza) e delle risultanze del sistema di misurazione e valutazione della performance, la finalità, come da Regolamento comunale, è di consentire agli interessati di obiettare in ordine al grado di raggiungimento degli obiettivi di performance (chiedendo l’apertura della procedura di conciliazione). La pubblicazione delle relazioni sulla performance - contenenti nome, cognome e punteggio attribuito a ogni singolo dipendente - si è protratta esclusivamente per i 15 gg previsti dall’art. 124 del d.lgs. 267/2000”;

- “il numero di interessati coinvolti è variabile, a seconda del personale in servizio, in n. 40-44 persone”;

- “l’ipotizzata violazione […] rappresenta conforme applicazione della disciplina dettata dall’art. 4, comma 5, del "Regolamento di disciplina del sistema di misurazione e valutazione della performance e del sistema di incentivazione" approvato con deliberazione della Giunta comunale n. XX del XX, il quale stabilisce che “Il Piano Esecutivo di Gestione è pubblicato sul sito istituzionale dell’Ente nell’apposita sezione dedicata in “Amministrazione Trasparente”. La Relazione sulla Performance è pubblicata integralmente, assieme agli allegati, all’Albo pretorio comunale ai sensi dell’art. 124 del d.lgs. 267/2000, anche in ossequio ai principi di trasparenza dettati dall’art. 14, comma 4, lett. c) del d.lgs. 150/2009. La medesima Relazione sulla Performance è pubblicata altresì nella sezione “Amministrazione trasparente” del sito istituzionale ai sensi dell’art. 10, c. 8, lett. b) del D.Lgs. 33/2013, assicurando che i dati relativi alla distribuzione del salario accessorio siano pubblicati in forma aggregata, al fine di dare conto del livello di selettività utilizzato nella distribuzione dei premi e degli incentivi, nonché al grado di differenziazione nell'utilizzo della premialità sia per i dirigenti sia per i dipendenti”;

- “l’ente ha confidato nella liceità del trattamento dei dati ricorrendo i presupposti di cui all'art. 2-ter del D.Lgs. n. 196/2003, nel testo introdotto dall'art. 2 del D.Lgs. n. 101/2018 (base giuridica del trattamento)”.

3. Esito dell’attività istruttoria. La normativa applicabile.

La disciplina di protezione dei dati personali prevede che i soggetti pubblici, nell’ambito del contesto lavorativo, possono trattare i dati personali degli interessati, anche relativi a categorie particolari, se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti dalla legge o dal diritto dell’Unione o degli Stati membri (artt. 6, par. 1, lett. c), 9, par. 2, lett. b) e 4 e 88 del Regolamento). Il trattamento è, inoltre, lecito quando sia “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, parr. 1, lett. e), 2 e 3, e art. 9, par. 2, lett. g), del Regolamento; art. 2-ter del Codice).

Più in generale, la normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2 del Regolamento). Al riguardo, si evidenzia che l’operazione di diffusione di dati personali (come la pubblicazione online) da parte di soggetti pubblici è ammessa solo quando prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento o da atto amministrativo generale (art. 2-ter del Codice).

Il titolare del trattamento è in ogni caso tenuto a rispettare i principi in materia di protezione dei dati personali (art. 5 del Regolamento).

3.1. La diffusione dei dati personali.

Dagli elementi acquisiti e dai fatti emersi nell’ambito dell’attività istruttoria, risulta accertato che il Comune ha pubblicato sul proprio sito web istituzionale le deliberazioni riferite al piano delle performance per gli anni XX, XX e XX contenenti l’elenco dei nominativi dei dipendenti con l’indicazione del punteggio attribuito ad ogni singolo dipendente, in particolare sono state pubblicate la deliberazione n.XX, la deliberazione n.XX e la deliberazione n.XX contenenti i dati personali dei reclamanti e di ulteriori interessati (circa 40 dipendenti).

In via preliminare, riguardo alla specifica circostanza che la liceità del predetto trattamento derivi da quanto disposto dal “Regolamento di disciplina del sistema di misurazione e valutazione della performance e del sistema di incentivazione" adottato con deliberazione della Giunta comunale n. XX del XX - tenuto conto della modifica dell’art. 2-ter del Codice che stabilisce che “la base giuridica prevista dall'articolo 6, paragrafo 3, lettera b), del regolamento è costituita da una norma di legge o di regolamento o da atti amministrativi generali”- si rappresenta che, anche con riguardo alla qualità e al contenuto della fonte, nel quadro di derivazione europea della disciplina di protezione dei dati, nella prospettiva della certezza del diritto, nonché del principio di non discriminazione, non sono consentiti livelli differenziati di tutela della protezione dei dati personali - né su base territoriale né a livello di singola amministrazione - specie quando, come nel caso di cui trattasi, la materia è già stata oggetto di bilanciamento e regolazione dal legislatore con disposizioni uniformi a livello nazionale. Ciò considerando altresì che il Regolamento prevede che la base giuridica del trattamento deve essere idonea anche alla luce dell’“ordinamento costituzionale” dello Stato membro (considerando 41 e v. anche Corte Cost. sent. n. 271/2005 in base alla quale la disciplina di protezione dei dati personali rientra fra la materia di competenza esclusiva statale riferita all’ “ordinamento civile”), nel rispetto del principio di proporzionalità (art. 6, par. 3, lett. b), del Regolamento). Tali principi sono stati chiariti in numerose occasioni dal Garante (cfr. provv.ti n.235 dell’11 aprile 2024, doc. web n. 10019523; n.588 del 26 settembre 2024, doc web 10076453 e n.125 del 13 aprile 2023, doc web 9907846).

In ogni caso il Regolamento richiamato dal Comune prevede la pubblicazione della Relazione sulla Performance sul sito istituzionale dell’amministrazione al solo fine di assicurarne la visibilità ai cittadini e agli altri utenti finali, ma senza prevedere la pubblicazione dettagliata delle valutazioni dei singoli dipendenti. Non risulta, inoltre, pertinente avere invocato la necessità della pubblicazione della Relazione al fine di far decorrere i termini per consentire al valutato di attivare la procedura di conciliazione in quanto la versione integrale della stessa, rimanendo agli atti dell’amministrazione, sarebbe comunque accessibile nei modi e nei limiti previsti dalla legge da parte di soggetti qualificati, quali il singolo lavoratore che abbia necessità di attivare la predetta procedura.

Nel corso dell’istruttoria il Comune ha rappresentato che la pubblicazione di tali atti “viene fatta in ossequio al disposto del TUEL D.Lgs. 18.8.2000, n. 267, in particolare ai sensi dell'art. 124. Più specificamente, nella pubblicazione della delibera vengono inclusi i dati personali dei soggetti interessati (minimizzati al cognome e nome)”, riconducendo pertanto l’ambito del trattamento in questione all’assolvimento degli obblighi di pubblicazione di cui all’art. 124 del Testo Unico delle leggi sull’ordinamento degli enti locali che regola la pubblicazione per 15 giorni sull’Albo Pretorio delle deliberazioni dell’Ente. Tale disciplina, tuttavia, nulla stabilisce con riguardo alla pubblicazione delle deliberazioni oggetto della presente istruttoria.

Il Garante, in proposito, ha in numerose occasioni, in ogni caso, chiarito che, anche la presenza di uno specifico regime di pubblicità che riguarda talune categorie di atti, circostanza che comunque non ricorre nel caso di specie, non può comportare alcun automatismo rispetto alla diffusione online di dati personali in essi contenuti né una deroga ai principi in materia di protezione dei dati personali potendo essere diffusi i soli dati necessari, pertinenti e non eccedenti rispetto alle specifiche finalità perseguite dalla norma di settore (v. tra i tanti, provv. del 4 luglio 2024, n.404, doc. web 10050145 e provv. n. 398 del 14 settembre 2023, doc. web 9940457).

In merito agli obblighi derivanti dall’art. 124 del d.lgs. 267/2000, infatti, il Garante ha ribadito che anche alle pubblicazioni sull’Albo Pretorio online di atti o deliberazioni si applicano tutti i limiti previsti dai principi della protezione dei dati personali, avendo riguardo anzitutto alla sussistenza di idonei presupposti di liceità della diffusione online dei dati personali in essa contenuti, prima ancora che alla eventuale minimizzazione degli stessi. Ciò è confermato anche dal sistema di protezione dei dati personali contenuto nel Regolamento, alla luce del quale è previsto che il titolare del trattamento deve mettere “in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento” e deve essere “in grado di dimostrare” – alla luce del principio di “responsabilizzazione” – di averlo fatto (artt. 5, par. 2; 24 e 25, par. 2, Regolamento). Pertanto laddove la pubblicazione online di documenti comporti un trattamento di dati personali e quindi una loro diffusione, devono essere opportunamente contemperate le esigenze di pubblicità perseguite con i diritti e le libertà fondamentali, nonché la dignità dell´interessato, con particolare riferimento alla riservatezza, all´identità personale e al diritto alla protezione dei dati personali, individuando prioritariamente la sussistenza di una idonea base giuridica per la diffusione dei dati.

Per quanto riguarda, invece, la pubblicazione delle predette deliberazioni nella sezione “Amministrazione trasparente” del sito istituzionale, si precisa che l’amministrazione deve sempre verificare, sulla base di una valutazione responsabile e attenta, quali dati e informazioni pubblicare in applicazione della normativa di settore applicabile che regola modi, tempi e forme di pubblicità.

Al riguardo si osserva che il d.lgs. 14 marzo 2013, n. 33 prevede la pubblicazione obbligatoria da parte delle pubbliche amministrazioni dei “criteri definiti nei sistemi di misurazione e valutazione della performance per l'assegnazione del trattamento accessorio e i dati relativi alla sua distribuzione, in forma aggregata," (art. 20, comma 2, d.lgs. n. 33/2013). La finalità di trasparenza perseguita mediante tale previsione, al fine di dare evidenza dei livelli di selettività e premialità "nella distribuzione dei premi e degli incentivi" al personale, trova effettività, per espressa scelta del legislatore, attraverso la pubblicazione dei menzionati valori "in forma aggregata" e non nominativa, non essendo, per tali ragioni pertinente il richiamo all’art. 10, comma 8 lett. b), del d.lgs. n. 33/2013, invocato dal Comune.

Pertanto, stante la mancata previsione dell’obbligo di pubblicazione di tale tipologia di dati personali tra le ipotesi puntualmente elencate dal legislatore nel capo II del citato decreto legislativo o in altra specifica norma in materia di trasparenza, non trova applicazione al caso di specie il regime di conoscibilità stabilito dalla normativa sulla trasparenza, ivi compresa la specifica previsione concernente l´arco temporale quinquennale di permanenza sul sito (di cui all´art. 8, comma 3, del d.lgs. 33/2013; sul punto, cfr. “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” provv. del 15 maggio 2014 n. 243 doc. web n. 3134436).

Per quanto sopra rappresentato, la pubblicazione, da parte del Comune, sul proprio sito web istituzionale delle deliberazioni n.XX, n.XX e n.XX contenenti i dati personali dei reclamanti e di ulteriori interessati (circa 40 dipendenti), ha dato luogo a una diffusione dei dati personali in assenza di un’idonea base giuridica, in violazione degli artt. 5, 6 del Regolamento, nonché 2-ter del Codice.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Comune per aver diffuso online i dati personali dei reclamanti e di ulteriori interessati (circa 40 dipendenti), mediante la pubblicazione sul proprio sito web istituzionale delle deliberazioie n.XX, n.XX e n.XX, in assenza di un idoneo presupposto normativo, in violazione degli artt. 5 e 6 del Regolamento e 2-ter del Codice.

Tenuto conto che la violazione delle predette disposizioni ha avuto luogo in conseguenza di un’unica condotta, trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, le violazioni sono tutte soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che il Comune ha provveduto a rimuovere dal proprio sito web istituzionale le predette deliberazioni contenenti i dati personali degli interessati, tenuto conto che nella sezione Amministrazione trasparente i nominativi degli interessati sono comunque stati sostituiti con un numero progressivo, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Si ritiene che, nel caso di specie, il livello di gravità di tale violazione commessa dal titolare del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60), tenuto conto che:

la diffusone di dati personali ha riguardato circa quaranta interessati e la pubblicazione delle predette deliberazioni è avvenuta per un periodo limitato, essendo state pubblicate sul sito web istituzionale del Comune per un periodo di 15 giorni senza indicizzazione sui motori di ricerca generalisti (cfr. art. 83, par. 2, lett. a), del Regolamento);

con specifico riguardo al profilo soggettivo della violazione il Comune ha agito nella errata convinzione di adempiere a un obbligo di legge, nonostante le numerose indicazioni rese dal Garante sin dal 2014 con le Linee guida sopra richiamate, (art. 83, par. 2, lett. b), del Regolamento)

la pubblicazione non ha riguardato dati personali appartenenti alle categorie particolari di cui all’art. 9 del Regolamento o dati relativi a condanne penali o reati (cfr. art. 83, par. 2, lett. g), del Regolamento),

Ciò premesso nel considerare che il titolare del trattamento è un Comune di piccole dimensioni, si ritiene che, ai fini della quantificazione della sanzione, debbano essere prese in considerazione le seguenti circostanze attenuanti:

non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento, aventi la medesima natura di quelle accertate in relazione ai fatti di reclamo, o precedenti provvedimenti di cui all’art. 58 del Regolamento (art. 83, par. 2, lett. e), del Regolamento);

il Comune ha offerto una buona cooperazione con l’Autorità nel corso dell’istruttoria (v. art. 83, par. 2, lett. f), del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 4.000 (quattromila) per la violazione degli artt. 5 e 6 del Regolamento, nonché 2-ter del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante.

Ciò in considerazione della specifica circostanza che sono state diffuse, tramite il sito web del Comune informazioni relative ai reclamanti e agli ulteriori interessati con particolare riferimento alle valutazioni della performance di ogni singolo lavoratore, considerata la particolare delicatezza della condivisione di tali informazioni in un ristretto e specifico contesto lavorativo.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi degli artt. 57, par. 1, lett. f) e 83, del Regolamento, rileva l’illiceità del trattamento effettuato dal Comune di Ponte nelle Alpi per violazione degli artt. 5 e 6 del Regolamento, nonché 2-ter del Codice, nei termini di cui in motivazione;

ORDINA

al Comune di Ponte nelle Alpi, in persona del legale rappresentante pro-tempore, con sede legale in Frazione Cadola, 52A - 32014 Ponte nelle Alpi (BL), C.F. 00194880258, di pagare la somma di euro 4.000 (quattromila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione;

INGIUNGE

al predetto Comune, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 4.000 (quattromila)secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981. Si rappresenta che, ai sensi dell’art. 166, comma 8, del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento -sempre secondo le modalità indicate in allegato- di un importo pari alla metà della sanzione irrogata entro il termine di cui all'art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato;

DISPONE

a) ai sensi dell’art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;

b) ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

c) ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 10 aprile 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE REGGENTE
Filippi