[doc. web n. 10161611]

Provvedimento del 10 luglio 2025

Registro dei provvedimenti
n. 384 del 10 luglio 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti, e il dott. Claudio Filippi, segretario generale reggente;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, Regolamento);

VISTO il d.lgs. 30 giugno 2003, n. 196, recante Codice in materia di protezione dei dati personali (di seguito, Codice);

VISTO il regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 (disponibile su www.garanteprivacy.it, doc. web n. 9107633; di seguito, regolamento del Garante n. 1/2019);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale reggente ai sensi dell’art. 15 del regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali (doc. web n. 1098801);

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Introduzione

Nell’ambito di una serie di controlli effettuati d’ufficio da questa Autorità, da una verifica svolta in data XX non risulta che il Comune di Conversano (di seguito, Comune) abbia effettuato la comunicazione dei dati di contatto del Responsabile della protezione dei dati (di seguito, RPD) all’Autorità – utilizzando l’apposito canale dedicato reperibile alla pagina https://servizi.gpdp.it/comunicazionerpd/s/ – richiesta dall’art. 37, par. 7, del Regolamento.

Inoltre, da un controllo contestuale effettuato sul sito web istituzionale del Comune, non è stato possibile reperire i dati di contatto del RPD, non rinvenendo, pertanto, elementi in grado di comprovare la designazione, da parte del Comune, del RPD.

Pertanto, con nota del XX (prot. n. XX), l’Ufficio, sulla base degli elementi acquisiti e dalle verifiche compiute, ha notificato al Comune, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, in quanto non aveva effettuato né la pubblicazione né la comunicazione all’Autorità dei dati di contatto del RPD, in violazione dell’art. 37, par. 7, del Regolamento, e in quanto, sulla base di ciò, non risultava comprovato che il Comune avesse effettivamente designato il RPD, in violazione dell’art. 37, par. 1, del Regolamento. Con la medesima nota, il predetto titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).

Con nota inviata il XX (prot. n. XX), cui si rinvia integralmente, il Comune ha presentato i propri scritti difensivi, ove ha rappresentato, in particolare, che:

- la comunicazione dei dati di contatto del RPD è stata effettuata e, con nota del “XX è pervenuta, a riscontro, la “Comunicazione dei dati di contatto del Responsabile della Protezione dei Dati – RPD””;

- i dati di contatto del RPD sono disponibili “all’indirizzo: https://www.comune.conversano.ba.it/conversano/zf/index.php/privacy/index/privacy”;

- nel periodo compreso tra XX e XX, “a causa dell’affidamento dei servizi di dominio, del DNS e dei certificati SSL del sito comunale ad un nuovo fornitore”, “vi sono stati dei problemi di accessibilità al sito istituzionale, soprattutto con il browser CHROME. In tale periodo è stato necessario riscostruire alcune sezioni ma non ci sono pervenute segnalazioni per quella https://www.comune.conversano.ba.it/conversano/zf/index.php/privacy/index/privacy”.

2. Esito dell’attività istruttoria

Ai sensi dell’art. 37 del Regolamento, il titolare (e il responsabile) del trattamento “[designa] sistematicamente un responsabile della protezione dei dati ogniqualvolta: a) il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali” (par. 1, lett. a)) e “pubblica i dati di contatto del responsabile della protezione dei dati e li comunica all'autorità di controllo” (par. 7).

Inoltre, nelle Linee-guida sui responsabili della protezione dei dati (RPD), adottate dal Gruppo di lavoro articolo 29 in materia di protezione dei dati personali il 13 dicembre 2016 ed emendate il data 5 aprile 2017, si aggiunge che “Nel regolamento non si rinviene alcuna definizione di “autorità pubblica” o “organismo pubblico”. Il WP29 ritiene che tale definizione debba essere conforme al diritto nazionale; conseguentemente, sono autorità pubbliche o organismi pubblici le autorità nazionali, regionali e locali ma, a seconda del diritto nazionale applicabile, la nozione ricomprende anche tutta una serie di altri organismi di diritto pubblico.12 In questi casi la nomina di un RPD è obbligatoria” (par. 2.1.1), e che “L’articolo 37, settimo paragrafo, del RGPD impone al titolare o al responsabile del trattamento di pubblicare i dati di contatto del RPD, e di comunicare i dati di contatto del RPD alle pertinenti autorità di controllo. Queste disposizioni mirano a garantire che tanto gli interessati (all’interno o all’esterno dell’ente/organismo titolare o responsabile) quanto le autorità di controllo possano contattare il RPD in modo facile e diretto senza doversi rivolgere a un’altra struttura operante presso il titolare/responsabile” (par. 2.6).

Anche il Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico, adottato dal Garante il 29 aprile 2021 con provvedimento n. 186 (doc. web n. 9589104), precisa che “sussiste l’obbligo di designazione per tutti i soggetti pubblici, ai sensi della lett. a) dell’art. 37, par. 1, del Regolamento, quali, ad esempio: le amministrazioni dello Stato, anche con ordinamento autonomo, compresi gli istituti scolastici; gli enti pubblici non economici nazionali, regionali e locali; le Regioni e gli enti locali; le Università; le Camere di commercio, industria, artigianato e agricoltura; le Aziende del Servizio sanitario nazionale; le Autorità indipendenti (cfr., a valenza meramente indicativa e non esaustiva, l’elenco di cui all’art. 1, comma 2, del d.lgs. 30 marzo 2001, n. 165)” (par. 3), che “Per quanto concerne la pubblicazione, questa dovrà essere effettuata sul sito web dell’amministrazione, all’interno di una sezione facilmente riconoscibile dall’utente e accessibile già dalla homepage, oltre che nell’ambito della sezione dedicata all’organigramma dell’ente ed ai relativi contatti”, e che “Per quanto concerne la comunicazione all’Autorità, si evidenzia che il Garante ha reso disponibile un’apposita procedura online non solo per la comunicazione, ma anche per la variazione e la revoca del nominativo del RPD designato. Tale procedura rappresenta l’unico canale di contatto utilizzabile a questo specifico fine ed è reperibile alla pagina https://servizi.gpdp.it/comunicazionerpd/s/, ove sono riportate anche le apposite istruzioni e le relative FAQ: peraltro, si richiama l’attenzione degli enti a inserire correttamente i dati richiesti, come l’individuazione del titolare del trattamento (l’ente complessivamente inteso, e non il legale rappresentante) e la compilazione del codice fiscale dell’amministrazione (e non della partita IVA, ovvero del codice fiscale di altro soggetto)” (par. 7).

Ciò premesso, si rileva che le dichiarazioni rese dal Comune nel corso dell’istruttoria – della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice – consentono solo in parte di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, nei termini che si vanno di seguito a descrivere.

Anzitutto, si confermano le valutazioni preliminari dell’Ufficio in merito alla violazione dell’art. 37, par. 1, del Regolamento, in quanto si rileva che il Comune non ha fornito elementi in ordine a comprovare l’effettiva designazione del RPD, quantomeno in relazione al periodo che va dal XX al XX (data indicata negli scritti difensivi). A quest’ultimo riguardo, si rende necessario precisare che tale comunicazione dei dati di contatto del RPD non era stata rinvenuta nel corso di controlli interni effettuati dall’Autorità in quanto recava l’errata indicazione del titolare del trattamento (una società fornitrice di servizi informatici in luogo dell’Ente) e, pertanto, priva degli elementi idonei a reperirla.

A ciò si aggiunga che, già con nota del XX (prot. n. XX), l’Autorità aveva rappresentato al Comune di Conversano, in particolare, che, non risultava censita, nei propri archivi, la dovuta comunicazione dei dati di contatto del RPD e che, pertanto, tale Comune veniva invitato a effettuare i dovuti controlli in ordine alla correttezza degli adempimenti in parola e, se del caso, provvedere alla loro regolarizzazione nel più breve tempo possibile, facendo riserva di effettuare, a seguire, ulteriori verifiche e di avviare un procedimento per accertare eventuali responsabilità qualora fossero risultate persistenti talune anomalie.

La violazione dell’art. 37, par. 7, del Regolamento, con riferimento alle mancate pubblicazione e comunicazione all’Autorità dei dati di contatto del RPD fino al XX può invece considerarsi assorbita dalla violazione del precedente par. 1, in ragione della stretta consequenzialità dei predetti adempimenti rispetto alla designazione del RPD.

È possibile, invece, procedere con l’archiviazione del presente procedimento, ai sensi del combinato disposto di cui agli artt. 11 e 14 del regolamento del Garante n. 1/2019, per quanto concerne la violazione dell’art. 37, par. 7, del Regolamento con riferimento alle mancate pubblicazione e comunicazione all’Autorità dei dati di contatto del RPD a partire dal XX, in quanto:

- la pubblicazione dei dati di contatto del RPD era stata effettuata e, in base a quanto rappresentato dall’Ente, il passaggio ad un nuovo fornitore per quanto riguarda la gestione del sito istituzionale ne aveva reso temporaneamente irraggiungibile la relativa pagina web;

- la comunicazione dei dati di contatto del RPD era stata comunque effettuata, pur recando informazioni errate che ne hanno reso non possibile la reperibilità nel corso dei controlli interni svolti dall’Autorità.

In conclusione, si conferma, pertanto, che non risulta comprovato, quantomeno fino al XX, che il Comune di Conversano avesse designato il RPD, in violazione dell’art. 37, par. 1, del Regolamento.
Essendo comunque emerso, nel corso dell’istruttoria, che il Comune ha provveduto a effettuare i adempimenti, non ricorrono i presupposti per l’adozione delle specifiche misure correttive di cui all’art. 58, par. 2, lett. d), del Regolamento.

3. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria (art. 58, par. 2, lett. i), e art. 83 del Regolamento; art. 166, comma 7, del Codice)

Il Garante, ai sensi dell’art. 58, par. 2, lett. i), e dell’art. 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del regolamento del Garante n. 1/2019).

Al riguardo, nel caso di specie, la violazione della disposizione citata è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 4, del Regolamento.

La predetta sanzione amministrativa pecuniaria, inflitta in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento, in relazione ai quali si osserva, in particolare, che a carico del Comune non risultano precedenti violazioni pertinenti commesse o precedenti provvedimenti di cui all’art. 58 del Regolamento.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 3.000 (tremila) per la violazione dell’art 37, par. 1, del Regolamento quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito web del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e dall’art. 16 del regolamento del Garante n. 1/2019, non avendo il Comune fornito elementi a comprova dell’effettivo e tempestivo assolvimento a un adempimento divenuto obbligatorio nel 2018.

Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi dell’art. 57, par. 1, lett. a), del Regolamento, dichiara illecita la condotta tenuta dal Comune di Conversano, descritta nei termini di cui in motivazione, consistente nella violazione dell’art. 37, par. 1, del Regolamento;

ORDINA

al Comune di Conversano, con sede in piazza venti settembre 25, 70014 Conversano (BA) – CF  00812180727, ai sensi dell’art. 58, par. 2, lett. i), e dell’art. 83 del Regolamento, di pagare la somma di euro 3.000 (tremila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicata in motivazione;

INGIUNGE

al Comune di Conversano di pagare la somma di euro 3.000 (tremila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. 689/1981.

Al riguardo, si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento, sempre secondo le modalità indicate in allegato, di un importo pari alla metà della sanzione irrogata, entro 30 giorni dalla data della notifica del presente provvedimento, ai sensi dell’art. 166, comma 8, del Codice (cfr. anche art. 10, comma 3, del d.lgs. 1° settembre 2011, n. 150);

DISPONE

- ai sensi degli artt. 11 e 14 del regolamento del Garante n. 1/2019, l’archiviazione delle contestazioni relative alla violazione dell’art. 37, par. 7, del Regolamento;

- ai sensi dell’art. 166, comma 7, del Codice e dell'art. 16, comma 1, del regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito web del Garante;

- ai sensi dell’art. 154-bis, comma 3, del Codice e dell’art. 37 del regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante;

- ai sensi dell’art. 17 del regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, dell’art. 152 del Codice e dell’art. 10 del d.lgs. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero. 

Roma, 10 luglio 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE REGGENTE
Filippi