[doc. web n. 10254285]

Provvedimento del 29 aprile 2029

Registro dei provvedimenti
n. 305 del 29 aprile 2029

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale reggente ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore la prof.ssa Cerrina Feroni;

PREMESSO

1. Introduzione.

In data XX l’Autorità ha ricevuto un reclamo da parte della signora XX con il quale è stata lamentata una presunta violazione della normativa in materia di protezione dei dati personali da parte della Presidenza del Consiglio dei ministri - Dipartimento della protezione civile (di seguito, “Dipartimento”), relativa alla pubblicazione delle sue “informazioni personali (nome e cognome per esteso) all'interno di un file […] individuato tramite una ricerca su Google inserendo il […suo] nome e cognome, risultando tra i primi risultati […al] link […] https://...”.

Al riguardo, dalla verifica preliminare effettuata dall’Ufficio in data XX, è emerso che dall’URL https://... indicata nel reclamo, si accedeva a una pagina web con altro indirizzo (URL https://...) recante una tabella con i seguenti campi “MEDICI -INFERMIERI-ASSISTENTI-STUDENTI-AMMINISTRATIVI” e da cui era possibile scaricare anche il relativo file .xls (di seguito, l’”Elenco”).

Il predetto Elenco conteneva migliaia di nominativi, tra cui quello della reclamante, riferibili alle categorie di soggetti suindicati in un contesto riguardante – tenendo conto del nome del file – emergenze della Protezione civile e contact tracing in XX.

Nel reclamo l’interessata ha rappresentato di avere già contattato il Responsabile della protezione dei dati (di seguito “RPD”) del Dipartimento, evidenziandogli di non avere “mai avuto alcun contatto diretto con la Protezione civile e [di non aver] avuto un XX all'interno della stessa”, chiedendo pertanto di avere un chiarimento e di deindicizzare i propri dati personali in data XX e, successivamente, il XX).

Sul punto, la reclamante ha evidenziato di avere avuto “in data XX […] una risposta dal […RPD, con la quale] assicura[va] che avrebbe avviato le opportune verifiche e di attendere sue comunicazioni”, ma di non avere ricevuto poi alcun effettivo riscontro alla propria istanza.

2. L’attività istruttoria

Con nota del XX (prot. n. XX), l’Autorità ha chiesto informazioni al Dipartimento, ai sensi dell’art. 157 del Codice, il quale ha fornito riscontro con nota del XX (prot. dell’Autorità n. XX dell’X)) cui si rinvia integralmente, dichiarando, in particolare, che:

- “Con delibera del XX […è stato] dichiarato lo stato di emergenza […] stabilendo, altresì, che, come previsto dall’art. 25 del […]  decreto legislativo 1/2018, per l’attuazione dei relativi interventi “si provvede con ordinanze emanate dal Capo del Dipartimento della protezione civile in deroga a ogni disposizione vigente”;

- “per fronteggiare l’emergenza sanitaria [da Covid-19], sono stati emanati numerosi provvedimenti legislativi,  [recanti] specifiche disposizioni tese a far fronte alle esigenze straordinarie di personale nell’ambito del sistema sanitario nazionale e regionale per l’accertamento diagnostico, il monitoraggio e la sorveglianza della circolazione di SARS-CoV-2, anche a supporto della medicina territoriale, prevedendo la possibilità per le Regioni e le Province autonome di procedere al conferimento di incarichi di lavoro autonomo”;

- “In tale contesto, nell’esercizio delle attribuzioni di cui al decreto legislativo 1/2018, come richiamate dalla […] Delibera del Consiglio dei Ministri del XX, il Capo del Dipartimento della protezione civile, al fine di assicurare la prevista attività di supporto alle strutture sanitarie regionali, […]  in data XX ha emanato l’Ordinanza n. XX […] finalizzata a garantire l’operatività del sistema di ricerca e gestione dei contatti dei casi di Covid-19 (contact tracing) mediante reperimento di 1500 unità di operatori sanitari e 500 unità di addetti ad attività amministrativa […]”;

- “l’Ordinanza dispone, in particolare, che: le manifestazioni di interesse siano acquisite sulla base di apposito avviso pubblicato sul sito del Dipartimento della protezione civile; all’esito dell’acquisizione delle richieste di partecipazione pervenute […al] Dipartimento […] sia redatto un apposito elenco su base regionale, trasmesso alle Regioni e alle Province autonome e pubblicato sul sito web istituzionale del Dipartimento […]; ciascuna Regione e Provincia autonoma conferisca ai soggetti ricompresi nell’elenco appositi incarichi di lavoro autonomo, in deroga ai vincoli previsti dallalegislazione vigente in materia di spesa di personale […]”;

- “In esecuzione della richiamata Ordinanza n. XX, il XX, sono stati pubblicati sul sito web istituzionale del Dipartimento […] due distinti avvisi per la raccolta delle citate manifestazioni di interesse […]”;

- “la successiva attività di pubblicazione degli elenchi a cura del Dipartimento […] oltre ad essere disposta dall’art. 1, comma 4, dell’Ordinanza n. XX – espressamente richiamata nell’avviso pubblicato – […] è stata effettuata per finalità di trasparenza ai sensi del decreto legislativo 33/2013 e, in particolare, dell’art. 8 […]”;

- “benché […] gli incarichi di lavoro autonomo, siano stati conferiti dalle Regioni e dalle Province autonome interessate, l’attività di reperimento del personale è stata effettuata direttamente dal Dipartimento”;

- “i dati personali della […reclamante sono] stati trattati in rispondenza all’art. 5 del […] G.D.P.R. e quindi in modo lecito, corretto e trasparente, nonché raccolti per finalità determinate, esplicite e legittime, rispettando, nel contempo il principio di “minimizzazione”, invero, i dati oggetto di pubblicazione sono stati limitati al nome al cognome della reclamante e di tutti gli altri interessati”;

- “[…la reclamante] ha fornito i suoi dati al Dipartimento […] nell’ambito della manifestazione di interesse finalizzata ad ottenere il conferimento di un incarico di lavoro autonomo, [… il] XX […] attraverso la compilazione del form disponibile sul sito “XX”;

- “la tabella in questione è stata pubblicata in data XX. In relazione alla diffusione sul web dei dati personali contenuti nella tabella on-line […] tali dati, minimizzati […], sono stati oggetto di necessaria diffusione in ottemperanza agli obblighi di trasparenza quinquennali del Dipartimento ex art. 8, comma 3, d.lgs. n. 33/2013”.

Con riferimento alla condotta del Dipartimento, l’Ufficio, sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, con nota del XX (prot. n. XX), ai sensi dell’art. 166, comma 5, del Codice, ha notificato al Dipartimento l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento per aver agito:

- in maniera non conforme ai principi di “limitazione della finalità” e di “minimizzazione”, in violazione dell'art. 5, par. 1, lett. b) e c), del Regolamento, avendo pubblicato online l’Elenco, diffondendo i dati personali ivi contenuti riferiti alla reclamante e ad altri soggetti interessati fra medici, infermieri, assistenti, studenti e amministrativi, per un periodo superiore a quello necessario al raggiungimento degli scopi per i quali i citati dati personali sono stati resi pubblici;

- in violazione dell’art. 12, parr. 3 e 4, del Regolamento, non avendo fornito riscontro all’istanza di esercizio dei diritti in materia di protezione dei dati personali presentata dall’interessata il XX al RPD e sollecitata con PEC del XX.

Il Dipartimento, con l’atto sopra citato, è stato invitato a produrre al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla legge 24 novembre 1981, n. 689).

Con nota del XX (prot. dell’Autorità n. XX del XX), cui si rinvia integralmente, il Dipartimento ha inviato le proprie memorie difensive, rappresentando in particolare, che:

- ”L’emergenza Covid – 19 ha reso necessario, per il Dipartimento in particolare, intraprendere azioni repentine legate al mutare, altrettanto veloce, degli eventi e dell’emergenza stessa.  […] Il trattamento è stato effettuato per il solo scopo di garantire un servizio richiesto dallo Stato in ambito sanitario: consentire il reperimento del supporto umano alle strutture sanitarie regionali che non avevano sufficiente personale per sopperire alle necessità organizzative”;

- “il Dipartimento, a seguito dello svolgimento di dovuta attività istruttoria con i diversi Uffici interessati, all’esito della notifica ha ritenuto di provvedere, alla rimozione (in data XX) dell’elenco oggetto di reclamo, cancellando i dati in esso contenuti dagli archivi interni […e] sta approntando, di concerto con il DPO nominato, una procedura che, tenuto conto dell’articolazione interna dello stesso, preveda tempi di reazione più brevi di quelli attuali […]Si sta, inoltre, procedendo ad opportuna verifica […] per valutare eventuali situazioni analoghe a quella oggetto di notifica ed originate dalla situazione emergenziale COVID – 19”;

- la reclamante “ha ricevuto riscontro dal DPO in merito alla presa in carico, da parte del Dipartimento, dell’istanza della stessa. Tuttavia, per poter valutare il caso è stato necessario effettuare opportune verifiche prima di procedere ad ogni cancellazione e questo ha portato, inevitabilmente, ad un rallentamento nella valutazione dell’istanza avanzata dall’interessata”.

Nel corso dell’audizione, tenutasi in data XX (verbale prot. n. XX, cui si rinvia integralmente) il Dipartimento ha inoltre precisato, in particolare, di avere:

- con riferimento alle “tempistiche di pubblicazione dei dati personali e di gestione delle istanze di esercizio dei diritti ai sensi dell’art. 15 e ss. del Regolamento 2016/679 [,…] svolto durante gli scorsi mesi delle attività volte ad allineare le distinte procedure, coinvolgendo sia il Dipartimento che le realtà territoriali, anche alla luce del ruolo di coordinamento e di supporto svolto dal Dipartimento nei confronti delle predette realtà”;

- provveduto a “creare delle strutture a supporto, istituendo dei referenti per ogni “servizio”, al fine di avere una o più persone opportunamente formate volte ad effettuare, in caso di analoghe tematiche future, un intervento nell’immediatezza, coordinandosi con il Responsabile della protezione dei dati”;

- “In relazione al caso concreto [, …] fornito ausilio alle realtà territoriali durante la fase emergenziale data dal Covid-19 e gestita durante il medesimo periodo, in cui erano presenti situazioni di difficoltà da parte delle Regioni e delle Province autonome […] anche in relazione alla gestione dei siti web istituzionali […]”;

- deciso, “Per quanto concerne le comunicazioni nei confronti della reclamante, […] che procederà in tempi brevi a fornire adeguato riscontro all’interessata in merito all’istanza dalla stessa presentata […]”.

A tal riguardo, con successiva nota dell’XX, inviata altresì all’Autorità nella medesima data, il Dipartimento ha provveduto a riscontrare la richiesta della reclamante, fornendo informazioni, in particolare, in merito all’origine dei dati personali raccolti e rappresentando che “in data XX, valutati i presupposti, si è provveduto alla cancellazione degli elenchi contenenti il […] nominativo [della reclamante] dai siti […dalla stessa] segnalati e di ogni Suo dato dai sistemi del Dipartimento”.

3. Esito dell’attività istruttoria.

3.1. La normativa applicabile in materia di protezione dei dati personali.

Ai sensi della normativa in materia, il trattamento dei dati personali effettuato da soggetti pubblici è lecito solo se necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e), del Regolamento). È inoltre previsto che “Gli Stati membri possono mantenere […] disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento).

Con particolare riferimento al caso sottoposto all’attenzione di questa Autorità, si ricorda inoltre che l’operazione di “diffusione” di dati personali – ossia “il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione” (art. 2-ter, comma 4, lett. b) del Codice) – trattati per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, è ammessa solo quando sia prevista da un’idonea base giuridica (art. 2-ter, commi 1 e 3, del Codice).

Il titolare del trattamento è tenuto altresì, in ogni caso, a rispettare i principi in materia di protezione dei dati personali, tra i quali quelli di “limitazione della finalità” e di “minimizzazione”, in base ai quali i dati sono “raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. b) e c) , del Regolamento).
Si ricorda, inoltre, che gli artt. da 15 a 22 del Regolamento attribuiscono al soggetto interessato la possibilità esercitare i “diritti in materia di protezione dei dati personali” nei confronti del titolare del trattamento, fra cui il diritto alla limitazione del trattamento e il diritto di opposizione al trattamento, laddove ne ricorrano i presupposti.

L’art. 12, par. 3, del Regolamento stabilisce che il titolare del trattamento deve dare riscontro alla richiesta dell’interessato senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste, fermo restando che il titolare deve informare l’interessato di tale proroga e dei motivi del ritardo entro un mese dal ricevimento della richiesta.

3.2. La diffusione dei dati personali degli interessati.

Dall’accertamento compiuto sulla base degli elementi acquisiti, delle dichiarazioni rese e dei fatti emersi nell’ambito dell’attività istruttoria condotta, è stato rilevato che il Dipartimento ha diffuso sul proprio sito web istituzionale i dati personali della reclamante, contenuti nell’Elenco – contenente, altresì, i nominativi di migliaia di altri soggetti fra medici, infermieri, assistenti, studenti e amministrativi – di coloro che, a seguito di apposito avviso del Dipartimento stesso, hanno inviato manifestazioni di interesse per il reperimento di diverse figure professionali e personale a supporto della medicina territoriale impegnata nel contenimento dell’emergenza COVID-19. Tale Elenco sarebbe stato poi utilizzato da Regioni e Province autonome, anche attraverso le proprie aziende del servizio sanitario regionale, per eventuali conferimenti degli incarichi lavorativi utili, previa verifica dei requisiti (con termine al XX, prorogabile in ragione del perdurare dell’esigenza e dello stato di emergenza, con successiva ordinanza del Capo del Dipartimento della protezione civile).

Da quanto dichiarato dal Dipartimento in corso d’istruttoria, è emerso che la reclamante ha inizialmente presentato la manifestazione di interesse prevista dal citato avviso, inserendo i propri dati personali ai fini della presentazione della stessa “il XX […] attraverso la compilazione del form disponibile sul sito “XX”. Il nome e cognome della reclamante, così come la “macroarea” di appartenenza – XX - è poi confluito nell’Elenco pubblicato online.

Al riguardo, il Dipartimento ha rappresentato di aver provveduto a pubblicare l’Elenco in questione sulla base di quanto previsto dall’art. 1, comma 4, dell’ordinanza del XX, n. XX adottata, durante il periodo emergenziale, in base a specifica norma di rango primario contenuta nell’art. 25 del decreto legislativo del 2 gennaio 2018, n. 1.

Nel quadro descritto, il Dipartimento ha ribadito anche che, indipendentemente dalle predette disposizioni, “la pubblicazione degli elenchi del personale reperito nell’ambito delle citate procedure straordinarie correlate alla gestione dell’emergenza sanitaria da Covid-19” è stata “effettuata per finalità di trasparenza ai sensi del decreto legislativo 33/2013 e, in particolare, dell’art. 8”.

Sul punto, si evidenzia che gli “Obblighi di pubblicazione concernenti i titolari di incarichi di collaborazione e consulenza” sono disciplinati dall’art. 15 del d. lgs. 14 marzo 2013, n. 33 (e non dall’art. 8), che enumera puntuali informazioni (tra cui, estremi dell’atto di conferimento, e curriculum vitae), relative ai “titolari di incarichi di collaborazione o consulenza”, prevedendone l’obbligo da parte delle pubbliche amministrazioni di pubblicazione e aggiornamento (cfr. FAQ in materia di trasparenza sull’applicazione del d.lgs. n. 33/2013, disponibili sul sito ANAC https://www.anticorruzione.it/chiedilo-ad-anac/-/categories/119067). Tale onere di pubblicazione di durata quinquennale ai sensi dell’art. 8 del medesimo d. lgs. n. 33/2013 (richiamato dal Dipartimento), ricade sul soggetto pubblico che ha conferito l’incarico e, in ogni caso, si riferisce unicamente ai titolari degli incarichi stessi, mentre non esiste un analogo obbligo di pubblicità per coloro che hanno solo manifestato interesse a partecipare alla procedura presentando la domanda e non sono stati successivamente selezionati.

Il richiamo agli “Obblighi di pubblicazione concernenti i titolari di incarichi di collaborazione e consulenza” disciplinati dall’art. 15 del d. lgs. n. 33/2013 e dall’art. 8 del medesimo decreto in merito al mantenimento online per la durata di cinque anni dei dati personali – inclusi quelli della reclamante - pubblicati nell’Elenco in questione non risulta, dunque, corretto in quanto non è conferente rispetto al caso in esame.

Si prende, tuttavia, atto delle disposizioni contenute nel citato art. 1, comma 4, dell’ordinanza, adottata nell’ambito del periodo emergenziale, n. XX, richiamate dal Dipartimento, che prevedono la pubblicazione dell’elenco, su base regionale, delle richieste di partecipazione sul sito del Dipartimento stesso.

Quanto al periodo di mantenimento della pubblicazione online, si ricorda però che l’Autorità ha definito nel tempo un quadro unitario di misure e accorgimenti volti a individuare opportune cautele che, in particolare, i soggetti pubblici sono tenuti ad applicare in occasione della diffusione di dati personali sui propri siti web istituzionali, con le “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” (provv. n. 243 del 15 maggio 2014, doc. web n. 3134436).

Nelle citate Linee guida si evidenzia che i soggetti pubblici devono assicurare il rispetto delle specifiche disposizioni di settore in cui sono individuati “circoscritti periodi di tempo per la pubblicazione di atti e provvedimenti amministrativi contenenti dati personali, rendendoli accessibili sul proprio sito web solo per l’ambito temporale individuato dalle disposizioni normative di riferimento, anche per garantire il diritto all’oblio degli interessati” (parte seconda, par. 2.b). Qualora la disciplina di settore non stabilisca un limite temporale alla pubblicazione degli atti, “vanno individuati – a cura delle amministrazioni pubbliche titolari del trattamento – congrui periodi di tempo entro i quali mantenerli online. Tale lasso di tempo non può essere superiore al periodo ritenuto, caso per caso, necessario al raggiungimento degli scopi per i quali i dati personali stessi sono resi pubblici. Trascorsi i predetti periodi di tempo individuati […] dall’amministrazione determinate notizie, documenti o sezioni del sito devono essere rimossi dal sito web oppure devono essere privati degli elementi identificativi degli interessati e delle altre informazioni che possano consentirne l’identificazione”.

Nel caso in esame, considerando che l’art. 1, comma 4, dell’ordinanza n. XX non prevede un termine per la diffusione dei dati personali sul web il Dipartimento, in qualità di titolare del trattamento, avrebbe in ogni caso dovuto mantenere pubblicati online i dati degli interessati – che, in adesione agli avvisi per operatori sanitari e addetti amministrativi, hanno presentato la propria manifestazione di interesse – unicamente per il periodo strettamente necessario al raggiungimento della finalità del trattamento perseguita, individuando a tale fine un congruo periodo di tempo, decorso il quale i dati personali andavano rimossi dal web.

Al tal riguardo, in merito alla predetta finalità, risulta opportuno evidenziare che, l’art. 1, comma 4 della citata ordinanza XX prevede anche che “Ciascuna regione e provincia autonoma interessata, […] provvede a conferire ai soggetti ricompresi nell'elenco del Dipartimento della protezione civile, […] appositi incarichi di lavoro autonomo, anche di collaborazione coordinata e continuativa, di durata massima non superiore al XX, prorogabili in ragione del perdurare dell'esigenza e dello stato di emergenza […]”. Di conseguenza, a distanza di diversi anni dalla scadenza del citato termine per il conferimento degli incarichi e dalla cessazione dello stato di emergenza, l’operazione di diffusione online dell’Elenco oggetto di reclamo non risulta più necessaria rispetto al raggiungimento degli scopi per i quali i dati personali ivi contenuti sono stati resi pubblici, con la conseguenza che i dati personali andavano rimossi. Tuttavia, il Dipartimento ha provveduto alla rimozione del predetto Elenco dal proprio sito web istituzionale solo “in data XX” a seguito dell’intervento dell’Autorità.

Sulla base delle considerazioni che precedono, deve ritenersi che il Dipartimento ha diffuso i dati personali della reclamante – nonché degli ulteriori interessati indicati nell’Elenco – per un periodo di tempo ulteriore rispetto a quello necessario al raggiungimento degli scopi per i quali sono stati resi pubblici, in maniera non conforme ai principi di “limitazione della finalità” e di “minimizzazione dei dati”, in violazione dell’art. 5, par. 1, lett. b) e c), del Regolamento. 

3.3. Il mancato riscontro all’istanza di esercizio dei diritti.

Con riguardo alla contestazione relativa al mancato riscontro all’istanza di esercizio dei diritti in materia di protezione dei dati personali presentata dalla reclamante con nota del XX al RPD e sollecitata con PEC del XX, il Dipartimento ha dichiarato, in particolare, di aver inizialmente inviato una comunicazione, il XX, “in merito alla presa in carico, da parte del Dipartimento, dell’istanza della stessa […ma che] per poter valutare il caso è stato necessario effettuare opportune verifiche prima di procedere ad ogni cancellazione e questo ha portato, inevitabilmente, ad un rallentamento nella valutazione dell’istanza avanzata […]”.

Al riguardo, si ricorda che, come menzionato nel precedente paragrafo 3.1, il titolare del trattamento è tenuto a fornire esplicito riscontro alla richiesta formulata dall’interessato ai sensi degli articoli da 15 a 22 del Regolamento, a prescindere dalla fondatezza o meno della stessa, senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal suo ricevimento, potendo prorogare il medesimo termine di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste, e dovendo comunque informare l’interessato di tale proroga e dei motivi del ritardo entro un mese dal ricevimento della richiesta (art. 12, parr. 2 e 3, del Regolamento).

Inoltre, se il titolare del trattamento non ottempera alla richiesta dell'interessato, lo informa senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell'inottemperanza e della possibilità di proporre reclamo a un'autorità di controllo e di proporre ricorso giurisdizionale (cons. 59 e art. 12, par. 4, del Regolamento).

Nel caso di specie, con la predetta comunicazione del XX, il RPD del Dipartimento ha comunicato all’interessata che si stava “procedendo con le opportune verifiche [… e] di attendere una […sua] comunicazione, […]” senza, fornire ulteriori indicazioni né tempistiche in merito alla gestione dell’istanza. A tale comunicazione seguiva un sollecito dell’interessata in data XX, a cui non veniva fornito riscontro. Solo in corso d’istruttoria, in data XX, il Dipartimento ha provveduto a fornire idoneo riscontro all’interessata.

In ragione delle considerazioni che precedono, risulta pertanto accertato che il Dipartimento ha omesso di fornire un tempestivo riscontro alla richiesta di esercizio dei diritti in materia di protezione dei dati personali presentata dall’interessata, in violazione dell’art. 12, parr. 3 e 4, del Regolamento.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal Dipartimento, in qualità di titolare del trattamento, nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ seppure meritevoli di considerazione, non consentono di superare tutti i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, e risultano insufficienti a consentire l’archiviazione del presente procedimento ai sensi dell’art. 14, comma 1, del Regolamento del Garante n. 1/2019 non ricorrendo alcuno dei casi previsti dall’art. 11 ivi richiamato. 
Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità della condotta tenuta dal Dipartimento, per aver effettuato un trattamento di dati personali in violazione degli artt. 5, par. 1, lett. b) e c), e 12, parr. 3 e 4, del Regolamento.

Ciò premesso, tenuto conto che:

- la violazione non concerne dati appartenenti a categorie particolari o a condanne penali o reati di cui agli artt. 9 e 10 del Regolamento, ma unicamente dati comuni (nome e cognome e “macroarea” di riferimento) e ha riguardato la diffusione online degli stessi per un periodo di tempo ulteriore rispetto a quello necessario al raggiungimento degli scopi per i quali sono stati resi pubblici ai sensi della disciplina emergenziale applicabile al tempo. Ciò, in ogni caso, a seguito di una previa valutazione, effettuata dal Dipartimento, in merito alla tipologia di dati da pubblicare, in un’ottica di parziale minimizzazione;

- per quanto concerne l’elemento soggettivo, la violazione ha carattere colposo, avendo il Dipartimento agito nell’errata convinzione di dover applicare i tempi di pubblicazione online di cinque anni, previsti dagli artt. 8 e 15 del d. lgs. n. 33/2013;

- con riferimento alle misure adottate dal Dipartimento per attenuare il danno subito dagli interessati, lo stesso ha provveduto a rimuovere l’Elenco e a fornire, seppur tardivamente, riscontro alla reclamante in merito all’istanza dalla stessa avanzata, con la conseguenza che la condotta non conforme alla disciplina in materia di protezione dei dati personali ha cessato i suoi effetti;  

- il Dipartimento ha prestato una buona collaborazione con l’Autorità nel corso dell’istruttoria e, a seguito della stessa, ha posto in essere attività tese a migliorare le modalità di gestione, in particolare, delle istanze di esercizio dei diritti in materia di protezione dei dati personali da parte degli interessati, nonché di raccordo in merito alle tempistiche di pubblicazione dei dati personali;

- i trattamenti in questione sono stati effettuati nell’ambito di iniziative volte a supportare le strutture sanitarie regionali nel reperimento del personale al fine di gestire le necessità organizzative, in un contesto di urgente contenimento della complessa situazione emergenziale da Covid-19;

- non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento;

le circostanze del caso concreto inducono a qualificare la presente fattispecie come “violazione minore”, ai sensi del cons. 148 e dell’art. 83, par. 2, del Regolamento, nonché delle “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal Gruppo di Lavoro Art. 29 il 3 ottobre 2017, WP 253, e fatte proprie dal Comitato europeo per la protezione dei dati con l’“Endorsement 1/2018” del 25 maggio 2018.  

Si ritiene, pertanto, relativamente al caso in esame, che sia sufficiente ammonire il Dipartimento ai sensi degli artt. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, per avere violato gli artt. 5, par. 1, lett. b) e c), e 12, parr. 3 e 4, del Regolamento.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

- ai sensi dell’art. 57, par. 1, lett. f) del Regolamento, rileva l’illiceità del trattamento effettuato dalla Presidenza del Consiglio dei ministri – Dipartimento della Protezione Civile, con sede legale in via Ulpiano n. 11, 00193, Roma (RM), C.F. 97018720587, nei termini di cui in motivazione, per la violazione degli artt. 5, par. 1, lett. b) e c), e 12, parr. 3 e 4, del Regolamento;

- ai sensi dell’art. 58, par. 2, lett. b), del Regolamento, ammonisce la Presidenza del Consiglio dei ministri – Dipartimento della Protezione Civile, quale titolare del trattamento in questione, per aver violato gli artt. 5, par. 1, lett. b) e c), e 12, parr. 3 e 4, del Regolamento come sopra descritto;

DISPONE

- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante;

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 29 aprile 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Montuori