Diritti interna

Doveri interna

ricerca avanzata

Provvedimento del 16 maggio 2018 [8998347]

[doc. web n. 8998347]

Provvedimento del 16 maggio 2018

Registro dei provvedimenti
n. 292 del 16 maggio 2018 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano, componente, e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d. lgs. 30 giugno 2003, n. 196, di seguito “Codice”);

VISTA la segnalazione in atti dell’XX;

RILEVATO, dall’accertamento preliminare effettuato dall’Ufficio in data 29 gennaio 2018, che sul sito web istituzionale del Comune di XX (http://www....), dal link situato nell’area dedicata all’Albo Pretorio, nella sezione denominata «XX» (url http://...), è possibile visualizzare e scaricare liberamente la Determinazione del Settore Ufficio del Segretario Generale n. XX del XX avente a oggetto «XX » (url http://...);

PRESO ATTO che, con la predetta Determinazione, è stato determinato l’obbligo del segnalante – nella qualità, al tempo dei fatti, di XX del citato Comune – di astenersi, su propria richiesta, dalla valutazione della dipendente XX a cui risulta legato da rapporto di coniugio, per potenziale conflitto di interessi;

CONSIDERATO che la Determinazione n. XX riporta in chiaro dati personali del segnalante e della moglie, quali, oltre i dati identificativi dei coniugi, informazioni sull’esistenza di un rapporto di lavoro presso l’ente e di un potenziale conflitto di interessi nell’anno XX; 

VISTI i riscontri del Comune di XX alle richieste di informazioni di questa Autorità e in particolare, quanto dichiarato dal Segretario Generale, laddove ha rappresentato che (note prot. n. XX del XX e prot. n. XX del XX):

- «Il Comune di XX ha disciplinato la pubblicazione e l’accessibilità a ulteriori dati e informazioni rispetto a quelli obbligatori per legge, a beneficio della partecipazione dei cittadini alla vita amministrativa. Lo stesso Statuto del Comune così recita: Art. XX. »;

-«Di conseguenza, con deliberazione di Giunta comunale n. XX del XX avente ad oggetto “XX” (rinvenibile online in Home, “Amministrazione trasparente” – “Provvedimenti”) è stato regolamentato di procedere alla pubblicazione delle determinazioni comunali “all’albo pretorio e nel sito istituzionale. La pubblicazione all’albo pretorio rimane per 15 giorni.” Pertanto, la pubblicazione nel sito internet istituzionale dell’Ente delle determinazioni è stata disposta, in aggiunta alla pubblicazione all’Albo pretorio prescritta dal d.lgs. n. 267/200, con la finalità della più ampia conoscibilità degli atti amministrativi adottati dal Comune»;

- «Si evidenzia che [le] prevision[i] [contenute nella deliberazione della Giunta Comunale n. XX del XX] ha[nno] carattere regolamentare ai sensi dell’art. 117, comma 6 della Costituzione e del D.lgs. n. 267/2000 che recita “Art. 48. Competenze delle giunte (…) 3. È, altresì, di competenza della giunta l’adozione dei regolamenti sull’ordinamento degli uffici e dei servizi, nel rispetto dei criteri generali stabiliti dal consiglio»;

-«Pertanto, la pubblicazione dei provvedimenti comunali sul sito internet istituzionale dell’Ente, nella sezione “Amministrazione trasparente” sotto-sezione “Provvedimenti”, è prevista dalla predetta norma di regolamento, tuttora vigente ed efficace, nel rispetto degli artt. 11 comma 1 lett. d) e 19 comma 3 del Codice in materia di protezione dei dati personali»;

CONSIDERATO che per dato personale si intende «qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale» (art. 4, comma 1, lett. b), del Codice); 

CONSIDERATO che per diffusione dei dati personali si intende «il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione» (art. 4, comma 1, lett. m), del Codice);

CONSIDERATO che la diffusione dei dati personali da parte dei soggetti pubblici è ammessa unicamente quando è prevista da una norma di legge o di regolamento (artt. 19, comma 3, del Codice);

CONSIDERATO che la disciplina statale di settore prevede che «Tutte le deliberazioni del comune e della provincia sono pubblicate mediante pubblicazione all’albo pretorio, nella sede dell’ente, per quindici giorni consecutivi, salvo specifiche disposizioni di legge» (art. 124, comma 1, del d. lgs. 18/8/2000 n. 267);

CONSIDERATO che, al riguardo, il Comune di XX ha richiamato, quale idoneo presupposto normativo per la diffusione dei dati personali, le previsioni contenute nel documento recante «XX», approvato con deliberazione di Giunta comunale n. XX del XX;

VISTO che la predetta deliberazione della Giunta comunale n. XX prevede espressamente che il citato documento è un mero «atto di indirizzo», ai sensi dell’art. 49 del d. lgs. n. 267/2000, con la conseguenza che – contrariamente a quanto affermato nelle note di riscontro del Comune – l’atto denominato «XX» non ha quindi natura regolamentare;

CONSIDERATO che, in ogni caso, il citato documento «XX», approvato con deliberazione di Giunta comunale n. XX prevede, in relazione alle «determinazioni dirigenziali», che «La Segreteria generale procede alla pubblicazione della determinazione all’albo pretorio e nel sito istituzionale» e che «La pubblicazione all’albo pretorio rimane per 15 giorni» (cfr par. n. 5); 

RICHIAMATE le indicazioni fornite dal Garante nella parte seconda, par. 3.a, del Provvedimento n. 243 del 15 maggio 2014, recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati» (in G.U. 12 giugno 2014, n. 134 suppl. ord. n. 43 e in www.gpdp.it, doc. web n. 3134436), in cui si evidenzia che:

- «Una volta trascorso il periodo temporale previsto dalle singole discipline per la pubblicazione degli atti e documenti nell’albo pretorio, gli enti locali non possono continuare a diffondere i dati personali in essi contenuti. In caso contrario, si determinerebbe, per il periodo eccedente la durata prevista dalla normativa di riferimento, una diffusione dei dati personali illecita perché non supportata da idonei presupposti normativi (art. 19, comma 3, del Codice)»;

- «Pertanto […] se gli enti locali vogliono continuare a mantenere nel proprio sito web istituzionale gli atti e i documenti pubblicati, ad esempio nelle sezioni dedicate agli archivi degli atti e/o della normativa dell’ente, devono apportare gli opportuni accorgimenti per la tutela dei dati personali. In tali casi, quindi, è necessario provvedere a oscurare nella documentazione pubblicata i dati e le informazioni idonei a identificare, anche in maniera indiretta, i soggetti interessati»;

PRESO ATTO che il Comune di XX ha pubblicato sul sito web istituzionale, nell’area presente all’url http://..., denominata «Atti amministrativi» – accessibile sia dall’area dedicata all’Albo Pretorio, alla sezione denominata «XX», che dall’area «Amministrazione trasparente», alla sezione «XX» – la Determinazione, oggetto della segnalazione, del Settore Ufficio del Segretario Generale n. XX del XX, contenente dati personali; 

PRESO ATTO che la predetta pubblicazione risulta ancora online, da quasi tre anni, e, quindi, un periodo superiore ai quindici giorni indicati dalla normativa di settore (art. 124, comma 1, del d. lgs. n. 267/2000. Cfr. anche par. 5 del documento recante «XX», approvato con del. G.C. n. XX);

RILEVATA, pertanto, l’illiceità del trattamento di dati personali effettuato dal Comune di XX, avvenuto in maniera non conforme alla disciplina rilevante in materia di protezione dei dati personali, in quanto sono stati diffusi dati personali sul web in assenza di un idoneo presupposto normativo per il periodo superiore ai 15 giorni di pubblicazione previsti dalla normativa di settore (art. 19, comma 3, del Codice); 

CONSIDERATO che il Garante, ai sensi degli artt. 143, comma 1, lett. c), e 154, comma 1, lett. d), del Codice, ha il compito di «vietare anche d’ufficio, in tutto o in parte, il trattamento illecito o non corretto dei dati o disporne il blocco», nonché «di adottare gli altri provvedimenti previsti dalla disciplina applicabile al trattamento di dati personali»;

RITENUTO necessario, in ragione dell’illiceità del trattamento effettuato, vietare al Comune di XX, ai sensi dei citati artt. 143, comma 1, lett. c), e 154, comma 1, lett. d), del Codice, l’ulteriore diffusione – sia attraverso la pubblicazione nell’area dedicata all’Albo Pretorio online, che in qualsiasi altra parte del sito web istituzionale – dei dati personali contenuti nella Determinazione del Settore Ufficio del Segretario Generale n. XX del XX avente a oggetto «XX» (url http://...);

CONSIDERATO, inoltre, che il Garante, ai sensi degli artt. 143, comma 1, lett. b), e 154, comma 1, lett. c), del Codice, ha il compito di prescrivere, anche d’ufficio, «le misure necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti»;

RITENUTO, pertanto, necessario prescrivere per il futuro al Comune di XX di adottare gli opportuni accorgimenti affinché le modalità di pubblicazione delle deliberazioni contenenti dati personali sul sito web istituzionale e, in particolare, sull’albo pretorio online rispettino le indicazioni – relative al mantenimento della diffusione dei dati in Internet per il tempo previsto dalla disciplina di settore – fornite dal Garante nella parte seconda, par. 3.a, del citato Provvedimento n. 243 del 15 maggio 2014, recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati»;

RITENUTO di valutare, con separato procedimento, gli estremi per contestare al Comune di XX la sanzione amministrativa prevista dagli artt. 162, comma 2-bis, e 167, comma 2, del Codice, in relazione all’avvenuta diffusione di dati personali oltre il periodo di quindi giorni previsto dalla normativa statale e dagli indirizzi comunali; 

TENUTO CONTO che, ai sensi dell’art. 170 del Codice, chiunque essendovi tenuto non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni e che ai sensi dell’art. 162, comma 2-ter, del Codice, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila a centottantamila euro;

VISTA la documentazione in atti;

VISTE le osservazioni dell’Ufficio, formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

Relatore la prof.ssa Licia Califano;

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità del trattamento dei dati effettuato dal Comune di XX nei termini indicati in premessa:

1) vieta, ai sensi dei citati artt. 143, comma 1, lett. c), e 154, comma 1, lett. d), del Codice, al Comune di XX l’ulteriore diffusione – sia attraverso la pubblicazione nell’area dedicata all’Albo Pretorio online, che in qualsiasi altra parte del sito web istituzionale – dei dati personali contenuti nella Determinazione del Settore Ufficio del Segretario Generale n. XX del XX avente a oggetto «XX » (url http://...);

2) prescrive per il futuro, ai sensi degli artt. 143, comma 1, lett. b), e 154, comma 1, lett. c), del Codice, al Comune di XX di adottare gli opportuni accorgimenti affinché le modalità di pubblicazione delle deliberazioni contenenti dati personali sul sito web istituzionale e, in particolare, sull’albo pretorio online rispettino le indicazioni – relative al mantenimento della diffusione dei dati in Internet per il tempo previsto dalla disciplina di settore – fornite dal Garante nella parte seconda, par. 3.a, del citato Provvedimento n. 243 del 15 maggio 2014, recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati»;

3) richiede al Comune di XX, ai sensi dell’art. 157 del Codice, di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto previsto nei precedenti punti 1 e 2 del presente provvedimento e di fornire comunque riscontro entro trenta giorni dalla ricezione dello stesso. Si ricorda che il mancato riscontro alla richiesta ex art. 157 è punito con la sanzione amministrativa di cui all’art. 164 del Codice.

Ai sensi degli artt. 152 del Codice e 10 del d. lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 16 maggio 2018

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia