[doc. web n. 9163335]

Ordinanza di ingiunzione nei confronti della Regione Puglia - 29 maggio 2019

Registro dei provvedimenti
n. 124 del 29 maggio 2019

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO l’art. 1, comma 2, della legge 24 novembre 1981, n. 689, ai sensi del quale le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e per i tempi in esse considerati;

VISTO il D.lgs. 196/2003 recante il “Codice in materia di protezione dei dati personali” (d’ora innanzi “Codice”);

RILEVATO che il Dipartimento Libertà Pubbliche e Sanità di questa Autorità ha esaminato una segnalazione presentata in data 26 novembre 2015 nella quale il segnalante lamentava un trattamento illecito di dati personali in ragione della pubblicazione nel Bollettino Ufficiale della Regione Puglia, con sede legale in Bari, Lungomare Nazario Sauro, 22 C.F./P.I. 80017210727 (d’ora innanzi la “Regione”), sul portale web di quest’ultima http://www.sistemapuglia.it , dell'elenco dei nominativi – tra i quali anche quello del segnalante - di partecipanti a una selezione indetta anni prima dalla medesima Regione, con bando denominato “Ritorno al futuro 2013”. In particolare, unitamente a tali nominativi erano indicati i relativi codici fiscali attraverso i quali era possibile visionare in chiaro il CUD 2011 e 2012 e, per tale motivo, il segnalante chiedeva al Garante di intervenire affinché la Regione Puglia oscurasse tali dati reddituali violativi del diritto alla riservatezza degli interessati;

VISTO l’accertamento preliminare eseguito in data 29 settembre 2016 dal Dipartimento Libertà Pubbliche e Sanità di questa Autorità, con il quale è stato rilevato che “(…) sul portale http:/www.sistemapuglia.it, è attivo il collegamento situato in homepage intitolato “Ritorno al Futuro 2013” relativo al progetto finanziato dalla Regione Puglia a sostegno dei giovani laureati disoccupati e inoccupati (…) (e) nell’area intitolata “Iter in corso” è possibile visualizzare e scaricare diverse graduatorie, contenenti a vario titolo dati e informazioni personali di circa 5100 candidati (…) “;

VISTA la nota prot. n. 28569/102498 del 29 settembre 2016 del Dipartimento Libertà Pubbliche e Sanità, con la quale la regione Puglia è stata invitata a fornire ogni informazione utile agli accertamenti e alla valutazione del caso;

PRESO ATTO del riscontro datato AOO/175/1030 del 4 novembre 2016 con cui la amministrazione ha fatto presente che "(…) in merito alla pubblicazione delle graduatorie relative All'avviso Pubblico n. 1/2013 "Ritorno al futuro", la scrivente Amministrazione ha (…) ritenuto di pubblicare in chiaro il nome dei candidati (unico dato identificativo delle persone fisiche presente negli elenchi) ritenendo il limite dei 30.000 euro quale requisito di ammissibilità per la partecipazione all'Avviso, non indicativo di una situazione di disagio economico-sociale degli interessati (art. 26, comma 4, del d.lgs. n. 33 del 14/3/2013 (…)", e che con riferimento "(…) all'eccezione in ordine all'accesso da piattaforma al Cud, non può omettersi di considerare che il medesimo CUD generato dà atto esclusivamente dei dati rivenienti dalla liquidazione delle borse di studio in parola, non aggiungendo alcunché in ordine alle posizioni reddituali dei giovani laureati che, a mente dell'avviso pubblico, dovevano essere disoccupati per accedere alla procedura di evidenza pubblica in parola(…)". In chiusura ha, infine, rappresentato che intendeva " (…) procedere alla rimozione di tutte le graduatorie dai Bollettini Ufficiali e dai siti web, essendo ormai state evase tutte le azioni relative alla gestione dell’Avviso Pubblico (in questione) (…)", inibendo, inoltre, "(…) la possibilità di scaricare autonomamente i modelli di Certificazione Unica (CU) dall'apposita sezione del sito web, garantendo agli interessati che ne avessero bisogno, la possibilità di rivolgersi direttamente agli uffici regionali (…)";

VISTA la nota prot. n. 12650/102498 del 3 aprile 2017 finalizzata a un supplemento di istruttoria da parte del Dipartimento Libertà Pubbliche e Sanità nella quale si richiedevano alla Regione ulteriori elementi informativi, da corrispondere entro e non oltre il 28 aprile 2018, relativi al rapporto intercorrente tra quest’ultima e “Innovapuglia” S.p.a., in considerazione della collaborazione prestata all’amministrazione regionale nel Progetto “Ritorno al futuro 2013”;

PRESO ATTO della nota di risposta protocollo AOO 175/1283 del 4 ottobre 2017 nella quale la Regione ha chiarito la sua posizione di titolare del trattamento e i rapporti intercorrenti con la società sopramenzionata;

VISTA la nota prot. n. 15870/102498 del 24 maggio 2018 con la quale il Dipartimento Libertà Pubbliche e Sanità, alla luce dell'istruttoria svolta, non avendo ravvisato i presupposti normativi che legittimassero la Regione Puglia alla diffusione sul portale web sopra menzionato dei dati personali descritti (i dati personali dei soggetti non ammessi, esclusi o rinunciatari, dal beneficio economico, dati personali contenuti nella Certificazione unica), ha definito il procedimento accertando la violazione dell'articolo 19, comma 3, del Codice. Ciò, in particolare, per il fatto che “la Regione Puglia, titolare del trattamento dei dati personali pubblicati sul portale http://www.sistemapuglia.it, ha diffuso sul predetto portale, oltre ai dati dei soggetti beneficiari di contributi economici superiori a €1000, anche quelli di soggetti non ammessi, esclusi o rinunciatari, dal predetto beneficio la cui pubblicazione non è prevista dalla normativa in materia di trasparenza (art. 26, comma 2, del d.lgs. n. 33/2013) citata nella nota di riscontro della Regione. Inoltre la medesima Regione ha consentito la possibilità di generare, nell'area dedicata alla “Procedura CUD”, la certificazione unica-CU 2015 e 2016, con tutte le informazioni e i dati personali in essa contenuti (nominativo, data e luogo di nascita, codice fiscale, dati fiscali, ecc.), immettendo nell'apposita maschera di ricerca semplicemente il codice fiscale del soggetto interessato. La certificazione unica e un documento rilasciato dal datore di lavoro a fini fiscali, che  - contrariamente a quanto affermato dalla Regione nella nota di riscontro - non contiene solo “i dati rivenienti dalla liquidazione delle borse di studio in parola”, ma anche altre informazioni personali relative ad esempio i dati tributari (es: ritenute IRPEF, addizionale regionale e comunale, imposta lorda, detrazioni per lavoro dipendente, pensioni o rediti assimilati, totale delle detrazioni (…)". Tuttavia, pur a fronte della condotta illecita posta in essere, il Dipartimento sopra citato ha accertato che non ci fossero gli estremi per promuovere l'adozione di un provvedimento prescrittivo o inibitorio del Collegio, ai sensi dell'art. 11, comma 1, lettera d e 13, comma 4, del regolamento interno n. 1/2007 del 14 dicembre 2007 (doc. web n. 1477480 rintracciabile in www.gpdp.it ), in considerazione del fatto che tale condotta aveva, allo stato, esaurito i suoi effetti, in quanto i dati personali in questione  non risultavano più accessibili sul sito web istituzionale agli url indicati nella richiesta di informazioni, riservandosi di verificare, comunque, con autonomo procedimento, la sussistenza dei presupposti per contestare la violazione amministrativa prevista dall’art. 162, comma 2 bis, del Codice, per la violazione dell’art. 19, comma 3, del Codice;

VISTA la nota prot. n. 16075/102498 del 25 maggio 2018 con cui il citato Dipartimento ha trasmesso gli atti al Dipartimento Attività Ispettive, affinché valutasse i presupposti per l'applicazione della sanzione amministrativa di cui all'articolo 162, comma 2-bis, del Codice in relazione all’avvenuta diffusione dei dati personali sopra indicati, in assenza dei presupposti normativi legittimanti e, quindi, nell’inosservanza dell'art. 19, comma 3, del Codice;

VISTO l’atto prot. n. 18924/102498 del 22 giugno 2018 con cui il Garante ha contestato alla Regione Puglia, quale titolare del trattamento, la violazione amministrativa prevista dall’art. 162, comma 2-bis, del Codice, che punisce la violazione delle disposizioni indicate nell’art. 167 e, in tal caso, la violazione dell’art. 19, comma 3,  per aver effettuato un trattamento illecito di dati personali consistente, nello specifico, nella diffusione di dati personali, attraverso il proprio portale web, relativi a partecipanti all'avviso Pubblico n. 1/2013 "Ritorno al futuro" (dati personali dei soggetti non ammessi, esclusi o rinunciatari, dal beneficio economico, dati personali contenuti nella Certificazione unica);

RILEVATO che dal rapporto amministrativo prot. n. 15931/102498 del 13 maggio 2019, predisposto dall’Ufficio del Garante ai sensi dell’art. 17 della legge 24 novembre 1981 n. 689, non risulta effettuato il pagamento in misura ridotta;

VISTO  lo scritto difensivo prot. n. AOO/175/1544 datato 2 agosto 2018, formulato ai sensi dell’art. 18 della legge n.689/1981 con riferimento all’atto di contestazione sopra citato prot. n. 18924/102498 del 22 giugno 2018, con il quale la Regione ha richiesto sia l'audizione innanzi al Garante sia l’archiviazione del procedimento sanzionatorio, avviato nei suoi confronti, evidenziando che “con riferimento alla diffusione sul portale istituzionale della Regione anche dei dati personali dei soggetti non ammessi, esclusi o rinunciatari (…) (tale diffusione) costituiva, in realtà, per l'Amministrazione, un obbligo in base a quanto previsto dall'Avviso pubblico cofinanziato dal PO Puglia FSE 2007/2013 e che dunque rimanda necessariamente alla specifica disciplina dettata per il Programma operativo (PO) richiamato. Sul punto, infatti, il Manuale delle procedure dell'Autorità di Gestione, contenuto nel Sistema di Gestione e Controllo (Si.Ge.Co.) del PO Puglia FSE 2007/2013, la cui approvazione è prevista dagli articoli 58 e ss. del Regolamento (UE)  n. 1083/2006 (…) prevede espressi obblighi di pubblicazione che si estendono ben oltre la mera pubblicazione dei dati personali dei vincitori, ma  interessano anche i soggetti non vincitori. Difatti, il richiamato Si.Ge.Co., approvato dalla Commissione europea che ha espresso parere di conformità (…), in relazione alla fattispecie in parola, espressamente prevede (…) (che in ordine alla elaborazione e pubblicazione della graduatoria e presentazione degli esiti della selezione) (…)  il processo di valutazione si conclude con la formazione della graduatoria, e sulla base dei punteggi assegnati nella valutazione di merito, il Dirigente del Servizio, con propria determinazione, approva la graduatoria indicando: i progetti idonei al finanziamento, fino alla concorrenza delle risorse disponibili; i progetti idonei, ma non finanziabili; i progetti non idonei. L'amministrazione provvede alla pubblicazione degli esiti della valutazione sul Bollettino Ufficiale della Regione Puglia e sui siti istituzionali: www.regione.puglia.it e http://formazione.regione.puglia.it. La data di pubblicazione delle graduatorie costituisce termine iniziale per la presentazione di ricorsi amministrativi (…)". E ancora "(…) Il manuale Si.Ge.Co. costituisce, per i progetti finanziati a valere sui fondi europei, lex specialis per cui la struttura amministrativa regionale competente a gestire i singoli bandi e avvisi pubblici non avrebbe potuto discostarsene senza incorrere in responsabilità, tanto più che la pubblicazione in tali casi costituisce l'unica modalità per rendere noti agli interessati gli esiti della partecipazione e per consentire loro di presentare ricorsi amministrativi ed esercitare la tutela giurisdizionale nelle sedi preposte. Tanto rilevato si ritiene che la disciplina di cui al Si.Ge.Co. del PO Puglia FSE 2007/2013 (la cui approvazione lo si ribadisce è prevista dagli articoli 58 e ss. Regolamento (UE) n. 1083/2006) costituisce la base giuridica che ai sensi dell'art. 19 comma 3, del (…) D.lgs. 196/2003, consente la comunicazione e la diffusione di dati personali da parte di un soggetto pubblico".

VISTO il verbale prot. n. 14443/102498 del 2 maggio 2019 di audizione delle parti, nel corso della quale la Regione, richiamando integralmente la memoria difensiva già presentata ha ribadito che "la base giuridica per la pubblicazione e diffusione dei dati oggetto della censura, è costituita, oltre che dal d.lgs. 33/2013, dal Regolamento (UE) n. 1083/2006 recante la "Disciplina generale sul fondo europeo di sviluppo regionale, sul fondo sociale europeo e sul fondo di coesione"(…)",  nonché " dal Sistema di gestione e controllo Si.Ge.Co. (…) (che) "(…) adottato con deliberazione della Giunta regionale, pubblicato sul Bollettino ufficiale della Regione (…)" costituisce lex specialis ai fini dell'erogazione dei benefici economici (…)". La Regione ha, poi, tenuto ad evidenziare che "(…) la verifica sul rispetto della disciplina contenuta nel Si.Ge.Co. è demandata alla Corte dei conti Europea, alle Direzioni generali della Commissione, allo Stato membro e alla Autorità di audit regionale. Tali Autorità potrebbero eccepire il mancato rispetto degli obblighi di pubblicità previsti dal Si.Ge.Co e quindi procedere alla decertificazione della spesa. A tal fine è necessario rendere accessibile la pubblicazione per i cinque anni successivi alla chiusura del fondo (…)".  La Regione ha anche aggiunto che " (…) le ragioni della procedura prevista dal Si.Ge.Co. che obbliga il dirigente a pubblicare i nominativi dei beneficiari e dei potenziali beneficiari sono sostanzialmente due: 1) dare piena attuazione all'art. 69 del Regolamento (UE) 1083 rubricato "Informazione e pubblicità" che prevede che le Autorità di gestione forniscano informazioni, tra l'altro, sulle operazioni finanziate e le pubblicizzano al fine di garantire la trasparenza dell'intervento dei fondi; 2) la possibilità di prevedere ulteriori finanziamenti con conseguente scorrimento della graduatoria la cui validità era estesa fino al 31 dicembre 2015 (…)". Infine la Regione, alla luce di quanto sopra rappresentato ha evidenziato l'assoluta buona fede con la quale ha agito " (…) nell' adempimento di un dovere giuridico da parte del dirigente che non avrebbe potuto discostarsi da quanto previsto dal Si.Ge.Co. se non incorrendo in gravi responsabilità anche di natura erariale (…)".

RITENUTO che le argomentazioni addotte, rivolte a dimostrare l’infondatezza di quanto accertato dall’Autorità e, successivamente, oggetto di contestazione, non risultano idonee a determinare l’archiviazione del procedimento sanzionatorio.

Il Sistema di Controllo e Gestione, Si.Ge.Co., contenente il sopra citato Manuale delle procedure il quale “(…) prevede espressi obblighi di pubblicazione che si estendono ben oltre la mera pubblicazione dei dati personali dei vincitori, (interessando) anche i soggetti non vincitori (…)", è adottato, dagli Stati membri – in tal caso, dalla Autorità di gestione (Dirigente del servizio di attuazione del programma) dell’amministrazione regionale in riferimento al PO Puglia FSE 2007/2013 - a norma degli artt. da 58 a 62 del Regolamento (UE) 1083/2013. Tali ultime disposizioni prevedono unicamente i principi generali ai quali gli Stati membri e, in particolare, le Regioni (per i Piani Operativi regionali, come in tal caso), devono attenersi nell'istituire i Sistemi di Gestione e Controllo, nonché le indicazioni sia sulle Autorità (di gestione, di certificazione e di audit) da designare sia sulle rispettive funzioni, senza specificare, nel dettaglio, alcuno degli obblighi sopra menzionati. Codesta Regione, pertanto, nella formulare le disposizioni contenute nel  Si.Ge.Co. e nel Manuale delle procedure (adottati con Delibera della giunta Regionale), avrebbe dovuto attenersi alle disposizioni della normativa nazionale in materia di trasparenza, nonché a quelle in materia di protezione dei dati personali e, in particolare, con riferimento a tale circostanza, al richiamato art. 26, comma 4, del D.lgs. 33/2013 e, in relazione ad esso, all'art. 19, comma 3, del Codice, evitando in tal modo di porre in essere l’accertata condotta illecita consistente nella diffusione, attraverso il proprio portale web, di dati personali dei soggetti partecipanti all'avviso Pubblico n. 1/2013 "Ritorno al futuro" non ammessi, esclusi o rinunciatari, nonché di dati contenuti nelle relative Certificazione Unica.

Quanto sopra, vale anche in relazione al richiamato art. 69 del Regolamento (UE) 1083/2013, rubricato "Informazione e pubblicità", il quale si limita a stabilire che lo Stato membro (in tal caso, sempre l’amministrazione regionale in riferimento al Piano Operativo regionale FSE 2007/2013) e l'Autorità di gestione “(…) forniscono informazioni circa i programmi cofinanziati e le operazioni e lei pubblicizzano. Le informazioni sono destinate ai cittadini europei e ai beneficiari allo scopo di valorizzare il ruolo della Comunità e garantire la trasparenza dell’intervento dei Fondi. (…) L’autorità di gestione del programma operativo è responsabile della pubblicità conformemente alle modalità di applicazione del presente regolamento (…)”. Anche in tale  disposizione, quindi, non risulta alcuna puntuale indicazione circa i contenuti delle informazioni o le modalità di pubblicizzazione dei programmi e delle operazioni, da specificare, pertanto ad opera dello Stato membro o della Regione in relazione al Piano operativo di riferimento.

In ultimo, si evidenzia che proprio in ragione dell'adozione e dell’articolazione del Sistema di Gestione e Controllo, Si.Ge.Co., con la specificazione degli obblighi di pubblicazione ai quali attenersi, ad opera della Regione, non può accogliersi il riferimento all’invocata buona fede per aver la Regione, come dalla stessa prospettato, agito " (…) nell' adempimento di un dovere giuridico da parte del dirigente che non avrebbe potuto discostarsi da quanto previsto dal Si.Ge.Co. se non in correndo in gravi responsabilità anche di natura erariale (…)". Infatti, secondo consolidata giurisprudenza (Cass. Civ. sez. I del 21 febbraio 1995 n. 1873; Cass. Civ. sez II del 13 marzo 2006, n. 5426), per l’applicazione dell’art. 3 della legge n. 689/1981 è necessario che la buona fede o, nei termini di cui all’art. 3 della legge 689/1981, l’errore, affinché siano scusabili, si fondino su un elemento positivo, estraneo all’agente e idoneo a determinare in lui la convinzione della liceità del suo comportamento. Tale elemento positivo deve risultare non ovviabile dall’interessato con l’uso dell’ordinaria diligenza. La Regione, in qualità di titolare del trattamento e in relazione allo svolgimento delle proprie funzioni istituzionali era tenuta, diligentemente, a conoscere le norme applicabili nella materia di cui si tratta, ivi compresa la normativa in materia di dati personali, nonché la relativa interpretazione e quindi, principalmente, a osservare, in fase di predisposizione del Si.Ge.Co., gli specifici limiti e condizioni stabiliti nel Decreto legislativo n. 33 del 2013.

VISTO l’art. 162, comma 2-bis, del Codice che punisce la violazione delle disposizioni indicate nell’art. 167, tra cui l’art. 19, comma 3, del medesimo Codice con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge 24 novembre 1981 n. 689, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione e della personalità del contravventore;

RITENUTO, pertanto, in ragione dei suddetti elementi valutati nel loro complesso di dover determinare, ai sensi dell’art. 11 della legge n. 689/1981, l’ammontare della sanzione pecuniaria prevista dall’art. 162, comma 2-bis del Codice, nella misura minima di euro 10.000,00 (diecimila) per la violazione dell’art. 19, comma 3, del medesimo Codice;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

ORDINA

alla Regione Puglia, con sede legale in Bari, Lungomare Nazario Sauro, 22 C.F./P.I. 80017210727 di pagare a titolo di sanzione amministrativa pecuniaria, la somma euro 10.000,00 (diecimila) prevista dall’art. 162, comma 2-bis del Codice, per la violazione dell’art. 19, comma 3, del Codice, per aver effettuato un trattamento illecito di dati personali consistente, nello specifico, nella diffusione di dati personali, attraverso il proprio portale web, relativi a partecipanti all'avviso Pubblico n. 1/2013 "Ritorno al futuro" (dati personali dei soggetti non ammessi, esclusi o rinunciatari, dal beneficio economico, dati personali contenuti nella Certificazione unica);

INGIUNGE

alla medesima di pagare la somma di euro 10.000,00 (diecimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d. lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 29 maggio 2019

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia