g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Comune di Tivoli - 7 novembre 2019 [9269824]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9269824]

Ordinanza ingiunzione nei confronti di Comune di Tivoli - 7 novembre 2019

Registro dei provvedimenti
n. 209 del 7 novembre 2019

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito RGPD);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali” (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”).

RILEVATO che il sig. XX ha lamentato la diffusione online di dati e informazioni personali, riguardanti anche la notizia della pendenza di un procedimento penale nei suoi confronti (poi archiviato), contenuti nella deliberazione della Giunta Comunale n. XX del XX, avente a oggetto «XX», pubblicata sull’albo pretorio del sito web istituzionale del Comune di Tivoli;

CONSIDERATO che dalla istruttoria preliminare effettuata dall’Ufficio in data XX, è risultato che la predetta deliberazione di Giunta Comunale era visibile e liberamente scaricabile dall’albo pretorio online del sito web istituzionale del predetto Comune, nonché digitando l’url https://...;

RILEVATO che il Segretario Generale del predetto Comune ha rappresentato, fra l’altro, che:

- «Il Comune di Tivoli, non appena ricevuta la […] richiesta di informazioni, ha immediatamente coinvolto il Responsabile della protezione dei dati nominato dallo scrivente Comune, come previsto dagli artt. 37 e 38 del Regolamento UE 2016/679, con cui ha analizzato la violazione emersa e pianificato delle azioni concrete per garantire l’osservanza della normativa in materia di protezione dei dati personali con riferimento specifico alla violazione […] segnalata e più in generale per evitare il ripetersi di tali anomalie»;

- «Il Segretario Generale ha contestato immediatamente […] il malfunzionamento del programma Albo Pretorio online alla Ditta gestore del programma»;

- «Il Comune di Tivoli ha già provveduto, al momento della trasmissione della presente nota di riscontro, a cancellare tramite oscuramento, qualsiasi traccia dei dati ed informazioni personali del Sig. XX, divulgati in violazione della normativa in materia»;

RITENUTO che ai sensi del RGPD, divenuto applicabile dal 25/5/2018, il trattamento di dati personali effettuato da soggetti pubblici (come l’ente comunale) è lecito solo se necessario «per adempiere un obbligo legale al quale è soggetto il titolare del trattamento» oppure «per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento» (art. 6, par. 1, lett. c ed e);

CONSIDERATO inoltre che «Gli Stati membri possono mantenere […] disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]», con la conseguenza che al caso di specie risulta applicabile la disposizione contenuta nell’art. 19, comma 3, del Codice, oggi abrogato ma vigente all’epoca dei fatti e peraltro riconfermata nei suoi contenuti dall’art. 2-ter del Codice novellato dal d.lgs. n. 101/2018, laddove prevedeva che l’operazione di diffusione di dati personali (come la pubblicazione su Internet), da parte di soggetti pubblici, è ammessa solo quando prevista da una norma di legge o di regolamento;

RITENUTO che la normativa statale di settore applicabile alle affissioni sull’albo pretorio comunale prevede che «Tutte le deliberazioni del comune e della provincia sono pubblicate mediante pubblicazione all’albo pretorio, nella sede dell’ente, per quindici giorni consecutivi, salvo specifiche disposizioni di legge» (art. 124, comma 1, del d. lgs. n. 267 del 18/8/2000);

RILEVATO che il Garante nel provvedimento n. 243 del 15 maggio 2014 (doc. web n. 3134436) recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati» ha peraltro evidenziato che, anche in presenza di un obbligo di pubblicazione, i soggetti chiamati a darvi attuazione non possono comunque diffondere i dati personali eccedenti o non pertinenti (cfr. parte seconda parr. 1 e 3.a.). Nel medesimo provvedimento è precisato che «fin dalla fase di redazione degli atti e dei documenti oggetto di pubblicazione, nel rispetto del principio di adeguata motivazione, non dovrebbero essere inseriti dati personali “eccedenti”, “non pertinenti”, “non indispensabili” (e, tantomeno, “vietati”). In caso contrario, occorre provvedere, comunque, al relativo oscuramento» (cfr. parte seconda par. 1). È, inoltre, previsto che «una volta trascorso il periodo di pubblicazione previsto dalle singole discipline di riferimento [es.: art. 124 del d. lgs. n. 267/2000] se gli enti locali vogliono continuare a mantenere nel proprio sito web istituzionale gli atti e i documenti pubblicati, ad esempio nelle sezioni dedicate agli archivi degli atti e/o della normativa dell’ente, devono apportare gli opportuni accorgimenti per la tutela dei dati personali. In tali casi, quindi, è necessario provvedere a oscurare nella documentazione pubblicata i dati e le informazioni idonei a identificare, anche in maniera indiretta, i soggetti interessati» (ivi, par. 3.a);

CONSIDERATO che il titolare del trattamento è comunque tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di «liceità, correttezza e trasparenza» nonché di «minimizzazione», in base ai quali i dati personali devono essere «trattati in modo lecito, corretto e trasparente nei confronti dell'interessato» e devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. a e c, del RGPD);

RILEVATO che dalle verifiche compiute sulla base degli elementi acquisiti, anche attraverso la documentazione inviata dal Comune, e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio ha accertato che il Comune di Tivoli ha pubblicato sull’albo pretorio online la deliberazione della Giunta Comunale n. XX del XX, contenente dati personali non necessari, quali l’esistenza di un procedimento penale (peraltro archiviato), a carico del segnalante dipendente comunale che si è protratta sul sito web istituzionale del Comune di Tivoli almeno fino alla verifica effettuata dall’Ufficio in data XX (ossia successivamente alla data del 25/5/2018 in cui è divenuto applicabile il RGPD), per un periodo di tempo, quindi, superiore ai quindici giorni previsti dalla normativa di settore (nota prot. n. XX del XX);

CONSIDERATO che queste condotte configurano una violazione delle norme a tutela dei dati personali e, specificamente:

1) mancato rispetto dei principi di “liceità” e “minimizzazione” del trattamento, in violazione dell’art. 5, par. 1, lett. a) e c), del RGPD;

2) assenza di un idoneo presupposto normativo, per il periodo eccedente i tempi di pubblicazione previsti dall’art. 124, comma 1, del d. lgs. 267/2000, in violazione dell’art. 19, comma 3, del Codice (vigente all’epoca dei fatti) e dell’art. 6, par. 1, lett. c) ed e); par. 2 e par. 3, lett. b), del RGPD;

RILEVATO che è stato notificato al Comune di Tivoli, ex art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, paragrafo 2, del RGPD ed è stato formalmente invitato il predetto Comune a inviare al Garante scritti difensivi o documenti ed, eventualmente, chiedere di essere sentito da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981);

CONSIDERATO, in via preliminare, che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”;

RITENUTO che le memorie difensive e l’audizione del sindaco non hanno prodotto elementi tali da escludere l’illiceità del trattamento e che l’asserito verificarsi di un problema tecnico, nello specifico un mancato aggiornamento di manutenzione dell’Albo Pretorio online, non rileva ai fini dell’esclusione della responsabilità;

CONSIDERATO che gli effetti della condotta illecita sono stati rimossi attraverso l’annullamento della prima pubblicazione e la contestuale nuova pubblicazione dell’atto privo dei dati personali e del riferimento alla pendenza del procedimento penale e che non ricorrono, pertanto, i presupposti per l’adozione di provvedimenti, di tipo prescrittivo o inibitorio, di cui all’art. 58, par. 2 del RGPD;

RILEVATO che seppure la violazione è iniziata a giugno 2017, al fine della determinazione della norma applicabile, sotto il profilo temporale, deve essere richiamato il principio di legalità di cui all’art. 1, comma 2, della legge n. 689 del 24/11/1981 che, nel prevedere come «Le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in esse considerati», asserisce la ricorrenza del principio del tempus regit actum. L’applicazione di tali principi determina l’obbligo di prendere in considerazione le disposizioni vigenti al momento della commessa violazione. Nel caso in esame – considerando la natura permanente dell’illecito contestato – deve essere individuato nel momento di cessazione della condotta illecita, che dagli atti dell’istruttoria risulta essersi protratta almeno fino alla verifica effettuata dall’Ufficio sul sito web istituzionale in data XX, ossia in epoca successiva al 25/5/2018 in cui il RGPD è divenuto applicabile;

PRESO ATTO, pertanto, che la violazione degli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e); par. 2 e par. 3, lett. b), del RGPD, 124, comma 1, del d. lgs. 267/2000, causata dalla condotta posta in essere dal Comune di Tivoli, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, lett. a) del RGPD;

CONSIDERATO che il Garante, ai sensi ai sensi dell’art. 58, par. 2, lett. i) del RGPD, ha il potere correttivo di «infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso»;

TENUTO CONTO che la predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del RGPD;

CONSIDERATO, in relazione ai predetti elementi, che la condotta illecita di diffusione di dati personali ha riguardato dati giudiziari di un solo interessato, relativi ad un procedimento penale già archiviato e si è protratta per oltre un anno; che la gravità di questo comportamento non può essere bilanciata dalle giustificazioni fornite dal titolare del trattamento in ordine alla circostanza che la violazione è stata causata da un errore di valutazione da parte del responsabile del procedimento e da un errore informatico commesso dalla Società incaricata, pur dovendosi positivamente valutare l’avvenuta immediata rimozione dei dati dal sito web, e la collaborazione offerta a questo ufficio nel corso dell’istruttoria, il comportamento non doloso della violazione, le diverse misure tecniche e organizzative messe in atto ai sensi degli art. 25-32 del RGPD, l’assenza di eventuali precedenti violazioni del RGPD pertinenti commesse dal Comune di Tivoli;

RITENUTO, in ragione dei suddetti elementi, valutati nel loro complesso, di dover determinare ai sensi dell’art. 83, par. 2, del RGPD – tenendo anche conto della fase di prima applicazione delle disposizioni sanzionatorie ai sensi dell’art. 22, comma 13, del d. lgs. n. 101 del 10/08/2018 – l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, lett. a) del RGPD, nella misura di euro 6.000,00 (seimila) per la violazione degli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e); par. 2 e par. 3, lett. b), del RGPD, 124, comma 1, del d. lgs. 267/2000, quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo RGPD;

RITENUTO, in considerazione delle modalità della condotta come sopra descritta, della tipologia di dati personali oggetto del trattamento, nonché del lasso di tempo durante il quale si è protratto il trattamento in questione, che, ai sensi dell’art. 166, comma 7, del Codice, e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito web del Garante;

RITENUTO, altresì, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

RELATORE la dott.ssa Augusta Iannini;

TUTTO CIÒ PREMESSO

rileva l’illiceità del trattamento dei dati personali effettuato dal Comune di Tivoli nei termini di cui in motivazione.

INGIUNGE

al medesimo Comune di pagare la somma di euro 6.000,00 (seimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.

Ai sensi dell’art. 166, comma 8, del Codice, avvisa il predetto Comune che «Entro il termine di cui all’articolo 10, comma 3, del decreto legislativo n. 150 del 2011 previsto per la proposizione del ricorso, il trasgressore e gli obbligati in solido possono definire la controversia adeguandosi alle prescrizioni del Garante, ove impartite, e mediante il pagamento di un importo pari alla metà della sanzione irrogata».

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, comunica che avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all'estero, a pena di inammissibilità.

Roma, 7 novembre 2019

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia