Diritti interna

Doveri interna

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Comune di Montevago - 10 giugno 2020 [9437853]

[doc. web n. 9437853]

Ordinanza ingiunzione nei confronti di Comune di Montevago - 10 giugno 2020

Registro dei provvedimenti
n. 100 del 10 giugno 2020

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il dott. Antonello Soro, presidente, la dott.ssa Augusta Iannini, vicepresidente, la prof.ssa Licia Califano e la dott.ssa Giovanna Bianchi Clerici, componenti e il dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida del Garante in materia di trasparenza”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore la prof.ssa Licia Califano;

PREMESSO

1. Introduzione

Questa Autorità ha ricevuto una segnalazione da parte della Sig.ra XX (di seguito “il segnalante”) in ordine all’illegittima diffusione di propri dati personali online da parte del Comune di Montevago.

In particolare, come verificato in base all’accertamento preliminare effettuato dall’Ufficio, è emerso che sul sito web istituzionale del predetto Comune, dall’area dedicata all’albo pretorio online, sezione “XX”, era possibile scaricare, compilando l’apposita maschera di ricerca, l’allegato alla XX avente a oggetto: «XX».

La predetta nota pubblicata online conteneva XX, con indicazione in chiaro del relativo nome e cognome, nonché della circostanza che XX, pertanto, l’amministrazione avrebbe XX.

Il Comune di Montevago ha fornito riscontro alla richiesta d’informazioni dell’Ufficio e con nota del XX ha confermato la rimozione dei dati personali del segnalante dal sito web istituzionale.

2. Normativa applicabile.

Ai sensi del RGPD il trattamento di dati personali effettuati da soggetti pubblici (come il Comune) è lecito solo se il trattamento è necessario «per adempiere un obbligo legale al quale è soggetto il titolare del trattamento» oppure «per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento» (art. 6, par. 1, lett. c ed e).

È inoltre previsto che «Gli Stati membri possono mantenere […] disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]» (art. 6, par. 2, RGPD) con la conseguenza che al caso di specie risulta applicabile la disposizione contenuta nell’art. 19, comma 3, del Codice, vigente alla data dei fatti, laddove sancisce che l’operazione di diffusione di dati personali (come la pubblicazione su Internet), da parte di soggetti pubblici, è ammessa solo quando prevista da una norma di legge o di regolamento.

3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato.

Dalle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX del XX ha accertato che il Comune, diffondendo i dati personali del segnalante – contenuti nell’allegato alla XX avente a oggetto: «XX», pubblicato sul sito web istituzionale – ha effettuato un trattamento di dati personali non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD. Pertanto, con la medesima nota sono state notificate al Comune le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD e invitando il predetto Comune a inviare al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentito da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

4. Memorie difensive e audizione.

Con la nota prot. n. XX del XX il Comune di Montevago ha inviato al Garante i propri scritti difensivi in relazione alle violazioni notificate.

Al riguardo, è opportuno precisare che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, intitolato «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante».

Nello specifico, in relazione ai fatti contestati, il Comune ha evidenziato che «il comune di Montevago, nel corso degli anni, ha provveduto all’informatizzazione di tutti gli uffici comunali per effettuare un passaggio totale al digitale, uniformando tutto il sistema al fine di semplificare l’attività amministrativa e rendere un servizio migliore al cittadino. Tale processo di efficientamento ha richiesto, e richiede ancora, una adeguata formazione del personale che, anche per l’età avanzata non è facilmente portato a recepire le novità informatiche. […] L’amministrazione non può che dolersi di quanto accaduto e […] ha attivato tutte le procedure per evitare il ripetersi di casi analoghi».

Quanto alla condotta tenuta è stato evidenziato che il trattamento ha avuto a oggetto un solo soggetto interessato e non ha avuto a oggetto dati particolari. Inoltre, è evidente il carattere colposo della violazione. L’ente ha rappresentato, inoltre, di avere provveduto subito all’oscuramento della parte del provvedimento oggetto della segnalazione.

In data XX si è, inoltre, svolta presso il Garante l’audizione richiesta dal Comune di Montevago ai sensi dell’art. 166, comma 6, del Codice in occasione della quale il Comune ha rappresentato, a integrazione di quanto già riportato nella documentazione inviata, che «l’Amministrazione Comunale è stata informata dell’estinzione del procedimento del Garante, con riserva di contestare la violazione. Da tale data, pertanto, iniziano a decorrere i termini di cui all’art. 14 della l. 689/1981, oggi ampiamente decorsi, a nulla rilevando ogni altra attività istruttoria, essendo il fatto di contestazione già accaduto nel luglio del XX e, in ogni caso, si ribadisce, dichiarato estinto nel settembre XX».

5. Esito dell’istruttoria relativa alla segnalazione presentata

Nello specifico caso sottoposto all’esame del Garante, oggetto di lamentela da parte del segnalante risulta essere la diffusione di dati personali online da parte del Comune di Montevago contenuti nell’allegato alla XX pubblicata sul sito web istituzionale.

La predetta nota pubblicata online conteneva XX

In relazione a quanto contestato, il Comune ha eccepito – preliminarmente – la tardività della contestazione per decorrenza del termine di novanta giorni previsto dall’art. 14, comma 2, della legge n. 689 del 24/11/1981, in quanto il Comune era stato già destinatario della nota contenente l’«esito dell’istruttoria preliminare» prot. n. XX del XX (data che secondo il Comune corrisponderebbe all’«accertamento»), mentre la contestazione della violazione sarebbe avvenuta con la nota prot. n. XX del XX.

Ciononostante, non è possibile accogliere l’eccezione presentata dal Comune in ordine alla decorrenza del termine di novanta giorni previsto dall’art. 14, comma 2, della l. n. 689/1981, in quanto non applicabile alla fattispecie in esame. Deve, infatti, essere ricordato che in data 19/9/2018 è entrato in vigore il nuovo art. 166 del Codice (come modificato dal d. lgs. n. 101 del 10/8/2018), il quale, al comma 7, proprio in relazione all’adozione del provvedimento sanzionatorio, non prevede più l’applicazione dell’art. 14 della legge 689/1981 in quanto non espressamente richiamato.

Al caso di specie, relativo alla violazione delle disposizioni contenute nel RGPD, si applica invece l’art. 166, comma 5, del Codice (riformato dal d. lgs. n. 101/2018) alla luce del quale, con nota prot. n. XX del XX, si è provveduto ad accertare la condotta tenuta in violazione del RGPD notificando al trasgressore le violazioni effettuate con contestuale avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD; esattamente, quindi, nei modi, forme e termini previsti dalle disposizioni richiamate.

Quanto al merito, in relazione alla condotta tenuta, seppur talune osservazioni del Comune sono meritevoli di considerazione, non è possibile superare del tutto i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, in quanto non risultano sufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro nessuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Al riguardo, infatti, confermando le valutazioni preliminari dell’Ufficio, si rileva l’illiceità del trattamento di dati personali effettuato dal Comune di Montevago, in quanto la diffusione sul sito web istituzionale dei dati personali del segnalante contenuti nell’allegato alla XX avente a oggetto: «XX» pubblicata sul sito web istituzionale è avvenuta in assenza di idonei presupposti normativi, in violazione dell’art. 19, comma 3, del Codice, vigente al momento della condotta illecita (ora riprodotto nel nuovo art. 2-ter, commi 1 e 3 del Codice in vigore dal 19/9/2018), e dell’art. 6, par. 1, lett. c) ed e); par. 2 e par. 3, lett. b), del RGPD.

La violazione delle predette disposizioni rende applicabile, ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, la sanzione amministrativa prevista dall’art. 83, par. 5 del Regolamento medesimo, come richiamato anche dall’art. 166, comma 2, del Codice.

Considerato, comunque, che la condotta ha esaurito i suoi effetti, in quanto il Comune ha provveduto a rimuovere i dati personali del segnalante prima descritti, fermo restando quanto si dirà sull’applicazione della sanzione amministrativa pecuniaria, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del RGPD.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria (artt. 58, par. 2, lett. i; 83 RGPD)

Il Comune di Montevago risulta aver violato l’art. 6, par. 1, lett. c) ed e); par. 2 e par. 3, lett. b), del RGPD nonché dell’art. 19, comma 3, del Codice, vigente al momento della condotta illecita (ora riprodotto nel nuovo art. 2-ter, commi 1 e 3, del Codice).

Al riguardo, l’art. 83, par. 3, del RGPD, prevede che «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave».

Nel caso di specie, la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del RGPD, che si applica pertanto al caso di specie.

Occorre altresì tenere conto che, seppure il documento oggetto della segnalazione, pubblicato online, risale a XX, per la determinazione della norma applicabile, sotto il profilo temporale, deve essere richiamato in particolare il principio di legalità di cui all’art. 1, comma 2, della l. n. 689/1981 che sancisce come «Le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in esse considerati». Ciò determina l’obbligo di prendere in considerazione le disposizioni vigenti al momento della commessa violazione, che nel caso in esame – data la natura permanente dell’illecito contestato – deve essere individuato all’atto di cessazione della condotta illecita, verificatasi successivamente alla data del XX in cui il RGPD è divenuto applicabile. Dagli atti dell’istruttoria è, infatti, emerso che l’illecita diffusione online è cessata a XX (mese in cui il Comune ha dichiarato di aver provveduto a rimuovere i dati personali del segnalante dal sito web istituzionale).

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD nonché dell’art. 166 del Codice, ha il potere correttivo di «infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso». In tale quadro, «il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice» (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del RGPD.

In relazione ai predetti elementi, la rilevata condotta tenuta in violazione della disciplina in materia di protezione dei dati personali ha avuto a oggetto la diffusione di dati personali non appartenenti a categorie particolari né a condanne penali o reati (artt. 9 e 10, del RGPD) di un solo soggetto interessato e che si è protratta per poco più di un anno. Il Comune di Montevago, è un ente locale di piccole dimensioni con di meno di 3.000 abitanti e l’amministrazione si è prontamente attivata per rimuovere i dati personali oggetto della segnalazione, collaborando con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alla violazione – il cui carattere, stante quanto affermato dal Comune, appare di natura colposa – attenuandone i possibili effetti negativi. Non risultano eventuali precedenti violazioni del RGPD pertinenti commesse dal Comune di Montevago

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, parr. 2 e 3, del RGPD l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, del RGPD, nella misura di euro 2.000,00 (duemila) per la violazione degli artt. 6, par. 1, lett. c) ed e); par. 2 e par. 3, lett. b), del RGPD nonché dell’art. 19, comma 3, del Codice, vigente al momento della condotta illecita (ora riprodotto nel nuovo art. 2-ter, commi 1 e 3 del Codice), quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo RGPD.

In relazione alle specifiche circostanze del presente caso, relative alla diffusione sul web di dati personali in assenza di una idonea base normativa, si ritiene altresì che debba essere applicata la sanzione accessoria della pubblicazione del presente provvedimento sul sito istituzionale del Garante, prevista dall’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità del trattamento effettuato dal Comune di Montevago ai sensi degli artt. 57, par. 1, lett. f), e 83 del RGPD, nonché dell’art. 166 del Codice per la violazione degli artt. 6, par. 1, lett. c) ed e); par. 2 e par. 3, lett. b), del RGPD nonché dell’art. 19, comma 3, del Codice, vigente al momento della condotta illecita (ora riprodotto nel nuovo art. 2-ter, commi 1 e 3 del Codice),

ORDINA

ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 5, del RGPD, e 166, comma 2, del Codice, al Comune di Montevago, in persona del legale rappresentante pro-tempore, con sede legale in Piazza Della Repubblica, 4 - 92010 Montevago (AG) – C.F. 92006330846, di pagare la somma di euro 2.000,00 (duemila) a titolo di sanzione amministrativa pecuniaria per le violazioni di cui in motivazione;

INGIUNGE

al medesimo Comune di pagare la somma di euro 2.000,00 (duemila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.

Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1/9/2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice).

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019 e ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 10 giugno 2020

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia