g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Comune di Baronissi - 9 luglio 2020 [9446659]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9446659]

Ordinanza ingiunzione nei confronti di Comune di Baronissi - 9 luglio 2020

Registro dei provvedimenti
n. 139 del 9 luglio 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il dott. Antonello Soro, presidente, la prof.ssa Licia Califano e la dott.ssa Giovanna Bianchi Clerici, componenti e il dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO il d. lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida in materia di trasparenza”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore il dott. Antonello Soro;

PREMESSO

1. Introduzione

Questa Autorità ha ricevuto un reclamo in ordine alla pubblicazione sul sito web istituzionale del Comune di Baronissi di dati e informazioni personali del Sig. XX e del relativo coniuge XX.

In particolare, dall’accertamento preliminare effettuato dall’Ufficio in data XX, è risultato che sul sito web istituzionale del predetto Comune, nella sezione Servizionline/Albo pretorio storico, erano visibili e liberamente scaricabili i seguenti documenti: Provvedimento prot. n. XX del XX del settore urbanistica-edilizia avente a oggetto «XX», con allegata la nota del tecnico comunale prot. n. XX del XX avente a oggetto «XX (url http://...).

I predetti documenti contenevano dati e informazioni personali dei soggetti interessati, quali i dati anagrafici e di residenza, i dati identificativi e catastali dell’immobile di proprietà, le informazioni inerenti alla realizzazione di opere abusive e le risultanze dal verbale di sopralluogo, i rilievi fotografici della veranda del proprio appartamento, etc.

2. Normativa applicabile.

Ai sensi della disciplina in materia, «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato») e «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).

Il trattamento dei dati personali deve avvenire nel rispetto dei principi indicati nell’art. 5 del RGPD, fra cui quelli di «liceità, correttezza e trasparenza» nonché di «minimizzazione dei dati», secondo i quali i dati personali devono essere – rispettivamente – «trattati in modo lecito, corretto e trasparente nei confronti dell’interessato», nonché «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (par. 1, lett. a e c).

In tale quadro, il trattamento dei dati personali effettuato da soggetti pubblici (come il Comune) è lecito solo se necessario «per adempiere un obbligo legale al quale è soggetto il titolare del trattamento» oppure «per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento» (art. 6, par. 1, lett. c ed e, del RGPD).

È inoltre previsto che «Gli Stati membri possono mantenere […] disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]», con la conseguenza che al caso di specie risultano applicabili le disposizioni contenute nell’art. 19, comma 3, del Codice (oggi abrogato ma vigente all’epoca dei fatti, il cui contenuto è riprodotto nell’art. 2-ter, commi 1 e 3, del Codice), laddove è previsto che l’operazione di diffusione di dati personali (come la pubblicazione su Internet), da parte di soggetti pubblici, è ammessa solo quando prevista da una norma di legge o di regolamento.

La normativa statale di settore prevede, al riguardo, che «Tutte le deliberazioni del comune e della provincia sono pubblicate mediante pubblicazione all’albo pretorio, nella sede dell’ente, per quindici giorni consecutivi, salvo specifiche disposizioni di legge» (art. 124, comma 1, del d. lgs. 18/8/2000 n. 267).

Il Garante ha fornito specifiche indicazioni alle pubbliche amministrazioni in ordine alle cautele da adottare per la diffusione di dati personali in Internet per finalità di trasparenza e pubblicità dell’azione amministrativa con le proprie Linee guida in materia di trasparenza, anche con riferimento alle pubblicazioni nell’albo pretorio online degli enti locali.

Nelle predette Linee guida, è espressamente previsto che, una volta trascorso il periodo temporale previsto dalle singole discipline per la pubblicazione degli atti e documenti nell’albo pretorio: «gli enti locali non possono continuare a diffondere i dati personali in essi contenuti. In caso contrario, si determinerebbe, per il periodo eccedente la durata prevista dalla normativa di riferimento, una diffusione dei dati personali illecita perché non supportata da idonei presupposti normativi […]. A tal proposito, ad esempio, la permanenza nel web di dati personali contenuti nelle deliberazioni degli enti locali oltre il termine di quindici giorni, previsto dall´art. 124 del citato d. lgs. n. 267/2000, può integrare una violazione del suddetto art. 19, comma 3, del Codice [n.d.r. oggi riprodotto nell’art. 2-ter, commi 1 e 3, del Codice], laddove non esista un diverso parametro legislativo o regolamentare che preveda la relativa diffusione […]. [In tale caso] se gli enti locali vogliono continuare a mantenere nel proprio sito web istituzionale gli atti e i documenti pubblicati, ad esempio nelle sezioni dedicate agli archivi degli atti e/o della normativa dell’ente, devono apportare gli opportuni accorgimenti per la tutela dei dati personali. In tali casi, quindi, è necessario provvedere a oscurare nella documentazione pubblicata i dati e le informazioni idonei a identificare, anche in maniera indiretta, i soggetti interessati» (parte seconda, par. 3.a).

3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato.

Dalle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX del XX ha accertato che il Comune di Baronissi diffondendo – almeno fino alla verifica preliminare effettuata dall’Ufficio in data del XX – i dati personali dei reclamanti, contenuti nei documenti sopra identificati pubblicati sul sito web istituzionale, ha effettuato un trattamento di dati personali non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD. Pertanto, con la medesima nota sono state notificate al Comune le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD e invitando il predetto Comune a inviare al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentito da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

4. Memorie difensive e audizione.

Con la nota prot. n. XX del XX il Comune di Baronissi ha inviato al Garante i propri scritti difensivi in relazione alle violazioni notificate.

Al riguardo, si ricorda che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, intitolato «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante».

Nello specifico, è stato evidenziato, fra l’altro che:

- «Preliminarmente si ribadisce che la pubblicazione dell’ordinanza de qua (cfr. Provv. Prot. n. XX del XX) avente ad oggetto dati e informazioni personali – liberamente visibile e scaricabile sul sito web istituzionale del Comune di Baronissi (Servizionline/Albo Pretorio) – è avvenuta oltre il tempo prescritto dalla legge per un mero errore tecnico e per un disguido relativo all’organizzazione interna di questo Comune».

- «Uno scrupoloso e diligente obbligo nei confronti della normativa in materia di trasparenza ha guidato poi l’organizzazione del Comune ed il personale preposto ritenendo dovuta e necessaria la pubblicazione dei dati comuni relativi all’ordinanza in questione».

- «Sullo sfondo una condotta improntata alla buona fede e ossequiosa al contesto in cui si manifesta tale errore […]».

- «il Comune di Baronissi ha provveduto ad adottare delle linee guida specifiche sui principi generali e impartito delle direttive in materia di trattamento dei dati personali, qualora emergano finalità di pubblicità e trasparenza dell’azione amministrativa, rappresentando anche le molteplici ipotesi in cui l’attività della pubblica amministrazione, rectius del Comune di Baronissi, possa contemperare le esigenze della trasparenza di cui alle norme prescritte, quelle della pubblicità in combinato disposto con le regole da osservare sul trattamento dei dati personali, in particolar modo in tema di pertinenza e necessità del trattamento (principio di minimizzazione)».

- «Al fine di assicurare che i contenuti della predetta ordinanza assolvano all’obbligo prescritto dalla legge senza violare i precetti imposti dal Regolamento (UE) 2016/679, dal Dlgs. 196/2003 e Dlgs 101 del 2018 il Comune di Baronissi si è impegnato a rimuovere dal proprio sito istituzionale la suddetta ordinanza. A questo proposito, lo stesso Ente Locale si è organizzato, trascorso il tempo prescritto dalla legge per ottemperare agli obblighi di trasparenza e di pubblicità, per rendere presente sulla sezione Archivio del Comune gli atti e i documenti amministrativi ma accessibili solo su richiesta dell’interessato».

- L’ente «ha emanato istruzioni ben precise volte a modificare le informazioni contenute all’interno degli atti amministrativi emanati ed emanandi, evitando di inserire dati personali non pertinenti ed eccedenti rispetto a quelli occorrenti, finalizzati a rispettare i vincoli di legge».

5. Esito dell’istruttoria relativa al reclamo presentato

La questione oggetto del caso sottoposto all’attenzione del Garante riguarda la diffusione di dati e informazioni personali dei reclamanti (quali dati anagrafici e di residenza, dati identificativi e catastali dell’immobile di proprietà, informazioni inerenti alla realizzazione di opere abusive e risultanze dal verbale di sopralluogo, rilievi fotografici della veranda dell’appartamento oggetto dei rilievi) contenuti nel provvedimento prot. n. XX del Comune e del relativo allegato contenente la nota del tecnico comunale prot. n. XX.

Il Comune nelle memorie difensive ha confermato l’avvenuta diffusione online dei dati personali dei reclamanti, giustificandola alla luce di «un mero errore tecnico» e di «un disguido relativo all’organizzazione interna [del] Comune», nonché di una non corretta valutazione in ordine all’applicazione delle disposizioni in materia di trasparenza e di protezione dei dati personali.

Alcune osservazioni al riguardo, seppure meritevoli di considerazione, non consentono in ogni caso di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro nessuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019. Ciò anche considerando che sin dal 2014 l’Autorità, nelle Linee guida in materia di trasparenza, ha fornito a tutti i soggetti pubblici specifiche indicazioni sulle modalità per contemperare gli obblighi di trasparenza e pubblicità dell’azione amministrativa con il diritto alla protezione dei dati personali degli interessati.

In tale quadro, si confermano le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento dei dati personali effettuato dal Comune di Baronissi, in quanto la pubblicazione integrale sul sito web istituzionale del documento prot. n. XX del XX del settore urbanistica-edilizia del Comune di Baronissi avente a oggetto «XX», con tutti i dati e le informazioni in chiaro dei soggetti interessati, ha prodotto una diffusione dei dati personali dei reclamanti che:

a. non risultavano necessari rispetto alla finalità del trattamento, con particolare riferimento all’avvenuta diffusione della data e luogo di nascita, della residenza, dei dati identificativi e catastali dell’immobile di proprietà, delle informazioni inerenti alla realizzazione di opere abusive, in violazione del principio di minimizzazione e, dunque, dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. c), del RGPD;

b. si è protratta per più di quindici giorni previsti dall’art. 124, comma 1, del d. lgs. n. 267/2000 per la pubblicazione nell’albo pretorio, in assenza quindi – per il periodo temporale eccedente – di idonei presupposti normativi per la diffusione di dati personali e, dunque, in violazione dell’art. 19 comma 3 del Codice (vigente all’epoca dei fatti e il cui contenuto è ora riprodotto nell’art. 2-ter, commi 1 e 3, del Codice), nonché dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a e c; 6, par. 1, lett. c ed e, par. 2 e par. 3, lett. b, del RGPD.

Considerato, comunque, che la condotta ha esaurito i suoi effetti, in quanto i dati personali dei reclamanti prima descritti non risultano più accessibili all’indirizzo url sopra indicato, fermo restando quanto si dirà sull’applicazione della sanzione amministrativa pecuniaria, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del RGPD.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria (artt. 58, par. 2, lett. i; 83 RGPD)

Il Comune di Baronissi risulta aver violato gli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD; nonché l’art. 19, comma 3, del Codice, vigente al momento della condotta illecita.

Al riguardo, l’art. 83, par. 3, del RGPD, prevede che «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave».

Nel caso di specie, la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del RGPD, che si applica pertanto al caso di specie.

Occorre altresì tenere conto che, seppure il documento oggetto del reclamo, pubblicato online, risale a maggio 2017, per la determinazione della norma applicabile, sotto il profilo temporale, deve essere richiamato in particolare il principio di legalità di cui all’art. 1, comma 2, della l. n. 689/1981 che sancisce come «Le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in esse considerati». Ciò determina l’obbligo di prendere in considerazione le disposizioni vigenti al momento della commessa violazione, che nel caso in esame – data la natura permanente dell’illecito contestato – deve essere individuato all’atto di cessazione della condotta illecita, verificatasi successivamente alla data del 25/5/2018 in cui il RGPD è divenuto applicabile. Dagli atti dell’istruttoria è, infatti, emerso che l’illecita diffusione online si è protratta almeno fino alla verifica preliminare effettuata dall’Ufficio in data del XX.

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD nonché dell’art. 166 del Codice, ha il potere correttivo di «infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso». In tale quadro, «il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice» (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del RGPD.

In relazione ai predetti elementi, la rilevata condotta tenuta in violazione della disciplina in materia di protezione dei dati personali ha avuto a oggetto la diffusione di dati personali non appartenenti a categorie particolari né a condanne penali o reati (artt. 9 e 10, del RGPD) di due soggetti interessati. La diffusione si è protratta per diversi anni, ma l’amministrazione si è attivata per oscurare i dati personali oggetto del reclamo, collaborando con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alla violazione – il cui carattere, stante anche quanto affermato dal Comune, appare di natura colposa – attenuandone i possibili effetti negativi. Nel riscontro al Garante sono state, inoltre descritte diverse misure tecniche e organizzative messe in atto ai sensi degli artt. 25-32 del RGPD. Non risultano eventuali precedenti violazioni del RGPD pertinenti commesse dal Comune di Baronissi.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, parr. 2 e 3, del RGPD l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, del RGPD, nella misura di euro 2.000,00 (duemila) per la violazione degli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD; nonché dell’art. 19, comma 3, del Codice, quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo RGPD.

In relazione alle specifiche circostanze del presente caso, relative alla violazione del principio di minimizzazione dei dati e alla diffusione sul web di dati personali in assenza di una idonea base normativa, si ritiene altresì che debba essere applicata la sanzione accessoria della pubblicazione del presente provvedimento sul sito Internet del Garante, prevista dall’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019.

Si ritiene, altresì, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità del trattamento effettuato dal Comune di Baronissi nei termini indicati in motivazione ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD

ORDINA

al Comune di Baronissi, in persona del legale rappresentante pro-tempore, con sede legale in Piazza della Repubblica, 1 - 84081 Baronissi (SA) – C.F. 80032710651 di pagare la somma di euro 2.000,00 (duemila) a titolo di sanzione amministrativa pecuniaria per le violazioni di cui in motivazione;

INGIUNGE

al medesimo Comune di pagare la somma di euro 2.000,00 (duemila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.

Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1/9/2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice).

DISPONE

la pubblicazione del presente provvedimento sul sito Internet del Garante ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019, e si ritiene, altresì, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 9 luglio 2020

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia