Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Comune di Casaloldo - 3 settembre 2020 [9468523]

[doc. web n. 9468523]

Ordinanza ingiunzione nei confronti di Comune di Casaloldo - 3 settembre 2020

Registro dei provvedimenti
n. 154 del 3 settembre 2020

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e l’avv. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO il d. lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida in materia di trasparenza”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Introduzione.

Questa Autorità ha ricevuto un reclamo da parte dell’XX relativo alla diffusione di propri dati personali contenuti in provvedimenti inerenti a una «XX» pubblicati sul sito web istituzionale del Comune di Casaloldo.

Nello specifico, come verificato in base all’accertamento preliminare effettuato dall’Ufficio, è risultato che nella sezione “Amministrazione trasparente” del sito web istituzionale del predetto Comune e, in particolare, nell’area “Bandi di concorso”, all’url https://..., era possibile visualizzare e scaricare i seguenti documenti dal link intitolato «XX»:

1)    Determina n. XX del XX avente a oggetto xx

2)    Documento intitolato XX

3)    Documento intitolato XX

4)    Documento intitolato XX

5)    Documento intitolato XX

I predetti documenti pubblicati online contenevano dati e informazioni personali dei soggetti partecipanti alla selezione pubblica descritta, compreso il reclamante il cui nominativo compariva nei documenti prima identificati ai nn. XX e XX, in qualità di soggetto ammesso alle prove scritte del concorso e presente alle due prove concorsuali, con indicazione dei punteggi ottenuti alle prove scritte e della non ammissione alla prova orale (cfr. verbali della commissione n. XX contenuti nei documenti citati).

2. Normativa applicabile.

Ai sensi della disciplina in materia, «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato») e «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).

Il trattamento dei dati personali deve, inoltre, avvenire nel rispetto dei principi indicati nell’art. 5 del RGPD, fra cui quelli di «liceità, correttezza e trasparenza» nonché di «minimizzazione dei dati», secondo i quali i dati personali devono essere – rispettivamente – «trattati in modo lecito, corretto e trasparente nei confronti dell’interessato», nonché «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (par. 1, lett. a e c).

In tale quadro, il trattamento dei dati personali effettuato da soggetti pubblici (come il Comune) è lecito solo se necessario «per adempiere un obbligo legale al quale è soggetto il titolare del trattamento» oppure «per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento» (art. 6, par. 1, lett. c ed e, del RGPD).

È inoltre previsto che «Gli Stati membri possono mantenere […] disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]» (art 6, par. 2, del RGPD), con la conseguenza che al caso di specie risultano applicabili le disposizioni contenute nell’art. 2-ter, commi 1 e 3, del Codice, laddove è sancito che l’operazione di diffusione di dati personali (come la pubblicazione su Internet), da parte di soggetti pubblici, è ammessa solo quando prevista da una norma di legge o di regolamento.

Al riguardo, si evidenzia che la disciplina di settore applicabile al caso di specie contenuta nell’art. 15, comma 6-bis, del d.P.R. 9/5/1994, n. 487 (Regolamento recante norme sull’accesso agli impieghi nelle pubbliche amministrazioni e le modalità di svolgimento dei concorsi, dei concorsi unici e delle altre forme di assunzione nei pubblici impieghi), dispone, in primo luogo, che siano pubblicate «nell’albo pretorio del relativo ente» le sole graduatorie definitive dei vincitori di concorso presso gli enti territoriali e non anche, come nella questione sottoposta all’attenzione del Garante, gli esiti delle prove intermedie o dei dati personali dei concorrenti non vincitori, non ammessi o che si sono ritirati.

3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato.

Dalle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX dell’XX ha accertato che il Comune di Casaloldo diffondendo i dati personali dei soggetti concorrenti non vincitori, non ammessi o che si sono ritirati dal concorso, fra cui il reclamante – contenuti nei documenti sopra identificati pubblicati sul sito web istituzionale – ha effettuato un trattamento di dati personali non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD. Pertanto, con la medesima nota sono state notificate al Comune le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD e invitando il predetto Comune a inviare al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentito da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

4. Memorie difensive.

Con la nota prot. n. XX del XX il Comune di Casaloldo ha inviato al Garante i propri scritti difensivi in relazione alle violazioni notificate.

Al riguardo, si ricorda che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, intitolato «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante».

Nello specifico, è stato evidenziato, fra l’altro che:

- «In data XX con lettera prot. n. XX è stata richiesta al personale dipendente addetto alla pubblicazione degli atti all’Albo informatico e nella Sezione “Amministrazione Trasparente” la rimozione immediata dei documenti pubblicati sul sito istituzionale – SEZ. XX – relativi alle procedure intermedie del concorso pubblico oggetto del reclamo, contenente i riferimenti ai candidati non vincitori, ed in particolare: del link: “XX" sono stati rimossi dal XX i seguenti allegati:

1)    XX

2)    XX

- «Sono stati lasciati in pubblicazione gli atti relativi alla graduatoria finale del concorso, che non contengono nessun riferimento ai candidati ammessi, non ammessi e non vincitori»;

- «I verbali della procedura concorsuale sono stati pubblicati dal XX fino alla data rimozione del XX»;

- «Il trattamento in questione si riferisce a dati anagrafici (solo nome e cognome) [ed] è da considerarsi di lieve entità, anche in relazione alla durata della pubblicazione che ha coperto il periodo di possibile impugnazione con ricorso straordinario 6 mesi)»;

- «La contestata violazione non è connotata dall’elemento soggettivo della colpa né, tantomeno, dall’elemento soggettivo del dolo»;

- «Entro 24 ore dal ricevimento della comunicazione del Garante in data XX […] è stata ordinata l’immediata rimozione dal sito web – SEZ. XX – di tutti gli atti relativi alla procedura concorsuale contenente riferimenti ai candidati ammessi, non ammessi e non vincitori. Gli atti sono stati rimossi nella medesima data»;

- «Il Comune di Casaloldo è un piccolo ente inferiore a 3000 abitanti, con una dotazione organica di personale appena sufficiente all’espletamento delle funzioni di competenza. L’organizzazione interna dell’Ente tiene conto delle limitate risorse finanziari, umane e strumentali».

5. Esito dell’istruttoria relativa al reclamo presentato.

La questione oggetto del caso sottoposto all’attenzione del Garante riguarda la diffusione di dati e informazioni personali dei soggetti partecipanti a una selezione pubblica XX, fra cui il reclamante (quali dati identificativi ed esiti delle prove intermedie riferiti anche a concorrenti non vincitori, non ammessi o che si sono ritirati).

Il Comune nelle memorie difensive ha confermato l’avvenuta diffusione online dei predetti dati personali compreso quelli riferiti al reclamante, presentando alcune osservazioni che, seppure meritevoli di considerazione, non consentono in ogni caso di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro nessuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019. Ciò anche considerando che sin dal 2014 l’Autorità, nelle Linee guida sopra citate, ha fornito a tutti i soggetti pubblici specifiche indicazioni sulle modalità per contemperare gli obblighi di trasparenza e pubblicità dell’azione amministrativa con il diritto alla protezione dei dati personali degli interessati.

In tale quadro, si confermano le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal predetto Comune, in quanto la pubblicazione integrale nella sezione “Amministrazione trasparente” del sito web istituzionale della Determina n. XX del XX – avente a oggetto «XX» – con i relativi allegati contenenti tutti i verbali della commissione esaminatrice (documenti prima identificati nel par. XX) ha causato una diffusione di dati personali dei soggetti concorrenti non vincitori, non ammessi o che si sono ritirati dal concorso, compreso il reclamante (quali dati identificativi ed esiti delle prove intermedie riferiti anche a concorrenti non vincitori, non ammessi o che si sono ritirati), in assenza di idonei presupposti normativi e, dunque, in violazione dell’art. 2-ter, commi 1 e 3, del Codice e dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD (cfr. anche la disposizione contenuta nell’art. 15, comma 6-bis, del d.P.R. 9/5/1994, n. 487).

Considerato, comunque, che la condotta ha esaurito i suoi effetti, in quanto il Comune ha dichiarato di aver provveduto alla rimozione dal sito web istituzionale dei documenti contestati, fermo restando quanto si dirà sull’applicazione della sanzione amministrativa pecuniaria, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del RGPD.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria (artt. 58, par. 2, lett. i; 83 RGPD)

Il Comune di Casaloldo risulta aver violato gli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD; nonché l’art. 2-ter, commi 1 e 3, del Codice (cfr. anche la disposizione contenuta nell’art. 15, comma 6-bis, del d.P.R. 9/5/1994, n. 487).

Al riguardo, l’art. 83, par. 3, del RGPD, prevede che «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave».

Nel caso di specie, la violazione delle disposizioni citate – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del RGPD, che si applica pertanto al caso di specie.

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD nonché dell’art. 166 del Codice, ha il potere correttivo di «infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso». In tale quadro, «il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice» (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del RGPD.

In relazione ai predetti elementi, la rilevata condotta tenuta in violazione della disciplina in materia di protezione dei dati personali ha avuto a oggetto la diffusione di dati personali non appartenenti a categorie particolari né a condanne penali o reati (artt. 9 e 10, del RGPD) dei soggetti partecipanti a un concorso (circa 50) e si è protratta per circa sei mesi. Il Comune di Casaloldo, che in ogni caso è un ente di piccole dimensioni (meno di 3.000 abitanti) «con una dotazione organica di personale appena sufficiente all’espletamento delle funzioni di competenza» ha, peraltro, evidenziato il carattere colposo della violazione e si è attivato per rimuovere i dati personali oggetto del reclamo, collaborando con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi. Nel riscontro al Garante sono state, inoltre descritte diverse misure tecniche e organizzative messe in atto ai sensi degli artt. 25-32 del RGPD. Non risultano eventuali precedenti violazioni del RGPD pertinenti commesse dal Comune di Casaloldo.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, parr. 2 e 3, del RGPD l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, del RGPD, nella misura di euro 2.000,00 (duemila) per la violazione degli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD; nonché dell’art. 2-ter, commi 1 e 3, del Codice (cfr. anche la disposizione contenuta nell’art. 15, comma 6-bis, del d.P.R. 9/5/1994, n. 487), quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo RGPD.

In relazione alle specifiche circostanze del presente caso, relative alla diffusione sul web di dati personali in assenza di una idonea base normativa, si ritiene altresì che debba essere applicata la sanzione accessoria della pubblicazione del presente provvedimento sul sito Internet del Garante, prevista dall’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata ai sensi dell’art. 57, par. 1, lett. f), del RGPD l’illiceità del trattamento effettuato dal Comune di Casaloldo per la violazione degli artt. 2-ter, commi 1 e 3, del Codice e dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD nei termini di cui in motivazione;

ORDINA

al Comune di Casaloldo, in persona del legale rappresentante pro-tempore, con sede legale in Via Roma 8 - 46040 Casaloldo (MN) – C.F. 81000510206, ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD, nonché 166 del Codice, di pagare la somma di euro 2.000,00 (duemila) a titolo di sanzione amministrativa pecuniaria per le violazioni di cui in motivazione;

INGIUNGE

al medesimo Comune di pagare la somma di euro 2.000,00 (duemila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.

Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1/9/2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice).

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019. Si ritiene, altresì, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 3 settembre 2020

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Busia