Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Comune di San Marco in Lamis - 11 marzo 2021 [9578258]

[doc. web n. 9578258]

Ordinanza ingiunzione nei confronti di Comune di San Marco in Lamis - 11 marzo 2021

Registro dei provvedimenti
n. 91 dell'11 marzo 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO il d. lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida in materia di trasparenza”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Introduzione

Questa Autorità ha ricevuto un reclamo da parte del sig. XX, con il quale è stata contestata una violazione della normativa in materia di protezione dei dati personali.

Nello specifico, come emerso dalla verifica preliminare effettuata dall’Ufficio, nell’area del sito web istituzionale dedicata alle ordinanze del Sindaco era possibile visualizzare i seguenti documenti:

1) ordinanza sindacale n. XX del XX (http://...), avente a oggetto «XX» (url http://...);

2) ordinanza sindacale n. XX del XX (http://...) avente a oggetto «XX» (url http://...).

Le ordinanze sindacali sopra identificate contenevano dati e informazioni personali del reclamante XX e dei suoi familiari XX, XX e XX (con indicazione peraltro della data e del luogo di nascita, del codice fiscale, della residenza), in relazione a un procedimento «di rimozione o demolizione di opere eseguite in assenza del Permesso di Costruire», con ordine di sgombero immediato (cfr. ordinanza n. XX), nonché dell’ingiunzione di pagamento pari a € 20.000 a titolo di sanzione amministrativa (cfr. ordinanza n. XX).

Dagli atti risulta che il reclamante, prima di rivolgersi al Garante, aveva già inviato al Comune nota dell’XX, chiedendo la rimozione dal sito web istituzionale dell’ordinanza n. XX contenente i propri dati personali e che l’amministrazione abbia rigettato la richiesta con nota prot. n. XX del XX.

2. La normativa in materia di protezione dei dati personali

Ai sensi della disciplina in materia, «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)» e «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).

Al riguardo, i soggetti pubblici (come il Comune) possono diffondere «dati personali» solo se tale operazione è prevista «da una norma di legge o, nei casi previsti dalla legge, di regolamento» (art. 2-ter, commi 1 e 3, del Codice), nel rispetto – in ogni caso – dei principi in materia di protezione dei dati, fra i quali quello di «minimizzazione», in base al quale i dati personali devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. c, del RGPD).

La normativa statale di settore prevede, inoltre, che «Tutte le deliberazioni del comune e della provincia sono pubblicate mediante pubblicazione all’albo pretorio, nella sede dell’ente, per quindici giorni consecutivi, salvo specifiche disposizioni di legge» (art. 124, comma 1, d. lgs. n. 267 del 18/8/2000).

In ordine alle pubblicazione sull’albo pretorio, fin dal 2014, il Garante ha fornito specifiche indicazioni alle amministrazioni sulle cautele da adottare per la diffusione di dati personali online con il provvedimento generale n. 243 del 15/5/2014, recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (attualmente in corso di aggiornamento, ma ancora attuale nella parte sostanziale).

Nelle predette Linee guida del Garante è espressamente sancito che una volta trascorso il periodo temporale previsto per la pubblicazione degli atti e documenti nell’albo pretorio: «gli enti locali non possono continuare a diffondere i dati personali in essi contenuti. In caso contrario, si determinerebbe, per il periodo eccedente la durata prevista dalla normativa di riferimento, una diffusione dei dati personali illecita perché non supportata da idonei presupposti normativi […]. A tal proposito, ad esempio, la permanenza nel web di dati personali contenuti nelle deliberazioni degli enti locali oltre il termine di quindici giorni, previsto dall´art. 124 del citato d. lgs. n. 267/2000, può integrare una violazione del suddetto art. 19, comma 3, del Codice [n.d.r. oggi riprodotto nell’art. 2-ter, commi 1 e 3, del Codice], laddove non esista un diverso parametro legislativo o regolamentare che preveda la relativa diffusione […]. [In tal caso] se gli enti locali vogliono continuare a mantenere nel proprio sito web istituzionale gli atti e i documenti pubblicati, ad esempio nelle sezioni dedicate agli archivi degli atti e/o della normativa dell’ente, devono apportare gli opportuni accorgimenti per la tutela dei dati personali[,] provvede[ndo] a oscurare nella documentazione pubblicata i dati e le informazioni idonei a identificare, anche in maniera indiretta, i soggetti interessati» (parte seconda, par. 3.a).

3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato.

A seguito dalle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX del XX ha accertato che il Comune di San Marco in Lamis – diffondendo i dati e le informazioni personali del reclamante e dei suoi familiari contenuti nei documenti pubblicati online prima descritti – ha effettuato un trattamento di dati personali non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD. Pertanto, con la medesima nota sono state notificate al predetto Comune le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD e invitando la predetta amministrazione a far pervenire al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentito da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

4. Memorie difensive.

Il Comune di San Marco in Lamis, con la nota prot. n. XX del XX, ha inviato al Garante i propri scritti difensivi in relazione alle violazioni notificate.

Al riguardo, si ricorda che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, intitolato «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante».

Nello specifico, quanto alla condotta tenuta, è stato evidenziato, fra l’altro che:

- gli «abusi edilizi progressivamente perpetrati dal reclamante, avevano assunto rilevanza palese agli occhi dei cittadini di San Marco in Lamis già prima dell’emanazione dei predetti atti ed avevano conseguito notorietà per l’evidenza e la rilevanza delle violazioni in una zona a rischio di frana, e questo comunque a prescindere dalla successiva adozione delle ordinanze oggetto di reclamo»;

- «Nelle predette ordinanze la diffusione dei dati personali ha riguardato soltanto un nucleo familiare e la permanenza della diffusione online è stata probabilmente causata da una non corretta interpretazione della norma (come afferma lo stesso reclamante e come appare desumersi dalla risposta fornita dal responsabile del settore affari generali in data XX da parte dei dipendenti dei settori urbanistica ed affari generali, ma anche da una non completa configurazione del sito internet, fatta sotto la guida della società fornitrice, Responsabile del trattamento ai sensi dell’art. 28 del RGPD, fattore che ha comportato l’ulteriore diffusione di detti atti nel web oltre il periodo di pubblicazione nell’albo pretorio»;

- «a seguito dell’entrata in vigore del RGPD, questa Amministrazione ha provveduto ad avviare il percorso di adeguamento al Regolamento europeo individuando all’esterno il Responsabile Protezione Dati personali e approvando, con deliberazione della Giunta comunale n. 4 del 15/01/2019, il modello organizzativo dell’Ente in materia di trattamento dei dati personali, il quale contempla l’attribuzione delle competenze del titolare agli organi del Comune in relazione alle funzioni agli stessi assegnate dal D. lgs. 267/2000 e dallo statuto comunale, assegnando, quale delegati alla funzione di titolare, compiti specifici ai responsabili di settore incaricati delle relative posizioni organizzative e dettando istruzioni e linee guida di sicurezza per il trattamento, da parte degli autorizzati allo stesso, dei dati gestiti dal Comune. Ha inoltre fornito la necessaria formazione a tutto il personale dipendente e ai collaboratori […]. Contestualmente è stata dedicata una sezione dell’home page del sito web del Comune alla tematica del trattamento dei dati, inserendo in essa i riferimenti ai provvedimenti adottati e le informative generali riferite ai diversi servizi-attività gestite»;

- «A partire dall’approvazione del modello organizzativo […] il Comune, a seguito delle sollecitazioni del Responsabile Protezione dati personali e del Segretario generale e di quanto accaduto in altri Comuni (vedasi provvedimento del Garante n. 384 del 21/09/2017 su Comune Orta Nova), ha più volte chiesto alla società fornitrice del software gestionale […] di garantire la non visibilità degli atti amministrativi oltre il periodo di pubblicazione stabilito dalla legge […]»;

- «Tuttavia a seguito della notifica della violazione da parte del Garante, si è potuto constatare che agli url indicati dal Garante risultavano ancora liberamente accessibili le ordinanze in questione e che:

- dall’home page del sito web del Comune […] risultava che l’albo pretorio archivio storico consentiva di visionare solo l’oggetto e gli estremi degli atti che hanno scontato il periodo di pubblicazione;

- dalla sezione denominata “Accesso agli atti” a sinistra dell’home page risultava un collegamento ipertestuale alla sezione dell’albo pretorio archivio storico che consente di visionare solo l’oggetto e gli estremi degli atti che hanno scontato il periodo di pubblicazione:

- immettendo invece il numero e la data delle ordinanze in questione o anche i nominativi delle persone citate in detti atti in un motore d ricerca (è stato utilizzato Google in questo caso) si apriva una pagina del sito web “Accesso agli atti” – Atti amministrativi – ordinanze (non reperibile accedendo invece dall’home page) che consentiva non solo di leggere l’elenco degli atti e i loro estremi ma anche di prelevare gli atti stessi, sebbene avessero scontato il periodo di pubblicazione obbligatoria all’albo pretorio»;

- «Si è provveduto, quindi, il giorno successivo alla notificata violazione a chiedere urgenti chiarimenti sia ai Responsabili dei Settori Urbanistica ed Affari generali […] sia alla società [identificata in atti], invitando quest’ultima […] a fornire con urgenza adeguata spiegazione tecnica ed a provvedere sempre con urgenza alla formale indicazione e compimento delle operazioni necessarie ad impedire le ulteriori diffusione sul web, libera visione ed acquisizione di detti atti attraverso internet, avendo gli stessi scontato il periodo obbligatorio di pubblicazione»;

- la società «il giorno successivo, XX, ha provveduto […] ad effettuare le operazioni tecniche necessarie a rimuovere ogni collegamento e/o funzione di accesso ai documenti in questione».

In tale contesto, il Comune nelle proprie memorie difensive ha chiesto, altresì, di considerare alcune attenuanti, fra le quali le seguenti circostanze:

- «l’affidamento del Comune sulla corretta impostazione [della propria condotta], visto il contratto stipulato con la Società degli servizi informatici affidataria di comprovata affidabilità, per la licenza e la manutenzione dei servizi e-gov riferiti alle pubblicazioni degli atti nel sito web e […] le richieste di interventi manutentivi effettuate in precedenza dal Comune nel senso di non rendere accessibili, visionali e scaricabili dal web tutti gli atti alla scadenza del periodo di pubblicazione all’albo pretorio»;

- «l’immediato decisivo intervento riparatore richiesto dal Comune a seguito della violazione ed operato senza indugio dalla Società informatica affidataria dei servizi e-gov»;

- «[la] deliberazione del Consiglio comunale n. 48 del 20/07/2015, [con la quale il Comune] ha dichiarato il dissesto finanziario ed allo stato [è ancora in corso] la procedura di risanamento con l’Organo straordinario di liquidazione»;

- «dalla data del dissesto non si è avuta la possibilità di assumere nuove risorse umane con profili e professionalità adeguate e l’età media dei dipendenti rimasti in servizio sfiora i 60 anni»;

- «si è avviata dalla fine del XX, nonostante le scarse disponibilità finanziarie, un’attività formativa dei dipendenti […]»;

- «analoghe violazioni accertate a carico di altri Comuni non hanno comportato l’applicazione di sanzioni, ma solo delle spese della procedura (vedasi procedimento n. XX del XX Comune di Orta Nova».

5. Valutazioni del Garante

La questione oggetto del caso sottoposto all’attenzione del Garante riguarda la diffusione di dati e informazioni personali del reclamante e dei suoi familiari (fra cui nominativo, data e luogo di nascita, codice fiscale, residenza), contenuti nelle ordinanze sindacali n. XX del XX e n. XX del XX, pubblicate online sul sito web istituzionale, con cui è stato ordinato lo sgombero immediato di immobili e l’ingiunzione di pagamento pari a € 20.000 a titolo di sanzione amministrativa, nell’ambito di una vicenda riferita a un procedimento aperto per opere eseguite in assenza del permesso di costruire. Il reclamante, prima di presentare reclamo al Garante, già nel XX, aveva chiesto al Comune l’oscuramento dei propri dati personali, ricevendo tuttavia un diniego.

Nell’ambito dell’istruttoria aperta al riguardo da questa Autorità, il Comune di San Marco in Lamis ha confermato, nelle proprie memorie difensive, l’avvenuta diffusione online dei dati personali descritti. Sotto tale profilo, l’ente ha ammesso che la diffusione dei dati online del reclamante e dei suoi familiari è stato frutto di un errore, in quanto, fra le altre cose, «è stata probabilmente causata da una non corretta interpretazione della norma da parte dei dipendenti» nonché «da una non completa configurazione del sito internet, fatta sotto la guida della società fornitrice […] che ha comportato l’ulteriore diffusione di detti atti nel web oltre il periodo di pubblicazione nell’albo». L’ente sarebbe stato indotto in errore anche dal fatto che dalla navigazione nell’albo pretorio storico presente sul sito web era possibile «visionare solo l’oggetto e gli estremi degli atti che hanno scontato il periodo di pubblicazione», senza dati personali. Tuttavia, era rimasta attiva un’altra pagina del sito web, riferibile chiaramente al dominio del Comune, raggiungibile tramite motori di ricerca esterni (es.: Google), «[denominata] “Accesso agli atti” – Atti amministrativi – ordinanze», «non reperibile accedendo […] dall’home page», «che consentiva non solo di leggere l’elenco degli atti e i loro estremi ma anche di prelevare gli atti stessi, sebbene avessero scontato il periodo di pubblicazione obbligatoria all’albo pretorio».

Al riguardo, pur ammettendo un possibile errore attribuibile anche alla società, occorre comunque evidenziare che l’ente avrebbe potuto evitare l’apertura di una specifica istruttoria da parte del Garante e il presente procedimento, se nel XX avesse valutato correttamente la richiesta di oscuramento dei dati personali a suo tempo presentata dal reclamante al quale, invece, fu ribadita – nonostante le indicazioni fornite dal Garante nel 2014 nelle proprie Linee guida in materia di trasparenza – la legittimità della diffusione rigettando l’istanza e ritenendo, invece, necessari, pertinenti e non eccedenti i dati personali pubblicati.

Quanto alla circostanza evidenziata nelle memorie difensive, per la quale gli «abusi edilizi progressivamente perpetrati dal reclamante, avevano assunto rilevanza palese agli occhi dei cittadini di San Marco in Lamis già prima dell’emanazione dei predetti atti ed avevano conseguito notorietà per l’evidenza e la rilevanza delle violazioni», non si comprende come tale elemento possa essere utile per valutare se il trattamento effettuato da parte del Comune era effettivamente necessario per l’esercizio delle funzioni istituzionali dell’ente e se i dati personali erano effettivamente «limitati a quanto necessario rispetto alle finalità per le quali sono [stati] trattati» (artt. 5, par. 1, lett, c; 6, par. 1, lett. e, RGPD).

6. Esito dell’istruttoria relativa al reclamo presentato

Per tutto quanto sopra descritto, le circostanze evidenziate negli scritti difensivi esaminate nel loro complesso, sicuramente meritevoli di considerazione ai fini della valutazione della condotta, non risultano sufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo alcuna delle ipotesi previste dall’art. 11 del Regolamento del Garante n. 1/2019. Ciò anche considerando che sin dal 2014 l’Autorità, nelle Linee guida in materia di trasparenza e pubblicazione online sopra citate, ha fornito a tutte le pp.aa. specifiche indicazioni sulle modalità per contemperare gli obblighi di trasparenza e pubblicità dell’azione amministrativa con il diritto alla protezione dei dati personali dei soggetti interessati.

In tale quadro, si confermano pertanto le valutazioni preliminari dell’Ufficio con la nota prot. n. XX del XX e si rileva l’illiceità del trattamento di dati personali effettuato dal Comune di San Marco in Lamis, in quanto la diffusione dei dati e delle informazioni personali del reclamante e dei suoi familiari, contenuti nelle ordinanze sindacali n. XX e XX del XX pubblicate online risulta:

a) non conforme al principio di «minimizzazione» dei dati – con riferimento all’indicazione in chiaro della data e del luogo di nascita, del codice fiscale e della residenza – considerando che gli stessi non risultano essere stati «limitati a quanto necessario rispetto alle finalità per le quali sono trattati», in violazione dell’art. 5, par. 1, lett. c), del RGPD;

b) priva di idonei presupposti normativi per il periodo eccedente i quindici giorni previsti dall’art. 124, comma 1, del d. lgs. n. 267/2000 per la pubblicazione nell’albo pretorio, in violazione dell’art. 2-ter, commi 1 e 3, del Codice; nonché dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD.

Considerato, tuttavia, che la condotta ha esaurito i suoi effetti, in quanto il titolare del trattamento ha dichiarato di aver provveduto a «effettuare le operazioni tecniche necessarie a rimuovere ogni collegamento e/o funzione di accesso ai documenti» oggetto di reclamo, fermo restando quanto si dirà sull’applicazione della sanzione amministrativa pecuniaria, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del RGPD.

7. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria (artt. 58, par. 2, lett. i; 83 del RGPD)

Il Comune di San Marco in Lamis risulta aver violato gli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD; nonché l’art. 2-ter, commi 1 e 3, del Codice.

Al riguardo, l’art. 83, par. 3, del RGPD, prevede che «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave».

Nel caso di specie, la violazione delle disposizioni citate – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del RGPD, che si applica pertanto al caso di specie.

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD, nonché dell’art. 166 del Codice, ha il potere correttivo di «infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso». In tale quadro, «il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice» (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del RGPD.

In tal senso, la rilevata condotta tenuta in violazione della disciplina in materia di protezione dei dati personali risulta di natura colposa ed ha avuto a oggetto la diffusione online di dati personali, per più di tre anni e mezzo, non appartenenti a categorie particolari né a condanne penali o reati (artt. 9 e 10, del RGPD), riferiti a quattro soggetti interessati di cui uno all’epoca non ancora maggiorenne. Il Comune di San Marco in Lamis è in ogni caso un ente di piccole dimensioni (poco più di 13.000 abitanti), che ha già dichiarato il dissesto finanziario e allo stato ha ancora in corso la procedura di risanamento con l’Organo straordinario di liquidazione. L’ente ha peraltro evidenziato di avere scarse risorse umane disponibili e che «dalla data de dissesto non [ha] avut[o] la possibilità di assumere nuove risorse umane con profili e professionalità adeguate [considerando che] l’età media dei dipendenti rimasti in servizio sfiora i 60 anni». Ciò malgrado ha dichiarato di aver «avviat[o] dalla fine del 2018, nonostante le scarse disponibilità finanziarie, un’attività formativa dei dipendenti […]». Nel riscontro al Garante sono state, inoltre, descritte diverse misure tecniche e organizzative messe in atto ai sensi degli artt. 25-32 del RGPD e non risultano, in ogni caso, eventuali precedenti violazioni del RGPD pertinenti commesse dall’ente.

Non può essere invece presa in considerazione la circostanza evidenziata dal Comune nelle memorie difensive per la quale «analoghe violazioni accertate a carico di altri Comuni non hanno comportato l’applicazione di sanzioni, ma solo delle spese della procedura (vedasi procedimento n. XX del XX Comune di Orta Nova». Ciò in quanto il provvedimento citato aveva a oggetto un ricorso presentato al Garante nei confronti del citato Comune sotto la vigenza del regime in materia di protezione dei dati personali antecedente all’applicazione del RGPD, rispetto al quale erano previste diverse regole procedurali e sanzionatorie oggi abrogate e sostituite dalla procedura di reclamo e dal regime sanzionatorio previsto dal nuovo RGPD, dal Codice vigente e dal Regolamento del Garante n. 1/2019.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, parr. 2 e 3, del RGPD l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, del RGPD, nella misura di euro 3.000,00 (tremila) per la violazione degli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD, nonché dell’art. 2-ter, commi 1 e 3, del Codice; quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo RGPD.

In relazione alle specifiche circostanze del presente caso, relative alla diffusione di dati personali online in assenza di una idonea base normativa e in violazione del principio di minimizzazione dei dati (art. 5, par. 1, lett. c, RGPD), si ritiene altresì che debba essere applicata la sanzione accessoria della pubblicazione del presente provvedimento sul sito Internet del Garante, prevista dall’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità del trattamento effettuato dal Comune di San Marco in Lamis nei termini indicati in motivazione ai sensi degli artt. 58, par. 2, lett. i), e 83 del RGPD

ORDINA

al Comune di San Marco in Lamis, in persona del legale rappresentante pro-tempore, con sede legale in Piazza Municipio, 6 - 71014 San Marco in Lamis (FG) - C.F. 84001130719 di pagare la somma di € 3.000,00 (tremila) a titolo di sanzione amministrativa pecuniaria per le violazioni di cui in motivazione;

INGIUNGE

al medesimo Comune di pagare la somma di euro € 3.000,00 (tremila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.

Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1/9/2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice).

DISPONE

- la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019;

- l'annotazione nel registro interno dell'Autorità delle violazioni e delle misure adottate ai sensi dell'art. 58, par. 2, del RGPD con il presente provvedimento, come previsto dall’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 11 marzo 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei