g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Comuni Valli del Reno, Lavino e Samoggia - 25 marzo 2021 [9670709]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9670709]

Ordinanza ingiunzione nei confronti di Comuni Valli del Reno, Lavino e Samoggia - 25 marzo 2021

Registro dei provvedimenti
n. 108 del 25 marzo 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO il d. lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida in materia di trasparenza”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Introduzione

Questa Autorità ha ricevuto un reclamo da parte da parte dei Sigg.ri XX, XX, XX, XX, XX e XX con il quale è stata contestata una violazione della normativa in materia di protezione dei dati personali.

Nello specifico, è stato rappresentato – come verificato dall’accertamento preliminare effettuato dall’Ufficio – che sul sito web istituzionale dell’Unione dei Comuni Valli del Reno, Lavino e Samoggia (di seguito “Unione dei comuni”), nella sezione “Archivio Albo Pretorio”, era possibile visualizzare e scaricare liberamente i seguenti documenti, contenenti dati e informazioni personali dei reclamanti, agli url indicati:

1) Delibera di Giunta n. XX del XX avente a oggetto «XX» con i relativi allegati, fra cui il file denominato «XX» contenente la «XX» (url: https://...);

2) Determinazione Dirigenziale n. XX del XX avente a oggetto «XX» (url: https://...);

3) Determinazione Dirigenziale n. XX del XX avente a oggetto «XX» (url: https://...) e relativo file allegato denominato «XX», contenente documento relativo al «XX»;

4) Determinazione Dirigenziale n. XX del XX avente a oggetto «XX» (url: https://...) e relativo file allegato denominato «XX» contenente «XXe» (url: https://...).

I predetti documenti pubblicati online contenevano dati e informazioni personali dei reclamanti, agenti di polizia municipale, quali nome e cognome, grado, indicazione della sede di lavoro e tipo di mansioni/competenze svolte.

I reclamanti hanno allegato al reclamo la nota inviata all’Unione dei Comuni, titolare del trattamento, con la quale sono stati esercitati i diritti in materia di protezione dei dati personali nei confronti del predetto ente, chiedendo la rimozione dei dati personali dal web, nonché il riscontro ricevuto con il quale l’amministrazione non ha accolto la richiesta.

2. La normativa in materia di protezione dei dati personali

Ai sensi della disciplina in materia, «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)» e «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).

Al riguardo, i soggetti pubblici (come l’Unione di comuni) possono diffondere «dati personali» solo se tale operazione è prevista «da una norma di legge o, nei casi previsti dalla legge, di regolamento» (art. 2-ter, commi 1 e 3, del Codice), nel rispetto – in ogni caso – dei principi in materia di protezione dei dati, fra i quali quello di «minimizzazione», in base al quale i dati personali devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. c, del RGPD).

La normativa statale di settore prevede, inoltre, che «Tutte le deliberazioni del comune e della provincia sono pubblicate mediante pubblicazione all’albo pretorio, nella sede dell’ente, per quindici giorni consecutivi, salvo specifiche disposizioni di legge» e che «Tutte le deliberazioni degli altri enti locali sono pubblicate mediante pubblicazione all'albo pretorio del comune ove ha sede l'ente, per quindici giorni consecutivi, salvo specifiche disposizioni» (art. 124, commi 1 e 2, d. lgs. n. 267 del 18/8/2000).

In ordine alle pubblicazione sull’albo pretorio, fin dal 2014, il Garante ha fornito specifiche indicazioni alle amministrazioni sulle cautele da adottare per la diffusione di dati personali online con il provvedimento generale n. 243 del 15/5/2014, recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (attualmente in corso di aggiornamento, ma ancora attuale nella parte sostanziale).

Nelle predette Linee guida del Garante è espressamente sancito che una volta trascorso il periodo temporale previsto per la pubblicazione degli atti e documenti nell’albo pretorio:

- «gli enti locali non possono continuare a diffondere i dati personali in essi contenuti. In caso contrario, si determinerebbe, per il periodo eccedente la durata prevista dalla normativa di riferimento, una diffusione dei dati personali illecita perché non supportata da idonei presupposti normativi […]. A tal proposito, ad esempio, la permanenza nel web di dati personali contenuti nelle deliberazioni degli enti locali oltre il termine di quindici giorni, previsto dall´art. 124 del citato d. lgs. n. 267/2000, può integrare una violazione del suddetto art. 19, comma 3, del Codice [n.d.r. oggi riprodotto nell’art. 2-ter, commi 1 e 3, del Codice], laddove non esista un diverso parametro legislativo o regolamentare che preveda la relativa diffusione […]. [In tal caso] se gli enti locali vogliono continuare a mantenere nel proprio sito web istituzionale gli atti e i documenti pubblicati, ad esempio nelle sezioni dedicate agli archivi degli atti e/o della normativa dell’ente, devono apportare gli opportuni accorgimenti per la tutela dei dati personali[,] provvede[ndo] a oscurare nella documentazione pubblicata i dati e le informazioni idonei a identificare, anche in maniera indiretta, i soggetti interessati» (parte seconda, par. 3.a).

3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato.

Con la nota prot. n. XX del XX l’Unione dei Comuni Valli del Reno, Lavino e Samoggia ha fornito riscontro alla richiesta d’informazioni dell’Ufficio (nota prot. n. XX del XX).

A seguito dalle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi nel corso dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX del XX ha accertato che l’Unione dei Comuni Valli del Reno, Lavino e Samoggia – diffondendo i dati e le informazioni personali dei reclamanti contenuti nei documenti pubblicati online prima descritti – ha effettuato un trattamento di dati personali non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD. Pertanto, con la medesima nota sono state notificate alla predetta Unione dei Comuni le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD e invitando la predetta amministrazione a far pervenire al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentita da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

4. Memorie difensive e audizione.

L’Unione dei Comuni Valli del Reno, Lavino e Samoggia, con la nota prot. n. XX del XX, ha inviato al Garante i propri scritti difensivi in relazione alle violazioni notificate.

Al riguardo, si ricorda che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, intitolato «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante».

Nello specifico, l’ente ha rappresentato, fra l’altro, di essersi attivato subito per la rimozione dei dati dal web e che, in ogni caso la base giuridica del trattamento era stata individuata nelle disposizioni contenute nell’art. 124, comma 2, del d. lgs. n. 267 del 2000; negli artt. 8, comma 3 e 13 del d. lgs n. 33/2013; negli artt. 57 e 58 dello Statuto dell’Unione.

Inoltre, l’Unione dei comuni ha rappresentato di avere «provveduto a rivisitare tutta l’organizzazione del proprio sito internet in materia di trasparenza, albo pretorio e archivio albo pretorio. In ottica di bilanciamento tra trasparenza, funzione pubblica e privacy» e che «ha proceduto a cambiare il software per la gestione delle pubblicazioni, delle funzionalità di pubblicazione all'albo pretorio e amministrazione trasparente [chiedendo] alla software house di inibire la pubblicazione degli atti al termine del periodo di pubblicazione all’Albo pretorio».

Fra l’altro è stato messo in evidenza che:

- «l’Unione aveva ravvisato nella pubblicazione della organizzazione della Polizia Locale dell’Ente un interesse pubblico in quanto utile a rendere edotta la cittadinanza sulla riorganizzazione degli uffici. In aggiunta, il ragionamento dell’Unione sulla pubblicazione di questo tipo di determinazioni si è posato anche sulla sussistenza di una base giuridica e sulla natura dei dati personali che sarebbero stati pubblicati»;

- «Sicuramente nomi e cognomi sono ad avviso dell’Ente dei dati minimizzati e necessari per strutturare un organigramma o comunque sia un documento inerente all’organizzazione degli uffici difatti, non sono stati aggiunti ulteriori dati personali idonei a rilevare informazioni personali e non strettamente istituzionali sui funzionari pubblici»;

- «la motivazione delle pubblicazioni è anche da ravvisarsi nel fatto che il ruolo di vigile locale è un ruolo di particolare rilevanza, anche ai fini di pubblica sicurezza, e che pertanto si era ravvisato un interesse pubblico alla pubblicazione di questi tipi di documenti, anche oltre i quindici giorni canonici»;

- «non può essere messa in discussione la minimizzazione dei dati se con l’interpretazione dell’art. 13, co. I, lett. b del D.lgs. 33/13 l’Unione aveva ravvisato che l’organigramma della “nuova” Polizia Locale dovesse essere pubblicato. Ad avviso dello scrivente ente, nome e cognome sono dati minimizzati e neanche idonei a provocare un danno, sia patrimoniale che non, ai diretti interessati in quanto totalmente generici, tali da non poter identificare in maniera puntuale i singoli soggetti laddove ad esempio vi siano casi di omonimia»;

- «Il numero degli interessati, ovverosia dei funzionari pubblici dei quali sono stati pubblicati solo nome e cognome, sono 59, vale a dire il numero dei funzionari del Corpo di Polizia Locale. Si ribadisce la lesività minima poiché non possono neanche essere sollevati pericoli per i diritti e le libertà fondamentali dei soggetti coinvolti, trattandosi di due dati personali di natura generica che non sono in grado di identificare in maniera certa, inequivocabile una persona fisica determinata»;

- «Attraverso una ricerca sulle ordinanze di ingiunzioni emesse dalla Vs Autorità è emerso che le sanzioni sono scattate, con riferimento ad errate pubblicazioni in trasparenza, in compresenza di più tipologie di dati personali e/o in assenza di un’adesione degli Enti coinvolti»

In data XX si è, inoltre, svolta l’audizione richiesta dall’Unione di Comuni ai sensi dell’art. 166, comma 6, del Codice in occasione della quale oltre a confermare e riprendere il contenuto di quanto già riportato nelle memorie difensive è stato rappresentato, ad integrazione di quanto già riportato nella documentazione inviata, che:

- «I nomi pubblicati erano relativi a personale della polizia municipale, per i quali – dati gli spostamenti da un Comune all’altro dell’Unione – era utile che i cittadini conoscessero il relativo nominativo»;

- «[l’Ente] è attento alle tematiche della protezione dei dati e il personale incaricato ha agito in buona fede cercando di contemperare correttamente le esigenze di trasparenza degli appartenenti alla polizia municipale con la protezione dei dati personali»;

- «Nel caso di specie si rappresenta che erano in essere diverse vertenze sindacali con possibile strumentalizzazione della vicenda»;

- «In ordine al precedente esercizio dei diritti dei reclamanti all’Unione, l’ente ha riscontrato l’istanza senza soprassedere alla richiesta, effettuando una valutazione sul comportamento dell’amministrazione che all’epoca è sembrato corretto anche considerando che i dati personali erano riferiti ai nominativi di agenti della polizia municipale, che si ritenevano dati minimi, necessari e pertinenti per raggiungere lo scopo ritenuto legittimo dall’Amministrazione, vale a dire quello di informare la cittadinanza sulla nuova composizione del corpo della polizia locale. Si precisa che la richiesta di esercizio dei diritti era stata effettuata in prossimità dell’applicazione del Regolamento (UE) 2016/679 e che era la prima volta che l’amministrazione si è trovata in una situazione del genere, in un contesto caratterizzato da forte conflittualità»;

- «La base giuridica del trattamento della pubblicazione delle determine oggetto di reclamo rientra nell’art. 13 del d. lgs. n. 33/2013 sulla trasparenza dell’organizzazione dell’ente, anche considerando la necessità di rendere edotta la popolazione in ordine al nominativo del personale della polizia municipale, vista la recente riorganizzazione del servizio che riguardava tutti i Comuni dell’Unione».

- «L’Unione ha comunque attuato una riorganizzazione di tutta la sezione “Amministrazione trasparente” e “Albo pretorio”, con appositi vademecum indirizzati al personale e nuovi applicativi software per migliorare la gestione della pubblicazione dei documenti online contenenti dati personali, evitando una diffusione in maniera automatica».

5. Valutazioni del Garante

La questione oggetto del caso sottoposto all’attenzione del Garante riguarda la diffusione di dati e informazioni personali dei reclamanti agenti di polizia municipale (fra cui nome e cognome, indicazione della sede di lavoro e tipo di mansioni/competenze svolte) contenuti nei seguenti documenti e relativi allegati, meglio identificati supra in par. 1, pubblicati sul sito web istituzionale: Delibera di Giunta n. XX del XX; Determinazione Dirigenziale n. XX del XX; Determinazione Dirigenziale n. XX del XX e Determinazione Dirigenziale n. XX del XX.

Nell’ambito dell’istruttoria aperta al riguardo da questa Autorità, l’Unione dei Comuni Valli del Reno, Lavino e Samoggia ha confermato, nelle proprie memorie difensive, l’avvenuta diffusione online dei dati personali descritti, ritenendo sussistere un’idonea base giuridica del trattamento e della diffusione online dei dati dei reclamanti negli artt. 8, comma 3, e 13 del d. lgs n. 33/2013; negli artt. 57 e 58 dello Statuto dell’Unione nonché nell’art. 124, comma 2, del d. lgs. n. 267 del 2000.

Ciò nonostante, con particolare riferimento al caso in esame, si ritiene che non siano applicabili le disposizioni richiamate dall’Unione dei Comuni contenute in particolare nell’art. 13 del d. lgs. n. 33/2013, che fa riferimento in generale all’«organizzazione delle pubbliche amministrazioni» e non alla pubblicazione dei dati personali del personale dipendente o degli agenti di polizia municipale; né nell’art. 8, comma 3, del medesimo decreto che si riferisce ai soli atti e documenti pubblicati ai sensi della normativa in materia di trasparenza nella sezione Amministrazione trasparente del sito web istituzionale.

Analogamente, non si ritengono applicabili gli artt. 57 e 58 dello Statuto dell’Unione, dei Comuni Valli del Reno, Lavino e Samoggia che – senza entrare nel merito della idoneità dello Statuto quale idoneo presupposto normativo ai sensi del citato art. 2-ter, commi 1 e 3, del Codice – riguardano in ogni caso dati e informazioni diversi da quelli oggetto di pubblicazione.

Trova invece applicazione la normativa statale di settore, anch’essa richiamata dall’Unione dei Comuni, laddove è previsto che «Tutte le deliberazioni degli altri enti locali sono pubblicate mediante pubblicazione all'albo pretorio del comune ove ha sede l’ente, per quindici giorni consecutivi, salvo specifiche disposizioni» (art. 124, comma 2, d. lgs. n. 267/2000) nonché le indicazioni fornite al riguardo dal Garante nelle proprie Linee guida prima richiamate e la necessità di adottare gli opportuni «accorgimenti per la tutela dei dati personali[,] provvede[ndo] a oscurare nella documentazione pubblicata i dati e le informazioni idonei a identificare, anche in maniera indiretta, i soggetti interessati» dopo la scadenza dei 15 giorni previsa per la pubblicazione nell’albo pretorio.

Rispetto a tale dettato normativo non può essere accolta l’eccezione dell’ente secondo cui la permanenza oltre i quindici giorni prevista sarebbe suffragata dalla rilevanza del «ruolo di vigile locale […], anche ai fini di pubblica sicurezza, [che giustificherebbe] un interesse pubblico alla pubblicazione di questi tipi di documenti, anche oltre i quindici giorni canonici», nonché dall’utilità «che i cittadini conoscessero il relativo nominativo», anche considerando che «la necessità di rendere edotta la popolazione in ordine al nominativo del personale della polizia municipale, vista la recente riorganizzazione del servizio che riguardava tutti i Comuni dell’Unione».

Ciò in quanto anche la normativa statale di settore in materia di trasparenza è chiara sul punto e prevede al riguardo la possibilità da parte delle pp.aa. di pubblicare «dati, informazioni e documenti che non hanno l'obbligo di pubblicare ai sensi del presente decreto o sulla base di specifica previsione di legge o regolamento, nel rispetto dei limiti indicati dall'articolo 5-bis», ma sempre «procedendo alla indicazione in forma anonima dei dati personali eventualmente presenti» (art. 7-bis, comma 3, del d. lgs. n. 33/2013).

D’altronde, appare rilevante quanto riportato, altresì, anche dai reclamanti agenti di polizia municipale, nel reclamo presentato al Garante, i quali hanno invece contestato la diffusione delle proprie informazioni personali, la quale poteva «mettere a repentaglio la loro sicurezza, senza che ciò fosse necessario e/o funzionale alla pubblicazione delle Delibere in oggetto o tantomeno alla gestione dei loro rapporto di lavoro». Ciò anche considerando che «tra le loro competenze vi sono quelle di Polizia Giudiziaria, nonché funzioni ausiliarie di Pubblica Sicurezza, che comportano di lavorare frequentemente in situazioni particolari e delicate che interferiscono anche con la sfera privata di ciascun agente». Pertanto, l’«indicazione era del tutto superflua e i dati potevano essere indicati in maniera raggruppata ed anonima, indicando il numero degli operatori, eventualmente divisi per gradi, e assegnando le nuove matricole collegandole a quelle precedentemente possedute nel territorio di provenienza». Secondo quanto rappresentato dai reclamanti, inoltre, «non vi è alcun interesse pubblico a conoscere la precisa identità degli agenti preposti a determinati servizi per la collettività, né cattivo esercizio di potere pubblico nel non comunicarlo. L’unico interesse pubblico riscontrabile è quello di sapere se vi è un determinato servizio, l’ufficio preposto a svolgerlo, la sua ubicazione e l’esistenza e il numero di addetti in tale posizione e quanto l’ente investe su tali servizi. Così come, un adeguato esercizio del pubblico potere di cui è investito il titolare del trattamento può essere ben realizzato con il fornire tali informazioni, senza indicare l’identità degli agenti di Polizia Locale». Inoltre, secondo quanto dichiarato sarebbe «noto alla stessa Unione Reno Lavino Samoggia la delicatezza dell’operato dei suoi agenti di Polizia Locale, aventi tutti competenze e funzioni di Polizia Giudiziaria, nonché funzioni ausiliarie di Pubblica Sicurezza, tanto che, al contrario degli altri dipendenti dell’ente senza tali ruoli, non sono forniti di un cartellino identificativo da apporre sulla divisa, ma solo di una placca con il numero di matricola».

Si prende, comunque, atto – senza che ciò possa incidere sul giudizio in ordine alla liceità del trattamento ma come elemento per la valutazione della condotta – della buona fede dell’ente e della circostanza che, anche nel riscontro all’esercizio dei diritti da parte dei reclamanti nei confronti dell’Unione dei Comuni, «l’ente ha riscontrato l’istanza senza soprassedere alla richiesta, effettuando una valutazione sul comportamento dell’amministrazione che all’epoca è sembrato corretto anche considerando che i dati personali erano riferiti ai nominativi di agenti della polizia municipale, che si ritenevano dati minimi, necessari e pertinenti per raggiungere lo scopo ritenuto legittimo dall’Amministrazione, vale a dire quello di informare la cittadinanza sulla nuova composizione del corpo della polizia locale», nonché del fatto che «la richiesta di esercizio dei diritti era stata effettuata in prossimità dell’applicazione del Regolamento (UE) 2016/679 e che era la prima volta che l’amministrazione si è trovata in una situazione del genere, in un contesto caratterizzato da forte conflittualità [date le vertenze sindacali in atto]».

6. Esito dell’istruttoria relativa al reclamo presentato

Per tutto quanto sopra descritto, le circostanze evidenziate negli scritti difensivi esaminate nel loro complesso, sicuramente meritevoli di considerazione ai fini della valutazione della condotta, non risultano sufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo alcuna delle ipotesi previste dall’art. 11 del Regolamento del Garante n. 1/2019. Ciò anche considerando che sin dal 2014 l’Autorità, nelle Linee guida in materia di trasparenza e pubblicazione online sopra citate, ha fornito a tutte le pp.aa. specifiche indicazioni sulle modalità per contemperare gli obblighi di trasparenza e pubblicità dell’azione amministrativa con il diritto alla protezione dei dati personali dei soggetti interessati, anche con riferimento all’albo pretorio online.

In tale quadro, si confermano le valutazioni preliminari dell’Ufficio con la nota prot. n. XX del XX e si rileva l’illiceità del trattamento di dati personali effettuato dall’Unione dei Comuni Valli del Reno, Lavino e Samoggia, in quanto la diffusione di dati e informazioni personali dei reclamanti agenti di polizia municipale contenuti nei documenti e relativi allegati, meglio identificati supra in par. 1, pubblicati sul sito web istituzionale (Delibera di Giunta n. XX  del XX; Determinazione Dirigenziale n. XX del XX; Determinazione Dirigenziale n. XX del XX e Determinazione Dirigenziale n. XX del XX), risulta:

- priva di idonei presupposti normativi, per il periodo eccedente i quindici giorni previsti dall’art. 124, comma 1, del d. lgs. n. 267/2000 per la pubblicazione nell’albo pretorio, in violazione dell’art. 2-ter, commi 1 e 3 del Codice, nonché dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD;

- non conforme al principio di «minimizzazione dei dati» – con riferimento all’indicazione in chiaro della sede di lavoro e tipo di mansioni/competenze svolte – considerando che gli stessi non risultano essere stati «limitati a quanto necessario rispetto alle finalità per le quali sono trattati», in violazione dell’art. 5, par. 1, lett. c), del RGPD

Considerato, tuttavia, che la condotta ha esaurito i suoi effetti, in quanto il titolare del trattamento ha dichiarato di aver rimosso i dati personali oggetto di reclamo dal web, fermo restando quanto si dirà sull’applicazione della sanzione amministrativa pecuniaria, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del RGPD.

7. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria (artt. 58, par. 2, lett. i; 83 del RGPD)

L’Unione dei Comuni Valli del Reno, Lavino e Samoggia risulta aver violato gli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD; nonché l’art. 2-ter, commi 1 e 3, del Codice.

Al riguardo, l’art. 83, par. 3, del RGPD, prevede che «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave».

Nel caso di specie, la violazione delle disposizioni citate – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del RGPD, che si applica pertanto al caso di specie.

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD, nonché dell’art. 166 del Codice, ha il potere correttivo di «infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso». In tale quadro, «il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice» (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del RGPD.

In tal senso, la rilevata condotta tenuta in violazione della disciplina in materia di protezione dei dati personali risulta di natura colposa ed ha avuto a oggetto la diffusione online di dati personali, per più di due anni, non appartenenti a categorie particolari né a condanne penali o reati (artt. 9 e 10, del RGPD), riferiti ai reclamanti e altri interessati per un numero complessivo pari a 59 soggetti. L’Unione dei Comuni Valli del Reno, Lavino e Samoggia è in ogni caso un ente di medie dimensioni (poco più di 110.000 abitanti), che a seguito della richiesta dell’Ufficio è intervenuto tempestivamente, collaborando con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alla violazione, attenuandone i possibili effetti negativi. Nel riscontro al Garante sono state, inoltre, descritte diverse misure tecniche e organizzative messe in atto ai sensi degli artt. 25-32 del RGPD e non risultano, in ogni caso, eventuali precedenti violazioni del RGPD pertinenti commesse dall’ente.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, parr. 2 e 3, del RGPD l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, del RGPD, nella misura di euro 13.000,00 (tredicimila) per la violazione degli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD, nonché dell’art. 2-ter, commi 1 e 3, del Codice; quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo RGPD.

In relazione alle specifiche circostanze del presente caso, relative alla diffusione di dati personali online in assenza di una idonea base normativa e in violazione del principio di minimizzazione dei dati (art. 5, par. 1, lett. c, RGPD), si ritiene altresì che debba essere applicata la sanzione accessoria della pubblicazione del presente provvedimento sul sito Internet del Garante, prevista dall’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità del trattamento effettuato dall’Unione dei Comuni Valli del Reno, Lavino e Samoggia nei termini indicati in motivazione ai sensi degli artt. 58, par. 2, lett. i), e 83 del RGPD

ORDINA

all’Unione dei Comuni Valli del Reno, Lavino e Samoggia, in persona del legale rappresentante pro-tempore, con sede legale in Via dei Mille 9 c/o sede Comune di Casalecchio di Reno - 40033 Casalecchio di Reno (BO) - C.F. 91311930373 di pagare la somma di € 13.000,00 (tredicimila) a titolo di sanzione amministrativa pecuniaria per le violazioni di cui in motivazione;

INGIUNGE

alla medesima Unione di Comuni di pagare la somma di euro € 13.000,00 (tredicimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.

Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1/9/2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice).

DISPONE

- la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019;

- l'annotazione nel registro interno dell'Autorità delle violazioni e delle misure adottate ai sensi dell'art. 58, par. 2, del RGPD con il presente provvedimento, come previsto dall’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 25 marzo 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
9670709
Data
25/03/21

Argomenti


Tipologia

Ordinanza ingiunzione o revoca