g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Comune di Putifigari - 29 aprile 2021 [9678951]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9678951]

Ordinanza ingiunzione nei confronti di Comune di Putifigari - 29 aprile 2021

Registro dei provvedimenti
n. 167 del 29 aprile 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO il d. lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida in materia di trasparenza”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Introduzione

Questa Autorità ha ricevuto una segnalazione, con la quale è stata lamentata una violazione della normativa in materia di protezione dei dati personali da parte del Comune di Putifigari.

Nello specifico, come emerso dalla verifica preliminare effettuata dall’Ufficio, nell’area «Sovvenzioni, contributi, sussidi, vantaggi economici›, della sezione «Amministrazione trasparente» del sito web istituzionale del predetto Comune, era possibile visualizzare informazioni di dettaglio relative ai predetti atti di concessione.

Al riguardo, compilando l’apposita maschera di ricerca, era possibile visualizzare le informazioni concernenti il provvedimento dei Servizi Sociali n. XX del XX con indicazione in chiaro, oltre del nominativo del soggetto beneficiario (sig. XX), del relativo codice fiscale, del sussidio ricevuto pari a € 234,08 e del «Titolo/Norma» del pagamento, che riportava la seguente giustificazione «XX».

Le descritte informazioni personali erano presenti ai seguenti url:

1) http://...;

2) http://....

2. La normativa in materia di protezione dei dati personali

Ai sensi della disciplina in materia, «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)» e «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).

Al riguardo, i soggetti pubblici (come il Comune) possono diffondere «dati personali» solo se tale operazione è prevista «da una norma di legge o, nei casi previsti dalla legge, di regolamento» (art. 2-ter, commi 1 e 3, del Codice), nel rispetto – in ogni caso – dei principi in materia di protezione dei dati, fra i quali quello di «minimizzazione», in base al quale i dati personali devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. c, del RGPD).

La normativa statale di settore in materia di trasparenza prevede, con riferimento agli «obblighi di pubblicazione degli atti di concessione di sovvenzioni, contributi, sussidi e attribuzione di vantaggi economici a persone fisiche ed enti pubblici e privati», che «Le pubbliche amministrazioni pubblicano gli atti di concessione delle sovvenzioni, contributi, sussidi ed ausili finanziari […], e comunque di vantaggi economici di qualunque genere a persone […] di importo superiore a mille euro» nel corso dell’anno solare. In ogni caso, «È esclusa la pubblicazione dei dati identificativi delle persone fisiche destinatarie dei provvedimenti di cui al presente articolo, qualora da tali dati sia possibile ricavare informazioni relative»: «allo stato di salute» o «alla situazione di disagio economico-sociale degli interessati» (art. 26, commi 2-4, del d. lgs. n. 33 del 14/3/2013).

Analogamente anche il Codice stabilisce che è vietata la diffusione di dati relativi alla salute (art. 2-septies, comma 8), ossia di «dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute» (artt. 4, par. 1, n. 15; 9, par. 1, 2 e 4, considerando n. 35 del RGPD).

Si ricorda, inoltre, che, sin dal 2014, il Garante ha evidenziato che i dati idonei a rivelare lo stato di salute non sono solo quelli relativi all’indicazione della patologia, ma riguardano qualsiasi informazione «da cui si possa desumere, anche indirettamente, lo stato di malattia o l’esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici» (cfr. provvedimento n. 243 del 15/5/2014, recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», in corso di aggiornamento ma ancora valide nella parte sostanziale, pubblicate in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436, parte prima par. 2 e parte seconda, par. 1; nonché provvedimenti ivi citati in nota n. 5).

Nelle medesime Linee guida è indicato, con riferimento all’obbligo di pubblicazione degli atti di concessione di benefici economici (parte prima, par. 9.e), che «lo stesso d. lgs. n. 33/2013 individua una serie di limiti all’obbligo di pubblicazione di atti di concessione di benefici economici comunque denominati. Non possono, infatti, essere pubblicati i dati identificativi delle persone fisiche destinatarie dei provvedimenti di concessione di sovvenzioni, contributi, sussidi e attribuzione di vantaggi economici, nonché gli elenchi dei relativi destinatari:

a) di importo complessivo inferiore a mille euro nel corso dell’anno solare a favore del medesimo beneficiario;

b) di importo superiore a mille euro nel corso dell’anno solare a favore del medesimo beneficiario “qualora da tali dati sia possibile ricavare informazioni relative allo stato di salute” (art. 26, comma 4, d. lgs. n. 33/2013; nonché [art. 2-septies], comma 8 […] del Codice);

c) di importo superiore a mille euro nel corso dell’anno solare a favore del medesimo beneficiario “qualora da tali dati sia possibile ricavare informazioni relative […] alla situazione di disagio economico-sociale degli interessati” (art. 26, comma 4, d. lgs. n. 33/2013)».

3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato.

Alla luce dalle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX dell’XX ha accertato che il Comune di Putifigari – diffondendo i dati e le informazioni personali del soggetto destinatario del beneficio economico prima descritti – ha effettuato un trattamento di dati personali non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD. Pertanto, con la medesima nota sono state notificate al predetto Comune le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD e invitando la predetta amministrazione a far pervenire al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentito da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

4. Memorie difensive.

Il Comune di Putifigari, con la nota prot. n. XX del XX, ha inviato al Garante i propri scritti difensivi in relazione alle violazioni notificate.

Al riguardo, si ricorda che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, intitolato «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante».

Nello specifico, è stato rappresentato, fra l’altro che:

- «Anzitutto, codesta amministrazione ammette che è accaduta la pubblicazione nella sezione amministrazione trasparente dell’Ente del nominativo del Sig. XX, del suo codice fiscale e l’importo dell’impegno per il mese di marzo 2019 a titolo di sussidio per Piani personalizzati di sostegno a favore di persone con handicap grave, ai sensi della legge 162/1998 programma 2018 gestione indiretta 2019»;

- «Ciò rappresenta una evidente violazione del divieto di diffusione di dati relativi alla salute in quanto si desume indirettamente che il predetto sia portatore di handicap, in contrasto con l’art. 2-septies comma 8 del D.lgs 196/2003 e dell’art. 26 comma 4 del D. lgs 33/2013, nonché dei principi di base del trattamento di cui agli art. 5 par. 1 lett. a) e c) e art. 9 parr. 1, 2 e 4 del Reg. U.E. 679/2016, come ha giustamente contestato l’Autorità Garante nel provvedimento notificato l’XX scorso»;

- «Invece, con riferimento alla ulteriore contestazione relativa alla assenza della base giuridica legale per la pubblicazione degli atti di concessione di sussidi e attribuzioni di vantaggi economici a persone fisiche private ai sensi dell’art. 26 commi 2 -4 del D.lgs 33/2013, con specifico riferimento al presupposto che l’importo fosse inferiore a mille euro nel corso dell’anno solare, occorre rilevare che il Sig. XX nel 2019 ha beneficiato dei sussidi di codesto Comune per l’importo complessivo di euro 3.722.19 […]»;

- «in data XX l’operatore ha provveduto a pubblicare gli impegni eseguiti senza deflaggare la casella relativa alla pubblicazione del nominativo di quel singolo beneficiario Sig. XX […], mentre aveva correttamente deflaggato le caselle relative alla pubblicazione dei nominativi degli altri 29 beneficiari»;

- «A causa di questo errore materiale, è emersa l’erogazione di un beneficio economico per quella causale a favore di un utente identificato dal sistema gestionale con nome, cognome e codice fiscale»;

- «Tale informazione, purtroppo legata indirettamente ad una situazione sanitaria, non era, pertanto, destinata ad essere resa nota a terzi, men che meno attraverso la diffusione online»;

- «I dati relativi al [soggetto interessato] sono stati rimossi già il XX, all’indomani della notifica della violazione da parte dell’Autorità, in quanto solo in quella occasione si era potuto apprendere dell’errore cui consegue la violazione a tutela dei dati personali»;

- «con riferimento alla contestata violazione dell’art. 26 del D. Lgs. 33/2013, per la parte che non prevede la pubblicazione dei dati identificativi del beneficiario di benefici economici di importi inferiori a mille euro nell’anno solare, si evidenzia rispettosamente che non vi sarebbe violazione dell’art. 2 ter commi 1 e 3 del D.lgs 196/2003 nonché dei principi di base del trattamento di cui agli art. 5, par. 1, lett. a) e c); art. 6 par. 1, lettera c) ed e), par. 2) e par. 3, lett. b) del Reg. U.E. 679/2016, in quanto il soggetto in questione in quell’anno solare ha superato abbondantemente l’importo di mille euro»;

- «Anche il comportamento dell’operatore, che ha provveduto ad oscurare i nominativi di tutti i beneficiari tranne uno, denota la consapevolezza sulla necessità di oscurare il dato personale perché ne è vietata la diffusione e rende evidente che si è trattato di un mero errore materiale nell’attivare il comando sul software gestionale in dotazione, errando laddove, involontariamente, è stato reso visibile il nominativo del Sig. XX in quel singolo impegno»;

- «È evidente che un’operazione ripetitiva, in condizioni di carichi di lavoro elevati per un singolo operatore, possa facilmente determinare una distrazione dello stesso e neppure consistere in una vera e propria negligenza»;

- «Oltre alla immediata rimozione dalla sezione Amministrazione Trasparente nell’area “sovvenzioni, contributi, sussidi, vantaggi economici” del sito web del Comune di Putifigari, il XX dei contenuti concernenti la Determinazione dei Servizi Sociali n. XX del XX, il Comune ha chiesto alla ditta fornitrice del gestionale di verificare se era possibile porre in essere opportune misure tecniche che impedissero la ripetizione di questo contenuto da altri siti web, al fine di mitigare le conseguenze della diffusione. La ditta si è attivata ed ha escluso che i contenuti fossero stati ripresi […]»;

- «Inoltre, cautelativamente l’Ente ha chiesto alla [società informatica] di verificare la presenza di eventuali contenuti analoghi relativi ad altri soggetti presenti sul sito, di effettuare la segnalazione degli stessi agli uffici e di provvedere all’adozione, urgente ed immediata, delle medesime procedure indicate per i dati del Sig. XX»;

- «Ancora, lo stesso XX l’Ente ha chiesto anche a tutti gli Uffici di provvedere, con urgenza, ad una verifica e ricognizione dei dati pubblicati nella sezione “amministrazione trasparente” nell’area “sovvenzioni, contributi, sussidi, vantaggi economici” del sito web del Comune di Putifigari dei dati personali di cui all’art. 9 e dei dati personali relativi a condanne e reati di cui all’art. 10 del Regolamento UE 2016/679, alle luce delle linee guida del Garante della protezione dei dati per il trattamento dei dati personali sui siti web della PA […]»;

- «L’Ente preliminarmente ha verificato anche con il DPO se erano sfuggite eventuali richieste da parte dell’interessato, appurando che nulla era pervenuto tanto da parte dello stesso, quanto da terzi in termini di segnalazioni sull’accaduto»;

- «tutto il personale del Comune di Putifigari in data XX ha partecipato all’evento di formazione sul tema dei rapporti tra privacy, trasparenza e pubblicità pianificato dal DPO sin dal XX […] e da questi tenuto per tutti gli Enti che fanno parte dell’Unione dei Comuni del Coros, i cui contenuti ed esiti sono stati comunicati via PEC dal DPO all’Unione e ai Comuni […]»;

- «il gestionale in uso agli uffici fornito dalla [società informatica], che pure ne cura la gestione e la manutenzione compresa la formazione tecnica alle persone che lo utilizzano, consente l’oscuramento dei dati personali per impostazione predefinita in ottica di rispetto della privacy by design e by default, […] ma anche dalle specifiche di sicurezza inviate all’Ente […]»;

- «Inoltre, su richiesta del DPO, all’indomani della notificazione della violazione, tra le altre, è stata disposta la verifica sulle funzionalità del software e sulle circostanze dell’accaduto ed è stata di conseguenza richiesta il XX una modifica migliorativa alla casa produttrice […]. Tale modifica migliorativa consiste nella omissione del beneficiario e delle altre informazioni come impostazione predefinita, in modo che l’operatore debba appositamente spuntare la casella se vuole pubblicare o rendere visibile il contenuto e non limitarsi a deflaggare, come avviene attualmente. Ciò avrebbe un duplice vantaggio: da una parte di consentire il miglioramento dell’attenzione dell’operatore che deve compiere una operazione positiva di caricamento del contenuto, dall’altra, anche si dovesse verificare una nuova distrazione da parte dello stesso, al limite non risulterebbe pubblicato il contenuto desiderato, facendo salvo il diritto alla riservatezza degli interessati»;

- «L’inserimento nei due URL è stato causato da un mero errore materiale dell’operatore che non ha cliccato sul software, per quell’utente soltanto, il tasto di omissione dati»;

- «Si evidenzia che il comune di Putifigari è un piccolo paese in provincia di Sassari con una popolazione residente di circa 700 persone e ha solo n. 5 dipendenti, ai quali sono assegnate numerosi compiti e funzioni con carichi di lavoro importanti e spesso eccessivi. Ciò può essere causa di disattenzioni assolutamente non volute».

5. Esito dell’istruttoria relativa al reclamo presentato

La questione oggetto del caso sottoposto all’attenzione del Garante riguarda la pubblicazione di dati e informazioni personali di un soggetto beneficiario di un sussidio economico nell’ambito di «Piani personalizzati di sostegno a favore di persone con handicap grave», con conseguente diffusione dei relativi dati sulla salute riguardanti il proprio stato di disabilità.

Al riguardo, si prende atto, accogliendo l’eccezione sollevata da Comune nelle memorie difensive supportate da idonea documentazione, che il beneficio economico concesso al soggetto interessato era di importo superiore a mille euro nell’anno solare, venendo quindi meno la contestazione effettuata dall’Ufficio all’ente in relazione alla violazione dell’art. 26, comma 2, del d. lgs. 33/2013.

Ciò nonostante, nell’ambito dell’istruttoria aperta da questa Autorità, è stata comunque confermata, anche in sede di memorie difensive, l’avvenuta diffusione online dei dati personali sulla salute del soggetto interessato. Sotto tale profilo, infatti, anche l’ente ha ammesso che la diffusione dei dati online del reclamante è stato frutto di «un mero errore materiale dell’operatore che non ha cliccato sul software, per quell’utente soltanto, il tasto di omissione dati».

In tale quadro, le circostanze evidenziate negli scritti difensivi esaminate nel loro complesso, sicuramente meritevoli di considerazione ai fini della valutazione della condotta, non risultano tuttavia sufficienti a consentire la totale archiviazione del presente procedimento, non ricorrendo alcuna delle ipotesi previste dall’art. 11 del Regolamento del Garante n. 1/2019. Ciò anche considerando che sin dal 2014 l’Autorità, nelle Linee guida in materia di trasparenza e pubblicazione online sopra citate, ha fornito a tutte le pp.aa. specifiche indicazioni sulle modalità per contemperare gli obblighi di trasparenza e pubblicità dell’azione amministrativa con il diritto alla protezione dei dati personali dei soggetti interessati.

Per tale motivo, pur accogliendo l’eccezione del Comune in ordine all’art. 26, comma 2, del d. lgs. 33/2013, si confermano le altre valutazioni preliminari dell’Ufficio contenute nella nota prot. n. XX dell’XX e si rileva l’illiceità del trattamento di dati personali effettuato dal Comune di Putifigari, in quanto l’aver riportato sulle pagine web prima indicate il nominativo del soggetto interessato e la circostanza che il contributo economico è stato versato in base a «Piani personalizzati di sostegno a favore di persone con handicap grave, ai sensi della Legge 162/98» ha causato una diffusione di dati personali relativi alla sua salute, in violazione dell’art. 2-septies, comma 8, del Codice e dell’art. 26, comma 4, del d. lgs. 33/2013; nonché dei principi di base del trattamento di cui agli artt. 5, par. 1, lett. a) e c); 9, parr. 1, 2 e 4, del RGPD.

Considerato, tuttavia, che la condotta ha esaurito i suoi effetti, in quanto il titolare del trattamento ha dichiarato di aver provveduto a oscurare i dati personali del reclamante diffusi online, fermo restando quanto si dirà sull’applicazione della sanzione amministrativa pecuniaria, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del RGPD.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria (artt. 58, par. 2, lett. i; 83 del RGPD)

Il Comune di Putifigari risulta aver violato gli artt. 5, par. 1, lett. a) e c); 9, parr. 1, 2 e 4, del RGPD, nonché l’art. 2-septies, comma 8, del Codice e l’art. 26, comma 4, del d. lgs. 33/2013.

Al riguardo, l’art. 83, par. 3, del RGPD, prevede che «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave».

Nel caso di specie, la violazione delle disposizioni citate – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del RGPD, che si applica pertanto al caso di specie.

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD, nonché dell’art. 166 del Codice, ha il potere correttivo di «infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso». In tale quadro, «il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice» (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del RGPD.

In tal senso, la rilevata condotta tenuta in violazione della disciplina in materia di protezione dei dati personali risulta di natura colposa e legata a un evento isolato causato da un mero errore materiale. Il trattamento ha in ogni caso avuto a oggetto la diffusione online di dati personali, per più di un anno e mezzo, di dati sulla salute (art. 9, RGPD), riferiti a un solo soggetto interessato. Il Comune di Putifigari è tuttavia un ente di piccole dimensioni (poco più di 700 abitanti) con solo 5 dipendenti, ai quali – secondo quanto affermato dal Comune – «sono assegnate numerosi compiti e funzioni con carichi di lavoro importanti e spesso eccessivi [che] può essere causa di disattenzioni assolutamente non volute». L’amministrazione, a seguito della richiesta dell’Ufficio è intervenuta tempestivamente, collaborando con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alla violazione, attenuandone i possibili effetti negativi. Nel riscontro al Garante sono state, inoltre, descritte diverse misure tecniche e organizzative messe in atto ai sensi degli artt. 25-32 del RGPD e non risultano, in ogni caso, eventuali precedenti violazioni del RGPD pertinenti commesse dall’ente.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, parr. 2 e 3, del RGPD l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, del RGPD, nella misura di euro 3.000,00 (tremila) per la violazione degli artt. 5, par. 1, lett. a) e c); 9, parr. 1, 2 e 4, del RGPD, nonché dell’art. 2-septies, comma 8, del Codice e dell’art. 26, comma 4, del d. lgs. 33/2013; quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo RGPD.

In relazione alle specifiche circostanze del presente caso, relative alla diffusione online di dati sulla salute (art. 9, RGPD), si ritiene altresì che debba essere applicata la sanzione accessoria della pubblicazione del presente provvedimento sul sito Internet del Garante, prevista dall’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità del trattamento effettuato dal Comune di Putifigari nei termini indicati in motivazione ai sensi degli artt. 58, par. 2, lett. i), e 83 del RGPD

ORDINA

al Comune di Putifigari, in persona del legale rappresentante pro-tempore, con sede legale in Piazza Boyl n. 9 - 07040 Putifigari (SS) - C.F. 00253840904 di pagare la somma di € 3.000,00 (tremila) a titolo di sanzione amministrativa pecuniaria per le violazioni di cui in motivazione;

INGIUNGE

al medesimo Comune di pagare la somma di euro € 3.000,00 (tremila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.

Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1/9/2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice).

DISPONE

- la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019;

- l'annotazione nel registro interno dell'Autorità delle violazioni e delle misure adottate ai sensi dell'art. 58, par. 2, del RGPD con il presente provvedimento, come previsto dall’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 29 aprile 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei