g-docweb-display Portlet

Provvedimento del 9 giugno 2022 [9789037]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9789037]

Provvedimento del 9 giugno 2022

Registro dei provvedimenti
n. 212 del 9 giugno 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27/4/2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO il d. lgs. 30/6/2003, n. 196 recante “Codice in materia di protezione dei dati personali” (di seguito “Codice”);

VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida in materia di trasparenza”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Introduzione

Questa Autorità ha ricevuto un reclamo, presentato da XX (di seguito “reclamante”), con il quale è stata lamentata una violazione della normativa in materia di protezione dei dati personali.

Nello specifico è stata contestata la diffusione di dati e informazioni personali contenuti nella delibera di Giunta n. XX, pubblicata sul sito web istituzionale del Comune di Brindisi, riferiti al reclamante e al figlio minore con indicazione riguardanti le lesioni da quest’ultimo riportate a seguito di una caduta all’interno della scuola.

Dalla documentazione allegata dal reclamante, risulta che lo stesso si era previamente rivolto al Comune con nota del XX per chiedere la «rimozione della deliberazione n. XX dall’Albo Pretorio on line [e la] sua ripubblicazione nel rispetto delle norme vigenti, ossia cancellando tutti i dati che possano far risalire all’identità del minore ed alla sua patologia».

L’Ufficio del Garante ha effettuato una verifica preliminare sul sito web istituzionale dell’ente, per verificare l’adempimento da parte del Comune delle richieste effettuate. Al riguardo, è emerso che nell’area denominata «Amministrazione trasparente Albo pretorio», seguendo il percorso XX, non era possibile scaricare il contenuto della deliberazione contestata.

Tuttavia, risultava ancora visualizzabile e scaricabile liberamente l’oggetto della citata delibera di Giunta n. XX, che riportava testualmente: «Atto di citazione dinanzi al Tribunale Sezione Civile di Brindisi promosso dal sig. XX in qualità di genitore esercente la potestà genitoriale sul minore XX. Costituzione in giudizio e conferimento mandato agli Avvocati interni del Comune di Brindisi». Nel citato oggetto erano, pertanto, ancora riportati in chiaro i dati personali (nome e cognome) sia del reclamante che del figlio minore, nonché la circostanza dell’esistenza di un procedimento giudiziario attivato dallo stesso nei confronti del Comune.

La citata pagina web risultava inoltre direttamente raggiungibile tramite i seguenti indirizzi web:

1. https://...;

2. https://...

2. La normativa in materia di protezione dei dati personali

Ai sensi della disciplina in materia, «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)» e «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).

Al riguardo, con particolare riferimento al caso sottoposto all’attenzione del Garante, si ricorda che i soggetti pubblici, come il Comune, possono diffondere «dati personali» nei limiti di quanto previsto dall’art. 2-ter, commi 1 e 3, del Codice, nel rispetto – in ogni caso – dei principi in materia di protezione dei dati, fra cui quello di «minimizzazione», in base al quale i dati personali devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. c, del RGPD).

La normativa statale di settore prevede, inoltre, che «Tutte le deliberazioni del comune e della provincia sono pubblicate mediante pubblicazione all’albo pretorio, nella sede dell’ente, per quindici giorni consecutivi, salvo specifiche disposizioni di legge» (art. 124, comma 1, d. lgs. n. 267 del 18/8/2000).

In ordine alle pubblicazione sull’albo pretorio e alle sezioni “Archivio” dell’ente, fin dal 2014, il Garante ha fornito specifiche indicazioni alle amministrazioni sulle cautele da adottare per la diffusione di dati personali online con il provvedimento generale n. 243 del 15/5/2014, recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (attualmente in corso di aggiornamento, ma ancora attuale nella parte sostanziale).

Nelle Linee guida del Garante sopra citate, è espressamente sancito che una volta trascorso il periodo temporale previsto per la pubblicazione degli atti e documenti nell’albo pretorio:

- «gli enti locali non possono continuare a diffondere i dati personali in essi contenuti. In caso contrario, si determinerebbe, per il periodo eccedente la durata prevista dalla normativa di riferimento, una diffusione dei dati personali illecita perché non supportata da idonei presupposti normativi […]. A tal proposito, ad esempio, la permanenza nel web di dati personali contenuti nelle deliberazioni degli enti locali oltre il termine di quindici giorni, previsto dall´art. 124 del citato d. lgs. n. 267/2000, può integrare una violazione del suddetto art. 19, comma 3, del Codice [n.d.r. oggi riprodotto nell’art. 2-ter, commi 1 e 3, del Codice], laddove non esista un diverso parametro legislativo o regolamentare che preveda la relativa diffusione […]. [In tale ipotesi] se gli enti locali vogliono continuare a mantenere nel proprio sito web istituzionale gli atti e i documenti pubblicati, ad esempio nelle sezioni dedicate agli archivi degli atti e/o della normativa dell’ente, devono apportare gli opportuni accorgimenti per la tutela dei dati personali. In tali casi, quindi, è necessario provvedere a oscurare nella documentazione pubblicata i dati e le informazioni idonei a identificare, anche in maniera indiretta, i soggetti interessati» (parte seconda, par. 3.a).

3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato.

Dalle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX del XX ha accertato che il Comune di Brindisi – diffondendo i dati e le informazioni personali contenuti nell’oggetto della delibera pubblicati online prima descritti – ha effettuato un trattamento di dati personali non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD. Pertanto, con la medesima nota sono state notificate al predetto Comune le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD e invitando la predetta amministrazione a far pervenire al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentita da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

4. Memorie difensive e audizione.

Il Comune di Brindisi, con la nota prot. n. XX del XX, ha inviato al Garante i propri scritti difensivi in relazione alle violazioni notificate.

Al riguardo, si ricorda che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, intitolato «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante».

Nello specifico, quanto alla condotta tenuta, l’amministrazione comunale ha evidenziato, fra l’altro che:

- «in data XX la Giunta del Comune di Brindisi decide di resistere all’azione giudiziaria promossa da un cittadino adottando e pubblicando la delibera n. XX avente ad oggetto: “Atto di citazione dinanzi al Tribunale Sezione Civile di Brindisi promosso dal sig. XX in qualità di genitore esercente la potestà genitoriale sul minore XX. Costituzione in giudizio e conferimento mandato agli Avvocati interni del Comune di Brindisi”»;

- «l’interessato si rivolge al Comune di Brindisi con nota del XX per chiedere la “rimozione della deliberazione n. XX dall’Albo Pretorio on line [e la] sua ripubblicazione nel rispetto delle norme vigenti, ossia cancellando tutti i dati che possano far risalire all’identità del minore ed alla sua patologia”»;

- «il giorno dopo, XX, il Comune non solo si accerta che la deliberazione non sia più visibile all’Albo Pretorio (cosa regolarmente avvenuta già in data XX per lo spirare dei quindici giorni previsti dal sistema informatico – allegato 2) , ma provvede anche a eliminare la visibilità dell’intero atto dalla sezione “Amministrazione Trasparente”, ivi rimanendo l’indicazione del solo oggetto: “Atto di citazione dinanzi al Tribunale Sezione Civile di Brindisi promosso dal sig. XX in qualità di genitore esercente la potestà genitoriale sul minore XX. Costituzione in giudizio e conferimento mandato agli Avvocati interni del Comune di Brindisi”; sicché nessuno mai dal XX può aver mai avuto conoscenza del contenuto dell’atto e soprattutto di eventuali dati sensibili ivi contenuti»;

- «passano oltre due anni e nel gennaio del XX il sig. XX nulla contesta al Comune e invece presenta direttamente reclamo al Garante lamentando “la diffusione di dati e informazioni personali contenuti nella delibera di Giunta n. XX del XX, pubblicata sul sito web istituzionale di codesto Comune, riferiti al reclamante e al figlio minore con indicazione delle lesioni dallo stesso riportate a seguito di una caduta all’interno della scuola”»;

- «Come ben può evincersi, è dal novembre del XX che nessuno può aver mai avuto conoscenza del contenuto dell’atto e soprattutto di eventuali dati sensibili ivi contenuti, quali lo stato di salute o le lesioni riportate dal minore»;

- «L’unico dato che può evincersi, dall’oggetto del provvedimento, è quello relativo all’esistenza di un contenzioso di natura civile tra il sig. XX, in qualità di genitore del figlio XX, nei confronti del Comune di Brindisi»;

- «Questa Amministrazione non disconosce la natura di “dati personali” al nome e cognome espressamente indicati nell’oggetto della delibera, ed è ben conscia che la norma legittimante, costituita dall’art. 124, comma 1, d. lgs. n. 267 del 18/8/2000, è legata al periodo strettamente necessario alla pubblicazione all’albo pretorio, per soli quindici giorni consecutivi, e non risulta che codesto Garante contesti il superamento di tale limite»;

- «Esistono però ulteriori norme in materia di trasparenza[,] il Comune di Brindisi è chiamato ad adempiere al dettato dell’art. 23, c. 1, d.lgs. n. 33/2013 e dell’art. 1, co. 16 della l. n. 190/2012, procedendo alla pubblicazione dei provvedimenti degli organi di indirizzo politico all’interno della sezione “XX”»,

- «L’obbligo è limitato alla Pubblicazione dell’elenco e non degli atti, che ivi devono rimanere per un periodo di cinque anni, e quindi occorre dare atto dell’esistenza di una norma legittimante. Le stesse linee guida [del Garante] suggeriscono in questi casi di “oscurare nella documentazione pubblicata i dati e le informazioni idonei a identificare, anche in maniera indiretta, i soggetti interessati”. Ma nel caso di specie nessun atto è stato pubblicato, solo il suo meta-dato, ovverosia l’oggetto»;

- «Emerge quindi la necessità di spostare l’attenzione a livello procedurale interno, sulla corretta formulazione dell’oggetto degli atti destinati alla pubblicazione, così soddisfacendo le esigenze di protezione sin dal momento della pubblicazione all’Albo pretorio e non dovendo traguardare ad eventuali modifiche per la successiva pubblicazione nella sezione Amministrazione trasparente»;

- «Il Comune ritiene di aver sempre agito nel rispetto del dettato normativo e degli ulteriori elementi operativi forniti dal Garante»;

- «Emergono però elementi di difficile raccordo con altre norme e “linee guida” di altre autorità, quali ad esempio quelle del giugno 2016 a cura di Agid (Redazione di linee guida sulla pubblicità legale dei documenti e sulla conservazione dei siti web delle PA), laddove l’art. 11 prescrive che le informazioni immodificabili descritte nel punto 1 dello stesso articolo, tra cui l’oggetto degli atti registrati, “non sono annullabili e la modifica anche di una sola di esse determina il contestuale annullamento dell’intera registrazione”»;

- «l’intero apparato normativo teso a valorizzare la trasparenza ed il controllo sociale, proprio nel caso di specie, sarebbe oltremodo vanificato se sistematicamente occultati i nominativi, i presupposti per la costituzione in giudizio e il conferimento di incarichi all’esterno. Interesse del cittadino è proprio quello di sapere se il Comune si costituisca in giudizio a tutela delle proprie ragioni o resti inerte innanzi a qualsiasi richiesta, e se lo faccia con avvocati interni o esterni, e se esterni quali; interesse pubblico è quello di verificare che soggetti in contenzioso con l’Ente non ne diventino amministratori (causa espressa di incompatibilità), così come individuare le maggiori cause di contenzioso generato dall’Ente».

In ogni caso il Comune ha dichiarato che «a far data dal XX, in aggiunta alla già accertata assenza del testo della delibera n. XX, i dati del reclamante non sono più liberamente visibili neanche come oggetto della stessa nella sezione “XX”, essendo stato rimosso qualsiasi riferimento a tale atto».

In data XX, si è, inoltre, svolta l’audizione richiesta dal Comune di Brindisi ai sensi dell’art. 166, comma 6, del Codice in occasione della quale, a integrazione di quanto già riportato nelle memorie difensive, è stato rappresentato che:

- «il Comune ha rimosso tempestivamente i documenti pubblicati online oggetto di contestazione, riscontrando la richiesta del reclamante, anche se per mero errore è stato riportato nell’oggetto della delibera il dato personale contestato»;

- «L’Ente ha agito in perfetta buona fede e richiede che venga tenuta in considerazione l’oggettiva difficoltà di effettuare talvolta il bilanciamento fra trasparenza e protezione dei dati personali, anche in considerazione del gran numero di atti da pubblicare online»;

- «La condotta contestata risale al XX e il Comune ha al tempo già tempestivamente rimosso i dati. Nel XX il Comune riteneva quindi che la questione fosse già stata risolta, in quanto non è stata ricevuta alcuna ulteriore lamentela da parte del reclamante Sig. XX»;

- «Se di errore si è trattato, sicuramente lo si è commesso per una colpa lieve essendo l’Ente già intervenuto nel XX»;

- «Dal punto di vista pratico, si evidenzia inoltre, in ogni caso, che l’atto oggetto di pubblicazione presenta delle peculiarità, perché con esso è stata deliberata la costituzione in giudizio dell’Ente, rispetto alla quale è necessario indicare alcune informazioni necessarie a identificare la causa»;

- «Ulteriore elemento che si ritiene di sottoporre all’attenzione del Garante è la necessità di dare pieno rispetto a istituti normativi attualmente vigenti, quali l’azione popolare ex art. 9 del T.U.E.L. e la verifica esterna sulla incompatibilità per lite pendente di cui all’art. 63 del medesimo T.U.E.L. La mera pubblicazione di oggetti di provvedimenti amministrativi senza alcuna possibilità di risalire alla questione e ai soggetti in causa di fatto annullerebbe l’operatività di queste norme. Del resto stiamo parlando dei soli dati personali presenti nell’oggetto, ovviamente edulcorati da altri dati non necessari, e non dell’intero testo che invece sarebbe reperibile nel solo periodo di pubblicazione all’albo. Non è poi da trascurare il rilevante interesse pubblico di portatori di interessi diffusi all’interno di procedimenti amministrativi, che verrebbe irrimediabilmente compromesso dall’assoluta non conoscibilità delle azioni in corso con i relativi soggetti principali»;

- «Si ribadisce che, nel caso oggetto di contestazione, solo nomi e cognomi sono stati ostentati e null’altro».

5. Valutazioni del Garante

La questione oggetto del caso sottoposto all’attenzione del Garante riguarda l’inesatto adempimento da parte del Comune di Brindisi di una richiesta del reclamante effettuata nell’ottobre XX di rimozione dal web dei dati personali contenuti nella delibera di giunta n. XX pubblicata nell’albo pretorio online, che potevano far risalire all’identità del figlio minore e alla sua patologia.

Dagli atti è risultato che il Comune, a seguito della richiesta del reclamante, ha prontamente rimosso l’intero testo della citata deliberazione dal sito web. L’Ente, tuttavia, non ha provveduto a oscurare i dati del reclamante e del figlio minore contenuti anche nell’oggetto della delibera citata, perdurando nella diffusione sul sito web istituzionale dei relativi nomi e cognomi, compresa la circostanza dell’esistenza di un procedimento giudiziario attivato dallo stesso nei confronti del Comune.

Nell’ambito dell’istruttoria aperta al riguardo da questa Autorità, il Comune di Brindisi ha confermato nelle memorie difensive di aver rimosso il testo integrale della delibera e solo per errore di aver lasciato ancora online i dati personali sopra descritti contenuti nell’oggetto della delibera. In ogni caso, a propria difesa, ha osservato che la relativa pubblicazione non sarebbe stata in contrasto con il quadro normativo di riferimento, ma conforme a quanto previsto dall’art. 23, comma 1, del d. lgs. n. 33/2013 e dall’art. 1, comma 16, della l. n. 190 del 6/11//2012, oltre che aderente al contenuto dell’art. 11 delle Linee guida dell’Agid «sulla pubblicità legale dei documenti e sulla conservazione dei siti web delle PA».

Si ritiene, tuttavia, di non poter accogliere in maniera integrale l’interpretazione sostenuta dal Comune per giustificare la diffusione dei dati personali del reclamante e del figlio, contenuti nell’oggetto della delibera rimasto visibile sul web dopo la rimozione del testo dell’atto, per i motivi di seguito indicati.

In via preliminare, si rappresenta che il richiamo alla prescrizione contenuta nel citato art. 1, comma 16, della l. n. 190/2012 appare non congruente rispetto alla questione oggetto del presente procedimento. Quanto all’art. 23, comma 1, del d. lgs. n. 33/2013, si evidenzia che la predetta disposizione prevede che le pp.aa. debbano pubblicare «gli elenchi dei provvedimenti adottati dagli organi di indirizzo politico e dai dirigenti, con particolare riferimento ai provvedimenti finali dei procedimenti [ivi indicati]», quali quelli relativi «alla scelta del contraente per l’affidamento di lavori, forniture e servizi»; e «agli accordi stipulati dall’amministrazione con soggetti privati o con altre amministrazioni pubbliche».

Le disposizioni contenute nel citato articolo vanno in ogni caso interpretate alla luce dei principi di materia di protezione dei dati personali, in base ai quali il trattamento dei dati personali deve rispettare i principi di necessità e proporzionalità e i dati personali devono essere non solo adeguati e pertinenti, ma anche «limitati a quanto necessario rispetto alle finalità per le quali sono trattati» secondo il principio di «minimizzazione» (art. 5, par. 1, lett. c, del RGPD).

Il Comune, pur ammettendo di aver commesso un errore rispetto alle richieste del reclamante lasciando online i relativi dati identificativi, ha evidenziato in generale l’esistenza di un’esigenza, per finalità di trasparenza dell’azione amministrativa, di dover lasciare pubblico l’oggetto della delibera di costituzione in giudizio dell’ente e contestuale conferimento del mandato al legale rappresentante con in chiaro il nome delle parti, sostenendo – nelle proprie memorie difensive – che «l’intero apparato normativo teso a valorizzare la trasparenza ed il controllo sociale, proprio nel caso di specie, sarebbe oltremodo vanificato se [venissero] sistematicamente occultati i nominativi, i presupposti per la costituzione in giudizio e il conferimento di incarichi all’esterno». Ciò in quanto sarebbe «Interesse del cittadino […] proprio quello di sapere se il Comune si costituisca in giudizio a tutela delle proprie ragioni o resti inerte innanzi a qualsiasi richiesta, e se lo faccia con avvocati interni o esterni, e se esterni quali […]».

Tuttavia, la realizzazione dell’esigenza manifestata dall’ente, va contemperata, in ogni caso, con i principi e le regole in materia di protezione dei dati personali, considerando che «non può riconoscersi alcuna automatica prevalenza dell’obiettivo di trasparenza sul diritto alla protezione dei dati personali» (sent. Corte cost. n. 20 del 21/02/2019, punto n. 3.1. del cons. dir.). Nel rispetto del principio di proporzionalità, «deroghe e limitazioni alla protezione dei dati personali devono […] operare nei limiti dello stretto necessario, e prima di ricorrervi occorre ipotizzare misure che determinino la minor lesione, per le persone fisiche, del suddetto diritto fondamentale e che, nel contempo, contribuiscano in maniera efficace al raggiungimento dei confliggenti obiettivi di trasparenza, in quanto legittimamente perseguiti» (ibidem, cfr. anche giurisprudenza europea ivi citata).

In tale contesto, per le finalità e gli obiettivi descritti dal Comune, risulta del tutto irrilevante, e dunque sproporzionato, diffondere su Internet anche i nominativi delle parti in causa e, nello specifico, l’identità del reclamante e del figlio minore uniti alla circostanza di avere instaurato un giudizio nei confronti dell’amministrazione. Se, infatti, la necessità rappresentata nelle memorie difensive è quella di dover dare conto dei motivi della costituzione in giudizio dell’ente e degli elementi relativi agli incarichi conferiti ai legali rappresentati (in ogni caso pubblici laddove abbiano le caratteristiche di cui all’art. 15 del d. lgs. n. 33/2013), la medesima finalità può essere parimenti raggiunta senza diffondere online anche i dati personali dei soggetti interessati parti del giudizio, che non risultano «limitati a quanto necessario rispetto alle finalità per le quali sono trattati» alla luce del principio di «minimizzazione» dei dati e quindi anche di proporzionalità (art. 5, par. 1, lett. c, del RGPD).

Al riguardo – pur concordando con quanto affermato in sede di audizione dall’ente in merito alla circostanza che, rispetto alla delibera di costituzione in giudizio del Comune, «è necessario indicare alcune informazioni necessarie a identificare la causa» – si rileva che, a tale scopo, è sufficiente indicare nell’oggetto della delibera anche solo il numero di ruolo generale della causa, risultando di nessuna importanza diffondere, nel caso in esame, il nome del reclamante e del figlio minore che potevano essere omessi o oscurati senza per questo violare quanto disposto dall’art. 23, comma 1, del d. lgs. n. 33/2013.

Va ricordato come questa Autorità, in più occasioni, ha indicato che anche la presenza di uno specifico regime di pubblicità, non può comportare alcun automatismo rispetto alla diffusione online dai dati e informazioni personali, né, come già detto, una deroga ai principi in materia di protezione dei dati personali di provenienza europea, previsti dal RGPD.

Ciò è confermato anche dal sistema di protezione dei dati personali contenuto nel RGPD, alla luce del quale è previsto che il titolare del trattamento deve mettere «in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento» («data protection by default») e deve essere «in grado di dimostrare» – alla luce del principio di «responsabilizzazione» («accountability») – di averlo fatto (artt. 5, par. 2; 24 e 25, par. 2, RGPD).

Sotto tale profilo, anche il richiamo all’art. 11 delle Linee guida dell’Agid «sulla pubblicità legale dei documenti e sulla conservazione dei siti web delle PA» effettuato nelle memorie difensive non risulta accoglibile, in quanto lo stesso fa riferimento agli elementi obbligatori immodificabili della registrazione degli atti nell’albo pretorio fra cui l’oggetto, la cui modifica «determina il contestuale annullamento dell’intera registrazione». L’indicazione fornita da Agid tuttavia si riferisce alla pubblicazione nell’albo pretorio per i 15 giorni previsti dalla disciplina di settore (art. 124 del d. lgs. n. 267/2000), ma non obbliga il Comune a inserire dati personali nell’oggetto delle deliberazioni, né consente la diffusione dei dati personali del reclamante e del figlio dal XX al XX come avvenuto nel caso di specie.

Per giustificare la necessità di rendere pubblici anche i nominativi delle parti, indicandoli nell’oggetto delle deliberazioni di costituzione in giudizio del Comune, nelle memorie difensive e in sede di audizione dall’ente, sono infine richiamati gli artt. 9 e 63 del d. lgs. n. 267 del 18/8/2000 (in materia, rispettivamente, di «Azione popolare e delle associazioni di protezione ambientale» e di incompatibilità degli amministratori per lite pendente), nonché l’esistenza di un «interesse pubblico» a «verificare che soggetti in contenzioso con l’Ente non ne diventino amministratori (causa espressa di incompatibilità)» e a «individuare le maggiori cause di contenzioso generato dall’Ente».

Al riguardo, tuttavia, non si ritengono accoglibili le osservazioni del Comune. Sul punto, si rappresenta in primo luogo che la ratio delle disposizioni citate non prevede e non giustifica la conoscenza generalizzata di chiunque abbia o possa avere un contenzioso nei confronti del Comune. Analogamente, è opportuno ricordare che questa Autorità è intervenuta già in passato – anche se in diverso contesto – sulla questione della pubblicità delle sentenze e dei procedimenti giudiziari, per evidenziare che la natura pubblica della sentenza e del processo non implica che siano perciò solo conoscibili da chiunque le generalità degli interessati con dettagli delle loro personali vicende (cfr. Lettera del Presidente del Garante per la protezione dei dati personali al Primo Presidente della Corte suprema di Cassazione, del 6/10/2014, in www.gpdp.it, doc. web n. 3432529. Cfr. anche provv. n. 131 del 7/4/2022, ivi, doc. web n. 9774842; Relazione annuale 2014, ivi, doc. web n. 4059165, pag. 58).

A conferma di quanto riportato, si evidenzia che lo stesso Responsabile per la trasparenza del Comune di Brindisi – nella nota allegata alle memorie difensive del Comune dell’XX – ha richiamato proprio le indicazioni del Garante, correttamente invitando gli operatori amministrativi a «limitarsi a includere negli atti da pubblicare solo quei dati personali realmente necessari e proporzionati alla finalità di trasparenza perseguita nel caso concreto», suggerendo, «per quanto riguarda la formulazione dell’oggetto dell’atto, ai fini della tutela degli eventuali dati personali presenti», «di adottare opportuni accorgimenti, laddove possibile, attraverso la minimizzazione del dato […]». Sugli accorgimenti suggeriti dal citato Responsabile per minimizzare i dati pubblicati, a integrazione di quanto dallo stesso indicato, si ricorda che il Garante già nel 2014 ha rappresentato come «la prassi seguita da alcune amministrazioni di sostituire il nome e cognome dell’interessato con le sole iniziali è di per sé insufficiente ad anonimizzare i dati personali contenuti negli atti e documenti pubblicati online» e che «Per rendere effettivamente “anonimi” i dati pubblicati online occorre, quindi, oscurare del tutto il nominativo e le altre informazioni riferite all´interessato che ne possono consentire l´identificazione anche a posteriori» (cfr. parte prima, par. 3, Linee guida in materia di trasparenza, cit.).

6. Esito dell’istruttoria relativa al reclamo presentato

Le circostanze evidenziate negli scritti difensivi e in sede di audizione esaminate nel loro complesso, sicuramente meritevoli di considerazione ai fini della valutazione della condotta, non risultano tuttavia sufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo alcuna delle ipotesi previste dall’art. 11 del Regolamento del Garante n. 1/2019.

In tale quadro, si confermano le valutazioni preliminari dell’Ufficio effettuate con la nota prot. n. XX del XX e si rileva la non conformità al RGPD della condotta tenuta dal Comune di Brindisi, in quanto – nonostante la rimozione dal sito web istituzionale, come richiesto dal reclamante, del testo integrale della citata delibera di Giunta n. XX – la perdurante pubblicazione sul medesimo sito web istituzionale dei dati identificativi del reclamante e del figlio minore, contenuti ancora nell’oggetto della predetta delibera visibile online, ha comportato una diffusione dei dati e informazioni personali:

a)  non conforme al principio di «minimizzazione» dei dati, in quanto gli stessi non erano «limitati a quanto necessario rispetto alle finalità per le quali sono trattati», in violazione dell’art. 5, par. 1, lett. c), del RGPD;

b)  priva di idonei presupposti normativi per il periodo eccedente i quindici giorni previsti dall’art. 124, comma 1, del d. lgs. n. 267/2000 per la pubblicazione nell’albo pretorio, in violazione dell’art. 2-ter, commi 1 e 3, del Codice; nonché dell’art. 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD;

Si ritiene, tuttavia, di dover in ogni caso considerare la particolarità del caso oggetto di reclamo, che presenta una serie di circostanze meritevoli di un’attenta valutazione.

In particolare, è significativo il fatto che l’ente già nel XX aveva provveduto alla rimozione del testo integrale della delibera oggetto di contestazione dal web come richiesto dal reclamante e che – come dichiarato in sede di audizione – solo «per mero errore è stato riportato nell’oggetto della delibera il dato personale contestato». Il Comune ha, inoltre, rappresentato di avere «agito in perfetta buona fede», avendo ritenuto di avere già risolto la questione nel XX, anche perché da allora non aveva più «ricevut[o] alcuna ulteriore lamentela da parte del reclamante Sig. XX». In sede di audizione, è stato chiesto di tenere in considerazione l’«oggettiva difficoltà di effettuare talvolta il bilanciamento fra trasparenza e protezione dei dati personali, anche in considerazione del gran numero di atti da pubblicare online» e la circostanza che «Se di errore si è trattato, sicuramente lo si è commesso per una colpa lieve essendo l’Ente già intervenuto nel XX». La condotta tenuta è stata dunque di natura colposa ed ha avuto a oggetto dati non appartenenti a categorie particolari né a condanne penali o reati (artt. 9 e 10, del RGPD) riferiti a due soli soggetti interessati. Si tiene, inoltre, conto del fatto che il titolare del trattamento, a seguito della richiesta dell’Ufficio è intervenuto tempestivamente, collaborando con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alla violazione, attenuandone i possibili effetti negativi. Nel riscontro al Garante sono state, inoltre, descritte diverse misure tecniche e organizzative messe in atto ai sensi degli artt. 25-32 del RGPD e non risultano, in ogni caso, eventuali precedenti violazioni del RGPD pertinenti commesse dall’ente.

Il Comune di Brindisi rientra nella dimensione demografica appena superiore agli 83.000 abitanti.

Alla luce di tutto quanto sopra rappresentato, anziché infliggere una sanzione pecuniaria, si ritiene sufficiente ammonire il titolare del trattamento per la violazione delle disposizioni sopraindicate, ai sensi dell’art. 58, par. 2, lett. b), del RGPD (cfr. anche considerando n. 148 del RGPD).

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità del trattamento effettuato dal Comune di Brindisi – con sede legale in Piazza Matteotti, 1 - 72100 Brindisi (BR) - C.F. 80000250748 – nei termini indicati in motivazione ai sensi degli artt. 58, par. 2, lett. b), del RGPD.

AMMONISCE

il Comune di Brindisi per aver violato gli artt. 5, par. 1, lett. c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD; nonché l’art. 2-ter, commi 1-3, del Codice.

DISPONE

l’annotazione nel registro interno dell’Autorità delle violazioni e delle misure adottate ai sensi dell’art. 58, par. 2, del RGPD con il presente provvedimento, come previsto dall’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 9 giugno 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei