g-docweb-display Portlet

Provvedimento del 9 giugno 2022 [9789488]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9789488]

Provvedimento del 9 giugno 2022

Registro dei provvedimenti
n. 213 del 9 giugno 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27/4/2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO il d. lgs. 30/6/2003, n. 196 recante “Codice in materia di protezione dei dati personali” (di seguito “Codice”);

VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida in materia di trasparenza”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore l’avv. Guido Scorza;

PREMESSO

1. Introduzione

Questa Autorità ha ricevuto un reclamo, presentato da XX (di seguito “reclamante”), con il quale è stata contestata una violazione della normativa in materia di protezione dei dati personali, derivante dalla pubblicazione sul sito web istituzionale del Comune di Massarosa di dati e informazioni personali, riguardanti anche il proprio figlio disabile.

Al riguardo, dalla verifica preliminare effettuata dall’Ufficio è emerso che sul sito istituzionale del predetto Comune, dall’Home page, si può accedere all’area denominata «XX», da cui è possibile consultare l’«XX». In tal modo, compilando l’apposita maschera di ricerca risultava visionabile e liberamente scaricabile la Deliberazione di Giunta comunale n. XX dell’XX, oggetto del reclamo ricevuto dal Garante, avente a oggetto «XX» (url: https://...; https://...).

La citata deliberazione – con cui veniva decisa la costituzione in giudizio del Comune e la nomina del proprio rappresentante legale – conteneva nell’oggetto e nel testo dati personali in chiaro del reclamante, compresa la circostanza di avere proposto ricorso nei confronti del Comune a tutela del figlio minore XX. Nella motivazione erano inoltre riportati dettagli dei bisogni assistenziali «per l’autonomia e la comunicazione personale» richiesti per il minore nell’anno scolastico XX nell’ambito del P.E.I. (Piano educativo individuale) per alunni con disabilità, compresa la richiesta di un assistente specialistico c.d. A.E.C. (Assistente Educatore Culturale) e di un tecnico informatico.

2. La normativa in materia di protezione dei dati personali

Ai sensi della disciplina in materia, «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)» e «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).

I soggetti pubblici, come il Comune, possono diffondere «dati personali» nel rispetto della disciplina in materia di protezione dei dati personali (art. 2-ter, commi 1 e 3, del Codice) e – in ogni caso – del principio di «minimizzazione», in base al quale i dati personali devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. c, del RGPD).

In tale contesto, la normativa in materia di protezione dei dati personali prevede in ogni caso un divieto di diffusione (come la pubblicazione su Internet) di dati sulla salute dei soggetti interessati – ossia dei «dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute» (art. 2-septies, comma 8, del Codice; cfr. anche artt. 4, par. 1, n. 15; 9, parr. 1, 2, 4; considerando n. 35, del RGPD).

3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato.

Dalle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX del XX ha accertato che il Comune di Massarosa – diffondendo i dati e le informazioni personali contenuti nel documento pubblicato online prima descritto – ha effettuato un trattamento di dati personali non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD. Pertanto, con la medesima nota sono state notificate al predetto Comune le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD e invitando la predetta amministrazione a far pervenire al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentita da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

4. Memorie difensive e audizione.

Il Comune di Massarosa, con le note prot. n. XX del XX e prot. n. XX del XX, ha inviato al Garante i propri scritti difensivi in relazione alle violazioni notificate.

Al riguardo, si ricorda che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, intitolato «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante».

Nello specifico, quanto alla condotta tenuta, l’amministrazione ha evidenziato, fra l’altro che:

- Solo per «un mero disguido tra uffici la citata delibera veniva pubblicata nella versione integrale anziché in quella depurata di tutti gli elementi che, in ossequio alla normativa vigente, andavano omessi e/o resi non leggibili da chiunque effettuasse l’accesso per leggere e/o scaricare il suddetto provvedimento» (nota prot. n. XX);

- «Si è trattato di un episodio eccezionale, verificatosi, evidentemente, per una mancata comunicazione tra uffici in un contesto gestionale e organizzativo difficile, sia per lo stato di dissesto finanziario in cui versava (e a tutt’oggi versa) l’ente, sia per la pandemia da Covid-19» (ivi);

- «Deve infatti tenersi presente che, solitamente, prima della pubblicazione all’Albo Pretorio on line, gli addetti all’ufficio espletano comunque un’ultima attività di controllo finalizzata all’eventuale oscuramento dei dati che, in contrasto con i dettami stabiliti dalla normativa a tutela della privacy, siano stati impropriamente inseriti negli atti amministrativi» (ivi);

- «Si ritiene, inoltre, opportuno evidenziare che il Comune di Massarosa ha sempre riservato un’attenzione particolare al rispetto della citata normativa, vuoi con riferimento alla formazione del proprio personale, vuoi con le misure organizzative adottate dai vari uffici per evitare la pubblicazione ingiustificata di dati sensibili [indicate in atti]» (ivi);

- «non [è] mai pervenuto al Comune di Massarosa alcun reclamo e/o segnalazione da parte [del reclamante] in merito alle asserite violazioni alla normativa sulla tutela dei dati personali correlate alla pubblicazione della delibera della Giunta Comunale n. XX dell’XX, [per cui] il titolare del trattamento veniva a conoscenza delle suddette solamente con la notifica dell’avvio del procedimento da parte di codesta Autorità Garante, acquisita al protocollo dell’ente in data XX» (nota prot. n. XX);

- «presa visione della citata notifica, su disposizione del dirigente responsabile, si provvedeva all’immediata rimozione della suindicata delibera, non più reperibile mediante pubblica consultazione on line […]» (ivi);

- «non risulta che [il reclamante] abbia ricevuto nocumento da detta pubblicazione[. Inoltre, ] effettuando una ricerca sul motore di ricerca “google.it” con il nome e cognome [del reclamante] associato al Comune di Massarosa, non viene restituito nessun tipo di collegamento al sito del Comune, bensì ad articoli di varie testate giornalistiche precedenti, a livello temporale, alla delibera oggetto di contestazione. Negli articoli sopra citati reperibili in rete vengono riportati in maniera esplicita, direttamente [dal reclamante], dati personali idonei a rivelare lo stato di salute nonché vicende giudiziarie sussistenti tra [il reclamante] e il Comune di Massarosa (e/o suoi rappresentanti)» (nota prot. n. XX).

In data XX, si è, inoltre, svolta l’audizione richiesta dal Comune di Massarosa ai sensi dell’art. 166, comma 6, del Codice in occasione della quale, a integrazione di quanto già riportato nelle memorie difensive, è stato rappresentato che:

- «Il Comune di Massarosa, nell’assolvimento dei propri obblighi stabiliti dalla normativa vigente in materia di assistenza a soggetti portatori di disabilità, ha seguito da anni il minore [figlio del reclamante] nel corso del percorso scolastico svolto dal medesimo, mettendo a disposizione risorse sia economiche, sia in termini di personale qualificato dei propri servizi sociali»;

- «[il reclamante stesso ha portato] all’attenzione della collettività la propria delicata situazione familiare attraverso gli organi di stampa, con il rilascio di numerose interviste o in occasione di incontri e/o convegni aperti al pubblico, nelle quali […] rendeva pubbliche tutta una serie d’informazioni riguardanti la patologia che affliggeva il figlio […], sia le condizioni di vita quotidiana del medesimo e del suo nucleo familiare»;

- «nel caso di specie si è senza dubbio verificato un contrattempo nella gestione “telematica” dell’atto con conseguente mancato oscuramento dei dati suddetti - probabilmente lo stato di pandemia e di smart working di gran parte del personale può avere causato un difetto di comunicazione tra gli uffici[. ] ci troviamo di fronte ad un chiaro refuso in occasione dell’assolvimento di uno specifico obbligo di legge di pubblicazione della delibera de qua (15 giorni ex art. 124 TUEL; 5 anni ex art. 8 D.Lgs. 33/2013)»;

- «gli addetti della Segreteria generale hanno il compito di verificare prima della pubblicazione degli atti se sono in essi contenuti dati personali eccedenti la finalità del trattamento, che vengono in tal caso oscurati in conformità alla disciplina in materia di protezione dei dati personali. Purtroppo, nel caso di specie per mero errore i dati dei soggetti interessati non sono stati oscurati»;

- «il Comune ha dichiarato il dissesto finanziario nel 2019, tutt’ora in corso. Con particolare riferimento alle capacità organizzative dell’Ente comunale, si evidenzia, altresì, che l’amministrazione è attualmente fortemente sotto organico rispetto alla dimensione territoriale ed ai parametri ministeriali per gli enti della classe demografica del Comune di Massarosa; anche se, compatibilmente con le capacità di bilancio, si sta tentando di attivare le procedure per nuove assunzioni di personale».

Quanto alla base giuridica in sede di audizione è stato sostenuto che

- la contestazione indicata sub III) [della nota dell’Ufficio del Garante prot n. XX del XX] è manifestamente infondata atteso che:

a) l’art. 2-ter, commi 1 e 3 del Codice, prevede che la base normativa per disciplinare la possibilità di trattamento per i soggetti pubblici deve consistere in una specifica norma di legge (o di regolamento o di atto amministrativo generale), ovvero che la condotta del titolare del trattamento sia imposta dall’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri. Ebbene nel caso di specie sono ben due le norme che imponevano al Comune di pubblicare la delibera di cui trattasi: l’art. 124 del TUEL (che prescrive la pubblicazione all’Albo Pretorio per 15 giorni) e l’art. 8, comma 3, del D.Lgs. 14/03/2013 n. 33 (che prevede l’obbligo di pubblicazione per 5 anni);

b) l’asserita violazione dei principi base di cui all’art. 5, par. 1, lett. a) e c) del RGPD è una mera duplicazione della contestazione sub I) (violazione del principio di “liceità, correttezza e trasparenza”) e sub II) (violazione del principio di “minimizzazione dei dati”);

c) l’asserita violazione dei principi base di cui all’art. 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b) del RGPD è manifestamente errata per le medesime ragioni riferite supra sub a)».

- «le informazioni che avrebbero dovuto essere oscurate (quelle che fanno riferimento al nominativo [del reclamante] e all’iniziativa giudiziaria dalla stessa intrapresa) o addirittura del tutto omesse (quelle che fanno riferimento alla salute del figlio [del reclamante]), sono ben poca cosa a fronte della diffusione di dati e informazioni che [il reclamante] da anni aveva voluto dare all’intera collettività, decidendo di condividere con la stessa vuoi la particolare patologia del figlio, vuoi la condizione quotidiana del proprio nucleo familiare»;

- «lo stesso legislatore, in sede di redazione della norma, a fronte del verificarsi di una situazione come quella che caratterizza il nostro caso, ha espressamente statuito che non trova applicazione il divieto di trattamento dei dati c.d. sensibili (tra i quali quelli relativi alla salute) se “il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato” (art. 9, par. 2, lett. e) RGPD). E ben si comprende la ratio della citata disposizione: qualora il soggetto al quale i dati e le informazioni, ancorché sensibili, si riferiscano decida spontaneamente di renderli “manifestamente pubblici”, non vi è motivo per imporre alcun divieto di trattamento atteso che alcun tipo di pregiudizio può verificarsi all’interesse che sta alla base del diritto alla riservatezza del medesimo»;

- «Nel nostro caso sarebbe davvero irragionevole sanzionare il Comune di Massarosa per la pubblicazione di una delibera amministrativa con la quale si sarebbero resi pubblici alcuni fatti e informazioni che da anni [il reclamante] aveva condiviso, in grado ben maggiore e in modo assolutamente consapevole, con l’intera collettività»;

- «Tale circostanza – che a noi pare decisiva – rileva sulla stessa possibilità di configurare, nel caso di specie, la sussistenza (o quanto meno la concreta operatività) del divieto di diffusione di cui all’art. 9, par. 4, RGPD, stante la condotta consapevolmente posta in essere dall’interessata, nei confronti della quale alcun tipo di danno può derivare quale conseguenza della citata pubblicazione»;

- «Questo è tanto vero che [il reclamante] non ha mai effettuato alcuna segnalazione al Comune di Massarosa, né ha intimato a quest’ultimo di procedere all’immediata rimozione del provvedimento, esercitando i propri diritti di cui agli artt. 18 e 21 del RGPD»;

- «Né è pervenuta all’ente, quale titolare del trattamento, alcuna comunicazione successiva alla presentazione del reclamo da parte della signora XX dinanzi a codesta Autorità, ai sensi e per gli effetti dell’art.15, commi 1 e 3, del Regolamento interno n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali»;

Il Responsabile per la protezione dei dati, considerato quanto emerso nel corso della citata audizione, ha inviato con nota del XX ulteriori considerazioni. Nello specifico, ha dichiarato che:

- il Comune «ha da sempre posto particolare attenzione nei confronti della protezione dei dati personali, pur in presenza di problemi organizzativi generati non solo dalla pandemia ma anche da una situazione di dissesto finanziario. Tale attenzione si è tradotta sia in una formazione costante del personale, che nell’utilizzo di una procedura tesa a minimizzare i rischi attinenti a un’eventuale diffusione di dati personali»;

- «L’attenzione del Comune nei confronti della materia in oggetto è inoltre rinvenibile nelle condotte tenute dal personale autorizzato, il quale si interfaccia costantemente con il sottoscritto in caso di incertezze o dubbi interpretativi»;

- «il Comune di Massarosa ha provveduto a non rendere più visibile la delibera oggetto di contestazione nell’immediatezza della notifica dell’avvio del procedimento, dimostrando pertanto un atteggiamento sin da subito cooperativo»;

- «È stato inoltre pacificamente dimostrato che l’interessato aveva reso, precedentemente alla pubblicazione della delibera da parte del Comune di Massarosa, manifestamente pubblici i dati personali riportati all’interno della delibera contestata»;

-  «Nel caso di specie, non risulta chiaro il motivo per cui l’interessato non abbia formulato richieste al Titolare o non abbia esercitato i diritti di cui agli artt. da 15 a 22 GDPR, dal momento che non parevano sussistere particolari impedimenti a tale esercizio»;

- «risulta evidente, come già indicato, l’aver reso manifestamente pubblici i dati personali da parte dell’interessato, precedentemente alla pubblicazione della delibera»;

- «In considerazione di tutto ciò, pare irragionevole sanzionare il Comune di Massarosa. Tale assunto è rafforzato dalla circostanza che in nessun altra occasione quest’ultimo è risultato destinatario di contestazioni di violazioni della normativa di cui trattasi».

5. Valutazioni del Garante

La questione oggetto del caso sottoposto all’attenzione del Garante riguarda la pubblicazione di una deliberazione di giunta comunale – avente a oggetto la costituzione del Comune in un procedimento giudiziario civile e la nomina del rappresentante legale dell’ente – che conteneva nell’oggetto e nel testo dati personali del reclamante, parte attrice del predetto giudizio instaurato nei confronti del Comune, e dettagli dei bisogni assistenziali scolastici del figlio minore, privi della indicazione della patologia sofferta dallo stesso, ma idonei a rivelare l’esistenza di una condizione di disabilità.

Nell’ambito dell’istruttoria aperta al riguardo da questa Autorità, il Comune di Massarosa ha confermato nelle memorie difensive l’avvenuta pubblicazione dei dati personali oggetto di contestazione e la conseguente veloce rimozione a seguito dell’intervento del Garante, presentando un’articolata argomentazione difensiva che si ritiene debba essere presa in adeguata considerazione ai fini della valutazione complessiva della condotta tenuta, anche se non sufficiente a consentire l’archiviazione del presente procedimento.

Alla luce delle risultanze istruttorie, è emerso un quadro delicato e complesso, caratterizzato da una situazione nella quale – anche secondo quanto rappresentato dal Comune di Massarosa in sede di audizione – l’ente ha seguito da anni il minore figlio del reclamante «nell’assolvimento dei propri obblighi stabiliti dalla normativa vigente in materia di assistenza a soggetti portatori di disabilità, […] nel corso del percorso scolastico svolto dal medesimo, mettendo a disposizione risorse sia economiche, sia in termini di personale qualificato dei propri servizi sociali. Dalla delibera di giunta pubblicata online, emerge un contenzioso attivato del reclamante nei confronti dell’ente per la richiesta dell’integrazione dell’assistenza scolastica al figlio per l’anno di riferimento. La vicenda personale del reclamante, compresa la patologia e le condizioni di disabilità del figlio, sono state rese pubbliche dallo stesso reclamante tramite numerose interviste e dichiarazioni pubblicate su articoli di stampa, anche se, al riguardo, nel reclamo il soggetto interessato lamenta proprio la circostanza di avere «ricevuto chiamate da parte di diversi organi di informazione della stampa locale, che chiedevano informazioni sul ricorso […] contribuendo ad aumentare lo stress già patito […] a causa della mancata inclusione [del figlio] nel sistema educativo».

Il Comune ha evidenziato di avere «sempre riservato un’attenzione particolare al rispetto della […] normativa [in materia di protezione dei dati personali], vuoi con riferimento alla formazione del proprio personale, vuoi con le misure organizzative adottate dai vari uffici per evitare la pubblicazione ingiustificata di dati sensibili», attestato anche dal fatto che «prima della pubblicazione all’Albo Pretorio on line, gli addetti all’ufficio espletano comunque un’ultima attività di controllo finalizzata all’eventuale oscuramento dei dati che, in contrasto con i dettami stabiliti dalla normativa a tutela della privacy, siano stati impropriamente inseriti negli atti amministrativi».

Nel caso di specie, tuttavia, vi sarebbe stato «un mero disguido tra uffici», per cui «la citata delibera veniva pubblicata nella versione integrale anziché in quella depurata di tutti gli elementi che, in ossequio alla normativa vigente, andavano omessi e/o resi non leggibili da chiunque effettuasse l’accesso per leggere e/o scaricare il suddetto provvedimento».

Inoltre, il Comune non ha mai ricevuto alcun reclamo e/o segnalazione da parte del soggetto interessato in merito alla pubblicazione della delibera della Giunta Comunale n. XX ed è venuto a conoscenza della vicenda solo con la notifica dell’avvio del procedimento da parte del Garante, a seguito del quale i dati sono stati prontamente rimossi e il Comune «ha provveduto a non rendere più visibile la delibera oggetto di contestazione nell’immediatezza della notifica dell’avvio del procedimento, dimostrando pertanto un atteggiamento sin da subito cooperativo».

Si è quindi «trattato di un episodio eccezionale» e del tutto involontario, «verificatosi, evidentemente, per una mancata comunicazione tra uffici in un contesto gestionale e organizzativo difficile, sia per lo stato di dissesto finanziario in cui versava (e a tutt’oggi versa) l’ente, sia per la pandemia da Covid-19». Inoltre, l’amministrazione sarebbe «attualmente fortemente sotto organico rispetto alla dimensione territoriale ed ai parametri ministeriali per gli enti della classe demografica del Comune di Massarosa; anche se, compatibilmente con le capacità di bilancio, si sta tentando di attivare le procedure per nuove assunzioni di personale».

Non possono invece condividersi le osservazioni presentate dal Comune per giustificare la propria condotta, relative al richiamo a una possibile applicazione, al caso di specie, dell’art. 9, par. 2, lett. e), del RGPD oppure degli artt. 8, comma 3, del d.lgs. n. 33/2013 e 124, comma 1, del d. lgs. n. 267 del 18/1/2000.

Il citato art. 9, par. 2, lett. e), del RGPD prevede, infatti, che il divieto di trattare particolari categorie di dati personali, quali quelli relativi alla salute, non si applica nel caso in cui «il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato». Al riguardo, dai numerosi articoli di stampa allegati alle memorie difensive, si ricava effettivamente che il reclamante ha reso più volte dichiarazioni riguardanti la propria vicenda personale, compresa la patologia e le condizioni di disabilità del figlio. Tale circostanza, tuttavia, non costituisce un idoneo presupposto di legittimità (ai sensi dell’art. 9, par. 2, lett. e, del RGPD) per un soggetto pubblico (quale il Comune) per trattare i dati oggetto di contestazione da parte del reclamante, per la diversa finalità di trasparenza di una delibera di costituzione in giudizio dell’ente, rendendo pubbliche anche le vicende giudiziarie riguardanti il reclamante e il ricorso dallo stesso effettuato contro in Comune per la richiesta di assistenza scolastica del figlio.

Quanto al richiamo agli artt. 8, comma 3, del d.lgs. n. 33/2013 e 124, comma 1, del d. lgs. n. 267/2000, si rappresenta – in via preliminare – che gli obblighi di pubblicazione ivi previsti non possono derogare allo specifico divieto di diffusione dei dati sulla salute previsto dalla normativa in materia di protezione dei dati personali (art. 2-septies, comma 8, del Codice; art. 9, parr. 1, 2, 4, del RGPD).

Laddove, invece, i predetti articoli si intendono richiamati per giustificare la diffusione di dati personali che non rientrano nella categoria dei dati relativi alla salute (es. nominativo del reclamante e del figlio, informazioni dettagliate relative all’instaurazione di un giudizio civile, ecc.), si rappresenta, in ogni caso, quanto segue.

Come affermato dal Garante in altri contesti e confermato da ANAC, non è possibile richiamare l’obbligo di pubblicazione pari a 5 anni – previsto dall’art. 8, comma 3, del d. lgs. n. 33/2013 – per le pubblicazioni riguardanti l’albo pretorio. Ciò in quanto, come espressamente affermato anche dall’Autorità Nazionale Anticorruzione (ANAC) – che rappresenta l’Autorità incaricata della vigilanza sugli obblighi di pubblicazione online per finalità di trasparenza contenuti nel d. lgs. n. 33/2013 (cfr. art. 45) – «La tenuta nell’albo pretorio, anche a seguito della disposta sostituzione della forma cartacea con la previsione dell’inserimento on line, non rientra direttamente nell’ambito di applicazione delle norme in materia di trasparenza amministrativa di cui al d.lgs. 33/2013. Di conseguenza, non compete ad ANAC la vigilanza sulla pubblicazione dei documenti e delle informazioni pubblicate nell’albo pretorio on-line» e la «durata della pubblicazione dei documenti nell’albo pretorio on line non coincide, poiché inferiore, con la durata della pubblicazione dei dati sui siti istituzionali entro la sezione “Amministrazione trasparente” che l’art. 8, co. 3, del d.lgs. n. 33/2013 fissa a cinque anni» (cfr. ANAC, «FAQ in materia di trasparenza (sull’applicazione del d.lgs. n. 33/2013 come modificato dal d.lgs. 97/2016)», nn. 1.5 e 1.8, in https://www.anticorruzione.it/documents/91439/198537/FAQ+IN+MATERIA+DI+TRASPARENZA+%E2%80%93+formato+PDF+%28921Kb%29.pdf/0381b99e-7fd8-1693-71ca-baae86e9de23?t=1631609380300).

Analogamente, anche questa Autorità ha fornito specifiche indicazioni al riguardo con le Linee guida in materia di trasparenza citate, evidenziando che «vanno distinte, considerato il profilo del diverso regime giuridico applicabile, le disposizioni che regolano gli obblighi di pubblicità dell’azione amministrativa per finalità di trasparenza [a cui si applica il regime previsto dal d. lgs. n. 33/2013 (termine di 5 anni di mantenimento del documento sul web, obbligo di indicizzazione, possibilità di riutilizzo, ecc.)] da quelle che regolano forme di pubblicità per finalità diverse» (cfr. «Introduzione»). In tale quadro, «devono ritenersi estranei all´oggetto del […] decreto legislativo [n. 33/2013] tutti gli obblighi di pubblicazione previsti da altre disposizioni per finalità diverse da quelle di trasparenza, quali gli obblighi di pubblicazione a fini di pubblicità legale, pubblicità integrativa dell´efficacia, pubblicità dichiarativa o notizia (già illustrati in forma esemplificativa nell´“Introduzione” e presi in considerazione nella parte seconda delle presenti Linee guida». Fra tali ipotesi rientrano chiaramente le disposizioni sulla tenuta dell’albo pretorio negli enti locali che prevedono l’obbligo di affissione all’albo pretorio a fini di pubblicità legale di tutte le deliberazioni del comune e della provincia per quindici giorni consecutivi (art. 124, commi 1 e 2, del d. lgs. n. 267/2000), a cui di conseguenza non è applicabile il regime di pubblicità pari a di cinque anni, previsto dall’art. 8 del d. lgs. n. 33/2013.

In relazione, invece al richiamo effettuato all’art. 124, comma 1, del d. lgs. n. 267 del 18/1/2000, si ricorda che tale articolo prevede che «Tutte le deliberazioni del comune e della provincia sono pubblicate mediante pubblicazione all’albo pretorio, nella sede dell’ente, per quindici giorni consecutivi, salvo specifiche disposizioni di legge». Questa Autorità ha evidenziato ed è intervenuta in più occasioni per ribadire che, una volta trascorso il periodo temporale pari a quindici giorni previsto per la pubblicazione degli atti e documenti nell’albo pretorio, «gli enti locali non possono continuare a diffondere i dati personali in essi contenuti [in quanto], si determinerebbe, per il periodo eccedente la durata prevista dalla normativa di riferimento, una diffusione dei dati personali illecita perché non supportata da idonei presupposti normativi […]» (Linee guida in materia di trasparenza, cit. parte seconda, par. 3.a). A tal proposito, la permanenza nel web di dati personali contenuti nelle deliberazioni degli enti locali oltre il termine di quindici giorni, previsto dall´art. 124 del citato d. lgs. n. 267/2000, può integrare una violazione dell’art. 2-ter, commi 1 e 3, «laddove non esista un diverso parametro legislativo o regolamentare che preveda la relativa diffusione […]» (ibidem). Ciò non impedisce certamente agli enti locali di «mantenere nel proprio sito web istituzionale gli atti e i documenti pubblicati, ad esempio nelle sezioni dedicate agli archivi degli atti e/o della normativa dell´ente», tuttavia, in relazione ai soli dati personali, è necessario apportare «gli opportuni accorgimenti per la relativa tutela» provvedendo «una volta trascorso il periodo di pubblicazione previsto [dal testo unico degli enti locali, e in mancanza di una diversa base normativa,] a oscurare nella documentazione pubblicata i dati e le informazioni idonei a identificare, anche in maniera indiretta, i soggetti interessati» (ibidem).

Si ribadisce, inoltre, che anche la citata disposizione va in ogni caso interpretata alla luce dei principi di materia di protezione dei dati personali in base ai quali il trattamento dei dati personali deve rispettare i principi di necessità e proporzionalità, in particolare la regola per la quale i dati personali devono essere non solo adeguati e pertinenti, ma anche «limitati a quanto necessario rispetto alle finalità per le quali sono trattati» secondo il principio di «minimizzazione» (art. 5, par. 1, lett. c, del RGPD). In tale quadro, risulta del tutto sproporzionato diffondere, per finalità di trasparenza dell’azione amministrativa, i nominativi del reclamante e del figlio minore uniti alla circostanza di avere instaurato un giudizio nei confronti del Comune anche se la delibera contestata conteneva l’atto di costituzione in giudizio dell’ente. È sicuramente corretto sostenere, ad esempio, che la delibera di costituzione in giudizio dell’Ente deve indicare le informazioni necessarie a identificare la causa, ma a tale scopo nell’oggetto e nel corpo della delibera da pubblicare online è sufficiente indicare in chiaro anche solo il numero del ruolo generale o alcuni dettagli della causa non riferibili a persone fisiche. Nel caso in esame, risulta, infatti, del tutto irrilevante diffondere il nome del reclamante e del figlio minore, che potevano essere tranquillamente omessi o oscurati in sede di pubblicazione dell’atto, senza compromettere il rispetto del principio di pubblicità o trasparenza dell’azione amministrativa.

D’altronde, va ricordato come questa Autorità, in più occasioni, ha indicato che anche la presenza di uno specifico regime di pubblicità, non può comportare alcun automatismo rispetto alla diffusione online dai dati e informazioni personali, né una deroga ai principi in materia di protezione dei dati personali di provenienza europea, previsti dal RGPD, quali – fra gli altri – quello di «minimizzazione (art. 5, par. 1, lett. c).

Ciò è confermato anche dal sistema di protezione dei dati personali contenuto nel RGPD, alla luce del quale è previsto che il titolare del trattamento deve mettere «in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento» («data protection by default») e deve essere «in grado di dimostrare» – alla luce del principio di «responsabilizzazione» («accountability») – di averlo fatto (artt. 5, par. 2; 24 e 25, par. 2, RGPD).

6. Esito dell’istruttoria relativa al reclamo presentato

Le circostanze evidenziate negli scritti difensivi e in sede di audizione esaminate nel loro complesso, sicuramente meritevoli di considerazione ai fini della valutazione della condotta, non risultano tuttavia sufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo alcuna delle ipotesi previste dall’art. 11 del Regolamento del Garante n. 1/2019.

In tale quadro, si confermano le valutazioni preliminari dell’Ufficio effettuate con la nota prot. n. XX e si rileva la non conformità al RGPD della condotta tenuta dal Comune di Massarosa, in quanto la diffusione dei dati personali oggetto di reclamo contenuti nella Deliberazione di Giunta comunale XX è avvenuta in violazione:

I. del divieto di diffusione dei dati sulla salute del minore interessato previsto dall’art. 2-septies, comma 8, del Codice (cfr. anche art. 9, parr. 1, 2 e 4, del RGPD);

II. del principio di «minimizzazione» dei dati, in quanto non sono «limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (ossia la trasparenza dell’atto di costituzione in giudizio del Comune con nomina del proprio rappresentante legale), previsto dall’art. 5, par. 1, lett. c), del RGPD;

III. delle disposizioni contenute nell’art. 2-ter, commi 1 e 3, del Codice; nonché dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD.

Si ritiene, tuttavia, di dover in ogni caso considerare la particolarità del caso oggetto di reclamo, che presenta una serie di circostanze meritevoli di un’attenta valutazione. In particolare, si ritiene rilevante il fatto che – in un contesto in cui il Comune ha dichiarato che prima della pubblicazione all’Albo Pretorio online «gli addetti all’ufficio espletano comunque un’ultima attività di controllo finalizzata all’eventuale oscuramento dei dati che, in contrasto con i dettami stabiliti dalla normativa a tutela della privacy, siano stati impropriamente inseriti negli atti amministrativi» – si è verificato, secondo quanto dichiarato, un episodio del tutto accidentale ed eccezionale, dovuto a un mero disguido fra uffici, a causa di un difficile contesto gestionale e organizzativo del Comune prodotto da molteplici fattori, quali: lo stato di dissesto finanziario dichiarato nel 2019 e tutt’ora in corso, la pandemia da Covid-19, lo smart working di gran parte del personale, nonché – con particolare riferimento alle capacità organizzative dell’Ente – la circostanza che l’amministrazione sarebbe attualmente fortemente sotto organico. Inoltre, prima dell’intervento del Garante, il Comune di Massarosa non avrebbe ricevuto alcun reclamo e/o segnalazione da parte del reclamante in merito alla vicenda in esame a fronte del quale si sarebbe anteriormente attivato. Si tiene, inoltre, conto del fatto che la condotta tenuta è stata di natura evidentemente colposa e il titolare del trattamento, a seguito della richiesta dell’Ufficio è intervenuto tempestivamente, collaborando con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alla violazione, attenuandone i possibili effetti negativi. Nel riscontro al Garante sono state, inoltre, descritte diverse misure tecniche e organizzative messe in atto ai sensi degli artt. 25-32 del RGPD e non risultano, in ogni caso, eventuali precedenti violazioni del RGPD pertinenti commesse dall’ente.

Il Comune di Massarosa rientra nella dimensione demografica di poco superiore ai 20.000 abitanti.

Alla luce di tutto quanto sopra rappresentato, e dei termini complessivi della vicenda in esame, anziché infliggere una sanzione pecuniaria, si ritiene sufficiente ammonire il titolare del trattamento per la violazione delle disposizioni sopraindicate, ai sensi dell’art. 58, par. 2, lett. b), del RGPD (cfr. anche considerando n. 148 del RGPD).

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità del trattamento effettuato dal Comune di Massarosa – con sede legale in Piazza Taddei, 27 - 55054 Massarosa (LU) - C.F. 00168660462 – nei termini indicati in motivazione ai sensi degli artt. 58, par. 2, lett. b), del RGPD

AMMONISCE

il Comune di Massarosa per aver violato gli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b); 9, parr. 1, 2 e 4, del RGPD; nonché gli artt. 2-ter, commi 1-3, 2-septies, comma 8; del Codice.

DISPONE

l’annotazione nel registro interno dell’Autorità delle violazioni e delle misure adottate ai sensi dell’art. 58, par. 2, del RGPD con il presente provvedimento, come previsto dall’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 9 giugno 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei