[doc. web n. 9920116]

Provvedimento del 6 luglio 2023

Registro dei provvedimenti
n. 286 del 6 luglio 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Introduzione.

Con reclamo presentato ai sensi dell’art. 77 del Regolamento, ventotto dipendenti di alcuni comuni ed enti locali della Regione Siciliana (di seguito “Regione”) hanno lamentato che, sul sito istituzionale della Regione, veniva pubblicato il decreto D.D.G. n. XX del XX contenente i riferimenti agli importi riguardanti “l’indennità omnicomprensiva […] pari a 5 anni della retribuzione, già in godimento” dei lavoratori titolari di contratto a tempo determinato per cui il legislatore regionale “ha disposto l’opzione, in alternativa alla stabilizzazione, della fuoriuscita definitiva dal bacino di appartenenza” (v. art. 3 comma 19 Legge Regionale n.27 del 29 dicembre 2016 e art. 30 comma 1 Legge Regionale n.5 del 28 gennaio 2014). Allegato al decreto veniva pubblicato, inoltre, un elenco con i dati personali riferiti ai dipendenti interessati, in particolare: “a. ente di appartenenza b. nominativi dei beneficiari c. luogo e data di nascita d. codice fiscale e. importo da liquidare ai beneficiari f. modalità di erogazione”.

In data XX veniva pubblicato, sempre sul sito della Regione, il decreto D.D.G. n. XX di rettifica del precedente atto del XX in cui, “a seguito di rinuncia di alcuni dipendenti, l’allegato elenco veniva sostituito con quello aggiornato, contenente, nuovamente, tutti i dati indicati nel precedente atto” che riportava nuovamente le stesse tipologie di dati personali degli interessati.

2. L’attività istruttoria.

Con nota prot. n.XX dell’XX la Regione - Dipartimento Autonomie locali, in riscontro a una richiesta d’informazioni dell’Ufficio del Garante (nota prot. n. XX del XX), ha dichiarato, in particolare, che:

“il legislatore regionale con il disposto riportato ai commi 19 e 20 dell’articolo 3 della legge regionale 29 dicembre 2016, n. 27 ha consentito ai lavoratori titolari di contratto di lavoro subordinato a tempo determinato stipulato con la Regione inseriti nell’elenco di cui all’articolo 30, comma 1, della legge regionale n. 5/2014 opzione in alternativa alla procedura di stabilizzazione di fuoriuscire dal bacino di appartenenza a fronte della corresponsione di una indennità omnicomprensiva d’importo corrispondente a cinque anni della retribuzione già in godimento, da corrispondere in rate annuali. Tale misura, avente per espressa previsione di legge, natura di indennità omnicomprensiva opzionale e non di retribuzione prevista dal contratto di lavoro, è riconosciuta unicamente quale beneficio ai soggetti per i quali il numero di anni necessari al raggiungimento dei requisiti di pensionabilità non è inferiore a dieci, ed è richiedibile esclusivamente dall’interessato che opti per la fuoriuscita dal bacino di appartenenza”;

“esaurita l’istruttoria ed individuati i soggetti che hanno superato positivamente tale fase del procedimento il Dipartimento delle Autonomie Locali […], con i decreti di attribuzione dei benefici di legge da parte del Legale rappresentante n. XX del XX e n. XX del XX, ha reso noti tali provvedimenti unitamente agli allegati comprensivi degli elenchi dei beneficiari delle provvidenze assegnate dall’intervento legislativo nel sito istituzionale; in tali elenchi sono stati compresi i nominativi dei lavoratori beneficiari distinti per colonna dedicata ai dati personali di ogni lavoratore. Tali dati comprendono: l’ente di appartenenza, il cognome e il nome del lavoratore, il relativo luogo e data di nascita, il codice fiscale, l’importo da corrispondere. Tali dati identificativi hanno reso utile all’Istituto di Credito erogante il beneficio l’individuazione specifica di ogni soggetto”;

“giova rammentare a riguardo che il disposto riportato all’articolo 7bis del D.lgs. n. 33/2013 “Obblighi di pubblicazione degli atti di concessione di sovvenzioni, contributi, sussidi e attribuzione di vantaggi economici a persone fisiche ed enti pubblici e privati”, che ha accolto nel nostro ordinamento i principi del FOIA ha introdotto il concetto di accessibilità totale delle informazioni concernenti l’organizzazione e l’attività delle pubbliche amministrazioni allo scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche, obbliga le amministrazioni pubbliche alla pubblicazione dei dati identificativi dei soggetti beneficiari di importi superiori a 1000 euro nell’anno solare”;

“in particolare l’articolo 27 del D. Lgs. n. 33/2013 “Obblighi di pubblicazione dell’elenco dei soggetti beneficiari” stabilisce che devono essere necessariamente pubblicati alcuni dati del destinatario di sovvenzioni, contributi, sussidi ed ausili finanziari e per l’attribuzione di vantaggi economici di qualunque genere a persone ed enti pubblici e privati, oltre l’importo del beneficio, e in particolare, i dati fiscali e il nome del beneficiario, l’importo del vantaggio economico, la norma o il titolo a base dell’attribuzione, il responsabile del relativo procedimento”;

“i dati inseriti nei decreti n. XX del XX e n. XX del XX rispettano i principi di “minimizzazione dei dati” e di “esattezza”, nonché quelli di “liceità, correttezza e trasparenza” e di “limitazione delle finalità” in quanto contengono esclusivamente i dati di cui il D.lgs. n. 33/2013 richiede la pubblicazione nel caso di erogazioni, di sovvenzioni, contributi, sussidi ed ausili finanziari e per l’attribuzione di vantaggi economici di qualunque genere”:

“quanto al periodo di tempo in cui tali provvedimenti sono stati disponibili sul sito lo stesso può essere quantificato dalla data di emanazione dei relativi atti fino all’XX ovvero coincidente con la data di assunzione agli atti del protocollo della nota di diffida e messa in mora avanzata da parte [dell’Avvocato…] patrocinante di 28 beneficiari delle provvidenze di cui ai commi 19 e 20 dell’articolo 3 della legge regionale n. 27/2106, compresi negli elenchi allegati ai provvedimenti n. XX del XX e n. XX del XX”.

Con nota del XX (prot. n. XX), l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato alla Regione - Dipartimento Autonomie locali, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto le presunte violazioni degli artt. 5, paragrafo 1, lett. a) e c) e 6, paragrafo 1, lett. c) ed e), e paragrafi 2 e 3, lett. b) del Regolamento e art.2-ter commi 1 e 3 del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139), invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).

Con nota prot.n.XX del XX, il la Regione - Dipartimento Autonomie locali, ha presentato una memoria difensiva, dichiarando, in particolare, che:

“dando per acquisito il dato fattuale della pubblicazione dei due provvedimenti contenenti negli allegati i dati dei destinatari che si ritengono essere stati lesi da tale pubblicazione, segnatamente quelli anagrafici, fiscali e relativi all'ammontare dell'importo oggetto dell'erogazione da parte del soggetto bancario accreditato (attraverso una complessa operazione di cartolarizzazione del credito), appare dirimente individuare l'esatta funzione realizzata dalle somme percepite dai soggetti in questione così da potere considerare la legittimità della diffusione dei dati in questione”;

“ben vero non contestabile risulta il dato legislativo (art. 19 e 20 della l.r. 27/2016 e s. m. e 1.) che ha introdotto la possibilità per i lavoratori individuati all'interno del bacino del cd. precariato di scegliere in luogo della stabilizzazione del proprio rapporto lavorativo all'interno della P.A. l'acquisizione di un'indennità. Ora, appare fondamentale chiarire la natura di questa indennità al fine di comprendere se la P.A. risultasse legittimata alla pubblicazione dei dati personali dei soggetti destinatari di tali provvidenze”;

“l'indennizzo in questione, sotto un profilo sostanziale, assolve a tutte le funzioni rinvenibili nell'ambito operativo delle norme richiamate potendo agevolmente considerarsi sia come una concessione di una sovvenzione, o di un contributo o di un sussidio e a maggior ragione di un ausilio finanziario o di un vantaggio economico dal momento che il beneficio non è riconosciuto quale forma di ristoro per un pregiudizio bensì è conseguente al libero esercizio di una facoltà concessa dal legislatore ad una particolare categoria di soggetti”;

“non sussistendo alcun pregiudizio [per] i soggetti in questione, con l'esercizio del diritto di opzione, [essi] risultano beneficiati di un arricchimento in assenza di alcuna controprestazione. Pertanto, affermare che l'indennità prevista dalla norma possa definirsi un corrispettivo risarcitorio appare quanto mai arduo dal momento che nessuna lesione di alcun diritto si è determinata in capo ai soggetti in questione atteso che la mancata assunzione a tempo indeterminato risulta una precisa scelta del soggetto e, come detto, non soggiace ad alcuna disposizione autoritativa”;

“di contro il pagamento dell'indennità assolve ad una funzione contributiva e di ausilio finanziario realizzando un vantaggio economico immediato per il soggetto che risulta beneficiato per la acquisizione di una somma di danaro a fronte della quale non è obbligato ad alcuna controprestazione”;

“e la rinunzia alla stabilizzazione non può essere considerata un evento pregiudizievole sol se si consideri che la condizione per beneficiare dell'indennizzo era rappresentata dalla sussistenza di un'aspettativa lavorativa superiore ai dieci anni”;

“quindi, lungi dal potere attribuire all'indennità in questione una funzione risarcitoria per un pregiudizio concreto e attuale non resta che definirla e ricomprenderla nella categoria degli aiuti che proprio il garante indica in tutti quei provvedimenti che sulla base della normativa vigente “sono volti a sostenere un soggetto sia pubblico che privato accordandogli un vantaggio economico diretto o indiretti superiore a 1.000 euro mediante l'erogazione di incentivi o agevolazioni che hanno l'effetto di comportare sgravi, risparmi o acquisizione di risorse”.

3. Esito dell’attività istruttoria.

3.1 Il quadro normativo

La disciplina di protezione dei dati personali prevede che i soggetti pubblici, nell’ambito del contesto lavorativo, possono trattare i dati personali degli interessati, anche relativi a categorie particolari, se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti dalla legge o dal diritto dell’Unione o degli Stati membri (artt. 6, par. 1, lett. c), 9, par. 2, lett. b) e 4 e 88 del Regolamento). Il trattamento è, inoltre, lecito quando sia “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, parr. 1, lett. e), 2 e 3, e art. 9, par. 2, lett. g), del Regolamento; art. 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139).

La normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del […] regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento). Al riguardo, si evidenzia che l’operazione di diffusione di dati personali (come la pubblicazione su Internet), da parte di soggetti pubblici, è ammessa solo quando prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento (cfr. art. 2-ter, commi 1 e 3, del Codice, nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139).

Il titolare del trattamento è tenuto, in ogni caso, a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione dei dati”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c), del Regolamento).

3.2 La diffusione dei dati personali.

Come risulta dagli atti e dalle dichiarazioni rese dal titolare del trattamento, nonché dall’accertamento compiuto sulla base degli elementi acquisiti a seguito dell’attività istruttoria, la Regione ha pubblicato sul proprio sito web istituzionale i decreti D.D.G. n. XXdel XX e n. XX del XX, contenenti i dati personali di 115 interessati, dipendenti di enti regionali.

Nel corso dell’istruttoria la Regione ha dichiarato che la pubblicazione degli elenchi (recanti i nominativi degli interessati e gli importi ad essi liquidati) allegati ai predetti decreti trova il proprio fondamento giuridico nelle disposizioni che prevedono la pubblicazione degli atti di concessione, di sovvenzione, contributi, sussidi e attribuzione di vantaggi economici (art. 26 e 27 del d.lgs. 33 del 2013).

Al riguardo si osserva che l’articolo 3, commi 19 e 20 della legge regionale n. 27 del 2016 disciplina le procedure per la stabilizzazione del personale precario. Tale disposizione, sulla cui base sono stati formati gli elenchi pubblicati, disciplina, in particolare, le modalità di esercizio di un diritto di opzione da parte dei dipendenti di enti pubblici regionali, nell’ambito di contratti di lavoro a tempo determinato, mediante la possibilità di scegliere tra la stabilizzazione del contratto, e dunque l’assunzione a tempo indeterminato dei predetti lavoratori (art. 30 della l. regionale n. 5 del 2014), ovvero alternativamente la corresponsione “di un’indennità omnicomprensiva d’importo corrispondente a 5 anni della retribuzione già in godimento, da corrispondere in rate annuali” (cfr. art. 3, comma 19, legge 27 del 2016). In tale quadro, nell’ambito di provvedimenti normativi volti al superamento del precariato, tenuto conto delle esigenze dell’amministrazione e della valorizzazione delle professionalità acquisite, l’erogazione della predetta “indennità omnicomprensiva” in favore del dipendente, costituisce la quantificazione in denaro quale corresponsione “omnicomprensiva” in alternativa all’assunzione a tempo indeterminato in ragione dell’esercizio di un diritto di opzione da parte degli interessati disposto dalla legge regionale. A conferma di ciò si evidenzia che l’importo di tale “indennità omnicomprensiva”, da quanto riportato nel decreto n.XX del XX, corrisponde “a cinque anni della retribuzione in godimento da corrispondere in rate annuali”.

L’Autorità Nazionale Anti Corruzione – ANAC, relativamente agli atti di cui agli artt.26 e 27 citati chiarisce che “si tratta di tutti quei provvedimenti che, sulla base della normativa vigente, sono volti a sostenere un soggetto sia pubblico che privato, accordandogli un vantaggio economico diretto o indiretto superiore a 1.000 euro mediante l’erogazione di incentivi o agevolazioni che hanno l’effetto di comportare sgravi, risparmi o acquisizione di risorse”, precisando altresì che “tenuto conto della eterogeneità di detti atti, qualora non emerga chiaramente dal tipo di atto o dalle indicazioni date se un provvedimento rientra tra quelli di cui agli artt. 26 e 27 del d.lgs. 33/2013, è rimessa a ciascuna amministrazione e a ciascun ente l’individuazione delle fattispecie non riconducibili alla categoria degli “atti di concessione di sovvenzioni, contributi e vantaggi economici” […dando] adeguata motivazione di tale scelta” (sul punto v. le FAQ di Anac, disponibili al link Obblighi di pubblicazione concernenti gli atti di concessione di sovvenzioni, contributi, sussidi e attribuzione di vantaggi economici a persone fisiche ed enti pubblici e privati (artt. 26-27, d.lgs. 33/2013) - www.anticorruzione.it).

Tanto premesso, nel prendere atto delle valutazioni effettuate dalla Regione fin dalla predisposizione degli atti in questione, non può non essere rilevato che la successiva rimozione dal sito web dei predetti decreti e allegati, a seguito della ricezione dell’atto di diffida presentato da taluni interessati per il tramite del proprio legale, non appare essere coerente con l’asserita obbligatorietà di tale pubblicazione. In ogni caso, per i profili di competenza, occorre comunque evidenziare che anche le amministrazioni e gli altri soggetti che ritengano di essere destinatari degli specifici obblighi di pubblicazione devono assicurare il rigoroso rispetto dei principi in materia di protezione dei dati personali nonché delle norme di settore ritenute applicabili che costituiscono la base giuridica dello specifico trattamento (artt. 5 lett. a) e 6 parr. 2 e 3 del Regolamento e 2-ter Codice).

In tale quadro, alla luce del combinato disposto degli artt. 26 e 27 del d.lgs. n. 33 del 2013, ai fini dell’assolvimento del predetto obbligo, è prevista la pubblicazione “oltre all’atto di concessione,  […del] nome dell'impresa o dell'ente e i rispettivi dati fiscali o il nome di altro soggetto beneficiario; […del]l'importo del vantaggio economico corrisposto; […della] norma o il titolo a base dell'attribuzione; […del]l'ufficio e […] funzionario o dirigente responsabile del relativo procedimento amministrativo; […della] modalità seguita per l'individuazione del beneficiario; […del] link al progetto selezionato e al curriculum del soggetto incaricato”.

Nel caso di specie, invece, sebbene la Regione abbia proceduto alla pubblicazione sul presupposto di essere soggetta all’obbligo di cui ai predetti artt. 26 e 27, risulta tuttavia aver pubblicato tipologie di dati personali non riconducibili a quelle espressamente individuate dalla richiamata normativa di settore, quali, in particolare, il luogo e la data di nascita e il codice fiscale degli interessati, dovendosi quindi ritenere, sotto tale profilo, che tali dati personali – riferiti peraltro a un cospicuo numero di interessati, ossia 115 persone, tra cui i reclamanti - sono stati diffusi in assenza di idoneo presupposto giuridico (cfr. anche “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati" del Garante, provv. 15 maggio 2014, n. 243, doc. web n. 3134436, par.9 lett. e)).

Da ultimo, si evidenzia che anche il riferimento all’art.7-bis del d.lgs. n. 33 del 2013 non risulta pertinente poiché “il riutilizzo dei dati personali pubblicati ai sensi dei predetti artt. 26 e 27, non è libero, ma subordinato – come stabilito dallo stesso art. 7 del d. lgs. n. 33/2013 – alle specifiche disposizioni […], che non pregiudicano in alcun modo il livello di tutela delle persone con riguardo al trattamento dei dati personali” (cfr. sempre le Linee guida sopra citate par. 6).
Per tutto quanto sopra esposto, si deve concludere che la Regione ha posto in essere una diffusione di dati personali in assenza di idonea base giuridica, in violazione degli artt. 5 e 6 del Regolamento e dell’art. 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139).

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dalla Regione per aver diffuso, mediante pubblicazione online sul proprio sito web istituzionale, dati personali riferiti a numerosi interessati (115) non previsti dalla normativa di settore in materia di trasparenza, in violazione degli artt. 5, par. 1, lett. a) e c) e 6, parr. 1, lett. c) ed e) e 2 e 3, lett. b) del Regolamento e dell’art. 2-ter commi 1 e 3 del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139).

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 2, del Codice.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che i decreti D.D.G. n. XX del XX e D.D.G. n. XX del XX e i relativi allegati sono stati rimossi dal sito istituzionale in data XX ovvero, come dichiarato dalla Regione, a seguito della “nota di diffida e messa in mora avanzata da parte [dell’Avvocato…] patrocinante di 28 beneficiari”, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

In relazione ai predetti elementi è stata valutata la delicatezza dei dati personali, oggetto di diffusione online di numerosi interessati, riguardanti vicende inerenti al rapporto di lavoro dei dipendenti che avevano esercitato il diritto di opzione in alternativa all’assunzione a tempo indeterminato, nonché la data e il luogo di nascita e il codice fiscale di ciascun interessato. È stato inoltre considerato il mancato rispetto delle indicazioni che, da tempo, il Garante, ha fornito a tutti i soggetti pubblici sin dal 2014 con le Linee guida sopra richiamate e in numerosi provvedimenti su singoli casi concreti adottati negli anni dal Garante.

Di contro, considerato che la violazione non ha riguardato categorie particolari di dati personali e che la Regione ha agito sul presupposto di essere tenuta a pubblicare i dati personali degli interessati - anche riferiti al luogo e alla data di nascita e al codice fiscale - in base agli obblighi sanciti dagli artt. 26 e 27 del d.lgs.33 del 2013 ed ha successivamente rimosso i predetti decreti dal sito web, seppur a seguito “di diffida e messa in mora” da parte dell’Avvocato di alcuni interessati. È stato inoltre considerato che un precedente provvedimento nei confronti della Regione è stato adottato ai sensi dell’art. 58, par.2 lett. a) del Regolamento, in relazione a trattamenti di dati personali che, ove posti in essere avrebbero potuto “verosimilmente violare le disposizioni del […] Regolamento”.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 7.000 (settemila) per la violazione degli artt. 5, 6 del Regolamento e 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139), quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, paragrafo 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Tenuto conto che i decreti e i relativi allegati, oggetto di pubblicazione, contenevano dati personali di numerosi interessati riguardanti una delicata vicenda inerente al rapporto di lavoro degli stessi, si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dalla Regione Siciliana, per violazione degli artt. 5 e 6 del Regolamento e 2-ter del Codice, nei termini di cui in motivazione;

ORDINA

Alla Regione Siciliana, in persona del legale rappresentante pro-tempore, con sede legale in Palazzo D' Orleans, Piazza Indipendenza 21, 90129 Palermo (PA), C.F. 80012000826, di pagare la somma di euro 7.000 (settemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Regione Siciliana, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di 7.000 (settemila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione del presente provvedimento sul sito web del Garante, ritenendo che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 6 luglio 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei