[doc. web n. 9955372]

Provvedimento del 26 ottobre 2023

Registro dei provvedimenti
n. 496 del 26 ottobre 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, l'avv. Guido Scorza, componente e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Introduzione.

A seguito di specifica segnalazione delle Organizzazioni Sindacali OO.SS. FILT-CGIL Milano e FILT-CGIL Lombardia (cfr. note del XX e del XX in atti) è stata lamentata, tramite il proprio legale, una presunta violazione della disciplina in materia di protezione dei dati personali riguardante la diffusione di dati personali di numerosi lavoratori dipendenti di alcune Società che gestiscono nel territorio della Regione Lombardia (di seguito “Regione”) il servizio di trasporto pubblico locale (società Milano Serravalle – Milano, Tangenziali p.A., Autostrada Pedemontana Lombarda p.A. e Serravalle Engineering r.l.).

In particolare è stato rappresentato che nel XX, a seguito di contratto sottoscritto in data XX - stipulato tra la Regione e FNM S.p.A. per l’acquisto, da parte di quest’ultima, delle quote di Milano Serravalle S.p.A. detenute dalla Regione - la cui vendita si è perfezionata in data XX - “diversi dipendenti [delle società sopra indicate] hanno scoperto che, digitando il proprio nome e cognome su un qualsiasi motore di ricerca, appariva un collegamento ipertestuale alla bozza di contratto tra Regione Lombardia e FNM S.p.A. tra i cui allegati erano riportati gli elenchi dei dipendenti delle società coinvolte nell’operazione, comprensivi dei dati relativi al rapporto di lavoro, ai redditi percepiti (suddivisi per voce reddituale) e un elenco di tutti i procedimenti giudiziali pendenti con i lavoratori”, nonché alcuni riferimenti alle condizioni di salute di taluni interessati.

Il file contenente il predetto contratto e i relativi allegati “era liberamente scaricabile all’indirizzo: h t t p: / / a r e a d o c u m e n t a l e. s e r v i z i r l. i t / a t t i / d o w n l o a d /AAAAYBnbrd+mLfAGu+72pN0QYxN3M4aK32vCcmNvmk8hVXf3fjep0bQsNQj83pEB8s71Yi8i1bmZ6ilacUQ+3TLTOnwobNcDzbSO170LzkdlLk5YAfpSeqiyKphfOg32bohXSgAAAICcF/C7UmdgDnC9xEGz8zuE2iFMHjU8OyA+9y/77kJ+AfRKA8burSpa3whChTFo9qghRK+HEdmBuqhJxYfinguljazz1gh03r3cI4gcyjiY9nmBMnG0i2A+Cq1DzeQaK9FshhAsIzDLJx49QLU9rnsbOLEFZbOgq8Vpu2ogmAUdBgAAAAij5x8J0D/y/A==”, il cui dominio “servizirl.it” risulterebbe registrato a nome di Regione Lombardia. “Solo a seguito dell’intervento dei rappresentanti sindacali il file è stato finalmente rimosso, dopo essere stato liberamente accessibile a chiunque per oltre un anno”.

Secondo quanto riportato nella segnalazione “nell’ambito delle trattative di stipula del contratto di compravendita e delle operazioni di due diligence le società Milano Serravalle S.p.A., Autostrada Pedemontana S.p.A. e Serravalle Engineering hanno comunicato, ai sensi e per gli effetti dell’art. 14 Reg. 2016/679, a Regione Lombardia e FNM S.p.A. i nominativi dei dipendenti, suddivisi per categoria ex art. 2095 c.c., le mansioni da ciascuno svolte, il profilo ricoperto, la retribuzione mensile, la retribuzione annua lorda, le indennità in godimento e l’importo del premio di risultato percepito”. In particolare alla delibera pubblicata era allegato “l’elenco di tutti i contenziosi pendenti con i lavoratori, indicando per ciascuno il nominativo del dipendente, l’autorità procedente, le motivazioni della controversia, le date di udienza e il valore della controversia”.

2. L’attività istruttoria.

Con nota del XX, prot. n. XX, e successive integrazioni, la Regione, in riscontro a una richiesta d’informazioni del Garante (nota prot. n. XX del XX, ha dichiarato, in particolare, che:

- “la […] Regione ha provveduto alla pubblicazione sul portale istituzionale di Regione Lombardia - Area pubblicazione atti deliberativi della Delibera di Giunta Regionale n. XX del XX avente ad oggetto l’alienazione delle partecipazioni sociali detenute in Milano Serravalle – Milano Tangenziali S.p.A. e del relativo contratto di compravendita delle partecipazioni, comprensivo degli allegati. Per ciò che concerne il numero dei lavoratori coinvolti e le tipologie di informazioni ad essi riferiti si rinvia al Paragrafo 9.18 (Dipendenti), Paragrafo 9.19 e all’Allegato 9.18.1 (a), (b), (c) del contratto di compravendita”;

- “da un conteggio effettuato emerge che i lavoratori coinvolti sono 732 e le informazioni ad essi riferite riguardano principalmente: i contenziosi, la retribuzione, l’anzianità di servizio, la qualifica e in generale gli aspetti di carriera”;

- “la diffusione on line della delibera e del relativo contratto di compravendita delle partecipazioni è avvenuta per adempiere ad un obbligo legale stabilito dal diritto dell’Unione o degli Stati membri (art. 6, par. 1, lett. C) Reg. UE n. 679/2016) e, segnatamente l’obbligo di trasparenza di cui all’art. 22, co. 1, lett. d-bis del D. Lgs. N. 33 del 2013 (rubricato “Obblighi di pubblicazione dei dati relativi agli enti pubblici vigilati, e agli enti di diritto privato in controllo pubblico, nonché alle partecipazioni in società di diritto privato”) in base al quale “1. Fermo restando quanto previsto dall'articolo 9-bis, ciascuna amministrazione pubblica aggiorna annualmente: […] d-bis) i provvedimenti in materia di costituzione di società a partecipazione pubblica, acquisto di partecipazioni in società già costituite, gestione delle partecipazioni pubbliche, alienazione di partecipazioni sociali, quotazione di società a controllo pubblico in mercati regolamentati e razionalizzazione periodica delle partecipazioni pubbliche, previsti dal decreto legislativo adottato ai sensi dell'articolo 18 della legge 7 agosto 2015, n. 124”;

- "si evidenzia a tal proposito che il XX, la documentazione in questione è stata rimossa in via prudenziale a seguito delle segnalazioni dei soggetti interessati” pertanto “l’intervallo di tempo in cui tali dati e informazioni sono stati reperibili sulla pagina web va dal XX al XX”;

- “la pubblicazione della Delibera di Giunta Regionale n. XX del XX è avvenuta […] in un periodo in cui Regione Lombardia, più di quanto stesse accadendo in altre parti d’Italia, era in piena emergenza covid. Periodo in cui Regione ha dovuto fronteggiare con immediatezza e in una situazione di difficoltà, le numerose richieste derivanti dalle esigenze sanitarie, sociali ed economiche. Tutto questo con quasi tutto il personale in servizio da remoto con conseguenti difficoltà comunicative e operative”;

- “pertanto, il difficile momento descritto, non ha agevolato una minuziosa analisi dell’atto al momento della pubblicazione, pur in presenza di idonee procedure, da sempre seguite nel rigoroso rispetto della normativa in materia di privacy, relative all’analisi e verifica degli atti destinati alla pubblicazione. A ciò si aggiunge la complessità dell’operazione oggetto dell’atto in questione, derivante dal particolare impatto di carattere economico e dalle peculiari esigenze di trasparenza connesse ad operazioni di tale natura, che hanno fatto propendere per un’applicazione rigorosa, non restrittiva degli obblighi di pubblicità”;

- “l’episodio occorso deve ritenersi, dunque, del tutto atipico rispetto alla prassi costantemente seguita dalla Regione ed imputabile, come accennato, al combinato disposto delle difficoltà organizzative incontrate nel periodo del lock-down e dell’esigenza di garantire massima trasparenza ad un’operazione economica di notevole rilievo pubblico e politico. L’atipicità della violazione rispetto alla prassi organizzativa seguita dalla Regione è, peraltro, resa evidente dalla tempestività e completezza della “reazione” attivata non appena avutane contezza. Non solo, infatti, i documenti in questione sono stati tempestivamente rimossi, ma sono altresì state fornite al personale le istruzioni utili ad impedire violazioni in futuro”.

Con nota del XX, prot. n. XX, l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato alla Regione, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto le presunte violazioni degli artt.  5, 6 e 9 del Regolamento e degli artt. 2-ter e 2-septies, comma 8, del Codice invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).

La Regione, con nota del XX, ha fatto pervenire le proprie memorie difensive rappresentando che:

“la [delibera di Giunta Regionale] XX del XX e i relativi allegati contenenti i dati personali dei soggetti interessati sono stati pubblicati non nell’ambito del contesto lavorativo e del trattamento dei dati dei lavoratori da parte del datore di lavoro, ma in adempimento a un obbligo di pubblicità e trasparenza, imposto a Regione Lombardia, ente pubblico, nell’ambito dell’esecuzione di un contratto tra persone giuridiche. Le doglianze nei confronti di Regione, pertanto non possono esserle rivolte in qualità di titolare dei dati come ‘datore di lavoro degli interessati”;

“allo stesso modo, è infondata la contestazione relativa al fatto di non aver reso intellegibili i dati poiché la verifica dei dati contenuti negli atti e il rispetto dei principi di minimizzazione, correttezza e trasparenza non spettava a Regione, non essendo ella ‘datore di lavoro’ in contatto con i lavoratori, soggetti interessati, e non essendo ella titolare della comunicazione ex art 14 GDPR”;

“la Regione Lombardia non ha trattato i dati dei lavoratori in veste di datore di lavoro. Ha invece trattato i dati contenuti nei documenti inviatile dai rispettivi titolari al fine delle pubblicazioni cui era tenuta, in veste di ente pubblico, parte contraente di una transazione tra persone giuridiche. Tale trattamento era lecito, nel rispetto dell’articolo 6 GDPR, trovando base giuridica e finalità negli obblighi imposti dall’articolo 22 lettera d-bis del d.lgs. 33/2013. ‘Obblighi di pubblicazione dei dati relativi agli enti pubblici vigilati, e agli enti di diritto privato in controllo pubblico, nonché alle partecipazioni in società di diritto privato’;

“quanto alle modalità di trattamenti e ai principi generali di cui all’articolo 5 GDPR è doveroso precisare che trattandosi di transazione tra persone giuridiche ed essendo oggetto dell’obbligo di pubblicazione - come si evince chiaramente dal testo normativo - dati di persone giuridiche, come tali esclusi dall’ambito di applicazione del GDPR e del Codice Privacy, non può biasimarsi Regione per non aver posto la medesima accortezza e attenzione al trattamento dei dati imposte dalla normativa, che suole porre per operazioni che, in maniera immediata, comportano il trattamento di dati di persone fisiche”;

“in tale condizione è certamente censurabile la condotta di Regione per non aver prestato, in ottica di piena responsabilizzazione, una attenzione ulteriore alla verifica dei dati contenuti negli allegati inviatile - tuttavia non di sua redazione – privilegiando il pieno adempimento dei propri obblighi pubblicitari e limitandosi a pubblicare integralmente i documenti che gli enti titolari le hanno trasmesso, onde evitare la sanzione di inefficacia collegata alla mancata o incompleta pubblicazione dei dati relativi agli enti e al conseguente divieto di erogazione di somme. Trattasi evidentemente di una accortezza che verrà implementata in futuro ma attribuibile a un livello di responsabilità che non può andare oltre una mera culpa in vigilando, e, ad ogni modo, lieve”;

"Regione, onde evitare il ripetersi di eventi anche meramente accidentali finanche in situazioni anomale, ha già provveduto a approntare una ulteriore approfondita analisi e valutazione di impatto del trattamento di pubblicazione sul portale istituzionale”;

“i soggetti interessati non sono lavoratori dipendenti di Regione. I dati non sono stati raccolti né redatti da Regione, che si è limitata a pubblicare i documenti, cosi come trasmessi dai relativi titolari, datori di lavoro, società coinvolte nella transazione. Come ricordato con le precedenti note, la pubblicazione della Delibera di Giunta Regionale è inoltre avvenuta in un periodo in cui Regione Lombardia, più di quanto stesse accadendo in altre parti d’Italia, era in piena emergenza pandemica. Periodo in cui Regione ha dovuto fronteggiare con immediatezza e in una situazione di difficoltà, le numerose richieste derivanti dalle esigenze sanitarie, sociali ed economiche. Il difficile momento descritto, non ha agevolato una minuziosa analisi dell’atto al momento della pubblicazione, pur in presenza di idonee procedure, da sempre seguite nel rigoroso rispetto della normativa in materia di privacy. Ciò anche determinato dall’incolpevole convinzione di aver ricevuto la documentazione già adeguata al rispetto dei principi di necessita, proporzionalità e pertinenza”;

“per quanto accidentale sia stato l’evento contestato, Regione si è già impegnata, e ribadisce in questa sede il proprio impegno, pro futuro, a porre maggiore attenzione anche su quanto le viene trasmesso e anche in transazioni o rapporti che interessino mere persone giuridiche”;

“un addebito a Regione, nel caso di specie, non può esserle mosso in quanto datore di lavoro dei soggetti interessati, né può derivare dal mero fatto che siano ‘dipendenti delle società che gestiscono il servizio di tpl nel territorio lombardo’ a guisa di responsabilità ‘territoriale’, né come responsabilità oggettiva per il fatto che il dominio è registrato a suo nome, ma in termini di una colpa lieve derivante dal non aver posto attenzione maggiore all’analisi dei documenti inviatile, prima di procedere, nell’assolvimento dei propri obblighi di trasparenza, alla pubblicazione della delibera, cui erano allegati, peccando di un eccesso di ‘affidamento’ nella correttezza della documentazione trasmessale”

“la responsabilità di Regione nella diffusione dei dati ‘controversi’ è configurabile come mero concorso di colpa lieve, in vigilando, in un episodio sporadico avvenuto nel contesto assolutamente eccezionale di un’operazione tra persone giuridiche, quindi non direttamente interessata dalla normativa privacy, e in contingenze storiche che vedevano Regione in piena emergenza pandemica, con personale ridotto e alle prese con le prime esperienze di lavoro da remoto, con le conseguenti difficoltà operative”;

“Regione Lombardia ha provveduto alla opportuna rimozione dei dati non appena richiesto dagli interessati, mostrando massima collaborazione e disponibilità”;

“Regione Lombardia è dotata di un articolato assetto organizzativo per la protezione dei dati personali, di un proprio DPO, del Registro dei trattamenti in costante aggiornamento e implementazione, anche sulla base delle analisi di policy by design e policy by default dei trattamenti e di DPIA effettuate per trattamenti a rischio elevato”;

“vengono fornite ai dipendenti di nuova assunzione istruzioni operative sul corretto trattamento dei dati personali […]; sono designati Amministratori di sistema, è svolta formazione costante al fine di mantenere la Struttura attenta alla normativa sulla privacy ed alle nuove esigenze operative. Sono redatte policy sulla protezione dei dati, informative aggiornate per i trattamenti, registro delle istanze e una pagina dedicata al personale con infografiche e modelli da utilizzare”;

la piattaforma EDMA, utilizzata per redazione e pubblicazione delle delibere in Regione, è stata oggetto di ulteriore analisi dettagliata, è stato creato un gruppo di lavoro per la definizione delle corrette regole di data retention e di rimozione di dati, documenti e informazioni oggetto di pubblicazione obbligatoria”;

“non si tratta di dati relativi a condanne penali e reati. I dati di cui si lamenta la diffusione sono tutti inerenti al rapporto di lavoro e trasmessi a Regione dai rispettivi datori di lavoro. Risulta inoltre che siano casi isolati i dati rilevanti ai sensi dell’art. 9 GDPR. I documenti oggetto di pubblicazione sono stati inviati a Regione Lombardia, non redatti dalla stessa, né Regione ha provveduto a raccogliere detti dati in qualità di titolare, ma ne è stata a sua volta destinataria tramite comunicazione dal titolare”.

La Regione non ha fatto richiesta di essere audita dal Garante ai sensi dell’art. 166, comma 6, del Codice.

3. Esito dell’attività istruttoria.

3.1 Il quadro normativo

La disciplina di protezione dei dati personali prevede che il trattamento di dati personali da parte di soggetti pubblici può essere effettuato solo se necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e) del Regolamento).

Tali trattamenti devono, comunque, trovare fondamento nel diritto dell’Unione o dello Stato membro, che, deve perseguire un obiettivo di interesse pubblico ed essere proporzionato al perseguimento dello stesso. La finalità del trattamento deve essere necessaria per l'esecuzione di un compito svolto nel pubblico interesse o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento (cfr. art. 6, par. 3, del Regolamento e 2-ter del Codice).

Con riguardo alle categorie particolari di dati personali, inclusi quelli relativi alla salute (in merito ai quali è previsto un generale divieto di trattamento, ad eccezione dei casi indicati all’art. 9, par. 2 del Regolamento e, comunque un regime di maggiore garanzia rispetto alle altre tipologie di dati, in particolare, per effetto dell’art. 9, par. 4, nonché dell’art. 2-septies del Codice), il trattamento è consentito ove “necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. g), del Regolamento). Il legislatore nazionale ha definito “rilevante” l’interesse pubblico per il trattamento “effettuato da soggetti che svolgono compiti di interesse pubblico o connessi all’esercizio di pubblici poteri” nelle materie indicate, seppur in modo non esaustivo, dall’art. 2-sexies del Codice, stabilendo che i relativi trattamenti “sono ammessi qualora siano previsti dal diritto dell'Unione europea ovvero, nell’ordinamento interno, da disposizioni di legge o, nei casi previsti dalla legge, di regolamento che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato”.

In ogni caso, i dati relativi alla salute, ossia quelli “attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, paragrafo 1, n. 15 del Regolamento), in ragione delle maggiori garanzie riconosciute dal Regolamento e dal Codice, stante la particolare delicatezza di tale categoria di dati, “non possono essere diffusi” (art. 2-septies, comma 8, del Codice).

Il titolare del trattamento è, in ogni caso, tenuto a rispettare i principi generali in materia di protezione dei dati personali (art. 5 del Regolamento).

3.2 La diffusione online dei dati personali dei dipendenti di società che gestiscono, nel territorio della Regione Lombardia, il servizio di trasporto pubblico locale

Come risulta dagli atti, nonché dall’accertamento compiuto sulla base degli elementi acquisiti, a seguito dell’attività istruttoria e delle successive valutazioni dell’Ufficio, risulta accertato che la Regione ha pubblicato, dal XX al XX sul proprio sito web istituzionale, la “Delibera di Giunta Regionale n. XX del XX avente ad oggetto l’alienazione delle partecipazioni sociali detenute in Milano Serravalle – Milano Tangenziali S.p.A. e del relativo contratto di compravendita delle partecipazioni, comprensivo degli allegati” e che il file contenente il predetto contratto e i relativi allegati “era liberamente scaricabile all’indirizzo: h t t p: / / a r e a d o c u m e n t a l e. s e r v i z i r l. i t / a t t i / d o w n l o a d /AAAAYBnbrd+mLfAGu+72pN0QYxN3M4aK32vCcmNvmk8hVXf3fjep0bQsNQj83pEB8s71Yi8i1bmZ6ilacUQ+3TLTOnwobNcDzbSO170LzkdlLk5YAfpSeqiyKphfOg32bohXSgAAAICcF/C7UmdgDnC9xEGz8zuE2iFMHjU8OyA+9y/77kJ+AfRKA8burSpa3whChTFo9qghRK+HEdmBuqhJxYfinguljazz1gh03r3cI4gcyjiY9nmBMnG0i2A+Cq1DzeQaK9FshhAsIzDLJx49QLU9rnsbOLEFZbOgq8Vpu2ogmAUdBgAAAAij5x8J0D/y/A==”.

Seppure, come affermato dalla Regione, tali dati “sono stati pubblicati non nell’ambito del contesto lavorativo e del trattamento dei dati dei lavoratori da parte del datore di lavoro”, non risulta pertinente il richiamo agli obblighi di trasparenza di cui all’art.22 del d.lgs. 14 marzo 2013, n. 33 che, ad avviso della Regione, avrebbero giustificato la diffusione dei dati personali dei lavoratori, benché non dipendenti della Regione, contenuti, in particolare, negli allegati allo schema di contratto (in allegato alla delibera XX del XX). Si rappresenta, infatti, che tali disposizioni non prevedono la pubblicazione di dati relativi al rapporto di lavoro dei dipendenti delle società interessate, tra cui, fra gli altri, i redditi percepiti da ciascun lavoratore, suddivisi per voce reddituale, né l’elenco dei procedimenti giudiziali nei confronti dei singoli lavoratori.

In particolare, il comma 1 lett. d-bis) dell’art.22 del predetto decreto prevede, tra gli obblighi di pubblicazione dei dati relativi agli enti pubblici vigilati e agli enti di diritto privato in controllo pubblico, esclusivamente la pubblicazione dei “provvedimenti in materia di costituzione di società a partecipazione pubblica, acquisto di partecipazioni in società già costituite, gestione delle partecipazioni pubbliche, alienazione di partecipazioni sociali”, senza alcuno specifico e diretto obbligo di pubblicazione dei “dati identificativi, l’inquadramento, la qualifica, la data di assunzione e l’anzianità di servizio, nonché il costo complessivo aziendale a titolo di retribuzione annua lorda e altri elementi retributivi” riferiti ai singoli lavoratori (v. punto 9.18.1 dello schema di contratto allegato alla nota di riscontro del XX) né tantomeno dei “procedimenti giudiziali pendenti con i lavoratori” (v. allegato 9.18.12 allo schema di contratto).

La normativa, infatti, non autorizza la pubblicazione di dati personali, ma prevede esclusivamente uno specifico regime di conoscibilità dei “provvedimenti in materia di costituzione di società a partecipazione pubblica, acquisto di partecipazioni in società già costituite, gestione delle partecipazioni pubbliche, alienazione di partecipazioni sociali, quotazione di società a controllo pubblico in mercati regolamentati e razionalizzazione periodica delle partecipazioni pubbliche” da parte delle amministrazioni pubbliche, da aggiornare annualmente.

Al riguardo, nel caso di specie, la Delibera della Giunta Regionale n. XX del XX conteneva, in allegato, l’elenco di circa 732 dipendenti delle predette società e in particolare informazioni riferite in via principale ai “contenziosi, la retribuzione, l’anzianità di servizio, la qualifica e in generale gli aspetti di carriera” dei lavoratori.

Dalla documentazione in atti emerge inoltre che, nel caso di un dipendente, erano riportate anche informazioni relative alla salute riguardanti la richiesta di risarcimento per i danni arrecati alla salute del lavoratore, per effetto di comportamenti vessatori da parte del datore di lavoro (v. parr. 9.18.12 e 9.19 della predetta delibera).

Nel ribadire che il sistema di protezione dei dati personali richiede per qualsiasi operazione di trattamento (art. 4, punto 2 del Regolamento) compresa la diffusione (art.2-ter comma 4 lett. b) del Codice) la necessità di disporre di un’idonea base giuridica, si ricorda che il Garante ha fornito, da tempo, indicazioni in ordine ai presupposti (e al ricorrere di questi, delle specifiche modalità) per la lecita pubblicazione, anche online, di atti e documenti che contengono dati personali (cfr. provv. del 15 maggio 2014 n. 243 “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” doc. web n. 3134436).

Al riguardo va ricordato - stante, in ogni caso, il divieto di diffusione dei dati relativi alla salute - che il Garante, in più occasioni, ha chiarito che anche l’eventuale presenza di uno specifico regime di pubblicità (circostanza che comunque non ricorre nel caso di specie), non può comportare alcun automatismo rispetto alla diffusione online dei dati e informazioni personali, né una deroga ai principi in materia di protezione dei dati personali (cfr. Linee guida cit.). Ciò è d’altronde confermato anche dal sistema di protezione dei dati personali contenuto nel Regolamento, alla luce del quale è previsto che il titolare del trattamento deve mettere “in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento” e deve essere “in grado di dimostrare” – alla luce del principio di “responsabilizzazione” – di averlo fatto (artt. 5, par. 2; 24 e 25, par. 2, Regolamento).

In tale quadro, prima di dare corso alla pubblicazione della delibera e dei relativi allegati, la Regione avrebbe dovuto avvedersi della presenza di dati personali relativi a numerosi lavoratori e, di conseguenza, avrebbe dovuto verificare l’esistenza di una norma di legge o di regolamento che legittimasse tale pubblicazione, nel rispetto del principio di liceità (v. art. 5 del Regolamento).

Considerato, altresì, che nel documento oggetto di pubblicazione era presente anche il riferimento a un contenzioso avente ad oggetto il risarcimento dei danni arrecati alla salute del lavoratore per effetto di comportamenti vessatori da parte del datore di lavoro, si deve ritenere che la diffusione ha riguardato anche dati relativi alla salute, ossia i dati “attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, n. 15, del Regolamento; cfr. anche cons. 35 dello stesso).

In tale categoria di dati è ricompreso anche il mero riferimento a “qualsiasi informazione da cui si possa desumere, anche indirettamente, lo stato di malattia o l’esistenza di patologie dei soggetti interessati” (v. Linee guida cit.) come nel caso di specie. Pertanto tali dati, seppur relativi a un singolo lavoratore, devono essere trattati nel rispetto del più stringente regime applicabile ai dati relativi alla salute che, come detto, non possono essere diffusi (art. 2-septies, comma 8 del Codice).

Tale principio è stato ribadito in numerose decisioni del Garante con riguardo a singoli casi (v. tra i tanti, provv. ti n.68 del 25 febbraio 2021 doc. web 9567429; n. 255 del 24 giugno 2021, doc. web n. 9688099; n. 404 del 1° dicembre 2022, doc. web 9842783; n. 405, del 1° dicembre 2022, doc. web 9844727; n. 420 del 15 dicembre 2022, doc. web 9853429; n. 3 dell'11 gennaio 2023, doc. web n. 9857610).

Sebbene l’episodio da cui ha avuto origine la presente istruttoria ha avuto luogo “in un periodo in cui Regione Lombardia, più di quanto stesse accadendo in altre parti d’Italia, era in piena emergenza pandemica. Periodo in cui Regione ha dovuto fronteggiare con immediatezza e in una situazione di difficoltà, le numerose richieste derivanti dalle esigenze sanitarie, sociali ed economiche” e sebbene la stessa, appena appresa la notizia, si sia immediatamente attivata per assicurare la definitiva rimozione dal sito web dei predetti dati personali, si deve tuttavia concludere, per le ragioni sopra esposte, che i dati personali di centinaia lavoratori (circa 730), in un caso anche relativi alla salute, sono stati pubblicati per un ampio arco temporale - dal XX al XX - sul sito web istituzionale della Regione, e liberamente accessibili in rete, in assenza di base giuridica e in violazione del generale divieto di diffondere dati relativi alla salute in violazione degli artt. 5, 6 par.1 lett. c) ed e) e 9 del Regolamento e degli artt. 2-ter e 2-septies, comma 8, del Codice.

Si prende, comunque, favorevolmente atto delle iniziative assunte dalla Regione, anche con il coinvolgimento del Responsabile della protezione dei dati, attraverso la creazione di “un gruppo di lavoro per la definizione delle corrette regole di data retention e di rimozione di dati, documenti e informazioni oggetto di pubblicazione obbligatoria”.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dalla Regione, atteso che i dati personali di numerosi lavoratori (circa 730), anche relativi alla salute di una lavoratrice, sono stati pubblicati dal XX al XX sul sito web istituzionale della Regione, e liberamente accessibili in rete, in assenza di base giuridica e in violazione del generale divieto a diffondere dati relativi alla salute, in violazione degli artt. 5,  6 par.1 lett. c) ed e) e 9 del Regolamento e degli artt. 2-ter e 2-septies, comma 8, del Codice.

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 2, del Codice.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che i predetti dati sono stati rimossi dal sito web istituzionale della Regione e dalla rete, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

In relazione ai predetti elementi è stata considerata la particolare delicatezza dei dati personali oggetto di diffusione online riguardanti la gestione del rapporto di lavoro e contenziosi in essere di numerosi interessati, nonché, con riguardo a un lavoratore, anche di dati relativi alla salute. La diffusione è avvenuta, inoltre, per un esteso lasso di tempo (dal XX al XX). È stato inoltre considerato il mancato rispetto delle indicazioni che, da tempo, il Garante, ha fornito a tutti i soggetti pubblici con le Linee guida sopra richiamate e in numerosi provvedimenti su singoli casi concreti adottati negli anni dal Garante.

Di contro, si è tenuto in considerazione che la Regione, venuta a conoscenza della pubblicazione ancor prima dell’avvio dell’istruttoria da parte del Garante, ha messo in campo tutte le attività necessarie per rimuovere i dati personali in questione dal proprio sito web istituzionale e dalla rete. Si è inoltre tenuto in considerazione che la violazione ha avuto inizio durante una fase particolarmente delicata (XX) in cui la Regione è stata impegnata ad affrontare le particolari esigenze derivanti dallo stato di emergenza. Sono state, altresì, valutate le iniziative assunte dalla Regione, attraverso anche la creazione di “un gruppo di lavoro per la definizione delle corrette regole di data retention e di rimozione di dati, documenti e informazioni oggetto di pubblicazione obbligatoria”.

Risultano, inoltre, precedenti provvedimenti di cui all'articolo 58, paragrafo 2, nei confronti della Regione, relativamente a violazioni pertinenti.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 20.000 (ventimila) per la violazione degli artt. 5, 6 par.1 lett. c) ed e) e 9 del Regolamento e degli artt. 2-ter e 2-septies, comma 8, del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, paragrafo 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Tenuto conto che i dati personali, oggetto di diffusione online, riguardavano i dati personali di numerosi lavoratori, tra cui anche dati relativi alla salute, si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dalla Regione Lombardia per violazione degli artt. 5, 6 par.1 lett. c) ed e) e 9 del Regolamento e degli artt. 2-ter e 2-septies, comma 8, del Codice, nei termini di cui in motivazione;

ORDINA

alla Regione Lombardia, in persona del legale rappresentante pro-tempore, con sede legale in Piazza Città di Lombardia, 1 - 20124 Milano (MI), C.F. 80050050154, di pagare la somma di euro 20.000 (ventimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Regione, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 20.000 (ventimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione del presente provvedimento sul sito web del Garante, ritenendo che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 26 ottobre 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei