g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Ordinanza ingiunzione o revoca
  4. Provvedimento dell'11 gennaio 2024 [9979112]

Provvedimento dell'11 gennaio 2024 [9979112]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

VEDI ANCHE Newsletter del 6 febbraio 2024

 

[doc. web n. 9979112]

Provvedimento dell'11 gennaio 2024

Registro dei provvedimenti
n. 6 dell'11 gennaio 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Introduzione.

Nell’ambito di una iniziativa volta ad agevolare l’assolvimento degli adempimenti in materia di protezione dei dati personali, con nota del XX (prot. n. XX), l’Autorità ha rappresentato al Comune di Siracusa (di seguito, il “Comune”), che:

- “ha reso disponibile un’apposita procedura online per la comunicazione, variazione e revoca del nominativo del RPD designato”, la quale “rappresenta l’unico canale di contatto utilizzabile a questo specifico fine ed è reperibile alla pagina https://servizi.gpdp.it/comunicazionerpd/s/, ove sono riportate anche le apposite istruzioni”;

- “a seguito di “una serie di controlli sulle comunicazioni pervenute, partendo dai codici fiscali degli enti pubblici, come raccolti nell’Indice dei domicili digitali delle pubbliche amministrazioni e dei gestori di pubblici servizi (IPA)” è stato riscontrato che, “per codesto Ente, non risulta censita nei propri archivi la dovuta comunicazione dei dati di contatto” e, pertanto, codesto Comune è stato invitato “a effettuare un controllo sulla comunicazione a suo tempo effettuata, verificando, in particolare, se essa presenti errori” e, conseguentemente, “All’esito delle verifiche, […] ad effettuare la necessaria regolarizzazione, procedendo, nel più breve tempo possibile”;

- “L’Autorità effettuerà, a seguire, ulteriori verifiche; qualora dovessero risultare ancora anomalie con riferimento ai predetti adempimenti da parte di codesto Ente, si riserva di avviare un procedimento per accertare eventuali responsabilità”.

Da un controllo effettuato dall’Autorità nell’anno 2023 sul sito web del Comune, è emersa la pubblicazione dei dati di contatto del Responsabile della protezione dei dati personali (di seguito, il “RPD”) nominato ai sensi dell'articolo 37 del Regolamento, ma persiste la mancata comunicazione dei dati di contatto del RPD all’Autorità utilizzando il canale dedicato sopra citato.

2. L’attività istruttoria.

Con nota del XX (prot. n. XX), l’Ufficio, sulla base degli elementi acquisiti e dalle verifiche compiute, ha notificato al Comune, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, per non aver effettuato la comunicazione dei dati di contatto del RPD all’Autorità, in violazione dell’art. 37, par. 7, del Regolamento.

Con la medesima nota, il Comune è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).

Con nota del XX (prot. n. XX), il RPD del Comune ha presentato la propria memoria difensiva, dichiarando, tra l’altro, che:

- “la scrivente D.ssa […], nella qualità di Dirigente del Comune di Siracusa, è stata nominata Responsabile della Protezione dei dati […] con Decreto Sindacale n. XX del XX”;

- “non avendo la scrivente avuto comunicazione di quanto codesto Garante della Privacy avesse inviato nel 2020 al Comune di Siracusa ed avviato le verifiche del caso, non riscontrate positivamente dagli uffici comunali, la scrivente ha provveduto a contattare telefonicamente gli uffici del Garante ed a richiedere il numero di protocollo dell’avvenuta comunicazione del Responsabile della protezione dei dati personali nominato con delibera di giunta 145 del 21-05-2018, modificato con delibera di giunta n. 149 del 30-05-2018”;

- “[…] parrebbe che questo Comune non ha provveduto a comunicare i dati del Responsabile della Protezione dati nominato nell’anno 2018 […]. Con nota prot n. XX del XX il Segretario Generale del Comune di Siracusa ha invitato la scrivente a provvedere alla verifica dei dati di contatto del Responsabile della Protezione dei Dati (RDP) con le modalità di cui alla nota acquisita al prot. generale dell’Ente XX del XX del Garante”;

- “la scrivente provvederà, in data odierna, alla Comunicazione dei dati di contatto del Responsabile della Protezione dei Dati […] compilando il modulo on line, come nuovo contatto”.

3. Esito dell’attività istruttoria.

Il trattamento dei dati personali, da parte dei soggetti pubblici, deve avvenire nel rispetto delle disposizioni del Regolamento e del Codice.

Ai sensi dell’art. 37 del Regolamento, “Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta: a) il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali” (par. 1, lett. a)); “Il titolare del trattamento o il responsabile del trattamento pubblica i dati di contatto del responsabile della protezione dei dati e li comunica all'autorità di controllo” (par. 7).

Inoltre, nelle “Linee-guida sui responsabili della protezione dei dati (RPD)”, adottate dal Gruppo di lavoro articolo 29 in materia di protezione dei dati personali il 13 dicembre 2016 ed emendate il data 5 aprile 2017, si aggiunge che “L’articolo 37, settimo paragrafo, del RGPD impone al titolare o al responsabile del trattamento di pubblicare i dati di contatto del RPD, e di comunicare i dati di contatto del RPD alle pertinenti autorità di controllo. Queste disposizioni mirano a garantire che tanto gli interessati (all’interno o all’esterno dell’ente/organismo titolare o responsabile) quanto le autorità di controllo possano contattare il RPD in modo facile e diretto senza doversi rivolgere a un’altra struttura operante presso il titolare/responsabile” (par. 2.6).

Anche il “Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico”, adottato dal Garante il 29 aprile 2021 con provvedimento n. 186 (doc. web n. 9589104), precisa che “Per quanto concerne la comunicazione all’Autorità, si evidenzia che il Garante ha reso disponibile un’apposita procedura online non solo per la comunicazione, ma anche per la variazione e la revoca del nominativo del RPD designato. Tale procedura rappresenta l’unico canale di contatto utilizzabile a questo specifico fine ed è reperibile alla pagina https://servizi.gpdp.it/comunicazionerpd/s/, ove sono riportate anche le apposite istruzioni e le relative FAQ: peraltro, si richiama l’attenzione degli enti a inserire correttamente i dati richiesti, come l’individuazione del titolare del trattamento (l’ente complessivamente inteso, e non il legale rappresentante) e la compilazione del codice fiscale dell’amministrazione (e non della partita IVA, ovvero del codice fiscale di altro soggetto)” (par. 7).

Nel caso di specie, è stata verificata la mancata comunicazione dei dati di contatto del RPD all’Autorità, sia con riferimento al RPD designato con delibera di Giunta del 21 maggio 2018, che con riferimento alla RPD designata con determina del Sindaco del 14 novembre 2022, per cui risulta accertata la violazione dell’art. 37, par. 7, del Regolamento in relazione a entrambe le fattispecie.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal Comune nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Comune per non aver comunicato i dati di contatto del RPD all’Autorità in violazione dell’art. 37, par. 7, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i), e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, nel caso di specie, la violazione della disposizione citata è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 4, del Regolamento. La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento, in relazione ai quali si osserva quanto segue.

La mancata comunicazione dei dati di contatto del RPD da parte del Comune ha inciso negativamente sulla possibilità che l’Autorità contattasse il RPD in modo facile e diretto. Inoltre, si osserva che tale mancata comunicazione ha riguardato due RPD designati dal Comune nel corso del tempo (quello del 2018 e quella del 2022), e che il Comune medesimo si è rivelato inadempiente anche a seguito della ricezione della comunicazione dell’Autorità del 2020 proprio sul medesimo tema.

Di contro, si osserva che il Comune si è attivato al fine di porre in parte rimedio alla violazione e attenuarne i possibili effetti negativi (avendo comunicato i dati di contatto del RPD attualmente nominato all’Autorità in data 5 giugno 2023) e che non risultano a carico dello stesso precedenti violazioni pertinenti commesse o precedenti provvedimenti di cui all’art. 58 del Regolamento. Si rileva, altresì, il carattere colposo della violazione.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria, nella misura di euro 5.000 (cinquemila) per la violazione dell’art 37, par. 7, del Regolamento quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito web del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e dall’art. 16 del Regolamento del Garante n. 1/2019, trattandosi del mancato assolvimento a un adempimento divenuto obbligatorio da più di cinque anni.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecita la condotta tenuta dal Comune di Siracusa, descritta nei termini di cui in motivazione, consistente nella violazione dell’art. 37, par. 7, del Regolamento.

ORDINA

Al Comune di Siracusa, con sede in Piazza Duomo n. 4, 96100, Siracusa - C.F. 80001010893 - ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 5, del Regolamento e dell’art. 166, comma 2, del Codice, di pagare la somma di euro 5.000 (cinquemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione;

INGIUNGE

Al Comune di Siracusa, di pagare la somma di euro 5.000 (cinquemila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.
Al riguardo, si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro 30 giorni dalla data della notifica del presente provvedimento, ai sensi dell’art. 166, comma 8, del Codice (cfr. anche art. 10, comma 3, del d.lgs. n. 150 dell’1/9/2011);

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice;

l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 11 gennaio 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
9979112
Data
11/01/24

Argomenti

Enti locali Responsabile protezione dati

Tipologie

Ordinanza ingiunzione o revoca

Vedi anche (9)