Provvedimento del 26 settembre 2024 [10068155]
Provvedimento del 26 settembre 2024 [10068155]
Condividi[doc. web n. 10068155]
Provvedimento del 26 settembre 2024
Registro dei provvedimenti
n. 606 del 26 settembre 2024
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;
Relatore il dott. Agostino Ghiglia;
PREMESSO
1. Introduzione.
Con reclamo presentato ai sensi dell’art. 77 del Regolamento, il sig. XX ha lamentato, tramite il proprio avvocato, che il Comune di Verona (di seguito “Comune”), presso cui presta la propria attività lavorativa, abbia effettuato una comunicazione di propri dati personali tra cui la circostanza di avvalersi dei benefici previsti dalla l. 5 febbraio 1992, n. 104.
In particolare è stato rappresentato che, a seguito di richiesta da parte del reclamante di una nuova mascherina del tipo FFP2, inviata tramite e-mail esclusivamente alla casella di posta elettronica della XX - in cui faceva esplicito riferimento anche alle “mie ben note patologie” - la stessa replicava, “aggiungendo ai destinatari, sia pure “per conoscenza” l’indirizzo mail denominato magazzinoeconomato@comune.verona.it ”, facendo riferimento, nella stessa e-mail, alla esistenza delle predette patologie in capo al reclamante e, inoltre, rappresentando che non vi fossero “disposizioni particolari per chi è tutelato dalla legge 104”.
2. L’attività istruttoria.
In riscontro a una richiesta d’informazioni dell’Autorità, il Comune, con nota prot. n. XX del XX, ha dichiarato, in particolare, che
- “la casella mail “magazzinoeconomato” alla quale è stata indirizzata, per conoscenza, la mail datata XX ore XX[…], è una casella di posta interna al servizio del magazzino economale (non accessibile agli altri uffici della suddetta Direzione), utilizzata per soli fini organizzativi e gestionali dello stesso magazzino e per le comunicazioni che riguardano gli addetti allo stesso, senza possibilità di accesso da parte di terzi e/o di divulgazione ad altro personale oltre a quello abilitato, anche se dipendente della medesima Direzione (neanche XX vi ha accesso)”;
- “nel periodo interessato, le persone che potevano accedere e utilizzare la casella erano 6 (compreso il sig. XX): XX con competenza specifica sul magazzino; la referente agli arredi (custoditi nello stesso magazzino); gli altri due addetti al magazzino, oltre ad un terzo nel frattempo trasferito ad altra Direzione e successivamente disabilitato”;
- “premesso che il personale sopra indicato, come ogni dipendente comunale, è comunque tenuto alla riservatezza sulle attività e/o procedure e/o notizie/comunicazioni interne ai vari uffici, XX, dato che lo scopo della mail era quello di dare disposizioni di carattere generale sul comportamento da tenere all'interno del magazzino […], aveva ritenuto che la comunicazione per conoscenza alla casella mail “magazzinoeconomato” fosse lo strumento idoneo per raggiungere tale finalità”;
- “la mail oggetto di contestazione datata XX ore XX […], seguiva altre mail nelle quali il sig. XX chiedeva la fornitura di mascherine FFP2. La suddetta mail del 30 luglio era indirizzata al sig. XX, funzionario di cat. D, in quanto Responsabile del magazzino economale, nonché titolare della posizione organizzativa “Responsabile Servizi Trasporto e Allestimento di Manifestazioni Istituzionali” e, per conoscenza, alla casella “magazzinoeconomato”, al fine di dare specifiche disposizioni ai responsabili e agli addetti al magazzino in ordine al comportamento generale da tenere in relazione all’emergenza covid”;
- “nella seconda parte della mail, in risposta alla richiesta di fornitura di mascherine FFP2, XX intendeva chiarire che in quello specifico momento e su quello specifico DPI non vi fosse alcuna disposizione particolare, nemmeno per determinate categorie di dipendenti come, a titolo esemplificativo, quelli tutelati dalla Legge 104. Alcun riferimento diretto veniva fatto ad una possibile concessione di tale beneficio al sig. XX, che, oltretutto, non aveva inoltrato alcuna richiesta in tal senso né alla Direzione Acquisti Contratti Utenze, né al Dirigente del Personale”.
Con nota del XX, l’Autorità, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato al Comune ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, per aver effettuato una comunicazione di informazioni anche riguardanti la salute del reclamante in maniera non conforme al principio di “liceità, correttezza e trasparenza”, nonché di “minimizzazione dei dati”, e in assenza di un’idonea base giuridica, in violazione degli artt. 5, 6 e 9 par. 2 lett. b) del Regolamento, nonché 2-ter e 2-sexies del Codice (sia nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021 sia nel testo attualmente vigente).
Con la medesima nota, il predetto titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).
Con nota del XX, il Comune, che non ha richiesto di essere audito, ha presentato una memoria difensiva, dichiarando, in particolare, che:
- “la condotta posta in essere da XX deve considerarsi, quale caso isolato, posto al di fuori delle prescrizioni di condotta imposte da questo Titolare e che esso deve ritenersi infatti assolutamente isolato rispetto al normale agire dell’Ente”;
- “quanto riportato trova ulteriore evidenza, giusto verbale in atti del XX, nel quale si evince che in tale data, l’allora RPD/DPO dell’Ente ha incontrato XX in questione effettuando nei suoi confronti verbalmente un richiamo sulle disposizioni vigenti in materia”;
- "ad ulteriore dimostrazione della natura assolutamente fortuita dell’accadimento, XX durante tale incontro ha rappresentato di essersene subito resa conto e già poco dopo (13,26) l’email citata delle 12,40 ha scritto all’interessato sig. XX quale unico destinatario delle successive comunicazioni”;
- “pur essendo consapevoli che il trattamento dei dati operato da XX non sia conforme a quanto previsto dalla normativa vigente e dai regolamenti aziendali, preme tuttavia evidenziare che il predetto autorizzato, nel rispondere all’email dell’interessato sig. XX, mettendo in conoscenza il reparto, sia incorsa in buona fede nell’errore che, seppur i colleghi dello stesso settore in indirizzo fossero a conoscenza delle problematiche di salute del predetto, detta informazione non doveva essere trattata, perché non costituisce violazione solo il disvelare un dato in quanto non conosciuto, bensì anche eseguire un trattamento privo di idonea base giuridica, nonché eseguito tramite strumenti inidonei”;
- “in merito al riferimento della legge 104, si precisa invece che XX ha espresso al reparto che si occupa della distribuzione delle mascherine, una direttiva di ordine generale e che, pertanto, le mascherine del tipo FFP2 non potevano essere riconosciute per il sol fatto di essere titolari di detto stato”;
- “si evidenzia altresì che né questo Titolare né l’allora RPD/DPO dell’Ente né l’Ufficio Privacy comunale erano a conoscenza dell’accaduto prima della nota prot. n. XX di codesta Autorità”.
3. Esito dell’attività istruttoria.
La disciplina di protezione dei dati personali prevede che i soggetti pubblici, nell’ambito del contesto lavorativo, possono trattare i dati personali degli interessati, anche relativi a categorie particolari, se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti dalla legge o dal diritto dell’Unione o degli Stati membri (artt. 6, par. 1, lett. c), 9, par. 2, lett. b) e 4 e 88 del Regolamento). Il trattamento è, inoltre, lecito quando sia “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, parr. 1, lett. e), 2 e 3, e art. 9, par. 2, lett. g), del Regolamento; art. 2-ter del Codice, nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, vigente al tempo dei fatti oggetto di reclamo e art. 2-sexies, comma 1, del Codice).
La normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del […] regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento). Al riguardo, si evidenzia che l’operazione di “comunicazione” di dati personali, da parte di soggetti pubblici, è ammessa solo quando prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento (cfr. art. 2-ter, commi 1 e 3, del Codice, nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, vigente al tempo dei fatti oggetto di reclamo).
Con riguardo alle categorie particolari di dati personali, il trattamento è, di regola, consentito, oltre che per assolvere specifici obblighi “in materia di diritto del lavoro […] nella misura in cui sia autorizzato dal diritto […] in presenza di garanzie appropriate” (art. 9, par. 2, lett. b), del Regolamento), anche ove “necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. g), del Regolamento).
Il datore di lavoro, titolare del trattamento, è, in ogni caso, tenuto a rispettare i principi generali in materia di protezione dei dati personali (art. 5 del Regolamento) e deve trattare i dati mediante il personale “autorizzato” e “istruito” in merito all’accesso e al trattamento dei dati (artt. 4, punto 10), 29, e 32, par. 4, del Regolamento).
Come risulta dagli atti e dalle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria nonché dall’accertamento compiuto sulla base degli elementi acquisiti, a seguito dell’attività istruttoria e dalle successive valutazioni di questo Dipartimento, il Comune, ha inviato una comunicazione, non solo all’interessato, ma anche alla casella di posta magazzinoeconomato@comune.verona.it, contenente informazioni riferite al reclamante anche relative alla salute, in quanto, nella stessa e-mail, si fa riferimento alle “sue patologie” e alle particolari disposizioni previste per chi è tutelato dalla l.104 del 1992.
In generale fin dal 2007 il Garante ha chiarito che l’amministrazione deve adottare misure tecniche e organizzative per prevenire la conoscibilità ingiustificata di dati personali dei propri dipendenti da parte di altri colleghi o soggetti terzi, al fine di evitare la indebita circolazione di informazioni personali - nel caso di specie riguardanti informazioni relative alla salute del reclamante - non solo verso l’esterno, ma anche all’interno dei contesti lavorativi in capo a soggetti non autorizzati (cfr., punti 2, 4, 5.1 e 5.3 delle “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico”, del 14 giugno 2007, pubblicate in G.U. 13 luglio 2007, n. 161, e in www.garanteprivacy.it, doc. web n. 1417809).
Al riguardo, secondo l’orientamento consolidato del Garante (cfr., provv.ti del 18 ottobre 2012, n. 296, doc. web n. 2174351 e n. 297, doc. web n. 2174582, nonché provv. 8 maggio 2013, n. 232, doc. web n. 2501216, provv. 3 ottobre 2013, n. 431, doc. web 2747867 e, da ultimo, provv. 31 luglio 2014, n. 392 doc. web n. 3399423), confermato di recente in numerosi provvedimenti su singoli casi, i dati personali dei dipendenti trattati per finalità di gestione del rapporto di lavoro non possono, di regola, essere messi a conoscenza di soggetti diversi da coloro che sono parte dello specifico rapporto di lavoro (cfr. definizioni di “dato personale” e “interessato”, contenuta nell’art. 4, par. 1, n. 1, del Regolamento), ovvero di coloro che - anche tenuto conto della definizione di “terzo”, contenuta nell’art. 4, par. 1, n. 10, del Regolamento - non siano legittimati a trattarli in ragione delle mansioni assegnate e delle scelte organizzative del titolare del trattamento (cfr., provv. n. 43 del 23 febbraio 2023, doc. web n. 9868646 nonché provv. n. 322 del 16 settembre 2021, doc. web n. 9711517, provv. n. 214 del 27 maggio 2021 doc. web. 9689234 ma vedi anche provv. n. 105 del 18 giugno 2020, doc. web n. 9444865 e provv.ti del 24 marzo 2022, prot.n.98 doc. web n. 976305 e dell’11 febbraio 2021, n. 50 doc. web n. 9562866).
Ciò in quanto, come confermato dal Garante in numerosi provvedimenti, anche la messa a disposizione dei dati a soggetti che, ancorché facenti parte dell’organizzazione del titolare del trattamento, per il ruolo svolto e le funzioni esercitate, non possono essere considerati “autorizzati” al trattamento (cfr. artt. 4, n. 10, 28, par 3, lett. b), 29 e 32, par. 4, del Regolamento, nonché art. 2-quaterdecies del Codice), può dare luogo a una comunicazione di dati personali in assenza di base giuridica. Le informazioni riguardanti i lavoratori nell’ambito del contesto lavorativo possono essere conosciute all’interno dell’organizzazione del datore di lavoro nella misura in cui, alla luce della disciplina applicabile, chi ne è messo a conoscenza risulti legittimato a trattare le stesse in considerazione delle funzioni attribuite, del ruolo istituzionale svolto nonché delle eventuali responsabilità che, in varia misura, incombono su di essi. Pertanto il datore di lavoro è tenuto, in ogni caso, ad adottare idonee misure, anche organizzative, per assicurare che non si verifichi alcuna ingiustificata circolazione di informazioni nel contesto lavorativo o comportamenti ispirati a mera curiosità.
Con riferimento, in particolare, ai dati relativi alla salute, nel ricordare che, ai sensi dell’art. 4 par.1, n. 15 del Regolamento sono considerati dati relativi alla salute “i dati personali attinenti alla salute fisica e mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni sul suo stato di salute”, si precisa che, come chiarito dal Garante in numerosi provvedimenti, anche il riferimento alla legge 104, che notoriamente disciplina benefici e garanzie per l’assistenza, l’integrazione sociale e lavorativa di persone disabili o di loro familiari, consente di ricavare informazioni sullo stato di salute di una persona (v. al riguardo, provv. del 1° settembre 2022, n. 290 doc. web 9811361, provv. del 28 aprile 2022, n. 150, doc. web n. 9777200 e provv. del 28 maggio 2020, n. 92, doc. web n. 9434609). Seppure il Comune abbia dichiarato che “alcun riferimento diretto veniva fatto ad una possibile concessione di tale beneficio al sig. XX”, il semplice riferimento, anche indiretto, alla fruizione di tale beneficio può comportare una comunicazione di dati riferiti alla salute, considerato, inoltre, che nella e-mail oggetto di contestazione si faceva espresso riferimento “alle sue patologie”, intendendo le patologie del reclamante.
Per tali ragioni il Comune, che tratta per il tramite del solo personale autorizzato le predette informazioni nell’ambito degli obblighi e dei diritti specifici del titolare e dell’interessato, in materia di diritto del lavoro (art.9, par.2 lett. b) del Regolamento e non invece ai sensi della lett. g) del medesimo articolo, nonché art.2-sexies del Codice), ha reso conoscibile in modo ingiustificato agli altri dipendenti, colleghi del reclamante (ossia a tutto il personale dell’ufficio “magazzino economale” indistintamente), dati personali, anche relativi alla salute, dell’interessato.
Né può essere ritenuto rilevante, ai fini della valutazione della complessiva condotta del datore di lavoro, quanto dichiarato in merito al fatto che “i colleghi dello stesso settore in indirizzo fossero a conoscenza delle problematiche di salute” del reclamante, come espressamente evidenziato dal Comune nelle memorie difensive del. XX, specificando che “detta informazione non doveva essere trattata, perché non costituisce violazione solo il disvelare un dato in quanto non conosciuto, bensì anche eseguire un trattamento privo di idonea base giuridica, nonché eseguito tramite strumenti inidonei”.
Alla luce delle considerazioni che precedono, tale comportamento ha determinato una comunicazione di informazioni riguardanti la salute del reclamante – anche con riguardo alla circostanza, seppure desumibile solo indirettamente, che lo stesso usufruisse dei benefici previsti da disposizioni normative quali quelli della l. n. 104 del 1992, che, notoriamente, disciplina aiuti e garanzie per l’assistenza, l’integrazione sociale e lavorativa di persone disabili o di loro familiari (cfr., tra gli altri, provv.ti del 27 aprile 2023, n.168, doc web 9896845 e dell’11 gennaio 2023, n.3 doc web n. 9857610, e provvedimenti in essi richiamati) in violazione degli artt. 5, 6 e 9 par. 2 lett. b) del Regolamento, nonché 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, vigente al tempo dei fatti oggetto di reclamo).
4. Conclusioni.
Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Comune, per aver comunicato dati personali dell’interessato, anche relativi alla salute, in maniera non conforme al principio di “liceità, correttezza e trasparenza”, nonché di “minimizzazione dei dati”, e in assenza di un’idonea base giuridica, in violazione degli artt. 5, 6 e 9 par. 2 lett. b) del Regolamento, nonché 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, vigente al tempo dei fatti oggetto di reclamo).
Tenuto conto che la violazione delle predette disposizioni ha avuto luogo in conseguenza di un’unica condotta, trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, le violazioni sono tutte soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000.
In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.
5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).
Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).
Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.
La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.
Tenuto conto che:
- con specifico riguardo alla natura, alla gravità e alla durata della violazione, occorre considerare che la comunicazione di dati personali ha riguardato un solo interessato (cfr. art. 83, par. 2, lett. a), del Regolamento);
- con specifico riguardo al profilo soggettivo la violazione ha carattere colposo ammettendo il titolare “che il trattamento dei dati operato da XX non sia conforme a quanto previsto dalla normativa vigente e dai regolamenti aziendali” e la condotta è stata frutto di un errore isolato (art. 83, par. 2, lett. b del Regolamento);
si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60).
Ciò premesso, si ritiene che, ai fini della quantificazione della sanzione, debbano essere prese in considerazione le seguenti circostanze attenuanti:
- il Comune ha offerto un buon livello di cooperazione con l’Autorità nel corso dell’istruttoria dichiarando inoltre che il Responsabile della Protezione dei Dati ha provveduto a sensibilizzare i soggetti coinvolti in merito ai principi in materia di protezione dei dati personali e agli accorgimenti da adottare per evitare che simili errori possano verificarsi in futuro (art. 83, par. 2, lett. f), del Regolamento);
- non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento, aventi la medesima natura di quelle accertate in relazione ai fatti di reclamo, o precedenti provvedimenti di cui all’art. 58 del Regolamento (art. 83, par. 2, lett. e), del Regolamento);
- la violazione è avvenuta in un contesto caratterizzato da numerose difficoltà sul piano organizzativo connesse alle problematiche del periodo emergenziale dovuto alla diffusione del virus Sars Cov 2 (art. 83, par. 2, lett. k), del Regolamento);
In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 10.000 (diecimila) per la violazione degli artt. 5, 6 e 9 del Regolamento, nonché 2-ter del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.
In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante.
Ciò in considerazione della specifica circostanza che la comunicazione ha riguardato delicate vicende relative al rapporto di lavoro dell’interessato e informazioni riferite anche a categorie particolari di dati.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.
TUTTO CIÒ PREMESSO IL GARANTE
- dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento dei dati personali effettuato dal Comune di Verona, per violazione degli artt. artt. 5, 6 e 9 par. 2 lett. b) del Regolamento, nonché 2-ter del Codice nei termini di cui in motivazione;
ORDINA
- al Comune di Verona, in persona del legale rappresentante pro-tempore, con sede legale in Piazza Bra, 1 - 37121 Verona (VR), C.F. 00215150236, per violazione degli artt. 5, 6 e 9 par. 2 lett. b) del Regolamento, nonché 2-ter del Codice nei termini di cui in motivazione;
INGIUNGE
- al predetto Comune, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 10.000 (diecimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981. Si rappresenta che, ai sensi dell’art. 166, comma 8, del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento -sempre secondo le modalità indicate in allegato- di un importo pari alla metà della sanzione irrogata entro il termine di cui all'art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.
DISPONE
- ai sensi dell’art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;
- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;
- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.
Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 26 settembre 2024
IL PRESIDENTE
Stanzione
IL RELATORE
Ghiglia
IL SEGRETARIO GENERALE
Mattei
