[doc. web n. 10077313]

Provvedimento del 26 settembre 2024

Registro dei provvedimenti
n. 607 del 26 settembre 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27/4/2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO il d. lgs. 30/6/2003, n. 196 recante “Codice in materia di protezione dei dati personali” (di seguito “Codice”);

VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida in materia di trasparenza”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Introduzione

Questa Autorità ha aperto un’istruttoria nei confronti della Città metropolitana di Torino in ordine a una violazione della normativa in materia di protezione dei dati personali derivante dalla diffusione di dati personali sul sito web istituzionale del predetto ente.

Nello specifico, dalla verifica preliminare effettuata dall’Ufficio, è emerso che nella sezione «Info e servizi», nell’area «Albo pretorio ed atti» del sito web istituzionale, è possibile consultare i documenti pubblicati nell’albo pretorio. Al riguardo, è stata effettuata una ricerca a campione nella sezione intitolata «consultazione di tutti gli atti/provvedimenti registrati e pubblicati a partire dal XX» con particolare riferimento all’accertamento/riscossione dei proventi derivanti dalle sanzioni amministrative e ai rimborsi spese alle Guardie ecologiche volontarie (GEV) rinvenendo diversi documenti, fra cui sono stati visualizzati e scaricati i seguenti:

1. Determinazione dirigenziale n. XX del XX (url https://...);

2. Determinazione dirigenziale n. XX del XX (url https://...);

3. Determinazione dirigenziale n. XX del XX e allegato intitolato «XX» (url https://...)

I citati documenti contenevano dati personali dei soggetti sanzionati per violazione della disciplina di settore dalle Guardie ecologiche volontarie (GEV) con indicazione dell’importo della sanzione; il nominativo delle GEV con indicazione dell’entità dei rimborsi delle spese da loro sostenute e dei dati bancari su cui effettuare il versamento, nonché della relativa email e numero di cellulare (cfr. allegato intitolato «XX» sopra indicato al n. 3).

2. La normativa in materia di protezione dei dati personali

Ai sensi della disciplina in materia, «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)» e «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).

I soggetti pubblici, come la Città metropolitana, possono diffondere «dati personali» nel rispetto della disciplina in materia di protezione dei dati personali (art. 2-ter, commi 1 e 3, del Codice) e – in ogni caso – del principio di «minimizzazione», in base al quale i dati personali devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. c, del RGPD).

Fin dal 2014, il Garante ha fornito specifiche indicazioni alle amministrazioni sulle cautele da adottare per la diffusione di dati personali online con il provvedimento generale n. 243 del 15/5/2014, recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (in corso di aggiornamento, ma ancora attuale nella parte sostanziale).

3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato.

Dalle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX del XX ha accertato che la Città metropolitana di Torino – diffondendo i dati e le informazioni personali prima descritti – ha tenuto una condotta non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD. Pertanto, con la medesima nota sono state notificate al predetto ente le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD e invitando l’amministrazione a far pervenire al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentita da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

4. Memorie difensive.

La Città metropolitana di Torino, con la nota prot. n. XX del XX, ha inviato al Garante i propri scritti difensivi in relazione alle violazioni notificate.

Al riguardo, si ricorda che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, intitolato «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante».

Nello specifico, quanto alla condotta tenuta, l’amministrazione ha evidenziato, fra l’altro che:

- «si è provveduto all’oscuramento dei dati sensibili segnalati nei documenti di che trattasi;

- «gli Uffici del D.P.O., incardinati presso la Direzione Comunicazione e rapporti con i cittadini e i territori (OA5) […] si sono resi parte diligente provvedendo ad una ulteriore verifica, a campione, di talune tipologie di provvedimenti, già pubblicati in Albo Pretorio online»;

- «[la] Direzione Affari Istituzionali (A02), titolare delle mansioni volte al controllo di conformità in materia di privacy su provvedimenti politici e dirigenziali, [ha scelto] di formalizzare e diffondere al personale interno apposita disposizione organizzativa, agli atti dell’Ente, in merito all’adozione delle dovute cautele, da attuare nel processo di minimizzazione di dati e delle informazioni. […] In particolare, è stato raccomandato al gruppo di lavoro dedicato a tali incombenti di procedere ad una “verifica ex ante”, rispetto al primo controllo, già effettuato dalle Direzioni competenti alla proposta degli atti, nonché ad una “verifica ex post”, con riguardo all'avvenuta pubblicazione dei provvedimenti in Albo Pretorio online […] al fine di scongiurare il ripetersi di quanto accaduto […]»;

- «Si aggiunga che al fine di evitare il ripetersi dell’occorso, nell’ambito dell’attività di pubblicazione online di documenti contenenti dati personali di soggetti sanzionati o riguardanti i rimborsi alle Guardie Ecologiche Volontarie (GEV), si è data disposizione alla Direzione di competenza di prevedere un doppio controllo su tale tipologia di atti, evitando, laddove possibile, di allegare quale parte integrante degli stessi le tabelle riepilogative dei predetti rimborsi»;

- «si segnala la volontà di incrementare le ore di formazione specifica sulla materia, tramite formatori interni o esterni all’Ente, a dimostrazione della costante attenzione dell’Ente nei confronti della tematica in questione».

5. Esito dell’istruttoria relativa al reclamo presentato

La questione oggetto del caso sottoposto all’attenzione del Garante riguarda la diffusione di dati e informazioni personali, delle Guardie ecologiche volontarie (nominativo, e-mail, numero di cellulare, rimborsi ricevuti e iban su cui accreditare le somme) e dei soggetti sanzionati per violazioni delle leggi di loro competenza (nominativi e importo della sanzione ricevuta), contenuti in alcuni documenti, pubblicati online (di cui ai file identificati supra ai nn. 1-3 del par. 1).

La Città metropolitana di Torino nelle proprie memorie difensive ha confermato l’avvenuta pubblicazione, rappresentando di avere provveduto a oscurare i dati personali oggetto di contestazione e di avere adottato misure per evitare che in futuro possa ripetersi quanto accaduto.

Ciononostante, le circostanze evidenziate negli scritti difensivi dell’ente, esaminate nel loro complesso, anche se sicuramente meritevoli di considerazione ai fini della valutazione della condotta, non risultano sufficienti a consentire l’archiviazione del presente procedimento. Ciò in quanto, nel caso in esame, non ricorre alcuna delle ipotesi previste dall’art. 11 del Regolamento del Garante n. 1/2019.

In tale quadro, si confermano le valutazioni preliminari dell’Ufficio di cui alla nota prot. n. XX del XX e si rileva che il trattamento di dati personali effettuato dalla Città metropolitana di Torino non è conforme alla disciplina rilevante in materia di protezione dei dati personali, in quanto la diffusione dei dati personali prima descritti, contenuti nei documenti di cui ai file sopra identificati ai nn. 1-3 del par. 1 è avvenuta in violazione:

1) delle disposizioni contenute nell’art. 2-ter, commi 1 e 3, del Codice; nell’art. 7-bis, comma 3, del d. lgs. n. 33/2013; nell’art. 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD;

2) del principio di «minimizzazione» dei dati, che non sono «limitati a quanto necessario rispetto alle finalità per le quali sono trattati» secondo quanto previsto dall’art. 5, par. 1, lett. c), del RGPD.

Considerato, tuttavia, che la condotta ha esaurito i suoi effetti, in quanto il titolare del trattamento ha dichiarato di aver provveduto a rimuovere i dati personali oggetto di contestazione dell’Ufficio dal sito web istituzionale, fermo restando quanto si dirà sull’applicazione della sanzione amministrativa pecuniaria, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del RGPD.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria (artt. 58, par. 2, lett. i; 83 del RGPD)

La Città metropolitana di Torino risulta aver violato gli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD nonché gli artt. 2-ter, commi 1 e 3, del Codice (cfr. anche artt. 7-bis, comma 3, del d. lgs. n. 33/2013).

Al riguardo, l’art. 83, par. 3, del RGPD, prevede che «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave».

Nel caso di specie, la violazione delle disposizioni citate – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del RGPD, che si applica pertanto al caso in esame.

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD, nonché dell’art. 166 del Codice, ha il potere correttivo di «infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso». In tale quadro, «il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice» (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del RGPD.

In tal senso, quanto alla condotta tenuta si tiene conto del fatto che la stessa ha avuto a oggetto la diffusione illecita online di dati personali non appartenenti a categorie particolari né a condanne penali o reati (artt. 9 e 10, del RGPD), riferiti a numerosi soggetti di cui è stato reso noto, in alcuni casi anche l’e-mail, il numero di cellulare e il codice iban del conto corrente bancario, mantenuti sul sito web istituzionale per diversi anni. Tale condotta risulta essere frutto di un errore e, quindi, di natura colposa.

Si ritiene pertanto che, nel caso di specie, il livello di gravità della condotta tenuta dal titolare del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23/5/2023, punto 60).

Ciò premesso, nella determinazione dell’ammontare complessivo della sanzione si ritiene di dover prendere in considerazione, fra l’altro, l’ampiezza dell’ambito territoriale dell’ente e, quindi, la circostanza che la Città metropolitana di Torino è un ente locale di grandi dimensioni con più di due milioni di abitanti.

Si tiene in ogni caso conto delle seguenti circostanze attenuanti:

- il titolare del trattamento, a seguito della richiesta dell’Ufficio è intervenuto tempestivamente, collaborando con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alle violazioni, attenuandone i possibili effetti negativi, dichiarando, a tal fine, che la condotta è cessata avendo provveduto a rimuovere i dati dal sito web istituzionale;

- nel riscontro al Garante sono state descritte alcune misure organizzative messe in atto dall’ente ai sensi degli artt. 25-32 del RGPD;

- non risultano precedenti violazioni del RGPD pertinenti commesse dall’ente.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, parr. 2 e 3, del RGPD l’ammontare della sanzione pecuniarie, prevista dall’art. 83, par. 5, del RGPD, nella misura di euro 50.000,00 (cinquantamila) per la violazione degli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD; nonché dell’art. 2-ter, commi 1 e 3, del Codice (cfr. anche artt. 7-bis, comma 3, del d. lgs. n. 33/2013), quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo RGPD.

In relazione alle specifiche circostanze del presente caso, riguardanti la diffusione di dati personali online in assenza di una idonea base normativa per un esteso lasso temporale (art. 2-ter, commi 1 e 3, del Codice), si ritiene altresì che debba essere applicata la sanzione accessoria della pubblicazione del presente provvedimento sul sito Internet del Garante, prevista dall’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità del trattamento effettuato dalla Città metropolitana di Torino nei termini indicati in motivazione ai sensi degli artt. 58, par. 2, lett. i), e 83 del RGPD per violazione degli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD, nonché dell’art. 2-ter, commi 1 e 3, del Codice;

ORDINA

alla Città metropolitana di Torino, in persona del legale rappresentante pro-tempore, con sede legale in Corso Inghilterra 7 - 10138 Torino (TO) – C.F. 01907990012 di pagare la somma di € 50.000,00 (cinquantamila) a titolo di sanzione amministrativa pecuniaria per le violazioni di cui in motivazione;

INGIUNGE

alla medesima Città metropolitana di pagare la somma di euro € 50.000,00 (cinquantamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.

Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1/9/2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice).

DISPONE

- la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019;

- l’annotazione nel registro interno dell’Autorità delle violazioni e delle misure adottate ai sensi dell’art. 58, par. 2, del RGPD con il presente provvedimento, come previsto dall’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 26 settembre 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei