g-docweb-display Portlet

Provvedimento dell'8 luglio 2021 [9703112]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9703112]

Provvedimento dell'8 luglio 2021

Registro dei provvedimenti
n. 301 dell' 8 luglio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO il d. lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida in materia di trasparenza”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Introduzione

Questa Autorità ha ricevuto una segnalazione con la quale è stata lamentata una violazione della normativa in materia di protezione dei dati personali da parte del Comune di Salò.

Nello specifico, come emerso dalla verifica preliminare effettuata dall’Ufficio, sul sito web istituzionale del predetto Comune, compilando l’apposita maschera di ricerca presente nell’area «Albo pretorio»/«Storico atti», era possibile visualizzare e scaricare liberamente la Determinazione n. XX del XX (n. XX di Protocollo Generale; n. d’ord. XX Reg. Pubblicazioni) avente a oggetto «XX».

La citata determinazione riportava in chiaro, nel testo e nell’oggetto, dati e informazioni personali, quali il nominativo del dipendente e l’indicazione della relativa condizione assoluta di inabilità al lavoro, nonché altre informazioni inerenti all’attività lavorativa, all’effettuazione della visita medica, all’«acquisizione al diritto alla pensione di inabilità per infermità non dipendente da cause di servizio»; alla risoluzione del rapporto di lavoro.

Il documento era, inoltre, direttamente visualizzabile ai seguenti url:

1.    https://...;

2.    https://....

2. La normativa in materia di protezione dei dati personali

Ai sensi della disciplina in materia, «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)» e «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).

Al riguardo, i soggetti pubblici (come il Comune) possono diffondere «dati personali» solo se tale operazione è prevista «da una norma di legge o, nei casi previsti dalla legge, di regolamento» (art. 2-ter, commi 1 e 3, del Codice), nel rispetto – in ogni caso – dei principi in materia di protezione dei dati, fra cui quello di «minimizzazione», in base al quale i dati personali devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. c, del RGPD).

In tale quadro, si rappresenta che, in ogni caso, è vietata la diffusione di dati relativi alla salute (art. 2-septies, comma 8, del Codice; cfr. anche art. 9, parr. 1, 2, 4, del RGPD), ossia di «dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute» (art. 4, par. 1, n. 15; considerando n. 35 del RGPD).

3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato.

Alla luce dalle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX del XX ha accertato che il Comune di Salò – diffondendo i dati e le informazioni personali del soggetto interessato prima descritti – ha effettuato un trattamento di dati personali non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD. Pertanto, con la medesima nota sono state notificate al predetto Comune le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD e invitando la predetta amministrazione a far pervenire al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentita da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

4. Memorie difensive.

Il Comune di Salò, con la nota prot. n. XX del XX, ha inviato al Garante i propri scritti difensivi in relazione alle violazioni notificate.

Al riguardo, si ricorda che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, intitolato «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante».

Nello specifico, l’ente ha rappresentato, fra l’altro, che:

- «La determinazione oggetto di reclamo è un atto obbligatorio che il Titolare deve predisporre qualora sorga in capo ad un dipendente pubblico, non in grado di proseguire l'attività lavorativa per l'aggravamento del proprio stato di salute, preventivamente sottoposto alla visita medica per il riconoscimento dell'inabilità, il diritto a conseguire un trattamento pensionistico trovandosi nella condizione di “assoluta e permanente impossibilità di svolgere qualsiasi attività lavorativa” (articolo 2, comma 12, legge 8 agosto 1995, n. 335)».

- «La risoluzione del rapporto di lavoro acquisisce decorrenza attraverso il suddetto atto, con i conseguenti effetti in capo al dipendente e successiva obbligatoria trasmissione all’I.N.P.S. - gestione dipendenti pubblici - di tutta la documentazione necessaria per la liquidazione del trattamento pensionistico»;

- «è risultato doveroso dare conto, nel testo del provvedimento, della circostanza che il collocamento a riposo discendeva da una valutazione tecnica della Commissione Medico-Collegiale e non per volontà o arbitrio dell’Ente, fermo restando che, nel provvedimento, non è indicato il motivo dello stato di inidoneità»;

- «per una impostazione informatica predefinita del gestionale: gli atti al termine della pubblicazione in Albo Pretorio passano nella sezione Storico con il testo integrale»;

- «il servizio di pubblicazioni all’Albo pretorio, e il successivo passaggio nella sezione storica dell’albo, è informatizzato»;

- «l’intervento tecnico sulla piattaforma delle pubblicazioni non risulta essere nella disponibilità del Comune»;

- «il Comune di Salò è caratterizzato da: criticità di dotazione dell’organico. I vincoli di finanza pubblica e le rigidità che caratterizzano il bilancio ostano al superamento della predetta criticità, con la conseguenza che non può che essere individuato neppure un profilo di "colpa organizzativa”, non risultando imputabile a scelte dell'amministrazione l'attuale composizione e assetto delle risorse umane»;

- «Ad ogni modo, si ribadisce che l’inconveniente è stato sollecitamente risolto con la tempestiva eliminazione della determinazione oggetto di reclamo e la segnalazione alla software house. […] il Comune ha provveduto a rimuovere dal sito web la determinazione oggetto di reclamo, in pari data alla ricezione della notifica di violazione».

5. Esito dell’istruttoria relativa alla segnalazione presentata.

La questione oggetto del caso sottoposto all’attenzione del Garante riguarda la diffusione di dati e informazioni personali – quali il nominativo di un dipendente e l’indicazione della relativa condizione assoluta di inabilità al lavoro, nonché di altre informazioni inerenti all’attività lavorativa, all’effettuazione della visita medica, all’«acquisizione al diritto alla pensione di inabilità per infermità non dipendente da cause di servizio»; alla risoluzione del rapporto di lavoro –  contenuti nella Determinazione n. XX del XX pubblicata sul sito web istituzionale del Comune di Salò.

Al riguardo, il Comune ha confermato l’avvenuta diffusione dei predetti dati personali e ha provveduto alla relativa rimozione dal sito web istituzionale.

Sotto tale profilo, non può essere accolta l’eccezione sollevata dal Comune in base alla quale la necessità di diffondere i dati del dipendente interessato e i relativi dati sulla salute dipendeva da esigenze di motivazione del provvedimento.

Il Garante nelle Linee guida in materia di trasparenza ha evidenziato, fin dal 2014, che gli enti pubblici «prima di mettere a disposizione sui propri siti web istituzionali atti e documenti amministrativi (in forma integrale o per estratto, ivi compresi gli allegati) contenenti dati personali, [devono] verific[are] se la normativa di settore preveda espressamente tale obbligo […]. Laddove [poi] l’amministrazione riscontri l’esistenza di un obbligo normativo che impone la pubblicazione dell’atto o del documento nel proprio sito web istituzionale è necessario selezionare i dati personali da inserire in tali atti e documenti, verificando, caso per caso, se ricorrono i presupposti per l’oscuramento di determinate informazioni» (parte seconda, par. 1).

Questo implica che – fermo restando la discrezionalità del Comune in ordine alla corretta motivazione del provvedimento e alla necessità di dover «dare conto, nel testo del provvedimento, della circostanza che il collocamento a riposo discendeva da una valutazione tecnica della Commissione Medico-Collegiale e non [da] volontà o arbitrio dell’Ente […]» – prima della pubblicazione sul sito web istituzionale, l’amministrazione avrebbe dovuto provvedere quanto meno all’oscuramento dei dati personali del soggetto interessato, considerando l’idoneità a rivelare il relativo stato di salute (essendo soggetto inabile al lavoro), a prescindere dalla circostanza che «nel provvedimento, non è indicato il motivo dello stato di inidoneità».

Ciò anche tenendo conto che – come evidenziato da questa Autorità in più occasioni – dato idoneo a rivelare lo stato di salute non è solo l’indicazione della patologia, ma qualsiasi informazione «da cui si possa desumere, anche indirettamente, lo stato di malattia o l’esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici» (cfr. Linee guida in materia di trasparenza, cit., parte prima, par. 2 e parte seconda, par. 1; nonché provvedimenti ivi citati in nota n. 5).

Analogamente, non è accoglibile l’eccezione sollevata nelle memorie difensive per la quale il Comune non avrebbe alcuna responsabilità, in quanto «per una impostazione informatica predefinita del gestionale: gli atti al termine della pubblicazione in Albo Pretorio passano nella sezione Storico con il testo integrale» e «il servizio di pubblicazioni all’Albo pretorio, e il successivo passaggio nella sezione storica dell’albo, è informatizzato», per cui «l’intervento tecnico sulla piattaforma delle pubblicazioni non risulta essere nella disponibilità del Comune».

Al contrario, il RGPD prevede proprio che il Comune, in qualità di titolare del trattamento dei dati personali, è tenuto in ogni caso a mettere in atto, fin dalla progettazione (by design), le «misure tecniche e organizzative adeguate, […] volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione», integrando «nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del [RGPD] e tutelare i diritti degli interessati» tenendo conto, fra l’altro, dei rischi, del contesto e dell'ambito di applicazione del trattamento, garantendo «che siano trattati, per impostazione predefinita» (data protection by default) «solo i dati personali necessari per ogni specifica finalità del trattamento» (art. 25, parr. 1 e 2, RGPD). Inoltre, in base al principio di «responsabilizzazione» (accountability) il titolare del trattamento non solo è tenuto a rispettare i predetti principi e mettere in atto le citate misure tecniche e organizzative, ma deve essere anche in grado di dimostrare di averlo fatto (artt. 5, par. 2, e 24 RGPD).

Per tale motivo, pur prendendo atto dell’avvenuta rimozione dal sito web istituzionale dei dati personali oggetto di segnalazione, le circostanze evidenziate negli scritti difensivi esaminate nel loro complesso, sicuramente meritevoli di considerazione ai fini della valutazione della condotta, non risultano tuttavia sufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo alcuna delle ipotesi previste dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio contenute nella nota prot. n. XX del XX e si rileva l’illiceità del trattamento di dati personali effettuato dal Comune di Salò, in quanto la diffusione sul sito web istituzionale:

- dei dati sulla salute del soggetto interessato, è avvenuta in violazione del divieto previsto dall’art. 2-septies, comma 8, del Codice e dell’art. 9, parr. 1, 2 e 4, del RGPD;

- dei dati e delle informazioni personali del soggetto interessato – come le informazioni inerenti all’attività lavorativa e alla risoluzione del rapporto di lavoro – è avvenuta in violazione del principio di «minimizzazione» dei dati, considerando che gli stessi non risultano essere stati «limitati a quanto necessario rispetto alle finalità per le quali sono trattati», di cui all’art. 5, par. 1, lett. c), del RGPD.

In tale quadro, si reputa necessario ingiungere, ai sensi dell’art. 58, par. 2, lett. d), del RGPD, al Comune di Salò di mettere in atto misure tecniche e organizzative adeguate con particolare riferimento al «servizio di pubblicazioni all’Albo pretorio, e [a]l successivo passaggio nella sezione storica dell’albo», in modo che si evitino automatismi nella pubblicazione di atti sul sito web istituzionale che possano portare a illecite diffusioni di dati personali, integrando «nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del [RGPD] e tutelare i diritti degli interessati» (art. 25, parr. 1 e 2, RGPD).

Si ricorda, che l’inosservanza della predetta ingiunzione è punita con la sanzione amministrativa di cui all’art. 83, par. 5, lett. e), del RGPD.

Ai sensi dell’art. 157 del Codice, richiede al Comune di Salò di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto precedentemente ingiunto, ai sensi dell’art. 58, par. 2, lett. d), del RGPD, entro trenta giorni dalla comunicazione del presente provvedimento. Si evidenzia, altresì, che il mancato riscontro alla richiesta, formulata ai sensi dell’art. 157 cit., è punito con la sanzione amministrativa di cui all’art. 166, comma 2, del Codice.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e di ulteriori provvedimenti correttivi (artt. 58, par. 2, lett. d e i; 83 RGPD).

Il Comune di Salò risulta aver violato gli artt. 5, par. 1, lett. c); 9, parr. 1, 2 e 4, del RGPD, nonché l’art. 2-septies, comma 8, del Codice.

Al riguardo, l’art. 83, par. 3, del RGPD, prevede che «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave».

Nel caso di specie, la violazione delle disposizioni citate – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del RGPD, che si applica pertanto al caso di specie.

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD, nonché dell’art. 166 del Codice, ha il potere correttivo di «infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso». In tale quadro, «il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice» (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del RGPD.

In tal senso, la rilevata condotta tenuta in violazione della disciplina in materia di protezione dei dati personali risulta di natura colposa. Il trattamento ha avuto a oggetto la diffusione online di dati personali, anche relativi alla salute (art. 9, RGPD), per due anni e quattro mesi, riferiti a un solo soggetto interessato. Il Comune di Salò è tuttavia un ente di piccole dimensioni (poco meno di 10.500 abitanti) che – secondo quanto affermato dall’Ente – ha «criticità di dotazione dell’organico» dovute a «vincoli di finanza pubblica». L’amministrazione, a seguito della richiesta dell’Ufficio è intervenuta tempestivamente, collaborando con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alla violazione, attenuandone i possibili effetti negativi. Non risultano, in ogni caso, eventuali precedenti violazioni del RGPD pertinenti commesse dall’ente.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, parr. 2 e 3, del RGPD l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, del RGPD, nella misura di euro 9.000,00 (novemila) per la violazione degli artt. 5, par. 1, lett. c); 9, parr. 1, 2 e 4, del RGPD, nonché dell’art. 2-septies, comma 8, del Codice; quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo RGPD.

In relazione alle specifiche circostanze del presente caso, relative alla diffusione online di dati sulla salute (art. 9, RGPD), si ritiene altresì che debba essere applicata la sanzione accessoria della pubblicazione del presente provvedimento sul sito Internet del Garante, prevista dall’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

1. ai sensi dell’art. 144 del Codice, rileva l’illiceità del trattamento nei termini indicati in motivazione, effettuato dal Comune di Salò con sede legale in Lungolago Zanardelli, 55 - 25087 Salò (BS) - C.F. 00399840172, per la violazione degli artt. 5, par. 1, lett. c); 9, parr. 1, 2 e 4, del RGPD, nonché dell’art. 2-septies, comma 8, del Codice;

2. ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD nonché dell’art. 166 del Codice, infligge al Comune di Salò la sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. a) del succitato Regolamento ordinando e contestualmente ingiungendo al predetto trasgressore, di pagare la somma di euro € 9.000,00 (novemila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981. Al riguardo, si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro 30 giorni dalla data della notifica del presente provvedimento, ai sensi dell’art. 166, comma 8, del Codice (cfr. anche art. 10, comma 3, del d. lgs n. 150 dell’1/9/2011);

3.  ai sensi dell’art. 58, par. 2, lett. d), del RGPD, ingiunge al Comune di Salò di mettere in atto misure tecniche e organizzative adeguate con particolare riferimento al «servizio di pubblicazioni all’Albo pretorio, e [a]l successivo passaggio nella sezione storica dell’albo», in modo che si evitino automatismi nella pubblicazione di atti sul sito web istituzionale che possano portare a illecite diffusioni di dati personali, integrando «nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del [RGPD] e tutelare i diritti degli interessati» (art. 25, parr. 1 e 2, RGPD);

4. ai sensi dell’art. 157 del Codice, richiede al Comune di Salò di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto disposto al precedente punto n. 3 del presente provvedimento entro trenta giorni dalla notifica dello stesso;

5. ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019, dispone la pubblicazione del presente provvedimento sul sito web del Garante;

6. ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, dispone l’annotazione nel registro interno dell’Autorità delle violazioni e delle misure adottate, ai sensi dell’art. 58, par. 2, del RGPD, con il presente provvedimento.

Si ricorda, che l’inosservanza di quanto ordinato al precedente punto n. 3 è punita con la sanzione amministrativa di cui all’art. 83, par. 6, del RGPD. Si evidenzia, altresì, che il mancato riscontro alla richiesta, formulata ai sensi dell’art. 157, di cui al precedente punto 4 è punito con la sanzione amministrativa di cui all’art. 166, comma 2, del Codice.

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 8 luglio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei