g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Comune di Villabate - 12 maggio 2022 [9781242]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9781242]

Ordinanza ingiunzione nei confronti di Comune di Villabate - 12 maggio 2022

Registro dei provvedimenti
n. 174 del 12 maggio 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Introduzione.

Con reclamo del XX, presentato ai sensi dell’art. 77 del Regolamento, il reclamante, ex dipendente del Comune di Villabate (di seguito, il “Comune”), ha lamentato la circostanza che l’allora responsabile del settore Affari Generali del Comune avrebbe inviato, a mezzo lettera del XX, la nota prot. XX, relativa a vicende connesse al pignoramento presso il Comune di quota dello stipendio del reclamante, oltre che a un istituto bancario e allo stesso reclamante, anche all’Ente con il quale il reclamante aveva instaurato un nuovo rapporto di lavoro, rendendo noti a quest’ultimo l’”esistenza di presunti pignoramenti”, nonché l’”esistenza di un residuo di presunto debito […] scaduto e non trasmissibile fra le due amministrazioni”.

In tale nota si menzionava, altresì, la circostanza che il reclamante avesse “ottenuto la proroga dell’aspettativa ed [avesse] presentato formali dimissioni a far data dal […] per aver vinto un concorso presso […] al quale la [nota veniva] inviata per conoscenza”.

Il reclamante ha, inoltre, lamentato che il Comune non avrebbe provveduto a designare un responsabile della protezione dei dati (di seguito, “RPD”) o a renderne pubblici i dati di contatto, come richiesto dall’art. 37, parr. 1, lett. a), e 7 del Regolamento, avendo appreso solo “in via informale che il soggetto individuato [fosse] la stessa [responsabile del settore Affari Generali del Comune]”.

In riscontro a una richiesta d’informazioni di questa Autorità (nota prot. n. XX del XX), il Comune, con nota prot. n. XX del XX, ha dichiarato, in particolare:

di aver “provveduto con Determinazione Sindacale n. XX alla nomina in via temporanea del responsabile della protezione dei dati personali” e di aver proceduto “in data XX all’inserimento dei dati tramite procedura informatica indicata sul sito web dell’Autorità”;

che “[…] in ogni caso tutte le informazioni contenute nel fascicolo personale del dipendente trasferito devono essere trasmesse al nuovo Ente […]”.
Rispondendo a un’ulteriore richiesta d’informazioni di questa Autorità (prot. n. XX del XX), il Comune, con nota prot. n. XX del XX, ha dichiarato, in particolare, che:

“la [responsabile del settore Affari Generali del Comune], cat. D, con determinazione sindacale n. XX è stata individuata provvisoriamente [quale RPD] in quanto […] dipendente titolare di posizione organizzativa più anziana e pertanto, “tenuto conto delle limitate risorse presenti in dotazione organica […] e nelle more di affidare il servizio a soggetto esterno”’, [è stata ritenuta] per esperienza e professionalità idonea a ricoprire l'incarico provvisorio”;

“il provvedimento risulta regolarmente pubblicato all'albo pretorio on line del comune a decorrere dal XX […] e contestualmente inserito nella sezione “Amministrazione Trasparente” nelle sottosezioni “altri contenuti — prevenzione della corruzione” e “provvedimenti — provvedimenti organi di indirizzo”;

“con determinazione del Responsabile del I Settore n. XX del XX è stato affidato il servizio di [RPD] alla ditta […] [, soggetto esterno all’Ente]”;

“la specifica ipotesi che il dipendente era sottoposto a seguito di pignoramento presso terzi alla trattenuta stipendiale mensile comportava, essendo il [Comune] “custode” delle somme pignorate (ex art. 546 c.p.c.), l’obbligo di comunicare al nuovo datore di lavoro il debito del dipendente nei confronti della Banca assegnataria ai sensi dell’art. 2112 del codice civile […] e in applicazione dell’art. 1406 del Codice civile […]”;

“la normativa di riferimento [si rinviene nell’] art. 543 e seguenti del codice civile”;

“[…] non risultando agli atti d’ufficio [l’]avvenuta estinzione del debito del funzionario [, il Comune] in data XX con [nota] prot. n. XX ha comunicato al nuovo datore di lavoro […] il pignoramento in itinere”.

2. L’attività istruttoria.

Con nota del XX (prot. n. XX), l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato al Comune, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto le presunte violazioni degli artt. 5, par. 1, lett. a), 6, 37, par. 1, lett. a), e par. 7, nonché 38, par. 6, del Regolamento, invitando il predetto Comune a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).

Con nota dell’XX (prot. n. XX), il Comune ha presentato una memoria difensiva, dichiarando, in particolare, che:

“la Pubblica amministrazione è tenuta a creare la cartella personale del dipendente, che prende il nome di «stato matricolare» ai sensi dell’art. 55 D.P.R. n. 3 del 10 gennaio 1957. Allo stesso “fascicolo personale del dipendente” fa espresso riferimento il Dlgs. n. 165/2001 all’art. 11, comma 7 per cui si ritiene che in esso vadano conservate tutte le informazioni del dipendente, ivi compresi, i pignoramenti pendenti presso terzi”;

“tale debito scaturisce dall'atto di pignoramento del 9/01/2012 con il quale la Banca ha ottenuto l'assegnazione della somma di € […] per un massimo del quinto dello stipendio. Il [reclamante] […] non aveva ancora estinto il proprio debito. Infatti, […] con la nota assunta al prot. n. XX del XX questo Ente veniva a conoscenza che [egli] risultava ancora debitore nei confronti [del] [soggetto creditore,] [il] quale comunicava di aver avviato le procedure per il recupero stragiudiziale delle somme”;

“pertanto, solo in quel momento il Responsabile del Settore competente, in buona fede e secondo principi di correttezza, ha ritenuto doveroso comunicare all’Istituto di Credito che il [reclamante] non era più dipendente del comune di Villabate dal […] e che risultava trasferito presso [l’Ente nuovo datore di lavoro]”;

"a tal proposito non appare inconferente il fatto che la comunicazione sia stata fatta […] [anche] allo stesso dipendente a dimostrazione della perfetta buona fede del [Comune] […]”;

la designazione provvisoria del RPD nella persona dell’allora responsabile del settore Affari Generali del Comune si è resa necessaria “nelle more di individuare idonea figura esterna, […] in quanto la mancata approvazione del Bilancio di Previsione e l'assenza di risorse finanziarie poteva essere momentaneamente sopperita con l’individuazione di una figura interna. La ridotta dotazione organica del comune […], che a fronte di 150 unità nel caso di ente dissestato presentava in servizio circa 75 unità e solo n. 9 categorie “D”, ha fatto individuare al Sindaco il responsabile [della protezione] dei dati […] con uno dei responsabili di settore con un grado sufficiente di autonomia all'interno dell'organizzazione”;

“[…] la comunicazione contestata è stata firmata dalla stessa [responsabile del settore Affari Generali del Comune] poiché vi era e vi è la perfetta convinzione di avere adempiuto ad un obbligo giuridico discendente dal […] contratto sottoscritto tra il [reclamante] e la società di credito […], obbligo mai contestato prima dal debitore ceduto”;

“per quanto riguarda, invece, la comunicazione dei dati di contatto [all’] Autorità è innegabile che la comunicazione della nomina del DPO […] in data XX sia avvenuta, per mera dimenticanza, tardivamente. Mentre la designazione del DPO esterno […], il cui affidamento è avvenuto dopo l’approvazione del Bilancio di Previsione 2019/2021, con delibera del Consiglio Comunale n. 04 del 04/05/2020 è stata comunicata [all’Autorità] con la nota di risposta prot. n. XX del XX […] [,nel corso dell’istruttoria relativa al reclamo,] ritenendosi così assolto l'obbligo di informazione”;

“[…] dati di contatto del RPD risultano regolarmente pubblicati nella sezione “privacy” del sito internet del comune di Villabate, con l'indicazione dei contatti, delle INFORMATIVE e dei MODULI”;

“per quanto attiene la dovuta registrazione nella piattaforma del sito [dell’] Autorità, inerente [al] subentro del [nuovo RPD], come statuito con la determinazione Sindacale n 84 del 29/07/2020, questa si è perfezionata in data XX. Il ritardo è dovuto alle difficoltà sopra enucleate acuite dal XX u.s. dalla speciosa circostanza che l'Ente Comunale si è trovato senza la figura professionale del Ragioniere Generale, per cui alla congiuntura finanziaria particolarmente precaria e perniciosa, si è aggiunta quella emergenziale, dovuta all'assenza di tale imprescindibile figura professionale, essenziale per il buon funzionamento dell'Ente, il quale in questi mesi ha cumulato endemici ritardi nelle esitazioni di adempimenti […;] il subentro [del nuovo RPD] è stato segnalato [all’Autorità] con la nota prot.XX del XX e ai cittadini nel sito istituzionale del Comune in data ancora anteriore”.

In occasione dell’audizione, richiesta dal Comune ai sensi dell’art. 166, comma 6, del Codice e tenutasi in data XX (cfr. verbale prot. n. XX del XX), il Comune ha, inoltre, dichiarato, in particolare, che:

“il dipendente in questione aveva più debiti, avendo contratto più mutui, e ha nel tempo cambiato diverse Amministrazioni. […] [Il] Comune, a fronte del trasferimento del dipendente ad altro [Ente], ha ritenuto di dover informare quest’ultimo in merito alla situazione debitoria dello stesso, anche perché, contrariamente a quanto affermato dal reclamante, sulla base della documentazione agli atti, il debito nei confronti del creditore era ancora in parte sussistente”;

“il ritardo nella designazione del RPD è dipeso dalla difficile condizione finanziaria del Comune, che ha approvato il bilancio del 2019 soltanto nel 2021”.

3. Esito dell’attività istruttoria.

3.1 La liceità del trattamento.

La disciplina di protezione dei dati personali prevede che i soggetti pubblici, nell’ambito del contesto lavorativo, possono trattare i dati personali degli interessati, anche relativi a categorie particolari, se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti dalla legge o dal diritto dell’Unione o degli Stati membri (artt. 6, par. 1, lett. c), 9, par. 2, lett. b) e 4 e 88 del Regolamento). Il trattamento è, inoltre, lecito quando sia “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, parr. 1, lett. e), 2 e 3, e art. 9, par. 2, lett. g), del Regolamento; art. 2-ter del Codice, nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139).

Il titolare del trattamento è tenuto, in ogni caso, a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione dei dati”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c), del Regolamento).

Nel caso di specie, risulta che il Comune, con la predetta nota, ha reso noto all’istituto bancario creditore non solo l’avvenuta cessazione del rapporto di lavoro con il reclamante, ma anche una serie di ulteriori informazioni di carattere personale a questo riferite (proroga del periodo di aspettativa; specifica ragione della cessazione del rapporto di lavoro per dimissioni volontarie; estremi del nuovo datore di lavoro), che non risultano necessarie e giustificate alla luce del quadro normativo che disciplina l’istituto del pignoramento presso terzi e gli obblighi del datore di lavoro, in qualità di terzo pignorato (art. 543 ss. c.p.c.).

Inoltre, con la medesima nota, il Comune ha, altresì, comunicato al nuovo datore di lavoro del reclamante la circostanza che lo stesso avesse un debito nei confronti dell’istituto bancario in questione, incluse informazioni di dettaglio relative al pignoramento di quota dello stipendio e al residuo della somma da pagare, nonché informazioni relative alla gestione del precedente rapporto di lavoro (avvenuta fruizione del periodo di un periodo di aspettativa non retribuita; ragioni della cessazione del precedente rapporto di lavoro per intervenute dimissioni volontarie), con il rischio di esporre il dipendente a possibili effetti pregiudizievoli, anche indiretti, nel nuovo contesto lavorativo.

Il Comune nelle proprie difese ha invocato la necessita di dare esecuzione a un contratto di cui era parte l’interessato quale presupposto di liceità delle predette comunicazioni di dati personali (art. 6, par. 1, lett. b), del Regolamento).

Al riguardo, si osserva che l’espressione “necessario per l’esecuzione di un contratto”, di cui all’art. 6, par. 1, lett. b) del Regolamento, si riferisce al caso in cui “il trattamento deve essere necessario per adempiere il contratto con ciascun interessato” (cfr. “Parere 6/2014 sul concetto di interesse legittimo del titolare del trattamento ai sensi dell’articolo 7 della direttiva 95/46/CE”, adottato dal Gruppo di lavoro articolo 29 il 9 aprile 2014, WP 217, pagg. 19-20). Come ribadito anche di recente dal Garante (provv. n. 384 del 28 ottobre 2021, doc. web n. 9722661), richiamando le indicazioni fornite dal Comitato europeo per la protezione dei dati, “è necessario che vi sia un collegamento diretto e obiettivo tra il trattamento dei dati e la finalità dell’esecuzione del contratto con gli interessati” (“Linee Guida sul consenso ai sensi del Regolamento UE 2016/679”, adottate il 4 maggio 2020).

Nel caso di specie, invece, il rapporto contrattuale coinvolgeva unicamente l’interessato e l’istituto bancario, essendo il Comune datore di lavoro soltanto il terzo presso il quale era stato effettuato il pignoramento, nell’ambito della procedura esecutiva disciplinata dagli artt. 543 ss. c.p.c..

Le medesime considerazioni valgono anche con riguardo al nuovo datore di lavoro del reclamante, il quale era del tutto estraneo ai rapporti contrattuali in essere tra l’interessato e il creditore e alla conseguente procedura esecutiva. In tale quadro, l’attivazione di una nuova procedura di pignoramento presso il nuovo datore di lavoro costituiva una mera eventualità, rimessa, in ogni caso, all’iniziativa del creditore e alle valutazioni dell’autorità giudiziaria nell’ambito di una distinta procedura esecutiva.

Pertanto, l’esecuzione del contratto stipulato tra l’interessato e l’istituto di credito, pur potendo legittimare la pretesa creditoria nei confronti dell’interessato e le conseguenti azioni da parte del creditore per il recupero delle somme dovute, nei limiti dei rimedi offerti dall’ordinamento (cfr. art. 543 ss. c.p.c. in tema di pignoramento presso terzi), non poteva essere invocata dal Comune, soggetto presso il quale era stato fatto valere il pignoramento, al fine di giustificare le avvenute comunicazioni di dati personali dell’ex dipendente tanto al creditore (il quale poteva essere informato solo dell’avvenuta cessazione del rapporto di lavoro) quanto al nuovo datore di lavoro (soggetto completamente estraneo all’intera vicenda).

Né risultano, peraltro, in tale quadro, pertinenti i riferimenti, contenuti negli atti difensivi del Comune, sia all’art. 2112 c.c., che prevede, in particolare, il mantenimento dei diritti dei lavoratori in caso di “trasferimento d'azienda”, sia all’art. 1406 c.c., che disciplina la nozione generale di cessione del contratto, trattandosi di fattispecie entrambe prive di connessione con le vicende di cui trattasi.

Quanto alla circostanza per cui il Comune avrebbe dovuto comunicare i dati personali del reclamante al nuovo datore di lavoro sul presupposto che tali informazioni facessero, comunque, parte del fascicolo personale del dipendente, si osserva che la disciplina di settore che disciplina la tenuta del fascicolo personale e dello stato matricolare del dipendente pubblico (v. gli specifici atti e documenti enumerati dagli artt. 55 del d.P.R. 10 gennaio 1957, n. 3 e 29 del d.P.R. 3 maggio 1957, n. 686) non prevede che i documenti relativi alle eventuali azioni di pignoramento presso il datore di lavoro con riguardo a posizioni debitorie dei dipendenti debbano figurare all’interno degli stessi, non trattandosi di informazioni “che possono interessare la carriera del dipendente”(art. 55, cit.).

Alla luce delle considerazioni che precedono, la comunicazione dei dati personali del reclamante da parte del Comune all’istituto bancario e al nuovo datore di lavoro del reclamante, mediante la nota prot. prot. XX, è avvenuta in maniera non conforme al “principio di liceità, correttezza e trasparenza” e in assenza di un’idonea base giuridica, in violazione degli artt. 5, par. 1, lett. a) e 6 del Regolamento.

3.2 L’assolvimento degli obblighi relativi al Responsabile della protezione dei dati.

Con riguardo alla figura del RPD, la normativa in materia di protezione dei dati prevede che la designazione dello stesso sia sempre dovuta da parte dei soggetti pubblici (art. 37, par. 1, lett. a), del Regolamento).

Il titolare del trattamento è, altresì, tenuto a pubblicare i dati di contatto del RPD e a comunicare gli stessi all'autorità di controllo (art. 37, par. 7, del Regolamento; cfr. il “Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico” allegato al provv. 29 aprile 2021, n. 186, doc. web n. 9589104, nonché le precedenti “Faq sul Responsabile della Protezione dei dati (RPD) in ambito pubblico”, del 15 dicembre 2017, doc. web n. 7322110; in ambito europeo, v. le “Linee guida sui responsabili della protezione dei dati”, adottate dal Comitato europeo per la protezione dei dati il 13 dicembre 2016, come emendate e adottate in data 5 aprile 2017).

Per quanto concerne la posizione del RPD, l’art. 38, par. 6, del Regolamento prevede che lo stesso “ [possa] svolgere altri compiti e funzioni”, fermo restando che “il titolare del trattamento [deve assicurarsi] che tali compiti e funzioni non diano adito a un conflitto di interessi”.

In merito a tale profilo, le “Linee guida sui responsabili della protezione dei dati”, cit., precisano che “l’assenza di conflitti di interessi è strettamente connessa agli obblighi di indipendenza. Anche se un RPD può svolgere altre funzioni, l’affidamento di tali ulteriori compiti e funzioni è possibile solo a condizione che essi non diano adito a conflitti di interessi. Ciò significa, in modo particolare, che un RPD non può rivestire, all’interno dell’organizzazione del titolare del trattamento […], un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali. Si tratta di un elemento da tenere in considerazione caso per caso guardando alla specifica struttura organizzativa del singolo titolare del trattamento […]” (par. 3.5, p. 21).

Coerentemente a tale orientamento, il Garante, nelle FAQ sopra richiamate, ha chiarito che “in ambito pubblico, oltre ai ruoli manageriali di vertice, possono sussistere situazioni di conflitto di interesse rispetto a figure apicali dell'amministrazione investite di capacità decisionali in ordine alle finalità e ai mezzi del trattamento di dati personali posto in essere dall'ente pubblico” (FAQ n. 7).

Ciò premesso, si rileva che, nel caso di specie, nel periodo intercorrente tra il 25 maggio 2018, data in cui il Regolamento è diventato efficace, e l’XX, data di adozione della determinazione sindacale n. XX, il Comune non aveva designato un RPD, in violazione dell’art. 37, par. 1, lett. a), del Regolamento.

Si osserva, altresì, che, alla data dei fatti oggetto di reclamo, il RPD rivestiva il ruolo di “Responsabile dell'Area Affari Generali [in quanto] dipendente titolare di Posizione Organizzativa”, ricoprendo quindi una posizione apicale nell’organizzazione del Comune, che implicava necessariamente l’assunzione di decisioni che avrebbero avuto un impatto anche in materia di protezione dei dati personali. D’altra parte, la comunicazione di dati personali oggetto di reclamo è stata effettuata con nota sottoscritta dalla stessa persona che ricopriva il ruolo di RPD, in qualità di “funzionario responsabile”, il quale, svolgendo, altresì, la funzione di RPD, si trovava in una condizione di conflitto d’interessi rispetto al ruolo apicale svolto nell’ambito dell’organizzazione del titolare.

Come, infatti, chiarito dal Garante nelle “Faq sul Responsabile della Protezione dei dati (RPD) in ambito pubblico”, cit., “oltre ai ruoli manageriali di vertice, possono sussistere situazioni di conflitto di interesse rispetto a figure apicali dell'amministrazione investite di capacità decisionali in ordine alle finalità e ai mezzi del trattamento di dati personali posto in essere dall'ente pubblico” (FAQ n. 7; v. anche par. 3.5 delle “Linee guida sui responsabili della protezione dei dati”, cit.). Tali indicazioni sono state di recente ribadite dal Garante, affermando che sussiste “un conflitto di interessi in relazione ai ruoli […] come la direzione risorse umane o contabilità, il responsabile IT o il responsabile della prevenzione della corruzione e della trasparenza, trattandosi di settori in cui i trattamenti dei dati personali sono certi e trasversali rispetto all’intera amministrazione, oltre che significativi in termini di quantità e qualità dei dati personali trattati, nonché di rischi sui diritti e sulle libertà fondamentali degli interessati” (par. 10.1 del “Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico)”, cit.; cfr. provv. 16 settembre 2021, n. 318, doc. web n. 9718134).

Pertanto, la designazione del RPD da parte del Comune, nella persona dell’allora responsabile del settore Affari Generali, è stata effettuata in violazione dell’art. 38, par. 6, del Regolamento.

Si rileva, altresì, che la comunicazione con la quale il Comune ha provveduto a informare questa Autorità dei dati di contatto del RPD è pervenuta soltanto in data XX, a fronte di una designazione dello stesso effettuata in data XX (data di adozione della Determinazione del Sindaco n. XX), e comunque solo a seguito dell’avvio da parte dell’Autorità dell’istruttoria relativa al reclamo.

Anche con riguardo al nuovo RPD, designato “con determinazione del Responsabile del I Settore n. XX” [rectius, del XX, come risulta dalla copia della stessa in atti], il Comune ha provveduto a comunicare all’Autorità i dati di contatto dello stesso soltanto in data XX.

La variazione dei dati di contatto del RPD deve, invece, essere “effettuata tempestivamente, in modo che l’Autorità, per l’esercizio dei propri compiti, sia sempre in possesso di informazioni aggiornate e, conseguentemente, si rivolga al “punto di contatto” esatto. Infatti, il mantenimento di dati di contatto non più attuali potrebbe comportare il coinvolgimento di un soggetto cessato dalle proprie funzioni di RPD, con conseguente comunicazione a terzi di informazioni che non ha più alcun titolo a conoscere […]” (“Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico”, cit., par. 7).

Il mancato aggiornamento dei dati di contatto del RPD, “tanto sul sito web dell’ente quanto nella relativa comunicazione all’Autorità” costituisce, pertanto, “una condotta sanzionabile al pari della mancata pubblicazione/comunicazione” (ibidem).

Non rileva, peraltro, che il Comune avesse menzionato gli estremi del nuovo RPD nella propria nota del XX, inviata in riscontro alla richiesta d’informazioni dell’Autorità, atteso che tale nota si limitava a riportare che “con determinazione […] n. 84 del […] è stato affidato il servizio di R[PD] alla ditta […] con sede a […]”, senza che ne fossero indicati gli specifici dati di contatto (inclusi, tra gli altri, l’indirizzo di posta elettronica, il numero di telefono e il nominativo della persona fisica referente del responsabile, in quanto persona giuridica). Il Comune non ha, peraltro, utilizzato la specifica procedura messa a disposizione dall’Autorità per la comunicazione dei dati di contatto del RPD, che, come evidenziato nel “Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico)”, cit., “rappresenta l’unico canale di contatto utilizzabile a questo specifico fine […]” (par. 7; v. già il par. 2.6 delle “Linee guida sui responsabili della protezione dei dati”, cit., ove si evidenzia che “i dati di contatto del RPD dovrebbero comprendere tutte le informazioni che consentono agli interessati e all’autorità di controllo di raggiungere facilmente il RPD stesso: recapito postale, numero telefonico dedicato e/o indirizzo dedicato di posta elettronica”; cfr. provv. 24 marzo 2022, n. 98, doc. web n. 9763051). Il Comune ha, pertanto, agito in violazione dell’art. 37, par. 7, del Regolamento.

Il Comune non ha, infine, comprovato di aver adeguatamente pubblicato i dati di contatto del RPD, essendosi limitato a sostenere, nella propria memoria difensiva dell’XX, che tali dati di contatto “risultano pubblicati nella sezione “privacy” del sito internet del [Comune], con l’indicazione […] dei contatti, delle informative e dei moduli”, senza aver, tuttavia, fornito alcun elemento atto a comprovare che tali dati di contatto fossero stati pubblicati sul proprio sito web istituzionale anche nel periodo antecedente alla data di tale dichiarazione.

In relazione alle modalità di pubblicazione dei dati di contatto del RPD, si rileva che l'obbligo previsto dall'art. 37, par. 7, del Regolamento mira a “garantire che […] gli interessati (all'interno o all'esterno dell'ente/organismo titolare o responsabile del trattamento) […] possano contattare il RPD in modo facile e diretto” (“Linee guida sui responsabili della protezione dei dati”, cit.). Non rileva, quindi, che, come dichiarato dal Comune, lo stesso avesse, comunque, provveduto a pubblicare il provvedimento di designazione del RPD sul proprio sito web istituzionale. La mera pubblicazione dell’atto di designazione del RPD, specialmente se effettuata indistintamente assieme a tutti gli altri atti e provvedimenti amministrativi adottati dal Comune e pubblicati per finalità di trasparenza dell’azione amministrativa o di pubblicità integrativa dell’efficacia, non può, infatti, ritenersi idonea a soddisfare l’obbligo di pubblicità previsto dal Regolamento, poiché gli interessati non sono messi in condizione di reperire facilmente e direttamente i dati di contatto del RPD. Peraltro, né la Determinazione n. XX dell’XX né la Determinazione n. XX riportavano, in ogni caso, un indirizzo di posta elettronica del RPD utilizzabile dagli interessati per contattare lo stesso.

Il Comune, disponendo di un proprio sito web istituzionale, avrebbe, invece, dovuto effettuare la pubblicazione dei dati di contatto del RPD sullo stesso, all’interno di una sezione facilmente riconoscibile dall’utente e accessibile già dalla homepage (cfr. le “Faq sul Responsabile della Protezione dei dati (RPD) in ambito pubblico”, cit., ove si afferma che “per quanto attiene al sito web, può risultare opportuno inserire i riferimenti del RPD nella sezione "amministrazione trasparente", oltre che nella sezione "privacy" eventualmente già presente”).

Alla luce di tutte quante le considerazioni che precedono, il Comune ha, pertanto, omesso, fino all’XX, di designare un RPD, individuandolo in un soggetto in posizione di conflitto d’interessi, nonché ha omesso di comunicare all’Autorità e di pubblicare i dati di contatto del RPD, in violazione degli artt. 37, parr. 1, lett. a), e 7, nonché 38, par. 6, del Regolamento.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal Comune del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Comune, per aver comunicato a terzi i dati personali del reclamante in assenza di un’idonea base giuridica, per non aver tempestivamente adempiuto all’obbligo di designare un RPD, per aver nominato un RPD in posizione di conflitto d’interessi, nonché per aver omesso di comunicare all’Autorità e di pubblicare i dati di contatto del RPD, in violazione degli artt. 5, par. 1, lett. a), 6, 37, par. 1, lett. a), e par. 7, nonché 38, par. 6, del Regolamento.

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

In relazione ai predetti elementi è stato considerato che il Comune, in qualità di ex datore di lavoro del reclamante, ha comunicato anche al nuovo datore di lavoro informazioni in merito a una vicenda del tutto estranea rispetto allo svolgimento dell’attività lavorativa (precedente esposizione debitoria del reclamante), con possibili ripercussioni negative sul piano reputazionale per l’interessato nel nuovo contesto lavorativo. Per quanto concerne, invece, i profili di violazione relativi alla figura del RPD, si è valutato che, sebbene nel corso dell’istruttoria l’Autorità avesse già portato all’attenzione del Comune gli obblighi in materia di comunicazione dei dati di contatto del RPD, il Comune ha provveduto a comunicare all’Autorità i dati di contatto del nuovo RPD soltanto in data XX, nonostante la designazione dello stesso fosse avvenuta nel XX (cfr. art. 83, par. 3, lett. f), del Regolamento).

Di contro, si è tenuto favorevolmente in considerazione che, con riguardo alla comunicazione dei dati personali del reclamante all’istituto bancario e al nuovo datore di lavoro, il Comune ha agito, in assenza di dolo, nella convinzione che la stessa fosse un atto dovuto. In relazione alla contestata violazione dell’art. 37, par. 1, lett. a), del Regolamento, preso atto che il Comune ha provveduto a designare il proprio RPD in data XX, si è tenuto conto della fase di prima applicazione delle disposizioni sanzionatorie, ai sensi dell’art. 22, comma 13, del d. lgs. 10 agosto 2018, n. 101.

Sempre con riguardo alla figura del RPD, è stato apprezzato che nella stessa Determinazione n.XX dell’XX si dava conto della “nomina temporanea” dello stesso e si evidenziava la volontà del Comune di “ricorrere a figura esterna”, tenuto conto “delle limitate risorse umane presenti in dotazione organica e in visa anche dei prossimi pensionamento”. Sono state, inoltre, considerate le difficoltà finanziarie rappresentate dal Comune nel corso dell’istruttoria. Non risultano, infine, precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 6.000 (seimila) per la violazione degli artt. 5, par. 1, lett. a), 6, 37, par. 1, lett. a), e par. 7, nonché 38, par. 6, del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Tenuto conto sia dei rischi a cui l’interessato è stato esposto nel nuovo contesto lavorativo sia delle molteplici violazioni degli obblighi del titolare con riguardo alla figura del RPD e della conseguente impossibilità o difficoltà per gli interessati di rivolgersi allo stesso, si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dal Comune per violazione degli artt. 5, par. 1, lett. a), 6, 37, par. 1, lett. a), e par. 7, nonché 38, par. 6, del Regolamento, nei termini di cui in motivazione;

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, al Comune di Villabate, in persona del legale rappresentante pro-tempore, con sede legale in Viale Europa, 142 - 90039 Villabate (PA), C.F. 80018460826, di pagare la somma di euro 6.000 (seimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al predetto Comune, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 6.000 (seimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice (v. art. 16 del Regolamento del Garante n. 1/2019);

l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento (v. art. 17 del Regolamento del Garante n. 1/2019).

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 12 maggio 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei