g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Regione Toscana - 26 maggio 2022 [9789564]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9789564]

Ordinanza ingiunzione nei confronti di Regione Toscana - 26 maggio 2022

Registro dei provvedimenti
n. 197 del 26 maggio2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27/4/2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO il d. lgs. 30/6/2003, n. 196 recante “Codice in materia di protezione dei dati personali” (di seguito “Codice”);

VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida in materia di trasparenza”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione

PREMESSO

1. Introduzione

Questa Autorità ha ricevuto una segnalazione con la quale è stata contestata una violazione della normativa in materia di protezione dei dati personali da parte della Regione Toscana determinata dalla diffusione di dati personali online.

Nello specifico, come emerso dalla verifica preliminare effettuata dall’Ufficio, all’url https://..., sotto la voce «Allegati», era possibile scaricare e visualizzare liberamente i documenti ivi contenuti – relativi al «Bando Filiera Turismo», e nello specifico al «POR FESR 2014-2020 - azione 3.1.1 sub a3). “Aiuti finalizzati al contenimento e al contrasto dell’emergenza epidemiologica COVID-19”. “Fondo Investimenti Toscana-contributi a fondo perduto a favore della Filiera del Turismo”» – contenenti dati e informazioni anche personali.

Al riguardo è stato verificato:

1. il link denominato XX, che consentiva di visualizzare e scaricare la relativa cartella contenente a sua volta una serie di files in formato .pdf denominati: XX; XX;

2. il link denominato XX, che consentiva di visualizzare e scaricare la relativa cartella contenente a sua volta una serie di files in formato .pdf denominati: XX;

3. il link denominato «XX, che consentiva di visualizzare e scaricare la relativa cartella contenente a sua volta due sottocartelle denominate XX e XX Entrambe contenevano una serie di files in formato .pdf denominati: XX;

4. il link denominato XX, che consentiva di visualizzare e scaricare una serie di files in formato .pdf denominati: XX;

5. il link denominato XX, che consentiva di visualizzare e scaricare una serie di files in formato .pdf denominati: XX;

6. Il link denominato XX, che consentiva di visualizzare e scaricare la relativa cartella contenente a sua volta una serie di files in formato .pdf denominati: XX.

I predetti files riportavano l’elenco delle domande – non solo ammesse e finanziate o rettificate, ma anche non ammesse – riferite, non solo a persone giuridiche, ma anche a persone fisiche (es.: professionisti o ditte individuali), con indicazione, fra l’altro, dell’importo ricevuto e della residenza/domicilio, con particolare riferimento alle attività delle agenzie di viaggio e dei tour operator; delle guide e degli accompagnatori turistici; delle guide alpine, dei trasporti con taxi e noleggio di autovetture con conducente; di altri trasporti terrestri di passeggeri.

2. La normativa in materia di protezione dei dati personali

Ai sensi della disciplina in materia, «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)» e «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).

Al riguardo, con particolare riferimento alla questione sottoposta all’attenzione di questa Autorità, si ricorda che i soggetti pubblici, come codesta Regione, possono diffondere «dati personali» solo nei casi previsti dall’art. 2-ter, commi 1 e 3, del Codice, nel rispetto dei principi in materia di protezione dei dati, fra i quali quello di «minimizzazione», in base al quale i dati personali devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. c, del RGPD).

La normativa statale di settore in materia di trasparenza prevede, con riferimento agli «obblighi di pubblicazione degli atti di concessione di sovvenzioni, contributi, sussidi e attribuzione di vantaggi economici a persone fisiche ed enti pubblici e privati», che «Le pubbliche amministrazioni pubblicano gli atti di concessione delle sovvenzioni, contributi, sussidi ed ausili finanziari […], e comunque di vantaggi economici di qualunque genere a persone […] di importo superiore a mille euro» nel corso dell’anno solare. In ogni caso, «È esclusa la pubblicazione dei dati identificativi delle persone fisiche destinatarie dei provvedimenti di cui al presente articolo, qualora da tali dati sia possibile ricavare informazioni relative […] alla situazione di disagio economico-sociale degli interessati» (art. 26, commi 2-4, del d. lgs. n. 33 del 14/3/2013).

In ordine alla diffusione online di dati personali di soggetti beneficiari di contributi economici, fin dal 2014, il Garante ha fornito specifiche indicazioni alle pubbliche amministrazioni sulle cautele da adottare, con il provvedimento generale n. 243 del 15/5/2014, recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (attualmente in corso di aggiornamento, ma ancora attuale nella parte sostanziale).

Nelle Linee guida del Garante sopra citate, è espressamente sancito, con riferimento all’obbligo di pubblicazione degli atti di concessione di benefici economici (parte prima, par. 9.e), che «lo stesso d. lgs. n. 33/2013 individua una serie di limiti all’obbligo di pubblicazione di atti di concessione di benefici economici comunque denominati. Non possono, infatti, essere pubblicati i dati identificativi delle persone fisiche destinatarie dei provvedimenti di concessione di sovvenzioni, contributi, sussidi e attribuzione di vantaggi economici, nonché gli elenchi dei relativi destinatari:

a) di importo complessivo inferiore a mille euro nel corso dell’anno solare a favore del medesimo beneficiario;
[…]

c) di importo superiore a mille euro nel corso dell’anno solare a favore del medesimo beneficiario “qualora da tali dati sia possibile ricavare informazioni relative […] alla situazione di disagio economico-sociale degli interessati” (art. 26, comma 4, d. lgs. n. 33/2013)».

3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato.

Dalle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX del XX ha accertato che la Regione Toscana – diffondendo i dati e le informazioni personali contenuti nei documenti pubblicati online prima descritti – ha effettuato un trattamento di dati personali non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD. Pertanto, con la medesima nota sono state notificate alla predetta Regione le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD e invitando la predetta amministrazione a far pervenire al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentito da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

4. Memorie difensive.

La Regione Toscana, con la nota prot. n. XX, ha inviato al Garante i propri scritti difensivi in relazione alle violazioni notificate.

Al riguardo, si ricorda che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, intitolato «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante».

Nello specifico, quanto alla condotta tenuta, l’amministrazione ha evidenziato, fra l’altro che:

- «I documenti oggetto di pubblicazione costituivano allegati ad atti di concessione, approvati dalla scrivente [Regione] nell’ambito del procedimento amministrativo normato dal “Bando Filiera Turismo”, approvato con D.D. n. 15380 del 29/9/2020 ed emanato in attuazione della Delibera G.R. n. 1155 del 3/08/2020, che approva le direttive per la selezione degli interventi per l'attivazione del bando di "Fondo investimenti Toscana – contributi a fondo perduto a favore della Filiera del Turismo”»;

- «La DGRT n. 1155 del 3/08/2020 cita tra le premesse la DGRT n. 467 del 02/05/2018, con la quale sono state approvate le nuove linee guida per la redazione di un bando tipo per agevolazioni alle imprese»;

- «Nelle procedure valutative con graduatoria l’attività istruttoria (ammissibilità e valutazione dei progetti) si conclude con la predisposizione della graduatoria delle domande sulla base dei punteggi attribuiti»;

- «Ai sensi della l.r. n. 71/2017[…], la graduatoria è pubblicata entro 90/120 giorni dalla data di scadenza del termine per la presentazione delle domande»;

- «La graduatoria finale distingue tra le domande ammesse e domande non ammesse.

A) Le domande ammesse sono distinte in:

- ammesse e finanziate;

- ammesse e non finanziate per carenza di fondi.

B) Le domande non ammesse sono distinte in:

1. domande non ammesse a causa dell'esito negativo dell'istruttoria di ammissibilità e dell'istruttoria di valutazione

2. domande non ammesse a seguito di rinuncia»

- «Nei bandi che prevedono la formazione di una graduatoria, costituisce a tutti gli effetti atto di concessione il provvedimento di approvazione della graduatoria e di scorrimento della stessa, adottato dall’Amministrazione (o dal soggetto gestore se autorizzato)»;

- «Quanto sopra, in applicazione di quanto previsto dal legislatore nazionale, anche nel rispetto di norme e regolamenti della UE, in materia di obblighi di pubblicazione degli atti di concessione di sovvenzioni, contributi, sussidi e attribuzione di vantaggi economici a persone fisiche ed enti pubblici e privati, di cui al D.Lgs. n. 33/2013, che al comma 3 dell’art. 26 dispone “La pubblicazione ai sensi del presente articolo costituisce condizione legale di efficacia dei provvedimenti che dispongano concessioni e attribuzioni di importo complessivo superiore a mille euro nel corso dell'anno solare al medesimo beneficiario. La mancata, incompleta o ritardata pubblicazione rilevata d'ufficio dagli organi di controllo è altresì rilevabile dal destinatario della prevista concessione o attribuzione e da chiunque altro abbia interesse, anche ai fini del risarcimento del danno da ritardo da parte dell'amministrazione, ai sensi dell'articolo 30 del decreto legislativo 2 luglio 2010, n. 104”»;

- «Ai sensi dell’art. 27, comma 1, del D.Lgs. n. 33/2013, la pubblicazione di cui all'articolo 26, comma 2, comprende necessariamente, ai fini del comma 3, del medesimo articolo: a) il nome dell'impresa o dell'ente e i rispettivi dati fiscali o il nome di altro soggetto beneficiario; b) l'importo del vantaggio economico corrisposto; c) la norma o il titolo a base dell'attribuzione; d) l'ufficio e il funzionario o dirigente responsabile del relativo procedimento amministrativo; e) la modalità seguita per l'individuazione del beneficiario; f) il link al progetto selezionato e al curriculum del soggetto incaricato».

- «Tale contenuto è da combinarsi con quanto previsto dal comma 4 dell’art. 26, che esclude espressamente “la pubblicazione dei dati identificativi delle persone fisiche destinatarie dei provvedimenti di cui al presente articolo, qualora da tali dati sia possibile ricavare informazioni relative allo stato di salute ovvero alla situazione di disagio economico-sociale degli interessati”»;

- «Come precisato da Anac nella Delibera n. 468 del 16 giugno 2021 “spetta quindi alle amministrazioni valutare se la tipologia di erogazioni da pubblicare si caratterizzi o meno per essere un aiuto finanziario di sostegno a quelle categorie di soggetti che si trovano nelle condizioni per le quali il comma 4 dell’art. 26 impone particolari tutele della riservatezza. In questi casi, l’amministrazione è tenuta ad anonimizzare i dati identificativi dei beneficiari ove rivelatori di una condizione di disagio economico-sociale”»;

- «La situazione emergenziale in cui verte il nostro Paese, così come di molti altri a livello mondiale, ha certamente comportato il verificarsi di notevoli perdite a livello economico, vedendo colpiti interi settori di mercato oltre ad una parte consistente di lavoratori ed, in generale, della popolazione».

- «Le misure adottate a livello nazionale e di derivazione comunitaria (con lo stanziamento di fondi emergenziali ad hoc) hanno avuto in taluni casi prevalente carattere assistenziale ed in altri, come nelle fattispecie dei Bandi ristori, la finalità di sostegno nei confronti delle imprese operanti in aree merceologiche, quali quelle del turismo, che hanno subito perdite ingenti per cause totalmente estranee ad ordinarie dinamiche di mercato, ma imputabili unicamente alle chiusure normativamente imposte dal Governo ed in generale dalle limitazioni dettate dal periodo emergenziale tutt’ora in corso; le stesse, in quanto tali, non sono dunque considerabili come specifica condizione di disagio economico».

- «Gli interventi di cui ai Bandi de quo sono, appunto, attuativi di misure emergenziali previste:

• dalla Comunicazione della Commissione C (2020) 1863 del 19.03.2020 “Quadro temporaneo per le misure di aiuto di Stato a sostegno dell’economia nell’attuale emergenza del COVID-19”, come modificata dalle Comunicazioni C (2020) 2215 del 3 aprile 2020, C(2020) 3156 del'8 maggio 2020 e C(2020) 4509 del 29 giugno 2020;

• dal D.L. 19 maggio 2020, n. 34 “Misure urgenti in materia di salute, sostegno al lavoro e all'economia, nonché' di politiche sociali connesse all'emergenza epidemiologica da COVID-19”».

- «Come precisato in tali documenti, tenendo conto che l’epidemia di COVID-19 comporta il rischio di una grave recessione che riguarda l’intera economia dell’UE, è necessario un sostegno pubblico adeguatamente mirato per contrastare i danni arrecati alle imprese sane e per preservare la continuità dell’attività economica durante e dopo l’epidemia di COVID-19, in particolare le imprese di settori particolarmente colpiti dall’epidemia (ad esempio, il settore dei trasporti, del turismo, della cultura, dell’accoglienza e del commercio al dettaglio), quali quelli ai quali i soggetti in questione appartengono».

- «Il Bando Filiera Turismo al paragrafo 1.1 “Finalità e obiettivi” prevede, che, al fine di favorire la ripresa dei flussi turistici e di garantire la tenuta del sistema turistico, la Regione Toscana conceda un sostegno ad alcune categorie di soggetti particolarmente danneggiati a seguito dell’epidemia da Covid-19 e della conseguente scomparsa del turismo e del business legato ai congressi, convegni e fiere. Pertanto, la Regione Toscana, ha inteso sostenere un particolare segmento delle imprese della filiera del turismo, vale a dire le agenzie di viaggio, le guide ed il sistema dei collegamenti (taxi, NCC, noleggio bus, etc.), che potranno rivestire un ruolo fondamentale nel garantire la tenuta del sistema e nel favorire il rilancio dell’offerta nel settore turistico in Toscana»;

- «Non si è ritenuto, pertanto, il configurarsi della fattispecie di “disagio economico-sociale” degli interessati, in quanto la richiesta non comportava alcun attestato sul reddito del soggetto richiedente e il requisito della riduzione di fatturato registrato nel periodo di riferimento verificato in fase di ammissione al contributo e calcolato in termini relativi (percentuali) e non assoluti, era la condizione preliminare e necessaria per l’accesso ai ristori, implicitamente riconosciuta dalla normativa di riferimento agli appartenenti alle categorie professionali esercenti attività economiche maggiormente colpite dagli effetti negativi della pandemia».

- «In seguito alla notifica di violazione è stato più attentamente valutata l’opportunità di rimuovere alcune informazioni oggettivamente non necessarie nella pubblicazione dell’elenco delle imprese soprattutto individuali sia ammesse che non ammesse. Sono stati rimossi quindi prontamente tutti riferimenti non necessari, lasciando esclusivamente le seguenti informazioni:

•Codice Identificativo Progetto Sviluppo Toscana, rilasciato automaticamente al momento della presentazione on-line della domanda di sovvenzione

•CUP-CIPE (Codice Unico del Progetto a livello nazionale)

•COR (Codice concessione del Registro Nazionale Aiuti)

•importo della sovvenzione per le imprese ammesse e solo il Codice Identificativo Progetto di Sviluppo Toscana, per le imprese non ammesse».

- «In merito alla cessazione degli effetti, preme segnalare che a fronte della notifica della contestazione (avvio del procedimento 156) ricevuta per il tramite del DPO alle ore 13:06 del giorno XX, già alle ore 14:30 la scrivente aveva provveduto a rimuovere dalle pagine WEB dei bandi de quo tutti i files segnalati avviando al contempo un’attività di verifica - e ove necessario di revisione - dei contenuti del sito istituzionale che potessero potenzialmente configurare fattispecie analoghe a quelle oggetto di contestazione ed estendendo la ricerca anche ad altri trattamenti similari che potessero riportare dati analoghi e provvedendo alla rimozione degli stessi. Tale operazione ha comportato la rimozione fisica dei file dalle posizioni di archiviazione pubbliche in modo che gli stessi non fossero più accessibili neanche tramite link diretto»;

- «È stata inoltre intrapresa, unitamente ai settori regionali competenti, un’attività di analisi delle procedure adottate al fine di valutare l’adozione di differenti modalità di comunicazione ai beneficiari dell’esito dei processi istruttori garantendo la totale privacy relativamente ai dati del procedimento (ad esempio un’area riservata con accesso 3 SPID livello 2 in cui il beneficiario possa vedere l’esito della pratica presentata) per i quali non sia previsto un obbligo legale di pubblicità».

- «i soggetti considerati come “persone fisiche” (professionisti e ditte individuali) partecipano ai bandi di finanziamento in quanto equiparati ad “imprese” e le generalità degli stessi, in termini di indirizzi della sede legale/codice fiscale/p.iva sono pubblicati nel Registro Imprese o negli specifici Albi di appartenenza (elenchi pubblici normati da specifiche leggi, es. albi Regionali delle Guide Turistiche e operatori di trasporto collettivo) e, pertanto, dati comunque pubblici, facilmente accessibili e consultabili senza limitazioni»;

- «la scrivente amministrazione ha avviato un percorso finalizzato all’implementazione di misure tecniche ed organizzative che consentano l’accesso certificato alle piattaforme per la concessione di contributi e sovvenzioni mediante profilazione SPID, CIE, CNS, che consentirà esclusiva visualizzazione dell’ID della persona profilata e non di altri, rendendo impossibile per utenti terzi risalire ad informazioni personali e/o contenuti presenti nel sistema».

5. Valutazioni del Garante

La questione oggetto del caso sottoposto all’attenzione del Garante riguarda la diffusione di dati e informazioni personali contenuti nei file sopra identificati al par. 1. nn. 1-6, riferiti a professionisti o ditte individuali (con indicazione, fra l’altro, dell’importo ricevuto e della residenza/domicilio) quali tour operator; guide e accompagnatori turistici; trasporti con taxi e noleggio di autovetture con conducente; altri trasporti terrestri di passeggeri pubblicati online dalla Regione Toscana.

Nell’ambito dell’istruttoria aperta al riguardo da questa Autorità, la Regione Toscana ha confermato nelle memorie difensive, l’avvenuta diffusione online dei dati personali sopra descritti, ritenendo la relativa pubblicazione conforme al quadro normativo regionale, fra cui la l.r. n. 71/2017, e al quadro normativo statale in materia di trasparenza, compresi gli artt. 26 e 27 del d. lgs. n. 33/2013. La Regione ha rappresentato, inoltre, di non aver violato la disciplina in materia di protezione dei dati personali, in quanto le generalità, gli indirizzi, il codice fiscale delle persone fisiche pubblicati online, essendo riferiti a professionisti e ditte individuali – che «partecipano ai bandi di finanziamento in quanto equiparati ad “imprese”» – sarebbero “dati pubblici”, «facilmente accessibili e consultabili senza limitazioni», in quanto «pubblicati nel Registro Imprese o negli specifici Albi di appartenenza (elenchi pubblici normati da specifiche leggi, es. albi Regionali delle Guide Turistiche e operatori di trasporto collettivo)».

Si ritiene, tuttavia, di non poter accogliere in maniera integrale le giustificazioni addotte dalla Regione per i motivi di seguito indicati.

Con il D.D. n. 15380/2020, citato anche dalla Regione Toscana, avente a oggetto «POR FESR TOSCANA 2014 – 2020, AZIONE 3.1.1. sub-azione 3.1.1a3) “Aiuti finalizzati al contenimento e al contrasto dell’emergenza epidemiologica COVID-19”» è stato approvato il «Bando “Fondo investimenti Toscana – contributi a fondo perduto a favore della Filiera del Turismo”». Tale “Bando Filiera Turismo”, che ha previsto l’erogazione dei contributi economici oggetto del presente provvedimento in un quadro normativo piuttosto complesso. Nello specifico, quanto alla diffusione dei dati dei soggetti beneficiari degli aiuti sono rilevanti per la vicenda trattata, le disposizioni contenute, a livello regionale, nella legge della Regione Toscana n. 71 del 12/12/2017, recante «Disciplina del sistema regionale degli interventi di sostegno alle imprese» e, a livello statale, negli artt. 26 e 27 del d. lgs. n. 33/2013.

La disciplina regionale – citata anche nelle memorie difensive della Regione Toscana – prevede che «I procedimenti per la concessione di agevolazioni a favore delle imprese si concludono con la pubblicazione delle graduatorie entro novanta giorni dalla data di chiusura dei termini di presentazione delle domande prevista dal relativo bando» (art. 16, comma 1, l.r. n. 71/2017). Come indicato nelle memorie difensive e nelle Linee guida citate ivi citate «Nelle procedure valutative con graduatoria l’attività istruttoria (ammissibilità e valutazione dei progetti) si conclude con la predisposizione della graduatoria delle domande sulla base dei punteggi attribuiti […]» (punto 5.6. delle “Linee guida per la redazione di un bando-tipo per agevolazioni alle imprese”, approvate con Delibera di giunta regionale n. 467 del 02-05-2018). Sulla base di tali disposizioni, la Regione ha predisposto e pubblicato la graduatoria finale delle agevolazioni con specifica indicazione non solo delle domande ammesse e finanziate, ma anche di quelle ammesse ma non finanziate per carenza di fondi e di quelle non ammesse (per mancanza dei requisiti o perché rinunciate), riportando in chiaro – per quanto riguarda le persone fisiche – anche nominativi, codici fiscali e domicilio/residenza.

Tale disciplina regionale non è del tutto coerente con la disciplina statale in materia di trasparenza che – per le agevolazioni economiche – prevede, invece, la pubblicazione dei soli atti di concessione a favore di beneficiari di contributi economici superiori a mille euro (con esclusione quindi dei soggetti che non hanno ottenuto l’agevolazione). Inoltre, in ogni caso, non possono essere oggetto di pubblicazione i «dati identificativi delle persone fisiche destinatarie dei provvedimenti di cui al presente articolo, qualora da tali dati sia possibile ricavare informazioni relative […] alla situazione di disagio economico-sociale degli interessati» (art. 26, comma 4, d. lgs. n. 33/2013).

Al riguardo, la Regione ha dichiarato di non ritenere configurabile la «fattispecie di “disagio economico-sociale” degli interessati», prevista dal citato articolo, «in quanto la richiesta non comportava alcun attestato sul reddito del soggetto richiedente e il requisito della riduzione di fatturato registrato nel periodo di riferimento verificato in fase di ammissione al contributo e calcolato in termini relativi (percentuali) e non assoluti, era la condizione preliminare e necessaria per l’accesso ai ristori, implicitamente riconosciuta dalla normativa di riferimento agli appartenenti alle categorie professionali esercenti attività economiche maggiormente colpite dagli effetti negativi della pandemia».

Tale argomentazione, tuttavia, non risulta condivisibile, in quanto la normativa statale di riferimento si applica a tutte le situazioni di possibile disagio economico-sociale, per cui – in tale ottica e ai fini dell’applicazione dell’eccezione alla diffusione del dato identificativo prevista dall’art. 26, comma 4, del d. lgs. n. 33/2013 – non è possibile accogliere quanto sostenuto dalla Regione secondo la quale non rientra nella predetta fattispecie la situazione di chi ha semplicemente attestato, senza specificare il reddito di aver ricevuto – ai fini del riconoscimento del beneficio economico – una «riduzione di fatturato nel periodo di riferimento» calcolato «in termini relativi (percentuali) e non assoluti». Ciò in quanto – come si ricava dall’Allegato 1 del Bando Filiera Turismo di cui al Decreto n. 15380 del 29/9/2020 – i beneficiari dei ristori dovevano essere «soggetti particolarmente danneggiati a seguito dell’epidemia da Covid-19», identificati in coloro che si trovavano in una condizione per la quale «l’ammontare del fatturato e dei corrispettivi dal 1 maggio 2020 al 31 agosto 2020, [fosse stato] inferiore ai due terzi dell’ammontare del fatturato e dei corrispettivi dal 1 maggio 2019 al 31 agosto 2019» (cfr. punto 3.1 dell’allegato citato).

Occorre ricordare che il divieto previsto dall’art. 26, comma 4, del d. lgs. n. 33/2013 di diffondere per finalità di trasparenza dati identificativi di soggetti beneficiari di contributi economici da cui si possa desumere informazioni relative «alla situazione di disagio economico-sociale degli interessati» – come evidenziato anche dal Garante nelle Linee guida in materia di trasparenza – è «un divieto funzionale alla tutela della dignità, dei diritti e delle libertà fondamentali dell’interessato (art. 2 del Codice), al fine di evitare che soggetti che si trovano in condizioni disagiate – economiche o sociali – soffrano l´imbarazzo della diffusione di tali informazioni, o possano essere sottoposti a conseguenze indesiderate, a causa della conoscenza da parte di terzi della particolare situazione personale» (cfr. parte prima, par. 9.e).

L’interpretazione offerta dalla Regione Toscana riportata nelle memorie difensive, non risulta aderente alla ratio dalla disposizione contenuta nell’art. 26, comma 4, del d. lgs. n. 33/2013 e appare, inoltre, sproporzionata e in contrasto con il principio di «correttezza» e «limitazione della finalità» del trattamento di cui all’art. 5, par. 1, lett. a) e c), del RGPD.

Nelle Linee guida del Garante citate è stato al riguardo precisato che – alla luce del principio di necessità, pertinenza e non eccedenza (oggi tutti confluiti nel più generale principio di «minimizzazione» dei dati di cui all’art. 5, part. 1, lett. c, del RGPD) – non risulta «giustificato diffondere, fra l’altro, dati quali, ad esempio, […] l’indicazione […] di condizioni di bisogno […]» (ivi).

Del resto, la stessa Regione Toscana, confermando quanto sopra rappresentato – ha dichiarato nelle proprie memorie difensive di aver proceduto a una nuova valutazione, all’esito della quale è risultato «opportun[o] rimuovere alcune informazioni oggettivamente non necessarie nella pubblicazione dell’elenco delle imprese soprattutto individuali sia ammesse che non ammesse». Per cui ha proceduto a rimuovere «prontamente tutti riferimenti non necessari, lasciando esclusivamente le seguenti informazioni: •Codice Identificativo Progetto Sviluppo Toscana, rilasciato automaticamente al momento de la presentazione on-line della domanda di sovvenzione •CUP-CIPE (Codice Unico del Progetto a livello nazionale) •COR (Codice concessione del Registro Nazionale Aiuti) •importo della sovvenzione per le imprese ammesse e solo il Codice Identificativo Progetto di Sviluppo Toscana, per le imprese non ammesse».

Quanto alla circostanza evidenziata nelle memorie difensive secondo la quale «i soggetti considerati come “persone fisiche” (professionisti e ditte individuali) partecipano ai bandi di finanziamento in quanto equiparati ad “imprese” e le generalità degli stessi, in termini di indirizzi della sede legale/codice fiscale/p.iva sono pubblicati nel Registro Imprese o negli specifici Albi di appartenenza (elenchi pubblici normati da specifiche leggi, es. albi Regionali delle Guide Turistiche e operatori di trasporto collettivo) e, pertanto, [sarebbero] dati comunque pubblici, facilmente accessibili e consultabili senza limitazioni», non si comprende come tale elemento possa essere utile per valutare se la relativa diffusione online da parte della Regione – unitamente a tutte le altre informazioni riferite ai soggetti interessati pubblicati online dall’Ente (come l’entità del contributo economico ricevuto e la circostanza di essere stati «soggetti particolarmente danneggiati a seguito dell’epidemia da Covid-19» per avere avuto una riduzione del fatturato) – era effettivamente necessaria per l’esercizio delle funzioni istituzionali dell’ente e se i dati personali erano effettivamente «limitati a quanto necessario rispetto alle finalità per le quali sono [stati] trattati» (artt. 5, par. 1, lett, c; 6, par. 1, lett. e, RGPD). In tal senso, la diffusione del codice fiscale e dell’indirizzo di residenza (che rientrano nella definizione di dato personale di cui all’art. 4, par. 1, n. 1, del RGPD), uniti al nominativo del soggetto interessato e alle altre informazioni di dettaglio sopra descritte relative all’attività economica esercitata, risulta invece sproporzionata rispetto alla finalità di trasparenza connessa alla pubblicazione della graduatoria.

Va ricordato come questa Autorità, in più occasioni, ha indicato che anche la presenza di uno specifico regime di pubblicità, non può comportare alcun automatismo rispetto alla diffusione online dai dati e informazioni personali, né una deroga ai principi in materia di protezione dei dati personali di provenienza europea, previsti dal RGPD, quali – fra gli altri – quello di «minimizzazione», in base al quale i dati personali – anche contenuti in atti o documenti la cui diffusione online sia prevista da una specifica base normativa – devono essere non solo «adeguati» e «pertinenti», ma anche «limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. c).

Ciò è d’altronde confermato anche dal sistema di protezione dei dati personali contenuto nel RGPD, alla luce del quale è previsto che il titolare del trattamento debba mettere «in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento» («data protection by default») e debba essere «in grado di dimostrare» – alla luce del principio di «responsabilizzazione» («accountability») – di averlo fatto (artt. 5, par. 2; 24 e 25, par. 2, RGPD).

In ogni caso, va tenuto in considerazione che l’ente ha infine rappresentato che, per il futuro, è stata «intrapresa, unitamente ai settori regionali competenti, un’attività di analisi delle procedure adottate al fine di valutare l’adozione di differenti modalità di comunicazione ai beneficiari dell’esito dei processi istruttori garantendo la totale privacy relativamente ai dati del procedimento (ad esempio un’area riservata con accesso 3 SPID livello 2 in cui il beneficiario possa vedere l’esito della pratica presentata) per i quali non sia previsto un obbligo legale di pubblicità».

6. Esito dell’istruttoria relativa alla segnalazione presentata

Per tutto quanto sopra descritto, le circostanze evidenziate negli scritti difensivi esaminate nel loro complesso, sicuramente meritevoli di considerazione ai fini della valutazione della condotta, non risultano sufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo alcuna delle ipotesi previste dall’art. 11 del Regolamento del Garante n. 1/2019. Ciò anche considerando che sin dal 2014 l’Autorità, nelle Linee guida in materia di trasparenza e pubblicazione online sopra citate, ha fornito a tutte le pp.aa. specifiche indicazioni sulle modalità per contemperare gli obblighi di trasparenza e pubblicità dell’azione amministrativa con il diritto alla protezione dei dati personali dei soggetti interessati.

In tale quadro – pur comprendendo il difficile bilanciamento tra esigenze di trasparenza e protezione dei dati personali soggetta a valutazione, caso per caso, da parte del titolare del trattamento soprattutto in relazione all’identificazione di fattispecie in cui provvedimenti di erogazione di benefici economici rivelino l´esistenza di una situazione di disagio economico o sociale in cui versa il soggetto interessato che non ne consente la divulgazione – si confermano le valutazioni preliminari dell’Ufficio contenute nella nota prot. n. XX e si rileva l’illiceità del trattamento di dati personali effettuato dalla Regione Toscana, in quanto sono stati diffusi dati di soggetti beneficiari di contributi economici riservati a «soggetti particolarmente danneggiati a seguito dell’epidemia da Covid-19», che hanno avuto una riduzione dell’«ammontare del fatturato e dei corrispettivi dal 1 maggio 2020 al 31 agosto 2020, [..] inferiore ai due terzi dell’ammontare del fatturato e dei corrispettivi dal 1 maggio 2019 al 31 agosto 2019», idonei pertanto a rivelare una situazione di disagio economico-sociale (anche temporanea) degli interessati, nonché dati personali di soggetti che non sono stati ammessi ad alcun beneficio economico in violazione:

a) dell’art. 5, par. 1, lett. c), del RGPD e del principio di «minimizzazione»;

b) dell’art. 26, comma 4, del d. lgs. 33/2013 e, di conseguenza dell’art. 2-ter, commi 1 e 3, del Codice e 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD.

Considerato, tuttavia, che la condotta ha esaurito i suoi effetti, in quanto il titolare del trattamento ha dichiarato di aver provveduto a rimuovere dal web le informazioni non necessarie, fermo restando quanto si dirà sull’applicazione della sanzione amministrativa pecuniaria, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del RGPD.

7. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria (artt. 58, par. 2, lett. i; 83 del RGPD)

La Regione Toscana risulta aver violato gli artt. 5, par. 1, lett. c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD; nonché l’art. 2-ter, commi 1 e 3, del Codice (cfr. anche art. 26, comma 4, del d. lgs. 33/2013).

Al riguardo, l’art. 83, par. 3, del RGPD, prevede che «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave».

Nel caso di specie, la violazione delle disposizioni citate – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del RGPD, che si applica pertanto al caso di specie.

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD, nonché dell’art. 166 del Codice, ha il potere correttivo di «infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso». In tale quadro, «il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice» (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del RGPD.

In tal senso, la rilevata condotta tenuta in violazione della disciplina in materia di protezione dei dati personali risulta di natura colposa e ha avuto a oggetto la diffusione online di dati personali, per circa 8 mesi, non appartenenti a categorie particolari né a condanne penali o reati (artt. 9 e 10, del RGPD). La Regione Toscana è in ogni caso un ente territoriale di grandi dimensioni (con più di tre milioni di abitanti). Si ritiene di dover tenere in considerazione, quali circostanze attenuanti, il difficile bilanciamento tra esigenze di trasparenza e protezione dei dati personali soggetta a valutazione, caso per caso, da parte del titolare del trattamento soprattutto in relazione all’identificazione di fattispecie in cui provvedimenti di erogazione di benefici economici rivelino l’esistenza di una situazione di disagio economico o sociale in cui versa il soggetto interessato che non ne consente la divulgazione. Rileva, inoltre nel caso in esame, l’esistenza di un quadro normativo molto complesso alla base dell’erogazione dei contributi economici distribuiti dall’ente e l’esistenza di una specifica disposizione contenuta nella disciplina regionale per la pubblicazione della graduatoria (art. 16, comma 1, l.r. n. 71/2017), la cui ampia interpretazione non appare in ogni caso del tutto coerente rispetto alla disciplina statale in materia di trasparenza che – per le agevolazioni economiche – prevede la pubblicazione dei soli atti di concessione a favore dei beneficiari di contributi economici superiori a mille euro (con esclusione quindi dei soggetti che non hanno ottenuto l’agevolazione). Va poi considerato il contesto e il periodo emergenziale in cui si è trovato a operare la Regione che, comunque – a seguito della richiesta dell’Ufficio – è intervenuta tempestivamente, collaborando con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alla violazione, attenuandone i possibili effetti negativi, nonché la comprensibile volontà dell’amministrazione di agevolare particolari categorie di soggetti economici danneggiate assicurando la trasparenza della procedura. Nel riscontro al Garante sono state, inoltre, descritte diverse misure tecniche e organizzative messe in atto ai sensi degli artt. 25-32 del RGPD, ma risultano, tuttavia, altre violazioni del RGPD sanzionate dal Garante commesse dall’ente, anche se per condotte diverse da quelle oggetto di contestazione nel presente procedimento.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, parr. 2 e 3, del RGPD l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, del RGPD, nella misura di euro 16.000,00 (sedicimila) per la violazione degli artt. 5, par. 1, lett. c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD; nonché dell’art. 2-ter, commi 1 e 3, del Codice (cfr. anche art. 26, comma 4, del d. lgs. 33/2013); quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo RGPD.

In relazione alle specifiche circostanze del presente caso, relative alla diffusione di dati personali online in violazione del divieto di diffusione di dati personali di beneficiari di contributi economici da cui si possa desumere informazioni relative «alla situazione di disagio economico-sociale degli interessati» (art. 26, comma 4, d. lgs. n. 33/2013), nonché del principio di minimizzazione dei dati (art. 5, par. 1, lett. c, RGPD), si ritiene altresì che debba essere applicata la sanzione accessoria della pubblicazione del presente provvedimento sul sito Internet del Garante, prevista dall’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità del trattamento effettuato dalla Regione Toscana nei termini indicati in motivazione ai sensi degli artt. 58, par. 2, lett. i), e 83 del RGPD

ORDINA

alla Regione Toscana, in persona del legale rappresentante pro-tempore, con sede legale in Piazza Duomo 10 - 50122 Firenze (FI) - C.F. 01386030488 di pagare la somma di € 16.000,00 (sedicimila) a titolo di sanzione amministrativa pecuniaria per le violazioni di cui in motivazione;

INGIUNGE

alla medesima Regione di pagare la somma di euro 16.000,00 (sedicimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.

Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1/9/2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice).

DISPONE

- la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019;

- l'annotazione nel registro interno dell'Autorità delle violazioni e delle misure adottate ai sensi dell'art. 58, par. 2, del RGPD con il presente provvedimento, come previsto dall’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 26 maggio 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL VICE SEGRETARIO GENERALE
Filippi