Provvedimento del 4 luglio 2024

Ascolta

Stampa Stampa

Trasforma contenuto in PDF

[doc. web n. 10050145]

Provvedimento del 4 luglio 2024

Registro dei provvedimenti
n. 404 del 4 luglio 2024

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore l'avv. Guido Scorza;

PREMESSO

1. Introduzione.

Con reclamo presentato ai sensi dell’art. 77 del Regolamento, la Sig.ra XX ha lamentato l’omesso riscontro da parte del Comune di Villasimius, nei termini previsti dal Regolamento, alla richiesta di esercizio del diritto di cancellazione dal sito web istituzionale del Comune di Villasimius e deindicizzazione dai motori di ricerca di un atto interno ad una procedura selettiva indetta dal Comune medesimo ossia, nello specifico, del verbale n. 1 del 19 dicembre 2019, contenente propri dati personali, quali la data di nascita, il voto di laurea e le valutazioni conseguite nell’ambito di tale procedura nonché, peraltro, i nominativi dei membri della commissione e della verbalizzatrice (cfr. “Verbale n. 1 della commissione esaminatrice della selezione pubblica per il conferimento dell’incarico di Responsabile del Settore Affari Generali e Sociali – Vicesegretario comunale ai sensi dell’art. 110, comma 1, del d.lgs. 18.08.2000 n. 267, indetta dal Comune di Villasimius”).

2. L’attività istruttoria.

Avendo accertato, in data 24 agosto 2022, che sul sito web istituzionale del Comune di Villasimius, nonché indicizzato sui motori di ricerca, risultava pubblicato il predetto verbale, contenente in particolare i dati personali dell’interessata, in data 5 settembre 2022 l’Autorità ha dapprima invitato il Comune a fornire puntuale ed esaustivo riscontro alle richieste formulate dalla reclamante entro il termine di 20 giorni.

Facendo seguito al predetto invito, con nota del 23 settembre 2023, il Comune ha rappresentato all’Autorità, in particolare, che:

- “a seguito delle opportune verifiche […], è stata appurata la segnalazione pervenuta” e, in particolare, “è stata verificata l’esistenza di dati personali nel documento avente ad oggetto “VERBALE N. 1 DELLA COMMISSIONE ESAMINATRICE DELLA SELEZIONE PUBBLICA PER IL CONFERIMENTO DELL’INCARICO DI RESPONSABILE DEL SETTORE AFFARI GENERALI E SOCIALI – VICESEGRETARIO COMUNALE AI SENSI DELL’ART. 110, COMMA 1, DEL D.LGS. 18.08.2000 N. 267, INDETTA DAL COMUNE DI VILLASIMIUS”, contenenti i dati personali della [reclamante]”;
- “pertanto, nella sezione “Amministrazione Trasparente” sotto sezione “Bandi di concorso” si è provveduto ad una eliminazione dei dati personali (data di nascita, voto di laurea e valutazione conseguita) nella documentazione segnalata”;
- “è stata effettuata anche una ulteriore verifica in merito alla indicizzazione sul web delle medesime informazioni, le quali, una volta individuate tramite motore di ricerca web, sono state eliminate anche dalla cache di ricerca.”;
- “anche a seguito anche di una riorganizzazione delle procedure dell’Ente, l’occasione è stata utile per verificare i sistemi di gestione dei diritti degli interessati ed evitar, in futuro, che episodi simili accadano di nuovo”.

Successivamente, nel fornire riscontro ad una richiesta di informazioni trasmessa ai sensi dell’art. 157 del Codice, con nota del 17 gennaio 2024 il Comune ha dichiarato, in particolare, che:

- la pubblicazione del verbale suddetto deriva da un “errore dal carattere assolutamente colposo, nella forma che si ritiene della colpa lieve, […] determinato non dalla mancata conoscenza della disciplina in materia, né da volontà di arrecare alcun nocumento in qualsiasi forma alla partecipante alla procedura concorsuale, ma dal sovrabbondante carico di lavoro in periodo pandemico che, unitamente alla contestuale esiguità delle risorse umane, ha fatto sì che l’Ente abbia commesso un errore di analisi come quello verificatosi su quanto fosse da pubblicare”;
- inoltre, “vi è un’assenza di comunicazione di categorie di dati particolari o giudiziari; non si sono verificate, almeno per quanto a […] conoscenza [di codesto Comune], conseguenze pregiudizievoli in capo alla reclamante”;
- si è “provveduto alla cancellazione immediata del documento e dei dati segnalati dalla reclamante, ivi compresa la correlata deindicizzazione dai motori di ricerca. Inoltre, l’Ente ha successivamente provveduto ad effettuare specifici corsi in materia di rapporti tra la trasparenza e la privacy, per meglio sensibilizzare i dipendenti affinché non si verifichino ulteriori episodi come quello di specie. Infine, […] l’Ente ha modificato le proprie procedure antecedenti la pubblicazione di dati e informazioni, sottoponendo a un più attento controllo interno i documenti”;
- “la richiesta originaria di esercizio dei diritti dell’interessata [è] arrivata non all’indirizzo di posta elettronica certificata del protocollo o del DPO né, in un’ottica di piena agevolazione dei diritti dell’interessata, alle rispettive mail ordinarie ma all’indirizzo di posta elettronica ordinaria del Segretario comunale in un periodo in cui la Segreteria comunale era peraltro vacante e l’indirizzo non stabilmente presidiato, con i conseguenti problemi di notifica (e prova della relativa notifica) determinati dal mezzo prescelto dalla reclamante”.

Con nota del 10 aprile 2023, l’Autorità, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato al Comune di Villasimius, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, per aver il predetto Comune:

- riscontrato la richiesta di esercizio del diritto di cancellazione e deindicizzazione formulata dalla reclamante, in data 23 settembre 2022, solo a seguito dell’invito ad aderire trasmesso da questa Autorità in data 5 settembre 2022 e, pertanto, in violazione dell’art. 12 del Regolamento;
- diffuso online i dati personali della reclamante nonché, peraltro, i nominativi dei membri della commissione esaminatrice e della verbalizzatrice, contenuti all’interno del predetto verbale n. 1 redatto dalla medesima commissione, nominata nell’ambito della procedura selettiva indetta dal Comune medesimo per il conferimento dell’incarico di Responsabile del Settore Affari Generali e Sociali – Vicesegretario comunale ai sensi dell’art. 110, comma 1, del d.lgs. 18 agosto 2000, n. 267, in assenza di un idoneo presupposto normativo, in violazione degli artt. 5, par. 1, lett. a), 6, par. 1, lett. c) ed e), del Regolamento, nonché 2-ter del Codice (sia nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, vigente al tempo in cui è iniziata la diffusione dei dati personali in questione, sia nell’attuale testo).

Con la medesima nota, il predetto titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).

Con nota del 7 maggio 2024, il Comune di Villasimius, che non ha richiesto di essere audito, ha presentato una memoria difensiva, dichiarando, in particolare, che:

- “l’episodio risulta isolato ed è stato determinato […] da un mero errore di applicazione della normativa sui concorsi pubblici contenuta nel D.P.R 487/1994 vigente all’epoca con particolare riferimento all’art. 12, comma 2 e all’art. 15, commi 4 e 5”;
- “la finalità perseguita mediante la pubblicazione era quella di assicurare la trasparenza della procedura concorsuale e consentire alla reclamante, unica candidata idonea, di conoscere l’esito di tutte le valutazioni compiute dalla commissione giudicatrice nei confronti suoi e del vincitore, e poter eventualmente agire, senza ritardo, alla tutela dei suoi diritti presso le competenti autorità amministrative e/o giurisdizionali”;
- “tantomeno l’errore è stato determinato da volontà di arrecare alcun nocumento in qualsiasi forma alla partecipante alla procedura concorsuale, ma dal sovrabbondante carico di lavoro in periodo pandemico che, unitamente alla contestuale insufficienza delle risorse umane, ha fatto sì che l’Ente abbia commesso un errore di analisi della normativa applicabile […]”;
- “l’Ente […] ha provveduto alla cancellazione immediata del documento e dei dati segnalati dalla reclamante, ivi compresa la correlata deindicizzazione dai motori di ricerca non appena notiziata da Codesta Autorità in data 05.09.2022”;
- “l’Ente, successivamente a tale episodio, ha provveduto […] a far effettuare ai propri dipendenti specifici corsi in materia di rapporti tra la normativa sulla trasparenza e la privacy, anche per evitare che in futuro si ripetano episodi simili. Inoltre, l’Ente ha modificato le proprie procedure interne relative alla pubblicazione di dati e informazioni, sottoponendo a un più attento controllo interno i documenti oggetto di pubblicazione”;
- “non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento”;
- “il titolare del trattamento è un Ente di piccole dimensioni (di circa 3.700 abitanti), dotato di limitate risorse organizzative e professionali”;
- “la condotta è stata posta in essere nel contesto dell’emergenza epidemiologica da SARS-CoV-2, particolarmente concitata e critica anche sul piano dell’organizzazione e gestione delle attività istituzionali”.

3. Esito dell’attività istruttoria. La normativa applicabile.

La disciplina di protezione dei dati personali prevede che i soggetti pubblici, anche quando operino nello svolgimento di procedure concorsuali, selettive o comunque valutative, prodromiche all’instaurazione del rapporto di lavoro, possono trattare i dati personali degli interessati (art. 4, n. 1, del Regolamento) se il trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” (si pensi a specifici obblighi previsti dalla normativa nazionale “per finalità di assunzione”, artt. 6, par. 1, lett. c), 9, parr. 2, lett. b) e 4; 88 del Regolamento) oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e) del Regolamento e art. 2-ter del Codice).

Tali trattamenti devono, comunque, trovare fondamento nel diritto dell’Unione europea o dello Stato membro, che deve perseguire un obiettivo di interesse pubblico ed essere proporzionato al perseguimento dello stesso. La finalità del trattamento deve essere necessaria per l'esecuzione di un compito svolto nel pubblico interesse o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento (cfr. art. 6, par. 3, del Regolamento e 2-ter del Codice).

La disciplina nazionale ha introdotto disposizioni più specifiche per adeguare l’applicazione delle norme del Regolamento, determinando con maggiore precisione requisiti specifici per il trattamento, nonché altre misure atte a garantire un trattamento lecito e corretto (art. 6, par. 2 del Regolamento) e, in tale ambito, ha previsto che la base giuridica prevista dall’art. 6, par. 3, lett. b), del Regolamento, è costituita esclusivamente dalle fonti normative indicate dall’art. 2-ter del Codice. (2-ter del Codice).

Il titolare del trattamento è tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, paragrafo 1, lett. a) e c) del Regolamento).

3.1. Il ritardato riscontro alla richiesta di esercizio del diritto di cui all’art. 17 del Regolamento.

Dagli elementi acquisiti nell’ambito dell’attività istruttoria, risulta accertato che il Comune di Villasimius ha fornito riscontro alla richiesta di esercizio del diritto di cancellazione e deindicizzazione formulata dalla reclamante, provvedendo alla rimozione del predetto verbale dal proprio sito web istituzionale e alla relativa deindicizzazione dai motori di ricerca, solo in data 23 settembre 2022, ossia in seguito dell’invito ad aderire trasmesso da questa Autorità in data 5 settembre 2022, senza dunque assicurare l’osservanza dei termini previsti dal Regolamento per il riscontro all’interessata.

Al riguardo, si rappresenta in via generale che il titolare del trattamento è tenuto ad agevolare l’esercizio dei diritti da parte dell’interessato nonché, in ogni caso, a fornire esplicito riscontro alla richiesta formulata dall’interessato, a prescindere dalla fondatezza o meno della stessa, senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal suo ricevimento, nel contesto di un rapporto diretto tra l’interessato e il titolare del trattamento.

Il menzionato termine può essere prorogato dal titolare di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste, fermo restando il diritto dell’interessato ad essere informato di tale proroga e dei motivi del ritardo entro un mese dal ricevimento della richiesta (art. 12, parr. 2 e 3, del Regolamento).

Inoltre, se il titolare del trattamento non ottempera alla richiesta dell'interessato, lo informa senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell'inottemperanza e della possibilità di proporre reclamo a un'autorità di controllo e di proporre ricorso giurisdizionale (art. 12, par. 4, del Regolamento).

Per quanto sopra rappresentato, deve concludersi che il riscontro fornito tardivamente da parte del Comune di Villasimius alla richiesta formulata dall’interessata ai sensi dell’art. 17 del Regolamento ha comportato la violazione dell’art. 12 del Regolamento.

3.2. L’illecita diffusione dei dati personali della reclamante nonché dei nominativi dei membri della commissione e della verbalizzatrice.

Dagli elementi acquisiti e dei fatti emersi nell’ambito dell’attività istruttoria, risulta accertato che il Comune di Villasimius ha pubblicato sul proprio sito web istituzionale il verbale n. 1 del 19 dicembre 2019, relativo ad una procedura selettiva indetta dal Comune medesimo e contenente dati personali della reclamante - quali la data di nascita, il voto di laurea e la valutazione nell’ambito di tale procedura - nonché i nominativi dei membri della commissione e della verbalizzatrice (cfr. “Verbale n. 1 della commissione esaminatrice della selezione pubblica per il conferimento dell’incarico di Responsabile del Settore Affari Generali e Sociali – Vicesegretario comunale ai sensi dell’art. 110, comma 1, del d.lgs. 18.08.2000 n. 267, indetta dal Comune di Villasimius”).

Il documento in questione, secondo quanto accertato nell’istruttoria e confermato dal Comune, risultava altresì indicizzato dai motori di ricerca generalisti.

Al riguardo, le disposizioni normative che stabiliscono, in generale, la pubblicità delle graduatorie di concorsi e prove selettive (cfr., in particolare d.P.R. 10 gennaio 1957, n. 3; nonché art. 15 e ss del d.P.R. 9 maggio 1994, n. 487 “Regolamento recante norme sull’accesso agli impieghi nelle pubbliche amministrazioni e le modalità di svolgimento dei concorsi, dei concorsi unici e delle altre forme di assunzione nei pubblici impieghi”, anche a seguito delle modifiche intervenute con d.P.R. 16 giugno 2023, n. 82 e, più in generale, sulla pubblicità delle procedure di reclutamento del personale delle pubbliche amministrazioni, art. 35 d. lgs. 30 marzo 2001, n. 165) svolgono la funzione di consentire agli interessati, partecipanti alle procedure concorsuali o selettive, l’attivazione delle forme di tutela dei propri diritti e di controllo della legittimità dell’azione amministrativa. In base al predetto quadro normativo, infatti, della pubblicazione della graduatoria nei bollettini ufficiali dei rispettivi enti (e sui siti istituzionali degli stessi) veniva data notizia mediante avviso nella Gazzetta Ufficiale della Repubblica e dalla data della predetta pubblicazione decorreva il termine per le eventuali impugnative (v. art. 15, comma 6 d.P.R. 9 maggio 1994, n. 487, nel testo antecedente alle modifiche apportate dal d.P.R. 82/2023 applicabile al caso di specie, che attualmente invece prevede che la pubblicazione avvenga sul Portale unico del reclutamento di cui all’art. 35-ter del d. lgs. 30 marzo 2001, n. 165, e sul sito dell’amministrazione interessata e che dalla data di tale pubblicazione decorrano i termini per l'impugnativa).

Anche le disposizioni in materia di trasparenza amministrativa prevedono specifici obblighi di pubblicazione nella sezione “Amministrazione Trasparente” del sito web istituzionale delle amministrazioni. Infatti, in base a quanto previsto dal d.lgs. 14 marzo 2013, n. 33, “fermi restando gli altri obblighi di pubblicità legale, le pubbliche amministrazioni pubblicano i bandi di concorso per il reclutamento, a qualsiasi titolo, di personale presso l’amministrazione, nonché i criteri di valutazione della Commissione, le tracce delle prove e le graduatorie finali, aggiornate con l'eventuale scorrimento degli idonei non vincitori. Le pubbliche amministrazioni pubblicano e tengono costantemente aggiornati i dati di cui al comma 1” (art. 19, commi 1 e 2; v. Memoria del Presidente dell’Autorità garante per la protezione dei dati personali sul disegno di legge di bilancio 2020 commissione 5°, Bilancio, del Senato della Repubblica, del 12 novembre 2019, doc. web 9184376; cfr., da ultimo, provv. dell'11 aprile 2024 n. 235, doc. web n. 10019523 nonché provv.ti 23 marzo 2023, n. 83, doc. web n. 9888096, e 28 aprile 2022, n. 151, doc. web n. 9778996, e i precedenti provvedimenti in essi richiamati, tra cui, in particolare, il provv. 25 novembre 2021 n. 407, doc. web n. 9732406).

Tali disposizioni definiscono, sotto il profilo della protezione dei dati, l’ambito del trattamento consentito e ne costituiscono la base giuridica stabilendo limiti, condizioni e presupposti della pubblicazione online di dati personali nell’ambito delle procedure concorsuali. Le stesse dispongono tuttavia che siano pubblicate le sole graduatorie definitive dei vincitori di concorso e non anche gli atti intermedi o endoprocedimentali relativi alla complessiva procedura concorsuale (cfr. art. 15, comma 6, del d.P.R. cit.), come invece avvenuto nel caso di specie con la pubblicazione del predetto verbale n. 1 del 19 dicembre 2019.

In tale quadro il Garante ha, nel tempo, fornito specifiche indicazioni di carattere generale alle pubbliche amministrazioni in ordine alle cautele da adottare per la diffusione di dati personali in Internet per finalità di trasparenza e pubblicità dell’azione amministrativa, in particolare, nel 2014, con le “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” (provv. n. 243 del 15 maggio 2014, doc. web n. 3134436, parte I e II, spec. par. 3.b) e, con decisioni su singoli casi, ha ritenuto illecita la pubblicazione, nell’ambito di procedure selettive e concorsi, di atti e documenti diversi dalle graduatorie finali di merito (cfr. provv. ti 17 maggio 2023, n. 195, doc. web n. 9908484; 25 novembre 2021, n. 407, doc. web n. 9732406; 11 marzo 2021, n. 89, doc. web n. 9581028).

Per quanto sopra rappresentato, la pubblicazione, da parte del Comune di Villasimius, sul proprio sito web istituzionale, del verbale n. 1 del 19 dicembre 2019, relativo ad una procedura selettiva indetta dal Comune medesimo e contenente dati personali della reclamante - quali la data di nascita, il voto di laurea e la valutazione nell’ambito di tale procedura - nonché i nominativi dei membri della commissione e della verbalizzatrice, ha dato luogo a una diffusione di dati personali in assenza di un’idonea base giuridica, in violazione degli artt. 5, 6 del Regolamento, nonché 2-ter del Codice.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per la determinazione della norma applicabile, sotto il profilo temporale, deve essere richiamato, in particolare, il principio di legalità di cui all’art. 1, comma 2, della l. n. 689/1981, ai sensi del quale le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in esse considerati. Ciò determina l’obbligo di prendere in considerazione le disposizioni vigenti al momento della commessa violazione, che – data la natura permanente degli illeciti contestati – deve individuarsi nel momento della cessazione della condotta. Si ritiene che il Regolamento e il Codice costituiscano la normativa alla luce della quale valutare i trattamenti in questione.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Comune di Villasimius, per aver il predetto Comune:

- riscontrato la richiesta di esercizio del diritto di cancellazione e deindicizzazione formulata dalla reclamante, in data 23 settembre 2022, solo a seguito dell’invito ad aderire trasmesso da questa Autorità in data 5 settembre 2022 e, pertanto, in violazione dell’art. 12 del Regolamento;
- diffuso online i dati personali della reclamante nonché, peraltro, i nominativi dei membri della commissione esaminatrice e della verbalizzatrice, contenuti all’interno del predetto verbale n. 1 redatto dalla commissione, nominata nell’ambito della procedura selettiva indetta dal Comune medesimo per il conferimento dell’incarico di Responsabile del Settore Affari Generali e Sociali – Vicesegretario comunale ai sensi dell’art. 110, comma 1, del d.lgs. 18 agosto 2000, n. 267, in assenza di un idoneo presupposto normativo, in violazione degli artt. 5, par. 1, lett. a), 6, par. 1, lett. c) ed e), del Regolamento, nonché 2-ter del Codice (sia nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, vigente al tempo in cui è iniziata la diffusione dei dati personali in questione, sia nell’attuale testo).

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Nel caso di specie, si ravvisano due condotte distinte (l’una in relazione al ritardato riscontro alla richiesta di esercizio del diritto di cui all’art. 17 del Regolamento e l’altra inerente alla diffusione dei dati personali della reclamante) imputabili al Comune di Villasimius, le quali devono, pertanto, essere considerate separatamente ai fini della quantificazione delle sanzioni amministrative da applicarsi.

In ogni caso, considerando che le condotte hanno esaurito i relativi effetti, non ricorrono i presupposti per l’adozione di misure correttive, di cui all'art. 58, par. 2, del Regolamento.

5.1. La condotta di cui al paragrafo 3.1 del presente provvedimento.

Tenuto conto che la violazione delle disposizioni citate nel precedente paragrafo 3.1 del presente provvedimento, per effetto del ritardato riscontro alla richiesta di esercizio del diritto di cui all’art. 17 del Regolamento, ha avuto luogo in conseguenza di un’unica condotta, trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l’importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, la violazione più grave riguarda l’art. 12 del Regolamento, soggetta alla sanzione amministrativa prevista dall’83, par. 5, del Regolamento, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Con specifico riguardo al profilo soggettivo della violazione (art. 83, par. 2, lett. b), del Regolamento), preme anzitutto considerare la circostanza che il ritardo nel riscontro all’istanza di esercizio dei diritti dell’interessata da parte del titolare è, almeno in parte, dipeso dal fatto che “la richiesta originaria di esercizio dei diritti dell’interessata [fosse stata inviata dalla reclamante] non all’indirizzo di posta elettronica certificata del protocollo o del DPO [… o] alle rispettive mail ordinarie ma all’indirizzo di posta elettronica ordinaria del Segretario comunale in un periodo in cui la Segreteria comunale era peraltro vacante e l’indirizzo non stabilmente presidiato, con i conseguenti problemi di notifica (e prova della relativa notifica) determinati dal mezzo prescelto dalla reclamante” (cfr. nota del 17 gennaio 2024).

Alla luce di tale specifica circostanza, si ritiene che, nel caso di specie, il livello di gravità di tale violazione commessa dal titolare del trattamento sia basso (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60).

Ciò premesso, si devono considerare, in senso favorevole al titolare, le seguenti circostanze attenuanti:

- non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento, aventi la medesima natura di quelle accertate in relazione ai fatti di reclamo, o precedenti provvedimenti di cui all’art. 58 del Regolamento (art. 83, par. 2, lett. e), del Regolamento);

- il Comune ha offerto una buona cooperazione con l’Autorità nel corso dell’istruttoria, avendo, altresì, fornito immediato riscontro alla reclamante a seguito dell’invito ad aderire formulato dal Garante (art. 83, par. 2, lett. f), del Regolamento);

- il Comune di Villasimius è un ente territoriale di modeste dimensioni (circa 3.700 abitanti); inoltre, la violazione è avvenuta in un contesto caratterizzato da numerose difficoltà sul piano organizzativo nonché dalle ulteriori problematiche connesse al periodo emergenziale dovuto alla diffusione del virus Covid-19 (art. 83, par. 2, lett. k), del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 1.000 (mille) per la violazione dell’art. 12 del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Tenuto conto, inoltre, dell’esteso lasso temporale durante il quale i predetti dati sono stati oggetto di pubblicazione online sul sito web istituzionale del Comune, si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

5.2. La condotta di cui al paragrafo 3.2 del presente provvedimento.

Tenuto conto che la violazione delle disposizioni citate nel precedente paragrafo 3.2 del presente provvedimento, per effetto della diffusione dei dati personali della reclamante, ha avuto luogo in conseguenza di un’unica condotta (stesso trattamento o trattamenti tra loro collegati), trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l’importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, la violazione più grave riguarda gli artt. 5 e 6 del Regolamento, nonché 2-ter del Codice, soggetta alla sanzione amministrativa prevista dall’83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Con specifico riguardo alla natura, alla gravità e alla durata della violazione (art. 83, par. 2, lett. a), del Regolamento), occorre considerare, in particolare, il limitato numero degli interessati coinvolti (oltre alla reclamante, i tre membri della commissione e la verbalizzatrice) e tuttavia, d’altra parte, la circostanza che la graduatoria è stata oggetto di pubblicazione online per un periodo temporale particolarmente ampio, fino al 5 settembre 2022 (cfr. quanto dichiarato dal titolare nella nota del 7 maggio 2024 cit.), giorno in cui il predetto contenuto è stato definitivamente rimosso.

Con riguardo al profilo soggettivo della violazione (art. 83, par. 2, lett. b), del Regolamento), deve inoltre tenersi conto della circostanza che il Comune ha operato nell’errata convinzione di poter perseguire finalità di trasparenza dell’azione amministrativa, non tenendo però conto del quadro normativo di settore e delle indicazioni fornite nel tempo dal Garante a tutti i soggetti pubblici in materia (sia con le “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” sopra citate, sia con numerose decisioni su singoli casi), e che la pubblicazione del verbale in questione deriva da un “errore dal carattere assolutamente colposo, nella forma che si ritiene della colpa lieve, […] determinato non dalla mancata conoscenza della disciplina in materia, né da volontà di arrecare alcun nocumento in qualsiasi forma alla partecipante alla procedura concorsuale, ma dal sovrabbondante carico di lavoro in periodo pandemico che, unitamente alla contestuale esiguità delle risorse umane, ha fatto sì che l’Ente abbia commesso un errore di analisi come quello verificatosi su quanto fosse da pubblicare” (cfr. nota del 9 maggio 2024).

Si ritiene debba, altresì, considerarsi che, in ogni caso, la pubblicazione non ha riguardato dati personali appartenenti alle categorie particolari di cui all’art. 9 del Regolamento o dati relativi a condanne penali o reati (art. 83, par. 2, lett. g), del Regolamento).

Alla luce di tali circostanze, si ritiene che, nel caso di specie, il livello di gravità di tale violazione commessa dal titolare del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023, punto 60).

Ciò premesso, si devono considerare, in senso favorevole al titolare, le seguenti circostanze attenuanti:

- non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento, aventi la medesima natura di quelle accertate in relazione ai fatti di reclamo, o precedenti provvedimenti di cui all’art. 58 del Regolamento (art. 83, par. 2, lett. e), del Regolamento);

- il Comune ha offerto una buona cooperazione con l’Autorità nel corso dell’istruttoria, avendo, altresì, rappresentato di aver rimosso il predetto contenuto, seppur a seguito dell’invito ad aderire formulato dal Garante (art. 83, par. 2, lett. f), del Regolamento);

- il Comune di Villasimius è un ente territoriale di modeste dimensioni (circa 3.700 abitanti); inoltre, la violazione è avvenuta in un contesto caratterizzato da numerose difficoltà sul piano organizzativo nonché dalle ulteriori problematiche connesse al periodo emergenziale dovuto alla diffusione del virus Covid-19 (art. 83, par. 2, lett. k), del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 3.000 (tremila) per la violazione degli artt. 5, par. 1, lett. a), 6 e 12 del Regolamento, nonché 2-ter del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Tenuto conto, in particolare, dell’esteso lasso temporale durante il quale i predetti dati sono stati oggetto di pubblicazione online sul sito web istituzionale del Comune, nonché della fattispecie oggetto di reclamo (mancato riscontro da parte del Comune alla richiesta avanzata dall’interessata volta a ottenere la cancellazione dal sito web istituzionale dell’Ente e la deindicizzazione dai motori di ricerca di un atto interno ad una procedura selettiva, contenente una serie di informazioni personali riguardanti anche soggetti terzi), si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dal Comune di Villasimius per violazione degli artt. 5, par. 1, lett. a), 6 e 12 del Regolamento, nonché 2-ter del Codice (sia nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, vigente al tempo in cui è iniziata la diffusione dei dati personali in questione, sia nell’attuale testo), nei termini di cui in motivazione;

ORDINA

al Comune di Villasimius, in persona del legale rappresentante pro-tempore, con sede legale in Piazza Gramsci 10 - 09049 Villasimius (SU), C.F. 80014170924, di pagare la somma di euro 4.000 (quattromila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al predetto Comune, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 4.000 (quattromila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

- la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice (v. art. 16 del Regolamento del Garante n. 1/2019);

- l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento (v. art. 17 del Regolamento del Garante n. 1/2019).

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 4 luglio 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
10050145

Data
04/07/24

Argomenti

Diritto all'oblio Graduatorie di concorsi Lavoro pubblico

Tipologie

Ordinanza ingiunzione o revoca

Seguici su Basic

Selettore lingua

Garante per la protezione dei dati personali

GGpdp5SearchToggleBar

I miei diritti

Imprese ed enti

Menù di navigazione

Provvedimento del 4 luglio 2024

g-docweb-display Portlet