Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Comune di Conflenti - 25 febbraio 2021 [9565258]

[doc. web n. 9565258]

Ordinanza ingiunzione nei confronti di Comune di Conflenti - 25 febbraio 2021

Registro dei provvedimenti
n. 69 del 25 febbraio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Il reclamo.

Con reclamo del XX, presentato ai sensi dell’art. 77 del Regolamento, la sig.ra XX, ex dipendente del Comune di Conflenti (di seguito, il “Comune”), ha lamentato la pubblicazione, nell’Albo Pretorio Comunale, di una delibera riportante propri dati personali, incluse informazioni riguardanti il rapporto di lavoro  con l’amministrazione comunale, tra cui un estratto della lettera di dimissioni dell’XX, inviata dalla reclamante al Comune e alla Regione Calabria.

Nel corso degli accertamenti, è emerso che, consultando la sezione “cerca in archivio” dell’albo pretorio online del Comune e inserendo il cognome e nome della reclamante, veniva menzionata la Delibera della Giunta Comunale del XX (n. reg. XX) con descrizione “XX.” da cui, dopo vari passaggi, si aveva accesso alla versione in formato .pdf della deliberazione della Giunta Comunale n. XX.

Le circostanze sopra menzionate sono state accertate dall’Ufficio in data XX.

2. L’attività istruttoria.

Con nota del XX (prot. n.XX), l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato al Comune, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto le presunte violazioni degli artt. 5, par. 1, lett. a) e c), 6, paragrafo 1, lett. c) ed e), 2 e 3, lett. b), nonché degli artt. 2-ter, commi 1 e 3 del Codice, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).

Il Comune ha fatto pervenire le proprie memorie difensive con nota prot. n. XX del XX, rappresentando che:

- “il contenuto della delibera comunale G. C. n. XX del XX, in contestazione con la quale venne riportato il solo nome e cognome dell’odierna reclamante non rende il soggetto “identificabile” atteso che lo stesso non risulta associato ad altri elementi identificativi quale data e luogo di nascita, dimora, residenza, domicilio, codice fiscale”;

-“nel caso in uopo, la delibera di riferimento non contiene dati sensibili (ossia idonei a rivelare ad esempio l'origine razziale ed etnica, le convinzioni religiose, le opinioni politiche, l'adesione a partiti o sindacati, lo stato di salute e la vita sessuale) ma solo ed esclusivamente quei dati indispensabili alla motivazione e quindi alla validità dell’atto in sé necessari, altresì, a soddisfare la finalità di trasparenza che non si sarebbe potuta altrimenti conseguire. È evidente, pertanto, che 1’Amministrazione comunale non avrebbe potuto adempiere alla finalità dell’atto in modo diverso da quello attuato”;

- “si comunica che, a scopo precauzionale, la delibera di Giunta Comunale n. XX del XX, a cura di Asmenet Calabria Soc. Coop. a r.l., non è più visibile al pubblico sull’albo pretorio online del Comune e che la stessa è presente negli archivi interni dell’Ente per gli usi consentiti dalla legge (Linee guida delibera del Garante n. 243 del 15/05/2014)”.

3. Esito dell’attività istruttoria.

3.1 Il quadro normativo.

La disciplina di protezione dei dati personali prevede che i soggetti pubblici, anche qualora operino nello svolgimento dei propri compiti di datori di lavoro, possono trattare i dati personali (art. 4, n. 1, del Regolamento) dei dipendenti, se il trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” (ovvero gli specifici obblighi o compiti previsti dalla legge per finalità di gestione del rapporto di lavoro) oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e) del Regolamento).

La normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del […] regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento). Al riguardo, si evidenzia che l’operazione di diffusione di dati personali (come la pubblicazione su Internet), da parte di soggetti pubblici, è ammessa solo quando prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento (art. 2-ter, commi 1 e 3, del Codice).

Il titolare del trattamento è tenuto, inoltre, a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione dei dati”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c), del Regolamento).

Nel rispetto del principio di “minimizzazione dei dati”, anche in presenza di un obbligo di pubblicazione, i soggetti chiamati a darvi attuazione non possono comunque diffondere i dati personali eccedenti o non pertinenti (cfr. «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicate in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436, parte seconda, parr. 1 e 3.a.).

3.2 Diffusione dei dati personali

In via preliminare si fa presente che per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile”, dovendosi considerare “identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome […]” senza la necessità che tale elemento identificativo debba essere associato ad altri ulteriori elementi (art. 4, par. 1, n. 1) del Regolamento) e pertanto non rileva quanto dichiarato dal Comune, con riferimento alla circostanza che il solo nome e cognome della reclamante, riportato nella delibera, non associato ad alcun altro elemento identificativo quale data, luogo di nascita, dimora, residenza, domicilio, codice fiscale, non renda il soggetto identificabile.

Peraltro, anche in presenza di una norma di legge che preveda la pubblicazione di atti e documenti della pubblica amministrazione (cfr. art. 124 del d.lgs. 18 agosto 2000, n. 267) – che in ogni caso deve essere rispettata anche con riguardo all’arco temporale di pubblicazione da questa stabilito - devono essere, comunque, attuati i principi di protezione dei dati, tra i quali il principio di “minimizzazione dei dati” (art. 5, par. 1, lett. c), del Regolamento; cfr. parte II, par. 3(a), delle Linee guida del Garante sopra citate).

Nel caso di specie, la determinazione in questione, che riportava informazioni di dettaglio relative a vicende connesse al rapporto di lavoro, e alla vita privata della dipendente è stata pubblicata anche oltre l’arco temporale previsto dalla disciplina di settore (cfr. art. 124, d.lgs. 18 agosto 2000, n. 267 concernente la pubblicità degli atti degli enti locali sull’albo pretorio, nonché art. 32, l. 18 giugno 2009, n. 69), circostanza che connota ulteriormente di illiceità la diffusione dei dati personali in essa contenuti. (cfr. Cass. civ., sez. II, ord. n. 18292 del 3 settembre 2020)

Con riferimento a quanto sostenuto dal Comune che ha fatto presente di essere tenuto alla pubblicazione della deliberazione della Giunta Comunale n. XX del XX per generiche finalità di trasparenza, si rileva che allo stato alcuna disposizione del d.lgs. n. 33/2013 prevede la pubblicazione obbligatoria di tale tipologia di atti.

Pertanto, ove il Comune avesse voluto pubblicare la determina, che non aveva l’obbligo di pubblicare, ai sensi del d.lgs. n. 33/2013, avrebbe dovuto “disporre la pubblicazione nel proprio sito istituzionale di dati, informazioni e documenti […]  procedendo alla indicazione in forma anonima dei dati personali eventualmente presenti” (art. 7-bis, comma 3, del d.lgs. n. 33/2013).

Nella delibera oggetto di pubblicazione non avrebbero dovuto essere, quindi, riportati dati identificativi dell’interessata, quali il cognome e il nome, o altri dati che avrebbero comunque potuto consentire l’identificazione della stessa. La pubblicazione della delibera in questione, con tale accorgimento, non avrebbe compromesso il principio di adeguata motivazione di cui all’art. 3 della l. 241/1990, poiché la versione integrale degli stessi sarebbe rimasta, in ogni caso, agli atti del Comune e sarebbe stata accessibile, da parte di soggetti qualificati, nei modi e nei limiti previsti dalla legge.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati dell’interessata, avvenuto in violazione della disciplina in materia di trattamento dei dati personali, ha avuto inizio con la pubblicazione della delibera della giunta comunale n. XX del XX, nella piena vigenza delle disposizioni del Regolamento e del Codice, che dunque costituiscono le disposizioni applicabili al caso di specie (art. 1, comma 2, della l. 24 novembre 1981, n. 689).

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Comune Conflenti, per aver diffuso dati personali relativi alla reclamante, contenuti nella deliberazione della giunta comunale n. XX del XX, in assenza di idonei presupposti normativi, in violazione degli artt. 6, par. 1, lett. c) ed e), 2 e 3, lett. b) del Regolamento, e 2-ter, commi 1 e 3, del Codice, nonché dei principi di base del trattamento contenuti nell’art. 5, par. 1, lett. a) e c) del Regolamento.

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo e art. 166, comma 2, del Codice.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che la pubblicazione della delibera in questione sul sito web del Comune è cessata, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

5.Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

In relazione ai predetti elementi, è stato considerato il periodo di tempo in cui i dati personali sono stati oggetto di diffusione; ciò anche alla luce delle indicazioni che, sin dal 2014, il Garante, ha fornito a tutti i soggetti pubblici nelle Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati, sopra citate.

Di contro, si è tenuto favorevolmente atto che il Comune ha tenuto una condotta collaborativa con questa Autorità al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi, in particolare si è attivato prontamente per rimuovere i dati personali dagli atti amministrativi oggetto di pubblicazione. Non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria, nella misura di euro 2.000,00 (duemila) per la violazione degli artt. 5, par. 1, lett. a) e c), 6, par. 1, lett. c) ed e), 2 e 3, lett. b), del Regolamento, nonché dell’art. 2-ter, commi 1 e 3 del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Tenuto conto del lasso temporale durante il quale i predetti dati sono stati resi reperibili in rete, si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito web del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecita la condotta tenuta dal Comune di Conflenti, descritta nei termini di cui in motivazione, consistente nella violazione degli artt. 5, par. 1, lett. a) e c), 6, par. 1, lett. c) ed e), 2 e 3, lett. b), del Regolamento, nonché dell’art. 2-ter, commi 1 e 3 del Codice, nei termini di cui in motivazione

ORDINA

al Comune di Conflenti, in persona del legale rappresentante pro-tempore, con sede legale in Via Marconi - 88040 Conflenti (CZ), C.F. 00238090799, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 5, del Regolamento e 166, comma 2, del Codice, di pagare la somma di euro 2.000,00 (duemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione;

INGIUNGE

al predetto Comune di pagare la somma di euro 2.000,00 (duemila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981. Al riguardo, si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro 30 giorni dalla data della notifica del presente provvedimento, ai sensi dell’art. 166, comma 8, del Codice (cfr. anche art. 10, comma 3, del d.lgs. n. 150 dell’1/9/2011);

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione del presente provvedimento sul sito web del Garante, ritenendo che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 25 febbraio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei