Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Istituto Superiore Statale "Pitagora" - 11 febbraio 2021 [9574101]

[doc. web n. 9574101]

Ordinanza ingiunzione nei confronti di Istituto Superiore Statale "Pitagora" - 11 febbraio 2021

Registro dei provvedimenti
n. 60 dell'11 febbraio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Il reclamo.

Con reclamo presentato a questa Autorità in data XX, e successivamente integrato con comunicazione del XX, è stata lamentata la pubblicazione, sul sito web dell’Istituto Superiore Statale “Pitagora” di Pozzuoli, della graduatoria di terza fascia del personale ATA, contenente dati personali del reclamante e di altri candidati, tra cui il nome, il cognome, la data di nascita, il sesso, l’indirizzo di residenza, l’indirizzo e-mail, il recapito telefonico e il codice fiscale (https://...).

2. L’attività istruttoria.

Dall’istruttoria preliminare effettuata dall’Ufficio è stato accertato che in data XX la graduatoria di terza fascia del personale ATA, contenente i dati personali del reclamante e degli altri candidati, risultava ancora pubblicata sul sito web dell’Istituto.

Sulla base degli elementi acquisiti l’Ufficio ha notificato all’Istituto Superiore Statale “Pitagora” di Pozzuoli (nota prot. XX del XX), in qualità di titolare del trattamento, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

Con la nota sopra menzionata, l’Ufficio ha riscontrato che l’istituto scolastico ha pubblicato, sul proprio sito web istituzionale una graduatoria contenente i dati personali riferiti al reclamante e ad altri candidati, tra cui il nome, il cognome, la data di nascita, il sesso, l’indirizzo di residenza, l’indirizzo email, il recapito telefonico e il codice fiscale.

In particolare l’Ufficio ha ritenuto che la pubblicazione della predetta graduatoria sia avvenuta in assenza di un idoneo presupposto normativo, in violazione degli art. 6, par. 1, lett. c) ed e), parr. 2 e 3, lett. b) del Regolamento, nonché dell’art 2-ter, commi 1 e 3 del Codice e dei principi di “liceità, correttezza e trasparenza” nonché di “minimizzazione” del trattamento, dell’art. 5, par. 1, lett. a) e c), del Regolamento.

L’istituto ha fatto pervenire le proprie memorie difensive, con nota del XX, acquisita al prot. n. XX del XX, rappresentando, in particolare, che:

- “l’infrazione sollevata è dovuta esclusivamente ad un mero errore materiale nell’inserimento sul sito web della graduatoria completa in luogo di quella predisposta per la Privacy. Errore, nella digitalizzazione ovvero nella selezione di un file in luogo dell’altro”;

- “la stampa che forma il documento pubblicato ed oggetto della violazione viene generata, dal software gestionale/applicativo, in due diverse modalità: la prima completa di tutti i dati, utile al controllo dei dati immessi, la seconda priva degli elementi non indispensabili e utilizzabile per la pubblicazione. In entrambi i casi il sistema nomina il file, automaticamente, nello stesso modo. E, proprio in questa fase, è avvenuto, in maniera del tutto accidentale, uno scambio tra i due documenti, dando origine ad uno scambio tra i due files”;

- “a determinare la commissione dell’errore scusabile hanno inciso, inoltre, […] il periodo in cui è stata commessa la violazione […] caratterizzato da un intenso lavoro legato al controllo dati estenuante esperito sulle graduatorie precitate […e] l’Istituto si trovava sotto dimensionato sul piano dell’organico”;

- “tutto il processo di lavorazione/modifica dei dati avviene in modalità informatizzata, per cui il controllo non si effettua sul documento cartaceo, ove, per converso, l’errore è più facilmente rilevabile. Ad ogni buon fine, allorquando ci si è resi conto della violazione, è stato rimosso tempestivamente il documento, integrando ciò l’attenuante del ravvedimento operoso della condotta”.

L’Istituto, inoltre, nel corso dell’audizione, ai sensi dell’art. 166, comma 6, del Codice, ha rappresentato che (cfr. verbale prot.n. 42670 del 12 novembre 2020):

- “la graduatoria pubblicata sul sito web dell’Istituto, così come tutti gli altri contenuti del sito, non era indicizzata sui motori di ricerca e, pertanto, l’ambito di conoscibilità della stessa era comunque limitato”;

- “i fatti oggetto di reclamo si sono verificati in un contesto in cui tutti i soggetti con responsabilità in materia di protezione dei dati personali hanno agito correttamente, essendosi verificato un errore umano fortuito, al cui verificarsi ha contribuito anche la configurazione dell’applicativo web utilizzato dal Ministero dell’Istruzione, che non consente di distinguere agevolmente il file da pubblicare online da quello destinato a rimanere negli archivi”.

3. Normativa applicabile.

Ai sensi del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, il “Regolamento”), il trattamento di dati personali da parte di soggetti pubblici, come codesto Istituto, anche quando operano nell’ambito di procedure concorsuali e selettive del personale, è lecito, in particolare, se il trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, paragrafo 1, lett. c) ed e) del Regolamento).

La normativa europea prevede inoltre che “Gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto (…)” con la conseguenza che, al caso di specie, risulta applicabile la disposizione contenuta nell’art. 2-ter del Codice, in base al quale l’operazione di diffusione di dati personali, come la pubblicazione in Internet, in ambito pubblico è ammessa solo quando prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento.

In tale quadro, il trattamento dei dati personali deve avvenire nel rispetto dei principi indicati nell’art. 5 del Regolamento, fra cui quelli di “liceità, correttezza e trasparenza” nonché di “minimizzazione dei dati”, secondo i quali i dati personali devono essere – rispettivamente – “trattati in modo lecito, corretto e trasparente nei confronti dell'interessato” nonché “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (par. 1, lett. a) e c)).

Con particolare riferimento alla pubblicazione delle graduatorie, inoltre, il Garante nel provvedimento n. 243 del 15 maggio 2014 (doc. web n.3134436) recante le "Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati" con riferimento alla pubblicità degli esiti delle prove concorsuali e delle graduatorie finali ha evidenziato che “devono essere diffusi i soli dati pertinenti e non eccedenti riferiti agli interessati. Non possono quindi formare oggetto di pubblicazione dati concernenti i recapiti degli interessati (si pensi alle utenze di telefonia fissa o mobile, l'indirizzo di residenza o di posta elettronica, il codice fiscale, l'indicatore Isee, il numero di figli disabili, i risultati di test psicoattitudinali o i titoli di studio). In maniera analoga il Garante si era espresso nel provvedimento n. 23 del 14 giugno 2007, recante “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico"(in www.gpdp.it, doc. web n. 1417809) evidenziando che: “Non risulta lecito riportare negli atti delle graduatorie da pubblicare altre tipologie di informazioni non pertinenti quali, ad esempio, recapiti di telefonia fissa o mobile o il codice fiscale.”.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati degli interessati, avvenuto in violazione della disciplina in materia di trattamento dei dati personali, ha avuto inizio con la pubblicazione della graduatoria sul sito dell’istituto all’indirizzo https://... il XX, nella piena vigenza del Regolamento. La violazione dei dati personali, che ha determinato la diffusione online degli stessi, si è protratta, stando a quanto dichiarato, fino a quando l’istituto ha avuto notizia della violazione (cfr. nota del XX con la quale l’istituto ha dichiarato di aver rimosso il documento “allorquando ci si è resi conto della violazione”). In assenza di ulteriori elementi forniti dal titolare, la data di cessazione del trattamento è da ricondurre, presumibilmente, all’atto di notifica di avvio del procedimento da parte del Garante, con nota del XX.

Pertanto, si confermano le valutazioni preliminari dell'Ufficio, e si rileva l'illiceità del trattamento di dati personali effettuato dall’ Istituto Superiore Statale “Pitagora”, per aver diffuso online, sul proprio sito istituzionale, la graduatoria di terza fascia del personale ATA, recante in chiaro, oltre ai dati identificativi degli interessati, anche dati personali non necessari rispetto alle finalità perseguite con la pubblicazione della graduatoria, riguardanti il reclamante e gli altri interessati (circa 12.000) inseriti nelle predette graduatorie, tra cui il codice fiscale, l’indirizzo di residenza, il numero di telefono fisso e mobile, l’ indirizzo e-mail, nonché i codici di preferenza e il numero di figli a carico, determinando una diffusione di dati personali, in violazione degli artt. 6, paragrafo 1, lett. c) ed e), paragrafi 2 e 3 del Regolamento e 2-ter, commi 1 e 3, del Codice, nonché dei principi di base del trattamento contenuti nell’art. 5, par. 1, lett. a) e c) del Regolamento (cfr. Parte II par.3b) “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati" cit., nonché Provv. 6 giugno 2013, n. 275, doc. web n. 2536184, 2536409 e 2535862).

Per tali ragioni si ritiene quindi che la pubblicazione della graduatoria di terza fascia del personale ATA, contenente dati personali del reclamante e di altri candidati, sia avvenuta:

- in maniera non conforme ai principi di “liceità, correttezza e trasparenza”, nonché di “minimizzazione” del trattamento, in violazione dell’art. 5, par. 1, lett. a) e c) del Regolamento; e

- in assenza di un idoneo presupposto normativo, in violazione degli artt. 2-ter, commi 1 e 3 del Codice, dell’art. 6, paragrafo 1, lett. c) ed e), paragrafi 2 e 3, lett. b) del Regolamento.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che l'Istituto scolastico ha dichiarato di aver provveduto a rimuovere la graduatoria dal proprio sito istituzionale (v. nota del 20 novembre 2019), non ricorrono i presupposti per l'adozione di misure correttive, di cui all'art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

In relazione ai predetti elementi è stato considerato che la violazione della disciplina in materia di protezione dei dati personali ha avuto a oggetto la diffusione di numerosi dati personali (il nominativo corredato dall’indirizzo di residenza, dall’indirizzo email, dal recapito telefonico e dal codice fiscale), non necessari rispetto alle finalità sottese alla pubblicazione degli esiti delle procedure concorsuali, anche alla luce delle indicazioni che, sin dal 2014, il Garante, ha fornito a tutti i soggetti pubblici nelle Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati, sopra citate. Tale diffusione di dati personali si è protratta per un considerevole lasso di tempo (circa 1 anno).

Di contro è stato considerato: il carattere colposo della condotta in quanto la pubblicazione è da imputarsi a un mero errore materiale; che i dati non erano indicizzati e reperibili sui motori di ricerca; che l’Istituto si è attivato per rimuovere i dati personali dei soggetti interessati e ha quindi collaborato con l'Autorità nel corso dell'istruttoria del presente procedimento al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi; che l’Istituto ha avviato una serie di azioni volte a implementare le misure tecniche e organizzative. Si è tenuto, inoltre, favorevolmente atto che non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria, nella misura di euro 5.000,00 (cinquemila) per la violazione degli artt. 5, par. 1, lett. a) e c), 6, paragrafo 1, lett. c) ed e), del Regolamento, nonché dell’art. 2-ter, commi 1 e 3, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva. Nella quantificazione della sanzione il Garante ha tenuto in particolare considerazione il fatto che le violazioni sono connesse a un trattamento iniziato subito dopo la definitiva applicazione del Regolamento.

Tenuto conto del lasso temporale durante il quale i predetti dati sono stati resi reperibili in rete, si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecita la condotta tenuta dall’Istituto Superiore Statale “Pitagora” di Pozzuoli, descritta nei termini di cui in motivazione, consistente nella violazione degli artt. 5, par. 1, lett. a) e c), 6, paragrafo 1, lett. c) ed e), 2 e 3, lett. b), del Regolamento, nonché dell’art. 2-ter, commi 1 e 3 del Codice, nei termini di cui in motivazione

ORDINA

All’Istituto Superiore Statale “Pitagora”, in persona del legale rappresentante pro-tempore, con sede legale in Via Tiberio, 1 - 80078 Pozzuoli (NA), C.F. 96012430631, di pagare la somma di euro 5.000,00 (cinquemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

Al predetto Istituto, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 5.000,00 (cinquemila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione del presente provvedimento sul sito web del Garante, ravvisando altresì la ricorrenza dei presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 11 febbraio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei