g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Comune di Cogollo del Cengio - 24 giugno 2021 [9689607]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9689607]

Ordinanza ingiunzione nei confronti di Comune di Cogollo del Cengio - 24 giugno 2021

Registro dei provvedimenti
n. 256 del 24 giugno 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n.1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Il reclamo.

Con reclamo presentato a questa Autorità in data XX è stata lamentata la pubblicazione, sul sito web del Comune di Cogollo del Cengio, di una delibera contenente dati personali e valutazioni sull’operato di un dipendente del Comune. In particolare nella delibera il Comune invitava “il responsabile dei procedimenti disciplinari ad attivare un procedimento disciplinare applicando, se del caso, una sanzione esemplare”.

Secondo quanto riportato nel reclamo, in data XX, veniva notificato al reclamante l’avvio di un procedimento disciplinare per l’asserita illegittimità del rifiuto a svolgere le mansioni richieste e in data XX veniva pubblicata, sul sito web del Comune, la delibera nella sua versione integrale.

In data XX, a seguito di espressa richiesta da parte del reclamante di cancellazione della delibera dal predetto sito, il responsabile dell’ufficio per i procedimenti disciplinari comunicava allo stesso l’archiviazione del procedimento disciplinare e disponeva la rimozione dal sito del Comune “della parte della delibera ritenuta lesiva dell’immagine della persona”.

2. L’attività istruttoria.

Con nota del XX (prot. n. XX), il Comune, in risposta a una richiesta di informazioni formulata dall’Ufficio, ha dichiarato, in particolare, che:

- la Giunta Comunale, […] con deliberazione n. XX del XX, pubblicata all'albo pretorio per 15 giorni dal XX, invitava “il responsabile dei procedimenti disciplinari ad attivare un procedimento disciplinare [nei confronti del reclamante] applicando, se del caso, una sanzione esemplare”;

- “il Responsabile dei procedimenti disciplinari con nota in data XX ha poi effettivamente comunicato l'addebito disciplinare […al dipendente] per il rifiuto di svolgere le mansioni espressamente previste dall'art. 6 del contratto individuale di lavoro, in quanto nel progetto obiettivo venivano richieste solo le mansioni già svolte durante il proprio turno di lavoro. Avverso tale comunicazione, il dipendente in data XX inviò una “memoria difensiva” […] in cui veniva contestata l’avvio del procedimento e, per l'effetto, il procedimento disciplinare venne archiviato”;

- “a seguito della memoria difensiva […], in data XX la medesima deliberazione è stata modificata mediante lo stralcio del periodo contestato […] (che compare con la dicitura “omissis”). In data XX l’intera delibera è stata rimossa dal sito istituzionale non più visibile anche alla sezione storica dell’Albo. Quindi si conferma che tale delibera non è più visibile sul sito, neppure nella sua versione “oscurata”;

- “Peraltro eseguiti accertamenti tecnici, l’Ente è in grado di dimostrare che il numero di accessi al sito web istituzione alla sezione “delibere” è davvero contenuta: si parla di 2.421 accessi dalla data di creazione e messa on line del sito avvenuta nel 2007 […] Le deliberazioni di Giunta vengono pubblicate dal 2013 e in tutto sono state pubblicate circa 750 delibere: stando a questi dati possiamo serenamente dedurne una media di 3 visualizzazioni per delibera”;

- “Infine, [il Comune] conferma che l’Ente ha provveduto alla nomina [del Responsabile della Protezione dei Dati] con contratto di servizio decorrente dalla data del 01.07.20 e di aver successivamente (in data XX) comunicato a Voi Garante i dati identificativi dello stesso con l’apposita procedura messa a disposizione sul sito web”.

Con nota del XX prot. n.XX, l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato al Comune, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto le presunte violazioni degli artt. 5, par. 1, lett. a) e c), 6, paragrafo 1, lett. c) ed e), 2 e 3, lett. b) e 37 del Regolamento, nonché dell’art. 2-ter, commi 1 e 3 del Codice, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).

Il Comune ha fatto pervenire le proprie memorie difensive con nota prot. n. XX del XX, rappresentando che:

- “la deliberazione della Giunta Comunale n .XX del XX è stata pubblicata all’albo Pretorio on line per 15 (quindici) giorni a decorrere dal XX ore 8.05. Decorsi i 15 giorni la delibera rimane visibile nell’Albo storico dell’Ente. A seguito della memoria difensiva dell’Avv.to […], in data XX la medesima deliberazione è stata modificata mediante lo stralcio del periodo contestato”;

- “in data XX l’intera delibera è stata rimossa dal sito istituzionale non più visibile anche alla sezione storica dell’Albo. Quindi si conferma che la delibera non è più visibile sul sito neanche nella sua versione oscurata”;

- “la delibera nella sua versione integrale è rimasta pubblicata nella sua versione completa per 15 giorni nell’albo pretorio e per altri 25 giorni nella sezione storica. Un tempo molto contenuto. Peraltro eseguiti accertamenti tecnici l’Ente è in grado di dimostrare che il numero di accessi al sito web istituzione alla sezione “delibere” è davvero contenuta. Si parla di 2.421 accessi dalla data di creazione e messa on line del sito avvenuta nel 2007”;

- “la limitatissima diffusione della delibera (una media di 3 visualizzazioni per delibera), la durata limitata nel tempo (15 giorni nell’albo pretorio e altri 25 giorni nella sezione storica) e un unico soggetto potenzialmente leso da un danno non sussistente e non dimostrato sono elementi di cui codesta Ill.ma Autorità dovrà tenere in debita considerazione”;

- “per quanto concerne la nomina del DPO […] lo scrivente Ente […], pur avendo cercato di adeguarsi tempestivamente al GDPR […] è consapevole che […] ha adempiuto tardivamente all’obbligo di nomina del Responsabile della protezione dei dati. Tale ritardo voglia essere giustificato da una particolare situazione contingente venutasi a creare presso il Comune […]. L’ Ente […] è stato infatti oggetto di un pesante turn over nel corso dell’ultimo biennio”;

- “si conferma che l’Ente ha provveduto alla nomina del RPD con contratto di servizio dalla data del XX e di aver successivamente comunicato a Voi Garante i dati identificativi dello stesso con l’apposita procedura messa a disposizione sul sito web”;

- “quanto è accaduto è il solo frutto di una leggerezza. Nessun vantaggio economico è pervenuto all’Ente per le violazioni in cui è incorso in particolare per la pubblicazione della delibera de quo avente ad oggetto il reclamante. si tenga conto che il Comune scrivente vanta una popolazione di 3.300 abitanti”.

3. Esito dell’attività istruttoria.

3.1 Il quadro normativo.

La disciplina di protezione dei dati personali prevede che i soggetti pubblici, qualora operino nello svolgimento dei propri compiti di datori di lavoro, possono trattare i dati personali degli interessati (art. 4, n. 1, del Regolamento), se il trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e) del Regolamento).

La disciplina nazionale ha introdotto, inoltre, disposizioni più specifiche per adeguare l’applicazione delle norme del Regolamento, determinando, con maggiore precisione, requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto (art. 6, par. 2, del Regolamento) e, in tale ambito, ha previsto che le operazioni di trattamento, e tra queste la “diffusione” di dati personali, sono ammesse solo quando previste da una norma di legge o, nei casi previsti dalla legge, di regolamento (art. 2-ter, commi 1 e 3, del Codice).

Il titolare del trattamento è tenuto, inoltre, a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c), del Regolamento).

Nel rispetto del principio di “minimizzazione dei dati”, anche in presenza di un obbligo di pubblicazione, i soggetti chiamati a darvi attuazione non possono comunque diffondere i dati personali eccedenti o non pertinenti (cfr. «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicate in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436, parte seconda, parr. 1 e 3.a.).

3.2 Diffusione dei dati personali

In primo luogo si evidenzia che il Comune non ha comprovato l’esistenza di una specifica norma di legge che stabilisca la pubblicazione della determina della Giunta comunale, contenente informazioni riguardanti l’intenzione di avviare un procedimento disciplinare nei confronti di un dipendente. Peraltro, anche in presenza di una norma di legge che preveda la pubblicazione di atti e documenti della pubblica amministrazione (cfr. art. 124 del d.lgs. 18 agosto 2000, n. 267) – che in ogni caso deve essere attuata anche con riguardo all’arco temporale di pubblicazione da questa stabilito – devono essere, comunque, rispettati i principi di protezione dei dati, tra i quali il principio di “minimizzazione dei dati” (art. 5, par. 1, lett. c), del Regolamento; cfr. parte II, par. 3(a), delle Linee guida del Garante sopra citate).

Nel caso di specie la deliberazione n.3 del 7 gennaio 2019 della Giunta Comunale, contenente i dati personali identificativi del reclamante, nonché l’informazione di una richiesta di avvio di procedimento disciplinare, comprensiva di valutazioni sull’operato dello stesso nell’ambito dello svolgimento dell’attività lavorativa, è stata pubblicata in maniera non conforme al principio di “minimizzazione”. Pertanto, ove il Comune avesse voluto pubblicare la determina, che non aveva l’obbligo di pubblicare, ai sensi del d.lgs. n. 33/2013, avrebbe dovuto “disporre la pubblicazione nel proprio sito istituzionale di dati, informazioni e documenti […]  procedendo alla indicazione in forma anonima dei dati personali eventualmente presenti” (art. 7-bis, comma 3, del d.lgs. n. 33/2013). Nella delibera oggetto di pubblicazione non avrebbero dovuto essere, quindi, riportati dati identificativi dell’interessato quali il cognome e il nome o altri dati che avrebbero comunque potuto consentire l’identificazione dello stesso nel contesto di riferimento.

Inoltre si rappresenta che tale delibera è stata pubblicata oltre l’arco temporale previsto dalla disciplina di settore (cfr. art. 124, d.lgs. 18 agosto 2000, n. 267 concernente la pubblicità degli atti degli enti locali sull’albo pretorio, nonché art. 32, l. 18 giugno 2009, n. 69). In tale limitazione temporale, infatti, è ricompreso anche il periodo di pubblicazione della delibera nella sezione storica dell’Albo Pretorio rilevando, nel caso di specie, una diffusione ben oltre il termine dei 15 giorni previsto dalla normativa. circostanza che connota ulteriormente di illiceità la diffusione dei dati personali in essa contenuti. (cfr. Cass. civ., sez. II, ord. n. 18292 del 3 settembre 2020).

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati dell’interessato, avvenuto in violazione della disciplina in materia di trattamento dei dati personali, ha avuto inizio con la pubblicazione della delibera della giunta comunale n.3 del 7 gennaio 2019, nella piena vigenza delle disposizioni del Regolamento e del Codice, che dunque costituiscono le disposizioni applicabili al caso di specie (art. 1, comma 2, della l. 24 novembre 1981, n. 689).

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Comune, per aver diffuso dati personali relativi al reclamante, contenuti nella deliberazione della giunta comunale n.3 del 7 gennaio 2019, in assenza di idonei presupposti normativi, in violazione dell’ art. 6  del Regolamento e 2-ter, commi 1 e 3, del Codice, nonché dei principi di base del trattamento contenuti nell’art. 5, par. 1, lett. a) e c) del Regolamento.

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo e art. 166, comma 2, del Codice.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che la pubblicazione della delibera in questione sul sito web del Comune è cessata, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

In relazione ai predetti elementi, è stato considerato il periodo di tempo in cui i dati personali sono stati oggetto di diffusione; ciò anche alla luce delle indicazioni che, sin dal 2014, il Garante, ha fornito a tutti i soggetti pubblici nelle Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati, sopra citate.

Di contro, si è tenuto favorevolmente atto che il Comune ha tenuto una condotta particolarmente collaborativa con questa Autorità al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi, in particolare si è attivato prontamente per rimuovere i dati personali dagli atti amministrativi oggetto di pubblicazione. Non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento e, comunque, il danno arrecato risulta di lieve entità.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria, nella misura di euro 1.000,00 (mille) per la violazione degli artt. 5, 6, del Regolamento, nonché dell’art. 2-ter, del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Tenuto conto del lasso temporale durante il quale i predetti dati sono stati diffusi, si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito web del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecita la condotta tenuta dal Comune di Cogollo del Cengio, descritta nei termini di cui in motivazione, consistente nella violazione degli artt. 5, 6, del Regolamento, nonché dell’art. 2-ter del Codice, nei termini di cui in motivazione

ORDINA

al Comune di Cogollo del Cengio, in persona del legale rappresentante pro-tempore, con sede legale in Piazza della Liberta',1 - Cogollo del Cengio (VI), C.F. 84009900246, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 5, del Regolamento e 166, comma 2, del Codice, di pagare la somma di euro 1.000,00 (mille) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione;

INGIUNGE

al predetto Comune di pagare la somma di euro 1.000,00 (mille) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981. Al riguardo, si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro 30 giorni dalla data della notifica del presente provvedimento, ai sensi dell’art. 166, comma 8, del Codice (cfr. anche art. 10, comma 3, del d.lgs. n. 150 dell’1/9/2011);

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione del presente provvedimento sul sito web del Garante, ritenendo che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 24 giugno 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei