g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Regione Puglia - 8 luglio 2021 [9693386]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9693386]

Ordinanza ingiunzione nei confronti di Regione Puglia - 8 luglio 2021

Registro dei provvedimenti
n. 269 dell'8 luglio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO il d. lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida in materia di trasparenza”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Introduzione

Questa Autorità ha ricevuto un reclamo, presentato dal sig. XX, con il quale è stata contestata una violazione della normativa in materia di protezione dei dati personali da parte della Regione Puglia.

Nello specifico, come emerso dalla verifica preliminare effettuata dall’Ufficio, alle url:

1. http://... era possibile visualizzare e scaricare liberamente la Deliberazione della Giunta Regionale n. XX del XX, avente a oggetto «XX», contenuta nel Bollettino Ufficiale della Regione Puglia n. XX del XX, pag. XX;

2. http://... era possibile visualizzare e scaricare liberamente la Determinazione dirigenziale dell’avvocatura Regionale-Settore Amministrativo n. XX del XX avente a oggetto «XX».

I predetti documenti pubblicati online riportavano in chiaro, nel testo e nell’oggetto, i dati e le informazioni personali del reclamante, quali il nominativo e la relativa condizione di disabilità.

Ciò in quanto in essi si faceva riferimento – senza adottare alcuna misura volta a oscurare e/o minimizzare la diffusione dei dati – a un giudizio relativo a una precedente pubblicazione dei medesimi dati personali del reclamante contenuti in una graduatoria regionale pubblicata sul sito web istituzionale, il cui trattamento era già stato oggetto di una declaratoria di illegittimità per violazione della normativa in materia di protezione dei dati personali con il provvedimento di divieto e prescrizione di questa Autorità n. 8 dell’8/1/2015 (in www.gpdp.it, doc. web n. 3946725) nei confronti proprio della Regione Puglia.

2. Normativa applicabile.

Ai sensi della disciplina in materia, «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)» e «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).

In tale quadro, si rappresenta che, è vietata la diffusione di dati relativi alla salute (art. 2-septies, comma 8, del Codice; cfr. anche art. 9, parr. 1, 2 e 4, del RGPD), ossia di «dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute» (art. 4, par. 1, n. 15; considerando n. 35, del RGPD). Il trattamento dei dati personali deve, inoltre, avvenire nel rispetto dei principi indicati dall’art. 5 del RGPD, fra cui quelli di «liceità, correttezza e trasparenza» nonché di «minimizzazione dei dati», secondo i quali i dati personali devono essere – rispettivamente – «trattati in modo lecito, corretto e trasparente nei confronti dell’interessato» nonché «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (par. 1, lett. a e c).

3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato.

Dalle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX del XX ha accertato che la Regione Puglia, con la pubblicazione integrale sul sito web istituzionale della Deliberazione della Giunta Regionale n. XX del XX e della Determinazione dirigenziale dell’avvocatura Regionale-Settore Amministrativo n. XX del XX, ha causato la diffusione di dati e informazioni personali, anche relativi allo stato di disabilità del reclamante, effettuando un trattamento di dati personali non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD. Pertanto, con la medesima nota sono state notificate alla predetta Regione le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del RGPD e invitando il predetto ente a far pervenire al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentito da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

4. Memorie difensive.

Con la nota prot. n. XX del XX la Regione Puglia ha inviato al Garante i propri scritti difensivi in relazione alle violazioni notificate.

Al riguardo, si ricorda che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, intitolato «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante».

Nello specifico, l’ente ha evidenziato, fra l’altro che:

- «sussiste […] uno specifico obbligo di pubblicazione degli atti di liquidazione delle spese legali: “il regime di pubblicità applicabile alla tipologia di provvedimenti cui appartiene la determinazione dirigenziale in contestazione - avente ad oggetto l’impegno e la liquidazione di somme spettanti a titolo di competenze professionali in favore di un avvocato esterno che, secondo la prassi dell’epoca (ormai superata), era stato precedentemente officiato dalla Regione in assenza sia di qualsiasi pattuizione del corrispettivo sia del preventivo impegno contabile della spesa - è quello della pubblicazione all’Albo per finalità di pubblicità legale […]»;

- «Tale pubblicazione – prevista dall’art. 16, comma 3 del Decreto del Presidente della Giunta regionale n. 161 del 22 febbraio 2008 (“Organizzazione della Presidenza e della Giunta della Regione Puglia”) – si effettua a partire dal 1 luglio 2011 in modalità telematica (Albo pretorio telematico) ai sensi dell’art. 32 della legge 28 giugno 2009, n. 69, secondo le modalità attuative definite dalle disposizioni regionali di riferimento»;

- «Rispetto al mancato oscuramento dei dati personali presenti nell’atto, [si] ammette la violazione, riconducibile ad errore materiale. [Si] Evidenzia, al tempo stesso, il complesso di norme regionali, deliberazioni giuntali, determinazioni dirigenziali ed atti amministrativi a contenuto organizzativo e di indirizzo adottati dalla Regione Puglia già ben prima dell’epoca dei fatti, in conformità alla normativa statale e comunitaria vigente ed alle Linee guida in materia di protezione dei dati personali messe a punto nel 2011 dall’Autorità Garante per supportare i soggetti pubblici nell’adempimento dei nuovi obblighi di pubblicazione e diffusione sul web di atti e documenti (applicabili alla fattispecie ratione temporis). In tale sede sono richiamati, in particolare: Regolamento regionale n. 5 del 25/5/2006 - “Regolamento per il trattamento dei dati sensibili e giudiziari ai sensi degli artt. 20 e 21 del Decreto legislativo 196/03” […]; Determinazione dirigenziale n. 11 del 6/5/2011 - “Trattamento dei dati personali in atti e documenti amministrativi per finalità di pubblicazione e diffusione sul web - Adozione “Prime Linee di indirizzo”, “Manuale Operativo Interno”, “Modello determinazione dirigenziale-tipo” […]; Determinazione dirigenziale n. 16 del 9/6/2011 - “Istituzione Albo telematico della Regione Puglia - Pubblicazione delle Determinazioni dirigenziali” […]»;

- «Con riferimento alla pubblicazione on-line sul Bollettino Ufficiale della Regione Puglia della DGR n. XXXX, [si] evidenzia che l’“ufficio della Sezione chiamato ad istruire la proposta di deliberazione della Giunta Regionale procedette all’epoca alla redazione dell’atto integrale, con il nome e cognome per esteso del beneficiario della liquidazione per la quale si proponeva la relativa variazione di bilancio e conseguente autorizzazione, perché in assoluta buona fede oltre alla citazione nominativa dell’interessato non venivano forniti altri elementi di identificazione univoca del soggetto, quali data e luogo di nascita o codice fiscale, ecc. (...) e perché per la completezza del documento occorreva ricostruire la vicenda del contenzioso e degli atti adottati che avevano portato al riconoscimento del contributo economico (...) lo stesso provvedimento dalla Sezione Inclusione Sociale attiva era destinato all’esame per la regolarità contabile della Sezione Bilancio e Ragioneria”»;

- «Anche in tal caso può ravvisarsi un errore materiale […], imputabile in larga misura alla molteplicità dei passaggi degli atti deliberativi di Giunta con visto di regolarità contabile e ad una scarsa formalizzazione - all’epoca dei fatti - delle procedure»;

- «L’Amministrazione regionale ha pertanto provveduto all’adozione di un quadro regolatorio finalizzato a strutturare l’iter degli atti deliberativi e le procedure volte a garantirne la legittimità nonché la riservatezza dei dati eventualmente trattati: in particolare, con la D.G.R. n. 2100/2009 recante approvazione delle “Linee Guida per la predisposizione delle proposte di deliberazione della Giunta Regionale” [...] si è inteso fornire regole omogenee per la redazione degli schemi di provvedimenti da sottoporre all’esame della Giunta Regionale, poi integrate con successiva D.G.R. n. 382/2020 per la gestione delle Deliberazioni di Giunta in modalità digitale. Fra le regole fissate da tali Linee guida c’è quella delle “Garanzie di riservatezza” di cui al relativo art. 8 che, in applicazione del principio di “minimizzazione” innanzi richiamato, ai fini della tutela dei dati personali all’interno degli atti deliberativi di Giunta Regionale prevede alternativamente: 1) la predisposizione, accanto al testo integrale dell’atto e di eventuali allegati - da conservare agli atti della Struttura ed archiviare in Diogene - di una copia dell’atto e di eventuali allegati con “omissis” per la pubblicazione in tutte le sedi previste (Albo Pretorio; Amministrazione Trasparente; BURP; ecc.); 2) la predisposizione di un unico atto, recante in apposito Allegato sottratto alla pubblicazione tutti i dati e le informazioni non divulgabili»;

- «la contestata violazione, relativa a dati personali comuni (nome e cognome) seppure connessi ad un’informazione da cui si desume indirettamente l’esistenza di una condizione di disabilità dell’interessato, ha riguardato un solo soggetto interessato, per una vicenda relativa ad epoca antecedente all’applicazione del GDPR. Tale dato obiettivo depone nel senso, verosimilmente, di una modesta concretizzazione del rischio di divulgazione dei dati, al di fuori dello stesso soggetto interessato che poteva consultare i documenti inserendo come chiave di ricerca il proprio nominativo. Con riferimento alla durata della violazione, si riferisce che la stessa si è conclusa per entrambi gli atti in data XX, con la rimozione e l’oscuramento tempestivo dei dati personali contenuti nei provvedimenti interessati (vedi punto successivo su art. 83, par 2, lett. c) ed f))».

In data XX si è, inoltre, svolta, mediante videoconferenza a distanza, l’audizione richiesta dalla Regione Puglia ai sensi dell’art. 166, comma 6, del Codice in occasione della quale, a integrazione di quanto già riportato nelle memorie difensive, è stato rappresentato fra l’altro che:

- «[la condotta aveva a oggetto] dati comuni pubblicati in assenza di dolo. Si ribadisce l’intervento tempestivo della Regione, effettuato senza ritardo nella medesima giornata di ricevimento della notifica di violazione da parte del Garante (XX), ricordando altresì le numerose misure tecniche e organizzative adottate nel tempo dalla Regione per garantire la compliance del Regolamento (UE) 2016/679. Ciò al fine di evidenziare l’impegno della Regione in materia di protezione dei dati personali»;

- «la Regione Puglia non aveva avuto cognizione della violazione da parte del reclamante, che non si è rivolto preventivamente all’ente, ma direttamente al Garante e dopo diversi anni dalla violazione. La Regione è comunque intervenuta con la massima tempestività (entro 8 ore circa dalla notifica di violazione) nella risoluzione della violazione, apportando gli opportuni oscuramenti ai dati personali contenuti nei provvedimenti oggetto di notifica. Ove il reclamante avesse auspicabilmente interloquito con l’Amministrazione regionale all’epoca dei fatti, il rilievo della violazione in discorso sarebbe stato, dal punto di vista temporale, estremamente esiguo»;

- «occorre tenere presente la complessità della struttura amministrativa regionale, non solo dal punto di vista del numero di dipendenti e della mole di atti prodotti, ma anche dei settori/materie di competenza, e dall’ampiezza ed eterogeneità della relativa normativa di riferimento, quale base giuridica dei trattamenti di dati personali effettuati nel contesto regionale»;

- «la Regione ha puntato negli ultimi anni al progressivo sviluppo di una cultura diffusa in materia di privacy all’interno dell’Amministrazione, in particolare attraverso l’elaborazione di direttive e linee guida rivolte alle Strutture regionali, la predisposizione di pareri su questioni specifiche e l’organizzazione di specifici percorsi formativi diretti al personale in ordine agli aspetti rilevanti in materia di protezione dei dati personali […].  Con specifico riferimento alla tematica della pubblicazione on-line di atti amministrativi, oltre ad impartire direttive e raccomandazioni specifiche alle Strutture regionali (cfr. Nota del Segretario Generale della Presidenza e DPO regionale del XX – Doc. n. 6 allegato agli scritti difensivi trasmessi con nota prot. XX del XX), entro il presente mese di giugno è stato programmato uno specifico evento formativo in ordine ai rapporti tra trasparenza e pubblicità legale, tramite pubblicazioni online, e protezione dei dati personali, con particolare riferimento agli atti amministrativi regionali pubblicati sul sito web istituzionale (cfr.  nota prot. XX del XX1 - Doc. N. 4 allegato alla ns. mail di conferma richiesta audizione del XX). È stata, inoltre, effettuata un’attività di Audit a campione rivolta alle strutture interessate per verificare lo stato di attuazione delle direttive impartite»;

- «Quanto alla diffusione dei dati del reclamante, si ricorda che i precedenti del Garante riguardano il periodo del 2016 cui è seguito nel 2018 l’applicazione del Regolamento (UE) 2016/679 a fronte del quale la Regione ha già messo in atto ulteriori specifiche misure organizzative che hanno risolto gli inconvenienti realizzatisi nella medesima tipologia di procedimento, come dimostrato dalla documentazione già inviata al Garante e acquista agli atti del procedimento».

- «eventuali precedenti violazioni riguardano disposizioni vigenti prima dell’applicazione del Regolamento (UE) 2016/679 le cui disposizioni sono state oggetto della contestazione del Garante. Così pure, in relazione alla pubblicazione dei provvedimenti, del XX e del XX, possono trovare applicazione, ai fini sanzionatori, solo le disposizioni di cui al d.lgs. n. 196/2003 nella versione all’epoca vigente. Per quanto, in particolare, concerne il provvedimento del 2016, come noto, ciò che difetta nell’atto entrato in vigore ma non ancora applicabile, è infatti la capacità di esigerne il rispetto per il tramite dello strumento coercitivo della sanzione. Si ritiene, peraltro, non configurabile alcuna recidiva da parte dell’ente atteso che, come rilevato da consolidata giurisprudenza ordinaria e amministrativa, l’art. 8-bis della l. n. 689/1981 non trova applicazione se le violazioni amministrative successive alla prima sono commesse in tempi ravvicinati e riconducibili ad un’unica programmazione unitaria che, come nel caso di specie, è rinvenibile nel poco tempo a disposizione delle strutture per far circolare i provvedimenti sanzionatori adottati dal Garante. Infatti, le tipologie di atti, procedimenti e strutture coinvolte sono correlate, ancorché diverse, e l’arco temporale ristretto intercorrente fra le condotte poste in essere, ha determinato un’insufficiente comunicazione fra le distinte strutture della Regione».

5. Esito dell’istruttoria relativa al reclamo presentato

Nello specifico caso sottoposto all’esame del Garante, oggetto di lamentela da parte del reclamante risulta essere la diffusione dei propri dati personali, fra cui anche dati sulla salute legati alla propria condizione di disabilità, da parte della Regione Puglia, contenuti nella Deliberazione della Giunta Regionale n. XX del XX e nella Determinazione dirigenziale dell’avvocatura Regionale-Settore Amministrativo n. XX del XX – prima citate – pubblicate online.

Nello specifico, nei predetti atti si faceva riferimento – senza adottare alcuna misura volta a oscurare e/o minimizzare la diffusione dei dati – a un giudizio relativo a una precedente pubblicazione dei medesimi dati personali del reclamante contenuti in una graduatoria regionale pubblicata sul sito web istituzionale, il cui trattamento è già stato oggetto di una declaratoria di illegittimità per violazione della normativa in materia di protezione dei dati personali con il provvedimento di divieto e prescrizione del Garante n. 8 dell’8/1/2015 (in www.gpdp.it, doc. web n. 3946725) nei confronti proprio della Regione Puglia.

La Regione Puglia sia nelle memorie difensive che in sede di audizione ha confermato l’avvenuta pubblicazione e diffusione online dei dati personali del reclamante, giustificandola richiamando l’obbligo di pubblicazione previsto per i citati atti e sostenendo che oggetto di diffusione erano solo dati comuni (sebbene ammettendo la connessa presenza di «informazion[i] da cui si desume indirettamente l’esistenza di una condizione di disabilità dell’interessato»). L’ente attribuisce in ogni caso il mancato oscuramento dei dati personali del reclamante a un mero errore materiale, ribadendo di aver provvedendo tempestivamente alla rimozione dei dati personali dal sito web appena ricevuta la comunicazione del Garante («entro 8 ore circa dalla notifica di violazione»).

Al riguardo, tuttavia, non sono accoglibili le eccezioni sollevate dalla Regione laddove si sostiene che oggetto di diffusione siano solo dati comuni e che sussisterebbe «uno specifico obbligo di pubblicazione degli atti» oggetto di contestazione.

Il Garante, nelle Linee guida in materia di trasparenza ha infatti evidenziato, fin dal 2014, che gli enti pubblici «prima di mettere a disposizione sui propri siti web istituzionali atti e documenti amministrativi (in forma integrale o per estratto, ivi compresi gli allegati) contenenti dati personali, [devono] verific[are] se la normativa di settore preveda espressamente tale obbligo […]. Laddove [poi] l’amministrazione riscontri l’esistenza di un obbligo normativo che impone la pubblicazione dell’atto o del documento nel proprio sito web istituzionale è necessario selezionare i dati personali da inserire in tali atti e documenti, verificando, caso per caso, se ricorrono i presupposti per l’oscuramento di determinate informazioni» (parte seconda, par. 1).

Questo implica che – fermo restando la discrezionalità dell’ente in ordine alla corretta motivazione del provvedimento amministrativo – prima della pubblicazione sul sito web istituzionale, l’amministrazione avrebbe dovuto provvedere quanto meno all’oscuramento dei dati personali del soggetto interessato, considerando l’idoneità delle informazioni contenute negli atti oggetto di diffusione a rivelare il relativo stato di salute e di disabilità.

Ciò anche tenendo conto che – come evidenziato da questa Autorità in più occasioni – dato idoneo a rivelare lo stato di salute non è solo l’indicazione della patologia, ma qualsiasi informazione «da cui si possa desumere, anche indirettamente, lo stato di malattia o l’esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici» (cfr. Linee guida in materia di trasparenza, cit., parte prima, par. 2 e parte seconda, par. 1; nonché provvedimenti ivi citati in nota n. 5).

Per tali motivi, gli elementi e le dettagliate osservazioni contenute nelle memorie difensive e nel verbale di audizione, seppure meritevoli di considerazione ai fini della valutazione della condotta, non consentono tuttavia di superare i rilievi notificati dall’Ufficio con la nota prot. n. XX del XX e non risultano sufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro nessuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019. Ciò anche tenendo conto che sin dal 2014 l’Autorità, nelle Linee guida in materia di trasparenza, ha fornito a tutti i soggetti pubblici specifiche indicazioni sulle modalità per contemperare gli obblighi di trasparenza e pubblicità dell’azione amministrativa con il diritto alla protezione dei dati personali degli interessati, anche con riferimento al divieto di diffusione di dati idonei a rivelare lo stato di salute (cfr. parte prima, par. 2; parte seconda, par. 1; nonché provvedimenti ciati in nota n. 5).

In tale quadro, si confermano le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dalla Regione Puglia, in quanto la pubblicazione online del testo integrale della Deliberazione della Giunta Regionale n. XX del XX e della Determinazione dirigenziale dell’avvocatura Regionale-Settore Amministrativo n. XX del XX, ha causato nuovamente una diffusione dei dati e delle informazioni personali del reclamante, compreso il relativo stato di disabilità prima descritti, già oggetto di un precedente provvedimento di divieto e prescrizione del Garante (provv. n. 8/2015). Tale condotta non è conforme alla disciplina rilevante in materia di protezione dei dati personali, in quanto la diffusione sul sito web istituzionale dei dati sulla salute del reclamante è avvenuta in violazione del divieto di diffusione di dati sulla salute previsto dall’art. 2-septies, comma 8, del Codice e dell’art. 9, parr. 1, 2 e 4, del RGPD, nonché in violazione del principio di «minimizzazione» dei dati, considerando che gli stessi non risultano essere stati «limitati a quanto necessario rispetto alle finalità per le quali sono trattati», di cui all’art. 5, par. 1, lett. c), del RGPD;

Tenuto conto, comunque, che la condotta ha esaurito i suoi effetti, in quanto il titolare del trattamento ha provveduto a rimuovere dal sito web istituzionale i dati personali del reclamante, fermo restando quanto si dirà sull’applicazione della sanzione amministrativa pecuniaria, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del RGPD.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria (artt. 58, par. 2, lett. i; 83 RGPD)

La Regione Puglia risulta aver violato gli artt. 5, par. 1, lett. c); 9, parr. 1, 2 e 4, del RGPD, nonché dell’art. 2-septies, comma 8, del Codice.

Al riguardo, l’art. 83, par. 3, del RGPD, prevede che «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave».

Nel caso di specie, la violazione delle disposizioni citate è soggetta alla stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del RGPD, che si applica pertanto al caso di specie.

Al riguardo, non è possibile accogliere l’eccezione formulata dalla Regione per la quale «in relazione alla pubblicazione dei provvedimenti, del XX e del XX, possono trovare applicazione, ai fini sanzionatori, solo le disposizioni di cui al d.lgs. n. 196/2003 nella versione all’epoca vigente […]». Ciò, in quanto occorre altresì tenere conto che, seppure i documenti oggetto del reclamo pubblicati online risalgono effettivamente a marzo XX e novembre XX, per la determinazione della norma applicabile, sotto il profilo temporale, deve essere richiamato in particolare il principio di legalità di cui all’art. 1, comma 2, della l. n. 689/1981 che sancisce come «Le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in esse considerati». Ciò determina l’obbligo di prendere in considerazione le disposizioni vigenti al momento della commessa violazione, che nel caso in esame – data la natura permanente dell’illecito contestato – deve essere individuato all’atto di cessazione della condotta illecita, verificatasi successivamente alla data del 25/5/2018 in cui il RGPD è divenuto applicabile. Dagli atti dell’istruttoria è, infatti, emerso che l’illecita diffusione online si è protratta – secondo quanto riportato nelle memorie difensive della Regione – fino a marzo XX.

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD nonché dell’art. 166 del Codice, ha il potere correttivo di «infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso». In tale quadro, «il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice» (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del RGPD.

In tal senso, va considerato che la rilevata condotta tenuta in violazione della disciplina in materia di protezione dei dati personali ha avuto a oggetto la diffusione di dati relativi alla salute appartenenti, quindi, a categorie particolari di dati personali di cui all’art. 9 del RGPD, riferiti a un solo soggetto interessato e si è protratta, per la Deliberazione G:R. n. XXXX, per più di quattro anni e, per la Determinazione dirigenziale dell’avvocatura Regionale-Settore Amministrativo n. XX, per più di sette anni. Si dà comunque atto che la Regione «non aveva avuto cognizione della violazione da parte del reclamante, che non si è rivolto preventivamente all’ente, ma direttamente al Garante e dopo diversi anni dalla violazione» e che la stessa «è comunque intervenuta con la massima tempestività (entro 8 ore circa dalla notifica di violazione) nella risoluzione della violazione», collaborando con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alla violazione – il cui carattere è di natura colposa e frutto di un errore involontario – attenuandone i possibili effetti negativi. Nel riscontro al Garante sono state, inoltre, descritte diverse misure tecniche e organizzative messe in atto dall’ente ai sensi degli artt. 25-32 del RGPD.

Quando alla reiterazione del comportamento, pur accogliendo l’eccezione sollevata dalla Regione in ordine all’art. 83, par. 2, lett. e), del RGPD, per la quale «precedenti violazioni [dell’ente] riguardano disposizioni vigenti prima dell’applicazione del Regolamento (UE) 2016/679 le cui disposizioni sono state oggetto della contestazione del Garante» e che «le tipologie di atti, procedimenti e strutture coinvolte sono correlate, ancorché diverse, e l’arco temporale ristretto intercorrente fra le condotte poste in essere, ha determinato un’insufficiente comunicazione fra le distinte strutture della Regione», si ritiene di dover tenere in ogni caso conto della circostanza che il trattamento riguardante la diffusione dei dati sulla disabilità del reclamante era già stato oggetto di una precedente declaratoria di illegittimità nei confronti proprio della Regione Puglia per violazione della normativa in materia di protezione dei dati personali di questa Autorità (cfr. provv. n. 8 dell’8/1/2015, doc. web n. 3946725) e che la Regione è stata già sanzionata in passato dal Garante, sempre per illecita diffusione di dati personali online anche se di diversa specie (cfr. provv. n. 124 del 29/5/2019, doc. web n. 9163335).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, parr. 2 e 3, del RGPD l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, del RGPD, nella misura di euro 30.000,00 (trentamila) per la violazione degli artt. 5, par. 1, lett. c); 9, parr. 1, 2 e 4, del RGPD, nonché dell’art. 2-septies, comma 8, del Codice, quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo RGPD.

In relazione alle specifiche circostanze del presente caso, relative all’illecita diffusione di dati sulla salute sul web, si ritiene altresì che debba essere applicata la sanzione accessoria della pubblicazione del presente provvedimento sul sito Internet del Garante, prevista dall’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità del trattamento effettuato dalla Regione Puglia nei termini indicati in motivazione ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD, nonché 166 del Codice

ORDINA

alla Regione Puglia, in persona del legale rappresentante pro-tempore, con sede legale Lungomare Nazario Sauro, 33 - 70126 Bari (BA) – C.F. 80017210727 di pagare la somma di euro 30.000,00 (trentamila) a titolo di sanzione amministrativa pecuniaria per le violazioni di cui in motivazione;

INGIUNGE

alla medesima Regione di pagare la somma di euro 30.000,00 (trentamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.

Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1/9/2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice).

DISPONE

- la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019;

- l’annotazione nel registro interno dell’Autorità ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 8 luglio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei