g-docweb-display Portlet

Provvedimento del 2 marzo 2023 [9874480]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9874480]

Provvedimento del 2 marzo 2023

Registro dei provvedimenti
n. 65 del 2 marzo 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27/4/2016, «relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE», “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO il d. lgs. 30/6/2003, n. 196 recante «Codice in materia di protezione dei dati personali» (di seguito “Codice”);

VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida in materia di trasparenza”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore l’avv. Guido Scorza;

PREMESSO

1. Introduzione

Questa Autorità ha ricevuto un reclamo, presentato dal sig. XX (di seguito “reclamante”), con il quale è stata lamentata una violazione della normativa in materia di protezione dei dati personali da parte del Comune di Palo del Colle.

Nello specifico, è stata contestata la diffusione di dati e informazioni personali riferibili al reclamante, contenuti nella delibera di Giunta n. XX del XX del predetto Comune, avente a oggetto: «XX», pubblicata sul sito web istituzionale.

Dalla documentazione allegata dal reclamante risulta che lo stesso si era già rivolto al Comune con nota del XX, protocollata al n. XX del XX, per chiedere la cancellazione dei dati, senza tuttavia ricevere alcun riscontro da parte dell’amministrazione.

Inoltre, dalla verifica preliminare effettuata da questo Dipartimento, è risultato che sul sito web istituzionale del Comune (http://...), nell’area denominata «XX», era ancora possibile visualizzare e scaricare liberamente la citata delibera di giunta n. XX. Quest’ultima riportava nell’oggetto e nel testo le iniziali (XX) del reclamante, con indicazione che lo stesso «XX», rendendolo in tal modo identificabile. Erano, inoltre, riportate altre informazioni personali e di contesto laddove era indicato che lo stesso «ha presentato ricorso dinanzi al Tribunale di – XX».

2. La normativa in materia di protezione dei dati personali

Ai sensi della disciplina in materia, «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)» e «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).

Al riguardo, con particolare riferimento al caso segnalato a questa Autorità, si ricorda che i soggetti pubblici, come il Comune, possono diffondere «dati personali» solo nei casi previsti dall’art. 2-ter del Codice, nel rispetto – in ogni caso – dei principi indicati nell’art. 5 del RGPD, fra cui quelli di «limitazione della finalità» nonché di «minimizzazione dei dati», secondo i quali i dati personali devono essere necessari e proporzionati, ossia «raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità», nonché «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (par. 1, lett. b e c).

Fin dal 2014, il Garante ha fornito specifiche indicazioni alle amministrazioni sulle cautele da adottare per la diffusione di dati personali online con il provvedimento generale n. 243 del 15/5/2014, recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (attualmente in corso di aggiornamento, ma ancora attuale nella parte sostanziale).

Nelle Linee guida sopra citate, è chiarito fra l’altro che (cfr. parte prima, par. 3):

- «la prassi seguita da alcune amministrazioni di sostituire il nome e cognome dell’interessato con le sole iniziali è di per sé insufficiente ad anonimizzare i dati personali contenuti negli atti e documenti pubblicati online. Inoltre, il rischio di identificare l’interessato è tanto più probabile quando, fra l’altro, accanto alle iniziali del nome e cognome permangono ulteriori informazioni di contesto che rendono comunque identificabile l’interessato (si pensi, ad esempio, alle informazioni relative alla residenza oppure quando si possiede un doppio nome e/o un doppio cognome)»;

- «In molti casi, infatti, in particolari ambiti (ad esempio, per campioni di popolazioni di ridotte dimensioni), la pubblicazione online anche solo di alcuni dati – come la data di nascita, il sesso, la residenza, il domicilio, il codice di avviamento postale, il luogo di lavoro, il numero di telefono, la complessiva vicenda oggetto di pubblicazione, etc.– è sufficiente a individuare univocamente la persona cui le stesse si riferiscono e, dunque, a rendere tale soggetto identificabile mediante il collegamento con altre informazioni che possono anche essere nella disponibilità di terzi o ricavabili da altre fonti»;

- «Per rendere effettivamente "anonimi" i dati pubblicati online occorre, quindi, oscurare del tutto il nominativo e le altre informazioni riferite all’interessato che ne possono consentire l’identificazione anche a posteriori».

In tale quadro, si evidenzia che il Comune, in qualità di titolare del trattamento dei dati personali, è tenuto a mettere in atto «fin dalla progettazione», ossia sia al momento di determinare i mezzi del trattamento, sia all’atto del trattamento stesso, «misure tecniche e organizzative adeguate, […] volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati», garantendo «che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento» (art. 25, parr. 1 e 2, RGPD).

Il RGPD richiede inoltre che, alla luce del principio di responsabilizzazione (accountability), il titolare del trattamento non solo deve rispettare, ma anche «essere in grado di dimostrare, che il trattamento è effettuato conformemente al […] regolamento [europeo]» (artt. 5, par. 2; 24).

3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato.

In base alle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX del XX, notificata al Comune di Palo del Colle, ha accertato che il Comune stesso – diffondendo online i dati e le informazioni personali prima descritti – ha effettuato un trattamento di dati personali non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD. Pertanto, con la medesima nota sono state notificate al predetto Comune le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD e invitando la predetta amministrazione a far pervenire al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentita da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

4. Memorie difensive e audizione.

Il Comune di Palo del Colle, con la nota prot. n. XX del XX, ha inviato al Garante i propri scritti difensivi in relazione alle violazioni notificate, evidenziando, fra l’altro che:

- «le pubblicazioni delle deliberazioni della Giunta o del Consiglio Comunale trovano la loro base giuridica nell’art. 124 comma 1, del D.lgs. 18 agosto 2000, n. 267 (TUEL) a norma del quale “Tutte le deliberazioni del Comune e della Provincia sono pubblicate mediante pubblicazione all’albo pretorio, nella sede dell’ente, per quindici giorni consecutivi, salvo specifiche disposizioni di legge”»;

- «A tal proposito, il Comune scrivente, sebbene abbia ritenuto di procedere legittimamente a pubblicare il suddetto procedimento in ossequio alla finalità di trasparenza dell’azione amministrativa, tenuto altresì conto del preminente interesse anche in merito al principio della massima trasparenza dell’utilizzo dei fondi pubblici e degli incarichi affidati dall’Ente, avendo ritenuto queste circostanze preminenti rispetto al diritto alla privacy dell’istante, tuttavia, ne riconosce, a posteriori, tenuto conto della ricostruzione effettuata dall’istante, la potenziale lesività del diritto alla riservatezza dei dati del reclamante»;

- «Pertanto, conformemente alle richieste del ricorrente, nonché in ossequio al relativo invito del Garante, l’Amministrazione Comunale di Palo del Colle ha provveduto alla rimozione completa dell’atto deliberativo della Giunta Comunale n. XX del XX contenente i dati personali (nominativo puntato) e giudiziari del reclamante, che, pertanto, non è più presente online sul sito web istituzionale (XX), dove permane solo un elenco degli atti con il solo oggetto»;

- «Quanto al ritardo con il quale è avvenuta la rimozione, [il]reclamante inviava l’e-mail di “esercizio diritti”, […] indirizzandola […] al protocollo centrale dell’Ente[. Ciò] ha comportato un ritardo nella gestione della richiesta di cancellazione dei dati personali del Sig. XX, in quanto la suddetta e-mail veniva indirizzata – erroneamente - ad un ufficio generale e non già direttamente al Responsabile del trattamento dei dati personali».

- «Si sottolinea che se è vero, da un lato, che sul sito istituzionale del Comune di Palo del Colle alla pagina: http://... è indicata la e-mail dell’indirizzo di posta elettronica: XX per l’esercizio dei diritti di cui agli artt.15-21 GDPR, dall’altro lato non può disconoscersi che nella stessa pagina è presente anche il link “Dati di contatto del Responsabile della Protezione dei Dati (RPD)”, cliccando sul quale è possibile conoscere gli indirizzi e-mail e pec del responsabile per la protezione dei dati personali, che avrebbero consentito una gestione immediata della situazione, stante anche la corretta individuazione, da parte del reclamante, del soggetto legittimato a gestire la segnalazione relativa alla richiesta di cancellazione dei dati personali»;

- «In merito all’identificabilità, il reclamante ha lamentato che, non rileva il fatto che egli sia stato identificato, “ma il fatto che sia identificabile (cioè che un soggetto terzo sia potenzialmente in grado di creare una correlazione, una deduzione fra i dati pubblicati e il soggetto, in modo da poterlo individuare). A parere del reclamante “XX”. Orbene, se è vero che quanto asserito dal ricorrente può essere teoricamente e logicamente corretto, tuttavia, dal punto di vista fattuale, appare opportuno evidenziare che, nel caso di specie, sembra alquanto improbabile che il Sig. XX potesse essere facilmente identificabile solo tramite le iniziali del nome e cognome e del ruolo ricoperto XX, e ciò per le seguenti considerazioni e circostanze. In primo luogo, si evidenzia che il Comune di Palo del Colle, contando una popolazione di circa 22 mila persone, non può ritenersi una realtà di piccolissime dimensioni, XX[.] Inoltre, deve tenersi presente che XX»;

- «Inoltre, non per ultimo, si ritiene di voler precisare che la riconducibilità, sia diretta che indiretta, delle iniziali del nominativo indicato XX, peraltro di un periodo di tempo così limitato, non sono informazioni accessibili al normale cittadino del comune stesso, poiché tali informazioni sono reperibili esclusivamente all’ufficio XX»;

- «Ne consegue che tali circostanze, XX, sebbene non la escludano totalmente, tuttavia, rendono davvero molto difficoltosa un’eventuale identificabilità del reclamante, del quale, ogni abitante di Palo del Colle dovrebbe ricordare perfettamente, non solo il nome ed il cognome, ma anche il ruolo ricoperto, XX».

Con nota prot. n. XX del XX il Comune ha, inoltre, presentato formale rinuncia all’audizione richiesta ai sensi dell’art. 166, comma 6, del Codice, ritenendo di non avere ulteriori elementi da fornire al Garante rispetto alle osservazioni contenute nelle memorie difensive già inviate.

5. Valutazioni del Garante

La questione oggetto del caso sottoposto all’attenzione del Garante riguarda la diffusione di dati e informazioni riferibili al reclamante contenuti nella delibera di Giunta del Comune di Palo del Colle n. XX del XX avente a oggetto: «XX.

In tale contesto, pur tenendo conto della volontà del Comune, titolare del trattamento, di non rendere identificabile il soggetto interessato sostituendo il nominativo con le iniziali del nome e cognome, contrariamente a quanto sostenuto dall’Ente nelle proprie memorie difensive, si rileva che le informazioni e i dati di contesto contenuti nella citata delibera pubblicata online – anche considerando le indicazione relative al periodo di lavoro svolto, alla qualifica professionale e alle vicende processuali riportate – sono idonee a identificare il soggetto interessato anche all’interno del luogo di lavoro.

L’amministrazione ha giustificato la propria condotta, rappresentando di aver pubblicato la citata delibera ai sensi dell’art. 124, comma 1, del d. lgs. n. 267 del 18/8/2000, ma riconoscendo «a posteriori, tenuto conto della ricostruzione effettuata dall’istante, la potenziale lesività del diritto alla riservatezza dei dati del reclamante», provvedendo in ogni caso a rimuovere i dati personali dal sito web istituzionale. In tale contesto, l’amministrazione ha inoltre chiesto di tenere in considerazione la circostanza di aver tardato nella rimozione dei dati del reclamante, in quanto l’originaria richiesta di cancellazione dei dati non era stata inviata al Responsabile della protezione dei dati del Comune, ma al protocollo generale dell’ente «comporta[ndo] un ritardo nella gestione della richiesta».

6. Esito dell’istruttoria relativa al reclamo presentato

Le circostanze evidenziate negli scritti difensivi esaminate nel loro complesso, anche se in parte meritevoli di considerazione ai fini della valutazione della condotta, non risultano sufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo alcuna delle ipotesi previste dall’art. 11 del Regolamento del Garante n. 1/2019.

Ciò in quanto – come indicato fin dal 2014 anche nelle Linee guida in materia di trasparenza di questa Autorità proprio in riferimento alle pubblicazioni nell’albo pretorio online ai sensi dell’art. 124 del d. lgs. n. 267/2000 (parte seconda, parr. 1 e 3.2) – la presenza di uno specifico regime di pubblicità non può comportare alcun automatismo rispetto alla diffusione online dai dati e informazioni personali. Anche in caso di un obbligo normativo che impone la pubblicazione dell’atto o del documento nel sito web istituzionale «è necessario selezionare i dati personali da inserire in tali atti e documenti, verificando, caso per caso, se ricorrono i presupposti per l’oscuramento di determinate informazioni».

Nella fattispecie in esame, le iniziali del reclamante erano idonee a identificarlo anche solo all’interno del luogo di lavoro o da conoscenti, amici e familiari, considerando che nella delibera di giunta n. XX, pubblicata online, era indicata anche la circostanza che trattavasi di un XX, il periodo di lavoro e le vicende processuali nei confronti dell’ente con le relative richieste. Del resto, «per identificazione non si intende solo la possibilità di recuperare il nome e/o l’indirizzo di una persona, ma anche la potenziale identificabilità mediante individuazione, correlabilità e deduzione» (Gruppo di Lavoro Art. 29, Parere 05/2014 sulle tecniche di anonimizzazione, WP216; sulla identificabilità delle iniziali cfr. anche provv. n. 68 del 25/2/2021, doc. web n. 9567429, cit.; provv. 2/7/2020, n. 119, doc. web n. 9440042, cit.; n. 118 del 2/7/2020, doc. web n. 9440025).

In tale contesto, il Comune titolare del trattamento ha, quindi, errato nel non oscurare (o non omissare) in maniera integrale il nominativo del reclamante (come indicato anche nella parte prima, par. 3, delle Linee guida del Garante nella parte citata supra al par. 2); sostituendo, invece, il nominativo con le iniziali del nome e cognome, credendo che il reclamante, in tal modo, non fosse identificabile (come sostenuto anche nelle memorie difensive dell’ente).

Il Comune non ha, pertanto, adottato delle adeguate «misure tecniche» idonee «ad attuare in modo efficace i principi di protezione dei dati» fin dalla progettazione e per garantire che siano trattati per «impostazione predefinita» solo «i dati personali necessari per ogni specifica finalità del trattamento» (art. 25, parr. 1 e 2, del RGPD).

La mancanza dell’adozione delle predette adeguate misure tecniche (capaci cioè di non rendere identificabile il soggetto interessato) ha, di conseguenza, comportato la diffusione di dati personali del reclamante sproporzionati ed eccedenti rispetto alla finalità del trattamento, in quanto – conformemente ai precedenti orientamenti di questa Autorità (provvedimenti nn. 212 del 9/6/2022, doc. web n. 9789037; 213 del 9/6/2022, doc. web n. 9789488; 149 del 28/4/2022, doc. web n. 9777127) – in una delibera di giunta (come quella oggetto del reclamo), volta al XX e alla costituzione in giudizio dell’ente in una causa di lavoro, pubblicata sul sito web istituzionale, risulta «del tutto irrilevante, e dunque sproporzionato, diffondere su Internet anche i[l] nominativ[o] dell[a] part[e] in causa […]», essendo sufficiente, nel rispetto del rispetto del principio di adeguata motivazione, indicare gli elementi essenziali della vicenda o «anche solo il numero di ruolo generale della causa».

In tale quadro, si confermano le valutazioni preliminari dell’Ufficio con la nota prot. n. XX del XX e si rileva l’illiceità del trattamento di dati personali effettuato dal Comune di Palo del Colle, in quanto sono stati diffusi i dati personali del reclamante sopra descritti:

a) senza adottare «misure tecniche e organizzative» adeguate «ad attuare in modo efficace i principi di protezione dei dati» fin dalla progettazione e per garantire che siano trattati per «impostazione predefinita» solo «i dati personali necessari per ogni specifica finalità del trattamento», in violazione dell’art. 25, parr. 1 e 2, del RGPD;

b) senza rispettare i principi di «limitazione della finalità» e di «minimizzazione», secondo i quali i dati personali devono essere necessari e proporzionati, in violazione dell’art. 5, par. 1, lett. b) e c), del RGPD;

Si ritiene, tuttavia, di dover in ogni caso considerare la particolarità del caso in esame, che presenta una serie di circostanze meritevoli di un’attenta valutazione. In particolare, il fatto che il Comune non ha diffuso il nominativo del reclamante ma solo le relative iniziali, benché idonee a indentificalo in maniera indiretta. La condotta tenuta dal titolare del trattamento risulta essere di natura colposa e ha avuto a oggetto dati non appartenenti a categorie particolari né a condanne penali o reati (artt. 9 e 10, del RGPD) riferiti a un solo soggetto interessato. Si tiene, inoltre, conto del fatto che il titolare del trattamento, a seguito della richiesta dell’Ufficio nell’ambito dell’attività istruttoria, è intervenuto tempestivamente, collaborando con l’Autorità anche nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alla violazione. Non risultano, in ogni caso, eventuali precedenti violazioni del RGPD pertinenti commesse dall’ente.

Alla luce di tutto quanto sopra rappresentato, anziché infliggere una sanzione pecuniaria, si ritiene sufficiente ammonire il titolare del trattamento per la violazione delle disposizioni sopraindicate, ai sensi dell’art. 58, par. 2, lett. b), del RGPD (cfr. anche considerando 148 del RGPD).

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità del trattamento effettuato dal Comune di Palo del Colle, in persona del legale rappresentante pro-tempore, con sede legale in Via Umberto I, 56 - 70027 Palo del Colle (BA) – C.F. 80021630720 – nei termini indicati in motivazione ai sensi degli artt. 58, par. 2, lett. b), del RGPD

AMMONISCE

il Comune di Palo del Colle per aver violato gli artt. 5, par. 1, lett. b) e c); 25, parr. 1 e 2, del RGPD.

DISPONE

l’annotazione nel registro interno dell’Autorità delle violazioni e delle misure adottate ai sensi dell’art. 58, par. 2, del RGPD con il presente provvedimento, come previsto dall’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 2 marzo 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei