[doc. web n. 9916798]

Provvedimento del 1° giugno 2023

Registro dei provvedimenti
n. 223 del 1° giugno 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Introduzione.

Con reclamo presentato ai sensi dell’art. 77 del Regolamento, la Sig.ra XX, ex dipendente del Comune di Napoli (di seguito, il “Comune”), ha lamentato la circostanza che, successivamente alla cessazione del servizio, il Comune ha inviato con una stessa email, indirizza a lei ed a due suoi ex colleghi, le loro schede di valutazione relative all’ultimo anno di servizio, unitamente alla graduatoria con il punteggio ottenuto, consentendo, in tal modo, a tutti i destinatari della stessa di venire a conoscenza dei rispettivi dati personali, inclusi quelli contenuti nei documenti in questione.

2. L’attività istruttoria.

In riscontro a una richiesta d’informazioni dell’Autorità (prot. n. XX del XX), il Comune, con nota prot. n. XX del XX, ha dichiarato, in particolare, che:

“in data XX, alle ore XX, dall’indirizzo di posta elettronica del Servizio (programmazione.culturale@comune.napoli.it) risultava inviata e-mail all’indirizzo di posta elettronica [personale della reclamante] […], atteso che ormai la reclamante risultava cessata dal servizio […], e ad altri due indirizzi di posta elettronica [relativi ad altri due ex dipendenti]. Con detta e-mail si inviava la scheda di valutazione delle performance”;

“nel far ciò è stato commesso un involontario errore accorpando le schede di tre soggetti nella stessa mail”.

Con nota del XX (prot. n. XX), l’Ufficio, sulla base degli elementi acquisiti, delle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato al Comune, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto le presunte violazioni degli artt. 5, par. 1, lett. a), e 6 del Regolamento, nonché 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, vigente al tempo dei fatti oggetto di reclamo), invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).

Con nota del XX (prot. n. XX), il Comune ha presentato una memoria difensiva, dichiarando, in particolare, che:

“con delibera di Giunta Comunale n.XX del XX l’Ente ha assunto iniziative volte a ridurre il rischio di violazione dei dati personali, adottando specifiche Linee Guida ai fini dell’adeguamento al Regolamento […] e […] costantemente i Responsabili del trattamento dati di questa Amministrazione sono sensibilizzati all’osservanza delle norme vigenti in materia”;

“la violazione contestata relativa alla comunicazione di esito di valutazione delle performance si è verificata quando la reclamante era già cessata dal servizio e nei confronti di soli altri 2 dipendenti, anch’essi già cessati dal servizio; pertanto la comunicazione di tali dati personali relativi alla performance professionale della reclamante appare decontestualizzata rispetto alle finalità del trattamento in questione”;

“la consegna della scheda di valutazione alla reclamante non è stata fatta di persona stante il breve lasso di tempo intercorso fra la richiesta del Servizio Risorse Umane, l’inizio del periodo di ferie e per il fatto che l’ufficio lavorava […] con ridottissima presenza in sede. Si è quindi optato per l’invio delle schede ai dipendenti cessati dal servizio […] tramite posta elettronica. Nel fare ciò è stato commesso un involontario errore accorpando le schede di tre soggetti nella stessa mail”;

“a tanto devesi aggiungere che alla data del XX la dotazione organica del Servizio era di numero 4 unità di cui presenti in sede 1 unità oltre alla dirigente pro-tempore […] anche per esigenze legate alla nota pandemia da covid-19”;

“i 2 soli [ex] dipendenti venuti a conoscenza dei dati personali seppure soggetti non autorizzati sono tenuti all’obbligo di riservatezza”.

3. Esito dell’attività istruttoria.

La disciplina di protezione dei dati personali prevede che i soggetti pubblici, nell’ambito del contesto lavorativo, possono trattare i dati personali degli interessati, anche relativi a categorie particolari, se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti dalla legge o dal diritto dell’Unione o degli Stati membri (artt. 6, par. 1, lett. c), 9, par. 2, lett. b) e 4 e 88 del Regolamento). Il trattamento è, inoltre, lecito quando sia “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, parr. 1, lett. e), 2 e 3, e art. 9, par. 2, lett. g), del Regolamento; artt. 2-ter e 2-sexies del Codice).

La normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del […] regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento). Al riguardo, si evidenzia che l’operazione di comunicazione di dati personali a terzi, da parte di soggetti pubblici, è ammessa solo quando prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento (v. art. 2-ter, commi 1 e 3, del Codice, nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, vigente al tempo dei fatti oggetto di reclamo).

Il titolare del trattamento è tenuto, in ogni caso, a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione dei dati”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c), del Regolamento).

In tale quadro, si osserva che, come emerso all’esito dell’istruttoria relativa al reclamo, il Comune, in data XX, ha inviato con una stessa email, indirizza alla reclamante e a due suoi ex colleghi, le loro schede di valutazione relative all’ultimo anno di servizio, unitamente alla graduatoria con il punteggio ottenuto, consentendo, in tal modo, ai tre destinatari di tale email di venire a conoscenza dei rispettivi dati personali, inclusi quelli contenuti nei documenti in questione, nonché gli indirizzi personali di posta elettronica.

Al riguardo, si fa presente che in numerose occasioni il Garante ha dichiarato l’illiceità, per assenza di presupposto normativo, della comunicazione a soggetti terzi di dati personali contenuti nelle schede valutative dei dipendenti (v., in particolare, provv.ti 5 dicembre 2013, nn. 545 e 546, doc. web nn. 2894559 e 2896275).

Più in generale, secondo l’orientamento consolidato del Garante (cfr. provv.ti 28 aprile 2022, n. 146, doc. web n. 9776406; 31 luglio 2014, n. 392 doc. web n. 3399423; 3 ottobre 2013, n. 431, doc. web 2747867; 8 maggio 2013, n. 232, doc. web n. 2501216; 18 ottobre 2012, n. 296, doc. web n. 2174351 e n. 297, doc. web n. 2174582), i dati personali dei dipendenti, trattati per finalità di gestione del rapporto di lavoro, non possono, di regola, essere messi a conoscenza di soggetti diversi da coloro che sono parte dello specifico rapporto di lavoro (cfr. le definizioni di “dato personale” e “interessato”, contenuta nell’art. 4, par. 1, n. 1), del Regolamento), oppure di coloro che - anche tenuto conto della definizione di “terzo”, contenuta nell’art. 4, par. 1, n. 10), del Regolamento - non siano legittimati a trattarli, in ragione delle mansioni assegnate e delle scelte organizzative del titolare del trattamento. Ciò in quanto la messa a disposizione dei dati a soggetti che, ancorché facenti parte dell’organizzazione del titolare del trattamento, non possono essere considerati “autorizzati” al trattamento (cfr. artt. 4, n. 10, 28, par 3, lett. b), 29 e 32, par. 4, del Regolamento, nonché art. 2-quaterdecies del Codice), in ragione del ruolo da essi svolto e delle funzioni esercitate all’interno di detta organizzazione, può dare luogo a una comunicazione di dati personali in assenza di base giuridica (cfr. punti 2, 4, 5.1 e 5.3 delle “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico”, del 14 giugno 2007, doc. web n. 1417809).

Nel caso di specie, il Comune ha dichiarato che l’invio delle schede di valutazione, mediante un’unica email indirizzata ai tre ex lavoratori interessati (peraltro formalmente non più facenti parte dell’organizzazione del titolare del trattamento, in quanto dipendenti cessati dal servizio), è stato dovuto a un mero errore umano.

Pertanto, considerato che difetta una base giuridica che potesse giustificare la condotta posta in essere (cfr. art. 6, par. 1, lett. c) ed e) del Regolamento), deve concludersi che il Comune, ancorché per errore, ha posto in essere una comunicazione di dati personali, relativi alla reclamante e ad altri due interessati, in maniera non conforme al principio di liceità, correttezza e trasparenza e in assenza di una base giuridica, in violazione degli artt. 5, par. 1, lett. a) e 6 del Regolamento, nonché 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, vigente al tempo dei fatti oggetto di reclamo).

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Comune, per aver comunicato a terzi i dati personali della reclamante e di altri due interessati, in violazione degli artt. 5, par. 1, lett. a) e 6 del Regolamento, nonché 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, vigente al tempo dei fatti oggetto di reclamo).

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 2, del Codice.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

In relazione ai predetti elementi è stato considerato che, ancorché per un errore umano, la comunicazione in questione ha determinato la reciproca conoscibilità delle valutazioni ricevute in merito all’attività lavorativa, ovvero di informazioni rispetto ai quali gli interessati avevano un’elevata aspettativa di riservatezza nel contesto di riferimento, potendo incidere anche sulla reputazione degli stessi anche dopo la cessazione del rapporto di lavoro. Si è inoltre tenuto conto che il titolare del trattamento è un Comune di oltre tre milioni di abitanti, che dovrebbe essere dotato di una struttura organizzativa e di risorse tali da garantire un sufficiente livello di conformità alla normativa in materia di protezione dei dati, anche mediante specifiche attività formative rivolte agli autorizzati al trattamento, al fine di mitigare il rischio che possano verificarsi casi simili a quelli oggetto di reclamo. Inoltre, si tenuto in considerazione

Di contro, si è tenuto in considerazione che la violazione ha riguardato un numero limitato di interessati, pari a tre; che l’evento risulta essere stato isolato e dovuto a un mero errore umano; che il trattamento non ha riguardo particolari categorie di dati (cfr. art. 9 del Regolamento) e non ha comportato la conoscenza di altre specifiche circostanze riferite alle condizioni familiari o personali degli interessati; che la condotta è stata posta in essere nel contesto dell’emergenza epidemiologica da SARS-CoV-2, particolarmente concitata e critica anche sul piano dell’organizzazione e gestione delle attività istituzionali (differibili e non), considerato, altresì, che, come dichiarato dal Comune, l’Ufficio in cui si è verificata la violazione operava con una limitata e insufficiente dotazione organica; che il Comune ha dichiarato di aver assunto, precedentemente al verificarsi dei fatti oggetto di reclamo, iniziative volte a ridurre il rischio di violazione dei dati personali; che il Comune ha collaborato in maniera proattiva nel corso dell’istruttoria. Non risultano infine precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento, relative a fattispecie analoghe a quelle oggetto di reclamo.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 3.000 (tremila) per la violazione degli artt. 5, par. 1, lett. a) e 6 del Regolamento, nonché 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, vigente al tempo dei fatti oggetto di reclamo), quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, paragrafo 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Tenuto conto che i datti oggetto di comunicazione concernevano valutazioni sull’attività lavorativa svolta dagli interessati, si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dal Comune di Napoli per violazione degli artt. 5, par. 1, lett. a) e 6 del Regolamento, nonché 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, vigente al tempo dei fatti oggetto di reclamo), nei termini di cui in motivazione;

ORDINA

al Comune di Napoli, in persona del legale rappresentante pro-tempore, con sede legale in Palazzo San Giacomo - Piazza Municipio - 80133 Napoli (NA), C.F. 80014890638, di pagare la somma di euro 3.000 (tremila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al predetto Comune, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 3.000 (tremila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione del presente provvedimento sul sito web del Garante, ritenendo che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 1° giugno 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei