g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Ordinanza ingiunzione o revoca
  4. Provvedimento del 27 aprile 2023 [9896450]

Provvedimento del 27 aprile 2023 [9896450]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9896450]

Provvedimento del 27 aprile 2023

Registro dei provvedimenti
n. 166 del 27 aprile 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27/4/2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO il d. lgs. 30/6/2003, n. 196 recante “Codice in materia di protezione dei dati personali” (di seguito “Codice”);

VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida in materia di trasparenza”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Introduzione

Questa Autorità ha ricevuto un reclamo, presentato da XX (di seguito “reclamante”), con il quale è stata lamentata una violazione della normativa in materia di protezione dei dati personali.

Nello specifico è stata contestata la diffusione di dati e informazioni personali contenuti nell’«Ordinanza di demolizione (ex art. 34 del d.P.R. 380/01)» n. XX del XX (prot. n. XX del XX) del Settore Assetto del Territorio di codesto Comune a firma del Responsabile del settore, pubblicata sul sito web istituzionale del Comune di Adelfia.

La predetta ordinanza, relativa a un ordine di demolizione del Comune per opere effettuate in difformità dalla SCIA, riportava in chiaro il nominativo della persona che ha effettuato la segnalazione al Comune; i dati personali del soggetto destinatario del provvedimento amministrativo (fra cui anche dati anagrafici, luogo e data di nascita, e di residenza) e dei professionisti incaricati con indicazione, fra l’altro, dell’effettuata segnalazione disciplinare al Collegio dei geometri.

Il soggetto che ha effettuato la segnalazione dell’abuso al Comune si è, pertanto, rivolto al Garante, lamentando che nell’ordinanza n. XX fosse riportato, fra l’altro, il proprio nominativo, laddove era indicato che «in data XX giusto prot. XX è pervenuto esposto a firma del XX.

Dalla documentazione allegata dal reclamante è emerso che lo stesso si era già preliminarmente rivolto al Comune per esercitare in diritti in materia di protezione dei dati personali con istanza del XX a cui è stato dato riscontro con l’e-mail del DPO nella quale si confermava che «gli uffici comunali di Adelfia competenti hanno provveduto alla cancellazione dei dati […]».

Tuttavia, dalla verifica preliminare effettuata da questo Dipartimento, è risultato che all’url http://..., indicato nel reclamo, era ancora visualizzabile e scaricabile liberamente il testo integrale dell’ordinanza citata con i dati personali del reclamante.

Dall’istruttoria effettuata risultava, inoltre, una difformità fra quanto comunicato al Garante con nota prot. n. XX del XX e quanto pubblicato sul sito web istituzionale con riferimento ai dati del Responsabile della protezione dei dati nominato dal Comune (di seguito “RPD”), ai sensi dell’art. 37, par. 7, del RGPD.

2. La normativa in materia di protezione dei dati personali

Ai sensi della disciplina in materia, «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)» e «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).

Al riguardo, con particolare riferimento al caso sottoposto all’attenzione di questa Autorità, si ricorda che i soggetti pubblici, come il Comune, possono diffondere «dati personali» nei casi previsti dall’art. 2-ter, commi 1 e 3, del Codice, nel rispetto – in ogni caso – dei principi in materia di protezione dei dati, fra i quali quello di «minimizzazione», in base al quale i dati personali devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. c, del RGPD).

La normativa statale di settore prevede, inoltre, che «Tutte le deliberazioni del comune e della provincia sono pubblicate mediante pubblicazione all’albo pretorio, nella sede dell’ente, per quindici giorni consecutivi, salvo specifiche disposizioni di legge» (art. 124, comma 1, d. lgs. n. 267 del 18/8/2000).

In ordine alla pubblicazione sull’albo pretorio e alle sezioni “Archivio” dell’ente, fin dal 2014, il Garante ha fornito specifiche indicazioni alle amministrazioni sulle cautele da adottare per la diffusione di dati personali online con il provvedimento generale n. 243 del 15/5/2014, recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (attualmente in corso di aggiornamento, ma ancora attuale nella parte sostanziale).

Nelle Linee guida sopra citate, è espressamente sancito che una volta trascorso il periodo temporale previsto per la pubblicazione degli atti e documenti nell’albo pretorio:

- «gli enti locali non possono continuare a diffondere i dati personali in essi contenuti. In caso contrario, si determinerebbe, per il periodo eccedente la durata prevista dalla normativa di riferimento, una diffusione dei dati personali illecita perché non supportata da idonei presupposti normativi […]. A tal proposito, ad esempio, la permanenza nel web di dati personali contenuti nelle deliberazioni degli enti locali oltre il termine di quindici giorni, previsto dall´art. 124 del citato d. lgs. n. 267/2000, può integrare una violazione del suddetto art. 19, comma 3, del Codice [n.d.r. oggi riprodotto nell’art. 2-ter, commi 1 e 3, del Codice], laddove non esista un diverso parametro legislativo o regolamentare che preveda la relativa diffusione […]. [In tale ipotesi] se gli enti locali vogliono continuare a mantenere nel proprio sito web istituzionale gli atti e i documenti pubblicati, ad esempio nelle sezioni dedicate agli archivi degli atti e/o della normativa dell’ente, devono apportare gli opportuni accorgimenti per la tutela dei dati personali. In tali casi, quindi, è necessario provvedere a oscurare nella documentazione pubblicata i dati e le informazioni idonei a identificare, anche in maniera indiretta, i soggetti interessati» (parte seconda, par. 3.a).

Con particolare riferimento, infine, ai dati del Responsabile della protezione dei dati dell’ente, occorre ricordare che il RGPD prevede specificamente che «Il titolare del trattamento o il responsabile del trattamento pubblica i dati di contatto del responsabile della protezione dei dati» e «li comunica all'autorità di controllo» (art. 37, par. 7, del RGPD).


3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato.

Dalle verifiche compiute, sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX del XX ha accertato che il Comune di Adelfia – diffondendo i dati e le informazioni personali, contenuti nell’ordinanza di demolizione, pubblicati online prima descritti e non comunicando al Garante la variazione dei dati del proprio Responsabile della protezione dei dati – ha tenuto una condotta non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD. Pertanto, con la medesima nota sono state notificate al predetto Comune le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD e invitando la predetta amministrazione a far pervenire al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentita da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

4. Memorie difensive.

Il Comune di Adelfia, con la nota prot. n. XX del XX, ha inviato al Garante i propri scritti difensivi in relazione alle violazioni notificate.

Al riguardo, si ricorda che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, intitolato «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante».

Nello specifico, quanto alla condotta tenuta, l’amministrazione ha evidenziato, fra l’altro che:

- «questo Ente ha provveduto ad effettuare gli adempimenti previsti dall’art. 37, comma 7 del RGPD, in relazione alla variazione dei dati inerenti il Responsabile della protezione dei dati»;

- «Per quanto concerne la richiesta di reclamo (art. 15, comma 1 del Regolamento del Garante n. 1/2019), comunica la propria adesione spontanea alla richieste del reclamante con impegno ad adottare le iniziative finalizzate ad eliminare i dati personali dello stesso».

Con successiva e-mail del XX il Comune ha confermato la cancellazione del documento oggetto di contestazione anche dalla url indicata nella citata nota dell’Ufficio prot. n. XX.

5. Valutazioni del Garante

La questione oggetto del caso sottoposto all’attenzione del Garante riguarda la diffusione del nominativo della persona che aveva effettuato una segnalazione al Comune di Adelfia per un abuso edilizio (reclamante nel procedimento in esame), contenuti nell’ordinanza dell’ente n. XX relativa a un ordine di demolizione. La citata ordinanza riportava in chiaro anche i dati personali del soggetto destinatario del provvedimento amministrativo (fra cui dati anagrafici, luogo e data di nascita, indirizzo di residenza) e dei professionisti incaricati con indicazione, fra l’altro, dell’effettuata segnalazione disciplinare al Collegio dei geometri. Dagli atti è risultato che il Comune, nonostante la richiesta del reclamante non ha provveduto a rimuovere i relativi dati personali dalla url indicata (http://...).

Inoltre, nel corso dell’istruttoria, è risultato che il Comune – contrariamente a quanto previsto dal RGPD (art. 37, comma 7) – non aveva provveduto a comunicare a questa Autorità la variazione dei dati del proprio Responsabile della protezione dei dati. Nello specifico, risultava una difformità fra l’identità del soggetto designato RPD (e i relativi dati di contatto) pubblicati sul sito web istituzionale del Comune e quelli comunicati al Garante dal medesimo Ente con precedente nota prot. n. XX del XX.

Il Comune di Adelfia nelle proprie memorie difensive ha evidenziato in primo luogo di voler aderire spontaneamente alle richieste del reclamante, impegnandosi ad adottare le iniziative finalizzate a eliminare i dati personali dello stesso rappresentato (secondo l’art. 15, comma 1 del Regolamento del Garante n. 1/2019), comunicando l’effettiva rimozione del documento oggetto di contestazione dalla url indicata nel reclamo con e-mail del XX.

Nelle medesime memorie difensive il Comune ha, inoltre, rappresentato di avere provveduto a effettuare gli adempimenti previsti dall’art. 37, comma 7 del RGPD, in relazione alla variazione dei dati del Responsabile della protezione dei dati, che in effetti risulta avvenuta con nuova comunicazione a questa Autorità del XX (prot. n. XX).

6. Esito dell’istruttoria relativa al reclamo presentato

Il Comune di Adelfia ha confermato nelle proprie memorie difensive di avere tenuto la condotta accertata e contestata dall’Ufficio, descrivendo gli adempimenti effettuati per porre fine alle violazioni della normativa in materia di protezione dei dati personali, oggetto della contestazione.

In tale quadro, gli elementi evidenziati negli scritti difensivi, esaminati nel loro complesso, sicuramente meritevoli di considerazione ai fini della valutazione della condotta, non risultano tuttavia sufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo alcuna delle ipotesi previste dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio effettuate con la nota prot. n. XX del XX e si rileva la non conformità al RGPD della condotta tenuta dal Comune di Adelfia, in quanto anche dopo l’istanza del reclamante del XX, l’Amministrazione non ha tuttavia provveduto a oscurare i relativi dati personali contenuti nella citata ordinanza n. XX, perdurando nella diffusione dei dati personali del reclamante e dei soggetti coinvolti nel procedimento amministrativo.

La diffusione dei dati e informazioni personali del reclamante, che ha segnalato l’abuso al Comune, prima descritti, risulta non conforme al principio di «minimizzazione» dei dati, in quanto gli stessi risultano non necessari, sproporzionati e non «limitati a quanto necessario rispetto alle finalità per le quali sono trattati», ossia la trasparenza di un ordine di demolizione di un’opera abusiva, in violazione dell’art. 5, par. 1, lett. c), del RGPD.

Analogamente, per gli stessi motivi, risulta non conforme al principio di «minimizzazione» dei dati, anche la diffusione dei dati anagrafici (luogo e data di nascita) e di residenza del soggetto destinatario dell’ordine di demolizione, nonché la notizia della segnalazione del professionista incaricato al Collegio dei geometri, in quanto del tutto irrilevanti, e dunque sproporzionati, rispetto alla medesima finalità sopra indicata, parimenti in violazione del citato art. 5, par. 1, lett. c), del RGPD.Inoltre, trattandosi di un’ordinanza del XX, la diffusione dei dati personali ivi contenuti risulta in ogni caso priva di idonei presupposti normativi per il periodo eccedente i quindici giorni previsti dall’art. 124, comma 1, del d. lgs. n. 267/2000 per la pubblicazione nell’albo pretorio, che risulta pertanto effettuata in violazione dell’art. 2-ter, commi 1 e 3, del Codice, nonché dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD.

Il Comune ha altresì violato l’art. 37, par. 7, del RGPD in quanto non ha provveduto a comunicare tempestivamente al Garante la variazione dei dati del proprio Responsabile della protezione dei dati, la cui identità indicata sul sito web istituzionale al momento dell’istruttoria, risultava diversa dalla comunicazione effettuata a questa Autorità con nota prot. n. XX. Al riguardo, la variazione dei dati del RPD è stata correttamente comunicata a questa Autorità solo in data XX (prot. n. XX), a seguito dell’apertura della specifica istruttoria e della contestazione della violazione del RGPD.

Considerato, tuttavia, che la condotta ha esaurito i suoi effetti, in quanto il titolare del trattamento ha dichiarato di aver provveduto a rimuovere i dati personali oggetto di contestazione dell’Ufficio dal sito web istituzionale e a comunicare al Garante la variazione dei dati del Responsabile della protezione dei dati, fermo restando quanto si dirà sull’applicazione della sanzione amministrativa pecuniaria, non ricorrono i presupposti per l’adozione di misure correttive di cui all’art. 58, par. 2, del RGPD.

7. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria (artt. 58, par. 2, lett. i; 83 del RGPD)

Il Comune Adelfia risulta aver violato gli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b): 37, par. 7; del RGPD; nonché l’art. 2-ter, commi 1 e 3, del Codice (cfr. anche art. 124, comma 1, del d. lgs. n. 267/2000).

La violazione delle disposizioni citate – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 4 e 5, del RGPD.

Al riguardo, tenuto conto di quanto previsto dall’art. 83, par. 3, del RGPD, laddove è sancito che «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave», nel caso in esame si applica la sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del RGPD.

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD, nonché dell’art. 166 del Codice, ha il potere correttivo di «infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso». In tale quadro, «il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice» (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del RGPD.

In tal senso, la rilevata condotta tenuta in violazione della disciplina in materia di protezione dei dati personali risulta di natura colposa e ha ad oggetto la diffusione online di dati personali del reclamante e di altri 3 soggetti interessati per circa quattro anni e mezzo (almeno fino al XX), non appartenenti a categorie particolari né a condanne penali o reati (artt. 9 e 10, del RGPD); nonché la mancata comunicazione a questa Autorità della variazione dei dati del RPD.

Il Comune di Adelfia è un ente di medie dimensioni (circa 16.500 abitanti). L’amministrazione, inoltre, a seguito della richiesta dell’Ufficio ha collaborato con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alla violazione, attenuandone i possibili effetti negativi. Non risultano, in ogni caso, eventuali precedenti violazioni del RGPD pertinenti commesse dall’Ente.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, parr. 2 e 3, del RGPD l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, del RGPD, nella misura di euro 8.000,00 (ottomila) per la violazione degli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b): 37, par. 7; del RGPD; nonché dell’art. 2-ter, commi 1 e 3, del Codice, quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo RGPD.

In relazione alle specifiche circostanze del presente caso, relative alla diffusione di dati personali online in assenza di una idonea base normativa e alla mancata comunicazione al Garante della variazione dei dati del RPD (art. 2-ter, commi 1 e 3, del Codice; art. 37, par. 7, del RGPD), si ritiene altresì che debba essere applicata la sanzione accessoria della pubblicazione del presente provvedimento sul sito Internet del Garante, prevista dall’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità del trattamento effettuato dal Comune di Adelfia nei termini indicati in motivazione ai sensi degli artt. 58, par. 2, lett. i), e 83 del RGPD

ORDINA

al Comune di Adelfia, in persona del legale rappresentante pro-tempore, con sede legale in Corso Vittorio Veneto, 122 - 70010 Adelfia (BA) – C.F. 80017830722 di pagare la somma di € 8.000,00 (ottomila) a titolo di sanzione amministrativa pecuniaria per le violazioni di cui in motivazione;

INGIUNGE

al medesimo Comune di pagare la somma di euro € 8.000,00 (ottomila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.

Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1/9/2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice).

DISPONE

- la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019;

- l’annotazione nel registro interno dell’Autorità delle violazioni e delle misure adottate ai sensi dell’art. 58, par. 2, del RGPD con il presente provvedimento, come previsto dall’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 27 aprile 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
9896450
Data
27/04/23

Argomenti

Internet e social media Pubblica Amministrazione Trasparenza amministrativa

Tipologie

Ordinanza ingiunzione o revoca

Vedi anche (5)