g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Ordinanza ingiunzione o revoca
  4. Provvedimento del 28 settembre 2023 [9944603]

Provvedimento del 28 settembre 2023 [9944603]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9944603]

Provvedimento del 28 settembre 2023

Registro dei provvedimenti
n. 420 del 28 settembre 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Introduzione.

A seguito di specifica segnalazione, confermata anche dal comunicato stampa del XX dell’USB-Unione Sindacati di Base, è emerso che sul sito web istituzionale del Ministero dell'Ambiente e della Sicurezza Energetica, già Ministero della Transizione Ecologica (di seguito “Ministero”) sono stati pubblicati numerosi dati personali, anche relativi alla salute, dei lavoratori delle Acciaierie d'Italia (ex Ilva) di Taranto.

In particolare il coordinamento provinciale della USB di Taranto, rappresentava che "a seguito dell'ispezione da parte del personale Ispra ed Arpa nella fabbrica nel primo trimestre XX il gruppo ispettivo ha fatto richiesta dei tabulati delle forniture di magazzino. Documenti che, inviati dal gestore dello stabilimento, sono stati poi pubblicati sul sito del Mite, nella sezione relativa all'attività di vigilanza e controllo della documentazione Aia".
Secondo quanto rappresentato dalle Organizzazioni Sindacali “nei tabulati resi pubblici […], alla voce 'Infermeria-Pronto soccorso', figurano anche centinaia di nomi e cognomi, con relativa matricola, dei dipendenti che hanno fatto richiesta di occhiali di sicurezza compresi quelli graduati".

2. L’attività istruttoria.

Con nota del XX, prot. n. XX il Ministero, in riscontro a una richiesta d’informazioni del Garante (nota prot. n. XX del XX), ha dichiarato, in particolare, che:

- “rientra tra i compiti istituzionali [della] Direzione Generale Valutazioni Ambientali (DG VA), competente in materia di Valutazione di impatto ambientale (VIA), Valutazione ambientale strategica (VAS), Autorizzazione integrata ambientale (AIA), la pubblicazione di numerosi documenti. In particolare, in base al d.lgs. n. 152/2006, parte II, […la predetta Direzione] è tenuta a pubblicare sul sito internet del Ministero della Transizione Ecologica (ed in particolare nel portale dedicato “Valutazioni e autorizzazioni ambientali VIA - VAS – AIA”), tra l’altro, le istanze e la relativa documentazione inviata dai proponenti ai fini dell’avvio dei procedimenti in questione - riferiti a opere civili e impianti industriali di rilevante impatto (VIA), piani e programmi che hanno significativi effetti sull’ambiente (VAS), grandi impianti industriali (AIA) - i pareri e gli atti acquisiti nell’ambito degli stessi procedimenti, le osservazioni del pubblico, i provvedimenti finali e gli esiti dei monitoraggi svolti”;

- “la pubblicazione di tali documenti risponde all’esigenza di migliorare la qualità delle decisioni e di rafforzarne l’efficacia di tutela preventiva dell’ambiente, contribuendo anche a sensibilizzare il pubblico in merito alle tematiche ambientali, riconoscendo e garantendo ad esso in tal modo la possibilità di inviare a questa Direzione le proprie osservazioni, che vengono prese in considerazione nell’ambito dei menzionati procedimenti. Mediante la pubblicazione della documentazione viene così garantita la trasparenza dell’azione amministrativa e il coinvolgimento del pubblico”;

- “con riferimento alle autorizzazioni integrate ambientali di competenza [del Ministero], tra cui quella dello stabilimento siderurgico di Taranto, l’Istituto Superiore per la Ricerca Ambientale (ISPRA) è l’autorità di controllo che, ai sensi dell’art. 29-decies, comma 3, del d.lgs. n. 152/2006, accerta (i) il rispetto delle condizioni dell’autorizzazione integrata ambientale; (ii) la regolarità dei controlli a carico del gestore, con particolare riferimento alla regolarità delle misure e dei dispositivi di prevenzione dell’inquinamento nonché al rispetto dei valori limite di emissione; (iii) che il gestore abbia ottemperato ai propri obblighi di comunicazione e in particolare che abbia informato l’autorità competente regolarmente e, in caso di inconvenienti o incidenti che influiscano in modo significativo sull’ambiente, tempestivamente dei risultati della sorveglianza delle emissioni del proprio impianto”;

- “tra gli altri obblighi cui è tenuta l’autorità competente [il Ministero], ai sensi dell’articolo 29-decies, comma 5, d.lgs. n. 152/2006, vi è la pubblicazione delle relazioni predisposte da ISPRA ad esito di ogni visita svolta presso l’installazione e contenenti “i pertinenti riscontri in merito alla conformità dell’installazione alle condizioni di autorizzazione e le conclusioni riguardanti eventuali azioni da intraprendere”, visite ispettive che con specifico riferimento allo stabilimento siderurgico di Taranto sono svolte con cadenza trimestrale e non annuale come previsto per le altre installazioni”;

-  “gli esiti dei controlli trimestrali (visite ordinarie) effettuati da ISPRA nonché gli esiti degli autocontrolli trasmessi dal Gestore sempre con frequenza trimestrale (Report trimestrale del Gestore) sono resi tempestivamente disponibili sul portale VAS-VIA-AIA di questo Ministero nella sezione dedicata all’ex ILVA di Taranto (Attività di vigilanza e controllo)”;

- “inoltre, ai sensi del comma 6 dell’art. 29-decies, d.lgs. n. 152/2006, ISPRA comunica all’autorità competente e al gestore gli esiti dei controlli e delle ispezioni “indicando le situazioni di mancato rispetto delle prescrizioni di cui al comma 3, lettere a), b) e c), e proponendo le misure da adottare”;

- “ISPRA ha trasmesso gli esiti della visita ispettiva ordinaria svolta presso lo stabilimento siderurgico Acciaierie d’Italia di Taranto nel mese di XX (I trimestrale), proponendo di diffidare il Gestore e allegando […] copia dei verbali d’ispezione e la ulteriore documentazione acquisita dal Gestore”;

- “facendo seguito alla proposta di ISPRA del XX ed effettuate le necessarie verifiche, la Divisione Rischio rilevante e autorizzazione integrata ambientale (Divisione della DG VA competente in materia di AIA), ha provveduto, ai sensi dell’articolo 29-decies, comma 9, del d.lgs. n. 152/2006, a diffidare il Gestore […] e alla pubblicazione in data XX, nel portale dedicato VAS-VIA-AIA del Ministero, di detta diffida […] e dell’allegata nota ISPRA prot. XX del XX”;

- “in particolare, l’allegato 16 alla XX del XX[…] è a sua volta un file zip contenete due file pdf di cui il file “Lista C5” contiene l’elenco degli elementi critici e dei relativi codici assegnati previsto dalla procedura del sistema di gestione ambientale “Acquisti di beni e servizi per la tutela della salute, della sicurezza e dell’ambiente”;

- “il documento oggetto della segnalazione consiste in un elenco di dispositivi di sicurezza cui sono associati alcuni dati personali (nome e/o cognome) di dipendenti, per la maggior parte non completi”;

- “trattasi di dispositivi di protezione che tutti coloro i quali accedono allo stabilimento devono indossare. Rientrano nell’elenco dei dispositivi di protezione individuale forniti a tutti i lavoratori ex D.Lgs. 81/08 e hanno caratteristiche di protezione conformi alle norme tecniche di riferimento e, su specifica richiesta, sono forniti con lenti graduate secondo le prescrizioni mediche. Non si tratta, pertanto di occhiali destinati ai soggetti che hanno difetti di vista, bensì di dispositivi di protezione che è obbligatorio indossare indipendentemente dal proprio stato di salute e che vengono forniti graduati a coloro i quali ne facciano espressa richiesta”;

- “in particolare, il documento de quo è composto da un elenco di nomi, cognomi e numeri di matricola, molti dei quali non indicati per esteso e quindi non direttamente riconducibili alla persona fisica”;

- “nella specie, l’elenco consta di n. 571 occhiali non graduati per i quali è indicato nome e cognome per esteso e n. 165 occhiali graduati dei quali: n. 45 sono associati a cognomi per esteso senza il nome, n. 9 sono associati solo a cognomi troncati e n. 111 non sono intellegibili”;

- in data XX, lo scrivente ha appreso da fonti di stampa, in particolare dal comunicato stampa del XX della USB-Unione Sindacati di Base, che erano stati pubblicati sul citato portale VAS-VIA-AIA - nella sezione relativa all’attività di vigilanza e controllo della documentazione di AIA - dati di dipendenti dello stabilimento di Taranto, allegati alla nota di ISPRA relativa all’accertamento di violazione e proposta di diffida ai sensi dell’articolo 29-decies, comma 3, del d.lgs. n. 152/2006 […]”;

-  lo stesso giorno […] questa Direzione Generale si è immediatamente attivata provvedendo alla rimozione dal portale VAS-VIA-AIA del Ministero della documentazione”;

- “ne consegue, che i documenti sono rimasti potenzialmente visibili sul sito VAS-VIA-AIA per un periodo di 16 giorni, dal XX al XX, con gli spiegati riscontri in termini numerici (quattro download)”;

- “oltre alla rimozione immediata della documentazione in questione, questa Direzione si è attivata mettendo in campo ogni più opportuna azione per evitare che simili episodi si possano ripetere in futuro. Ha prontamente interessato il DPO nominato […], con il quale sono state pianificate alcune misure correttive prime tra tutte la formazione rivolta ai dipendenti che si sono occupati della pubblicazione dei documenti oggetto della segnalazione e di tutti quelli che si occupano di pubblicazione di dati sul web, nella quale si è discusso l’accaduto e si sono ripercorse le policy sulla trasparenza del Ministero”.

Con nota del XXX, prot. n. XX, l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato al Ministero, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto le presunte violazioni degli artt. artt. 5, par. 1, lett. a) e c), 6 e 9 del Regolamento e degli artt. 2-ter, 2-sexies e 2-septies, comma 8, del Codice invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).

Con nota del XX, prot.n. XX il Ministero ha presentato una memoria difensiva, nella quale sono in larga parte riproposte le principali argomentazioni già evidenziate nella precedente nota del XX, prot. n. XX.

In particolare il Ministero ha dichiarato che:

“occorre rilevare che in generale, in materia di AIA, ai sensi dell’articolo 29-decies, comma 8, d.lgs. n. 152/2006, i risultati del controllo delle emissioni, richiesti dalle condizioni dell’AIA e in possesso dell’autorità competente, devono essere messi a disposizione del pubblico, “nel rispetto di quanto previsto dal decreto legislativo 19 agosto 2005, n. 195”;

“tra gli altri obblighi cui è tenuta l’autorità competente, ai sensi dell’articolo 29-decies, comma 5, d.lgs. n. 152/2006, vi è la pubblicazione delle relazioni predisposte da ISPRA ad esito di ogni visita svolta presso l’installazione e contenenti “i pertinenti riscontri in merito alla conformità dell’installazione alle condizioni di autorizzazione e le conclusioni riguardanti eventuali azioni da intraprendere”, visite ispettive che con specifico riferimento allo stabilimento siderurgico di Taranto sono svolte con cadenza trimestrale e non annuale come previsto per le altre installazioni. Si evidenzia infatti che, per lo stabilimento siderurgico di Taranto (dichiarato di interesse strategico nazionale), l’AIA è costituita da un complesso quadro normativo che, oltre a prevedere numerosi adempimenti ai fini dell’adeguamento ambientale dello stabilimento, ha introdotto un sistema di verifiche da parte dell’Autorità di controllo (ISPRA) e da parte del Gestore (autocontrolli) molto più rigoroso di quello previsto per le altre installazioni soggette ad AIA. […]”;

- “con nota prot. n. XX del XX […], acquisita in pari data con prot. XX, ISPRA ha trasmesso gli esiti della visita ispettiva ordinaria svolta presso lo stabilimento siderurgico Acciaierie d’Italia di Taranto nel mese di XX (I visita trimestrale), proponendo di diffidare il Gestore e allegando la seguente documentazione (copia dei verbali d’ispezione e la ulteriore documentazione acquisita dal Gestore): 1 - Verbale di verifica documentale del XX (14 pagine) 2 - Verbale di attestazione sopralluogo del XX (2 pagine) 3 - Verbale di chiusura attività di controllo del XX (13 pagine) 4 - Allegato 16 alla XX del XX (contenente 2 file: "Lista C5" oggetto della segnalazione che consta di 53 pagine e "Lista C6" di 19 pagine) 5 - Allegato 12 (punto 2) alla XX del XX (11 pagine) 6 - Allegato 12 (punto 3) alla XX delXX (3 pagine)”;

- “facendo seguito alla proposta di ISPRA del XX ed effettuate le  necessarie verifiche, la Divisione Rischio rilevante e autorizzazione integrata ambientale (Divisione della Direzione Generale Valutazioni Ambientali (DG VA) competente in materia di AIA) ha provveduto, ai sensi dell’articolo 29-decies, comma 9, del d.lgs. n. 152/2006, a diffidare il Gestore con nota XX del XX  e alla […] pubblicazione in data XX, sul portale dedicato VAS-VIA-AIA del Ministero, di detta diffida (indicandola come “Diffida del XX Esercizio sistema condensazione vapori”) e dell’allegata nota ISPRA prot. XX del XX2 (file zip indicato come “Allegati alla diffida del XX”) al seguente link: https://va.mite.gov.it/itIT/Oggetti/Documentazione/2038/4338?Testo=&RaggruppamentoID=2011#formcercaDocumentazione”;

- “tra la cospicua mole di documenti che il Gestore ha trasmesso ad ISPRA è stato inserito il sopra menzionato file “Lista C5”, che contiene l’elenco degli elementi critici e dei relativi codici assegnati previsto dalla procedura del sistema di gestione ambientale “Acquisti di beni e servizi per la tutela della salute, della sicurezza e dell’ambiente”. In particolare, tale elenco contiene anche dispositivi di protezione individuale (occhiali di sicurezza) cui sono associati alcuni nominativi di dipendenti dello stabilimento. La stessa documentazione, determinante per ISPRA per l’accertamento della violazione di una specifica prescrizione dell’AIA, è stata trasmessa da ISPRA a questo Ministero ai fini della pubblicazione dell’esito della visita ispettiva su portale VAS-VIA AIA”;

- “in data XX, la scrivente ha appreso da fonti di stampa, in particolare dal comunicato stampa del XX della USB-Unione Sindacati di Base (coordinamento provinciale di Taranto), che erano stati pubblicati sul citato portale VAS-VIA-AIA - nella sezione relativa alle attività di vigilanza e controllo dell’AIA del siderurgico - dati di dipendenti dello stabilimento di Taranto, allegati alla nota di ISPRA relativa all’accertamento di violazione e proposta di diffida ai sensi dell’articolo 29-decies, comma 6, del d.lgs. n. 152/2006 (rif. nota Ispra prot. XX del XX, acquisita in pari data con prot. XX, cit.). Lo stesso giorno (XX) questa Direzione Generale si è immediatamente attivata provvedendo alla rimozione dal portale VAS-VIA-AIA del Ministero di detti dati. Pertanto, con riferimento alla durata della violazione, si evidenzia che i documenti sono rimasti potenzialmente accessibili sul portale VAS-VIA-AIA per un periodo di 16 giorni, dal XX al XX […]. Si sottolinea che i dati potenzialmente accessibili al pubblico non si trovavano sulla home page del sito di questo Ministero, bensì nella specifica sezione dedicata alle attività di vigilanza e controllo dell’AIA del siderurgico”;

- “il documento oggetto della segnalazione consiste in un elenco di dispositivi di sicurezza cui sono associati alcuni dati personali (nome e/o cognome) di dipendenti, molti dei quali non completi. Trattasi di dispositivi di protezione che tutti coloro i quali accedono allo stabilimento devono indossare. Rientrano nell’elenco dei dispositivi di protezione individuale forniti a tutti i lavoratori ex D.Lgs. 81/08 e hanno caratteristiche di protezione conformi alle norme tecniche di riferimento e, su specifica richiesta, sono forniti con lenti graduate secondo le prescrizioni mediche. Non si tratta, pertanto di occhiali destinati ai soggetti che hanno difetti di vista, bensì di dispositivi di protezione che è obbligatorio indossare indipendentemente dal proprio stato di salute e che vengono forniti graduati a coloro i quali ne facciano espressa richiesta. In particolare, il documento de quo è composto da un elenco di nomi, cognomi e numeri di matricola, molti dei quali non indicati per esteso e quindi non direttamente riconducibili alla persona fisica. Nella specie, l’elenco consta di n. 571 occhiali non graduati per i quali è indicato nome e cognome per esteso e n. 165 occhiali graduati dei quali: n. 45 sono associati a cognomi per esteso senza il nome, n. 9 sono associati solo a cognomi troncati e n. 111 non sono intellegibili”. […] Considerato che nel caso in questione il numero dei dipendenti di Acciaierie d’Italia ammonta a oltre 10.000 unità, è ragionevole ritenere identificabile una persona fisica solo allorquando si indichi per esteso il nome e cognome, salvo omonimie”;

- “sul punto […il] Garante ha ritenuto che “stante la definizione di dato personale (“qualsiasi informazione riguardante una persona fisica identificata o identificabile”, dovendosi considerare “identificabile la persona fisica che può essere identificata, direttamente o indirettamente con particolare riferimento a un identificativo come il nome, un numero di identificazione, [...]”, art. 4, par. 1, n. 1 del Regolamento), l’indicazione anche del solo numero di matricola o di un nome non completo può non essere ritenuto in concreto sufficiente a evitare l’identificabilità degli interessati, specie quando ad essi siano associate altre informazioni di contesto ovvero ulteriori elementi identificativi (cfr., da ultimo, provv. n.420 del 15 dicembre 2022, doc. web 9853429)”;

- “l’elemento che dovrebbe far propendere […] per la non riconducibilità a persone determinabili dei nominativi non indicati per esteso (165 occhiali graduati dei quali: n. 45 sono associati a cognomi per esteso senza il nome, n. 9 sono associati solo a cognomi troncati e n. 111 non sono intellegibili) è la circostanza per cui non vi sono “associate altre informazioni di contesto ovvero ulteriori elementi identificativi”. Il contesto nel quale l’evento si è verificato, infatti, non consente di risalire con certezza ai nominativi dei soggetti che hanno richiesto gli occhiali graduati a causa della vastità del personale impiegato presso lo stabilimento ILVA di Taranto, stimato in oltre 10.000 dipendenti. In altre parole, un elenco di dati privo del nome del richiedente o con cognomi non indicati per esteso o non intellegibili, parametrato ad una popolazione dipendente così ampia, non consente di identificare una persona fisica determinata (o quantomeno di escludere eventuali omonimie), essendo palesemente insufficienti le informazioni di contesto ed assenti ulteriori elementi identificativi”;

- “se ne deve dedurre che il provvedimento […del] Garante […] (n. 420 del 15 dicembre 2022), possa ritenersi non pertinente nella misura in cui fa riferimento alla violazione del Regolamento accertata nel diverso caso degli Uffici di un piccolo Comune, che ha diffuso i dati relativi alla patologia di una dipendente (tra le poche decine verosimilmente ivi occupate) e che, peraltro, come si legge nel testo del provvedimento, “a seguito del lunga assenza dal servizio presso questo Comune” (elemento già da solo sufficiente, in astratto ad identificare la dipendente) “rassegnava, senza più rientrare in servizio presso questo Comune, le proprie dimissioni volontarie dal servizio inserendo nell’atto determinativo di presa d’atto delle dimissioni dal servizio “al fine di non aggravare il proprio stato di salute, anche in ragione della terapia farmacologica seguita”. Per la medesima ragione, l’istante chiedeva all’Amministrazione di rinunciare al previsto periodo di preavviso”;

- “questa Direzione, effettuati i dovuti approfondimenti con i competenti Uffici, ha potuto appurare che la documentazione pubblicata sul proprio portale dedicato VAS-VIA-AIA (non già sul sito “principale” www.mite.gov.it del Ministero), all’interno della quale era presente il documento in .pdf contenente anche l’elenco degli occhiali di sicurezza sopra descritto, è stata scaricata da un numero complessivo di quattro utenti. Al riguardo, infatti, si evidenzia che la scrivente, al fine di conoscere il numero di visitatori che hanno consultato il documento in oggetto, con nota prot. XX del XX, ha interpellato la Direzione generale innovazione tecnologica e comunicazione (Direzione ITC) di questo Ministero. A seguito di tale richiesta, la Direzione ITC effettuate le verifiche necessarie, con nota prot. XX del XX ha comunicato che il numero di download del file .zip all’interno del quale era contenuto il file oggetto della segnalazione risulta pari a n. 4 di cui 3 download corrispondono all’indirizzo IP di questo Ministero mentre 1 solo corrisponde a indirizzo IP esterno e, quindi, c’è stato un solo accesso dall’esterno al documento in oggetto”;

- “alla luce di quanto è stato rilevato, si evidenzia che, qualora nella condotta della scrivente fosse rinvenuta una violazione del Regolamento, si tratterebbe di una violazione di lieve entità, considerato che: − a parere della scrivente, non è stato diffuso alcun dato personale identificabile relativo alla salute dei lavoratori; − il periodo temporale di pubblicazione del documento oggetto di segnalazione è pari a soli 16 giorni, grazie all’immediata rimozione del documento dal portale VAS-VIA-AIA; − il numero di download del citato documento risulta pari a 4 di cui 3 download corrispondono all’indirizzo IP di questo Ministero mentre solo 1 corrisponde a indirizzo IP esterno”;

- “a riprova della circostanza che l’eventuale violazione del Regolamento sarebbe da ritenere di lieve entità, si evidenzia che la stessa non è stata segnalata a codesto Garante dagli interessati, dipendenti di Acciaierie d’Italia”;

- “in disparte si rileva che l’indicazione “occhiali graduati”, quali dispositivi di protezione individuale, è un dato riconducibile ad una generale variazione della capacità visiva propria di chiunque indossi degli occhiali da vista (informazione accessibile a tutti). Nello specifico, l’informazione resa accessibile non riportava l’entità della gradazione e non rappresentava quindi un dato particolare; di conseguenza, anche per tale motivo, i dipendenti in questione non risultavano identificabili”;

- “si è trattato, pertanto, con tutta evidenza, di una concatenazione di eventi che ha visto la partecipazione del Gestore e di ISPRA, che hanno omesso il controllo, normalmente effettuato, al quale invece erano chiamati, prima di trasmettere la documentazione. È di assoluta evidenza, infatti, che nel trasmettere l’elenco in questione, il Gestore avrebbe dovuto provvedere ad anonimizzare il documento prima della trasmissione ad ISPRA. La stessa cosa avrebbe poi dovuto fare l’Istituto”;

- “questa Direzione generale, anche a seguito della segnalazione ricevuta, considerato che fra gli allegati trasmessi da ISPRA alla nota relativa all’accertamento di violazione e proposta di diffida erano presenti dati non pertinenti, con nota prot. XX del XX, […] si è premurata di riportare quanto avvenuto ad ISPRA evidenziando come rientri tra i compiti dell’“Istituto, in qualità di Autorità di controllo, verificare preliminarmente la pertinenza dei dati acquisiti con l’oggetto delle ispezioni e indicare, in sede di trasmissione dei rapporti di ispezione, ai sensi dell’art. 29 decies, comma 5, d.lgs. n. 152/2006, i dati contenuti o allegati nei medesimi rapporti da non pubblicare, secondo quanto previsto dal d.lgs. n. 195/2005”;

- “oltre alla rimozione immediata della documentazione in questione (a seguito del menzionato comunicato stampa del XX della USB-Unione Sindacati di Base), questa Direzione si è attivata mettendo in campo ogni più opportuna azione per evitare che simili episodi si possano ripetere in futuro. Come già rilevato, questa Direzione generale si è premurata di descrivere quanto avvenuto ad ISPRA evidenziando come rientri tra i compiti dell’“Istituto, in qualità di Autorità di controllo, verificare preliminarmente la pertinenza dei dati acquisiti con l’oggetto delle ispezioni e indicare, in sede di trasmissione dei rapporti di ispezione, ai sensi dell’art. 29 decies, comma 5, d.lgs. n. 152/2006, i dati contenuti o allegati nei medesimi rapporti da non pubblicare, secondo quanto previsto dal d.lgs. n. 195/2005”. Inoltre, la scrivente ha prontamente interessato il DPO […] con il quale sono state pianificate alcune misure correttive prime tra tutte la formazione rivolta ai dipendenti che si sono occupati della pubblicazione dei documenti oggetto della segnalazione e di tutti quelli che si occupano di pubblicazione di dati sul web, nella quale si è discusso l’accaduto e si sono ripercorse le policy sulla trasparenza del Ministero”.

Il Ministero non ha fatto richiesta di essere audito dal Garante ai sensi dell’art. 166, comma 6, del Codice.

3. Esito dell’attività istruttoria.

3.1 Il quadro normativo

La disciplina di protezione dei dati personali prevede che il trattamento di dati personali da parte di soggetti pubblici può essere effettuato solo se necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e) del Regolamento).

Tali trattamenti devono, comunque, trovare fondamento nel diritto dell’Unione o dello Stato membro, che, deve perseguire un obiettivo di interesse pubblico ed essere proporzionato al perseguimento dello stesso. La finalità del trattamento deve essere necessaria per l'esecuzione di un compito svolto nel pubblico interesse o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento (cfr. art. 6, par. 3, del Regolamento e 2-ter del Codice). Con riguardo alle categorie particolari di dati personali, inclusi quelli relativi alla salute (in merito ai quali è previsto un generale divieto di trattamento, ad eccezione dei casi indicati all’art. 9, par. 2 del Regolamento e, comunque un regime di maggiore garanzia rispetto alle altre tipologie di dati, in particolare, per effetto dell’art. 9, par. 4, nonché dell’art. 2-septies del Codice), il trattamento è consentito ove “necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. g), del Regolamento). Il legislatore nazionale ha definito “rilevante” l’interesse pubblico per il trattamento “effettuato da soggetti che svolgono compiti di interesse pubblico o connessi all’esercizio di pubblici poteri” nelle materie indicate, seppur in modo non esaustivo, dall’art. 2-sexies del Codice, stabilendo che i relativi trattamenti “sono ammessi qualora siano previsti dal diritto dell'Unione europea ovvero, nell’ordinamento interno, da disposizioni di legge o, nei casi previsti dalla legge, di regolamento che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato”.

In ogni caso, i dati relativi alla salute, ossia quelli “attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, paragrafo 1, n. 15 del Regolamento), in ragione delle maggiori garanzie riconosciute dal Regolamento e dal Codice, stante la particolare delicatezza di tale categoria di dati, “non possono essere diffusi” (art. 2-septies, comma 8, del Codice).

Il titolare del trattamento è, in ogni caso, tenuto a rispettare i principi generali in materia di protezione dei dati personali (art. 5 del Regolamento).

3.2 La diffusione online dei dati personali dei dipendenti dello stabilimento ex ILVA di Taranto.

Come risulta dagli atti, nonché dall’accertamento compiuto sulla base degli elementi acquisiti, a seguito dell’attività istruttoria e delle successive valutazioni dell’Ufficio risulta accertato che il Ministero ha pubblicato, “per un periodo di 16 giorni, dal XX al XX”, sul proprio sito web istituzionale, nel portale “Valutazioni e autorizzazioni ambientali VIA - VAS – AIA”, dati personali dei lavoratori dello stabilimento ex ILVA di Taranto, anche relativi alla salute.

In base alla normativa di settore, “con riferimento alle autorizzazioni integrate ambientali di competenza [del Ministero], tra cui quella dello stabilimento siderurgico di Taranto, l’Istituto Superiore per la Ricerca Ambientale (ISPRA) è l’autorità di controllo”, ai sensi dell’art.29-decies, comma 3 del d.lgs. 152 del 2006.

Tale normativa prescrive che “gli esiti dei controlli trimestrali (visite ordinarie) effettuati da ISPRA nonché gli esiti degli autocontrolli trasmessi dal Gestore sempre con frequenza trimestrale (Report trimestrale del Gestore) sono resi tempestivamente disponibili” sul portale “Valutazioni e autorizzazioni ambientali VIA - VAS – AIA” sopra citato nella sezione dedicata all’ex ILVA di Taranto, ad opera della Direzione Generale Valutazioni Ambientali (DG VA), del Ministero, competente in materia di Valutazione di impatto ambientale (VIA), Valutazione ambientale strategica (VAS), Autorizzazione integrata ambientale (AIA).

In particolare le norme che stabiliscono la pubblicazione di tale documentazione sanciscono che la consultazione della documentazione da parte del pubblico “è garantita anche mediante pubblicazione sul sito internet dell'autorità competente” (art.29-quater, comma 2 del sopra citato decreto) e che “i risultati del controllo delle emissioni, richiesti dalle condizioni dell'autorizzazione integrata ambientale e in possesso dell'autorità competente, devono essere messi a disposizione del pubblico” (art.29-decies, comma 8). Inoltre “tra gli altri obblighi cui è tenuta l’autorità competente, ai sensi dell’articolo 29-decies, comma 5, d.lgs. n. 152/2006, vi è la pubblicazione delle relazioni predisposte da ISPRA ad esito di ogni visita svolta presso l’installazione”.

La pubblicazione di tali documenti, così come espressamente indicato dal Ministero (cfr. nota del XX, in atti) “risponde all’esigenza di migliorare la qualità delle decisioni e di rafforzarne l’efficacia di tutela preventiva dell’ambiente, contribuendo anche a sensibilizzare il pubblico in merito alle tematiche ambientali, riconoscendo e garantendo ad esso in tal modo la possibilità di inviare [alla Direzione Generale Valutazioni Ambientali (DG VA)] le proprie osservazioni”.

La normativa, in ogni caso, non autorizza la pubblicazione di dati personali, ma prevede esclusivamente uno specifico regime di conoscibilità degli esiti delle verifiche effettuate con lo scopo di informare la collettività del presidio operato in favore della salubrità dell’ambiente ad opera delle istituzioni competenti.

Come anche espressamente precisato dal Ministero nel corso dell’istruttoria (cfr., memoria difensiva del XX) “tra gli altri obblighi cui è tenuta l’autorità competente, ai sensi dell’articolo 29-decies comma 5, d.lgs. n. 152/2006, vi è la pubblicazione delle relazioni predisposte da ISPRA ad esito di ogni visita svolta presso l’installazione e contenenti “i pertinenti riscontri in merito alla conformità dell’installazione alle condizioni di autorizzazione e le conclusioni riguardanti eventuali azioni da intraprendere”, non disponendo, tuttavia, tale normativa di settore alcun regime di pubblicità in riferimento ai dati personali degli interessati a vario titolo operanti presso gli stabilimenti sottoposti alle verifiche.

Nel caso di specie, da quanto emerge dalla documentazione allegata e da quanto dichiarato dal Ministero, “tra la cospicua mole di documenti che il Gestore ha trasmesso ad ISPRA che a sua volta ha inviato [al Ministero] competente per la pubblicazione”, è stato inserito un file denominato “Lista C5” che - oltre all’elenco “degli elementi critici e dei relativi codici assegnati previsto dalla procedura del sistema di gestione ambientale “Acquisti di beni e servizi per la tutela della salute, della sicurezza e dell’ambiente” - contenente anche l’elenco “dei dispositivi di protezione individuale (occhiali di sicurezza) cui sono associati alcuni nominativi di dipendenti dello stabilimento”.

Dalla documentazione in atti emerge che nell’allegato c.d. “Lista C5” alla voce “Infermeria-Pronto soccorso”, erano riportati numerosi nominativi di dipendenti, alcuni associati anche al numero di matricola, tenuti, in base alle proprie mansioni, ad indossare dispositivi di protezione individuale (occhiali di sicurezza); peraltro in corrispondenza di taluni nominativi figurava anche l’indicazione di indossare occhiali “graduati”, quali dispositivi di protezione individuale,  confermando, quantomeno, per tali lavoratori, la presenza di condizioni di salute riconducibili ad una riduzione della capacità visiva (cfr. note del XX e del XX ove si legge che “l’elenco consta di n. 571 occhiali non graduati per i quali è indicato nome e cognome per esteso e n. 165 occhiali graduati dei quali: n. 45 sono associati a cognomi per esteso senza il nome, n. 9 sono associati solo a cognomi troncati e n. 111 non sono intellegibili”).
Seppure il Ministero abbia dichiarato che il predetto file, confluito nella documentazione da destinare alla pubblicazione, contenesse “nomi, cognomi e numeri di matricola, molti dei quali non indicati per esteso”, si evidenzia in ogni caso che - stante la definizione di dato personale (“qualsiasi informazione riguardante una persona fisica identificata o identificabile”, dovendosi considerare “identificabile la persona fisica che può essere identificata, direttamente o indirettamente con particolare riferimento a un identificativo come il nome, un numero di identificazione, […]”, art. 4, par. 1, n. 1 del Regolamento) - l’indicazione anche del solo numero di matricola o di un nome non completo può non essere ritenuto in concreto sufficiente a evitare, di per sé, l’identificazione, anche indiretta, degli interessati. Ciò, indipendentemente dalla presenza di altri elementi di contesto, anche legati alla dimensione della realtà organizzativa di riferimento, nonché ulteriori informazioni personali che potrebbero rendere, in concreto, più agevole tale identificabilità.

Al riguardo, nel caso di specie, il file denominato “Lista C5” conteneva numerosi nominativi di lavoratori indicati per esteso (nome e cognome) a cui era associato anche il numero di matricola, ragione per cui non risulta pertinente quanto dichiarato dal Ministero rispetto alla circostanza che al numero di matricola non vi fossero “associate altre informazioni di contesto ovvero ulteriori elementi identificativi”.

Più in generale, nel ribadire che il sistema di protezione dei dati personali richiede per qualsiasi operazione di trattamento (art.4, punto 2 del Regolamento) compresa la diffusione (art.2-ter comma 4 lett. b) del Codice) la necessità di disporre di un’idonea base giuridica, si ricorda che il Garante ha fornito, da tempo, indicazioni in ordine ai presupposti (e al ricorrere di questi, delle specifiche modalità) per la lecita pubblicazione, anche online, di atti e documenti che contengono dati personali (cfr. provv. del 15 maggio 2014 n. 243 “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” doc. web n. 3134436, nonché, tra le tante decisioni sul punto v.  provv. n.28 del 26 gennaio 2023, doc. web 9865528 nonché il citato provv. del Garante n.420 del 15 dicembre 2022, doc. web 9853429). Nel caso di specie, come detto, il numero di matricola era associato direttamente al nome e al cognome dei lavoratori, non potendo ritenersi rilevante ai fini della esclusione della responsabilità del Ministero la dimensione del contesto lavorativo degli interessati e non essendo stata individuata alcuna specifica e idonea base giuridica che legittimasse la pubblicazione dei predetti dati personali. 

Al riguardo va ricordato, in ogni caso, che il Garante, in più occasioni, ha chiarito che anche l’eventuale presenza di uno specifico regime di pubblicità (circostanza che comunque non ricorre nel caso di specie), non può comportare alcun automatismo rispetto alla diffusione online dei dati e informazioni personali, né una deroga ai principi in materia di protezione dei dati personali (cfr. Linee guida cit.). Ciò è d’altronde confermato anche dal sistema di protezione dei dati personali contenuto nel Regolamento, alla luce del quale è previsto che il titolare del trattamento deve mettere “in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento” e deve essere “in grado di dimostrare” – alla luce del principio di “responsabilizzazione” – di averlo fatto (artt. 5, par. 2; 24 e 25, par. 2, Regolamento).

In tale quadro, ricevuta la copiosa documentazione dall’Ispra nel mese di XX e prima di dare corso alla pubblicazione della stessa, il Ministero avrebbe dovuto avvedersi della presenza di dati personali relativa a numerosi lavoratori e, di conseguenza, avrebbe dovuto verificare, sulla base di una valutazione responsabile e attenta, l’esistenza di una norma di legge o di regolamento che legittimasse tale pubblicazione, nonché quali informazioni pubblicare, tenuto conto dei limiti posti dai princìpi  di liceità e minimizzazione (v. art. 5, par.1, lett. a) e c) del Regolamento).

Considerato, altresì, che l’elenco oggetto di pubblicazione indicava anche la prescrizione, per decine di lavoratori (circa 45), di “occhiali graduati”, si deve ritenere che la diffusione ha riguardato anche dati relativi alla salute, ossia i dati “attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, n. 15, del Regolamento; cfr. anche cons. 35 dello stesso).

In tale categoria di dati è ricompreso anche il mero riferimento a “qualsiasi informazione da cui si possa desumere, anche indirettamente, lo stato di malattia o l’esistenza di patologie dei soggetti interessati” (v. Linee guida cit.) come, nel caso di specie, l’indicazione, per alcuni dei lavoratori presenti nell’elenco, di indossare occhiali graduati. Sebbene il Ministero nel corso dell’istruttoria abbia dichiarato che “l’informazione resa accessibile non riportava l’entità della gradazione”, le lenti graduate costituiscono, comunque, un dispositivo medico atto a correggere o compensare un difetto della capacità visiva, indipendentemente dalla specifica gradazione. Pertanto questi dati devono essere trattati nel rispetto del più stringente regime applicabile ai dati relativi alla salute che, come detto, non possono essere diffusi (art. 2-septies, comma 8 del Codice).

Tale principio è stato ribadito in numerose decisioni del Garante con riguardo a singoli casi (v. tra i tanti, provv. ti n.68 del 25 febbraio 2021 doc. web 9567429; n. 255 del 24 giugno 2021, doc. web n. 9688099; n. 404 del 1° dicembre 2022, doc. web 9842783; n. 405, del 1° dicembre 2022, doc. web 9844727; n. 420 del 15 dicembre 2022, doc. web 9853429; n. 3 dell'11 gennaio 2023, doc. web n. 9857610).

Sebbene, stando a quanto confermato dal Ministero, l’episodio da cui ha avuto origine la presente istruttoria è risultato essere frutto “di una concatenazione di eventi che ha visto la partecipazione del Gestore e di ISPRA, che hanno omesso il controllo, normalmente effettuato, al quale invece erano chiamati, prima di trasmettere la documentazione” destinata ad essere pubblicata sul sito web del Ministero, e sebbene lo stesso, appresa la notizia da fonti di stampa, si sia immediatamente attivato per assicurare la definitiva rimozione dal sito web dei predetti dati personali confluiti nella citata documentazione, si deve tuttavia concludere, per le ragioni sopra esposte, che i dati personali di numerosi lavoratori delle Acciaierie d'Italia (ex Ilva) di Taranto (circa 570) - associati anche al numero di matricola e per alcuni di essi (circa 45) anche a dati riferiti alla salute - sono stati pubblicati per 16 giorni sul sito web istituzionale del Ministero in assenza di base giuridica e in violazione del generale divieto a diffondere dati relativi alla salute, in modo non conforme agli artt. 5 par. 1, lett. a) e c), 6 par.1 lett. c) ed e) e 9 del Regolamento e degli artt. 2-ter, 2-sexies e 2-septies, comma 8, del Codice.

Si prende, comunque, favorevolmente atto delle iniziative assunte dal Ministero, anche con il coinvolgimento del Responsabile della protezione dei dati, finalizzate a porre in essere “ogni più opportuna azione per evitare che simili episodi si possano ripetere in futuro” anche portando all’attenzione di ISPRA che, in qualità di Autorità di controllo, avrebbe potuto verificare preliminarmente la pertinenza dei dati acquisiti con l’oggetto delle ispezioni.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Ministero, atteso che i dati personali di numerosi lavoratori delle Acciaierie d'Italia (ex Ilva) di Taranto (circa 570) - associati anche al numero di matricola e per alcuni di essi anche a dati riferiti alla salute (circa 45)  - sono stati pubblicati per 16 giorni sul sito web istituzionale del Ministero in assenza di base giuridica e in violazione del generale divieto a diffondere dati relativi alla salute, in modo non conforme agli artt. 5 par. 1, lett. a) e c),  6 par.1 lett. c) ed e) e 9 del Regolamento e degli artt. 2-ter, 2-sexies e 2-septies, comma 8, del Codice.

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 2, del Codice.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che i predetti dati sono stati rimossi dal sito web istituzionale del Ministero non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

In relazione ai predetti elementi è stato considerato la particolare delicatezza dei dati personali oggetto di diffusione online anche relativi alla salute di numerosi interessati vulnerabili, lavoratori delle Acciaierie d'Italia (ex Ilva) di Taranto. È stato inoltre considerato il mancato rispetto delle indicazioni che, da tempo, il Garante, ha fornito a tutti i soggetti pubblici con le Linee guida sopra richiamate e in numerosi provvedimenti su singoli casi concreti adottati negli anni dal Garante.

Di contro, si è tenuto in considerazione che la pubblicazione è avvenuta per un breve lasso di tempo e che il Ministero ha avuto cura di verificare che il numero di download del citato documento risulta pari a quattro, di cui tre download corrispondono all’indirizzo IP del Ministero mentre solo uno corrisponde a indirizzo IP esterno. È stato altresì considerato che, venuto a conoscenza da notizie di stampa in merito a quanto occorso, il Ministero, ancora prima dell’avvio dell’istruttoria da parte del Garante, ha messo in campo tutte le attività necessarie per rimuovere i dati personali in questione dal proprio sito web istituzionale, adottando così misure idonee a rimediare l’illecito anche prima dell’intervento del Garante. Sono state, altresì, valutate le iniziative assunte dal Ministero, anche con il coinvolgimento del Responsabile della protezione dei dati, finalizzate a porre in essere “ogni più opportuna azione per evitare che simili episodi si possano ripetere in futuro”. Non risultano, infine, precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 5.000 (cinquemila) per la violazione degli artt. 5 par. 1, lett. a) e c), 6 par.1 lett. c) ed e) e 9 del Regolamento e degli artt. 2-ter, 2-sexies e 2-septies, comma 8, del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, paragrafo 1, del Regolamento, effettiva, proporzionata e dissuasiva.
Tenuto conto che i dati personali, oggetto di diffusione online, riguardavano i dati personali di numerosi lavoratori, tra cui, per alcuni di essi, anche dati relativi alla salute, si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dal Ministero dell'Ambiente e della Sicurezza Energetica, già Ministero della Transizione Ecologica per violazione degli artt. 5 par. 1, lett. a) e c), 6 par.1 lett. c) ed e) e 9 del Regolamento e degli artt. 2-ter, 2-sexies e 2-septies, comma 8, del Codice, nei termini di cui in motivazione;

ORDINA

Al Ministero dell'Ambiente e della Sicurezza Energetica, già Ministero della Transizione Ecologica, in persona del legale rappresentante pro-tempore, con sede legale in via C. Colombo, 44 – 00147, Roma, C.F. 97047140583, di pagare la somma di euro 5.000 (cinquemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al predetto Ministero, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di 5.000 (cinquemila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione del presente provvedimento sul sito web del Garante, ritenendo che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 28 settembre 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
9944603
Data
28/09/23

Argomenti

Lavoro pubblico

Tipologie

Ordinanza ingiunzione o revoca

Vedi anche (10)