[doc. web n. 9986304]

Provvedimento del 24 gennaio 2024

Registro dei provvedimenti
n. 34 del 24 gennaio 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Introduzione

A seguito di una segnalazione si è appreso che su una pagina Facebook riferibile al Comune di XX (XX) (https://...), in data XX è stata pubblicato un post corredato da una mappa “dalla quale si evincono quasi le abitazioni delle famiglie con soggetti affetti da coronavirus e in quarantena”, contrassegnati da pallini rossi o gialli.

2. L’attività istruttoria

In occasione delle verifiche effettuate per accertare quanto segnalato, l’Autorità ha rilevato che nella medesima pagina Facebook del Comune, tra le numerose comunicazioni relative al Covid-19, risultano altresì essere stati pubblicati - sebbene oscurati in modo non completo o adeguato - dati identificativi degli interessati nei seguenti post:

a) post del XX: avente ad oggetto uno screenshot della email della ASL di Caserta indirizzata al Sindaco con cui si comunicano gli esiti dei tamponi effettuati ai “XX”;

b) post del XX: avente ad oggetto una nota della ASL di Caserta, contenente l’esito negativo del tampone effettuato ad un soggetto residente nel Comune, dalla quale si rileva, tuttavia, l’indirizzo (“XX, XX”) e il sesso della paziente (“XX”);

c) post del XX: avente ad oggetto una comunicazione della ASL relativa alla dimissione di un paziente, con esito negativo dei tamponi, parzialmente oscurata, dalla quale, a un ingrandimento dell’immagine, risultano, comunque, leggibili le generalità, l’indirizzo, i recapiti telefonici, la diagnosi e la data dell’effettuazione dei due tamponi che hanno dato esito negativo. XX .

Successivamente, l’Ufficio, con nota del XX, prot. XX, ha invitato il Comune a fornire ogni informazione utile in relazione alla vicenda sopra rappresentata, ai sensi dell’art. 157 del Codice.

Non essendo pervenuto un riscontro, la richiesta di informazioni al Comune è stata reiterata con nota del XX, prot. XX, anch’essa rimasta inevasa da parte del Comune.

Considerato che, nell’ambito dell’istruttoria, è stato, altresì, rilevato che non risultava pervenuta all’Autorità la comunicazione dei dati di contatto del Responsabile della protezione dei dati personali (di seguito, “RPD) con la predetta nota del XX l’Ufficio ha invitato il predetto Comune ad effettuare tale comunicazione tramite l’apposita procedura messa a disposizione alla pagina web https://servizi.gpdp.it/comunicazionerpd/s/. A tal proposito, analoga richiesta era stata già inviata al suddetto Comune con la nota del X, prot. XX, nell’ambito di una verifica, di carattere più generale, sulle comunicazioni dei dati di contatto degli RPD effettuate dai soggetti pubblici con la predetta procedura.

Con riferimento alla condotta del Comune di XX, l’Ufficio, sulla base degli elementi acquisiti, delle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato al Comune, in data XX (prot. X) ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento in relazione alle seguenti violazioni, per aver agito:

in maniera non conforme ai principi di liceità, correttezza e trasparenza e, pertanto, in violazione degli artt. 5, par. 1, lett. a) e 6, par. 1, lett. c) ed e), e 9 del Regolamento, e degli artt.  2-ter, 2-sexies e 2-septies, par. 8 del Codice (come vigenti all’epoca dei fatti, nel testo anteriore alle modifiche apportate dal decreto-legge 8 ottobre 2021, n. 139, convertito, con modificazioni, dalla legge 3 dicembre 2021, n. 205) con riferimento alla diffusione online di post contenenti dati personali, anagrafici e di contatto, nonché relativi alla salute, in assenza di un idoneo presupposto normativo e in violazione di un espresso divieto;

in violazione dell’art. 157 del Codice, in relazione al mancato riscontro della richiesta di informazioni formulata dall’Ufficio con nota del XX, prot. X, reiterata con nota del XX, prot. XX;

in violazione dell’art. 37, parr. 1, lett. a), e 7 del Regolamento, in relazione alla mancata nomina del Responsabile per la protezione dei dati personali, e conseguentemente, all’omessa comunicazione dei dati di contatto all’Autorità.

Il Comune, con l’atto sopra citato è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla legge 24 novembre 1981, n. 689).

A seguito della suddetta notifica, il predetto Comune non ha presentato memorie difensive, né ha chiesto di essere audito.

Il Comune ha provveduto invece a trasmettere, seppur tardivamente, all’Autorità la comunicazione in merito ai dati di contatto del Responsabile della protezione dei dati personali (XX, prot. RPD n. XX).

3. Esito dell’attività istruttoria

3.1. La normativa in materia di protezione dei dati personali.

Il trattamento di dati personali deve avvenire nel rispetto della normativa applicabile in materia di protezione dei dati personali e, in particolare, delle disposizioni del Regolamento e del Codice.

Per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)”. Inoltre, “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4, par. 1, n. 1, del Regolamento).

Per quanto concerne le categorie particolari di dati, sono considerati tali “i dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché […] dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona” (art. 9, par. 1, del Regolamento).

In aggiunta, con particolare riferimento al caso sottoposto all’attenzione di questa Autorità, si ricorda che l’operazione di “diffusione” di dati personali – ossia “il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione” (art. 2-ter, comma 4, lett. b) del Codice) – trattati per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, è ammessa solo quando sia prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento (art. 2-ter, comma 3, del Codice, nel testo antecedente alle modifiche apportate dal citato d.l. 8 ottobre 2021, n. 139, convertito, con modificazioni, dalla l. 3 dicembre 2021, n. 205) e sempre nel rispetto dei principi in materia di protezione dei dati personali, tra i quali, i principi di “liceità, correttezza e trasparenza” (art. 5, par. 1, lett. a), del Regolamento), in base ai quali i dati devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell'interessato”.

3.2. La diffusione online di dati personali e categorie particolari di dati.

Dall’accertamento compiuto sulla base degli elementi acquisiti e dei fatti emersi nell’ambito dell’attività istruttoria, è stato rilevato che il Comune ha diffuso dati anagrafici e di contatto, nonché relativi alla salute, mediante la pubblicazione sulla propria pagina Facebook (URL: https://... ), dei post del XX (mappa delle abitazioni dei soggetti positivi o in isolamento, cfr. URL https://...), del XX (screenshot della email della ASL con esiti dei tamponi effettuati ai “XX”, cfr: https://....), del XX (nota ASL contenente l’esito negativo del tampone riferito a un soggetto del quale è indicato l’indirizzo e il sesso, cfr. URL https://...) e del XX (nota ASL relativa alla dimissione di un paziente, con dati personali, non adeguatamente oscurati; ingrandendo l’immagine si leggono infatti le generalità, l’indirizzo, i recapiti telefonici, la diagnosi e la data dell’effettuazione dei due tamponi che hanno dato esito negativo, cfr. URL https://...).

Con particolare riferimento al contesto in esame, si evidenzia il rischio che, anche nel caso della pubblicazione della documentazione in cui non sono riportati i dati identificativi completi degli interessati (per esempio, la mappa o la comunicazione riportante solo le iniziali puntate, etc.), soprattutto in realtà territoriali come quella del predetto Comune, gli interessati siano, comunque, identificabili in quanto correlati agli indirizzi di abitazione.

In aggiunta, dagli accertamenti effettuati dall’Ufficio i suddetti post risultano tuttora pubblicati sulla pagina Facebook del Comune (documentazione acquisita in atti).  

Sul punto, si rappresenta che il trattamento dei dati personali effettuato da soggetti pubblici è, di regola, lecito solo se necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e), del Regolamento). È inoltre previsto che “Gli Stati membri possono mantenere […] disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento), con la conseguenza che al caso di specie, nell’ordinamento italiano, risulta applicabile l’art. 2-ter, del Codice, nel testo vigente all’epoca dei fatti (antecedente alle modifiche apportate dal citato d.l. 8 ottobre 2021, n. 139, convertito, con modificazioni, dalla l. 3 dicembre 2021, n. 205).

In tale quadro, i soggetti pubblici possono diffondere dati personali se tale operazione è prevista “da una norma di legge o, nei casi previsti dalla legge, di regolamento” (art. 2-ter, commi 1 e 3, del Codice, nel testo vigente all’epoca dei fatti).

Il titolare del trattamento, pur in presenza di una condizione di liceità, è poi, in ogni caso, tenuto a rispettare i principi di cui all’art. 5 del Regolamento, tra i quali, i suindicati principi di liceità, correttezza e trasparenza (art. 5, par. 1, lett. a), del Regolamento).

Per quanto concerne i trattamenti aventi ad oggetto categorie particolari di dati personali di cui all'articolo 9, par. 1, del Regolamento, necessari per motivi di interesse pubblico rilevante ai sensi del par. 2, lett. g), del medesimo articolo, “sono ammessi qualora siano previsti dal diritto dell'Unione europea ovvero, nell'ordinamento interno, da disposizioni di legge o, nei casi previsti dalla legge, di regolamento che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato (art. 2-sexies, comma 1, del Codice, nel testo vigente all’epoca dei fatti, antecedente alle modifiche apportate dal citato d.l. 8 ottobre 2021, n. 139, convertito, con modificazioni, dalla l. 3 dicembre 2021, n. 205).

In ogni caso, i dati relativi alla salute, ossia quelli “attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, paragrafo 1, n. 15 del Regolamento), in ragione delle maggiori garanzie riconosciute dal Regolamento e dal Codice, stante la particolare delicatezza di tale categoria di dati, è espressamente previsto che “non possono essere diffusi” (art. 2-septies, comma 8, del Codice e art. 9, paragrafo 4, del Regolamento).

Per quanto concerne, inoltre, la situazione emergenziale, si evidenzia che, nell’ambito della gestione dello stato di emergenza legato all’epidemia da COVID-19, deliberato dal Consiglio dei Ministri in data 31 gennaio 2020, sono state adottate numerose disposizioni che implicano il trattamento di dati personali. Tali disposizioni prevedono, da un lato, che le amministrazioni pubbliche possano effettuare i trattamenti di dati personali che risultino necessari all'espletamento delle funzioni attribuitegli nell'ambito dell'emergenza determinata dal diffondersi del Covid-19, dall’altro, che siano, comunque, adottate le misure necessarie a garantire il rispetto della disciplina vigente in materia di protezione dei dati personali e, in particolare, dei principi applicabili al trattamento, di cui all’art. 5 del Regolamento (cfr. art. 5 dell’ordinanza del Capo del Dipartimento della protezione civile del 3 febbraio 2020, n. 630; art. 17 bis del decreto-legge 17 marzo 2020, n. 18, convertito con modificazioni, dalla  legge 24 aprile 2020, n. 27).

Come già evidenziato, la disciplina vigente vieta la diffusione dei dati relativi alla salute, e tale divieto non è stato derogato dalla normativa d’urgenza sul Covid-19 (art. 9 del Regolamento; artt. 2-septies, comma 8, del Codice e 166, comma 2 del Codice; art. 14 del decreto-legge 9 marzo 2020, n. 14 e art. 17bis del citato d.l. 17 marzo 2020, n. 18, convertito con modificazioni, dalla l. 24 aprile 2020, n. 27). Tale trattamento, oltre che vietato, nel contesto della gestione dell’emergenza aggiunge agli interessati e ai loro familiari, oltre alla pena per l’esposizione alla malattia, anche quella derivante da un’inaccettabile diffusione di aspetti assai delicati relativi alla propria vita privata. Con specifico riferimento alla diffusione sui social e sugli organi di stampa, anche online, di dati personali come quelli sopra citati, il Garante ha precisato che “anche in una situazione di emergenza quale quella attuale, in cui l’informazione mostra tutte le sue caratteristiche di servizio indispensabile per la collettività, non possono essere disattese alcune garanzie a tutela della riservatezza e della dignità delle persone colpite dalla malattia contenute nella normativa vigente e nelle Regole deontologiche relative all’attività giornalistica” (Comunicato stampa del 31 marzo 2020, in www.gpdp.it, doc. web n. 9303613).

In ragione delle considerazioni che precedono, il trattamento dei dati personali effettuato mediante la diffusione online di dati personali, anagrafici e di contatto, nonché di dati relativi alla salute, risulta essere stato effettuato in contrasto con la normativa in materia di protezione dei dati personali, in quanto attuato in maniera non conforme al “principio di liceità, correttezza e trasparenza” e in assenza di una base giuridica, in violazione degli artt. 5, par. 1, lett. a), 6, par. 1, lett. c) ed e), e 9 del Regolamento, nonché degli artt. 2-ter, 2-sexies e 2-septies, par. 8 del Codice (nel testo vigente all’epoca dei fatti, antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, convertito, con modificazioni, dalla l. 3 dicembre 2021, n. 205).

3.3. Il mancato riscontro alla richiesta di informazioni del Garante, ai sensi dell’art. 157 del Codice.

Con riguardo alla contestazione relativa al mancato riscontro nei termini della richiesta di informazioni dell’Ufficio del XX (prot. n. XX), reiterata con nota del XX (prot. n. XX) si rappresenta, in linea generale, che l’Autorità di controllo, nell’ambito dei compiti e poteri attribuiti dal Regolamento, assicura, tra l’altro, l’applicazione del Regolamento e svolge le opportune indagini, anche sulla corretta applicazione della disciplina di protezione dei dati da parte dei titolari (art. 57 par.1, lett. a), f) ed h) e 58 del Regolamento). A tale scopo l’Autorità ha il potere di ingiungere al titolare del trattamento di fornire ogni informazione di cui necessiti per l’esecuzione dei suoi compiti (art. 58 par.1, lett. a), del Regolamento).

Si evidenzia, inoltre, che l’art. 157 del Codice prevede che “nell’ambito dei poteri di cui all'articolo 58 del Regolamento, e per l’espletamento dei propri compiti, il Garante può richiedere al titolare, al responsabile, al rappresentante del titolare o del responsabile, all'interessato o anche a terzi di fornire informazioni e di esibire documenti anche con riferimento al contenuto di banche di dati”, e che l’inosservanza di tale disposizione rende applicabile la sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5 del Regolamento (art. 166, comma 2 del Codice).

A tal proposito, si osserva che, anche alla luce dei principi generali di buon andamento, efficienza, efficacia ed economicità dell’azione amministrativa (art. 97 Cost., nonché art. 9, comma 1 e 10, comma 3, del Regolamento interno del Garante n. 1/2019 del 4 aprile 2019, doc. web n. 9107633), non è pervenuto alcun riscontro alla richiesta di informazioni dell’Ufficio del XX (prot. n. XX), reiterata con nota del XX (prot. n. XX) – nemmeno successivamente all’avvio del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori del XX, (prot. XX) – risultando, pertanto, accertata la violazione dell’art. 157 del Codice.

3.3. L’omessa comunicazione dei dati di contatto del Responsabile della protezione dei dati, ai sensi dell’art. 37 del Regolamento.

In relazione, invece, agli adempimenti relativi al Responsabile della protezione dei dati personali previsti dall’art. 37 del Regolamento, il Comune ha comunicato al Garante i relativi dati di contatto, tramite l’apposita procedura, solo in data XX(prot. RPD n. XX), quindi, solo successivamente alla contestazione mossa dall’Ufficio.

Sul punto, l’art. 37, par. 1, lett. a), del Regolamento prevede l’obbligo, per ogni autorità pubblica od organismo pubblico che effettui trattamenti di dati personali, di nominare tale figura. Inoltre, il par. 7 del medesimo art. 37 richiede l’obbligo di comunicazione all’Autorità di controllo dei dati di contatto del predetto RPD.

Al riguardo, si rileva pertanto che il Comune ha ottemperato con notevole ritardo all’adempimento previsto dall’art. 37, par. 7, del Regolamento, divenuto obbligatorio dal 25 maggio 2018, data in cui il Regolamento è divenuto applicabile.

Si prende in ogni caso atto che l’ente ha provveduto a sanare la situazione di irregolarità provvedendo ad effettuare la comunicazione dei dati di contatto al Garante, sebbene solo in un momento successivo alla contestazione mossa dall’Ufficio.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate e tenuto conto della circostanza che il Comune di XX non ha fatto pervenire scritti difensivi o documenti, né ha richiesto di essere sentito dall’Autorità, non possono ritenersi superati i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, né può procedersi all’archiviazione del presente procedimento, non ricorrendo alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Comune di XX, per aver effettuato il trattamento di dati personali in violazione degli artt. 5, par. 1, lett. a), 6, par. 1 lett. c) ed e), 9 e 37, par.  7 del Regolamento, e degli artt. 2-ter, 2-sexies, 2-septies, par. 8 e 157 del Codice (nel testo anteriore alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, convertito, con modificazioni, dalla l. 3 dicembre 2021, n. 205).

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, parr. 4 e 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 2, del Codice.

5. Misure correttive (art. 58, par. 2, lett. d), del Regolamento).

L’art. 58, par. 2, del Regolamento attribuisce al Garante il potere di “ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine” (lett. d).

Prendendo atto di quanto emerso in fase di istruttoria e tenendo conto della circostanza che i post del XX (URL: https://...), XX (URL: https:...), XX (URL: https://...) e XX URL: https://...), riportanti dati personali oscurati in modo non completo o adeguato, risultano tuttora pubblicati sulla pagina Facebook del Comune di XX (https://...) si rende altresì necessario, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiungere al Comune di cessare l’ulteriore diffusione dei dati personali pubblicati sulla predetta pagina Facebook alle URL sopra indicate.

Ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, il Comune dovrà, inoltre, provvedere a comunicare a questa Autorità, fornendo un riscontro adeguatamente documentato, entro trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione a quanto sopra ordinato ai sensi del citato art. 58, par. 2, lett. d), nonché le eventuali misure poste in essere per assicurare la conformità del trattamento alla normativa in materia di protezione dei dati personali.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Nel caso di specie, il Comune di XX ha posto in essere tre condotte distinte, le quali devono, pertanto, essere considerate separatamente ai fini della quantificazione delle sanzioni amministrative da applicarsi.

6.1 La condotta di cui al precedente paragrafo 3.2.

Tenuto conto che la violazione delle disposizioni citate nel precedente paragrafo 3.2, per effetto della diffusione online di dati personali, anagrafici e di contatto, nonché di dati relativi alla salute, ha avuto luogo in conseguenza di una condotta che può essere considerata unitaria, (stesso trattamento o trattamenti tra loro collegati, in considerazione del fatto che la pubblicazione dei post contenenti i suddetti dati personali è stata effettuata in un circoscritto arco temporale e nella prima fase di gestione e contenimento dell’emergenza epidemiologica relativa al virus SARS CoV-2, con l’intento di fornire aggiornamenti rispetto alla situazione emergenziale nel Comune ), trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave. Considerato che, nel caso di specie, tutte le violazioni accertate - artt. 5, 6 e 9 del Regolamento, nonché 2-ter, 2-sexies e 2-septies, par. 8 del Codice - sono soggette alla sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione rientra nell’ambito della misura fino a euro 20.000.000,00 (ventimilioni/00).

La predetta sanzione amministrativa pecuniaria, inflitta in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Con specifico riguardo alla natura e alla gravità della violazione (art. 83, par. 2, lett. a), del Regolamento), occorre considerare sia la specifica natura del trattamento – concernente la diffusione di dati personali mediante una pagina Facebook, pubblicamente accessibile, del Comune – sia la prolungata durata dello stesso. Si ritiene che debba, altresì, essere presa in considerazione la delicatezza dei dati trattati (art. 83, par. 2, lett. g), del Regolamento), essendo gli stessi suscettibili di poter rivelare le condizioni di salute degli interessati.

In senso favorevole al titolare deve tuttavia considerarsi che la pubblicazione ha riguardato un numero esiguo di interessati (tre casi) e che il predetto Comune ha, comunque, oscurato i dati personali contenuti nella documentazione pubblicata online, sebbene tale operazione, come riscontrato dall’Ufficio nel corso dell’istruttoria, non risulti essere stata effettuata in modo completo o adeguato (art. 83, par. 2, lett. a).

Alla luce di tali circostanze, si ritiene che, nel caso di specie, il livello di gravità di tale violazione commessa dal titolare del trattamento possa essere considerato di grado medio (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023, punto 60).

Ciò premesso, si deve considerare, in senso favorevole al titolare, che titolare del trattamento è un Comune di modeste dimensioni (circa 5990 abitanti), che, ai fini dell’art. 83, par. 2, lett. e), del Regolamento, non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento e che, ai fini dell’art. 83, par. 2, lett. k), del Regolamento, il trattamento è avvenuto durante il primo lockdown, e dunque, nella fase inziale di gestione e contenimento della situazione emergenziale (marzo-aprile 2020).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 3.000 (tremila) per la violazione degli artt. 5, par. 1, lett. a), 6, par. 1 lett. c) ed e), e 9 del Regolamento, e degli artt. 2-ter, 2-sexies, e 2-septies, par. 8 del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

6.2 La condotta di cui al precedente paragrafo 3.3.

La violazione dell’art. 157 del Codice, citata nel precedente paragrafo 3.3, per effetto del mancato riscontro alle richieste di informazioni avanzate dall’Autorità nei confronti del Comune ha, invece, avuto luogo in conseguenza di un’ulteriore unica condotta, in violazione di un’unica disposizione normativa. Considerato che, nel caso di specie, la suddetta violazione è soggetta alla sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, come richiamato dall’art. 166, comma 2, del Codice, l’importo totale della sanzione rientra nell’ambito della misura fino a euro 20.000.000,00 (ventimilioni/00).

Con specifico riguardo alla natura e alla gravità della violazione (art. 83, par. 2, lett. a), del Regolamento), occorre considerare che il Comune non ha fatto pervenire alcun riscontro nell’ambito dell’intera fase istruttoria condotta dall’Autorità, nonostante la nota di sollecito avanzata dall’Autorità stessa e la successiva comunicazione di avvio del procedimento.

Alla luce di tali circostanze, si ritiene che, nel caso di specie, il livello di gravità di tale violazione commessa dal titolare del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023, punto 60)”.

Ciò premesso, si devono considerare, in senso favorevole al titolare, le predette caratteristiche dimensionali del titolare e l’assenza di precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 2.000 (duemila) per la violazione dell’art. 157 del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

6.3 La condotta di cui al precedente paragrafo 3.4.

La violazione dell’art. 37, par. 7 del Regolamento, citata nel precedente paragrafo 3.4, per effetto dell’omessa comunicazione dei dati di contatto del Responsabile della protezione dei dati personali all’Autorità ha, invece, avuto luogo in conseguenza di un’ulteriore unica condotta, in violazione di un’unica disposizione normativa. Considerato che, nel caso di specie, la suddetta violazione è soggetta alla sanzione amministrativa prevista dall’art. 83, par. 4, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione rientra nell’ambito della misura fino a euro 10.000.000,00 (diecimilioni/00).

Con specifico riguardo alla natura e alla gravità della violazione (art. 83, par. 2, lett. a) del Regolamento), occorre considerare che la stessa si è protratta per un considerevole lasso di tempo (sino a fine XX, e nonostante richieste di sollecito avanzate dall’Autorità).

Alla luce di tali circostanze, si ritiene che, nel caso di specie, il livello di gravità di tale violazione commessa dal titolare del trattamento sia di grado medio (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023, punto 60)”.

Ciò premesso, si devono considerare, in senso favorevole al titolare, le predette caratteristiche dimensionali del titolare e l’assenza di precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 1.000 (mille) per la violazione dell’art. 37, par. 7 del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

6.4. Valutazioni aggiuntive e sanzione accessoria della pubblicazione.

Alla luce di quanto sopra esposto e tenuto conto della particolare capacità diffusiva dello strumento di pubblicazione utilizzato dal Comune (social network) nonché del comportamento tenuto dallo stesso nell’ambito dell’istruttoria, si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dal Comune di XX per violazione degli artt. 5, par. 1, lett. a), 6, par. 1 lett. c) ed e), 9 e 37, par.  7 del Regolamento, e degli artt. 2-ter, 2-sexies, 2-septies, par. 8 e 157 del Codice (nel testo anteriore alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, convertito, con modificazioni, dalla l. 3 dicembre 2021, n. 205), nei termini di cui in motivazione;

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, al Comune di XX, con sede legale in XX, XX (CE) C.F. XX, di pagare la complessiva somma di euro 6.000,00 (seimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al Comune di XX:

a) di pagare la complessiva somma di euro 6.000,00 (seimila) in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

b) ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di cessare l’ulteriore diffusione dei dati personali pubblicati con i post del XX, dell’XX, del X e del XX, attualmente consultabili nella pagina Facebook riferibile al Comune di XX, ..., rispettivamente alle URL https://..., https://..., https://..., https://...;

c) ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, di comunicare a questa Autorità, fornendo un riscontro adeguatamente documentato, entro trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione a quanto sopra ordinato ai sensi del citato art. 58, par. 2, lett. d), nonché le eventuali misure poste in essere per assicurare la conformità del trattamento alla normativa in materia di protezione dei dati personali.

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice (v. art. 16 del Regolamento del Garante n. 1/2019);

l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento (v. art. 17 del Regolamento del Garante n. 1/2019).

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 24 gennaio 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei