Ordinanza ingiunzione nei confronti di Comune di Trieste - 29 aprile 2021...
Ordinanza ingiunzione nei confronti di Comune di Trieste - 29 aprile 2021 [9681028]
Condividi[doc. web n. 9681028]
Ordinanza ingiunzione nei confronti di Comune di Trieste - 29 aprile 2021
Registro dei provvedimenti
n. 168 del 29 aprile 2021
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale; il dott. Agostino Ghiglia
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);
VISTO il d. lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);
VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida in materia di trasparenza”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;
Relatore il prof. Pasquale Stanzione;
PREMESSO
1. Introduzione
Questa Autorità ha ricevuto una segnalazione, con la quale è stata lamentata una violazione della normativa in materia di protezione dei dati personali da parte del Comune di Trieste.
Nello specifico, dalla verifica preliminare effettuata dall’Ufficio, è risultato che all’indirizzo web http://... si apriva una pagina web intitolata «Bandi e Concorsi», relativa alla determinazione dirigenziale n. XX, pubblicata in data XX, avente a oggetto «XX» (XX), con i relativi «atti intermedi» e «allegati».
Fra gli allegati pubblicati online risultavano liberamente accessibili e disponibili:
1) il file denominato «XX», scaricabile dall’url:
http://...;
2) la cartella «XX», scaricabile dall’url:
http://..., che comprendeva una cartella denominata «XX», con all’interno n. 4 file, fra cui 2 file denominati «XX» e «XX».
Tutti i predetti file contenevano informazioni e dati personali, riferiti nel complesso a centinaia di soggetti danneggiati coinvolti nei sinistri, con indicazione in chiaro, fra l’altro, del nominativo, della dinamica e tipologia di danno, della data del sinistro e dell’entità della somma ricevuta a titolo di risarcimento. In alcuni casi era evidenziata anche l’esistenza della lesione fisica riportata dal soggetto danneggiato e la relativa tipologia – tale da rivelare un dato sulla salute –, laddove era riportata la voce circa l’esistenza dell’avvenuta lesione a persone oppure le relative conseguenze, quali «frattura collo femorale sx composta [da] omessa manutenzione marciapiede», «contusione al ginocchio», «frattura rotula», lesione per caduta in una buca o dalle scale oppure per omessa manutenzione ecc.
2. La normativa in materia di protezione dei dati personali
Ai sensi della disciplina in materia, «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)» e «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).
Al riguardo, i soggetti pubblici, come il Comune, possono diffondere «dati personali» solo se tale operazione è prevista «da una norma di legge o, nei casi previsti dalla legge, di regolamento» (art. 2-ter, commi 1 e 3, del Codice), nel rispetto – in ogni caso – dei principi in materia di protezione dei dati, fra i quali quello di «minimizzazione», in base al quale i dati personali devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. c, del RGPD).
È comunque vietata la diffusione di dati relativi alla salute (art. 2-septies, comma 8, del Codice), ossia di «dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute» (artt. 4, par. 1, n. 15; 9, par. 1, 2 e 4, considerando n. 35 del RGPD).
In tale quadro, inoltre, si ricorda che sin dal 2014 il Garante ha evidenziato che i dati idonei a rivelare lo stato di salute sono, oltre quelli relativi all’indicazione della patologia, anche quelli che riguardano qualsiasi informazione «da cui si possa desumere, anche indirettamente, lo stato di malattia o l’esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici» (cfr. provvedimento n. 243 del 15/5/2014, recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», in corso di aggiornamento ma ancora valide nella parte sostanziale, pubblicate in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436, parte prima par. 2 e parte seconda, par. 1; nonché provvedimenti ivi citati in nota n. 5).
3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato.
A seguito dalle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi nel corso dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio, con nota prot. n. XX del XX, ha accertato che il Comune di Trieste – diffondendo i dati e le informazioni personali dei soggetti interessati contenuti nei documenti pubblicati online prima descritti – ha effettuato un trattamento non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD. Pertanto, con la medesima nota sono state notificate al predetto Comune le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD e invitando la predetta amministrazione a far pervenire al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentita da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).
4. Memorie difensive e audizione.
Il Comune di Trieste, con la nota del XX, prot. n. XX – XX, ha inviato al Garante i propri scritti difensivi in relazione alle violazioni notificate.
Al riguardo, si ricorda che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, intitolato «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante».
Nello specifico, l’ente ha rappresentato, fra l’altro, che:
- «Immediatamente appena ricevuta la comunicazione il titolare, nella stessa giornata del XX, ha messo in atto tutte le misure necessarie e adeguate volte all’eliminazione dal sito web del Comune dei documenti visibili nei link evidenziati e, dopo qualche ora circa dall’acquisizione della comunicazione del garante, la struttura ha provveduto alla rimozione dei link e, quindi, a non rendere accessibile i dati nelle cartelle segnalate»;
- «la pubblicazione dei file comprensivi dei nominativi dei danneggiati era avvenuta per […] disattenzione e, quindi, per mancato controllo»;
- «gli atti di gara, comprensivi dei file relativi alle statistiche sinistri erano rimasti in pubblicazione anche dopo la scadenza del bando in forza, della previsione normativa dell’art. 8 del D. lgs.33/2013»;
- «i file statistiche sinistri erano stati […] pubblicati per garantire la parità di trattamento tra i concorrenti, in conformità alle indicazioni contenute nelle Determine ANAC n. 2/2013 e 618/2016, quest’ultima recante: "Linee guida operative e clausole contrattuali-tipo per l'affidamento di servizi assicurativi" [e] le determinazioni ANAC espressamente prevedono – con sanzione in caso di omissione – che negli atti di gara i potenziali operatori economici devono essere su un piano di reale parità, e avere tutto il bagaglio informativo necessario alla quotazione del rischio (cd. XX), che costituisce elemento essenziale per le Compagnie Assicurative che devono conoscere preventivamente sia il numero di sinistri che il valore degli stessi»;
- «la “statistica” la cui pubblicazione era obbligatoria comportava, però, la necessaria cancellazione della colonna relativa ai nominativi dei danneggiati, che si pensava essere cosa già fatta dal titolare che ne aveva la disponibilità, ossia dall’assicurazione [identificata in atti], dati dalla stessa trasmessi alla stazione appaltante e dal broker e la cui verifica sulla cancellazione [l’amministrazione] non aveva fatto alcun controllo, confidando nella professionalità sia dell’Assicurazione che del Broker»;
- «in considerazione dei provvedimenti dell'Autorità Anti Corruzione richiamati nel rispetto del principio di minimizzazione gli unici dati che dovevano essere oscurati erano solo quelli relativi alla colonna dei nominativi dei danneggiati\risarciti con permanenza degli altri dati nella colonna “dinamica” e quella dei “valori economici” e “conseguenze”»;
- «I dati come pubblicati sono stati trasmessi dalla [società assicurativa identificata in atti], che sulla base del documento web n. 9169688 dell’Autorità Garante, come assicurazione, riveste il ruolo di autonomo Titolare del trattamento dei dati degli assicurati»;
- «Parimenti in relazione alle competenze del servizio di brokeraggio [identificato in atti], la cui base giuridica del trattamento ha fonte nell’art. 6, paragrafo 1, lettera c), essendo il trattamento necessario per adempiere un obbligo legale al quale è soggetto il Titolare del trattamento per le finalità connesse all’attività pre-contrattuale e contrattuale di intermediazione assicurativa, connessa all’attività di assistenza e consulenza e gestione della fase di liquidazione sinistri, a sua volta si configura come ulteriore Titolare autonomo del trattamento dei dati».
- «[l’amministrazione] ha, oggettivamente, fatto affidamento sia sulla competenza dell’assicurazione titolare dei dati che sulla competenza professionale del Broker, Titolare autonomo»;
- «Di tutta evidenza è, perciò, la responsabilità dell’assicurazione […] che [ha] trasmesso le statistiche non conformi alle prescrizioni contrattuali che non richiedevano […] tra i dati quello di trasmettere i nominativi dei danneggiati»;
- «Non vi sono precedenti in ordine a procedure, rilievi o contestazioni in danno del Comune di Trieste».
In data XX si è, inoltre, svolta l’audizione richiesta dal Comune di Trieste ai sensi dell’art. 166, comma 6, del Codice in occasione della quale oltre a confermare e riprendere il contenuto di quanto già riportato nelle memorie difensive è stato rappresentato, ad integrazione di quanto già riportato nella documentazione inviata, fra l’altro che:
- «La pubblicazione dei file oggetto di contestazione era obbligatoria, ma andavano oscurati i nominativi dei soggetti interessati»;
- «A ciò si aggiunge che, dalle ricerche sui file di log effettuate, da febbraio a novembre, è stato verificato che i file diffusi sono stati visionati da pochi soggetti nel numero di 55 accessi … Inoltre, alcuni accessi sono solo di pochi secondi e, dunque, non idonei a visualizzare e scaricare i dati personali oggetto di segnalazione. Presumibilmente gli accessi sono stati effettuati da operatori economici partecipanti alla gara e dai soggetti coinvolti nel procedimento sanzionatorio del Garante per le verifiche necessarie. Ciò si deduce dalla circostanza che 44 accessi sono stati effettuati nel periodo di gara (febbraio-aprile), 4 nel mese di novembre (dopo la contestazione del Garante) e 7 nei restanti mesi di cui alcuni solo di pochi secondi»;
- «In relazione al principio di responsabilizzazione (art. 5, par. 2 e 24 del RGPD), tutti i soggetti che partecipano al trattamento sono corresponsabili. Al riguardo, si ricorda che il Garante nel provvedimento del 28/10/2019 (doc. web n. 9169688) qualifica la particolare posizione della compagnia assicurativa rispetto ai dati oggetto del presente procedimento, ben disciplinata anche nel rapporto contrattuale fra il Comune e compagnia assicurativa»;
- «Si richiamano, inoltre, le disposizioni che obbligano la compagnia assicurativa e il broker a trasmettere i dati al Comune da pubblicare – ai sensi degli artt. 9, 14, del disciplinare di gara – nel rispetto della normativa in materia di protezione dei dati personali»;
- «L’Ente comunale potrebbe rispondere, quindi, in via residuale dell’omessa vigilanza in ordine alla mancata cancellazione dei dati personali trasmessi dalla compagnia assicurativa prima della diffusione online. Tale omissione può essere attribuita anche al particolare momento in cui si sono trovate ad operare le pp.aa. in periodo di emergenza da Covid-19 e di lockdown, di lavoro a distanza, nonché dell’urgenza di attivare le procedure di gara dovuto anche al ritardo con cui l’assicurazione ha trasmesso i dati statistici al Comune ai fini della predetta gara che era in scadenza»;
- «L’Ente chiede di tenere anche conto che nella struttura e soprattutto nel settore contratti è stata effettuata, quale forma di prevenzione, anche una capillare attività di formazione dei dipendenti sulle cautele da osservare in materia di pubblicazione dei dati online e che l’errore è dovuto alla compresenza estemporanea dei citati avvenimenti esterni. Quanto accaduto configura in ogni caso un evento del tutto accidentale e soprattutto occasionale, dovuto anche alla circostanza che nel file excel pubblicato, contenente numerose colonne informative, la colonna dei soggetti interessati non era immediatamente visibile e nei singoli passaggi è sfuggita la relativa presenza. A dimostrazione della buona fede del Comune, si evidenzia che l’art. 14 del capitolato contrattuale, che regola i rapporti tra Comune e compagnia assicurativa, sancisce espressamente che nelle statistiche che la compagnia assicurativa è tenuta a trasmettere al Comune non devono essere contenuti i nominativi dei soggetti interessati. Il Comune è stato, quindi, tratto in errore dal mancato rispetto dell’adempimento contrattuale della predetta compagnia che, invece, ha trasmesso anche i nominativi dei soggetti interessati pubblicati online. Si precisa che se la compagnia assicurativa avesse rispettato il predetto obbligo contrattuale – nel quale il Comune aveva fatto affidamento – non ci sarebbe stata alcuna diffusione di dati personali»;
- «Si aggiunge, inoltre, che – per tutta la durata della pubblicazione – il Comune non ha ricevuto alcuna segnalazione o reclamo, oppure doglianza da parte dei soggetti interessati o di terzi, né alcuna richiesta di danni».
5. Valutazioni del Garante
La questione oggetto del caso sottoposto all’attenzione del Garante riguarda la diffusione di dati e informazioni personali contenuti in alcuni file sulle statistiche dei risarcimenti danni pubblicati online dal Comune di Trieste nell’ambito di una procedura di affidamento del servizio assicurativo di responsabilità civile generale dell’ente. Tali file in formato exel contenevano informazioni e dati personali, riferiti nel complesso a centinaia di soggetti danneggiati, con indicazione in chiaro, fra l’altro, del nominativo, della dinamica e tipologia di danno, della data del sinistro e dell’entità della somma ricevuta a titolo di risarcimento. In alcuni casi era evidenziata anche l’esistenza della lesione fisica riportata dal soggetto danneggiato e la relativa tipologia – tale da rivelare un dato sulla salute –, laddove era riportata la voce circa l’esistenza dell’avvenuta lesione a persone oppure le relative conseguenze, quali «frattura collo femorale sx composta [da] omessa manutenzione marciapiede», «contusione al ginocchio», «frattura rotula», lesione per caduta in una buca o dalle scale oppure per omessa manutenzione, ecc.
Al riguardo, si evidenzia in via preliminare – al fine di rispondere all’eccezione dell’ente contenuta nelle memorie difensive nella parte in cui si fa riferimento alla compagnia assicurativa come se fosse l’unico titolare autonomo dei dati degli assicurati – che il Comune di Trieste riveste indubbiamente la qualifica di titolare del trattamento effettuato nel caso esaminato, inerente alla diffusione di dati personali sul sito web istituzionale, ai sensi dell’art. 4, par. 1, n. 7, del RGPD.
Ciò chiarito, nell’ambito dell’istruttoria aperta al riguardo da questa Autorità, il Comune ha in ogni caso confermato l’avvenuta diffusione online dei dati personali prima descritti, rappresentando che la pubblicazione dei documenti riguardanti le statistiche dei sinistri era obbligatoria e necessaria «per garantire la parità di trattamento tra i concorrenti, in conformità alle indicazioni contenute nelle Determine ANAC n. 2/2013 e 618/2016», nonché per garantire ai potenziali operatori economici che volevano presentare offerte, nell’ambito della procedura di affidamento del servizio assicurativo di responsabilità civile generale dell’ente, «tutto il bagaglio informativo necessario alla quotazione del rischio (cd. XX), che costituisce elemento essenziale per le Compagnie Assicurative che devono conoscere preventivamente sia il numero di sinistri che il valore degli stessi».
Il medesimo ente ha tuttavia evidenziato in proposito che nell’effettuare tale pubblicazione sarebbe stato necessario provvedere alla «cancellazione della colonna relativa ai nominativi dei danneggiati», oscurando l’identità dei soggetti interessati, e che «la pubblicazione dei file comprensivi dei nominativi dei danneggiati [è] avvenuta per […] disattenzione e, quindi, per mancato controllo» del Comune.
In relazione alla condotta tenuta, l’amministrazione ha però anche evidenziato che la predetta errata pubblicazione è derivante anche dalla circostanza di aver pensato che l’oscuramento dei dati personali contenuti nelle statistiche fosse stato effettuato a monte dalla compagnia di assicurazione e dal broker al momento della trasmissione dei file alla stazione appaltante. Ciò in considerazione – secondo quanto dichiarato nelle memorie difensive e nel corso dell’audizione – delle disposizioni contenute negli artt. 9 e 14 del disciplinare di gara/capitolato contrattuale «che regola i rapporti tra Comune e compagnia assicurativa, [dove è] sanci[to] espressamente che nelle statistiche che la compagnia assicurativa è tenuta a trasmettere al Comune non devono essere contenuti i nominativi dei soggetti interessati». Di conseguenza, l’ente ha sostenuto che «se la compagnia assicurativa avesse rispettato il predetto obbligo contrattuale – nel quale il Comune aveva fatto affidamento – non ci sarebbe stata alcuna diffusione di dati personali». Il Comune sarebbe «stato, quindi, tratto in errore dal mancato rispetto dell’adempimento contrattuale della predetta compagnia che, invece, ha trasmesso anche i nominativi dei soggetti interessati pubblicati online».
Nel contesto descritto, si prende atto – senza che ciò possa incidere sul giudizio in ordine alla liceità del trattamento ma come elemento per la valutazione della condotta – della buona fede dell’ente e della circostanza che l’errore da esso commesso nella pubblicazione dei file oggetto dei presente procedimento può essere dovuto anche al comportamento della compagnia assicurativa che ha trasmesso le statistiche al Comune senza eliminare la colonna contenente i nominativi dei soggetti danneggiati (la cui conoscenza non è in alcun modo necessaria ai fini della procedura di affidamento del servizio assicurativo di responsabilità civile generale dell’ente).
Tuttavia, le circostanze evidenziate negli scritti difensivi, esaminate nel loro complesso, sicuramente meritevoli di considerazione ai fini della valutazione della condotta, non risultano comunque sufficienti a consentire l’archiviazione del presente procedimento nei confronti del Comune di Trieste, non ricorrendo alcuna delle ipotesi previste dall’art. 11 del Regolamento del Garante n. 1/2019.
6. Esito dell’istruttoria relativa al reclamo presentato
Per tutto quanto sopra descritto, si confermano le valutazioni preliminari dell’Ufficio contenute nella nota prot. n. XX del XX e si rileva l’illiceità del trattamento di dati personali effettuato dal Comune di Trieste, in quanto la pubblicazione dei file prima identificati al par. 1, denominati «XX», «XX» e «XX», ha causato la diffusione dei dati e informazioni personali dei soggetti interessati ivi contenuti, riferiti nel complesso a centinaia di soggetti danneggiati, con indicazione in chiaro, fra l’altro, del nominativo, della dinamica e tipologia di danno, della data del sinistro e dell’entità della somma ricevuta a titolo di risarcimento, evidenziando. in alcuni casi, anche l’esistenza della lesione fisica riportata dal soggetto danneggiato e la relativa tipologia, tale da rivelare un dato sulla salute (laddove era riportata la voce circa l’esistenza dell’avvenuta lesione a persone oppure le relative conseguenze, quali «frattura collo femorale sx composta [da] omessa manutenzione marciapiede», «contusione al ginocchio», «frattura rotula», lesione per caduta in una buca o dalle scale oppure per omessa manutenzione, ecc.).
Tale condotta ha prodotto:
- una diffusione di dati personali in assenza di idonei presupposti normativi, non essendo prevista da alcuna disposizione di legge o di regolamento, in violazione dell’art. 2-ter, commi 1 e 3, del Codice; nonché dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD;
- una diffusione di dati sulla salute dei soggetti interessati, in violazione dello specifico divieto previsto dall’art. 2-septies, comma 8, del Codice; nonché dei principi di base del trattamento di cui agli artt. 5, par. 1, lett. a) e c); 9, parr. 1, 2 e 4, del RGPD.
Considerato, tuttavia, che la condotta ha esaurito i suoi effetti, in quanto il titolare del trattamento ha dichiarato di aver rimosso i dati personali dal web, fermo restando quanto si dirà sull’applicazione della sanzione amministrativa pecuniaria, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del RGPD.
7. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria (artt. 58, par. 2, lett. i; 83 del RGPD)
Il Comune di Trieste risulta aver violato gli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b); 9, parr. 1, 2 e 4, del RGPD; nonché gli artt. 2-ter, commi 1 e 3; 2-septies, comma 8, del Codice.
Al riguardo, l’art. 83, par. 3, del RGPD, prevede che «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave».
Nel caso di specie, la violazione delle disposizioni citate – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del RGPD, che si applica pertanto al caso di specie.
Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD, nonché dell’art. 166 del Codice, ha il potere correttivo di «infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso». In tale quadro, «il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice» (art. 16, comma 1, del Regolamento del Garante n. 1/2019).
La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del RGPD.
In tal senso, la rilevata condotta tenuta in violazione della disciplina in materia di protezione dei dati personali risulta di natura colposa e legata a «un evento del tutto accidentale e [..] occasionale». Il trattamento ha in ogni caso avuto a oggetto la diffusione online di dati personali, per circa nove mesi, anche appartenenti a categorie particolari (nella specie di dati relativi alla salute di cui all’art. 9, del RGPD), riferiti nel complesso a più di 1100 soggetti interessati. Il Comune di Trieste è un ente di medie dimensioni (poco più di 201.500 abitanti), che a seguito della richiesta dell’Ufficio è in ogni caso intervenuto tempestivamente, collaborando con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alla violazione, attenuandone i possibili effetti negativi. Nel riscontro al Garante sono state, inoltre, descritte diverse misure tecniche e organizzative messe in atto ai sensi degli artt. 25-32 del RGPD e non risultano, in ogni caso, eventuali precedenti violazioni del RGPD pertinenti commesse dall’ente.
Si ritiene, inoltre, che possano essere considerate come ulteriori circostanze attenuanti: il circoscritto numero di accessi effettuati sui file oggetto di diffusione online (come risulta dai file di log citati nelle memorie difensive); l’affidamento che il Comune riponeva sulla compagnia assicurativa in ordine alla trasmissione delle statistiche sui sinistri priva di dati personali; l’«urgenza di attivare le procedure di gara dovuto anche al ritardo con cui l’assicurazione ha trasmesso i dati statistici al Comune ai fini della predetta gara che era in scadenza»; nonché l’assenza di «alcuna segnalazione o reclamo, oppure doglianza da parte dei soggetti interessati o di terzi, né alcuna richiesta di danni» nei confronti del Comune.
In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, parr. 2 e 3, del RGPD l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, del RGPD, nella misura di euro 45.000,00 (quarantacinquemila) per la violazione degli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b); 9, parr. 1, 2 e 4, del RGPD; nonché gli artt. 2-ter, commi 1 e 3; 2-septies, comma 8, del Codice; quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo RGPD.
In relazione alle specifiche circostanze del presente caso, relative alla diffusione di dati personali online anche relativi alla salute in violazione del divieto previsto dall’art. 2-septies, comma 8, del Codice, si ritiene altresì che debba essere applicata la sanzione accessoria della pubblicazione del presente provvedimento sul sito Internet del Garante, prevista dall’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019.
Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.
TUTTO CIÒ PREMESSO IL GARANTE
rilevata l’illiceità del trattamento effettuato dal Comune di Trieste nei termini indicati in motivazione ai sensi degli artt. 58, par. 2, lett. i), e 83 del RGPD
ORDINA
al Comune di Trieste, in persona del legale rappresentante pro-tempore, con sede legale in Piazza dell'Unità d’Italia, 4 - 34121 Trieste (TS) - C.F. 00210240321 di pagare la somma di € 45.000,00 (quarantacinquemila) a titolo di sanzione amministrativa pecuniaria per le violazioni di cui in motivazione;
INGIUNGE
al medesimo Comune di pagare la somma di euro € 45.000,00 (quarantacinquemila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.
Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1/9/2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice).
DISPONE
- la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019;
- l'annotazione nel registro interno dell'Autorità delle violazioni e delle misure adottate ai sensi dell'art. 58, par. 2, del RGPD con il presente provvedimento, come previsto dall’art. 17 del Regolamento del Garante n. 1/2019.
Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 29 aprile 2021
IL PRESIDENTE
Stanzione
IL RELATORE
Stanzione
IL SEGRETARIO GENERALE
Mattei
