[doc. web n. 9696645]

Ordinanza ingiunzione nei confronti di Comune di Rosta - 22 luglio 2021

Registro dei provvedimenti
n. 281 del 22 luglio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO il d. lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida in materia di trasparenza”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Introduzione

Questa Autorità ha ricevuto un reclamo da parte del sig. XX (di seguito “reclamante”), con il quale è stata lamentata una violazione della normativa in materia di protezione dei dati personali derivante dalla diffusione sul sito web istituzionale del Comune di Rosta di propri dati personali.

Nello specifico, dalla verifica preliminare effettuata dall’Ufficio, è emerso che:

1. all’url https://..., riferito al dominio del predetto Comune (comune.rosta.to.it), era possibile visualizzare il documento intitolato «XX», contenente – oltre i dati del professionista incaricato – incidentalmente anche i dati personali di un soggetto terzo estraneo alla dichiarazione, ossia il reclamante sig. XX (quali relativo nominativo, residenza e informazioni inerenti alla presentazione di un ricorso contro il comune per l’annullamento di un ordinanza sindacale di inagibilità);

2. all’url https://..., si apriva una pagina contenente il registro degli accessi civico e documentale (XX), diviso per campi (numero, data, prot. ingresso, tipo di accesso, oggetto, nome richiedente, responsabile competente, controinteressati SI/NO, esito, motivazioni diniego, note), in cui era riportato in chiaro anche il nominativo del soggetto richiedente, fra cui il sig. XX.

Inoltre, in occasione della medesima istruttoria, è stato verificato che sul sito istituzionale del Comune di Rosta, nella sezione «Amministrazione trasparente» (https://...), nell’area «Altri contenuti»/«Accesso civico», è presente il link denominato «XX», tramite il quale era possibile accedere a una pagina web in cui erano presenti i file relativi a tutti gli accessi effettuati dal XX a XX, ai seguenti url:

a)    http://...

b)    http://...

c)    http://...

d)    http://...

e)    http://...

f)    http://...

g)    https://...

A campione è stato aperto il file relativo al «XX» (url https://...), che riportava i medesimi campi descritti al precedente punto n. 2, con i dati personali in chiaro dei soggetti istanti.

Dagli atti risulta che il sig. XX si era già precedentemente rivolto al Comune di Rosta in ordine alla diffusione dei propri dati personali e che l’amministrazione ha riscontrato l’istanza con nota prot. n. XX del XX in maniera non del tutto risolutiva.

2. La normativa in materia di protezione dei dati personali

Ai sensi della disciplina in materia, «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)» e «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).

I soggetti pubblici, come il Comune, possono diffondere «dati personali» solo se tale operazione è prevista «da una norma di legge o, nei casi previsti dalla legge, di regolamento» (art. 2-ter, commi 1 e 3, del Codice), nel rispetto – in ogni caso – dei principi in materia di protezione dei dati, fra i quali quello di «minimizzazione», in base al quale i dati personali devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. c, del RGPD).

Al riguardo, con particolare riferimento al caso sottoposto all’attenzione di questa Autorità è previsto che «Le amministrazioni rend[a]no noti, mediante inserimento nelle proprie banche dati accessibili al pubblico per via telematica, gli elenchi dei propri consulenti indicando l’oggetto, la durata e il compenso dell’incarico nonché l’attestazione dell’avvenuta verifica dell’insussistenza di situazioni, anche potenziali, di conflitto di interessi» (art. 53, comma 14, del d. lgs. n. 165 del 30/3/2001).

Quanto al registro degli accessi, anche l’Autorità Nazionale Anticorruzione (ANAC) – nelle proprie Linee guida adottate d’intesa con il Garante – ha indicato la possibilità che venga istituito presso gli enti, specificando tuttavia che il «registro contiene l’elenco delle richieste con l’oggetto e la data e il relativo esito con la data della decisione ed è pubblicato, oscurando i dati personali eventualmente presenti, e tenuto aggiornato almeno ogni sei mesi nella sezione Amministrazione trasparente, “altri contenuti – accesso civico” del sito web istituzionale» (par. 9, Determinazione n. XX del XX recante le «Linee guida recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico di cui all’art. 5 co. 2 del d.lgs. 33/2013», in G.U. n. 7 del 10/1/2017 e in http://www.anticorruzione.it/portal/public/classic/AttivitaAutorita/AttiDellAutorita/_Atto?ca=6666. Del medesimo tenore anche il par. 8.2.b. della Circolare del Ministro per la pubblica amministrazione n. 1 del 2019, recante «Attuazione delle norme sull’accesso civico generalizzato (c.d. FOIA)», in http://www.funzionepubblica.gov.it/sites/funzionepubblica.gov.it/files/Circolare_FOIA_n_1_2019.pdf).

3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato.

A seguito dalle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX del XX ha accertato che il Comune di Rosta – diffondendo i dati e le informazioni personali contenuti nei documenti pubblicati online prima descritti – ha effettuato un trattamento di dati personali non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD. Pertanto, con la medesima nota sono state notificate al predetto Comune le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD e invitando la predetta amministrazione a far pervenire al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentita da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

4. Memorie difensive.

Il Comune di Rosta, con la nota prot. XX del XX, ha inviato al Garante i propri scritti difensivi inrelazione alle violazioni notificate.

Al riguardo, si ricorda che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, intitolato «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante».

Nello specifico, quanto alla condotta tenuta, è stato evidenziato, fra l’altro che:

- «Preso atto delle contestazioni formulate [dal Garante], in data XX si svolgeva presso la sede dell’Ente un incontro con il DPO (come da verbale redatto in medesima data), all’esito del quale, valutate tutte le opportune azioni correttive da intraprendere per l’eliminazione delle criticità rilevate, si riteneva opportuno sospendere, in via cautelativa e con effetto immediato, la pubblicazione dei documenti oggetto di verifica, inserendo sul sito web istituzionale la dicitura “pagina in lavorazione”»

- in ordine all’eccedenza di alcuni dati personali contenuti nel documento relativo alla «XX», la «pubblicazione della dichiarazione in oggetto è avvenuta sulla base di un obbligo legale gravante in capo al Titolare»;

- «la violazione riguarda un unico soggetto interessato (il reclamante sig. XX) e non ha ad oggetto dati personali di cui agli artt. 9 e 10 GDPR»;

- «non [si] intende[va], evidentemente, con tale pubblicazione arrecare alcun nocumento ai diritti ed alle libertà dell’istante, ma semplicemente assolvere ad un obbligo di trasparenza, risulta per tabulas il carattere “imperito” ed assolutamente non volontario di tale trattamento»;

- «Quanto all’effettiva azione correttiva intrapresa si segnala che l’Ente – oltre ad aver immediatamente provveduto all’eliminazione dal sito web istituzionale della dichiarazione in oggetto – ha in seguito ripubblicato la stessa con i dati oscurati del soggetto interessato»;

- «L’Ente rende noto inoltre che […] è stata avanzata alla società Google una richiesta di deindicizzazione del file url https://... [...]»;

- in ordine alla «diffusione dei dati personali del reclamante e degli altri soggetti interessati – contenuti nel “Registro accesso civico” […, la] violazione contestata, a differenza della precedente, riguarda un più alto numero di soggetti interessati, ma al pari della precedente non ha ad oggetto dati personali appartenenti a categorie particolari di cui all’art. 9 GDPR o relativi a condanne penali e reati di cui all’art. 10 GDPR»;

- «Anche con riferimento a questo secondo addebito – non avendo l’Ente alcun motivo ed intenzione di ledere i diritti degli istanti – il trattamento oggetto di contestazione potrà al più essere inquadrato nell’ambito della colpa ma non a titolo di dolo»;

- «Quanto alle effettive misure correttive intraprese, si segnala che l’Ente – oltre ad aver immediatamente provveduto all’eliminazione dal sito web istituzionale dei documenti in contestazione – ha […] interamente rivisto in conformità alle linee guida ANAC e alla Circolare Ministero Pubblica Amministrazione n. 1 del 2019, oscurando tutti i dati personali eventualmente presenti. In particolare nella nuova versione (ad oggi non ancora pubblicata ma che si riporta di seguito in estratto a titolo meramente esemplificativo) è stata integralmente eliminata la colonna “richiedente” e modificata la colonna “oggetto”, in modo da eliminare in radice anche solo l’eventuale possibilità di riconduzione ad una persona fisica»;
«L’Ente rende noto inoltre che in data 25 giugno 2021 (come da comunicazione già indicata), […], è stata avanzata alla società Google una richiesta di deindicizzazione dei […] files [oggetto di contestazione]»

5. Valutazioni del Garante

La questione oggetto del caso sottoposto all’attenzione del Garante riguarda la diffusione di dati e informazioni personali del reclamante eccedenti contenuti incidentalmente nella «XX» pubblicata online (quali nominativo, residenza del reclamante e informazioni inerenti alla presentazione di un ricorso contro il Comune per l’annullamento di un ordinanza sindacale di inagibilità), nonché di numerosi soggetti interessati che hanno formulato richieste di accesso al Comune contenuti nel registro degli accessi civico e documentale (anni XX) anch’esso pubblicato online (con indicazione dei seguenti campi: numero, data, prot. ingresso, tipo di accesso, oggetto, nome richiedente, responsabile competente, controinteressati SI/NO, esito, motivazioni diniego, note).

Nell’ambito dell’istruttoria aperta al riguardo da questa Autorità, il Comune di Rosta ha confermato, nelle proprie memorie difensive, l’avvenuta diffusione online dei dati personali descritti. Sotto tale profilo, l’ente ha rappresentato il carattere «assolutamente non volontario [del] trattamento» effettuato e la totale assenza di dolo o di volontà di «arrecare alcun nocumento ai diritti ed alle libertà dell’istante». Ciò sarebbe dimostrato anche dall’aver immediatamente provveduto alla rimozione dei file oggetto di contestazione e dall’aver effettuato un’ulteriore richiesta a Google di deindicizzazione degli stessi.

6. Esito dell’istruttoria relativa al reclamo presentato

Per tutto quanto sopra descritto, le circostanze evidenziate negli scritti difensivi esaminate nel loro complesso, sicuramente meritevoli di considerazione ai fini della valutazione della condotta, non risultano sufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo alcuna delle ipotesi previste dall’art. 11 del Regolamento del Garante n. 1/2019.

Ciò anche considerando che sin dal 2014 l’Autorità, nelle Linee guida in materia di trasparenza e pubblicazione online sopra citate, ha fornito a tutte le pp.aa. specifiche indicazioni sulle modalità per contemperare gli obblighi di trasparenza e pubblicità dell’azione amministrativa con il diritto alla protezione dei dati personali dei soggetti interessati; e che anche nelle Linee guida dell’ANAC (par. 9, Determinazione n. XX del XX) e nella Circolare del Ministro per la pubblica amministrazione n. 1/2019 (par. 8.2.b.), prima citate, sono contenute specifiche indicazioni con riferimento alla pubblicazione del registro degli accessi (e alla necessità che non contenga dati personali).

In tale quadro, si confermano le valutazioni preliminari dell’Ufficio con la nota prot. n. XX del XX si rileva l’illiceità del trattamento di dati personali effettuato dal Comune di Rosta, in quanto:

1) la diffusione dei dati personali del reclamante contenuti nel documento intitolato «XX» di un altro professionista, sopra identificato al n. 1 del par. 1, è in contrasto con il principio di «minimizzazione» dei dati, che non risultano «limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (ossia la trasparenza dell’«attestazione dell'avvenuta verifica dell’insussistenza di situazioni, anche potenziali, di conflitto di interessi» del consulente/collaboratore dell’ente), in violazione dell’art. 5, par. 1, lett. c), del RGPD;

2) la diffusione dei dati personali del reclamante e degli altri soggetti interessati che hanno inoltrato richieste di accesso al Comune – contenuti nel documento identificato al n. 2 del par. 1, nonché nel «XX» presenti nella sezione Amministrazione trasparente, agli url indicati nelle lettere da a) ad h) del medesimo paragrafo – risulta avvenuta in assenza di idonei presupposti normativi, in violazione dell’art. 2-ter, commi 1 e 3, del Codice (e in maniera non conforme alle indicazioni contenute nelle Linee guida dell’ANAC e nella Circolare della funzione pubblica sopra richiamate al par. 2); nonché dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD.

Considerato, tuttavia, che la condotta ha esaurito i suoi effetti, in quanto il titolare del trattamento ha dichiarato di aver provveduto a rimuovere i dati personali oggetto di contestazione dell’Ufficio dal sito web istituzionale, fermo restando quanto si dirà sull’applicazione della sanzione amministrativa pecuniaria, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del RGPD.

7. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria (artt. 58, par. 2, lett. i; 83 del RGPD)

Il Comune Rosta risulta aver violato gli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD; nonché l’art. 2-ter, commi 1 e 3, del Codice.

Al riguardo, l’art. 83, par. 3, del RGPD, prevede che «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave».

Nel caso di specie, la violazione delle disposizioni citate – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del RGPD, che si applica pertanto al caso in esame.

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD, nonché dell’art. 166 del Codice, ha il potere correttivo di «infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso». In tale quadro, «il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice» (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del RGPD.

In tal senso, la rilevata condotta tenuta in violazione della disciplina in materia di protezione dei dati personali risulta di natura colposa ed ha avuto a oggetto la diffusione online di dati personali per quattro anni (considerando che la pubblicazione del registro degli accessi risale a giugno 2017), non appartenenti a categorie particolari né a condanne penali o reati (artt. 9 e 10, del RGPD). Il Comune di Rosta è un ente di piccole dimensioni (quasi 5.000 abitanti), che ha chiesto di tenere in considerazione anche l’esiguo numero di dipendenti in organico (che dall’istruttoria risultano essere meno di venti). L’amministrazione, a seguito della richiesta dell’Ufficio è intervenuta tempestivamente, collaborando con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alla violazione, attenuandone i possibili effetti negativi. Nel riscontro al Garante sono state, inoltre, descritte diverse misure tecniche e organizzative messe in atto ai sensi degli artt. 25-32 del RGPD e non risultano, in ogni caso, eventuali precedenti violazioni del RGPD pertinenti commesse dall’ente.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, parr. 2 e 3, del RGPD l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, del RGPD, nella misura di euro 2.200,00 (duemiladuecento) per la violazione degli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD, nonché dell’art. 2-ter, commi 1 e 3, del Codice; quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo RGPD.

In relazione alle specifiche circostanze del presente caso, relative alla diffusione di dati personali online in assenza di una idonea base normativa e in violazione del principio di minimizzazione dei dati (art. 5, par. 1, lett. c, RGPD), si ritiene altresì che debba essere applicata la sanzione accessoria della pubblicazione del presente provvedimento sul sito Internet del Garante, prevista dall’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità del trattamento effettuato dal Comune Rosta nei termini indicati in motivazione ai sensi degli artt. 58, par. 2, lett. i), e 83 del RGPD

ORDINA

al Comune di Rosta, in persona del legale rappresentante pro-tempore, con sede legale in Piazza Vittorio Veneto, 1 - 10090 Rosta (TO) – C.F. 01679120012 di pagare la somma di € 2.200,00 (duemiladuecento) a titolo di sanzione amministrativa pecuniaria per le violazioni di cui in motivazione;

INGIUNGE

al medesimo Comune di pagare la somma di euro € 2.200,00 (duemiladuecento), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.

Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1/9/2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice).

DISPONE

- la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019;

- l'annotazione nel registro interno dell'Autorità delle violazioni e delle misure adottate ai sensi dell'art. 58, par. 2, del RGPD con il presente provvedimento, come previsto dall’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 22 luglio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei