g-docweb-display Portlet

Provvedimento del 22 luglio 2021 [9696764]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9696764]

Provvedimento del 22 luglio 2021

Registro dei provvedimenti
n. 295 del 22 luglio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO il d. lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida in materia di trasparenza”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Introduzione

Questa Autorità ha ricevuto ha ricevuto un reclamo, presentato da XX (di seguito “reclamante”), con il quale è stata contestata una violazione della normativa in materia di protezione dei dati personali da parte del Comune di Napoli, derivante dalla pubblicazione sull’albo pretorio online della «graduatoria definitiva degli aventi diritto» al sostegno economico per il fitto delle abitazioni principali per situazioni di emergenza socio-economica, «contenente dati personali sensibili e riservati (nome, cognome, codice fiscale, indirizzo, importo canone fitto, indicazione importo erogabile e posizione in graduatoria)».

Al riguardo, dalla verifica preliminare effettuata da questo Dipartimento, è risultato che sul sito web istituzionale del predetto Comune, nella sezione «XX», dal link denominato «XX», si accedeva a una pagina web intitolata «XX».

Nella predetta pagina web – direttamente accessibile anche dall’url https://www.comune.napoli.it/... – era presente una maschera di ricerca che consentiva di visualizzare, attraverso l’inserimento del solo codice fiscale – senza richiedere alcuna identificazione dell’utente – sia i dati personali dei soggetti ammessi (nominativo, posizione in graduatoria, codice fiscale, indirizzo, importo del canone, importo erogabile) che dei non ammessi al contributo con la relativa motivazione.

Inoltre, nella medesima pagina web era possibile visualizzare e scaricare liberamente la Disposizione dirigenziale dell’Area Patrimonio - Servizio Politiche per la Casa n. XX del XX avente a oggetto «XX » (url: https://www.comune.napoli.it/...), che riportava in chiaro dati e informazioni di 2 soggetti interessati ammessi al contributo (nominativo, data di nascita canone mensile, posizione in graduatoria).

Dagli atti risulta che il numero dei soggetti interessati coinvolti è di 4.053 riferito ai soggetti ammessi al contributo e di 786 riferito ai soggetti non ammessi (cfr. Disposizione dirigenziale n. XX dell’XX dell’Area Patrimonio Servizio Politiche per la Casa avente a oggetto «XX».

2. La normativa in materia di protezione dei dati personali

Ai sensi della disciplina in materia, «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)» e «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, /genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).

Al riguardo, con particolare riferimento al caso sottoposto all’attenzione di questa Autorità, si ricorda che la diffusione di dati personali – ossia «il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione» – da parte di soggetti pubblici, come il Comune, è ammessa solo se tale operazione è prevista «da una norma di legge o, nei casi previsti dalla legge, di regolamento» (art. 2-ter, commi 1, 3, 4, lett. b, del Codice).

Il trattamento dei dati personali deve, inoltre, avvenire nel rispetto dei principi indicati nell’art. 5 del RGPD, fra cui quelli di «limitazione della finalità» nonché di «minimizzazione dei dati», secondo i quali i dati personali devono essere – rispettivamente – «raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità», nonché «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (par. 1, lett. b e c).

Si evidenzia, inoltre, che la disciplina statale in materia di trasparenza prevede l’obbligo di pubblicazione degli atti di concessione «delle sovvenzioni, contributi, sussidi ed ausili finanziari alle imprese, e comunque di vantaggi economici di qualunque genere a persone ed enti pubblici e privati ai sensi del citato articolo 12 della legge n. 241 del 1990, di importo superiore a mille euro» (art. 26, comma 2, del d. lgs. n. 33 del 14/3/2013).

La stessa normativa prevede però delle eccezioni e, in particolare, sancisce che non possono essere pubblicati i dati identificativi delle persone fisiche destinatarie dei predetti provvedimenti, nonché gli elenchi dei relativi destinatari, «qualora da tali dati sia possibile ricavare informazioni relative […] alla situazione di disagio economico-sociale degli interessati» (art. 26, comma 4, d. lgs. n. 33/2013).

Il Garante, fin dal 2014, ha fornito specifiche indicazioni alle amministrazioni sulle cautele da adottare in ordine alla diffusione di dati personali nell’ipotesi di «Obblighi di pubblicazione degli atti di concessione di sovvenzioni, contributi, sussidi e attribuzione di vantaggi economici e dell’elenco dei soggetti beneficiari (artt. 26 e 27 del d. lgs. n. 33/2013)», nella parte prima, par. 9.e, del provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436(attualmente in corso di aggiornamento, ma ancora attuali nella parte sostanziale).

Si rappresenta altresì che – in ogni caso – il Comune, in qualità di titolare del trattamento dei dati personali, è tenuto a mettere in atto «fin dalla progettazione», ossia sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso, «misure tecniche e organizzative adeguate, […] volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati», garantendo «che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento» (art. 25, parr. 1 e 2, RGPD).

3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato.

A seguito dalle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX del XX ha accertato che il Comune di Napoli – diffondendo online i dati e le informazioni personali riferiti ai soggetti ammessi e non ammessi al contributo economico prima descritti – ha effettuato un trattamento di dati personali non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD. Pertanto, con la medesima nota sono state notificate al predetto Comune le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD e invitando la predetta amministrazione a far pervenire al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentita da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

4. Memorie difensive.

In relazione alle violazioni notificate, il Comune di Napoli, con la nota prot. n. XX del XX, ha trasmesso al Garante le relazioni prodotte dal Servizio Politiche per la Casa (nota prot. n. XX del XX) e dal Servizio Comunicazione e Portale Web (note prott. nn. XX del XX e XX del XX).

Al riguardo, si ricorda che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, intitolato «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante».

Nella nota prot. n. XX del XX il Servizio Politiche per la Casa ha rappresentato nello specifico che:

- «L’art 26 comma 4 del Dlgs 33/2013 vieta la pubblicazione dei dati identificativi delle persone fisiche destinatarie dei provvedimenti di concessione di sovvenzioni, contributi, sussidi ed ausili finanziari e per l'attribuzione di vantaggi economici “qualora da tali dati sia possibile ricavare informazioni relative allo stato di salute ovvero alla situazione di disagio economico-sociale degli interessati”, ma, nella specie, vengono in rilievo solo situazioni di “emergenza economico– sociale”»;

- «Si tratta di circostanze e di un contesto completamente diverso, che fanno riferimento a categorie sociologiche ed economiche diverse per le quali non è possibile procedere ad alcuna equiparazione tra “disagio” ed “emergenza” e che pongono, pertanto, i dati trattati fuori dall’ambito di criticità rilevate»;

- «La misura adottata è, pertanto, assolutamente, differente dai bonus sociali erogati per contemperare il disagio economico-sociale, talvolta permanente, di persone di cui proprio in ragione di tale disagio è necessaria la non identificabilità»;

- «A ciò è da aggiungerei che il Servizio Politiche per la Casa all’atto in cui ha proceduto alla pubblicazione della determina non poteva conoscere se gli importi fossero o meno rientranti, nel loro complesso, nella misura: € 1000,00 oltre la quale fosse addirittura indispensabile la pubblicazione risultando le esigenze di cui al GDPR, recessive rispetto a quella di trasparenza».

Nelle note prott. nn. XX del XX e XX del XX il Servizio Comunicazione e Portale Web ha, altresì, rappresentato che:

- nella pagina web del sito istituzionale, identificata dall’URL https://www.comune.napoli.it/..., «come segnalato dal Garante, un applicativo web consentiva ai cittadini che avevano presentato domanda per il beneficio economico in oggetto, di conoscere la propria posizione in graduatoria o i motivi di esclusione inserendo nella maschera di ricerca il proprio codice fiscale […]»;

- «Nella suddetta pagina è stata [anche] pubblicata su richiesta del Servizio Politiche per la Casa, una disposizione dirigenziale del suddetto Servizio – la n. XX del XX – contenente i dati personali di due cittadine ammesse al contributo, diverse [dal reclamante]»;

- «appena ricevuta la comunicazione del Garante per la Protezione dei Dati Personali così come trasmessa dal Responsabile per la Protezione dei Dati del Comune di Napoli, [si è] provveduto immediatamente a oscurare la pagina raggiungibile all’indirizzo: https://www.comune.napoli.it/..., contenente l’applicativo web per la verifica della posizione in graduatoria e le disposizioni dirigenziali del Servizio Politiche per la Casa»;

- «Considerata, inoltre, la valutazione del Garante per la Protezione dei dati Personali sulla non congruità del trattamento effettuato dal Comune di Napoli nella suddetta pagina, in quanto la maschera di ricerca mediante inserimento del codice fiscale da parte degli aventi diritto al beneficio non garantirebbe la tutela dei dati personali dei soggetti medesimi, essendo il codice fiscale un dato facilmente ricavabile da chiunque conosca data e luogo di nascita di una persona fisica, il Servizio Comunicazione e Portale Web ha già attivato le necessarie procedure tecniche e organizzative idonee a garantire che l’accesso alle informazioni personali avvenga nel rispetto della normativa in materia di protezione dei dati personali»;

- «Come avvenuto già in passato, infatti, […] sarà inviata a breve a tutte le strutture apicali dell’Amministrazione una comunicazione al fine di richiamare, ancora una volta, l’attenzione sulla problematica in questione. In particolare sollecitando i diversi Servizi dell’Ente a predisporre già nella fase istruttoria del procedimento un sistema che consenta di attribuire ai richiedenti un beneficio un identificativo unico (numero di domanda, numero di protocollo, ecc.) noto solo al cittadino che presenta l’istanza e che consenta successivamente di essere utilizzato per conoscere la propria posizione o situazione attraverso una maschera di ricerca sul sito istituzionale, in modo da garantire il necessario anonimato e limitare le informazioni personali pubblicate (come è stato fatto, per esempio, per i beneficiari delle cedole librarie)»;

- «la pubblicazione dei numerosi atti e documenti sul sito istituzionale da parte del Servizio Comunicazione e Portale Web, su richiesta dei Servizi interessati, non può prevedere un controllo preventivo del contenuto degli atti medesimi precedente alla pubblicazione, per ovvie ragioni di efficacia, efficienza e tempestività della stessa attività di pubblicazione» (in part. nota XX del XX).

5. Valutazioni del Garante

Il caso in esame riguarda, in primo luogo, il trattamento di dati personali effettuato tramite un’apposita maschera di ricerca, presente sul sito web istituzionale del Comune di Napoli, che consentiva di visualizzare – attraverso l’inserimento del solo codice fiscale, senza richiedere alcuna identificazione dell’utente – sia i dati personali dei soggetti ammessi (nominativo, posizione in graduatoria, codice fiscale, indirizzo, importo del canone, importo erogabile) che dei non ammessi al contributo per il sostegno economico relativo al fitto delle abitazioni principali per situazioni di emergenza socio-economica, con la relativa motivazione.

Inoltre, oggetto di contestazione al Comune da parte del Garante è stata anche la diffusione online di dati e informazioni personali di soggetti ammessi al contributo (nominativo, data di nascita canone mensile, posizione in graduatoria) per il sostegno economico relativo al fitto delle abitazioni principali per situazioni di emergenza socio-economica, contenuti nella Disposizione dirigenziale dell’Area Patrimonio - Servizio Politiche per la Casa n. XX del XX pubblicata online.

Il Comune, nelle relazioni inviate al Garante, ha confermato sia la presenza sul sito web istituzionale dell’applicativo descritto che «consentiva ai cittadini che avevano presentato domanda per il beneficio economico in oggetto, di conoscere la propria posizione in graduatoria o i motivi di esclusione inserendo nella maschera di ricerca il proprio codice fiscale», sia l’avvenuta pubblicazione della citata Disposizione dirigenziale n. XX con i dati personali ivi contenuti.

Tuttavia, secondo quanto sostenuto dal Comune di Napoli, alla fattispecie esaminata non si applicherebbe il divieto di pubblicazione dei dati identificativi delle persone fisiche destinatarie dei provvedimenti di concessione di sovvenzioni economiche – previsto dall’art. 26, comma 4, del d. lgs. n. 33/2013 – riferito a interessati in «situazione di disagio economico-sociale», poiché nel caso di specie verrebbero «in rilievo solo situazioni di “emergenza economico-sociale”». Si tratterebbe, sempre secondo l’ente, «di circostanze e di un contesto completamente diverso, che fanno riferimento a categorie sociologiche ed economiche diverse per le quali non è possibile procedere ad alcuna equiparazione tra “disagio” ed “emergenza” e che pongono, pertanto, i dati trattati fuori dall’ambito di criticità rilevate», per cui la misura adottata sarebbe «assolutamente, differente dai bonus sociali erogati per contemperare il disagio economico-sociale, talvolta permanente, di persone di cui proprio in ragione di tale disagio è necessaria la non identificabilità».

L’interpretazione proposta dal Comune di Napoli, nei termini sopradescritti, non può essere accolta, anche perché non completamente aderente ai fatti.

La normativa statale in materia di trasparenza sancisce espressamente che non possono essere pubblicati i dati identificativi delle persone fisiche destinatarie di contributi economici, laddove da tali dati sia possibile ricavare informazioni relative «alla situazione di disagio economico-sociale degli interessati» (art. 26, comma 4, d. lgs. n. 33/2013).

Nel caso in esame, i dati personali pubblicati e accessibili tramite l’apposita maschera di ricerca web presente sul sito del Comune erano riferiti – da un lato – a 786 soggetti che non erano stati ammessi ad alcun contributo economico (con indicazione della relativa motivazione); e – dall’altro – a 4.053 soggetti ammessi al contributo per il sostegno economico relativo al fitto delle abitazioni principali per situazioni di emergenza socio-economica (con indicazione del nominativo, posizione in graduatoria, codice fiscale, indirizzo, importo del canone, importo erogabile).

Nel primo caso (soggetti non ammessi al contributo economico) il Comune non ha indicato alcuna idonea disposizione normativa (di legge o, nei casi previsti dalla legge, di regolamento) che possa giustificare la diffusione online dei relativi dati personali ai sensi dell’art. 2-ter, commi 1 e 3, del Codice. Nel secondo caso (soggetti ammessi al contributo per il sostegno economico relativo al fitto delle abitazioni principali per situazioni di emergenza socio-economica), si versa evidentemente nell’eccezione prevista dall’art. 26, comma 4, del d. lgs. n. 33/2013, non potendo in alcun modo accogliere l’interpretazione offerta dal Comune secondo cui vi sarebbe una differenza giuridica fra soggetti che versano in situazioni «disagio economico-sociale» e soggetti che, invece, versano in situazioni di «emergenza economico-sociale», che legittimerebbe solo per questi ultimi la diffusione dei relativi dati personali per finalità di trasparenza. Ciò anche considerando che l’emergenza epidemiologica da Covid-19 è stata la causa che ha giustificato l’erogazione il sostegno economico da parte del Comune per il fitto delle abitazioni principali dei cittadini venutisi a trovare in questo particolare periodo in una situazione di svantaggio/disagio economico-sociale.

Analogamente, non è condivisibile quanto affermato dall’ente in ordine alla impossibilità di «prevedere un controllo preventivo del contenuto degli atti» da pubblicare online, per «ragioni di efficacia, efficienza e tempestività della stessa attività di pubblicazione».

Questa Autorità ha, infatti, in più occasioni ricordato che anche la presenza di uno specifico regime di pubblicità, non può comportare alcun automatismo rispetto alla diffusione online dai dati e informazioni personali, né una deroga ai principi in materia di protezione dei dati personali di provenienza europea, previsti dal RGPD, quali – fra gli altri – quello di «minimizzazione», in base al quale i dati personali – anche contenuti in atti o documenti la cui diffusione online sia prevista da una specifica base normativa – devono essere non solo «adeguati» e «pertinenti», ma anche «limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. c).

Ciò è d’altronde confermato anche dal sistema di protezione dei dati personali contenuto nel RGPD, alla luce del quale è inoltre previsto che il titolare del trattamento debba mettere «in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento» («data protection by default») e debba essere «in grado di dimostrare» – alla luce del principio di «responsabilizzazione» («accountability») – di averlo fatto (artt. 5, par. 2; 24 e 25, par. 2, RGPD).

Il quadro decritto è del resto coerente con quanto affermato dal Garante fin dal 2014 con Linee guida prima richiamate (par. 2), laddove è stato indicato alle pp.aa. che – anche nell’ipotesi in cui esista un obbligo per l’amministrazione di pubblicare un atto o documento nel proprio sito web istituzionale – è in ogni caso necessario «selezionare i dati personali da inserire in tali atti e documenti, verificando, caso per caso, se ricorrono i presupposti per l’oscuramento di determinate informazioni», in quanto non necessari rispetto alle finalità per le quali sono trattati (cfr. ora il principio di “minimizzazione” dei dati di cui art. 5, par. 1, lett. c, del RGPD).

Dagli atti risulta, peraltro, che la stessa amministrazione – consapevole della necessità di dover adottare specifiche cautele per la diffusione dei dati personali online per tutelare le esigenze di riservatezza degli interessati – già in altre occasioni ha provveduto a predisporre fin dalla «fase istruttoria del procedimento un sistema che consenta di attribuire ai richiedenti un beneficio un identificativo unico (numero di domanda, numero di protocollo, ecc.) noto solo al cittadino che presenta l’istanza e che consenta successivamente di essere utilizzato per conoscere la propria posizione o situazione attraverso una maschera di ricerca sul sito istituzionale, in modo da garantire il necessario anonimato e limitare le informazioni personali pubblicate (come è stato fatto, per esempio, per i beneficiari delle cedole librarie)».

Si evidenzia, infine, in relazione alle risposte contenute nelle relazioni inviate dal Comune al Garante relative alle contestazioni mosse dall’Ufficio rispetto alla condotta tenuta, che le stesse non appaiono del tutto coordinate, dando ulteriore evidenza della mancanza da parte del titolare del trattamento dell’adozione di misure organizzative adeguate a evitare trattamenti di dati personali non conformi al RGPD.

6. Esito dell’istruttoria relativa al reclamo presentato

Per tutto quanto sopra descritto, le circostanze evidenziate negli scritti difensivi esaminate nel loro complesso, sicuramente meritevoli di considerazione ai fini della valutazione della condotta, non risultano sufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo alcuna delle ipotesi previste dall’art. 11 del Regolamento del Garante n. 1/2019. Ciò anche considerando che sin dal 2014 l’Autorità, nelle Linee guida in materia di trasparenza e pubblicazione online sopra citate, ha fornito a tutte le pp.aa. specifiche indicazioni sulle modalità per contemperare gli obblighi di trasparenza e pubblicità dell’azione amministrativa con il diritto alla protezione dei dati personali dei soggetti interessati, anche con specifico riferimento ai dati personali dei soggetti destinatari di contributi o agevolazioni economiche.

In tale quadro, si confermano le valutazioni preliminari dell’Ufficio contenute nella nota prot. n. XX del XX e si rileva l’illiceità del trattamento di dati personali effettuato dal Comune di Napoli, in quanto:

1. sono stati diffusi i dati e le informazioni personali, prima descritti, riferiti ai soggetti ammessi e non ammessi al contributo economico «per il sostegno al fitto delle abitazioni principali per situazioni di emergenza socio-economica di cui al decreto della Regione Campania n. XX del XX», tramite:

a. la libera consultabilità attraverso l’inserimento nell’apposita maschera di ricerca presente sul sito web istituzionale (https://www.comune.napoli.it/...) – senza richiedere alcuna identificazione dell’utente – del solo codice fiscale del soggetto interessato (informazione facilmente ricavabile da chiunque conoscendo la data e il luogo di nascita di una persona fisica);

b. la pubblicazione della Disposizione dirigenziale dell’Area Patrimonio - Servizio Politiche per la Casa n. XX del XX, che riporta in chiaro dati e informazioni di 2 soggetti interessati ammessi al contributo.

Tale diffusione di dati personali è avvenuta:

- in assenza di idonei presupposti normativi, in violazione dell’art. 2-ter, commi 1 e 3, del Codice e dell’art. 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD; nonché in contrasto con la disciplina statale in materia di trasparenza laddove è previsto che non possono essere pubblicati i dati identificativi delle persone fisiche destinatarie di benefici economici «qualora da tali dati sia possibile ricavare informazioni relative […] alla situazione di disagio economico-sociale degli interessati» (art. 26, comma 4, d. lgs. n. 33/2013);

- in violazione del principio di «minimizzazione dei dati», di cui all’art. 5, par. 1, c), del RGPD, in quanto i dati non sono risultati «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati».

2. non sono state adottate «misure tecniche e organizzative» adeguate per «attuare in modo efficace i principi di protezione dei dati» fin dalla progettazione e per garantire che siano trattati per «impostazione predefinita» solo «i dati personali necessari per ogni specifica finalità del trattamento», in violazione dell’art. 25, parr. 1 e 2, del RGPD.

7. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e di ulteriori provvedimenti correttivi (artt. 58, par. 2, lett. d e i; 83 RGPD)

Il Comune di Napoli risulta aver violato gli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b); 25, parr. 1 e 2, del RGPD; nonché l’art. 2-ter, commi 1 e 3, del Codice (cfr. anche art. 26, comma 4, d. lgs. n. 33/2013).

La violazione delle disposizioni citate – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – è soggetta all’applicazione delle sanzioni amministrative di cui all’art. 83, parr. 4 e 5, del RGPD.

Al riguardo, l’art. 83, par. 3, del RGPD, prevede che «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave».

Nel caso di specie, pertanto, la violazione delle disposizioni citate è soggetta alla sanzione amministrativa pecuniaria più grave prevista dall’art. 83, par. 5, del RGPD, che si applica pertanto alla fattispecie in esame.

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD, nonché dell’art. 166 del Codice, ha il potere correttivo di «infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso». In tale quadro, «il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice» (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del RGPD.

In tal senso, la rilevata condotta tenuta in violazione della disciplina in materia di protezione dei dati personali risulta di natura colposa ed ha avuto a oggetto la diffusione online di dati personali di soggetti ammessi e non ammessi al contributo per il sostegno economico relativo al fitto delle abitazioni principali per situazioni di emergenza socio-economica, per più sei mesi, non appartenenti a categorie particolari né a condanne penali o reati (artt. 9 e 10, del RGPD), riferiti a un numero considerevole di interessati (più di 4.000 soggetti). Il Comune di Napoli è un ente locale con quasi 1.000.000 di abitanti. L’amministrazione, a seguito della richiesta dell’Ufficio è intervenuta tempestivamente, collaborando con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alla violazione, attenuandone i possibili effetti negativi. Nel riscontro al Garante sono state, inoltre, descritte alcune misure tecniche e organizzative da poter mettere in atto ai sensi degli artt. 25-32 del RGPD e non risultano, in ogni caso, eventuali precedenti violazioni del RGPD pertinenti commesse dall’ente.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, parr. 2 e 3, del RGPD l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, del RGPD, nella misura di euro 40.000,00 (quarantamila) per la violazione degli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b); 25, parr. 1 e 2, del RGPD, nonché dell’art. 2-ter, commi 1 e 3, del Codice; quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo RGPD.

In relazione alle specifiche circostanze del presente caso – relative alla diffusione di dati personali online in assenza di una idonea base normativa, in violazione del principio di minimizzazione dei dati (art. 5, par. 1, lett. c, RGPD) e alla mancata adozione di «misure tecniche e organizzative» adeguate ai sensi dell’art. 25, parr. 1 e 2, del RGPD – si ritiene altresì che debba essere applicata la sanzione accessoria della pubblicazione del presente provvedimento sul sito Internet del Garante, prevista dall’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019.

Si ricorda, inoltre, che l’art. 58, par. 2, lett. d), del RGPD prevede che il Garante ha il potere correttivo di «ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine».

In tale quadro, si reputa necessario ingiungere, altresì, ai sensi dell’art. 58, par. 2, lett. d), del RGPD, al Comune di Napoli di mettere in atto misure organizzative adeguate – riguardanti anche il coordinamento fra i diversi Servizi e Uffici dell’ente – per evitare la diffusione online sul sito web istituzionale di dati personali in maniera non conforme alla disciplina in materia di protezione dei dati personali, integrando «nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del [RGPD] e tutelare i diritti degli interessati» (art. 25, parr. 1 e 2, RGPD).

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità del trattamento, nei termini indicati in motivazione, effettuato dal Comune di Napoli in persona del legale rappresentante pro-tempore, con sede legale in Piazza Municipio - Palazzo S. Giacomo - 80123 Napoli (NA) - C.F. 80014890638

1. ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD nonché dell’art. 166 del Codice, infligge al Comune di Napoli la sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. a) del succitato Regolamento ordinando e contestualmente ingiungendo al predetto trasgressore, di pagare la somma di euro 40.000,00 (quarantamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981. Al riguardo, si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro 30 giorni dalla data della notifica del presente provvedimento, ai sensi dell’art. 166, comma 8, del Codice (cfr. anche art. 10, comma 3, del d. lgs n. 150 dell’1/9/2011);

2. ai sensi dell’art. 58, par. 2, lett. d), del RGPD, ingiunge al Comune di Napoli di mettere in atto misure organizzative adeguate – riguardanti anche il coordinamento fra i diversi Servizi e Uffici dell’ente – per evitare la diffusione online sul sito web istituzionale di dati personali in maniera non conforme alla disciplina in materia di protezione dei dati personali, integrando «nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del [RGPD] e tutelare i diritti degli interessati» (art. 25, parr. 1 e 2, RGPD);

3. ai sensi dell’art. 157 del Codice, richiede al Comune di Napoli di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto disposto al precedente punto n. 2 del presente provvedimento entro trenta giorni dalla notifica dello stesso;

4. ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019, dispone la pubblicazione del presente provvedimento sul sito web del Garante;

5. ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, dispone l’annotazione nel registro interno dell’Autorità delle violazioni e delle misure adottate, ai sensi dell’art. 58, par. 2, del RGPD, con il presente provvedimento.

Si ricorda, che l’inosservanza di quanto ordinato al precedente punto n. 2 è punita con la sanzione amministrativa di cui all’art. 83, par. 6, del RGPD. Si evidenzia, altresì, che il mancato riscontro alla richiesta, formulata ai sensi dell’art. 157, di cui al precedente punto 3 è punito con la sanzione amministrativa di cui all’art. 166, comma 2, del Codice.

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 22 luglio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei