g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Comune di Monte Sant’Angelo - 28 aprile 2022 [9778996]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9778996]

Ordinanza ingiunzione nei confronti di Comune di Monte Sant’Angelo - 28 aprile 2022

Registro dei provvedimenti
n. 151 del 28 aprile 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n.9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n.1098801;

Relatore l’avv. Guido Scorza;

PREMESSO

1. Il reclamo.

Con reclamo del XX è stata lamentata la pubblicazione, sul sito istituzionale del comune di Monte Sant’Angelo (di seguito “Comune”), delle “graduatorie degli ammessi con riserva alla prova preselettiva e l’elenco degli ammessi e non ammessi alla successiva prova scritta” di una procedura selettiva, a cui il reclamante aveva partecipato, conclusasi “nell’aprile XX con regolare assunzione dei candidati idonei e vincitori”, la cui prova preselettiva si era svolta nel settembre XX. Tali graduatorie risultavano, inoltre, indicizzate sui motori di ricerca.

A seguito di istanza di esercizio dei diritti da parte del reclamante, con la quale lo stesso richiedeva la cancellazione dei dati personali a sé riferiti, il Comune, con nota del XX, informava l’interessato che “da visura della graduatoria approvata con determina dirigenziale, non si evidenzia[vano] i dati sensibili” del reclamante, affermando che il Comune era comunque tenuto ad osservare i termini di pubblicazione degli atti in conformità alle disposizioni del d.lgs. n. 33 del 14 marzo 2013.

2. L’attività istruttoria.

Con nota del XX, l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato al Comune, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto le presunte violazioni degli artt. 5, par. 1, lett. a) e c), 6, paragrafo 1, lett. c) ed e), 2 e 3, lett. b) e art. 17 del Regolamento nonché dell’art. 2-ter, commi 1 e 3 del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, vigente al tempo dei fatti oggetto di reclamo), invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).

Il Comune ha fatto pervenire le proprie memorie difensive, con nota XX, rappresentando che:

- “in data XX [è stata pubblicata la graduatoria finale] delle prove di selezione pubblica [di cui trattasi] rendendo completamente anonimi i dati personali dei candidati, compreso nome e cognome, trattandosi di un piccolo Comune in cui anche solo le iniziali sarebbero risultate insufficienti per non consentire l’identificazione degli interessati”;

- “il Comune di Monte Sant’Angelo è un ente medio-piccolo e periferico […] che conta poco più di diecimila abitanti: la dotazione organica del personale è appena sufficiente all’espletamento delle varie funzioni di competenza e l’organizzazione interna tiene conto delle limitate risorse sia finanziarie che strumentali”;

- “la pubblicazione [di cui trattasi nel reclamo] riguardava dati personali e non dati particolari: la violazione ha comportato un pregiudizio di lieve entità, considerato che i dati personali non sono di natura particolare e non riguardano reati o condanne”;

- “è in corso da parte del […] Comune la valutazione delle responsabilità in capo al segretario allora in carica sia in merito alla risposta non corretta inoltrata e reiterata nel tempo all’interessato, sia alla mancante formazione in materia di trattamento dei dati personali dello stesso. Tali informazioni sono state eliminate in ottemperanza ai diritti di cancellazione dell’interessato […]”.

3. Esito dell’attività istruttoria.

3.1 Il quadro normativo.

La disciplina di protezione dei dati personali prevede che i soggetti pubblici possono trattare i dati personali degli interessati, anche quando operano nell’ambito di procedure concorsuali e selettive del personale, se il trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e) del Regolamento).

La disciplina nazionale ha introdotto, inoltre, disposizioni più specifiche per adeguare l’applicazione delle norme del Regolamento, determinando, con maggiore precisione, requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto (art. 6, par. 2, del Regolamento) e, in tale ambito, ha previsto che le operazioni di trattamento, e tra queste la “diffusione” di dati personali, sono ammesse solo quando previste da una norma di legge o, nei casi previsti dalla legge, di regolamento (art. 2-ter, commi 1 e 3, del Codice nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, vigente al tempo dei fatti oggetto di reclamo).

Il titolare del trattamento è poi, in ogni caso, tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c) del Regolamento).

3.2 La diffusione dei dati personali.

Preliminarmente si rappresenta che per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile”, dovendosi considerare “identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome […]” (art. 4, par. 1, n. 1).

Tanto premesso, con riguardo alla pubblicità degli esiti delle prove concorsuali si rileva che le norme di settore stabiliscono, in generale, la pubblicità dei provvedimenti finali delle procedure selettive, disponendo, che siano pubblicate le sole graduatorie definitive dei vincitori di concorso e non anche l’elenco degli ammessi e non ammessi alla selezione o a prove intermedie (cfr. art. 7, d.P.R. 10 gennaio 1957, n. 3; nonché art. 15, d.P.R. 9 maggio 1994, n. 487, in particolare, commi 5, 6 e 6 bis e, più in generale, sulla pubblicità delle procedure di reclutamento del personale delle pubbliche amministrazioni, art. 35, comma 3, d. lgs. 30 marzo 2001, n. 165).

L’amministrazione deve, infatti, rispettare le normative di settore applicabili che regolano tempi e forme di pubblicità (es. affissione presso la sede dell’ente pubblico, pubblicazione nel bollettino dell’amministrazione o, per gli enti locali, all’albo pretorio) “degli esiti delle prove concorsuali e delle graduatorie finali – nonché, nei casi (e con le modalità) previsti, dei risultati di prove intermedie – di concorsi e selezioni pubbliche”, al solo scopo “di consentire agli interessati l’attivazione delle forme di tutela dei propri diritti e di controllo della legittimità delle procedure concorsuali o selettive” (sul punto, v. provvedimento del 15 maggio 2014 n. 243 doc. web n. 3134436 “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati”).

Inoltre l’art.19 del d.lgs. 14 marzo 2013, n. 33 prevede che, per finalità di trasparenza, “fermi restando gli altri obblighi di pubblicità legale, le pubbliche amministrazioni pubblicano […] le graduatorie finali, aggiornate con l'eventuale scorrimento degli idonei non vincitori”.

In tale quadro, come ribadito di recente dal Garante (cfr. provv. del 25 novembre 2021 n.407, doc web 9732406 nonché provv.ti 29 aprile 2021, n. 170, doc. web n. 9681778; 25 marzo 2021, n. 106, doc. web n. 9584421 e 11 marzo 2021, n. 89, doc. web n. 9581028), il d.lgs. 14 marzo 2013, n. 33, pure richiamato dal Comune nella nota inviata al reclamante, non costituisce un’idonea base giuridica per la diffusione online dei dati personali contenuti negli elenchi dei candidati ammessi o non ammessi alle prove selettive.

Si osserva inoltre che, sia con riguardo alla disciplina applicabile all’epoca in cui i dati furono pubblicati che a quella attualmente vigente, non può trovare applicazione l’art. 23, comma 1, lett. c) del d.lgs. n. 33/2013 (peraltro, abrogata dall’art. 22, comma 1, lett. a), n. 3), del d. lgs. 25 maggio 2016, n. 97 e relativa alla pubblicazione di soli elementi di sintesi dei provvedimenti finali e non delle graduatorie formate a conclusione del procedimento, né delle informazioni concernenti eventuali prove intermedie), né l’art. 19 del predetto decreto (in vigore dal 1° gennaio 2020 e che prevede la pubblicazione delle sole graduatorie finali, aggiornate con l'eventuale scorrimento degli idonei non vincitori).

Pertanto, non essendo la pubblicazione dovuta ai sensi del d.lgs. 14 marzo 2013, n. 33, il Comune, attesa la mancanza del presupposto giuridico per diffondere tali dati personali,  non avrebbe dovuto neanche indicizzare la pagina del proprio sito web, che ospitava l’elenco dei candidati convocati alle prove selettive, sui motori di ricerca generalisti; in proposito, occorre pertanto rilevare che l’art. 9 del d.lgs. 14 marzo 2013, n. 33, che prevede il divieto per le amministrazioni pubbliche di “disporre filtri e altre soluzioni tecniche atte ad impedire ai motori di ricerca web di indicizzare ed effettuare ricerche all'interno della sezione Amministrazione trasparente”, non trova applicazione.

3.3 Inidoneo riscontro alla richiesta di cancellazione dei dati personali.

Il titolare del trattamento destinatario di richieste di esercizio dei diritti di cui gli articoli 15-22 del Regolamento, deve fornire riscontro agli interessati nei termini e nei modi previsti dal Regolamento.

Ai sensi dell’art. 17 del Regolamento “l'interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l'obbligo di cancellare senza ingiustificato ritardo i dati personali, se […]  i dati personali sono stati trattati illecitamente” (v.art.17 par.1, lett. d) salvo che il trattamento sia necessario “per l'adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento o per l'esecuzione di un compito svolto nel pubblico interesse oppure nell'esercizio di pubblici poteri di cui è investito il titolare del trattamento” (v.art.17 par.3, lett. b).

Con riguardo all’esercizio del diritto alla cancellazione dei propri dati personali da parte del reclamante, il Comune - ancorché sull’erroneo presupposto che ricorresse nel caso di specie un obbligo di pubblicità e trasparenza in relazione ai predetti elenchi - non ha consentito all’interessato di soddisfare il proprio diritto, in violazione dell’art. 17 del Regolamento.

4. conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

In via preliminare si rappresenta che, seppure la condotta sia iniziata prima della data di piena applicazione del Regolamento, al fine della determinazione della norma applicabile sotto il profilo temporale deve essere richiamato in particolare il principio di legalità di cui all’art. 1, comma 2, della legge n. 689 del 24/11/1981 che sancisce come “Le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in esse considerati” (principio del tempus regit actum). Ciò determina l’obbligo di prendere in considerazione le disposizioni vigenti al momento della commessa violazione. Pertanto, nel caso di specie, considerando la natura permanente della condotta in esame, la disciplina applicabile risulta essere quella del Regolamento e del Codice, successivamente alle modifiche apportate dal d.lgs. n. 101 del 10 agosto 2018.

Il trattamento dei dati degli interessati, avvenuto in violazione della disciplina in materia di trattamento dei dati personali, ha avuto, infatti, inizio con la pubblicazione online dell’elenco degli ammessi e non ammessi alla prova preselettiva nel settembre XX per cui la violazione dei dati personali, che ha determinato la diffusione online degli stessi, si è protratta fino al XX, data in cui il titolare ha dichiarato di aver rimosso il predetto elenco dal sito.

Pertanto, si confermano le valutazioni preliminari dell'Ufficio e si rileva l'illiceità del trattamento di dati personali effettuato dal Comune per aver diffuso, mantenendo online l’elenco degli ammessi e non ammessi alla selezione pubblica di cui trattasi, determinando un'indebita diffusione di dati personali, in violazione degli artt. 5, 6 e 17 del Regolamento e art. 2-ter del Codice nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, vigente al tempo dei fatti oggetto di reclamo.

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo e art. 166, comma 2, del Codice.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che il Comune ha dichiarato di aver provveduto a rimuovere il predetto elenco (v. nota del XX), non ricorrono i presupposti per l'adozione di misure correttive, di cui all'art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).
Al riguardo, nel caso di specie – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

In relazione ai predetti elementi è stato considerato che la diffusione di dati personali, in assenza di base giuridica, si è protratta per un considerevole lasso di tempo (circa 7 anni) e che il titolare del trattamento ha operato nell’errata convinzione di poter perseguire, in tal modo, finalità di trasparenza dell’azione amministrativa, non tenendo però conto del vigente quadro normativo e delle indicazioni fornite nel tempo dal Garante a tutti i soggetti pubblici in materia (sia con le “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” sopra citate, sia con numerose decisioni su singoli casi).

Di contro è stata considerata la natura dei dati personali diffusi che non comprendono categorie particolari di dati e che il Comune, ente di piccole dimensioni e con limitate risorse, ha collaborato con l'Autorità nel corso dell'istruttoria rimuovendo dal sito i dati personali degli interessati. Si è tenuto, inoltre, favorevolmente conto che non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria, nella misura di euro tremila (3.000) per la violazione degli artt. 5, § 1, lett. a), 6, § 1, lett. e) e 17 del Regolamento e dell’art. 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139), quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Tenuto conto del lasso temporale durante il quale i predetti dati sono stati resi reperibili in rete, si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito web del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecita la condotta tenuta dal Comune di Monte Sant’Angelo descritta nei termini di cui in motivazione, consistente nella violazione degli artt. 5, § 1, lett. a), 6, § 1, lett. e) e 17 del Regolamento e dell’art. 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139), nei termini di cui in motivazione;

ORDINA

ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 5, del Regolamento e 166, comma 2, del Codice al Comune di Monte Sant’Angelo, in persona del legale rappresentante pro-tempore, con sede legale Piazza Municipio, 2 - 71037 Monte Sant'Angelo (FG), C.F.:83000870713, di pagare la somma di euro tremila (3.000) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione;

INGIUNGE

al predetto Comune di pagare la somma di euro tremila (3.000) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981. Al riguardo, si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro 30 giorni dalla data della notifica del presente provvedimento, ai sensi dell’art. 166, comma 8, del Codice (cfr. anche art. 10, comma 3, del d.lgs. n. 150 dell’1/9/2011);

DISPONE

- la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice (v. art. 16 del Regolamento del Garante n. 1/2019);

- l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento (v. art. 17 del Regolamento n. 1/2019).

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 28 aprile 2022

IL VICEPRESIDENTE
Cerrina Feroni

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei