g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Fondazione Teatro Regio di Torino - 20 ottobre 2022 [9828987]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9828987]

Ordinanza ingiunzione nei confronti di Fondazione Teatro Regio di Torino - 20 ottobre 2022

Registro dei provvedimenti
n. 346 del 20 ottobre 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il reclamo presentato in data 15 novembre 2021 con il quale la sig.ra XX ha lamentato una presunta violazione del Regolamento da parte della Fondazione Teatro Regio di Torino;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. Premessa.

Con il reclamo trasmesso a questa Autorità in data 15 novembre 2021, la sig.ra XX lamentava la pubblicazione, nella sezione “amministrazione trasparente” – atti generali - del sito web della Fondazione Teatro Regio di Torino, ente lirico non a scopo di lucro, (di seguito “la Fondazione”) di tre determine commissariali contenenti dati personali della reclamante.

Nello specifico, le determine n. 1 e n. 2, adottate in data 8 gennaio 2021, concernevano la sostituzione della reclamante dagli incarichi che le erano stati conferiti in due procedure di appalto “stante l’impossibilità dell’Avvocato XX, per malattia, a partecipare alla seduta di gara…”, e riportavano in allegato anche l’attestato di malattia telematico della reclamante. La determina n. 4, adottata in data 18 gennaio 2021, riguardava il trasferimento dei poteri e delle funzioni “vista la sospensione cautelare adottata in data odierna con decorrenza immediata nei confronti dell’Avv. XX”.

2. L’avvio del procedimento sanzionatorio

Con la comunicazione del 16 febbraio 2022, l’Ufficio notificava alla Fondazione l’atto di avvio del procedimento sanzionatorio, ai sensi dell’art. 166, comma 5, del Codice in relazione alla violazione degli artt. 5, par. 1, lett. a) e c) e 6 del Regolamento nonché dell’art. 2-septies, comma 8, del Codice.

La disciplina in materia di protezione dei dati personali prevede che i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c) del Regolamento).

I titolari del trattamento, anche qualora operino nello svolgimento dei propri compiti di datori di lavoro, possono trattare i dati personali dei lavoratori, anche relativi a categorie particolari di dati - tra i quali sono ricompresi anche i “dati relativi alla salute” (cfr. art. 9, par. 1, del Regolamento) - se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti dalle norme nazionali di settore (artt. 6, par. 1, lett. b) ed c); 9, par. 2, lett. b) e par. 4; 88 del Regolamento).

In ogni caso, i “dati relativi alla salute”, ossia quelli “attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, n. 15, del Regolamento), per effetto delle maggiori garanzie che il Regolamento e il Codice riconoscono in ragione della particolare delicatezza di tale categoria di dati, “non possono essere diffusi” (art. 2-septies, comma 8, del Codice e art. 9, par. 4, del Regolamento).

In data 18 marzo 2022 la Fondazione inviava la propria memoria difensiva, ai sensi dell’art.18 della legge n. 689/1981 con la quale contestualmente chiedeva l’audizione e, nel fornire informazioni e precisazioni sui fatti oggetto della vicenda, rappresentava che: “

- tra i vari obblighi cui è soggetta la Fondazione, vi è quello di pubblicare sul proprio sito Internet tutte le “Determine” (ossia gli atti interni) che abbiano un riflesso all’esterno: nel caso di specie, si trattava di rendere nota la sostituzione del responsabile del Procedimento e componente della commissione addetta all’analisi delle offerte e alla formulazione della proposta di affidamento, in relazione a due procedure negoziate aventi ad oggetto “Opere di adeguamento antincendio impianti- Lotto 4 – Stralcio 4” e “Opere di adeguamento antincendio edile e strutture – Lotto 4- Stralcio 4”. Trattandosi quindi di una decisione, quella di sostituzione, con evidenti riflessi sulla procedura di affidamento, la scrivente Fondazione in piena buona fede ha voluto essere il più trasparente possibile nello spiegare le ragioni di una tale presa di posizione, non prendendo in considerazione la possibilità di omettere alcuna informazione;

- ancor prima di entrare nel merito della contestazione mossa nei suoi confronti dall’Avvocato XX, non appena ricevuta la notifica da parte di codesta Autorità la Fondazione si è premurata di effettuare gli oscuramenti dei dati oggetto di reclamo, che pertanto non risultano più visibili dal 21 febbraio scorso, in modo tale da attenuare gli eventuali effetti pregiudizievoli della violazione;

- in precedenza nessun dipendente aveva mai sollevato un problema di violazione dei propri dati personali nei confronti della Fondazione. “Si è trattato di un episodio isolato che probabilmente ha avuto luogo anche tenuto conto del clima di tensione e imbarazzo che c’era in quel periodo all’interno della Fondazione, una svista non voluta e non immediatamente riscontrata per errore. Si precisa, infatti, che quella pubblicazione non fu eseguita dal soggetto che solitamente si occupava di tale incombente, ciò in quanto l’ufficio preposto era impegnato nell’affrontare la situazione lavorativa complicata con la reclamante, poi sfociata nel suo licenziamento e in un procedimento giudiziario. Pertanto, questa gestione della pubblicazione ha palesato una leggerezza dovuta sostanzialmente ad un errore materiale di un dipendente che, ricevuta la documentazione completa relativa a quelle Determine, ne ha effettuato la pubblicazione in modo integrale, non rendendosi conto che tra i vari documenti a sue mani alcuni non costituivano formalmente degli allegati delle singole Determine in questione (infatti, dalla lettura delle Determine n. 1 e n. 2 del 2021, oggetto di reclamo, si può evincere come non fossero previsti degli allegati) e che quindi non andavano pubblicati (si fa riferimento ai certificati di malattia)..”;

- “quanto alle parole utilizzate nelle tre Determine contestate, le stesse (malattia, sospensione cautelare) sono state inserite in ossequio al principio di trasparenza che incarna tutte le comunicazioni della Fondazione e non per nuocere in alcun modo all’interessata”;

- il soggetto che concretamente si è occupato della pubblicazione, per leggerezza, non si è posto il problema di un eventuale oscuramento parziale dei dati presenti nei documenti, non essendo il dipendente abitualmente preposto a tale attività;

- pur essendo stati diffusi atti contenenti dati personali della reclamante, gli stessi erano pubblicati in una sezione del sito Internet della Fondazione (Amministrazione Trasparente – Atti generali – Determine) non immediatamente accessibile dall’utente “medio” interessato ad altri contenuti ritenendo, pertanto, che sia stata piuttosto bassa la percentuale di pubblico che “effettivamente in questi mesi avrebbe potuto accedere a quei contenuti”, e che conseguentemente sia stata minore la lesione subita dalla reclamante.

In ogni caso, la Fondazione ha riconosciuto “di non aver adeguatamente presidiato tale situazione, in particolare nel contesto del necessario bilanciamento degli interessi (obblighi di trasparenza da un lato e tutela dei diritti e delle libertà dell’interessato dall’altro) ma per ragioni del tutto involontarie, essendo l’incidente occorso in un momento in cui con la ricorrente erano in corso frizioni di natura giuslavoristica”.

Nel corso dell’audizione svoltasi in data 31 maggio 2022, la Fondazione nel ribadire quanto già rappresentato nella nota del 18 marzo 2022, evidenziava inoltre che:

- “la Fondazione Teatro Regio di Torino è una fondazione di diritto privato ai sensi del d.lgs. n. 367 del 1996 ma, secondo quanto disciplinato nello statuto, soggetta agli obblighi di pubblicità e trasparenza, ed è tenuta agli adempimenti previsti dal d.lgs. n. 50 del 2016 e ss.mm.ii.”;

- durante il periodo a cui fa riferimento il reclamo la Fondazione si trovava in regime di commissariamento e “in questo nuovo assetto organizzativo che ha portato alla sostituzione di tutti i ruoli del Teatro si inserisce la pubblicazione dei dati (particolari) della reclamante, avvenuta per mero errore materiale in quanto i documenti inviati per la pubblicazione non sono stati supervisionati e, di conseguenza, insieme alle determine sono stati pubblicati anche i certificati di malattia della reclamante”;

- non appena ricevuta la notifica del Garante, la Fondazione si è tempestivamente attivata per effettuare la cancellazione dei dati (particolari) riferiti alla reclamante dalle determine pubblicate sul sito, non indispensabili ai fini dell’adempimento del predetto obbligo di trasparenza, e ha provveduto ad organizzare corsi di formazione per tutto il personale;

- la pubblicazione dei dati della reclamante avveniva in un momento in cui l’interessata era ancora formalmente alle dipendenze della Fondazione con le mansioni indicate nell’ordine di servizio del 1° dicembre 2020 e che pertanto “ferma restando la responsabilità della Fondazione per non aver adeguatamente presidiato la situazione, l’Avv. XX aveva la possibilità di prendere visione degli atti aventi un contenuto rilevante sotto il profilo del trattamento dei dati.”

3. L’esito dell’istruttoria.

All’esito dell’esame della documentazione prodotta e delle dichiarazioni rese dalla parte nel corso del procedimento, premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice, risulta accertato che la Fondazione ha effettuato un trattamento di dati personali non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD.

La Fondazione, seppur soggetta alle rappresentate disposizioni in materia di trasparenza, ha pubblicato sul proprio sito web informazioni relative allo stato di salute dell’interessata la cui diffusione è espressamente vietata per legge dall’art. 2-septies, comma 8, del Codice e informazioni non indispensabili rispetto alla finalità del trattamento e, tra l’altro, idonee a rivelare la pendenza di una procedura disciplinare nei confronti della reclamante.

Il trattamento di dati personali posto in essere dalla Fondazione nel caso di specie risulta, dunque, illecito poiché effettuato in maniera non conforme ai principi di “liceità, correttezza e trasparenza”, nonché di “minimizzazione” dei dati, in violazione degli artt. 5, par. 1, lett. a) e c), in assenza di una idonea base normativa (6 par. 1 del Regolamento) e in violazione del divieto di diffusione di dati sulla salute nonché (art. 2-septies, comma 8, del Codice, cfr. anche art. 9, par. 4, del RGPD).

4. Adozione dell’ordinanza ingiunzione (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

Le circostanze rappresentate negli scritti difensivi della Fondazione, evidenziate nuovamente in sede di audizione, esaminate nel loro complesso, anche se meritevoli di considerazione ai fini della valutazione della condotta, non risultano sufficienti a consentire l’archiviazione del presente procedimento. Ciò in quanto, nel caso in esame, non ricorre alcuna delle ipotesi previste dall’art. 11 del Regolamento del Garante n. 1/2019.

Considerato, tuttavia, che la condotta ha esaurito i suoi effetti, in quanto il titolare del trattamento ha dichiarato di aver provveduto a effettuare l’oscuramento dei dati oggetto del reclamo che non risultano più visibili dal 21 febbraio 2022, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del RGPD ferma restando l’applicazione della sanzione amministrativa pecuniaria.

Al riguardo, l’art. 83, par. 3, del RGPD, prevede che “se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave”.

Nel caso di specie, la violazione delle disposizioni citate – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del RGPD, che si applica pertanto al caso in esame.

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che le sanzioni devono “in ogni caso [essere] effettive, proporzionate e dissuasive” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

a) la natura colposa della violazione ascrivibile a una errata valutazione in ordine alla tipologia di dati da pubblicare nell’adempimento degli obblighi di trasparenza nonché a un errore materiale (limitatamente alla pubblicazione degli attestati di malattia telematici) riguardante un caso isolato; 

b) l’assenza di precedenti specifici, a carico della parte, relativi a violazioni della disciplina in materia di protezione dei dati personali;

c) il ravvedimento posto in essere dalla Fondazione che al fine di porre rimedio alla violazione, non appena ricevuta la notifica dell’avvio del procedimento da parte dell’Ufficio, ha effettuato l’oscuramento dei dati oggetto della doglianza provvedendo inoltre ad organizzare corsi di formazione per tutto il personale;

d) la collaborazione con l’Autorità nel corso dell’istruttoria del presente procedimento.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, parr. 2 e 3, del RGPD l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, del RGPD, nella misura di euro 5.000,00 (cinquemila) per la violazione degli artt. 5, par. 1, lett. a) e c), 6 par. 1 del Regolamento e 2-septies, comma 8, del Codice (cfr. anche l’art. 9, par. 4, del RGPD), quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo RGPD.

In considerazione della natura e della gravità della violazione accertata, si ritiene, altresì, di disporre, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito Internet del Garante.

Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità del trattamento effettuato dalla Fondazione Teatro Regio di Torino nei termini indicati in motivazione, ai sensi degli artt. 58, par. 2, lett. i), e 83 del RGPD

ORDINA

alla Fondazione, in persona del Direttore Generale dott. Guido Mulè, con sede a Torino, Piazza Castello 215, C.F. e P.I. 00505900019, di pagare la somma di euro 5.000,00 (cinquemila) a titolo di sanzione amministrativa pecuniaria per le violazioni di cui in motivazione;

INGIUNGE

alla medesima Fondazione di pagare la somma di euro 5.000,00 (cinquemila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.

Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1/9/2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice).

DISPONE

- la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019;

- l’annotazione nel registro interno dell’Autorità delle violazioni e delle misure adottate ai sensi dell’art. 58, par. 2, del RGPD con il presente provvedimento, come previsto dall’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d. lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 20 ottobre 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL VICE SEGRETARIO GENERALE
Filippi