Provvedimento dell'11 aprile 2024 [10013391]
Provvedimento dell'11 aprile 2024 [10013391]
Condividi[doc. web n. 10013391]
Provvedimento dell'11 aprile 2024
Registro dei provvedimenti
n. 199 dell'11 aprile
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE” (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;
Relatore il dott. Agostino Ghiglia;
PREMESSO
1. Introduzione.
In base a un controllo effettuato dall’Autorità sul sito web istituzionale del Libero Consorzio comunale di Enna (di seguito, il “Consorzio”) non è stato possibile reperire i dati di contatto del Responsabile della protezione dei dati personali (di seguito, il “RPD”), né risulta che tale Consorzio abbia effettuato la comunicazione dei dati di contatto del RPD all’Autorità, in relazione al cui adempimento ha messo a disposizione un apposito canale dedicato (reperibile alla pagina https://servizi.gpdp.it/comunicazionerpd/s/).
Pertanto, dalle indagini effettuate, non sono rinvenuti elementi in grado di comprovare la designazione, da parte del Consorzio, del RPD.
2. L’attività istruttoria
Con nota del XX (prot. n.XX), l’Ufficio, sulla base dalle verifiche compiute, ha notificato al Consorzio, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, in relazione alla mancata pubblicazione e comunicazione a questa Autorità dei dati di contatto del RPD, e, più in generale, in quanto non risulta comprovato che abbia effettivamente designato il RPD, in violazione dell’art. 37 (parr. 1 e 7) del Regolamento, con il contestuale invito a produrre scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).
Con nota del XX (prot. n. XX), il Consorzio ha presentato la propria memoria difensiva, unitamente ad alcuni allegati, tra cui una relazione interna redatta dal medesimo RPD dichiarando, tra l’altro, che:
- con determinazione del Commissario straordinario n. X del XX è stato designato “il sig. XX, dipendente dell’Ente, Responsabile per la protezione dei dati personali”, il quale “ricopriva e ancora oggi ricopre anche il ruolo di responsabile di diversi Servizi all’interno dell’Ente (Segreteria del Dirigente del Settore I, Assistenza agli Organi, Sistemi Informatici, Turismo e in ultimo del Servizio Legale)”;
- “i dati di contatto del RPD trovano ostensione, sin da prima che pervenisse la nota del Garante, sul sito dell’Ente e su Amministrazione Trasparente”, producendo, al riguardo, le schermate del sito istituzionale ove tali informazioni sarebbero reperibili. Viene successivamente precisato che “La nota del Garante ha restituito l’occorrenza di incrementare ulteriormente la visibilità di quanto in oggetto e pertanto, fatta subito propria l’indicazione dell’Autorità, si è provveduto ad aggiungere all’ostensione sopra segnata e già in essere, un’altra pubblicazione, resa unitaria, recante immediatamente tutti i riferimenti e tutti i dati di contatto […], accessibile direttamente dalla home page e facilmente riconoscibile”;
- circa la mancata comunicazione al Garante dei dati di contatto del RPD “l’Ente è risultato mancante fino alla nota del Garante. Il RPD ha informato […] di aver provveduto subito dopo il suo pervenimento, secondo la procedura prescritta, producendone comprova e, di ciò, è stato altresì verificato”;
- “nel periodo di adozione dell’atto ultimo di designazione del RPD e delle consegne in detto atto disposte a suo onere (XX), tra cui proprio la comunicazione al Garante […] l’incaricato – già responsabile di diversi servizi e da poco preposto anche agli “affari generali e istituzionali – assistenza agli Organi” – ha dovuto affrontare l’impianto di insediamento di un Organo collegiale politico (Assemblea dei Sindaci), chiamato “improvvisamente” ad assolvere funzioni deliberative attive da una legge regionale del dicembre precedente […] con un disposto che, tra l’altro, scandiva una tempistica serrata di esecuzione”;
- “testimonia, infatti, a favore del RPD (incaricato della comunicazione dei propri dati al Garante), l’introduzione di specifico obiettivo nel Piano Performance XX, in materia di Privacy, […] per completare il riallineamento di tutte le regolamentazioni interne in materia di Tutela dei dati personali avviato nel gennaio del XX, su suo impulso e ancor prima della nomina a RPD […] e va pure osservato che detto atto finale è stato proposto dal RPD dentro un periodo durante il quale - per fatti e dinamiche esterne aggravate dalla carenza di personale immediatamente richiedibile - alla stessa persona RPD è stata altresì affidata, in considerazione dello stato di fatto e delle evidenti difficoltà generali, l’ulteriore consegna di assumere la responsabilità amministrativa del servizio legale”;
- “va altresì citata, l’attività di impulso del RPD, con la progettazione, a opera del medesimo, nel corso del XX, di due corsi di formazione in materia di tutela dei dati personali”;
- “l’incaricato ha assolto i suoi compiti di RPD in termini sostanziali ed effettivi prima e dopo la sua nomina, e ha anche contemporaneamente fronteggiato, in aggiunta ai Servizi a lui affidati stabilmente, nuovi impegnativi compiti di cui non si prevedeva la consistenza (e nemmeno cosa avessero comportato in termini di impegno anche orario per diversi mesi continuativamente): è mancato nell’attività più neutra fra quelle svolte, quantunque importate e dovuta, cioè la comunicazione dei suoi dati al Garante, resa invero con il ritardo sopra segnato”;
- “il dott. XX, in qualità di responsabile del Servizio sistemi informatici, in data XX ha proposto l’abrogazione del Regolamento per il trattamento delle informazioni (adottato con deliberazione del Consiglio provinciale n. XX), successivamente approvata dal Commissario straordinario”.
Dalle dichiarazioni rese nelle memorie sopra richiamate è emerso che il Consorzio, nel designare nel XX il dott. XX quale RPD, ha affidato tale incarico a un soggetto che, in ragione degli ulteriori compiti incombenti sul medesimo e degli adempimenti cui era chiamato a dare corso in quel particolare periodo (come quelli connessi all’insediamento, regolazione e funzionamento dell’Assemblea dei Sindaci), non era in possesso delle risorse necessarie, in relazione al contesto di riferimento, anche sotto il profilo temporale, per poter espletare al meglio le funzioni che il Regolamento assegna al RPD. Inoltre, il dott. XX, proprio in qualità di titolare delle funzioni di responsabile di diversi servizi che compongono l’apparato amministrativo del Consorzio (e, cioè, quelli di Segreteria del dirigente del Settore I, di Assistenza agli Organi, dei Sistemi informatici, del Turismo e del Servizio legale), si trovava nella posizione di esercitare funzioni che potenzialmente possono dare adito a un conflitto di interessi con quelle di RPD, poiché in tali vesti assume un ruolo che comporta la definizione delle finalità o modalità del trattamento di dati personali.
Per tali ragioni, con nota del XX (prot. n. XX), l’Ufficio, sulla base degli elementi acquisiti e dalle verifiche compiute, ha notificato al Consorzio, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, per aver designato un RPD che risulta contemporaneamente titolare di altri compiti e funzioni che possono dare adito a un conflitto di interessi, in violazione dell’art. 38 (parr. 2 e 6) del Regolamento.
Con la medesima nota, il Consorzio è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).
Con nota del XX (prot. n. XX), il Consorzio ha presentato la propria memoria difensiva, unitamente ad alcuni allegati, nella quale ha fornito elementi circa le difficoltà inerenti l’assetto organizzativo dell’Ente e l’utilizzo delle risorse a disposizione, e ha dichiarato, tra l’altro, che:
- “ai fini dell’individuazione del sig. XX quale RPD, si considerò quanto sopra, ovvero la Struttura intera dell’Ente con le sue risorse e con la sua organizzazione ed elencazione delle consegne, tra cui - al Servizio 6 del Settore I - proprio quella in materia di Privacy nei termini riportati dalla regolamentazione locale […] si valutarono anche altri aspetti, setacciando le indicazioni all’epoca disponibili nella letteratura specialistica, in primis quelle provenienti dal Garante: si valutò delle risorse umane e del tempo a disposizione, delle caratteristiche che doveva avere il contratto di lavoro, e pure del conflitto di interessi per come si leggeva nelle ricerche; si considerò anche conferire un incarico all’esterno, ma pure non esporsi a responsabilità erariale se l’indagine interna avesse lasciato supporre conducente, come è sembrato, la possibilità di nominarlo all’interno;
- alla luce del contesto di riferimento, si è ritenuto, “tenuto conto delle minute dimensioni dell’Ente e della sua organizzazione, che il sig. XX potesse rivestire il ruolo di RPD, perché dotato, in termini convergenti, di competenze maturate in materia, di tempo a disposizione (per lo svuotamento in concreto, man mano avvenuto negli anni, di gran parte delle consegne edittalmente previste nei servizi assegnati); di risorse umane dedicate a suo supporto; di autonomia e indipendenza nel ruolo di RPD in ossequio alle previsioni della regolamentazione generale e, contestualmente, estraneo alle ipotesi-tipo potenzialmente idonee a realizzare un “conflitto di interessi” per le ragioni sopra espresse, vagliate in concreto, (sulla base della struttura organizzativa, delle sue dimensioni e delle risorse umane a disposizione, nonché dei suoi contenuti lavorativi in termini di consegne effettive affidate e attive), nonché privo di potestà decisorie, apicali e/o di delegazioni di funzioni dirigenziali, così come di autonomia e indipendenza per tutti gli altri compiti diversi dal ruolo di RPD”;
- “la valutazione dell’Ente sull’individuazione del sig. XX quale RPD, nel XX, non è stata casuale ma esito di una lettura che ha provato a conciliare l’organizzazione dell’Ente, le risorse umane a disposizione tra quelle NON con contratto a tempo parziale (tra le quali il Garante ritiene preferibile non doversi attingere), NON adibiti a consegne considerate sensibili dal Garante ai fini del conflitto di interessi, NON con profili inferiori a quello di dirigente/funzionario (come indicato dal Garante) e, altresì, con competenze, spazio tempo e supporto di risorse umane, in quantità e qualità ritenute idonee a poter assolvere alle funzioni di RPD come per esse si attende;
- “sul secondo profilo, quello ritenente la sussistenza del conflitto di interessi (violazione n. 2), si ritiene anch’esso meritevole di essere superato. Pare evidente, innanzitutto, che molti elementi sostanziali di difesa siano stati già resi sopra, trattando del contesto e delle consistenze delle consegne che informano potentemente il tema in trattazione. Anche qui è occorso rappresentare del caso concreto, altrimenti non rinvenibile, per evidenziare innanzitutto che il sig. XX non può, giuridicamente ed effettivamente, “intervenire” in maniera diretta, autonoma e indipendente, sul sistema Privacy, se non come RPD […]. E dalla lettura della relazione del RPD […], nella parte in cui riporta quanto ha rilasciato l’avere il sig. XX proposto l’abrogazione del Regolamento per il trattamento delle informazioni, pare doveroso sottolineare della consistenza della proposta e dell’atto, per due profili evidenti e condivisi, sostanzialmente già tracciati dal RPD nel proprio documento di risconto”;
- “si è ritenuto non sussistere “conflitto di interessi” in capo al sig. XX: se già le ipotesi-tipo di conflitto di interessi in relazione ai compiti ordinariamente svolti, come delineate dal Garante possono, con prudenza, essere derogate negli enti di piccole dimensioni, si affievolisce il pericolo e ancor meno può configurarsi il conflitto se – nel medesimo contesto di piccole dimensioni – si attribuiscono a soggetto che non tratta le materie sentinella (personale, contabilità, anticorruzione) e che non ha, ex lege, potere decisionale, potere di adottare o modificare atti, poteri delegati, cui si aggiunge che è la stessa struttura organizzativa e gerarchica dell’Ente, tra l’altro, delineata nel rispetto di specifiche disposizioni di legge, che esclude in re ipsa, nel contesto organizzativo in cui opera la scrivente Amministrazione, la “possibilità” del conflitto di interesse tra la responsabilità in capo al XX di alcuni Servizi, e il suo ruolo di RPD […] nell’assoluta buona fede e fiducia di aver correttamente letto e interpretato”;
- “si deve aggiungere, per completezza e sostanza, come già rimesso nella difesa di XX, che le criticità segnate non risultano essere state lamentate dall’utenza, ma soprattutto non risultano avere esposto alcuno, esterno o interno all’Ente, a limitazioni nella tutela dei propri dati personali e/o a danni di qualsiasi tipo, con questi ultimi che, più in generale, non risultano essere stati né provocati né prodotti, a qualsiasi altro titolo”.
Con nota del XX (prot. n. XX), il Consorzio ha presentato le memorie aggiuntive con particolare riferimento alle iniziative adottate o che intende adottare al fine di assicurare il rispetto degli obblighi previsti dal Regolamento, precisando, in particolare, che, “ancorché l’Ente confidi aver bene operato e di non essere in difetto, si è deciso - al fine di sterilizzare ogni dubbio e possibile perplessità del Garante sull’attuale e sulla stessa risoluzione a cui ci si approccia - di conferire provvisoriamente all’esterno l’incarico di RPD, mancando allo stato qualsiasi alternativa interna a quella già disposta e in essere”.
3. Esito dell’attività istruttoria.
Il trattamento dei dati personali, da parte dei soggetti pubblici, deve avvenire nel rispetto delle disposizioni della disciplina in materia di protezione dei dati personali, con particolare riferimento all’art. 37, parr. 1, lett. a), e 7, all’art. 38, parr. 2 e 6, e all’art. 39, par. 1, lett. a), del Regolamento, tenuto conto anche del cons. 97.
Anche nelle “Linee-guida sui responsabili della protezione dei dati (RPD)”, adottate dal Gruppo di lavoro articolo 29 in materia di protezione dei dati personali il 13 dicembre 2016 ed emendate il data 5 aprile 2017, si prevede che:
- “L’articolo 37, settimo paragrafo, del RGPD impone al titolare o al responsabile del trattamento di pubblicare i dati di contatto del RPD, e di comunicare i dati di contatto del RPD alle pertinenti autorità di controllo. Queste disposizioni mirano a garantire che tanto gli interessati (all’interno o all’esterno dell’ente/organismo titolare o responsabile) quanto le autorità di controllo possano contattare il RPD in modo facile e diretto senza doversi rivolgere a un’altra struttura operante presso il titolare/responsabile” (par. 2.6);
- “tra le risorse da assegnare al RPD vi è il “tempo sufficiente per l’espletamento dei compiti affidati al RPD. […] In caso contrario, il rischio è che le attività cui il RPD è chiamato finiscano per essere trascurate a causa di conflitti con altre priorità. E’ fondamentale disporre di tempo sufficiente da dedicare allo svolgimento dei compiti previsti per il RPD”, in quanto “La funzione “protezione dati” deve poter operare con efficienza e contare su risorse sufficienti in proporzione al trattamento svolto” (par. 3.2);
- “l’assenza di conflitti di interessi è strettamente connessa agli obblighi di indipendenza. Anche se un RPD può svolgere altre funzioni, l’affidamento di tali ulteriori compiti e funzioni è possibile solo a condizione che essi non diano adito a conflitti di interessi. Ciò significa, in modo particolare, che un RPD non può rivestire, all’interno dell’organizzazione del titolare del trattamento o del responsabile del trattamento, un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali. Si tratta di un elemento da tenere in considerazione caso per caso guardando alla specifica struttura organizzativa del singolo titolare del trattamento o responsabile del trattamento. A grandi linee, possono sussistere situazioni di conflitto all’interno dell’organizzazione del titolare del trattamento o del responsabile del trattamento riguardo a ruoli manageriali di vertice (amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane, responsabile IT), ma anche rispetto a posizioni gerarchicamente inferiori se queste ultime comportano la determinazione di finalità o mezzi del trattamento” (par. 3.5).
Da ultimo si rammenta che il “Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico”, adottato dal Garante il 29 aprile 2021 con provvedimento n. 186 (doc. web n. 9589104), precisa che:
- “Non devono essere invece assegnati al RPD compiti che spettano al titolare del trattamento e che esulano dalle attività di consulenza, sorveglianza e, più in generale, consultazione, stabilite dall’art. 39 del Regolamento – nonché, eventualmente, di tenuta del registro delle attività di trattamento di cui all’art. 30 del Regolamento (cfr. le Linee guida del WP29, par. 4.5, pp. 24-25). Pur riconoscendo che i compiti ivi elencati costituiscono solo una rappresentazione esemplificativa, rimane comunque il fatto che il RPD non possa essere chiamato a svolgere, in prima persona, attività che, in base al Regolamento, competono al titolare/responsabile, peraltro a pena di applicazione di una sanzione amministrativa in caso di violazione” (par. 8);
- “Nelle Linee guida del WP29 e nelle FAQ del Garante sono state già indicate situazioni di conflitto di interessi in relazione a ruoli manageriali di vertice come quelli, tra gli altri, di “[…] responsabile finanziario […] direzione risorse umane, responsabile IT”, di “responsabile per la prevenzione della corruzione e per la trasparenza” o di “responsabile dei Sistemi informativi […] ovvero quello dell'Ufficio di statistica”. In ogni caso, le medesime Linee guida specificano che l’indagine va fatta “caso per caso guardando alla specifica struttura organizzativa del singolo titolare del trattamento o responsabile del trattamento”: ciò significa che solo l’esame concreto di ciascuna singola realtà – considerando elementi quali le dimensioni dell’ente, le risorse a disposizione, la complessità della struttura, le tipologie di trattamenti svolti, qualità e quantità dei dati trattati, ecc. – potrà condurre ad una valutazione definitiva sulla sussistenza o meno di cause di incompatibilità. Tale valutazione, in ogni caso, dovrà essere fornita dal titolare del trattamento, anche sulla base di idonea documentazione, in virtù del principio di accountability di cui agli artt. 5, par. 2, e 24 del Regolamento. Ciò detto, per quanto concerne incarichi di carattere monocratico (quali quelli di dirigente direttamente coinvolto da trattamenti, o addirittura di vertice dell’ente), il conflitto di interessi, spesso, diviene evidente icto oculi, e difficilmente si rende possibile comprovare, da parte del titolare del trattamento, che il medesimo soggetto che determina i trattamenti rientranti nel proprio settore abbia la necessaria indipendenza per esercitare, in maniera corretta, trasparente ed imparziale, quei compiti di sorveglianza sull’osservanza della disciplina e sulle politiche del titolare in materia di protezione dei dati personali, previsti dall’art. 39, par. 1, lett. b), del Regolamento. Si può certamente affermare la sussistenza di un conflitto di interessi in relazione ai ruoli già citati (come la direzione risorse umane o contabilità, il responsabile IT o il responsabile della prevenzione della corruzione e della trasparenza), trattandosi di settori in cui i trattamenti dei dati personali sono certi e trasversali rispetto all’intera amministrazione, oltre che significativi in termini di quantità e qualità dei dati personali trattati, nonché di rischi sui diritti e sulle libertà fondamentali degli interessati” (par. 10.1).
Nel caso di specie, con riferimento agli specifici rilievi mossi nell’atto di avvio del procedimento volto all’adozione di provvedimenti correttivi, in relazione a quanto argomentato dal Consorzio, si osserva quanto segue:
- risulta accertato in atti che la designazione del RPD sia avvenuta solamente nel XX, quindi dopo oltre tre anni e mezzo dall’entrata in vigore del Regolamento che, all’art. 37, par. 1, lett. a), impone tale obbligo in capo ai soggetti pubblici – tra cui rientra anche il Consorzio –, comportando, pertanto, una violazione del menzionato art. 37, par. 1, del Regolamento;
- risulta altresì accertato in atti che il Consorzio abbia provveduto alla comunicazione all’Autorità dei dati di contatto del RPD solamente in data XX (quindi, oltre un anno dopo la designazione del medesimo), ossia in seguito all’invio della nota, da parte dell’Autorità medesima, con la quale veniva contestato il predetto inadempimento. Con riferimento, invece, al profilo dell’omessa pubblicazione, le schermate prodotte dal Consorzio in allegato agli scritti difensivi non dimostrano l’effettiva ostensione dei dati di contatto del RPD, in quanto esse riportano l’atto di designazione (che non reca i dati di contatto), nel quale sono indicati i riferimenti del dott. XX nell’ambito di “Ufficio Segreteria amministrativa – Responsabile del Servizio legale e Contenzioso” (ma senza alcuna menzione dell’incarico di RPD) e la documentazione redatta dall’Ente nell’ambito degli obblighi connessi alla disciplina in materia di anticorruzione e trasparenza: tuttavia, nessuno di tale contenuti rende chiaramente intellegibili all’utente i dati di contatto del RPD, tanto che il Consorzio ha successivamente provveduto a dedicare una specifica pagina web recante tali informazioni, richiamabile dalla homepage del sito. Pertanto, le omissioni descritte comportano la violazione dell’art. 37, par. 7, del Regolamento;
- l’affidamento dell’incarico di RPD a un soggetto già titolare di altri incarichi di responsabile di più servizi di un’amministrazione – come, nel caso di specie, quello di “responsabile di diversi Servizi all’interno dell’Ente (Segreteria del Dirigente del Settore I, Assistenza agli Organi, Sistemi Informatici, Turismo e in ultimo del Servizio Legale)” – comporta la possibilità che il soggetto in questione non adempia ai compiti che il Regolamento assegna al RPD in maniera piena, effettiva e completamente autonoma, a causa dell’assenza delle risorse necessarie, soprattutto in termini di tempo, e all’esercizio di funzioni che hanno dato o comunque avrebbero potuto dare adito a un conflitto di interessi, comportando, in tal modo, la violazione dell’art. 38, parr. 2 e 6, del Regolamento.
4. Conclusioni.
Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal Consorzio nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ seppure meritevoli di considerazione sul piano della comprensione del contesto e della definizione del grado di responsabilità, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rilevano:
- la mancata designazione del RPD fino al XX, in violazione dell’art. 37, par. 1, del Regolamento;
- la tardiva pubblicazione e comunicazione all’Autorità dei dati di contatto del RPD, in violazione dell’art. 37, par. 7, del Regolamento;
- l’individuazione, quale RPD, di un dipendente del Consorzio che, nel ricoprire anche altri incarichi, non disponeva delle risorse necessarie, soprattutto in termini di tempo, e poteva potenzialmente trovarsi in posizione di conflitto di interessi, in violazione dell’art. 38, parr. 2 e 6, del Regolamento.
5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).
Al riguardo, nel caso di specie, la violazione della disposizione citata è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 4, del Regolamento, che il Garante ha il potere di infliggere ai sensi degli artt. 58, par. 2, lett. i), e 83 del medesimo Regolamento nonché dell’art. 166 del Codice. La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento, in relazione ai quali si osserva quanto segue.
La mancata designazione fino al mese di XX e la mancata comunicazione dei dati di contatto del RPD ha privato il Consorzio di una figura obbligatoria ed essenziale per assicurare il rispetto del Regolamento, incidendo altresì negativamente sulla possibilità che l’Autorità contattasse il RPD in modo agevole e diretto.
Di contro, si osserva che il Consorzio si è attivato al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi, pubblicando e comunicando i dati di contatto del RPD all’Autorità, a seguito dell’avvio del procedimento, e nominando un nuovo RPD che non fosse nelle condizioni in cui versava il precedente, e che non risultano a carico dello stesso precedenti violazioni pertinenti commesse o precedenti provvedimenti di cui all’art. 58 del Regolamento. Si rileva, altresì, il carattere colposo della violazione.
In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria, nella misura di euro 6.000 (seimila) per la violazione degli artt. 37, parr. 1 e 7, e 38, parr. 2 e 6, del Regolamento quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.
Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito web del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e dall’art. 16 del Regolamento del Garante n. 1/2019, trattandosi del mancato assolvimento a un adempimento divenuto obbligatorio da più di cinque anni.
Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
TUTTO CIÒ PREMESSO IL GARANTE
rilevata l’illiceità della condotta tenuta dal Libero Consorzio comunale di Enna, descritta nei termini di cui in motivazione, consistente nella violazione degli artt. 37, parr. 1 e 7, e 38, parr. 2 e 6, del Regolamento;
ORDINA
al Libero Consorzio comunale di Enna, con sede in Piazza Garibaldi, n. 2, 94100 - CF 80000810863 - ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 5, del Regolamento e dell’art. 166, comma 2, del Codice, di pagare la somma di euro 6.000 (seimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione;
INGIUNGE
al Libero Consorzio comunale di Enna, di pagare la somma di euro 6.000 (seimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.
Al riguardo, si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro 30 giorni dalla data della notifica del presente provvedimento, ai sensi dell’art. 166, comma 8, del Codice (cfr. anche art. 10, comma 3, del d.lgs. n. 150 dell’1/9/2011);
DISPONE
la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice;
l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento.
Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Messina, 11 aprile 2024
IL PRESIDENTE
Stanzione
IL RELATORE
Ghiglia
IL SEGRETARIO GENERALE
Mattei
