g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Comune di Asti - 26 febbraio 2020 [9361151]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9361151]

Ordinanza ingiunzione nei confronti di Comune di Asti - 26 febbraio 2020

Registro dei provvedimenti
n. 41 del 26 febbraio 2020

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida del Garante in materia di trasparenza”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019, doc. web n. 9107633(di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore la prof.ssa Licia Califano;

PREMESSO

1. Introduzione

Questa Autorità ha ricevuto una segnalazione da parte della dott.ssa XX (di seguito “il segnalante”) in ordine alla pubblicazione sul sito web istituzionale del Comune di Asti della determinazione dirigenziale n. XX del XX, avente a oggetto la concessione di permessi ai sensi dell’art. 33 della legge n. 104 del 5/2/1992 («Legge-quadro per l’assistenza, l’integrazione sociale e i diritti delle persone handicappate»), contenente dati personali del soggetto disabile, genitore del segnalante, il quale aveva fatto richiesta per assisterlo in quanto, come si legge nel provvedimento, «portatore di handicap in situazione di gravità».

Nella segnalazione è evidenziato che, prima di rivolgersi al Garante, si era provveduto a esercitare i diritti in materia di protezione dei dati personali nei confronti del Comune di Asti, chiedendo conto dei criteri, modalità e finalità del trattamento; degli estremi del titolare e del responsabile, nonché dei soggetti ai quali i dati potevano essere comunicati.

Il segnalante ha allegato gli screenshot delle pagine web pubblicate, nonché la mail del XX inviata anche al Responsabile per la protezione dei dati (di seguito “RPD”) del predetto Comune per chiedere di «eliminare la libera accessibilità a dati sensibili riferiti al [proprio] genitore», dopo che lo stesso gli aveva rappresentato in una precedente mail del XX che il documento non risultava più «consultabile presso l’Albo Pretorio della Città di Asti in quanto rimosso a scadenza dei termini di pubblicazione», ma era comunque ancora accessibile «presso il “XX”, area XX, attraverso chiave di ricerca (https://..), nonché «presso la piattaforma procedurale interna (gestione atti) dell’Amministrazione», accessibile a tutti i dipendenti attraverso credenziali di accesso.

2. Normativa applicabile

Il caso in esame ha a oggetto la diffusione da parte del Comune sul sito web istituzionale e sulla piattaforma interna del Comune accessibile ai soli dipendenti, dei dati sulla salute del proprio genitore identificato tramite le relative iniziali.

Al riguardo, è necessario ricordare che «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)» e che «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).

Il trattamento dei dati personali deve avvenire nel rispetto dei principi indicati dall’art. 5 del RGPD, fra cui quelli di «liceità, correttezza e trasparenza» nonché di «minimizzazione dei dati», secondo i quali i dati personali devono essere – rispettivamente – «trattati in modo lecito, corretto e trasparente nei confronti dell'interessato», nonché «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (par. 1, lett. a e c).

In tale quadro, il trattamento di «categorie particolari di dati personali» elencati dall’art. 9, par. 1, del RGPD – fra cui rientrano i «dati relativi alla salute» ossia i «dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute» (art. 4, par. 1, n. 15; considerando n. 35 del RGPD) – è vietato, a meno che non ricorra una delle eccezioni prevista dal paragrafo 2 del citato art. 9.

Fra le predette eccezioni rientra il caso in cui «il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato» (art. 9, par. 2, lett. g). In ogni caso, «Gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di […] dati relativi alla salute» (art. 9, par. 4, RGPD).

In tale quadro, la normativa in materia di protezione dei dati personali prevede che i trattamenti di categorie particolari di dati personali «necessari per motivi di interesse pubblico rilevante» sono ammessi «qualora siano previsti dal diritto dell’Unione europea ovvero, nell’ordinamento interno, da disposizioni di legge o, nei casi previsti dalla legge, di regolamento che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato» (art. 2-sexies, par. 1, del Codice) e che, in ogni caso i «dati relativi alla salute» non possono essere diffusi (2-septies, comma 8. Cfr. anche art. 22, comma 8, del Codice previgente).

3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato

Dalle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX del XX ha accertato che il Comune – con la pubblicazione integrale della determinazione dirigenziale n. XX nell’albo pretorio e nell’area liberamente accessibile atti amministrativi del sito web istituzionale, nonché nella «piattaforma procedurale interna (gestione atti) dell’Amministrazione» con credenziali di accesso fornite a tutti i dipendenti – ha causato la diffusione di dati e informazioni personali relativi alla salute del genitore della dott.ssa XX.

Poiché il predetto trattamento di dati personali non è risultato conforme alla disciplina rilevante in materia di protezione dei dati personali, con la medesima nota sono state notificate al Comune di Asti le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, paragrafo 2, del RGPD e invitando il predetto Comune a inviare al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentito da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

4. Memorie difensive e audizione

Con la nota prot. n. XX del XX il Comune di Asti ha inviato al Garante i propri scritti difensivi in relazione alle violazioni notificate.

Al riguardo, si ricorda che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante».

Nello specifico, in relazione ai fatti contestati il Comune ha rappresentato, fra l’altro, che:

- «In data XX [il segnalante] presenta istanza volta ad ottenere l’autorizzazione ad usufruire del beneficio ex art. 33, comma 3, Legge n. 104/1992 e s.m. ed i., e con Determinazione Dirigenziale n. XX del XX la stessa veniva autorizzata»;

- «Come ordinariamente venivano redatti gli atti autorizzatori di che trattasi, al tempo, nella D.D. citata veniva indicato per esteso il nome del dipendente richiedente e le iniziali del parente o affine bisognoso di assistenza»;

- «contrariamente a quanto definito nella notifica della violazione, [il segnalante non ha mai chiesto all’]Amministrazione […] la rimozione della comunicazione ma [ha chiesto] di conoscere il criterio con cui vengono identificati i dipendenti e perché in dat[e] successiv[e] al provvedimento [oggetto della segnalazione] vengono adottate precauzioni differenti. La risposta di cui alla nota n. XX del XX fornisce infatti [al segnalante] i chiarimenti richiesti»;

- «[per altro verso, contemporaneamente alla nota inviata dal DPO al segnalante in data XX, quest’ultimo] segnalava la necessità di rimuovere o di rendere inaccessibile ai non aventi diritto o legittimazione operativa la determinazione di che trattasi»;

- «In data XX si è provveduto a rendere la citata determinazione dirigenziale accessibile in modalità riservata ed indisponibile al download su web “XX”»;

- «Pervenuta la comunicazione del Garante e venut[i] a conoscenza della problematica, [si è provveduto a] rimuovere dal web e dal gestionale tutti gli atti [e] ad oggi, gli atti di cui alla notifica di sanzione del Garante e gli atti assimilabili per categoria non sono rinvenibili in alcun modo oltre che sul sito web dell’amministrazione (da XX) neanche sulla rete interna (dal XX)».

Quanto, invece, alla condotta tenuta, il Comune ha evidenziato che:

- «Il riferimento a portatore di handicap in condizione di gravità costituisce condizione per l’ottenimento del diritto mentre, in alcun modo, si fa riferimento a quella che risulta la patologia sottesa che costituirebbe il reale dato sensibile (ora dato particolare)»;

- «La necessarietà del riferimento all’handicap in condizioni di gravità è, peraltro, confermata nel provvedimento del Garante […] del 10 dicembre 2015 che espressamente definisce: “Rilevato che, come previsto al punto 8.6. delle Linee guida in materia di trattamento di dati personali per finalità di gestione del rapporto di lavoro in ambito pubblico (G.U. 13 luglio 2007, n. 161 – doc. web n. 1417809), è consentito al datore di lavoro il trattamento dei dati personali relativo allo stato di salute anche dei congiunti del lavoratore al fine di permettergli di godere dei benefici della legge, fra cui i congedi per l’assistenza a familiari disabili in situazione di gravità di cui alla legge n. 104/92”»;

- «Pare indubbio che nella gestione dell’attività non vi è stato alcun profilo di intenzionalità nel danneggiare la Dott.ssa XX»;

- «l’Amministrazione è intervenuta nel tempo interrogandosi sulla via più corretta ed opportuna, apportando numerose modiche alla procedura, agendo con il chiaro intendimento di perseguire l’interesse pubblico ed il rispetto delle norme, anche in materia di trasparenza»;

- «Allo stato dei fatti […] Esclusivamente i componenti dell’ufficio che amministra la situazione del personale, detengono tale documento ai fini dello svolgimento dell’attività lavorativa e nell’interesse del dipendente medesimo. Tali atti sono conservati nel rispetto delle prescrizioni in materia di tutela della privacy».

In data XX si è, inoltre, svolta presso il Garante l’audizione richiesta dal Comune di Asti ai sensi dell’art. 166, comma 6, del Codice, in occasione della quale «ad integrazione di quanto già riportato nella documentazione inviata», è stato precisato che «non c’è stato alcun atteggiamento discriminatorio nei confronti della dipendente, atteso che si tratta di un caso del tutto isolato».

5. Esito dell’istruttoria relativa alla segnalazione presentata

Il Comune di Asti sia nelle memorie difensive che nella successiva audizione, ha confermato l’avvenuta pubblicazione della determinazione dirigenziale n. XX del XX: sull’albo pretorio online; nell’area «“XX”, area XX»; nonché, «presso la piattaforma procedurale interna (gestione atti) dell’Amministrazione» accessibile attraverso credenziali di accesso a tutti i dipendenti.

Con la determinazione dirigenziale sopracitata è stata disposta la concessione in favore del segnalante di giorni di permesso, ai sensi della legge n. 104/992 («Legge-quadro per l’assistenza, l’integrazione sociale e i diritti delle persone handicappate»), per l’assistenza del genitore, Sig. XX.

Pertanto, la relativa pubblicazione sul web e sulla piattaforma interna accessibile attraverso credenziali di accesso a tutti i dipendenti, ha causato – rispettivamente – oltre a una «diffusione» a soggetti indeterminati, anche una «comunicazione» a soggetti terzi non autorizzati (art. 2-ter, par. 4, lett. a e b, del Codice) dei dati personali e delle informazioni ivi contenuti, quali il nome e cognome del segnalante, le iniziali del genitore XX e l’indicazione che quest’ultimo è «portatore di handicap in situazione di gravità». Elementi questi che rendendo indirettamente identificabile il genitore malato (cfr. art. 4, par. 1, n. 1, RGPD).

Il Comune, al riguardo, ha evidenziato – a sostegno della propria difesa – che il segnalante non avrebbe mai chiesto al Comune la rimozione dei dati ma solo «il criterio con cui vengono identificati i dipendenti» e che nel provvedimento pubblicato è presente solo il riferimento alla condizione di handicap, senza indicare la patologia; nonché, infine, che il trattamento relativo ai dati sull’handicap del genitore sarebbe lecito alla luce del par. 8.6 delle Linee guida del Garante «in materia di trattamento di dati personali per finalità di gestione del rapporto di lavoro in ambito pubblico» [doc. web n. 1417809].

Dall’istruttoria risulta che effettivamente il segnalante si è rivolto al Comune con la nota del XX per esercitare formalmente i diritti in materia di protezione dei dati personali, senza però chiedere la rimozione dei dati personali. Tuttavia, è stata acquisita agli atti la successiva mail del XX inviata dal segnalante al RPD del Comune, con cui si chiede di «eliminare la libera accessibilità a dati sensibili riferiti al [proprio] genitore» e, dal riscontro fornito dal Comune, sembrerebbe che il predetto responsabile si sia attivato in tal senso presso l’Ente, che ha provveduto a rimuovere il file dal sito web a XX (dopo la mail al RPD) e dalla rete interna ad XX (dopo la notifica delle violazioni da parte del Garante).

Quanto alle altre osservazioni del Comune, si constata che le stesse non consentono, in ogni caso, di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, in quanto:

- sin dal 2014 l’Autorità, nelle Linee guida del Garante in materia di trasparenza, ha evidenziato che dato idoneo a rivelare lo stato di salute non è solo l’indicazione della patologia, ma qualsiasi informazione «da cui si possa desumere, anche indirettamente, lo stato di malattia o l’esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici» (cfr. parte prima par. 2; parte seconda, par. 1; nonché provvedimenti ciati in nota n. 5). Tale orientamento è confermato dalla nuova definizione di dato relativo alla salute contenuta nell’art. 4, par. 1, n. 15, del RGPD (cfr. anche cons. n. 35);

- inoltre, come evidenziato nelle Linee guida del Garante «in materia di trattamento di dati personali per finalità di gestione del rapporto di lavoro in ambito pubblico» citate dal Comune, è sicuramente corretto il «trattamento di dati relativi alla salute del lavoratore (e anche di suoi congiunti), al fine di permettergli di godere dei benefici di legge [come nel caso delle] agevolazioni previste per l’assistenza a familiari disabili, ai permessi retribuiti e ai congedi per gravi motivi familiari» (par. 8.6). Ciò, tuttavia, significa che l’Ente può trattare i predetti dati per le finalità indicate, ma non è certo autorizzato a pubblicarli online né sul sito web istituzionale né nel portale interno accessibile a tutti i dipendenti.

Per tali motivi, in relazione alla condotta tenuta, le argomentazioni riportate dal Comune non risultano sufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo nessuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

In tale quadro, si confermano le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Comune di Asti, in quanto la pubblicazione della determinazione dirigenziale n. XX sulla piattaforma interna accessibile attraverso credenziali di accesso a tutti i dipendenti e sul sito web istituzionale, ha causato la diffusione e la comunicazione e a soggetti terzi non autorizzati di dati e informazioni sullo stato di salute del soggetto interessato, in violazione dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a) e c); 9, parr. 1, 2, lett. g), e 4, del RGPD, nonché del divieto di diffusione dei dati sulla salute (2-septies, comma 8; cfr. anche art. 22, comma 8, del Codice previgente) e delle particolari garanzie previste per il trattamento di categorie particolari di dati personali (art. 2-sexies, comma. 1, del Codice) considerando, peraltro, che non esiste alcuna disposizione che preveda la messa a disposizione dei dati oggetto della segnalazione a tutti i dipendenti dell’ente tramite la piattaforma interna accessibile con credenziali.

Considerato, comunque, che la condotta ha esaurito i suoi effetti, in quanto il Comune ha provveduto «a rimuovere dal web e dal gestionale» l’atto oggetto di segnalazione e lo stesso non è rinvenibile «oltre che sul sito web dell’amministrazione (da XX) neanche sulla rete interna (dal XX)», fermo restando quanto si dirà sull’applicazione della sanzione amministrativa pecuniaria, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del RGPD.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria (artt. 58, par. 2, lett. i; 83 RGPD)

Il Comune di Asti risulta aver violato obblighi e principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a) e c); 9, parr. 1, 2, lett. g), e 4, del RGPD, nonché degli artt. 2-sexies, e 2-septies, comma 8, del Codice (di contenuto analogo al previgente art. 22, comma 8, del Codice).

Al riguardo, l’art. 83, par. 3, del RGPD, prevede che «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave».

Nel caso di specie – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del RGPD, che si applica pertanto al caso di specie.

Occorre altresì considerare che, seppure la violazione è iniziata a XX, per la determinazione della norma applicabile, sotto il profilo temporale, deve essere richiamato il principio di legalità di cui all’art. 1, comma 2, della legge n. 689 del 24/11/1981 che, nel sancire come «Le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in esse considerati», afferma la ricorrenza del principio del tempus regit actum. Il rispetto di tali principi determina l’obbligo di prendere in considerazione le disposizioni vigenti al momento della commessa violazione, che nel caso in esame – considerando la natura permanente dell’illecito contestato – deve essere individuato all’atto di cessazione della condotta illecita, verificatasi successivamente alla data del XX in cui il RGPD è divenuto applicabile. Dagli atti dell’istruttoria è, infatti, emerso che l’illecita diffusione online è cessata a XX (mese in cui il Comune ha provveduto a rimuovere il file dal sito web istituzionale) e la comunicazione a soggetti terzi non autorizzati è cessata ad XX (mese in cui la delibera è stata rimossa anche dalla rete interna accessibile a tutti i dipendenti).

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD nonché dell’art. 166 del Codice, ha il potere correttivo di «infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso». In tale quadro, «il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice» (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del RGPD.

In relazione ai predetti elementi, la rilevata condotta tenuta in violazione della disciplina in materia di protezione dei dati personali ha avuto a oggetto la diffusione di dati relativi alla salute di un solo soggetto interessato. La diffusione si è protratta per un periodo superiore ai tre anni e dagli atti risulta che il segnalante si era già preventivamente rivolto all’amministrazione per sollecitare una verifica in ordine al trattamento effettuato. Il Comune di Asti ha, in ogni caso, evidenziato il carattere colposo della violazione e l’inesistenza di qualsiasi intenzionalità di danneggiare o discriminare il segnalante. L’amministrazione si è attivata per rimuovere i dati personali oggetto di segnalazione e ha collaborato con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi. Nel riscontro al Garante sono state, inoltre descritte diverse misure tecniche e organizzative messe in atto ai sensi degli artt. 25-32 del RGPD. Non risultano eventuali precedenti violazioni del RGPD pertinenti commesse dal Comune di Asti.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, parr. 2 e 3, del RGPD l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, del RGPD, nella misura di euro 8.000,00 (ottomila) per la violazione degli artt. 5, par. 1, lett. a) e c); 9, parr. 1, 2, lett.g), e 4, del RGPD, nonché degli artt. 2-sexies, e 2-septies, comma 8, del Codice, quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo RGPD.

In relazione alle specifiche circostanze del presente caso, si ritiene altresì – anche in considerazione della natura dei dati oggetto di illecita diffusione e della durata dell’illecito – che debba essere applicata la sanzione accessoria della pubblicazione sul sito web del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità del trattamento effettuato dal Comune di Asti ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD, nonché dell’art. 166 del Codice per violazione degli artt. 5, par. 1, lett. a) e c); 9, parr. 1, 2, lett. g), e 4, del RGPD, nonché degli artt. 2-sexies, e 2-septies, comma 8, del Codice, nei termini di cui in motivazione.

ORDINA

al Comune di Asti, in persona del legale rappresentante pro-tempore, con sede legale in P.zza S. Secondo,1 - 14100 Asti (AT) – C.F. 00072360050 di pagare la somma di euro 8.000,00 (ottomila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

al medesimo Comune di pagare la somma di euro 8.000,00 (ottomila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019 e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 26 febbraio 2020

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia