Diritti interna

Doveri interna

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Provvedimento del 12 marzo 2020 [9429218]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
9429218
Data:
12/03/20
Argomenti:
Lavoro pubblico , Sanzioni disciplinari , Responsabile protezione dati
Tipologia:
Ordinanza ingiunzione o revoca

[doc. web n. 9429218]

Provvedimento del 12 marzo 2020

Registro dei provvedimenti
n. 56 del 12 marzo 2020

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, "Regolamento generale sulla protezione dei dati" (di seguito, "Regolamento");

VISTO il d.lgs. 30 giugno 2003, n. 196 recante "Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito "Codice");

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all'esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell'8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito "Regolamento del Garante n. 1/2019");

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell'art. 15 del Regolamento del Garante n. 1/2000 sull'organizzazione e il funzionamento dell'ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

RELATORE il dott. Antonello Soro;

PREMESSO

1. Il reclamo.

Con reclamo del 12 ottobre 2018, presentato ai sensi dell'art. 77 del Regolamento, successivamente integrato in data 15 aprile 2019, il sig. XX, dipendente del Comune di Pettoranello di Molise e responsabile dell'Ufficio Tecnico comunale, ha lamentato:

- che il predetto Comune, in "violazione dell'art. 6" del Regolamento, gli avesse inviato, in data 1° agosto 2018, l'atto di avvio di un procedimento disciplinare a suo carico e relativo provvedimento di sospensione cautelare dal servizio (prot. n. XX), alcune note predisposte nell'ambito del medesimo procedimento, nonché una nota (prot. n. XX), avente ad oggetto la reintegrazione sul posto di lavoro disposta dal Tribunale di Isernia, all'indirizzo di posta elettronica certificata (di seguito "PEC") utilizzato dal reclamante nell'ambito della propria attività professionale, e che già "in precedenza si erano verificate notifiche di provvedimenti disciplinari da parte dell'Ente sulla PEC [del proprio] studio professionale", nonostante il reclamante non avesse "mai comunicato al datore di lavoro l'indirizzo PEC dello studio professionale e non [avesse] mai autorizzato lo stesso all'utilizzo di tale mezzo per le comunicazioni inerenti il rapporto di lavoro subordinato prestato presso il Comune";

- che, nonostante le "reiterate diffide a non utilizzare tale modalità comunicativa" (cfr. nota del XX, prot. n. XX, e nota del XX, prot. n. XX, inviate dal reclamante al Comune e allegate in copia al reclamo), il Comune "[avesse contravvenuto] alle indicazione disposte" dal reclamante e "continua[sse] ancora a perseverare con gli invii di posta certificata";

- che una testata giornalistica e un'emittente televisiva locale avessero diffuso la notizia della sospensione dal servizio del "tecnico comunale", ritenendo "imputabile al titolare del trattamento uno scarso livello di sicurezza nei trattamenti, evidenziato dalla divulgazione non autorizzata di atti protetti da riservatezza, per di più diffusi dalla stampa", in "violazione dell'art. 32" del Regolamento;

- che il Comune non avesse pubblicato sul proprio sito web istituzionale i dati di contatto del proprio responsabile della protezione dei dati (di seguito, "RPD"), in "violazione dell'art. 37" del Regolamento.

2. L'attività istruttoria.

Con nota del XX (prot. n. XX), l'Ufficio, avendo qualificato le note inviate dal reclamante al Comune (cfr. note del XX, prot. n. XX e del XX, prot. n. XX), quali atti di esercizio del diritto di opposizione al trattamento del dato relativo al proprio indirizzo di PEC, ha invitato il Comune ad aderire alla richiesta dell'interessato entro e non oltre il XX, avendo cura di informare quest'ultimo e l'Ufficio circa le determinazioni adottate. L'Ufficio ha, inoltre, chiesto al Comune di confermare quanto dichiarato al reclamante in merito alla circostanza che "nessun comunicato della questione […] è stato inoltrato alle testate giornalistiche" (cfr. nota del Comune del XX), con assunzione di responsabilità in merito alla genuinità delle dichiarazioni rese, ai sensi dell'art. 168, comma 1, del Codice.

Con nota del XX (prot. n. XX), il Comune, nonostante avesse ricevuto l'invito dell'Ufficio, ha chiesto al reclamante di esercitare i propri diritti, inviando un'e-mail al RPD oppure un messaggio di PEC al Comune, "con chiara evidenza nell'oggetto "Esercizio di opposizione all'utilizzo dei dati". Soltanto in data XX (nota prot. n. X) il Comune ha informato il Garante di aver cancellato "tutti i riferimenti inerenti [al reclamante] ai sensi dell'art. 17 del GDPR "senza ingiustificato ritardo".

Nella medesima nota del 1° aprile 2019 il Comune ha, inoltre, richiamato un passaggio di un'ordinanza di archiviazione, emessa nel giugno 2016 dal Giudice per le indagini preliminari del Tribunale di Isernia e relativa a un procedimento penale, avviato – secondo quanto dichiarato dal Comune - a seguito di denuncia sporta dal reclamante in merito a fatti analoghi a quelli oggetto del reclamo, in cui si legge che "emerge pacificamente dagli atti come le comunicazioni di cui [il reclamante] si duole siano inoltrate all'indirizzo pec recante le sue stesse generalità […] sicché non v'è luogo ipotizzare nessuno dei due reati oggetti di iscrizione atteso che, quanto al primo [ovvero il reato di cui all'art. 167 del Codice, nel testo antecedente alle modifiche operate da d.lgs. 101/2018], l'eventuale autorizzazione alla lettura della casella pec da parte del titolare a terze persone costituisce fatto da cui non può scaturire un'accusa di violazione della privacy per i mittenti […]".

Con riferimento alla circostanza che una testata giornalistica e un'emittente televisiva locale avessero diffuso la notizia della sospensione dal servizio del "tecnico comunale" – il Comune, come richiesto dall'Ufficio, ha, infine, confermato che "il Comune di Pettoranello non ha mai inviato o diffuso dati".

Sulla base degli elementi acquisiti, anche attraverso la documentazione inviata e i fatti emersi nel corso dell'attività istruttoria, l'Ufficio ha notificato al Comune (nota prot. n. XX del XX), in qualità di titolare del trattamento, ai sensi dell'art. 166, comma 5, del Codice, l'avvio del procedimento per l'adozione dei provvedimenti di cui all'art. 58, par. 2, del Regolamento, avente ad oggetto le presunte violazioni degli artt. 6, 12 e 37 del Regolamento, invitando il Comune a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall'Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. n. 689 del 24 novembre 1981).

Il Comune ha fatto pervenire le proprie memorie difensive con nota del XX (prot. n. XX), rappresentando, in particolare, che:

- il Comune, "a seguito del provvedimento inerente il procedimento cautelare di sospensione attivato nei confronti del dipendente" ha "dovuto lecitamente utilizzare l'indirizzo PEC" per perseguire un proprio "legittimo interesse", richiamando quanto previsto dall'art. 6, par. 1, lett. f) e dal considerando n. 47 del Regolamento, e specificando che, con riferimento all'utilizzo dell'indirizzo di posta elettronica professionale del reclamante ai fini dell'invio della nota prot. XX, tale utilizzo "si è reso necessario per motivi legittimi cogenti inerenti il procedimento cautelare di sospensione attivato nei confronti del dipendente". Il Comune ha, pertanto, "utilizzato il dato in questione in quanto l'interesse: prevale su quello degli interessati (considerando 69 del GDPR […])" ed "è legittimo";

- il provvedimento emanato "obbligava il Titolare a comunicare prontamente e senza alcun immotivato ritardo il rientro come dipendente del Comune di Pettoranello del [reclamante]";

- "l'invio di una raccomandata avrebbe comportato non solo un aggravio di spesa per le casse pubbliche ma anche e soprattutto un'eccessiva perdita di tempo ingiustificata";

- "la PEC del [reclamante], per la quale il GIP del Tribunale di Isernia non ha ravveduto violazione della privacy, è facilmente prelevabile" dal sito web istituzionale del Collegio dei Geometri e dei Geometri Laureati della Provincia d'Isernia (http://www.collegio-geometri-is.it/) e "utilizzabile, in questo particolare caso, lecitamente e in maniera non eccedente";

- il Comune "ha ritenuto opportuno, per dar seguito al provvedimento, utilizzare tale indirizzo PEC in maniera legittima in quanto l'interessato risulta essere legato contrattualmente al Comune di Pettoranello e, pertanto, contattabile mediante PEC professionale";

- in merito alla "mancata pubblicazione sul sito ufficiale del Comune di Pettoranello del Molise del nominativo e recapiti del DPO", il Comune ha dichiarato che "a causa di oggettiva carenza strutturale dell'Ente – in particolare la mancanza della figura del Segretario comunale da più anni […] – non è stata perfezionata la procedura di inserimento telematico del documento sopramenzionato ma che comunque è stato diffuso presso gli uffici comunali con altra metodologia (affissione in luoghi idonei), ma comunque successivamente inserito", precisando che "la notizia dell'avvenuta nomina del DPO (comprensiva dei recapiti) era comunque stata inserita nel sistema telematico dell'Ente attraverso la pubblicazione del relativo decreto nel 2018, dunque raggiungendone ugualmente la massima diffusione, per cui l'omesso inserimento del nominativo del DPO sul sito istituzionale dell'Ente è da ritenersi assolutamente "in buona fede" per le motivazioni sopraesposte".

3. Esito dell'attività istruttoria.

Il trattamento dei dati personali del reclamante da parte del Comune è avvenuto nell'ambito della gestione del rapporto di lavoro (art. 97 Cost., art. 1 della l. 7 agosto 1990, n. 241, artt. 1, 10 e 11 del d.lgs. 30 marzo 2001, n. 165), i cui presupposti di legittimità sono definiti dall'art. 6, par. 1, lett. b), c) ed e) del Regolamento, non trovando, invece, applicazione la lett. f) del medesimo articolo – invocata dal Comune per giustificare il trattamento dell'indirizzo di PEC professionale del reclamante – in relazione ai trattamenti di dati personali "effettuati dalle autorità pubbliche nell'esecuzione dei loro compiti" (art. 6, par. 2, del Regolamento; v. anche considerando n. 47 del Regolamento).

Sul tema delle forme e dei termini del procedimento disciplinare, l'art. 55-bis, comma 5, del d.lgs. 30 marzo 2001, n. 165 prevede che "la comunicazione di contestazione dell'addebito al dipendente, nell'ambito del procedimento disciplinare" debba essere effettuata "tramite posta elettronica certificata, nel caso in cui il dipendente dispone di idonea casella di posta, ovvero tramite consegna a mano. In alternativa all'uso della posta elettronica certificata o della consegna a mano, le comunicazioni sono effettuate tramite raccomandata postale con ricevuta di ritorno". Per le comunicazioni successive alla contestazione dell'addebito, è consentita la comunicazione tra l'amministrazione e i propri dipendenti, tramite posta elettronica o altri strumenti informatici di comunicazione, "ovvero anche al numero di fax o altro indirizzo di posta elettronica, previamente comunicati dal dipendente o dal suo procuratore". La norma fa riferimento agli indirizzi di posta elettronica certificata e posta elettronica messi a disposizione del lavoratore dal datore di lavoro ai fini della prestazione lavorativa, essendo ammesso l'invio di comunicazioni a "altro indirizzo di posta elettronica", solo qualora quest'ultimo sia stato "previamente comunicato dal dipendente" al datore di lavoro (sul punto, v. par. 2.2 del provv. n. 392 del 31 luglio 2014, doc. web n. 3399423 e i provv.ti in esso richiamati). Nel caso oggetto di reclamo, invece, non risulta che il reclamante avesse comunicato il proprio indirizzo di PEC professionale al Comune al fine di poter ricevere comunicazioni attinenti al procedimento disciplinare.

La circostanza che l'indirizzo di PEC del reclamante fosse pubblicato sul sito web del Collegio dei Geometri e dei Geometri Laureati della Provincia d'Isernia non consente, in ogni caso, di ritenere lecito il trattamento posto in essere dal Comune, atteso che i dati personali pubblicati in pubblici registri, elenchi, atti o documenti conoscibili da chiunque possono essere trattati con i limiti e le modalità che le leggi di settore applicabili stabiliscono per la conoscibilità e pubblicità dei dati (cfr. art. 24, comma 1, lett. c) del Codice, nel testo antecedente alle modifiche apportate dal d.lgs. 101/2018), in ossequio al principio di "limitazione della finalità", in base al quale i dati personali devono essere "raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità" (art. 5, par. 1, lett. b) del Regolamento). In altri termini, il semplice fatto che informazioni personali siano rese pubblicamente conoscibili online non comporta che le stesse siano liberamente riutilizzabili da chiunque e per qualsiasi scopo, dovendosi di volta in volta valutare "se, per quali finalità e secondo quali limiti e condizioni eventuali utilizzi ulteriori dei dati personali resi pubblici possano ritenersi leciti alla luce del "principio di finalità" e degli altri principi di matrice europea in materia di protezione dei dati personali" (cfr., seppur in relazione al tema del riutilizzo dei dati pubblicati per finalità di trasparenza, il par. 6 delle "Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati" del Garante, provv. n. 243 del 15 maggio 2014, doc. web n. 3134436). Pertanto, il Comune non avrebbe potuto, in ogni caso, trattare il dato relativo all'indirizzo di PEC, pubblicato dal Collegio dei Geometri e dei Geometri Laureati della Provincia d'Isernia, a cui appartiene il reclamante, per fini estranei all'attività professionale dello stesso, ovvero per inviare a tale indirizzo comunicazioni afferenti al rapporto di lavoro subordinato in essere tra il Comune e il reclamante, anche tenuto conto del rischio che soggetti terzi, quali eventuali collaboratori del professionista abilitati ad accedere all'indirizzo di PEC, potessero apprendere informazioni riservate attinenti al rapporto di lavoro in essere con l'interessato (v., sul punto, par. 5.3 delle "Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico" del Garante, del 14 giugno 2007, doc. web n. 1417809).

Ciò premesso, si rileva che il Comune ha, tuttavia, agito in buona fede, confidando nella circostanza che il Giudice per le indagini preliminari del Tribunale di Isernia avesse disposto l'archiviazione del procedimento penale sopra citato, relativo a vicende analoghe a quelle oggetto del reclamo, sul presupposto che l'invio di comunicazioni da parte del Comune all'indirizzo di PEC professionale del reclamante non configurasse una violazione della normativa in materia di protezione dei dati personali. Fermo restando che la valutazione in merito all'illiceità del trattamento prescinde dalla rilevanza, anche sul piano penale, della condotta del titolare, la buona fede del Comune può essere valutata, in questo caso, come causa di esclusione della responsabilità amministrativa, sussistendo un elemento positivo, estraneo al trasgressore (nel caso di specie, l'archiviazione disposta dal Giudice per le indagini preliminari), idoneo a ingenerare nell'autore della violazione il convincimento della liceità della propria condotta (v., Cass. civ. Sez. II Ord., 31/07/2018, n. 20219; Cass. civ. Sez. II, 06/04/2011, n. 7885; Cass. civ. Sez. I, 11/02/1999, n. 1151).

Per quanto attiene, invece, al mancato riscontro alla richiesta di esercizio dei diritti presentata del reclamante, nonché alla circostanza che, nel riscontrare – peraltro tardivamente - l'invito del Garante a dar seguito a tale richiesta, il Comune si sia limitato a chiedere al reclamante di presentare una nuova richiesta di esercizio dei diritti al RPD del Comune o al Comune stesso, si rileva che nessuna giustificazione è stata adotta dal Comune in merito alla propria condotta.

Infine, in relazione alle modalità di pubblicazione dei dati di contatto del RPD, si rileva che l'obbligo previsto dall'art. 37, par. 7, del Regolamento mira a "garantire che […] gli interessati (all'interno o all'esterno dell'ente/organismo titolare o responsabile del trattamento) […] possano contattare il RPD in modo facile e diretto" (Gruppo di lavoro Art. 29, "Linee guida sui responsabili della protezione dei dati" in data 5 aprile 2017, WP 243). Specialmente con riferimento agli interessati "all'esterno dell'ente/organismo titolare", la mera affissione dei dati di contatto del RPD presso gli uffici comunali – in relazione alla quale, peraltro, il Comune non ha fornito alcun elemento di prova – non può ritenersi idonea a soddisfare tale obbligo. Il Comune, che dispone di un proprio sito web istituzionale, avrebbe potuto agevolmente e ben più efficacemente pubblicare i dati di contatto della responsabile su tale sito web (sul punto, v. par. 4 delle "Faq sul Responsabile della Protezione dei dati (RPD) in ambito pubblico" del Garante, del 15 dicembre 2017, doc. web 7322110). Come dichiarato dal Comune, la pubblicazione sul sito web non è stata, invece, effettuata per generiche ragioni relative a carenze strutturali e organizzative dell'Ente, che non risultano apprezzabili sul piano giuridico e non sono idonee a giustificare la condotta del Comune. Con riferimento alla circostanza che l'atto di designazione del RPD fosse stato pubblicato "nel sistema telematico dell'ente", si rileva che - prescindendo da ogni considerazione in merito all'idoneità di tale forma di pubblicazione - il Comune non ha fornito elementi di prova né in merito all'avvenuta pubblicazione dell'atto di designazione (non essendo, peraltro, chiaro se il richiamo al "sistema telematico dell'ente" debba intendersi un riferimento al sito web del Comune) né in merito alla circostanza che tale atto contenesse effettivamente i dati di contatto del RPD per gli interessati.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell'istruttoria ˗ della cui veridicità può essere chiamato a rispondere ai sensi dell'art. 168 del Codice ˗ si ritiene che, con riguardo alla contestata violazione dell'art. 6 del Regolamento, si debba disporre l'archiviazione del procedimento sanzionatorio amministrativo, limitatamente a tale profilo, tenuto conto, per le ragioni sopra esposte, della buona fede del Comune come causa di esclusione della responsabilità amministrativa.

Diversamente, gli elementi forniti dal titolare del trattamento nelle memorie difensive in relazione alle altre contestazioni amministrative, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall'Ufficio con l'atto di avvio del procedimento e risultano insufficienti a consentire l'archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall'art. 11 del Regolamento del Garante n. 1/2019.

Pertanto, in relazione a tali altre violazioni, si confermano le valutazioni preliminari dell'Ufficio e si rileva l'illiceità del trattamento di dati personali effettuato dal Comune di Pettoranello di Molise, per non aver tempestivamente dato riscontro alla richiesta di esercizio dei diritti del reclamante e per aver pubblicato i dati di contatto del RPD con modalità inidonee a soddisfare le esigenze di conoscibilità sottese al relativo obbligo, in violazione, rispettivamente, degli artt. 12 e 37 del Regolamento.

Ciò premesso, tenuto conto che il titolare del trattamento ha dichiarato (cfr. nota del XX, prot. n. XX) di aver provveduto alla cancellazione dei "riferimenti inerenti il [reclamante]" e ha confermato di aver "successivamente inserito" i dati di contatto del RPD sul sito web istituzionale del Comune (cfr. nota del XX, prot. n. XX), le circostanze del caso concreto inducono a qualificare il caso come "violazione minore", ai sensi dell'art. 83, par. 2, e del considerando 148 del Regolamento.

Si ritiene, pertanto, relativamente al caso in esame, che occorra ammonire il titolare del trattamento ai sensi degli artt. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, in quanto ha violato le previsioni del Regolamento che disciplinano l'esercizio dei diritti dell'interessato di cui agli artt. da 15 a 22 del Regolamento, nonché la figura del responsabile della protezione dei dati, e che non vi siano i presupposti per l'adozione di ulteriori provvedimenti da parte dell'Autorità.

Si rileva, infine, che ricorrono i presupposti di cui all'art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all'esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

a) dispone l'archiviazione del procedimento sanzionatorio amministrativo di cui alla notifica della violazione effettuata ai sensi dell'art. 166, comma 5, del Codice e dell'art. 58, par. 1, lett. d) del Regolamento, limitatamente alla contestata violazione dell'art. 6 del Regolamento, per le ragioni di cui in motivazione;

b) ai sensi dell'art. 57, par. 1, lett. f), del Regolamento, dichiara illecita la condotta tenuta dal Comune di Pettoranello di Molise, descritta nei termini di cui in motivazione, consistente nella violazione degli artt. 12 e 37 del Regolamento;

c) ai sensi dell'art. 58, par. 2, lett. b) del Regolamento, ammonisce il Comune di Pettoranello di Molise, quale titolare del trattamento in questione, per aver violato le previsioni del Regolamento che disciplinano l'esercizio dei diritti dell'interessato di cui agli artt. da 15 a 22 del Regolamento, nonché la figura del responsabile della protezione dei dati;

d) ritiene che ricorrano i presupposti di cui all'art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all'esercizio dei poteri demandati al Garante.

Ai sensi dell'art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all'Autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all'estero.

Roma, 12 marzo 2020

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia