Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Comune di Cattolica - 25 febbraio 2021 [9574764]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
9574764
Data:
25/02/21
Argomenti:
Pubblicazioni online , Trasparenza amministrativa
Tipologia:
Ordinanza ingiunzione o revoca

[doc. web n. 9574764]

Ordinanza ingiunzione nei confronti di Comune di Cattolica - 25 febbraio 2021

Registro dei provvedimenti
n. 73 del 25 febbraio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO il d. lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida in materia di trasparenza”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore l’avv. Guido Scorza;

PREMESSO

1. Introduzione

Questa Autorità ha ricevuto un reclamo da parte del Sig. XX, con il quale è stata contestata una violazione della normativa in materia di protezione dei dati personali derivante dalla diffusione sul sito web istituzionale del Comune di Cattolica di propri dati e informazioni personali.

In particolare, come emerso anche dalla verifica preliminare effettuata dall’Ufficio:

1. all’url http://... era presente una pagina web relativa al «XX» in cui erano presenti due allegati:

a) prot. XX del XX, contenente le domande poste all’amministrazione nel question time presentato dal sig. XX, con i relativi dati personali (data e luogo di nascita, residenza, pec, numero di telefono, firma autografa) (url http://...);

b) prot. XX del XX, contenente la risposta dell’amministrazione con i dati identificativi del sig. XX (http://...).

2. all’url http://... era presente una pagina web relativa al «XX» in cui erano presenti due allegati:

a) prot XX del XX, contenente le domande poste all’amministrazione nel question time presentato dal sig. XX, con i relativi dati personali (data e luogo di nascita, residenza, pec, numero di telefono, firma autografa) (http://...);

b) prot. XX del XX, contenente la risposta dell’amministrazione con i dati identificativi del sig. XX (url http://...).

Il reclamante, prima di presentare reclamo al Garante, si era già rivolto al Comune di Cattolica per chiedere la rimozione dei propri dati personali ritenuti eccedenti – quali indirizzo, numero di cellulare e indirizzo e-mail – che tuttavia sono rimasti online, fino all’invito ad aderire alla predetta richiesta effettuato dall’Ufficio al titolare del trattamento, ai sensi dell’art. 15, comma 1, del Regolamento del Garante n. 1/2019.

2. Normativa applicabile.

Ai sensi della disciplina in materia, «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)» e «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).

Il trattamento di dati personali effettuato da soggetti pubblici è lecito solo se necessario «per adempiere un obbligo legale al quale è soggetto il titolare del trattamento» oppure «per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento» (art. 6, par. 1, lett. c ed e, RGPD).

È inoltre previsto che «Gli Stati membri possono mantenere […] disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]» (art. 6, par. 2, RGPD), con la conseguenza che al caso di specie risultano applicabili le disposizioni contenute nell’art. 2-ter, commi 1 e 3, del Codice, laddove è previsto che l’operazione di diffusione di dati personali (come la pubblicazione su Internet), è ammessa quando prevista «da una norma di legge o, nei casi previsti dalla legge, di regolamento», nel rispetto – in ogni caso – dei principi in materia di protezione dei dati, fra i quali quello di «minimizzazione», in base al quale i dati personali devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. c, del RGPD).

Con particolare riferimento al caso in esame, nell’ambito dell’autonomia statutaria e regolamentare degli enti locali (cfr. art. 6 del d. lgs. n. 267 del 18/8/2000; artt. 114, comma 2, e 117, comma 6, Cost), lo Statuto del Comune di Cattolica ha previsto che «In applicazione del principio di sussidiarietà, il Comune favorisce le autonome iniziative dei cittadini, finalizzate al perseguimento dell’interesse generale della comunità» e che i cittadini possono presentare istanze al Comune che «costituisc[ono] formale richiesta scritta, formulata da soggetti singoli o associati, rivolta al Sindaco, con cui si chiedono le ragioni di determinati comportamenti o su aspetti dell’attività amministrativa» (artt. 63, comma 1; e 68, comma 1).

In tale quadro, il regolamento del Consiglio comunale ha disciplinato l’istituto del «XX», attraverso cui è data la possibilità, a qualsiasi cittadino, di presentare domande al Sindaco e all’Amministrazione Comunale «su qualsiasi argomento» a esclusione di alcuni casi previsti nel regolamento stesso. Tali quesiti vengono presentati e discussi nella seduta del Consiglio Comunale, a seguito di una valutazione di ammissibilità da parte dell’ufficio di presidenza (art. 45-bis, commi 1-5, del Regolamento del Consiglio Comunale).

Per quanto riguarda il regime di pubblicità delle sedute consiliari, la normativa statale di settore prevede che «Le sedute del consiglio e delle commissioni sono pubbliche salvi i casi previsti dal regolamento» (art. 38 del d. lgs. n. 267 del 18/8/2000).

In relazione poi all’istituto del Question Time, introdotto nel Comune di Cattolica, l’amministrazione ha, inoltre, previsto un’ulteriore disposizione, nel regolamento del Consiglio Comunale, sancendo che «Tutte le domande poste e le relative risposte saranno pubblicate nell’albo pretorio digitale, in una apposita area denominata “XX”, presente sul sito del Comune» (cfr. art. 45-bis, comma 10).

Si ricorda, in ogni caso che, fin dal 2014, il Garante ha fornito specifiche indicazioni alle amministrazioni sulle cautele da adottare in ordine alla diffusione di dati personali ivi contenuti con il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (attualmente in corso di aggiornamento, ma ancora attuali nella parte sostanziale).

Nelle Linee guida del Garante citate, è espressamente previsto (parte seconda, par. 1) che:

- «le pubbliche amministrazioni, prima di mettere a disposizione sui propri siti web istituzionali atti e documenti amministrativi (in forma integrale o per estratto, ivi compresi gli allegati) contenenti dati personali, [devono] verific[are] se la normativa di settore preveda espressamente tale obbligo […]»;

- «Laddove l’amministrazione riscontri l’esistenza di un obbligo normativo che impone la pubblicazione dell’atto o del documento nel proprio sito web istituzionale è necessario selezionare i dati personali da inserire in tali atti e documenti, verificando, caso per caso, se ricorrono i presupposti per l’oscuramento di determinate informazioni»;

- «Ciò pure in considerazione del fatto che, anche in tale ipotesi, i soggetti pubblici sono tenuti a ridurre al minimo l’utilizzazione di dati personali e di dati identificativi [cfr. art. 5, par. 1, lett. c, del RGPD], ed evitare il relativo trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante dati anonimi o altre modalità che permettano di identificare l’interessato solo in caso di necessità»;

- «Pertanto, anche in presenza di un obbligo di pubblicità è consentita la diffusione dei soli dati personali la cui inclusione in atti e documenti sia realmente necessaria e proporzionata al raggiungimento delle finalità perseguite dall’atto».

3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato.

Con nota prot. n. XX - rif.XX del XX il Comune di Cattolica ha fornito riscontro alla richiesta d’informazioni di questa Autorità (prot. n. XX del XX).

A seguito dalle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX del XX ha accertato che la predetta amministrazione – diffondendo online dati personali del reclamante (quali data e luogo di nascita, residenza, p.e.c., numero di telefono cellulare, firma autografa) – ha effettuato un trattamento di dati personali non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD. Pertanto, con la medesima nota, sono state notificate al Comune di Cattolica le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD e invitando la predetta amministrazione a far pervenire al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentito da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

4. Memorie difensive e audizione.

Con la nota prot. n. XX - rif.XX del XX il Comune di Cattolica ha inviato al Garante i propri scritti difensivi in relazione alle violazioni notificate.

Al riguardo, si ricorda che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, intitolato «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante».

Nello specifico, è stato evidenziato, fra l’altro che:

- «Il contesto in cui si è verificata la condotta oggetto di sanzione da parte del Garante è costituito dal cosiddetto “question time” Tale istituto, si osserva nella Deliberazione del Consiglio Comunale n. 72 del 20/12/2017 che l’ha introdotto, “è uno strumento adottato in molti Comuni italiani che ha lo scopo, da un lato, di favorire la partecipazione del cittadino alla vita dell’ente e dall’altro di consentire a chi amministra di conoscere le posizioni, le critiche, i suggerimenti, le istanze provenienti dalla cittadinanza”»;

- «Già nello Statuto Comunale del Comune di Cattolica veniva previsto

- all’art. 63 comma 1 che “In applicazione del principio di sussidiarietà, il Comune favorisce le autonome iniziative dei cittadini, finalizzate al perseguimento dell'interesse generale della comunità”

- […] all’art. 68 comma 1 […] che “L'Istanza costituisce forma di richiesta scritta, formulata da soggetti singoli o associati, rivolta al Sindaco, con cui si chiedono le ragioni di determinati comportamenti o su aspetti dell'attività amministrativa”»;

- «Le fondamenta di tale istituto sono, a parere dello scrivente, da rinvenire nell’ampio istituto della “trasparenza amministrativa” (o meglio, del diritto all’informazione amministrativa) che costituisce […] un principio generale dell'attività e dell'organizzazione pubblica, in base al quale la pubblica amministrazione è tenuta ad assicurare la visibilità, la conoscibilità e la comprensibilità delle modalità operative e degli assetti organizzativi con cui opera nell'assolvimento dei suoi compiti di cura concreta dell'interesse pubblico»;

- «[in relazione alle] modalità di trattamento delle istanze/quesiti trasmessi dai cittadini, l’art. 45 bis comma 6 del Regolamento del Consiglio Comunale prevede che “la risposta al quesito del cittadino verrà fornita pubblicamente in Consiglio comunale entro il termine di trenta giorni dalla data di arrivo della richiesta”; al comma 10 è, infine, previsto che “Tutte le domande poste e le relative risposte saranno pubblicate nell’albo pretorio digitale, in una apposita area denominata “XX”, presente sul sito del Comune”»;

- «l’Amministrazione ha pubblicato i dati del soggetto reclamante considerando come preminente l’interesse della collettività ad un’informazione piena ed esaustiva anche con riferimento all’identità di colui che ha utilizzato l’istituto di partecipazione del question time, ivi compresi i dati di contatto che si rappresenta, per mero inciso, […] a mezzo dei motori di ricerca sono tutti compiutamente e analiticamente rintracciabili su siti terzi rispetto a quello del Comune»;

- «Preso atto della differente determinazione del Garante, l’Ente si è attivato immediatamente per porre rimedio alla contestata violazione dei dati personali e, a far data dal 31/01/2020, ha eliminato i contenuti online dei documenti contenenti i dati personali del dott. XX. Con l’eliminazione dei contenuti si è, quindi, posto termine ai possibili effetti negativi della pubblicazione contestata. L’Amministrazione ha aderito spontaneamente al procedimento di reclamo ai sensi e per gli effetti di cui all’art. 15 comma 1 del Regolamento del Garante per la protezione dei dati personali n. 1/2019»;

- «L’Amministrazione ha già predisposto uno schema di delibera con cui emendare il Regolamento del Consiglio Comunale Vigente, e specificatamente il Capo III bis recante “XX”, aggiungendo il comma 11 all'art. 45 bis, come di seguito indicato “11 - La pubblicazione delle domande poste e delle relative risposte è effettuata riportando il solo nome e cognome del cittadino istante, adottando specifici accorgimenti tecnici che impediscano l’indicizzazione da parte dei motori di ricerca generalisti dei contenuti ivi pubblicati».

5. Valutazioni del Garante

Oggetto dello specifico caso sottoposto all’attenzione del Garante è l’avvenuta pubblicazione dei file identificati supra nel paragrafo 1, contenenti i documenti riguardanti le domande poste all’amministrazione nel question time presentato dal reclamante e le risposte fornite dall’amministrazione. Tali documenti contenevano dati e informazioni personali del reclamante, fra cui, oltre nome e cognome, anche data e luogo di nascita, residenza, p.e.c., numero di telefono cellulare, firma autografa.

Al riguardo, alla luce del quadro normativo sopra descritto (cfr. par. 2), si rappresentano in via preliminare, riserve in ordine alla possibilità che l’art 45-bis del Regolamento del Consiglio Comunale, prima richiamato, possa costituire un’idonea base normativa per la diffusione dei dati personali ai sensi dell’art. 2-ter, commi 1 e 3, del Codice, soprattutto nel caso in cui le domande poste non siano poi ammesse e discusse nel corso del Consiglio comunale.

In ogni caso, al di là di tale circostanza, deve essere invece tenuto in considerazione che laddove il quesito sia riscontrato in una seduta pubblica del Consiglio comunale – come nel caso del reclamante a cui, come risulta dagli atti dell’istruttoria, è stato dato riscontro nel corso della seduta tenuta in data XX – si ritiene in ogni caso applicabile il regime di pubblicità previsto dall’art. 38 del d. lgs. n. 267/2000.

Ciò nonostante, anche in presenza di uno specifico regime di pubblicità, la diffusione online dai dati e informazioni personali, deve avvenire nel rispetto dei principi generali in materia di protezione dei dati personali di provenienza europea, previsti dal RGPD, quali – fra gli altri – quello di «minimizzazione», in base al quale i dati personali – anche contenuti in atti o documenti la cui diffusione online sia prevista da una specifica base normativa – devono essere non solo «adeguati» e «pertinenti», ma anche «limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. c).

Ciò è d’altronde confermato anche dal sistema di protezione dei dati personali contenuto nel RGPD, alla luce del quale è infatti previsto che il titolare del trattamento debba mettere «in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento» («privacy by default») e debba essere «in grado di dimostrare» – alla luce del principio di «responsabilizzazione» («accountability») – di averlo fatto (artt. 5, par. 2; 24 e 25, par. 2, RGPD).

Il quadro decritto è inoltre coerente con quanto affermato dal Garante, fin dal 2014, con Linee guida prima richiamate (par. 2), laddove è stato indicato alle pp.aa. che – anche nell’ipotesi in cui esista un obbligo per l’amministrazione di pubblicare un atto o documento nel proprio sito web istituzionale, come nel caso in esame – è in ogni caso necessario «selezionare i dati personali da inserire in tali atti e documenti, verificando, caso per caso, se ricorrono i presupposti per l’oscuramento di determinate informazioni», in quanto non necessari rispetto alle finalità per le quali sono trattati (cfr. ora il principio di “minimizzazione” dei dati di cui art. 5, par. 1, lett. c, del RGPD, che ha sostituito i principi di pertinenza e non eccedenza, nonché di necessità, di cui agli artt. 3, 11, comma 1, lett. d, del Codice previgente e all’art. 6, par. 1, lett. c, della Direttiva 95/46/CE abrogata dal RGPD).

Sotto tale profilo, non è inoltre accoglibile l’eccezione sollevata dal Comune secondo la quale «l’Amministrazione ha pubblicato i dati del soggetto reclamante considerando come preminente l’interesse della collettività ad un’informazione piena ed esaustiva» che consentirebbe la divulgazione non solo dell’«identità di colui che ha utilizzato l’istituto di partecipazione del question time, [ma anche dei] dati di contatto che si rappresenta, per mero inciso, […] a mezzo dei motori di ricerca sono tutti compiutamente e analiticamente rintracciabili su siti terzi rispetto a quello del Comune».

Ciò in quanto per le finalità dichiarate – ossia soddisfare «l’interesse della collettività ad un’informazione piena ed esaustiva» – la pubblicazione online (che rappresenta la forma più ampia di diffusione di dati personali) delle specifiche informazioni personali del reclamante – quali la data e luogo di nascita, la residenza, l’indirizzo p.e.c., il numero di telefono cellulare e la firma autografa – è del tutto superflua e sproporzionata; capace, invece, di generare il rischio di esporre l’interessato rispetto a ulteriori forme di utilizzo non legittime dei suoi dati da parte di terzi (es.: furti d’identità, profilazione illecita, phishing, ecc.).

Quanto, infine, alla circostanza (peraltro non provata) che i predetti dati personali erano facilmente reperibili online tramite motori di ricerca, non si comprende come tale elemento possa essere utile per valutare se il relativo trattamento da parte del Comune sia effettivamente necessario l’esercizio delle proprie funzioni istituzionali e se i dati siano effettivamente «limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (artt. 5., par. 1, lett, c; 6, par. 1, lett. e, RGPD).

6. Esito dell’istruttoria relativa al reclamo presentato

Per tutto quanto sopra descritto, le circostanze evidenziate negli scritti difensivi esaminate nel loro complesso, sicuramente meritevoli di considerazione ai fini della valutazione della condotta, non risultano sufficienti a consentire l’archiviazione del presente procedimento ai sensi dell’art. 11 del Regolamento del Garante n. 1/2019.

In tale quadro, si confermano i rilievi notificati dall’Ufficio con la nota prot. n. XX del XX e si rileva la non conformità del trattamento di dati personali oggetto del reclamo alla disciplina rilevante in materia di protezione dei dati personali, in quanto – fermo restando il regime di pubblicità delle sedute del consiglio comunale (art. 38 del d. lgs. n. 267/2000) – sono stati diffusi online dati personali del reclamante – quali data e luogo di nascita, residenza, p.e.c., numero di telefono cellulare, firma autografa – non «limitati a quanto necessario rispetto alle finalità per le quali sono trattati», in violazione dell’art. 5, par. 1, lett. c), del RGPD e del principio di «minimizzazione dei dati».

Considerato, tuttavia, che la condotta ha esaurito i suoi effetti, in quanto il titolare del trattamento ha dichiarato di aver provveduto a rimuovere i dati personali oggetto del reclamo, fermo restando quanto si dirà sull’applicazione della sanzione amministrativa pecuniaria, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del RGPD.

7. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria (artt. 58, par. 2, lett. i; 83 RGPD)

Il Comune di Cattolica risulta aver violato l’art. 5, par. 1, lett. c), del RGPD.

Per la violazione della predetta disposizione è prevista l’applicazione della sanzione amministrativa di cui all’art. 83, par. 5, del RGPD.

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD, nonché dell’art. 166 del Codice, ha il potere correttivo di «infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso». In tale quadro, «il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice» (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del RGPD.

In tal senso, la rilevata condotta tenuta in violazione della disciplina in materia di protezione dei dati personali ha avuto a oggetto la diffusione di dati personali, per un lungo lasso temporale (circa un anno e mezzo), sebbene non appartenenti a categorie particolari né a condanne penali o reati (artt. 9 e 10, del RGPD) e riferiti a un solo soggetto interessato. La condotta tenuta è di natura colposa. Va considerato, come elemento attenuante, il contesto in cui è avvenuto il trattamento, il principio di pubblicità delle sedute consiliari, la difficoltà interpretativa, derivante dalla coesistenza di numerose fonti normative non solo europee, ma anche statali e dell’ente locale (relative a strumenti di partecipazione e cittadinanza attiva, quali il question time) che, comunque, non erano disapplicabili in via autonoma dai funzionari comunali. In ogni caso, a seguito della richiesta d’informazioni dell’Ufficio il titolare del trattamento è intervenuto tempestivamente, collaborando con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alla violazione attenuandone i possibili effetti negativi. Non risultano eventuali precedenti violazioni del RGPD pertinenti commesse dalla citata amministrazione.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, parr. 2 e 3, del RGPD l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, del RGPD, nella misura di euro € 2.000,00 (duemila) per la violazione dell’art. 5, par. 1, lett. c), del RGPD, quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo RGPD.

In relazione alle specifiche circostanze del presente caso, relative alla diffusione di dati personali online in violazione del principio di minimizzazione dei dati (art. 5, par. 1, lett. c, RGPD), si ritiene altresì che debba essere applicata la sanzione accessoria della pubblicazione del presente provvedimento sul sito Internet del Garante, prevista dall’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità del trattamento effettuato dal Comune di Cattolica nei termini indicati in motivazione ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD

ORDINA

al Comune di Cattolica, in persona del legale rappresentante pro-tempore, con sede legale in P.le Roosevelt n. 5 - 47841 Cattolica (RN) – C.F. 00343840401 di pagare la somma di euro € 2.000,00 (duemila) a titolo di sanzione amministrativa pecuniaria per le violazioni di cui in motivazione;

INGIUNGE

al medesimo Comune di pagare la somma di euro € 2.000,00 (duemila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.

Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1/9/2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice).

DISPONE

- la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019;

- l'annotazione nel registro interno dell'Autorità delle violazioni e delle misure adottate ai sensi dell'art. 58, par. 2, del RGPD con il presente provvedimento, come previsto dall’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 25 febbraio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei