g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Ammonimento
  4. Provvedimento del 27 maggio 2021 [9690937]

Provvedimento del 27 maggio 2021 [9690937]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9690937]

Provvedimento del 27 maggio 2021

Registro dei provvedimenti
n. 259 del 27 maggio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO il d. lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida in materia di trasparenza”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore l’avv. Guido Scorza;

PREMESSO

1. Introduzione

Questa Autorità ha ricevuto un reclamo, presentato da XX (di seguito “il reclamante”), con il quale è stata contestata una violazione della normativa in materia di protezione dei dati personali da parte del Comune di Ailano.

Nello specifico, è stato rappresentato che in occasione di un procedimento relativo a un’istanza di accesso civico inoltrata dal reclamante al predetto Comune, l’amministrazione ha inviato a una società telefonica terza (identificata in atti) in qualità di soggetto controinteressato, oltre la richiesta di accesso – come previsto dall’art. 5, comma 5, del d. lgs. n. 33 del 14/3/2013 –, anche la copia integrale del documento di riconoscimento del reclamante.

Inoltre, dagli atti dell’istruttoria e dalle ricerche esperite all’Ufficio del protocollo del Garante non è risultata alcuna comunicazione a questa Autorità dei dati di contatto del Responsabile della Protezione dei Dati (RPD) del Comune, la cui designazione e relativa comunicazione all’autorità di controllo, ai sensi del predetto articolo, è divenuta obbligatoria dal 25/5/2018.

2. La normativa in materia di protezione dei dati personali

Ai sensi della disciplina in materia, «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)» e «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).

Al riguardo, con particolare riferimento al caso sottoposto all’attenzione di questa Autorità, si ricorda che la «comunicazione» di dati personali – ossia «il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato […], in qualunque forma, anche mediante la loro messa a disposizione, consultazione o mediante interconnessione» – da parte di soggetti pubblici, come il Comune, è ammessa solo se prevista «da una norma di legge o, nei casi previsti dalla legge, di regolamento» (art. 2-ter, commi 1-4, del Codice), nel rispetto – in ogni caso – dei principi in materia di protezione dei dati, fra i quali quello di «minimizzazione», in base ai quali i dati personali devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. c, del RGPD).

La normativa statale di settore in materia di accesso civico prevede che «Fatti salvi i casi di pubblicazione obbligatoria, l’amministrazione cui è indirizzata la richiesta di accesso, se individua soggetti controinteressati, ai sensi dell’articolo 5-bis, comma 2, è tenuta a dare comunicazione agli stessi, mediante invio di copia con raccomandata con avviso di ricevimento, o per via telematica per coloro che abbiano consentito tale forma di comunicazione» (art. 5, comma 5, del d. lgs. n. 33/2013).

Inoltre, dalla data del 25/5/2018 di applicazione del RGPD sussiste l’obbligo per ogni «autorità pubblica» o «organismo pubblico», come i Comuni, di designare un «responsabile della protezione dei dati» (di seguito “RPD”), con i compiti previsti dall’art. 39 del RGPD, nonché di «pubblica[re] i dati di contatto del responsabile della protezione dei dati e [di] comunica[rli] all’autorità di controllo» (art. 37, parr. 1, lett. a; 7, del RGPD).

3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato.

Alla luce dalle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX del XX ha accertato che il Comune di Ailano – trasmettendo a un soggetto terzo la copia integrale del documento di riconoscimento del reclamante e non avendo provveduto a comunicare al Garante ai sensi del RGPD i dati di contatto del RPD – ha tenuto una condotta non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD. Pertanto, con la medesima nota sono state notificate al predetto Comune le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD e invitando la predetta amministrazione a far pervenire al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentita da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

4. Memorie difensive.

Il Comune di Ailano, con la nota prot. n. XX del XX, ha inviato al Garante i propri scritti difensivi in relazione alle violazioni notificate.

Al riguardo, si ricorda che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, intitolato «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante».

Nello specifico, è stato rappresentato, fra l’altro che:

- «si contesta formalmente l’avvio del procedimento ai sensi dell’art. 166, comma 5, del Codice in Materia di Protezione dei Dati Personali, […] in quanto nello stesso non si fa alcun riferimento all’art. 10 bis della L. 241/90 sulla Comunicazione dei motivi ostativi all’accoglimento dell’istanza, così come richiesto direttamente dalla legge sul processo amministrativo»;

- «la trasmissione del documento di identità è avvenuto in via del tutto accidentale, quindi non vi è alcun comportamento doloso da ascrivere alla parte»;

- «Nel caso di specie, […] l’Ente, a mezzo del proprio responsabile, si è limitato a inoltrare ai controinteressati, in ossequio al disposto di cui all’art. 5, co. 5, del D.Lgs. n. 33/2013, “copia” dell’istanza ricevuta così come era stata trasmessa dall’istante»;

- «Nel silenzio normativo e giurisprudenziale a proposito, visto che la legge impone solo che nell’ipotesi di accesso civico l’amministrazione debba dare comunicazione ai controinteressati mediante invio di copia dell’istanza, non si vede quale violazione vi sia stata, avendo l’Ente per mezzo del proprio responsabile dell’Area tecnica provveduto a inoltrare copia alla [società] della richiesta di accesso così come pervenuta all’amministrazione. A tal proposito, non si rintraccia nella normativa un obbligo di epurazione di dati ed elementi dalla copia di istanza di accesso che perviene alle pubbliche amministrazioni»;

- «Si specifica che nella stessa copia non erano indicati “dati sensibili”, che avrebbero sicuro comportato un dovuto bilanciamento di interessi tra diritto di privacy e diritto del controinteressato di conoscere specificatamente chi era il proprio contraddittore. Invece, la vicenda per la quale è stato richiesto l’accesso civico generalizzato dall’utente riguarda procedura avviata e conclusa dal comune con la [società]. Essendo sia la [società] che [il reclamante] contraddittori di un procedimento amministrativo, era diritto della controparte [società] conoscere l’eventuale istante»;

- «[sono stati inviati] ammonimenti al dipendente affinché venisse evitato in futuro il trattamento dei dati personali anche generici dei soggetti persona fisica nelle ipotesi non tassativamente previste dalla legge e ammissibili»;

- «In riferimento al punto relativo ai dati di contatto del Responsabile della protezione dei Dati, se è vero che tale comunicazione è avvenuta in ritardo, ossia soltanto in data XX, l’amministrazione in ossequio all’obbligo legislativo, aveva già però provveduto a designare il Responsabile con delibera di Giunta comunale n. XX del XX»;

- «l’amministrazione pur essendo sotto organico, essendo l’ente dotato soltanto di 4 dipendenti in tutto, di cui due part time a sole 18 ore a settimana, e con l’assistenza di un Segretario comunale soltanto per un giorno a settimana, in supporto con il Responsabile della Protezione Dati, sta predisponendo i regolamenti per istituire il Registro elettronico del titolare del trattamento e il Registro degli accessi civici, benché già esista un registro accessi regolarmente tenuto presso il protocollo comunale».

5. Valutazioni del Garante

La questione esaminata dal Garante riguarda due profili. Da un lato, la trasmissione a una società telefonica terza del documento d’identità del reclamante in sede di comunicazione a soggetto controinteressato del relativo accesso agli atti; e, dall’altro, il rispetto degli adempimenti previsti dall’art. 37 del RGPD in relazione alla nomina del RPD da parte del Comune e della comunicazione a questa Autorità dei relativi dati di contatto.

5.a. Profili procedurali

Al riguardo, in via preliminare, si rappresenta che non può essere accolta l’eccezione di tipo procedimentale sollevata dal Comune, in quanto – ai sensi degli artt. 142, comma 5, e 166, comma 9, del Codice (cfr. anche artt. 154, comma 3, e 156, comma 3) – il procedimento relativo all’esame dei reclami e per l’adozione dei provvedimenti e delle sanzioni di questa Autorità è disciplinato dal Regolamento del Garante n. 1/2019 «concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali», adottato con Deliberazione n. 98 del 4/4/2019 (in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633). Di conseguenza, al caso in esame non trova applicazione l’art. 10-bis della legge n. 241 del 7/8/1990 «Comunicazione dei motivi ostativi all’accoglimento dell’istanza», ma le diverse disposizioni contenute nel Codice e nel predetto Regolamento che, in ogni caso, assicurano il diritto di presentare per iscritto osservazioni, eventualmente corredate da documenti, come avvenuto nel caso di specie. Con la nota prot. n. XX del XX regolarmente notificata all’Ente, infatti, è stato comunicato al Comune di Aliano – ai sensi dell’art. 166, commi 5-7, del Codice, e dell’art. 15, comma 4, del Regolamento del Garante n. 1/2019, nonché dell’art. 18, comma 1, dalla legge n. 689 del 24/11/1981) – l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD, con espresso invito a far pervenire al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentito in audizione entro il termine di 30 giorni. A fronte di tale comunicazione l’amministrazione ha inviato con nota prot. n. XX del XX le proprie memorie difensive, qui prese in considerazione.

5.b. Sulla trasmissione della copia integrale del documento di riconoscimento

Nel merito, il Comune di Ailano ha confermato l’avvenuta trasmissione alla società telefonica del documento d’identità del reclamante. Sotto tale profilo, l’ente ha rappresentato tuttavia che «la trasmissione del documento di identità è avvenuta in via del tutto accidentale» e che l’ente «si è limitato a inoltrare ai controinteressati, in ossequio al disposto di cui all’art. 5, co. 5, del D.Lgs. n. 33/2013, “copia” dell’istanza ricevuta così come era stata trasmessa dall’istante». Secondo l’amministrazione, non vi sarebbe stata in ogni caso alcuna violazione in quanto «la legge impone solo che nell’ipotesi di accesso civico l’amministrazione debba dare comunicazione ai controinteressati mediante invio di copia dell’istanza» e «non si rintraccia nella normativa un obbligo di epurazione di dati ed elementi dalla copia di istanza di accesso che perviene alle pubbliche amministrazioni». Inoltre, nella copia trasmessa al soggetto controinteressato «non erano indicati “dati sensibili”, che avrebbero sicuro comportato un dovuto bilanciamento di interessi tra diritto di privacy e diritto del controinteressato di conoscere specificatamente chi era il proprio contraddittore» ed «era diritto della controparte [società] conoscere l’eventuale istante», in quanto «la vicenda per la quale è stato richiesto l’accesso civico generalizzato dall’utente riguarda procedura avviata e conclusa dal comune con la [società]» e sia la società che il reclamante sono «contraddittori di un procedimento amministrativo».

Al riguardo, tuttavia, occorre rappresentare che non è stato contestato al Comune di avere comunicato l’identità del reclamante alla società controinteressata nel procedimento di accesso agli atti – condotta non censurabile ai sensi dell’art. 5, comma 5, del d. lgs. n. 33/2013 laddove è previsto che la p.a. «è tenuta a dare comunicazione agli stessi, mediante invio di copia con raccomandata con avviso di ricevimento», tenuto anche conto che reclamante e controinteressato sono entrambi “parti” del procedimento amministrativo riguardante l’accesso civico – quanto il fatto che l’amministrazione non si è limitata a quanto previsto dalla disciplina di settore inviando la mera istanza di accesso, ma – senza che ciò fosse previsto da alcuna disposizione normativa – ha trasmesso anche la copia del documento d’identità integrale del reclamante ad una società terza (anche se controinteressata nel procedimento di accesso). Tale trasmissione risulta non necessaria per lo scopo previsto dalla legge (ossia quelle di presentare un’eventuale opposizione all’accesso), ed ha determinato una comunicazione da parte del Comune a soggetti terzi di ulteriori dati personali contenuti nel documento di riconoscimento (es.: fotografia, numero del documento di identità, altezza, colore occhi e capelli, professione, firma autografa) priva di idonei presupposti normativi che sono, in questa fase procedimentale, del tutto sproporzionati rispetto alla finalità del trattamento, in violazione del principio di minimizzazione dei dati.

Sotto tale profilo, pur prendendo atto che «la trasmissione del documento di identità è avvenuta in via del tutto accidentale» e che il documento d’identità non contiene categorie particolari di dati personali ai sensi dell’art. 9 del RGPD (definiti dati “sensibili” prima dell’entrata in vigore del regolamento europeo), non è accoglibile l’eccezione per la quale «non si rintraccia nella normativa un obbligo di epurazione di dati ed elementi dalla copia di istanza di accesso che perviene alle pubbliche amministrazioni» e che la legge «impo[rrebbe] solo che nell’ipotesi di accesso civico l’amministrazione debba dare comunicazione ai controinteressati mediante invio di copia dell’istanza». Ciò in quanto l’obbligo di proteggere i dati personali – anche in relazione al procedimento di accesso – deriva direttamente dal RGPD e dal Codice, che sanciscono il dovere per tutti i titolari del trattamento (in questo caso il Comune) di rispettare specifiche regole fra cui, in primo luogo, i principi generali (art. 5, RGPD) come quello di «minimizzazione dei dati» nonché i presupposti di liceità del trattamento (art. 6, RGPD) e la regola per la quale la «comunicazione» di dati personali da parte di soggetti pubblici è ammessa solo se prevista «da una norma di legge o, nei casi previsti dalla legge, di regolamento» (art. 2-ter, commi 1-4, del Codice).

5.c. Sulla nomina del RPD

In relazione, invece, agli adempimenti relativi al RPD previsti dall’art. 37 del RGPD, il Comune ha rappresentato di avere nominato il predetto responsabile in data XX e di avere comunicato al Garante i relativi dati di contatto, tramite l’apposita procedura, solo in data XX.

Al riguardo, si rileva che l’amministrazione ha ottemperato con notevole ritardo agli adempimenti previsti dall’art. 37, parr. 1, lett. a); e 7, del RGPD, divenuti obbligatori dalla data del 25/5/2018 in cui il RGPD è divenuto applicabile. Si prende in ogni caso atto che l’ente ha provveduto a sanare la situazione di irregolarità rispetto agli adempimenti previsti, con la nomina del RPD del Comune e con la comunicazione – anche se solo a seguito della contestazione mossa dall’Ufficio – dei relativi dati di contatto al Garante.

6. Esito dell’istruttoria relativa al reclamo presentato

Le circostanze evidenziate negli scritti difensivi esaminate nel loro complesso, sicuramente meritevoli di considerazione ai fini della valutazione della condotta, non risultano tuttavia sufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo alcuna delle ipotesi previste dall’art. 11 del Regolamento del Garante n. 1/2019.

In tale quadro, si confermano le valutazioni preliminari dell’Ufficio effettuate con la nota prot. n. XX del XX e si rileva la non conformità al RGPD della condotta tenuta dal Comune di Ailano, in quanto l’ente:

- trasmettendo la copia integrale del documento di riconoscimento del reclamante a una società terza, ha effettuato una comunicazione di dati personali non prevista dalla normativa statale in materia di accesso civico prima citata, priva, di conseguenza, di idonei presupposti normativi e in ogni caso non necessaria rispetto alla finalità del trattamento, in violazione dell’art. 2-ter, commi 1-4, del Codice; nonché dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD;

- non ha adempiuto alla nomina del RPD e alla comunicazione dei relativi dati di contatto al Garante entro il termine previsto del 25/5/2018 in cui il RGPD è divenuto applicabile, in violazione dell’art. 37, parr. 1, lett. a); e 7, del RGPD.

Si ritiene, tuttavia, di dover in ogni caso considerare la particolarità del caso segnalato, che presenta una serie di circostanze meritevoli di un’attenta valutazione. In particolare, il fatto che la condotta tenuta è stata di natura colposa ed ha esaurito i suoi effetti essendo legata a un avvenimento del tutto accidentale; nonché il fatto che il titolare del trattamento – che ha fornito in ogni caso idonee assicurazioni – è un ente territoriale di piccole dimensioni con circa 1.200 abitanti il quale – secondo quanto dichiarato – si trova peraltro in una situazione di «sotto organico, essendo […] dotato soltanto di 4 dipendenti in tutto, di cui due part time a sole 18 ore a settimana, e con l’assistenza di un Segretario comunale soltanto per un giorno a settimana […]».

Alla luce di tutto quanto sopra rappresentato, anziché infliggere una sanzione pecuniaria, si ritiene sufficiente ammonire il titolare del trattamento per la violazione delle disposizioni sopraindicate, ai sensi dell’art. 58, par. 2, lett. b), del RGPD (cfr. anche art. 83, par. 2, considerando 148 del RGPD).

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità del trattamento effettuato dal Comune di Ailano – con sede legale in Piazza C.A. dalla Chiesa, 7 - 81010 Ailano (CE) - C.F. 91001830610 – nei termini indicati in motivazione ai sensi degli artt. 58, par. 2, lett. b), del RGPD

AMMONISCE

il Comune di Ailano per aver violato l’art. 2-ter, commi 1-4, del Codice; i principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD; nonché l’art. 37, parr. 1, lett. a); e 7, del RGPD.

DISPONE

l’annotazione nel registro interno dell’Autorità delle violazioni e delle misure adottate ai sensi dell’art. 58, par. 2, del RGPD con il presente provvedimento, come previsto dall’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 27 maggio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
9690937
Data
27/05/21

Argomenti

Documenti di riconoscimento Comuni Accesso civico

Tipologie

Ammonimento