[doc. web n. 9907846]

Provvedimento del 13 aprile 2023

Registro dei provvedimenti
n. 125 del 13 aprile 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Introduzione.

Con reclamo presentato al Garante, la dott.ssa XX, tramite il proprio Avvocato, ha lamentato la pubblicazione, nell’albo pretorio online dell’Azienda Ospedaliera Universitaria di Cagliari (di seguito, “Azienda Ospedaliera”), presso cui l’interessata ha prestato la propria attività lavorativa, della deliberazione del Direttore Generale n. XX del XX, avente ad oggetto la presa d’atto della conclusione di un procedimento disciplinare avviato nei confronti della stessa. In tale delibera erano indicate le iniziali della reclamante nonché il numero di matricola e l’inquadramento contrattuale della stessa.

Dalla documentazione allegata al reclamo è emerso, inoltre, che l’Azienda Ospedaliera ha pubblicato, sull’albo pretorio online, anche la deliberazione del Direttore Generale n. XX del XX, e i relativi allegati, recante la graduatoria delle progressioni economiche orizzontali per il 2018, contenente i dati personali, in particolare il cognome e il nome, collegato al numero di matricola, la descrizione della posizione, la media delle valutazioni e l’esito della valutazione, di numerosi dipendenti, tra cui la reclamante. Tale documento, stante a quanto dichiarato, era ancora disponibile all’albo pretorio online, alla data di presentazione del reclamo.

2. L’attività istruttoria.

Con nota del XX (prot. n. XX) l’Azienda Ospedaliera, in risposta a una richiesta di informazioni formulata dall’Ufficio, ha dichiarato, in particolare, che:

-  “la deliberazione n. XX del XX è stata pubblicata in forza di espresso obbligo normativo. Infatti, l’art. 10 della L.R., 7 novembre 2012, n. 21, “Disposizioni urgenti in materia sanitaria connesse alla manovra finanziaria e modifica di disposizioni legislative sulla sanità”, rubricato “Pubblicità degli atti” prevede che “1. Le aziende sanitarie pubblicano gli atti, sia le deliberazioni del direttore generale che le determinazioni dirigenziali, sull'albo pretorio on line dell'azienda, immediatamente e comunque non oltre quindici giorni”;

- “nel caso di specie, la deliberazione in parola (la cui diffusione è […] obbligatoria), è espressamente prevista dal Regolamento per i procedimenti disciplinari, approvato con deliberazione n. XX del XX. In particolare, l’art. 7 penultimo comma del Regolamento prevede che la sanzione sia “da adottarsi con provvedimento del Direttore Generale su proposta dell'Ufficio per i procedimenti (U.P.D.)”;

- “la diffusione in parola è lecita, appunto perché prevista da norma di legge, ai fini dell’integrazione dell’efficacia, mentre il trattamento, in generale, rientra evidentemente nella gestione del rapporto di lavoro, e nell'adempimento di specifici obblighi e compiti previsti da leggi (artt. 55 ss D.lgs. 165/2001), e da contratti collettivi (artt. 64 ss. CCNL Comparto Sanità)”;

- “in ordine alle modalità di trattamento, ed in particolare al principio di minimizzazione, la AOU Cagliari ha curato, nella deliberazione dirigenziale, di non rendere identificabile il dipendente, che infatti è indicato con le sole iniziali […], piuttosto comuni stante anche il numero di dipendenti dell’Azienda, pari a 1774 unità (al 22 marzo 2021), di cui sette con le iniziali C.T.”;

- “[…] nel provvedimento non si fa in alcun modo menzione dei fatti oggetto della sanzione, o di altre circostanze che avrebbero potuto portare all’identificazione del dipendente. Vi è l'indicazione del numero di matricola, che si riteneva comunque non potesse essere sufficiente per l’identificazione del dipendente”;

- “la deliberazione n. XX del XX, come detto pubblicata in forza di espresso obbligo normativo, è stata rimossa. Si è ritenuto che la deliberazione potesse permanere oltre il termine di integrazione dell'efficacia, in quanto non recante dati personali identificativi”;

- “la determinazione n. XX del XX è stata pubblicata ad un duplice fine. In primo luogo, quale funzione di integrazione dell'efficacia, in forza di quanto previsto dal già menzionato art. 10 della L.R., 7 novembre 2012, n.21, che impone la pubblicazione di tutte le deliberazioni e le determine”;

- “si è ritenuto di pubblicare (e mantenere in pubblicazione) la determina in questione, in forza del disposto di cui agli artt. 1, comma 15 e 16 della L. 190/2012. Se il comma 15 stabilisce il generale principio di trasparenza mediante la pubblicazione su sito web (principio poi come è noto confluito nel D.lgs. 33/2013, ma già presente in svariate norme antecedenti e nel D.lgs. 150/2009), il comma 16 contiene un espresso obbligo di pubblicazione, stabilendo che “Fermo restando quanto stabilito nell'articolo 53 del decreto legislativo 30 marzo 2001, n. 165, come da ultimo modificato dal comma 42 del presente articolo, nell'articolo 54 del codice dell'amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, e successive modificazioni, nell'articolo 21 della legge 18 giugno 2009, n. 69, e successive modificazioni, e nell'articolo 11 del decreto legislativo 27 ottobre 2009, n. 150, le pubbliche amministrazioni assicurano i livelli essenziali di cui al comma 15 del presente articolo con particolare riferimento ai procedimenti di […] d) concorsi e prove selettive per l'assunzione del personale e progressioni di carriera di cui all'articolo 24 del citato decreto legislativo n.150 del 2009”;

- “la norma in questione, difatti, sembra contenere un obbligo specifico di diffusione, mediante il richiamo al comma 15, che si riferisce non alla trasparenza in generale, ma alla trasparenza mediante pubblicazione sui siti dell'ente, come peraltro accade per altra norma della L. 190/2012, e precisamente l’art. 1, comma 32, in settori per definizione ad alto rischio corruttivo. È ben vero che la norma fa riferimento alle progressioni di carriera (ex art. 24 del D.lgs. 150/2009) e non alle progressioni economiche (ex art. 23 del medesimo D.lgs.) ma non si può obliterare la circostanza che entrambi gli istituti siano regolamentati dalla medesima norma, all’interno del Testo unico del Pubblico Impiego, vale a dire l'art. 52, comma 1-bis del D.lgs. 165/2001. E non si può certo tacere la rilevanza della trasparenza sotto tale profilo, proprio per finalità di prevenzione del fenomeno corruttivo”;

- “in ogni caso, la pubblicazione è avvenuta nel rispetto del principio di minimizzazione, indicando soltanto il nome, cognome, posizione, numero di matricola e media delle valutazioni, senza l'indicazione di dati eccedenti (quali ad esempio il recapito o il domicilio privati) o dati specifici in ordine alla valutazione stessa (non sono stati oggetto di pubblicazione i verbali di valutazione ma, come detto, soltanto la media delle valutazioni);

- “tra l’altro, l'obbligo di pubblicazione delle graduatorie, in amministrazione trasparente, è stato reintrodotto dalla recente modifica all’art. 19 del D.lgs. 33/2013, ad opera della L. 27 dicembre 2019, n. 160”.

Con nota del XX (prot. n. XX), l’Ufficio, sulla base degli elementi acquisiti, delle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato al Titolare, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto le presunte violazioni degli artt. 5, par. 1, lett. a) e c) e 6, del Regolamento nonché dell’art. 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139), invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).

Con nota del XX (prot. n. XX), l’Azienda Ospedaliera ha presentato una memoria difensiva, richiamando in larga parte le argomentazioni già espresse nel precedente riscontro, dichiarando, in particolare, che:

- “in primo luogo, infatti, […], la deliberazione n. XX del XX è stata pubblicata in forza di espresso obbligo normativo […] l'art. 10 della L.R., 7 novembre 2012, n. 21”, nonché dal Regolamento per i procedimenti disciplinari, approvato con deliberazione n. XX del XX “che prevede che la sanzione sia [adottata] con provvedimento del Direttore Generale su proposta dell'Ufficio per i procedimenti (U.P.D.)”;

- “la diffusione in parola è lecita, appunto perché prevista da norma di legge, ai fini dell’integrazione dell’efficacia, mentre il trattamento, in generale, rientra evidentemente nella gestione del rapporto di lavoro, e nell'adempimento di specifici obblighi e compiti previsti da leggi (artt. 55 ss D.lgs 165/2001), e da contratti collettivi (artt. 64 ss. CCNL Comparto Sanità)”;

- “anche con riferimento alla pubblicazione della determina n. XX del XX, […] sussiste una precisa base legale rappresentata dall’ art. 10 della L.R., 7 novembre 2012, n. 21, […] ed altresì dall’ art. 1 della L. 190/2012 che al comma 15 stabilisce il generale principio di trasparenza mediante la pubblicazione su sito web istituzionale, e al comma 16 impone un espresso obbligo di pubblicazione per le pubbliche amministrazioni con particolare riferimento ai procedimenti di “ [...] d) concorsi e prove selettive per l'assunzione del personale e progressioni di carriera di cui all'articolo 24 del citato decreto legislativo n.150 del 2009.”, nonché dall’art. 19 D.Lgs 33/2013;

- “per specifiche categorie di atti l'efficacia è subordinata ad una fase integrativa, comprendente alla fase della diffusione, finalizzata a portare a conoscenza l’atto ai destinatari […] che si realizza quando si è perfezionato l’iter procedimentale (estrinseco) previsto per la formazione dell’atto rinvenibile, appunto, nella prescritta pubblicazione obbligatoria”;

- “l’Autorità Garante, nelle proprie valutazioni, dovrà tenere anche conto del fatto che la [Azienda Ospedaliera] nella pubblicazione della determinazione n. XX del XX ha prestato particolare cura e attenzione al rispetto del principio di minimizzazione provvedendo alla sola indicazione delle sole iniziali […] del dipendente - peraltro piuttosto comuni stante anche il numero di dipendenti dell’ Azienda, pari a 1774 unità (al 22 marzo 2021), di cui sette con le iniziali [del reclamante] - e del numero di matricola. Tale soluzione poteva rendere identificabile l’interessata solamente a seguito di una puntigliosa ricerca all’interno del sito web del Titolare di documenti risalenti in cui era possibile ricollegare il numero di matricola allo specifico dipendente”;

- “si consideri infine che per quanto riguarda la determinazione n. XX del XX il numero degli interessati lesi dal trattamento è pari a uno, ossia la dipendente della struttura ospedaliera i cui dati sono stati pubblicati all’interno della delibera, la quale è stata rimossa; per quanto invece attiene la deliberazione del D.G. n. XX del XX il numero totale degli interessati, i cui nomi appaiono negli allegati 1 e 2 relativamente alla graduatorie finali all'elenco degli esclusi, è di novanta. Anche in questo caso il Titolare ha già provveduto in data XX alla rimozione della documentazione contenente i dati personali degli interessati”;

- “il Titolare, a seguito di una significativa modifica degli obblighi di revisione, ha provveduto a rimuovere le pubblicazioni relative le progressioni economiche orizzontali presenti nel proprio sito istituzionale a partire dal XX. [L’Azienda Ospedaliera…] di concerto con il Data Protection Officer in carica, sta procedendo ad un sistema di profonde revisioni in merito non solo per una  migliore gestione complessiva delle pubblicazioni, sia per finalità di trasparenza, che per finalità di integrazione dell’efficacia, ma altresì per l'adozione di un sistema automatizzato che gestisca le scadenze dei termini delle pubblicazioni obbligatorie al preciso scopo di correggere la gestione del profilo temporale della pubblicazione delle delibere”;

- “l’Ecc.ma Autorità dovrà poi considerare come il Legislatore abbia ritenuto di modificare, in maniera significativamente ampliativa, il potere di diffusione degli atti delle pubbliche amministrazioni, con l’introduzione del comma 1-bis dell’art. 2-ter del Codice della Privacy, ad opera dell’art. 9 del DL 8 ottobre 2021, n. 139, in fase di conversione, nel senso (evidente) di “sganciare” anche gli obblighi di diffusione (mediante la modifica del comma 3 dell’art. 2-ter) dalla sussistenza di una specifica norma di legge, ma consentendo la loro effettuazione mediante una autonoma individuazione delle finalità da parte dell’ente”;

- “È evidente come questa modifica sia intervenuta dopo le pubblicazioni contestate, ma essa viene comunque in rilievo”.

L’Azienda Ospedaliera, inoltre, nel corso dell’audizione, ai sensi dell’art. 166, comma 6, del Codice, ha rappresentato che (cfr. verbale prot.n. XX del XX):

- “l’Azienda ha provveduto a porre fine alla diffusione dei dati oggetto di reclamo e, al contempo, ha adottato provvedimenti, in particolare con delibera XX, per migliorare la formazione del personale (sia tecniche sia giuridiche) e adottare meccanismi automatizzati per gestire la pubblicazione della documentazione amministrativa online e rispettare i termini di pubblicazione previsti dalla legge. In particolare, sarà completamente riconfigurata la sezione “Albo pretorio” e la sezione “Amministrazione trasparente”, in maniera tale da garantire il rispetto sia della normativa in materia di trasparenza sia della normativa in materia di protezione dei dati.

- “L’Azienda si è attivata immediatamente per venire incontro alle richieste del reclamante e ha provveduto a riorganizzare le modalità con le quali vengono gestiti e pubblicati i documenti sul proprio sito web istituzionale, come già rappresentato in sede di memoria difensiva. Ciò, peraltro, in una situazione critica per l’Azienda sia per l’attuale contesto pandemico sia per la carenza di personale”.

3. Esito dell’attività istruttoria.

3.1 Il quadro normativo.

La disciplina di protezione dei dati personali prevede che i soggetti pubblici, nell’ambito del contesto lavorativo, possono trattare i dati personali degli interessati, anche relativi a categorie particolari, se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti dalla legge o dal diritto dell’Unione o degli Stati membri (artt. 6, par. 1, lett. c), 9, par. 2, lett. b) e 4 e 88 del Regolamento). Il trattamento è, inoltre, lecito quando sia “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, parr. 1, lett. c) ed e), 2 e 3, e art. 9, par. 2, lett. g), del Regolamento; art. 2-ter del Codice, nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139).

La normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del […] regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento). Al riguardo, si evidenzia che l’operazione di diffusione di dati personali (come la pubblicazione su Internet), da parte di soggetti pubblici, è ammessa solo quando prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento (cfr. art. 2-ter, commi 1 e 3, del Codice, nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139).

Il titolare del trattamento è tenuto, in ogni caso, a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione dei dati”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c), del Regolamento).

3.2 La diffusione dei dati personali relativi a un procedimento disciplinare e alle progressioni economiche orizzontali dei dipendenti.

Come risulta dagli atti e dalle dichiarazioni rese dal titolare del trattamento, nonché dall’accertamento compiuto sulla base degli elementi acquisiti a seguito dell’attività istruttoria e dalle successive valutazioni di questo Dipartimento, l’Azienda Ospedaliera ha pubblicato, sul sito web istituzionale, sezione albo pretorio, la determinazione n. XX del XX, avente ad oggetto la presa d’atto della conclusione di un procedimento disciplinare nei confronti della reclamante contenente le iniziali del nome e cognome, il numero di matricola e l’inquadramento contrattuale della stessa. È stato accertato che oggetto di pubblicazione è stata anche la deliberazione n. XX del XX, recante, in allegato i dati personali (matricola, cognome, nome, descrizione posizione, codice fascia, nuova fascia, media valutazioni, esito) di numerosi dipendenti, tra cui anche la reclamante, relativamente agli esiti delle progressioni economiche orizzontali per il 2018.

In primo luogo si rappresenta che per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile”, dovendosi considerare “identificabile la persona fisica che può essere identificata, direttamente o indirettamente […]” (art. 4, par. 1, n. 1) del Regolamento). Pertanto, contrariamente a quanto ritenuto dall’Azienda ospedaliera, l’utilizzo delle iniziali del cognome e del nome degli interessati può non essere sufficiente a evitare l’identificabilità degli stessi, specie quando ad esse siano associate altre informazioni di contesto ovvero ulteriori elementi identificativi, come, nel caso di specie, il numero di matricola e il ruolo ricoperto nell’assetto organizzativo dell’Ente con l’indicazione dell’inquadramento contrattuale del lavoratore. Inoltre il numero di matricola della reclamante era stato già oggetto di diffusione, in associazione al nominativo per esteso, mediante la pubblicazione della deliberazione del Direttore Generale n.XX del XX, rendendo, pertanto, la stessa, direttamente identificabile (cfr., provv. n.420 del 15 dicembre 2022 doc. web 9853429 e provvedimenti in esso richiamati).

Sul punto si osserva che, sin dal 2014, il Garante, nelle “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico”, provv. n. 23 del 14 giugno 2007, doc. web n. 1417809, ha chiarito che “la prassi seguita da alcune amministrazioni di sostituire il nome e cognome dell´interessato con le sole iniziali è di per sé insufficiente ad anonimizzare i dati personali contenuti negli atti e documenti pubblicati online” e che “il rischio di identificare l´interessato è tanto più probabile quando, fra l´altro, accanto alle iniziali del nome e cognome permangono ulteriori informazioni di contesto che rendono comunque identificabile l´interessato”, come nel caso di specie, essendo necessario, al fine di rendere effettivamente anonimi i dati pubblicati online, “oscurare del tutto il nominativo e le altre informazioni riferite all´interessato che ne possono consentire l´identificazione anche a posteriori”.

In ogni caso l’Azienda Ospedaliera non ha comprovato l’esistenza di una specifica norma di legge che obblighi l’Ente a pubblicare le determinazioni oggetto del reclamo - contenenti dati personali relativi a un procedimento disciplinare nei confronti di una dipendente nonché dati sulle progressioni economiche “orizzontali” del personale - invocando, quali basi giuridiche del relativo trattamento, corpi normativi e disposizioni anche a livello regionale che, tuttavia, per ragioni diverse, non appaiono pertinenti rispetto al caso di specie, o comunque non sufficienti a giustificare, per i profili di protezione dei dati, la condotta dell’Ente.

In particolare, per quanto concerne la determinazione n. XX del XX, sebbene l’Azienda Ospedaliera abbia dichiarato che la pubblicazione del predetto atto fosse prescritta dall’art. 10 della L.R., 7 novembre 2012, n.21, ai sensi del quale “le aziende sanitarie pubblicano gli atti, sia le deliberazioni del direttore generale che le determinazioni dirigenziali, sull'albo pretorio on line dell'azienda, immediatamente e comunque non oltre quindici giorni”, si deve ritenere che tale generica disposizione si riferisce alla mera pubblicazione di atti e documenti dell’Ente ma non legittima, di per sé, la diffusione online di dati personali relativi a un procedimento disciplinare a carico di un dipendente (presa d’atto della conclusione di un procedimento disciplinare). 

L’art. 55-bis, comma 4, del d.lgs. 30 marzo 2001, n. 165 prevede, d’altra parte, che “l'ufficio competente per i procedimenti disciplinari conclude il procedimento, con l'atto di archiviazione o di irrogazione della sanzione, entro centoventi giorni dalla contestazione dell'addebito”, ma non prevede invece la pubblicazione online degli atti connessi al procedimento disciplinare, anche ai fini dell’integrazione dell’efficacia. Al riguardo, infatti, il successivo comma 5 del predetto articolo, prescrive che “le comunicazioni successive alla contestazione dell'addebito” siano effettuate “tra l'amministrazione ed i propri dipendenti tramite posta elettronica o altri strumenti informatici di comunicazione, […] ovvero anche al numero di fax o altro indirizzo di posta elettronica, previamente comunicati dal dipendente o dal suo procuratore” evidenziando che gli atti del procedimento disciplinare devono essere oggetto di comunicazione all’interessato nei tempi e nelle forme stabilite dalla legge (e non invece di diffusione). Peraltro come tradizionalmente chiarito dal Garante fin dal 2007 le amministrazioni devono adottare tutte le misure tecniche e organizzative adeguate per evitare che informazioni relative al procedimento disciplinare rese note all’interno della realtà organizzativa dell’Ente in favore di personale non specificamente autorizzato al trattamento in questione (ad es. altri colleghi non assegnati all’ufficio del personale) con ciò escludendo per converso che non sussiste un presupposto per il trattamento da parte di altri colleghi di tali informazioni, né tantomeno per la loro diffusione in favore dell’intera collettività (cfr. “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico"  del 14 giugno 2007, doc. web n. 1417809).

Vieppiù, quando la legge di settore ha previsto specifiche comunicazioni a terzi di informazioni afferenti a un procedimento disciplinare lo ha fatto espressamente prevedendo altresì specifiche misure a tutela dei diritti degli interessati: la medesima norma del d.lgs. 30 marzo 2001, n. 165 stabilisce, infatti, che nella comunicazione dall'ufficio competente di ogni amministrazione all'Ispettorato per la funzione pubblica, degli atti di avvio e conclusione del procedimento disciplinare, nonché dell’eventuale provvedimento di sospensione cautelare del dipendente, il nominativo del lavoratore interessato debba essere “sostituito da un codice identificativo”, al fine “di tutelare la riservatezza del dipendente” (art.55-bis, comma 4 ultimo capoverso, cit.).

Quanto alla disposizione, invocata dall’Azienda ospedaliera, che prevede la pubblicazione di tutti gli atti dell’Ente, va ricordato che questa Autorità, in più occasioni, ha chiarito che anche la presenza di un regime di pubblicità degli atti, non può comportare alcun automatismo rispetto alla diffusione online dei dati e informazioni personali, né una deroga ai principi in materia di protezione dei dati personali (v. provv. del 25 febbraio 2021, n. 68, doc web 9567429). In numerose decisioni, infatti, il Garante ha ribadito che anche alle pubblicazioni nell’albo pretorio online si applicano tutti i limiti previsti dai principi della protezione dei dati con riguardo alla liceità e alla minimizzazione dei dati (cfr. parte II, par. 3.a. delle “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati”). Ciò è d’altronde confermato anche dal sistema di protezione dei dati personali contenuto nel Regolamento, alla luce del quale è previsto che il titolare del trattamento deve mettere “in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento” e deve essere “in grado di dimostrare” – alla luce del principio di “responsabilizzazione” – di averlo fatto (artt. 5, par. 2; 24 e 25, par. 2, Regolamento).

Nella delibera oggetto di pubblicazione non avrebbe dovuto essere, quindi, riportato alcun dato personale della reclamante (nel caso di specie le iniziali del nome e cognome), ricorrendo, se del caso, alla tecnica degli “omissis” o ad altre misure di anonimizzazione dei dati (cfr., da ultimo, provv. del 15 settembre 2022, n.299, doc. web 9815665 e precedenti in essi richiamati).

Non  possono, inoltre, considerarsi pertinenti, anche con riguardo alla qualità e al contenuto della fonte, le disposizioni del CCNL Comparto Sanità e del “Regolamento per i procedimenti disciplinari” dell’Azienda Ospedaliera, che comunque non soddisfano i requisiti di una idonea base giuridica ai sensi dell’art. 2-ter, commi 1 e 3 del Codice nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139 (che, come pure rilevato dall’Azienda Ospedaliera, trova applicazione, secondo il principio tempus regit actum, al caso di specie). Tali disposizioni si limitano a indicare i casi e i modi del procedimento disciplinare, dettagliando in favore dei dipendenti interessati il quadro già fissato a livello nazionale con le richiamate norme del d.lgs. n. 165/2001, ma non prevedono, né potrebbero giustificare, in particolare, la diffusione online di una determinazione di presa d’atto della conclusione di un procedimento disciplinare nei confronti di un dipendente.

Quanto poi alla ritenuta possibilità che, per effetto delle modifiche al Codice, operate dal d.l. 139 del 2021, che come detto non trovano comunque applicazione al caso di specie, sia configurabile una diffusione di dati personali sulla base di “una autonoma individuazione delle finalità da parte dell’ente” occorre far presente che, nel quadro di derivazione europea della disciplina di protezione dei dati, nella prospettiva della certezza del diritto, nonché del principio di non discriminazione, non sono consentiti livelli differenziati di tutela della protezione dei dati personali - né su base territoriale né a livello di singola amministrazione – specie quando, come nel caso di cui trattasi, la materia sia già stata oggetto di bilanciamento e regolazione dal legislatore con disposizioni uniformi a livello nazionale. Ciò considerando altresì che il Regolamento prevede che la base giuridica del trattamento deve essere idonea anche alla luce dell’“ordinamento costituzionale” dello Stato membro (considerando 41 e v. anche Corte Cost. sent. n. 271/2005 in base alla quale la disciplina di protezione dei dati personali rientra fra la materia di competenza esclusiva statale riferita all’ “ordinamento civile”), nel rispetto del principio di proporzionalità (art. 6, par. 3, lett. b), del Regolamento).

Le considerazioni svolte in merito alla citata delibera del 2020 valgono in relazione a quanto dichiarato dall’Azienda Ospedaliera in merito alla necessità di pubblicare la deliberazione n. XX del XX ai sensi dell’art. art. 10 della l.r. 7 novembre 2012, n. 21, non rinvenendosi, né nella citata legge regionale né aliunde, norme che dispongano espressamente in tal senso.

Appare, infatti, non pertinente il richiamo, da parte dell’Azienda Ospedaliera, all’assolvimento degli obblighi di cui all’art. 1, commi 15 e 16 della L. 190 del 2012 atteso che tale disposizione si riferisce in particolare alla “pubblicazione,  nei  siti   web istituzionali delle  pubbliche  amministrazioni,  delle  informazioni relative ai procedimenti amministrativi”, tra cui anche i concorsi e prove selettive per l'assunzione  del  personale e progressioni di carriera di cui all'articolo 24 del  decreto legislativo n.150 del 2009. Il predetto art.24 si riferisce, infatti, alle sole progressioni di carriera “ai sensi dell'articolo 52, comma 1-bis, del decreto legislativo n. 165 del 2001” (c.d. progressioni verticali) e non anche alle progressioni economiche (c.d. progressioni orizzontali), oggetto della delibera in questione.

A tale riguardo è opportuno richiamare quanto stabilito espressamente dall’Autorità Nazionale Anticorruzione-ANAC proprio in merito all’ambito di applicazione dell’art. 19, nella parte in cui ha specificato che le procedure selettive interne che determinano un passaggio di livello nell’ambito della stessa area o categoria, cd. progressioni orizzontali, come nel caso di specie, “sono escluse dall’ambito oggettivo di applicazione dell’art. 19 “Bandi di concorso” del d.lgs. 33/2013, in quanto procedure a carattere meritocratico connesse alla valutazione dell'apporto individuale del lavoratore e non soggette al principio del pubblico concorso”, differentemente dalle progressioni finalizzate al passaggio di qualifica, consistenti nell’inquadramento in un’area superiore (c.d. progressioni verticali) che avvengono attraverso procedure comparative, determinandosi in tal caso una novazione oggettiva del rapporto di lavoro assimilabile all’assunzione (v. ANAC Delibera n 775 del 10 novembre 2021; comma 1-bis dell’art. 52 del d.lgs. 165/2001 nonché la copiosa giurisprudenza sul punto, in particolare, Corte di Cassazione, Sezione Lavoro Ordinanza 7 dicembre 2020 n. 27932; Cass., Sez. Unite, Sent. 6 giugno 2017, n. 13981; Cons. Stato, sez. III, 29 aprile 2019, n. 2774; Cons. Stato, sez. V, 6 luglio 2010, n. 4313).

Per tali ragioni risulta, pertanto, inconferente anche il richiamo al più generale art. 19 comma 1 del d.lgs. 14 marzo 2013, n. 33, che nel prescrivere la pubblicazione delle sole “graduatorie finali”, si riferisce esclusivamente ai “bandi di concorso per il reclutamento” (cfr. provv.  26 gennaio 2023, n.28, doc. web 9865528 e provvedimenti in esso richiamati) e non anche alle procedure interne finalizzate alle progressioni economiche del personale già in sevizio. A riprova di ciò si rileva, inoltre, che la deliberazione in questione non è stata pubblicata nella sezione “Amministrazione Trasparente” del sito web istituzionale dell’Azienda Ospedaliera, come sarebbe stato necessario in caso di applicazione del d.lgs. 14 marzo 2013, n. 33, confermando che l’Azienda Ospedaliera non ha proceduto alla pubblicazione in questione per le invocate finalità di trasparenza dell’azione amministrativa.

È necessario, comunque rilevare che i dipendenti inseriti nei predetti allegati alla delibera del XX, sono centinaia (circa quattrocento), tra cui la reclamante e non, come indicato dall’Azienda Ospedaliera, il più ridotto numero degli esclusi (circa 90) dalla progressione.

Alla luce delle considerazioni che precedono, la diffusione dei dati personali della reclamante, contenuti nella determinazione n. XX del XX, avente ad oggetto la presa d’atto della conclusione di un procedimento disciplinare nei suoi confronti nonché della deliberazione n. XX del XX e relativi allegati, è, pertanto, avvenuta in maniera non conforme ai principi di protezione dei dati e in assenza di un’idonea base giuridica, in violazione degli artt. 5, par. 1, lett. a) e c), e 6 del Regolamento, nonché 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139).

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Azienda Ospedaliera Universitaria di Cagliari, per aver diffuso, mediante pubblicazione online, determinazione n. XX del XX, avente ad oggetto la presa d’atto della conclusione di un procedimento disciplinare nei confronti della reclamante e la deliberazione n. XX del XX comprensiva degli allegati, recante la graduatoria delle progressioni economiche orizzontali per il 2018 dei dipendenti dell’Azienda Ospedaliera, in assenza di una base giuridica, in violazione degli artt. 5, par. 1, lett. a) e c), 6 del Regolamento nonché dell’art.2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139).

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 2, del Codice.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti - atteso che la diffusione dei dati è cessata in data XX - non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

In relazione ai predetti elementi è stato considerato che la rilevata condotta ha avuto ad oggetto la diffusione di una delibera contenente dati personali attinenti a vicende connesse al rapporto di lavoro riferiti a un procedimento disciplinare a carico di un dipendente, e a un’altra determinazione riguardante gli esiti di una procedura valutativa e i conseguenti effetti giuridici ed economici riferiti a centinaia di dipendenti, la cui pubblicazione è avvenuta per un periodo particolarmente esteso ( circa tre anni); ciò è avvenuto nonostante le indicazioni rese dal Garante a tutti i soggetti pubblici sin dal 2014 con le Linee guida in materia di trasparenza e pubblicità degli atti (v. anche “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico"  sopra citate).

Di contro, si è tenuto favorevolmente in considerazione che la violazione non ha riguardato categorie particolari di dati personali e che la pubblicazione è avvenuta senza alcuna indicizzazione sui siti generalisti. L’Azienda Ospedaliera ha inoltre provveduto a rimuovere dal proprio sito istituzionale le determinazioni oggetto del reclamo e, con il supporto del Responsabile della protezione dei dati, ha posto in essere misure tecniche e organizzative per la gestione delle pubblicazioni, per assicurare la conformità alle norme di settore e alla disciplina di protezione dei dati. Non risultano, inoltre, precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 8.000 (ottomila) per la violazione degli artt. 5, par. 1, lett. a) e c), 6, nonché 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139), quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Tenuto conto che l’atto oggetto di diffusione online conteneva i riferimenti a una delicata vicenda personale dell’interessato, riguardante la sospensione dal servizio per motivi disciplinari, si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dal Titolare per violazione degli artt. 5, par. 1, lett. a) e c), 6 del Regolamento, nonché 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139), nei termini di cui in motivazione;

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, all’Azienda Ospedaliera Universitaria di Cagliari, in persona del legale rappresentante pro-tempore, con sede legale in Via Ospedale, 54 - 09124 Cagliari (CA), C.F. 03108560925, di pagare la somma di euro 8.000 (ottomila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione.

Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Azienda Ospedaliera Universitaria di Cagliari, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 8.000 (ottomila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice (v. art. 16 del Regolamento del Garante n. 1/2019);

l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento (v. art. 17 del Regolamento del Garante n. 1/2019).

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 13 aprile 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei