g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Roma Capitale - 27 gennaio 2021 [9556172]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9556172]

Ordinanza ingiunzione nei confronti di Roma Capitale - 27 gennaio 2021

Registro dei provvedimenti
n. 39 del 27 gennaio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida del Garante in materia di trasparenza”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore l’avv. Guido Scorza;

PREMESSO

1. Introduzione

Dagli articoli apparsi in data XX su diversi quotidiani nazionali, si è appreso che Roma Capitale ha pubblicato nell’albo pretorio online del proprio sito web istituzionale il documento intitolato «XX», codice dell’XX, del Municipio Roma VII (ex Municipio XI), contenente dati personali di un minore di 9 anni e della madre che non avrebbe pagato le rette della mensa per un importo totale pari a € XX.

Dagli atti dell’istruttoria è emerso che, nel caso di specie, la pubblicazione è avvenuta per avvertire il destinatario del predetto XX che risultava essere “soggetto senza fissa dimora”, a cui il Comune di Roma ai fini della concessione della residenza anagrafica (art. 2 della l. n. 1228 del 24/12/1954; art. 43 c.c.) ha consentito – come da prassi per queste ipotesi – l’elezione di domicilio all’indirizzo anagrafico convenzionale (quindi territorialmente non esistente) di «Via Modesta Valenti».

Con la nota prot. XX del XX, a firma del Responsabile Protezione Dati di Roma Capitale, Roma Capitale ha fornito riscontro alla richiesta d’informazioni di questa Autorità (nota prot. n. XX del XX) in ordine alla diffusione dei dati personali online prima descritti. Alla predetta nota sono state, inoltre, allegate i seguenti documenti: note della Direzione del Municipio Roma VIII (prot. n. XX del XX e prot. n. XX del XX), note della Direzione del Dipartimento Servizi Educativi e Scolastici (prot. n. XX del XX e prot. n. XX del XX), nota del Direttore U.O. Casa Comunale-Albo Pretorio-Messi Notificatori-Servizi amministrativi ed Informatici-Direzione supporto Giunta e Assemblea Capitolina-Segretariato Generale (nota prot. n. XX del XX).

Nello specifico, in ordine alla vicenda esaminata, il Direttore del Municipio Roma VIII (prot. n. XX del XX) ha rappresentato che:

- «questa Direzione, con il supporto tecnico del Segretario generale – U.O. Casa Comunale – Albo Pretorio – Messi Notificatori di Roma Capitale, ha proceduto ad annullare la pubblicazione sull’albo pretorio, dell’atto attinente ad una posizione debitoria per il mancato pagamento della retta della refezione scolastica nell’A.S XX, contenente, tra le altre informazioni, il nominativo di un minore»;

- «l’ufficio “Coordinamento entrate e recupero crediti” afferente alla Direzione del Municipio ha provveduto alla pubblicazione sull’Albo pretorio on line, in applicazione della Deliberazione di Giunta Capitolina n. 31 del 3 marzo 2017 “Sistema di iscrizione anagrafica delle persone senza dimora presenti abitualmente sul territorio di Roma Capitale”, che al punto 6, afferma “Ogni notificazione nei confronti dei residenti senza dimora, sarà sostituita dalla pubblicazione presso l’Albo pretorio di Roma Capitale dell’atto o della comunicazione indirizzati al destinatario. La notificazione si avrà per eseguita trascorso il trentesimo giorno di pubblicazione»;

- «l’ufficio, come chiunque voglia effettuare una notifica ad un residente in via Modesta Valenti, richiede la pubblicazione dell’atto nell’apposita sezione; l’ufficio dell’Albo pretorio, incardinato nel Segretario generale di Roma Capitale, effettua poi le necessarie verifiche. È infatti già accaduto di recente che l’Ufficio Albo Pretorio non pubblicasse un atto richiesto dal Municipio in quanto nell’oggetto (che viene creato in maniera automatizzata […)] mancava il nominativo del destinatario»;

- «la procedura di pubblicazione nell’albo on line delle notifiche, che di norma avviene mediante notifica al domicilio del debitore, tramite i messi notificatori, ai sensi della normativa in materia, è pertanto nuova ed esclusivamente rivolta alle persone residenti in Via Modesta Valenti»;

Analogamente, il Direttore del Dipartimento Servizi Educativi e Scolastici ha aggiunto che (prot. n. XX del XX) «In merito a questo importante e delicato tema, si segnala che in data 18 ottobre u.s. si è provveduto ad inviare apposita nota protocollo XX – che ad ogni buon fine si allega – a tutte le Strutture Municipali e alle rispettive Direzioni Socio-Educative, rappresentando la necessità di vigilare con la massima cura per evitare la pubblicazione di dati personali che riguardino i minori e di verificare l’eventuale presenza sui propri siti istituzionali di atti di qualsiasi natura già pubblicati contenenti tali dati, raccomandandone, in tal caso, la rimozione».

2. Normativa in materia di protezione dei dati personali applicabile.

Ai sensi del RGPD, divenuto applicabile dal 25/5/2018, il trattamento di dati personali effettuati da soggetti pubblici (come Roma Capitale) è lecito solo se necessario «per adempiere un obbligo legale al quale è soggetto il titolare del trattamento» oppure «per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento» (art. 6, par. 1, lett. c ed e).

Per «dato personale» si intende «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)». Inoltre, «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).

Nel trattamento dei dati personali il titolare è tenuto, in primo luogo, a rispettare i principi in materia di protezione dei dati, fra i quali quello di «liceità, correttezza e trasparenza» nonché di «minimizzazione», in base ai quali i dati personali devono essere – rispettivamente – «trattati in modo lecito, corretto e trasparente nei confronti dell’interessato» e «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. a e c, del RGPD).

La normativa europea prevede, inoltre, che «Gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]» (art. 6, par. 2, del RGPD).

Al riguardo, è previsto che l’operazione di diffusione di dati personali (come la pubblicazione su Internet), da parte di soggetti pubblici, è ammessa solo quando prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento (art. 2-ter, commi 1 e 3, del Codice).

Il Garante, inoltre, ha fornito specifiche indicazioni alle pubbliche amministrazioni in ordine alle cautele da adottare per la diffusione di dati personali in Internet per finalità di trasparenza e pubblicità dell’azione amministrativa con le proprie Linee guida in materia di trasparenza, anche con riferimento alle pubblicazioni nell’albo pretorio online (cfr. parte seconda, par. 3.a).

3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato.

Dalle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX del XX – non ritenendo sufficiente il richiamo al punto 6 della Deliberazione di Giunta Capitolina n. 31 del 3 marzo 2017 – ha accertato che Roma Capitale, pubblicando in forma integrale sul proprio sito web istituzionale il documento intitolato «XX» e diffondendo online i dati e le informazioni personali ivi contenuti, ha effettuato un trattamento di dati personali non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD. Pertanto, con la medesima nota sono state notificate al citato ente le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD con invito a far pervenire al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentito da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

4. Memorie difensive.

Roma Capitale ha inviato i propri scritti difensivi in relazione alle violazioni notificate tramite tre note a firma del Responsabile per la protezione dei dati (prot. n. XX del XX; n. XX del XX; n. XX del XX), che recano in allegato diversa documentazione sull’accaduto e numerose note degli Uffici coinvolti di contenuto in parte anche ripetitivo di quanto già rappresentato al Garante nel riscontro alla nota dell’Ufficio prot. n. XX del XX.

Al riguardo, si ricorda che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, intitolato «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante».

In ordine ai profili contestati, risultano rilevanti alcune note allegate alla citata nota prot. n. XX del XX.

In particolare nella nota prot. n. XX del XX il Direttore del Segretariato Generale Direzione Supporto Giunta e Assemblea Capitolina Servizi Amministrativi ed Informatici U.O. Casa Comunale – Albo Pretorio – Messi Notificatori ha rappresentato, fra l’altro, che:

- «la questione ha riguardato solo una persona e non emergono fattori di carattere doloso»;

- «apparentemente non sembrerebbe essere stato arrecato alcun danno alla persona […]»;

-  «il Municipio nell’arco di pochissimi giorni ha chiesto, pur potendolo fare in piena autonomia, il ritiro dell’atto per poi richiederne la pubblicazione una volta effettuata la correzione»;

- «non risultano alla scrivente Direzione precedenti violazioni analoghe pur in presenza di un numero elevatissimo di atti […], fatta salva la conferma di altre Strutture. Quanto precede lascerebbe intendere che l’inconveniente sia da ricondurre ad un fatto accidentale e isolato»

Analogamente, nella nota prot. n. XX del XX il Direttore del Municipio Roma VIII, ha precisato, fra l’altro, che:

- «il Municipio si [è] immediatamente adoperato, con il supporto tecnico del Segretariato Generale – U.O. Casa Comunale – Albo Pretorio, per minimizzare gli effetti pregiudizievoli della pubblicazione in questione, contenente tra le altre informazioni il nominativo di un minore, mediante la rimozione della medesima, intervenuta lo stesso giorno in cui gli organi di stampa avevano provveduto a segnalarla, limitandone così la durata a un periodo di soli sette giorni»;

- «A diretta conoscenza di questa Direzione non si ha notizia di casi similari a quello di cui trattasi, che ad oggi risulta il primo ed unico del genere verificato in questo Municipio»;

- «La puntuale ricostruzione dei fatti allegata dal Municipio induce altresì a ritenere come non vi fosse nella specie alcuna possibilità di intervento da parte degli uffici municipali in ordine ai dati da pubblicare all’Albo Pretorio on line»;

- «Come confermato anche da altri Municipi […] gli adempimenti espletati per invitare al pagamento delle quote per la refezione scolastica le persone senza fissa dimora sono i medesimi per tutti i rispettivi uffici municipali»;

- «Allo stato, quindi, l’omessa pubblicazione di tale tipologia di atti appare verosimilmente il solo modo idoneo a tutelare la privacy dei residenti in Via Modesta Valenti, attesa l’implausibilità giuridica come pure la pratica inefficacia di un medesimo atto amministrativo recante due testi differenti e di un XX che non rechi tutti gli elementi atti ad identificare le ragioni del credito vantato dall’Amministrazione»;

- «Nondimeno ciò determina il concreto rischio che, stante la sostanziale impossibilità di procedere nei loro confronti ad altre forme rituali di notificazione, venga ad essere pregiudicato il loro diritto a poter usufruire, al pari di tutti gli altri residenti, delle prestazioni e delle opportunità che all’iscrizione nell’anagrafe della popolazione residente direttamente o indirettamente si ricollegano, quindi, ad esempio, una eventuale presa in carico da parte dei Servizi municipali, l’esenzione dalla retta scolastica ed altre forme di sostegno socioeconomico»;

- «Al riguardo, non si ritiene di poter accedere alle considerazioni espresse dall’Ufficio del Garante per la protezione dei dati personali secondo cui, nella specie, la diffusione dei dati personali on line sarebbe avvenuta “in assenza di un idoneo presupposto normativo”, in quanto le disposizioni per la notifica di atti a persone senza fissa dimora di cui si è fatta applicazione e che hanno determinato la diffusione on line dei loro dati personali, sarebbero contenute “in una mera deliberazione di Giunta Capitolina”»;

- «È noto, infatti, che l’ordinamento degli enti locali attribuisce ai comuni autonomia statutaria e regolamentare, come si evince dal chiaro dettato dell’art. 3 del TUEL»;

- «Secondo una prassi consolidata ed assai risalente, e fino ad oggi non controversa, la potestà regolamentare in ordine alla disciplina dell’attività notificatoria è sempre stata esercitata, nell’ambito del Comune di Roma, dalla Giunta Capitolina. Di tale esercizio sono espressione il Regolamento concernente l’attività degli addetti alle procedure di notificazione di cui alla deliberazione della Giunta Comunale n. 452/2007, il Regolamento concernente l’organizzazione e il funzionamento della Casa Comunale di cui alla deliberazione della Giunta Comunale n. 400/2008, il Regolamento per la disciplina dell’Albo Pretorio on lime di cui alla deliberazione della Giunta Capitolina n. 215/2013»;

- «Più in generale, la predetta disciplina regolamentare si radica nella speciale competenza regolamentare attribuita dall’art. 48 del TUEL alle giunte comunali in materia di ordinamento degli uffici e dei servizi»;

- «Nel caso di specie, la Giunta Capitolina, al precipuo fine di rendere esperibile anche nei confronti dei residenti senza fissa dimora efficaci procedure di notificazione, con la deliberazione n. 31/2017 ha stabilito che ogni notificazione di cui tali soggetti siano destinatari debba essere sostituita dalla pubblicazione presso l’Albo Pretorio di Roma Capitale dell’atto o della comunicazione indirizzati al destinatario e che la notificazione si avrà per eseguita trascorso il trentesimo giorno di pubblicazione»;

- «Tali disposizioni, pertanto, debbono ritenersi, sul punto, integrative della summenzionata disciplina regolamentare dell’attività notificatoria, di talché alla citata deliberazione n. 31/2017 non può attribuirsi natura di atto amministrativo, ma deve, riconoscersi, con tutta evidenza, specifica valenza regolamentare»;

- «Oltre che sotto il profilo della competenza regolamentare, la predetta deliberazione giuntale, ritualmente adottata e corredata dai pareri tecnici prescritti dalla legge, non si palesava manifestamente illegittima. La Giunta Capitolina, infatti, ha ritenuto di prevedere per le notifiche rivolte a tale categoria di destinatari, secondo quanto disposto in via generale dall’art. 151 c.p.c., il quale in caso di circostanze particolari ammette che la notificazione sia eseguita in modo diverso da quello stabilito dalla legge, una forma di notificazione per pubblici proclami eseguibile con modalità diverse da quelle contemplate dall’art. 150 c.p.c. e mediante gli strumenti forniti dalla moderna evoluzione tecnologica, opzione perfettamente compatibile con la normazione di rango primario, come espressamente previsto in materia di atti amministrativi dall’art. 12 della legge n. 205/2000 ed affermato da copiosa giurisprudenza amministrativa (per tutte cfr. ordinanza TAR Lazio, Sez. III bis, n. 9506/2013)»;

- «Neppure le finalità della deliberazione della Giunta Capitolina n. 31/2017 appaiono, ictu oculi, volte a ledere situazioni giuridiche soggettive dei residenti senza dimora. Al contrario, essa appare costituzionalmente orientata e le sue statuizioni preordinate non soltanto ad assicurare il soddisfacimento di corposi interessi pubblici, quali l’efficace gestione dell’anagrafe della popolazione residente e l’efficiente riscossione delle entrate tributarie ed extratributarie locali, ma altresì ad evitare che la abituale impossibilità di individuare il domicilio dei residenti senza dimora fisica per tradursi in una loro sostanziale pretermissione da godimento di significativi diritti sociali, sovente non meno pregnanti di quello alla riservatezza»;

- «Nessuna disposizione amministrativa palesemente illegittima nella specie, atta a determinare comportamenti costituenti reato o, comunque, contrari ai doveri di diligenza e fedeltà per l’Amministrazione, dunque, bensì norme regolamentari in alcun modo disapplicabili dai funzionari capitolini secondo la consolidata giurisprudenza (cfr. per es. la recente sentenza della Suprema Corte n. 9736/2018), estrinsecazione di un potere discrezionale il cui corretto esercizio nel bilanciamento di primari interessi dell’Amministrazione con fondamentali diritti civili delle persone senza dimora può, in ipotesi, essere rivalutato, in sede di autotutela e secondo il principio del contrarius actus, del medesimo Organo che ha adottato la citata deliberazione n. 31/2017 e deve ritenersi sindacabile dal giudice amministrativo».

Sui fatti contestati, rileva, inoltre, il parere reso dall’Avvocatura capitolina prot. n. XX dell’XX (allegato alla nota del RPD n. XX del XX) sulle «modalità di notifica degli atti afferenti le entrate Tributarie ed extratributarie, per le persone senza fissa dimora, sulla base di quanto previsto dalla Deliberazione della Giunta Capitolina n. 31 del 03.03.2017».

In tale parere, è espressamente indicato – contrariamente a quanto precedentemente affermato dall’amministrazione – che la più volte richiamata delibera di Giunta Capitolina n. 31 del 3/3/2017, intitolata «Sistema di iscrizione anagrafica delle persone senza dimora presenti abitualmente sul territorio di Roma Capitale», «stante la sua natura, non può derogare alla normativa di rango primario dettata dal legislatore in materia di notificazione degli atti giudiziari», e rimangono applicabili, anche per i soggetti «senza fissa dimora», le disposizioni contenute negli artt. 140 ss. del c.p.c. (per la notifica degli atti giudiziari) e nell’art. 60 del d.P.R. n. 600 del 19/9/1973 (per la notifica degli atti tributari).

5. Esito dell’istruttoria relativa alla segnalazione presentata

La questione oggetto dello specifico caso sottoposto all’esame del Garante ha a oggetto la questione della pubblicazione nell’albo pretorio online del sito web istituzionale di Roma Capitale dell’«XX», contenente dati personali di un minore di 9 anni e della madre che non avrebbe pagato le rette della mensa del figlio per un importo totale pari a € XX.

La particolarità della fattispecie risiede nella circostanza che i dati personali della persona destinataria dell’XX, diffusi online, appartengono a soggetto senza fissa dimora, categoria per la quale il Comune di Roma ai fini della concessione della residenza anagrafica (art. 2 della l. n. 1228 del 24/12/1954; art. 43 c.c.) consente l’elezione di domicilio all’indirizzo anagrafico convenzionale (quindi territorialmente non esistente) di «Via Modesta Valenti».

Dagli atti e dalle memorie difensive di Roma Capitale, è risultato che la pubblicazione sull’albo pretorio è avvenuta in quanto la signora destinataria dell’XX era soggetto “senza fissa dimora”, ed è stato quindi applicato il punto 6 della Deliberazione di Giunta Capitolina n. 31 del 3 marzo 2017 «Sistema di iscrizione anagrafica delle persone senza dimora presenti abitualmente sul territorio di Roma Capitale», nella parte in cui è previsto che le notifiche nei confronti dei residenti senza fissa dimora è «sostituita dalla pubblicazione presso l’Albo pretorio di Roma Capitale dell’atto o della comunicazione indirizzati al destinatario» ed è «eseguita trascorso il trentesimo giorno di pubblicazione».

Tali circostanze, seppur meritevoli di considerazione, non consentono tuttavia di superare i rilievi notificati dall’Ufficio con la nota prot. n. XX del XX, in quanto non risultano sufficienti a consentire l’archiviazione del presente procedimento ai sensi dell’art. 11 del Regolamento del Garante n. 1/2019.

Come infatti evidenziato nella predetta nota dell’Ufficio, le disposizioni per la notifica degli atti invocate da Roma Capitale per giustificare la diffusione online dei dati personali del minore e della madre senza fissa dimora (punto 6 della Deliberazione di Giunta Capitolina n. 31/2017), essendo contenute in una mera deliberazione di Giunta Capitolina, non costituiscono un idoneo presupposto normativo per la diffusione online, ai sensi dell’art. 2-ter, commi 1 e 3, del Codice, che invece ammette la predetta possibilità da parte di soggetti pubblici solo quando la diffusione è prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento.

Tali circostanze non consentono di accogliere l’osservazione presentata da Roma Capitale nella parte in cui è evidenziato che la deliberazione di Giunta Capitolina n. 31/2017 sarebbe un idoneo presupposto normativo per diffondere dati personali, perché non avrebbe «natura di atto amministrativo, ma […] specifica valenza regolamentare». Ciò in quanto i casi in cui la fonte regolamentare – ai sensi dell’art. 2-ter, commi 1 e 3 del Codice – può essere considerata un idoneo presupposto per la diffusione di dati personali devono essere previsti da una norma primaria e tale elemento, nel caso di specie, risulta invece difettare. Analogamente, non si ritiene applicabile la disposizione contenuta nell’art. 151 c.p.c. – come invece sostenuto nelle memorie difensive del Comune – che riguarda una fattispecie del tutto diversa da quella in esame, ossia il caso di «Forme di notificazione ordinate dal giudice», il quale «quando lo consigliano circostanze particolari o esigenze di maggiore celerità, di riservatezza o di tutela della dignità» ha il potere di «prescrivere, anche d'ufficio, con decreto steso in calce all’atto, che la notificazione sia eseguita in modo diverso da quello stabilito dalla legge».

Tutto quanto sopra affermato trova conferma nello stesso parere reso dall’Avvocatura capitolina prot. n. XX dell’XX prima richiamato, che ha evidenziato come la citata Deliberazione di Giunta Capitolina «stante la sua natura, non può derogare alla normativa di rango primario dettata dal legislatore in materia di notificazione degli atti giudiziari», con la conseguenza che rimangono applicabili anche per i soggetti «senza fissa dimora» le disposizioni contenute negli artt. 140 ss. del c.p.c. (per la notifica degli atti giudiziari) e dell’art. 60 del d.P.R. n. 600 del 19/9/1973 (per la notifica degli atti tributari).

La normativa statale di settore contenuta nel codice di procedura civile già prevede, infatti, specifiche disposizioni per effettuare la notifica di atti nel caso di: «Irreperibilità o rifiuto di ricevere la copia» (art. 140); «Notificazione presso il domiciliatario» (art. 141); «Notificazione a persona non residente, né dimorante, né domiciliata nella Repubblica» (art. 142); «Notificazione a persona di residenza, dimora e domicilio sconosciuti» (art. 143). Per le «notificazione degli avvisi e degli altri atti» al «contribuente» si applica, invece, la disciplina speciale previsa dall’art. 60 del d.P.R. n. 600/1973.

In nessuno dei casi disciplinati dagli articoli sopra citati è prevista la pubblicazione integrale dell’atto da notificare, come avvenuto nel caso di specie, ma è realizzato un corretto bilanciamento fra esigenza di conoscenza dell’atto da parte del destinatario e riservatezza dello stesso, prevedendo persino nell’ipotesi di «residenza, dimora e domicilio sconosciuti» (art. 143 c.p.c.) o di assenza di «abitazione, ufficio o azienda del contribuente» (60, comma 1, lett. e, del d.P.R. n. 600/1973) il deposito dell’atto presso la casa comunale e al massimo l’affissione nell’albo del Comune del solo avviso del deposito e non dell’atto integrale da notificare oggetto del deposito.

Di contro, il punto 6 della Deliberazione di Giunta Capitolina n. 31/2017, prevedendo che la notifica degli atti è «sostituita dalla pubblicazione» sull’Albo pretorio di Roma Capitale dell’intero «atto o della comunicazione indirizzati al destinatario», si pone in contrasto con la disciplina statale in materia prima richiamata per la notifica degli atti giudiziari e tributari.

In tale contesto, in relazione alla condotta tenuta, si ritiene pertanto di confermare le valutazioni preliminari dell’Ufficio, rilevando, di conseguenza, l’illiceità del trattamento di dati personali effettuato da Roma Capitale. Ciò in quanto il citato ente ha pubblicato in forma integrale nell’albo pretorio online del proprio sito web istituzionale il documento intitolato «XX», codice dell’XX, del Municipio Roma VIII (ex Municipio XI), causando una diffusione di dati personali ivi contenuti riferiti a un minore di 9 anni e alla madre che non avrebbe pagato le rette della mensa scolastica. Tale trattamento risulta avvenuto:

- in maniera non conforme al rispetto dei principi di “liceità” e “minimizzazione” del trattamento, in violazione dell’art. 5, par. 1, lett. a) e c), del RGPD;

- in assenza di un idoneo presupposto normativo, in violazione dell’art. 2-ter, commi 1 e 3, del Codice e dell’art. 6, par. 1, lett. c) ed e); par. 2 e par. 3, lett. b), del RGPD.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e di ulteriori provvedimenti correttivi (artt. 58, par. 2, lett. d e i; 83 RGPD)

Roma Capitale risulta aver violato gli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD; nonché l’art. 2-ter, commi 1 e 3 del Codice.

Al riguardo, l’art. 83, par. 3, del RGPD, prevede che «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave».

Nel caso di specie, la violazione delle disposizioni citate è soggetta alla stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del RGPD, che si applica pertanto al caso di specie.

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD, nonché dell’art. 166 del Codice, ha il potere correttivo di «infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso». In tale quadro, «il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice» (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del RGPD.

In tal senso, la rilevata condotta tenuta in violazione della disciplina in materia di protezione dei dati personali ha avuto a oggetto la diffusione di dati personali non appartenenti a categorie particolari né a condanne penali o reati (artt. 9 e 10, del RGPD), riferiti a di due soli soggetti interessati e si è protratta per pochi giorni. Roma Capitale si è attivata velocemente per oscurare i dati personali oggetto del presente procedimento, attenuando i possibili effetti negativi del trattamento e collaborando con l’Autorità nel corso dell’istruttoria. La condotta è di natura colposa e non risultano eventuali precedenti violazioni del RGPD pertinenti commesse dal citato ente. Vanno considerate come ulteriori circostanze attenuanti il fatto che, come dichiarato dal Comune, si tratta di un «fatto accidentale e isolato» e «apparentemente non sembrerebbe essere stato arrecato alcun danno alla persona […]». Inoltre, risulta che i funzionari dell’ente hanno agito in buona fede dando applicazione a una deliberazione della giunta comunale che, seppure non conforme alla disciplina statale in materia di notifica di atti, non potevano disapplicare in maniera autonoma.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, parr. 2 e 3, del RGPD l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, del RGPD, nella misura di euro 10.000,00 (diecimila) per la violazione degli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD; nonché dell’art. 2-ter, commi 1 e 3, del Codice, quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e particolarmente dissuasiva rispetto alle condotte in contestazione, ai sensi dell’art. 83, par. 1, del medesimo RGPD.

In relazione alle specifiche circostanze del presente caso, relative alla diffusione sul web di dati personali in assenza di un’idonea base normativa, si ritiene altresì che debba essere applicata la sanzione accessoria della pubblicazione del presente provvedimento sul sito Internet del Garante, prevista dall’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019.

Si ricorda, inoltre, che l’art. 58, par. 2, lett. d), del RGPD prevede che il Garante ha il potere correttivo di «ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine».

In tale quadro, si reputa necessario ingiungere, altresì, ai sensi dell’art. 58, par. 2, lett. d), del RGPD, a Roma Capitale di conformare le notifiche di atti nei confronti dei residenti senza fissa dimora alla normativa statale di settore contenuta negli artt. 140 ss. del c.p.c. (per la notifica degli atti giudiziari) e nell’art. 60 del d.P.R. n. 600 del 19/9/1973 (per la notifica degli atti tributari), che in nessun caso prevedono la pubblicazione integrale dell’atto da notificare.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità del trattamento nei termini di cui in motivazione, effettuato da Roma Capitale, con sede legale in Piazza Del Campidoglio, 1 - 00186 Roma (RM)– C.F. 02438750586:

a)  ai sensi dell’art. 58, par. 2, lett. i) e 83 del RGPD, nonché dell’art. 166 del Codice, infligge a Roma Capitale, in qualità di titolare del trattamento, la sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. a) del succitato Regolamento ordinando e contestualmente ingiungendo al predetto trasgressore, di pagare la somma di euro 10.000,00 (diecimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981. Al riguardo, si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro 30 giorni dalla data della notifica del presente provvedimento, ai sensi dell’art. 166, comma 8, del Codice (cfr. anche art. 10, comma 3, del d. lgs n. 150 dell’1/9/2011);

b) ai sensi dell’art. 58, par. 2, lett. d), del RGPD, ingiunge a Roma Capitale di conformare le notifiche di atti nei confronti dei residenti senza fissa dimora alla normativa statale di settore contenuta negli artt. 140 ss. del c.p.c. (per la notifica degli atti giudiziari) e nell’art. 60 del d.P.R. n. 600 del 19/9/1973 (per la notifica degli atti tributari), che in nessun caso prevedono la pubblicazione integrale dell’atto da notificare.

c)  ai sensi dell’art. 157 del Codice, richiede a Roma Capitale di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto disposto alla precedente lettera b) del presente provvedimento entro trenta giorni dalla notifica dello stesso;

d) ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, dispone l’annotazione nel registro interno dell’Autorità delle violazioni e delle misure adottate, ai sensi dell’art. 58, par. 2, del RGPD, con il presente provvedimento.

Si ricorda, che l’inosservanza di quanto ordinato alla precedente lett. b) è punita con la sanzione amministrativa di cui all’art. 83, par. 6, del RGPD. Si evidenzia, altresì, che il mancato riscontro alla richiesta, formulata ai sensi dell’art. 157, di cui al precedente lett. c) è punito con la sanzione amministrativa di cui all’art. 166, comma 2, del Codice

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 27 gennaio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei