Ordinanza ingiunzione nei confronti di Accademia di Belle Arti di Roma -...
Ordinanza ingiunzione nei confronti di Accademia di Belle Arti di Roma - 16 settembre 2021 [9718134]
Condividi[doc. web n. 9718134]
Ordinanza ingiunzione nei confronti di Accademia di Belle Arti di Roma - 16 settembre 2021
Registro dei provvedimenti
n. 318 del 16 settembre 2021
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;
Relatore il dott. Agostino Ghiglia;
PREMESSO
1. Introduzione.
Con reclamo del 5 giugno 2019, come successivamente integrato in data 11 luglio 2019, un docente dell’Accademia di Belle Arti di Roma (di seguito, l’”Accademia”) ha lamentato che, nell’ambito di un procedimento disciplinare avviato a proprio carico, gli sarebbero state inviate comunicazioni dall’indirizzo di posta elettronica certificata istituzionale dell’Accademia (abaroma@pec.accademiabelleartiroma.it), le cui credenziali di autenticazione sarebbero in possesso del responsabile dell’Ufficio Protocollo, della Segretaria di Direzione, della Direttrice Amministrativa e della Direttrice dei Servizi di Ragioneria dell’Accademia, i quali non potrebbero considerarsi soggetti autorizzati al trattamento e, in ogni caso, non avrebbero ricevuto adeguate istruzioni da parte dell’Accademia per trattare i dati personali contenuti in dette comunicazioni.
È stato, inoltre, lamentato che l’Accademia avrebbe pubblicato sul proprio sito web istituzionale il verbale del consiglio di amministrazione n. 44 del 5 dicembre 2018, contenente dati personali relativi al reclamante - il quale è espressamente menzionato con il proprio nome e cognome - inclusi riferimenti a un procedimento disciplinare avviato nei confronti dello stesso e ai contenuti di note inviate all’Accademia dal reclamante per il tramite del suo avvocato. In particolare, nel verbale veniva riportato quanto segue: “[si] descrive […] la situazione che si è venuta a determinare a causa dei contenuti delle note difensive del legale del prof. […] relative al procedimento disciplinare aperto in data […], e in particolare nell’ultima ultima nota pervenuta in ordine di tempo, emergono contenuti offensivi, minacciosi e particolarmente aggressivi nei confronti della Direzione, dell’Amministrazione e dell’Istituzione tutta”, chiedendosi “pertanto, al Consiglio di autorizzare la consulenza di un avvocato […] al fine di formulare al meglio una risposta adeguata. Il Consiglio approva e autorizza tutte le iniziative ulteriori a tutela del decoro e dell’onorabilità della Direzione e dell’Istituzione”. La pubblicazione di tale verbale sarebbe, peraltro, avvenuta successivamente all’intervenuta archiviazione del procedimento disciplinare.
Inoltre, sebbene, come richiesto dal reclamante in data 4 luglio 2019, per il tramite del proprio avvocato, il verbale in questione, a partire dalla medesima data, non sia più consultabile sul sito web dell’Accademia e il testo dello stesso sia stato riformulato omettendo i riferimenti al nome e al cognome del reclamante, quest’ultimo ha lamentato che l’indicazione nel verbale - nella versione agli atti dell’Accademia - della data di avvio di tale provvedimento disciplinare, “per la sua particolarità […] e per la conoscenza che ormai l’ambiente accademico ha della vicenda” costituisca un’informazione dalla quale sarebbe comunque possibile risalire alla propria identità.
2. L’attività istruttoria.
Con note del 15 luglio 2020 (prot. n. 13886) e 24 dicembre 2020, in risposta alle richieste d’informazioni del Garante (v. note prot. n. 41365 del 28 novembre 2019, inoltrata nuovamente con nota n. 22313 del 18 giugno 2020, e n. 47232 del 10 dicembre 2020), l’Accademia ha dichiarato, in particolare, che:
“in data 18-1-2019, con le indicazioni volute dall’allora Direttrice, è stato approvato dal Consiglio di Amministrazione il verbale n.44 nel suo testo originale; successivamente e fino al 4-7-2019 [tale verbale] è stato pubblicato sul sito dell’Istituzione […] con il nominativo dell’interessato ma che da quest’ultima data è stato tolto dal sito e con l’accordo dell’interessato è stato riformulato senza i dati dell’interessato stesso”;
[…], a seguito di richiesta inoltrata [dall’avvocato del reclamante] di rimuovere [il verbale] dal sito […] presentata in data 4 luglio 2019 […], il verbale in questione è stato rimosso dal sito il giorno stesso della presentazione dell’istanza”;
“si è trattato pertanto, di un mero errore materiale di cui si è reso conto lo stesso [reclamante] […]”.
Con nota del 11 marzo 2021 (prot. n. 13610), l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato all’Accademia, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto la violazione degli artt. 5, par. 1, lett. a), 6 del Regolamento, nonché 2-ter, commi 1 e 3, del Codice. Inoltre, sulla base di quanto emerso nel corso dell’istruttoria, l’Ufficio ha contestato al titolare anche la violazione dell’art. 38, par. 6, del Regolamento, sul presupposto che la responsabile della protezione dei dati (RPD) al tempo designata si trovasse in posizione di conflitto di interessi rispetto al ruolo di Direttrice Amministrativa dell’Accademia rivestito dalla stessa.
Con la medesima nota, l’Accademia è stata invitata a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).
In occasione dell’audizione, richiesta ai sensi dell’art. 166, comma 6, del Codice e tenutasi in data 10 maggio 2021 (cfr. verbale prot. n. 26535 del 13 maggio 2021), l’Accademia ha dichiarato, in particolare, che “quanto alla diffusione dei dati personali del reclamante, avvenuta per mero errore materiale, […] l’Accademia ha immediatamente rimosso il documento che conteneva tali dati da sito web istituzionale”. Nella stessa occasione sono stati forniti ulteriori elementi in merito alle valutazioni effettuate in concreto dall’Accademia in merito alla designazione del RPD nella persona della Direttrice Amministrativa, sostenendo che quest’ultima non ha una qualifica dirigenziale, è gerarchicamente dipendente dal competente Ministero e non ha potere decisionale in merito alla gestione dell’Accademia, avendo potere di firma solo in relazione agli atti che sono meramente esecutivi di delibere del Consiglio di Amministrazione, non sussistendo, pertanto, alcuna situazione di conflitto d’interessi.
3. Esito dell’attività istruttoria.
3.1 Il quadro normativo
La disciplina di protezione dei dati personali prevede che i soggetti pubblici, anche qualora operino nello svolgimento dei propri compiti di datori di lavoro, possono trattare i dati personali (art. 4, n. 1, del Regolamento) dei dipendenti, se il trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” (ovvero gli specifici obblighi o compiti previsti dalla legge per finalità di gestione del rapporto di lavoro) oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e) del Regolamento).
La normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del […] regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento). Al riguardo, si evidenzia che l’operazione di diffusione di dati personali (come la pubblicazione su Internet), da parte di soggetti pubblici, è ammessa solo quando prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento (art. 2-ter, commi 1 e 3, del Codice).
Il titolare del trattamento è tenuto, inoltre, a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione dei dati”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c), del Regolamento).
Nel rispetto del principio di “minimizzazione dei dati”, anche in presenza di un obbligo di pubblicazione, i soggetti chiamati a darvi attuazione non possono comunque diffondere i dati personali eccedenti o non pertinenti (cfr. «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicate in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436, parte seconda, parr. 1 e 3.a.).
Con riguardo alla figura del RPD, il Regolamento prevede che questo debba essere obbligatoriamente designato dal titolare del trattamento “quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico” (art. 37, par. 1, del Regolamento). Il RPD deve essere dotato delle “risorse necessarie per assolvere [ai propri] compiti […]” e “può svolgere altri compiti e funzioni. Il titolare del trattamento o il responsabile del trattamento si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi” (art. 38, parr. 2 e 6, del Regolamento; cfr. cons. 97 del Regolamento, ove si afferma che i RPD “dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente).
Con specifico riferimento al divieto di conflitti di interessi, le “Linee guida sui responsabili della protezione dei dati” (adottate dal Gruppo di lavoro articolo 29 il 13 dicembre 2016, nella versione emendata il 5 aprile 2017) precisano che “l’assenza di conflitti di interessi è strettamente connessa agli obblighi di indipendenza. Anche se un RPD può svolgere altre funzioni, l’affidamento di tali ulteriori compiti e funzioni è possibile solo a condizione che essi non diano adito a conflitti di interessi. Ciò significa, in modo particolare, che un RPD non può rivestire, all’interno dell’organizzazione del titolare del trattamento o del responsabile del trattamento, un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali. Si tratta di un elemento da tenere in considerazione caso per caso guardando alla specifica struttura organizzativa del singolo titolare del trattamento o responsabile del trattamento” (par. 3.5, p. 21).
3.2 La diffusione dei dati personali
Nel caso di specie, risulta accertato che l’Accademia ha pubblicato sul proprio sito web istituzionale il verbale del Consiglio di Amministrazione n. 44 del 5 dicembre 2018, contenente dati personali relativi al reclamante - il quale è espressamente menzionato con il proprio nome e cognome - inclusi riferimenti a un procedimento disciplinare avviato nei confronti dello stesso e ai contenuti di note inviate all’Accademia dal reclamante per il tramite del suo avvocato. Tale verbale, approvato in data 18 gennaio 2019, è stato pubblicato sul sito web dell’Accademia fino al 4 luglio 2019.
A tal riguardo, si osserva che l’Ente, rispondendo alle richieste d’informazione di questa Autorità, non ha indicato alcuna base giuridica che possa giustificare la diffusione online di tali dati personali del reclamante, essendosi essa limitata ad affermare che si è trattato di un mero errore materiale.
La diffusione online dei dati personali del reclamante è, pertanto, avvenuta in modo non conforme ai principi di protezione dei dati (art. 5) e in assenza di un’idonea base giuridica, in violazione degli artt. 5, par. 1, lett. a), e 6 del Regolamento, nonché dell’art. 2-ter, commi 1 e 3, del Codice. Peraltro, considerato che oltre al nome e al cognome sono state diffuse informazioni relative al rapporto di lavoro in essere con l’interessato (con particolare riguardo all’apertura di un procedimento disciplinare), tale circostanza connota di ulteriore gravità la condotta dell’Accademia (cfr. Cass. civ., sez. II, ord. n. 18292 del 3 settembre 2020, che ha confermato la decisione del Garante n. 193 del 26 marzo 2015, adottata nei confronti di un Comune). La violazione della disciplina in materia di protezione dei dati personali mediante la pubblicazione di atti e documenti contenenti riferimenti a vicende legate al rapporto di lavoro, a valutazioni dell’operato dei dipendenti, nonché a vicende private degli stessi, è stata, infatti, accertata in numerosi provvedimenti del Garante (cfr., da ultimo, provv. 24 giugno 2021, n. 256, in corso di pubblicazione; 25 febbraio 2021, n. 69, doc. web n. 9565258; 25 febbraio 2021, n. 68, doc. web n. 9567429; 27 gennaio 2021, n. 34, doc. web n. 9549165).
Diversamente, con riguardo al motivo di reclamo relativo al profilo di autorizzazione del responsabile dell’Ufficio Protocollo, della Segretaria di Direzione, della Direttrice Amministrativa e della Direttrice dei Servizi di Ragioneria dell’Accademia ai fini dell’accesso alla casella di posta elettronica certificata dell’Accademia, l’Accademia ha fornito sufficienti elementi per chiarire che ai dati personali dell’interessato abbiano avuto accesso soltanto soggetti autorizzati. Ciò in quanto l’Accademia ha dichiarato che “i soggetti che dispongono delle credenziali di accesso all’indirizzo di posta elettronica certificata […] sono il responsabile del protocollo, il Direttore Amministrativo e il Direttore di Ragioneria per sola lettura” (quest’ultimo “sostitu[endo] il Direttore Amministrativo in caso di impedimento […], così come previsto dal CCNL”), e che “la Segreteria di Direzione ha solo trasmesso a queste figure un carteggio del quale non conosceva il contenuto” (nota prot. n° 33524 del 24 dicembre 2020), ritenendosi, pertanto, il reclamo non fondato sotto tale profilo.
Le medesime considerazioni valgono anche con riguardo al motivo di reclamo relativo alla menzione nel verbale – nella versione agli atti dell’Accademia – della data di avvio del procedimento disciplinare a carico del reclamante (poi successivamente archiviato), sul presupposto che tale informazione potrebbe comunque consentire di risalire all’identità dello stesso. Ciò in considerazione del fatto che il verbale in questione è un documento preordinato alla descrizione di atti o fatti, avente pertanto una funzione di documentazione delle dichiarazioni rese in seno al Consiglio di Amministrazione, e che la possibilità per i terzi di accedere ad esso rimane soggetta alle specifiche norme dell’ordinamento che regolano la materia, dovendo l’amministrazione di volta in volta valutare se sussistano le condizioni per limitare l’accesso ai dati personali contenuti nei documenti amministrativi (cfr. art. 22 ss. della l. 7 agosto 1990, n. 241; d.P.R. 12 aprile 2006, n. 184; artt. 5 e 5-bis del d.lgs. 14 marzo 2013, n. 33).
3.2 L’indipendenza del RPD designato dal titolare
Nel corso dell’istruttoria è emerso che l’Accademia ha designato quale RPD la propria Direttrice Amministrativa.
A tal riguardo, quanto dichiarato dall’Accademia in sede di audizione in merito alla posizione e ai compiti del Direttore Amministrativo non trova riscontro nel quadro normativo e regolamentare di settore, sulla dei base documenti prodotti dalla stessa Accademia (cfr., in particolare, nota del 21 maggio 2021 e i relativi allegati).
In particolare, si rileva che, in base alla disciplina di settore, l'incarico di Direttore Dmministrativo è attribuito, con delibera del Consiglio di Amministrazione, su proposta del Direttore, ad un dipendente dell'istituzione, ovvero di altre pubbliche amministrazioni in posizione di comando, anche in posizione dirigenziale (cfr. art.13, commi 3 e 4 del D.P.R. 28 febbraio 2003, n. 132). Ai sensi del comma 2 del medesimo articolo, il Direttore Amministrativo è direttamente “responsabile della gestione amministrativa, organizzativa, finanziaria, patrimoniale e contabile dell'istituzione”, potendo altresì partecipare al Consiglio di Amministrazione con voto consultivo (art. 7, comma 5). Egli “è a capo degli uffici ed esercita attività d'indirizzo, direzione e controllo del personale tecnico-amministrativo, cura il buon andamento del lavoro e il sollecito espletarsi dei procedimenti amministrativi, nel rispetto della normativa vigente e secondo le disposizioni del Consiglio di Amministrazione”, essendo a lui “demandate tutte le […] funzioni previste dalla legge e dal Regolamento di amministrazione, finanza e contabilità” (art. 18, commi 1 e 3 dello statuto dell’Accademia, allegato alla nota del 21 maggio 2021). Inoltre, il Direttore Amministrativo promuove l’azione disciplinare e può direttamente decidere ed irrogare talune sanzioni disciplinari nei confronti dei dipendenti (cfr. art. 55 del contratto collettivo nazionale di lavoro relativo al personale del comparto delle Istituzioni di Alta Formazione e Specializzazione Artistica e Musicale per il quadriennio normativo 2002/2005 e il biennio economico 2002/2003, allegato alla nota del 21 maggio 2021).
Considerato che, alla luce del quadro normativo e regolamentare di settore sopra descritto, il Direttore Amministrativo è chiamato ad assumere decisioni rilevanti che hanno sostanziali implicazioni sull’assetto organizzativo dell’Ente e, in particolare, con riguardo alle modalità e alle finalità di trattamento dei dati personali di docenti, lavoratori e studenti, si ritiene che l’allora RPD designata dall’Accademia si trovasse in posizione di conflitto di interessi rispetto al ruolo di Direttrice Amministrativa rivestito dallo stesso (cfr. part. 3.5 delle “Linee guida sui responsabili della protezione dei dati” sopra richiamate). Come, infatti, chiarito dal Garante nelle “Faq sul Responsabile della Protezione dei dati (RPD) in ambito pubblico” del 15 dicembre 2017 (doc. web n. 7322110), “in ambito pubblico, oltre ai ruoli manageriali di vertice, possono sussistere situazioni di conflitto di interesse rispetto a figure apicali dell'amministrazione investite di capacità decisionali in ordine alle finalità e ai mezzi del trattamento di dati personali posto in essere dall'ente pubblico” (FAQ n. 7). Tali indicazioni sono state di recente ribadite dal Garante, affermando che sussiste “un conflitto di interessi in relazione ai ruoli […] come la direzione risorse umane o contabilità, il responsabile IT o il responsabile della prevenzione della corruzione e della trasparenza, trattandosi di settori in cui i trattamenti dei dati personali sono certi e trasversali rispetto all’intera amministrazione, oltre che significativi in termini di quantità e qualità dei dati personali trattati, nonché di rischi sui diritti e sulle libertà fondamentali degli interessati” (par. 10.1 del “Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico)”, allegato al provv. 29 aprile 2021, n. 186, doc. web n. 9589104).
Ciò trova conferma anche nel fatto che, nel corso dell’istruttoria relativa al reclamo, i riscontri forniti dall’Accademia all’Autorità sono stati sottoscritti dalla Direttrice Amministrativa in nome e per conto dell’Accademia, non essendo stata, pertanto, la stessa in condizione di esprimere le proprie libere valutazioni, in qualità di RPD, in modo indipendente dalla posizione dell’Accademia nell’ambito del procedimento.
In considerazione delle criticità sopra evidenziate, si ritiene che la designazione dell’RPD da parte dell’Accademia nella persona della Direttrice Amministrativa sia avvenuta in violazione dell’art. 38, par. 6, del Regolamento, avendo assegnato tale incarico a un soggetto che, in ragione del ruolo rivestito all’interno della struttura dell’Ente, si trovava in posizione di conflitto d’interessi.
Si osserva, peraltro, che, tenuto conto delle numerose e gravose competenze attribuite dalla legge alla figura del Direttore Amministrativo, difficilmente quest’ultimo avrebbe potuto disporre di tempo sufficiente a svolgere in maniera adeguata anche la funzione di RPD (cfr. le “Faq sul Responsabile della Protezione dei dati (RPD) in ambito pubblico”, sopra richiamate, in particolare la n. 7, ove si chiarisce che “a seconda della natura dei trattamenti e delle attività e dimensioni della struttura del titolare o del responsabile, le eventuali ulteriori incombenze attribuite al RPD non dovrebbero pertanto sottrarre allo stesso il tempo necessario per adempiere alle relative responsabilità”; v. anche par. 9 del “Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico)”, sopra citato).
4. Conclusioni.
Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Accademia, per aver diffuso dati personali relativi al reclamante in assenza di un’idonea base giuridica, in violazione degli artt. 5 e 6 del Regolamento, nonché dell’art. 2-ter del Codice, nonché per aver designato un RPD in posizione di conflitto di interessi, in violazione dell’art. 38, par. 6, del Regolamento.
La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo e art. 166, comma 2, del Codice.
5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).
Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).
La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.
In relazione ai predetti elementi è stata considerata la delicatezza dei dati personali, riferiti a un procedimento disciplinare a carico di un dipendente, che sono stati oggetto di diffusione; ciò anche alla luce delle indicazioni che, sin dal 2014, il Garante, ha fornito a tutti i soggetti pubblici nelle «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati» (pubblicate in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436).
Di contro, è stato considerato che, su richiesta dell’interessato, l’Accademia ha provveduto a rimuovere i dati personali dell’interessato dal proprio sito web istituzionale. È stato, inoltre, considerato che l’Ente, a seguito della contestazione delle violazioni da parte del Garante, ha preso atto delle conseguenti dimissioni della Direttrice Amministrativa dall’incarico di RPD, comunicando la propria volontà di attivarsi prontamente al fine di individuare una nuova figura che potesse assumere tale incarico (cfr. nota prot. n. 8523 dell’8 aprile 2021). Non risultano, inoltre, precedenti violazioni commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento.
In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 5.000,00 (cinquemila) per la violazione degli artt. 5, par. 1, lett. a), 6 e 38, par. 6 del Regolamento, nonché dell’art. 2-ter, commi 1 e 3, del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.
Tenuto conto della delicatezza dei dati oggetto di diffusione (riferimenti a un procedimento disciplinare a carico di un dipendente), si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.
TUTTO CIÒ PREMESSO IL GARANTE
rileva l’illiceità del trattamento effettuato dall’Accademia di Belle Arti di Roma per violazione degli artt. 5, par. 1, lett. a), 6 e 38, par. 6, del Regolamento, nonché dell’art. 2-ter, commi 1 e 3, del Codice, nei termini di cui in motivazione;
ORDINA
all’Accademia di Belle Arti di Roma, in persona del legale rappresentante pro-tempore, con sede legale in Via di Ripetta, 222 - 00186 Roma (RM), C.F. 80228830586, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 5, del Regolamento, di pagare la somma di euro 5.000,00 (cinquemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione comminata;
INGIUNGE
alla predetta Accademia di pagare la somma di euro 5.000,00 (cinquemila) in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;
DISPONE
ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione del presente provvedimento sul sito web del Garante, ritenendo che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019;
l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento.
Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 16 settembre 2021
IL PRESIDENTE
Stanzione
IL RELATORE
Ghiglia
IL SEGRETARIO GENERALE
Mattei
