g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Comune di Afragola - 26 maggio 2022 [9789899]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

VEDI ANCHE NEWSLETTER DEL 26 LUGLIO 2022

 

[doc. web n. 9789899]

Ordinanza ingiunzione nei confronti di Comune di Afragola - 26 maggio 2022

Registro dei provvedimenti
n. 198 del 26 maggio

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Introduzione.

Con reclamo del XX, presentato ai sensi dell’art. 77 del Regolamento, il reclamante, ex dipendente, con qualifica di dirigente, del Comune di Afragola (di seguito, il “Comune”), ha lamentato la diffusione di propri dati personali nel contesto della pubblicazione del proprio curriculum vitae sul sito web istituzionale del Comune, nonostante il rapporto di lavoro con l’interessato fosse già cessato in data XX.

Il reclamante ha rappresentato che il proprio curriculum vitae risultava, altresì, reperibile su un sito web comunque riconducibile al Comune (https://...). La pubblicazione su tale pagina web del curriculum vitae del reclamante (in cui erano riportati dati quali l’indirizzo di residenza, il numero di cellulare e gli indirizzi di posta elettronica personali), e la sua indicizzazione sui motori di ricerca sono stati accertati dall’Autorità in data XX.

Con il reclamo l’interessato ha anche fatto presente la propria peculiare condizione personale, in regione della quale la diffusione dei propri dati personali avrebbe potuto comportare dei rischi per sé e per la propria famiglia.

Il reclamante ha, inoltre, lamentato di aver presentato al Comune, in data XX, un’istanza di opposizione alla diffusione dei propri dati personali, senza aver, tuttavia, ricevuto risposta.

2. L’attività istruttoria.

Con nota del XX (prot. n. XX), l’Autorità, ai sensi dell’art. 15 del “Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali” del 4 aprile 2019 (doc. web n. 9107633), ha invitato il Comune ad aderire alle richieste formulate dall’interessato, fornendo riscontro allo stesso entro venti giorni dalla data di ricevimento dell’invito (ovvero entro il XX) e procedendo ad informare l’Autorità circa le determinazioni adottate. Peraltro, in tale occasione, l’Autorità ha reso edotto il Comune della predetta particolare situazione personale in cui versava il reclamante, evidenziando l’opportunità di accogliere in maniera tempestiva l’istanza di opposizione alla diffusione presentata dallo stesso.

Con nota del XX (prot. n. XX del XX), inviata per conoscenza anche all’Autorità, il Segretario Generale del Comune invitava e diffidava la società XX, che gestiva, per conto del Comune, la pagina “Amministrazione Trasparente” sul relativo sito web istituzionale, a cancellare i dati personali del reclamante (indirizzo, residenza e numero di cellulare), chiedendo contestualmente al competente Dirigente “di attivarsi con sollecitudine al fine di assicurare, in tempi brevi, la corretta evasione della richiesta” dell’interessato.

Con nota del XX (prot. n. XX), inviata per conoscenza anche all’Autorità, il Segretario Generale del Comune chiedeva al medesimo Dirigente di “fornire una sintetica relazione in ordine alla pubblicazione del curriculum vitae in questione nella quale si specifichi: le cause del ritardo nella risposta all’interessato […] [e] la fattibilità o meno, ai sensi del D.Lgs. 33/2013, della rimozione del documento da “Amministrazione trasparente””.

Con nota dell’XX (prot. n. XX), inviata per conoscenza anche all’Autorità, il Segretario Generale del Comune “invita[va] e diffida[va] il Dirigente […] ad attivarsi con estrema sollecitudine per la rimozione dei dati [del reclamante]”. 

Con nota del XX (prot. n. XX), inviata anche al Comune, il Dirigente in questione dichiarava che:

“prontamente il Comune [...] ha proceduto ad eliminare dal proprio sito web Amministrazione trasparente qualunque riferimento all’incarico conferito al [reclamante], essendo decorsi sia i cinque anni dalla pubblicazione sia i tre anni successivi alla scadenza dell’incarico, cosi come prescritti ai sensi del D.Lgs. 33/2013”;

“il [Comune] non può procedere in autonomia alla cancellazione di tali dati, atteso che attualmente il Comune […] non è più supportato nella gestione relativa alla pubblicazione dei dati su “Amministrazione Trasparente”, dalla società XX, società all’epoca affidataria del predetto servizio, per cui con nota prot. N. XX del XX, a firma del Segretario Generale, […] si invitava e diffidava, per violazione delle norme sulla privacy, la ditta XX alla cancellazione dei dati personali del [reclamante], […], ancora rinvenibili nei motori di ricerca”;

“con successiva nota prot. n. XX del XX [si] sollecitava e diffidava nuovamente la società XX alla risoluzione della problematica, oscurando il link ...”;

“il Comune […] ha, quindi, tempestivamente ed entro i termini indicati, dal Garante […], riscontrato le richieste di esercizio dei diritti del [reclamante], provvedendo per la parte di propria competenza ad eliminare dalla Sez. Amministrazione Trasparente del proprio sito web sia il curriculum sia ogni altro riferimento all’incarico conferito al [reclamante,] essendo decorsi i termini di pubblicazione prescritti. Pertanto, nessun addebito può essere mosso al Comune […], per mancato o inidoneo riscontro”;

Con nota del XX (prot. n. XX), il Comune ha informato l’interessato, e per conoscenza anche l’Autorità, di aver provveduto a “eliminare dal proprio sito web Amministrazione trasparente non solo i dati sensibili contenuti nel curriculum vitae ma anche qualunque riferimento all’incarico […] conferito [al reclamante] da[ll’] Amministrazione, essendo decorsi sia i cinque anni dalla pubblicazione sia i tre anni successivi alla scadenza dell’incarico, cosi come prescritti ai sensi del D.Lgs. 33/2013”.

Nella medesima nota, il Comune ha, inoltre, comunicato che “il Comune di Afragola attualmente non è più supportato nella gestione relativa alla pubblicazione dei dati su “Amministrazione Trasparente”, dalla società XX , società all’epoca affidataria del predetto servizio”, avendo, pertanto, il Comune invitato e diffidato la stessa a provvedere alla cancellazione dei “dati personali, in loro possesso, ancora rinvenibili nei motori di ricerca”. A tal riguardo, si informava il reclamante che “la società XX ha provveduto altresì, per quanto di sua specifica competenza, alla cancellazione dei […] dati personali oscurando il link ....

Con nota del XX (prot. n. XX), l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato al Titolare, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto le presunte violazioni degli artt. 5, par. 1, lett. a) e c), 6 e 12, parr. 3 e 4, del Regolamento, nonché 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139), invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).

Con nota del XX (prot. n. XX), il Comune ha presentato una memoria difensiva, dichiarando, in particolare, che:

“non sussiste in capo al Comune di Afragola l'elemento soggettivo della colpa, tenuto conto che l'intervento tecnico sulla piattaforma delle pubblicazioni non risultava essere nella disponibilità del Comune e che lo stesso non era più̀ supportato, nella gestione relativa alla pubblicazione dei dati su “Amministrazione Trasparente”, dalla società XX, società̀ all’epoca affidataria del predetto servizio”;

“in particolare, il servizio di pubblicazioni su Amministrazione trasparente, affidato a software House esterna avrebbe dovuto essere attuato assicurando, by default and by design, la rimozione automatica del curriculum alla scadenza del termine previsto dall’art. 15, comma 1, del d.lgs. 14 marzo 2013, n. 33 con riguardo ai titolari di incarichi di collaborazione o di consulenza”;

“per quanto concerne il diligente comportamento del Comune, l'assenza di colpa va ravvisata nella circostanza che, tempestivamente, con nota prot. n. XX del XX, a firma del Segretario Generale, e con successiva nota prot. n. XX del XX del Servizio Risorse Umane si invitava e diffidava, la XX alla cancellazione dei dati personali [del] reclamante, in loro possesso, ancora rinvenibili nei motori di ricerca”;

“con comunicazione del XX, XX comunicava che “(…), i dati pubblicati sul portale installato presso i nostri server web, a partire dal XX non saranno più visibili e dal XX i dati verranno eliminati””;

“a seguito di controllo effettuato nel pomeriggio del XX, risultava che il curriculum non era più visibile”;

il Comune intende adottare una serie di iniziative, anche formative, per assicurare il rispetto della normativa in materia di protezione dei dati allorquando si proceda alla pubblicazione di atti e documenti sul sito web istituzionale per finalità di trasparenza dell’azione amministrativa;

“il reclamo è stato ricevuto in data XX […] e la comunicazione all’interessato e alla Autorità è avvenuta in data XX […], [dovendosi ritenere insussistente la] […] violazione dell’art. 12, par. 3 e par. 4 del Regolamento, avendo [il Comune] provveduto a fornire tale riscontro entro il termine di un mese”.

3. Esito dell’attività istruttoria.

3.1 Il mancato riscontro alla richiesta di esercizio dei diritti dell’interessato.

L’art. 12 del Regolamento prevede che il titolare del trattamento debba fornire all'interessato le informazioni relative all'azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 del Regolamento senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa (par. 3). Se non ottempera alla richiesta dell’interessato, il titolare del trattamento deve informare l'interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell'inottemperanza e della possibilità di proporre reclamo a un'autorità di controllo e di proporre ricorso giurisdizionale (par. 4).

Nel caso di specie, come emerge dalla documentazione in atti, l’interessato ha presentato al Comune la propria istanza di opposizione al trattamento in data XX e il Comune ha fornito riscontro alla stessa soltanto in data XX, dunque ben oltre il termine di un mese previsto dalla normativa in materia di protezione dei dati e soltanto a seguito dell’invito formulato da questa Autorità, senza, peraltro, aver informato il reclamante dei motivi dell'inottemperanza e della possibilità di proporre reclamo a un'autorità di controllo e di proporre ricorso giurisdizionale entro il medesimo termine, in violazione dell’art. 12, parr. 3 e 4, del Regolamento.

3.2 La diffusione dei dati personali.

La disciplina di protezione dei dati personali prevede che i soggetti pubblici, nell’ambito del contesto lavorativo, possono trattare i dati personali degli interessati, anche relativi a categorie particolari, se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti dalla legge o dal diritto dell’Unione o degli Stati membri (artt. 6, par. 1, lett. c), 9, par. 2, lett. b) e 4 e 88 del Regolamento). Il trattamento è, inoltre, lecito quando sia “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, parr. 1, lett. e), 2 e 3, e art. 9, par. 2, lett. g), del Regolamento; art. 2-ter del Codice, nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139).

La normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del […] regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento). Al riguardo, si evidenzia che l’operazione di diffusione di dati personali (come la pubblicazione su Internet), da parte di soggetti pubblici, è ammessa solo quando prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento (cfr. art. 2-ter, commi 1 e 3, del Codice, nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139).

Il titolare del trattamento è tenuto, in ogni caso, a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione dei dati”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c), del Regolamento).

Ciò premesso, si osserva che il Comune ha pubblicato il curriculum vitae del reclamante fino al XX, ben oltre il termine di tre anni dalla data di cessazione del rapporto di lavoro (ovvero il XX), previsto dall’art. 14, comma 2, del d.lgs. 14 marzo 2013, n. 33. Al riguardo, si osserva che la circostanza che il curriculum vitae in questione sia rimasto disponibile online oltre l’arco temporale previsto dalla richiamata disciplina di settore, ha comportato una diffusione di dati personali in assenza di base giuridica.

Peraltro, il predetto curriculum vitae conteneva dati ulteriori rispetto a quelli necessari ad adempiere tale obbligo di legge, quali l’indirizzo di residenza, il numero di cellulare e gli indirizzi di posta elettronica privati. A tal riguardo, si evidenzia che già nelle “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” (provv. 15 maggio 2014, n. 243, doc. web n. 3134436), il Garante ha chiarito che il riferimento del legislatore all’obbligo di pubblicazione del curriculum vitae non può, comunque, comportare la diffusione di dati personali che non siano pertinenti rispetto alle finalità di trasparenza perseguite. Pertanto, “prima di pubblicare sul sito istituzionale i curricula, il titolare del trattamento dovrà […] operare un’attenta selezione dei dati in essi contenuti”, omettendo di pubblicare i “dati eccedenti, quali ad esempio i recapiti personali oppure il codice fiscale degli interessati, ciò anche al fine di ridurre il rischio di c.d. furti di identità” (parte prima, par. 9.a.).

Come è emerso nel corso dell’istruttoria, il Comune ha, invece, pubblicato il curriculum vitae del reclamante senza oscurare preventivamente i dati afferenti alla sfera personale dello stesso (quali l’indirizzo di residenza, il numero di cellulare e gli indirizzi di posta elettronica personali), che non possono ritenersi “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. c), del Regolamento; cfr., con riguardo alla pubblicazione online di curriculum vitae contenenti dati personali non necessari rispetto alle finalità perseguite, provv. 16 dicembre 2021, n. 448, doc. web n. 9742923 e provv. del 29 aprile 2021, n. 171, doc. web n. 9682169, nonché i precedenti provv. in essi richiamati).

Quanto alla tesi difensiva avanzata del Comune, secondo la quale la pubblicazione del curriculum vitae del reclamante sarebbe dipesa dalla condotta negligente del fornitore cui era stata affidata la gestione della pagina “Amministrazione Trasparente” del proprio sito web istituzionale, si osserva che il titolare del trattamento è il soggetto sul quale ricadono le decisioni circa le finalità e le modalità del trattamento dei dati personali degli interessati e che ha una “responsabilità generale” sui trattamenti posti in essere (cons. 79 del Regolamento; v. art. 5, par. 2, c.d. principio di “responsabilizzazione”, e 24 del Regolamento), anche quando talune operazioni di trattamento siano poste in essere da un responsabile per suo conto, sulla base delle istruzioni impartite dal titolare (cfr., da ultimo, provv. 10 febbraio 2022, n. 43, doc. web n. 9751498 e i precedenti provv. ivi richiamati; v. anche le “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”, adottate dal Comitato europeo per la protezione dei dati il 7 luglio 2021, spec. par. 174).

A tal riguardo, si evidenzia che, in base all’art. 28, par. 3, lett. g), del Regolamento, l’accordo sulla protezione dei dati, che il titolare e il responsabile sono tenuti a stipulare prima di iniziare il trattamento, deve specificamente prevedere che “il responsabile del trattamento […] su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell'Unione o degli Stati membri preveda la conservazione dei dati”. Spetta, pertanto, al titolare, assumere, tra le altre, anche le decisioni in merito alla cancellazione o alla restituzione dei dati personali oggetto di trattamento, impartendo le necessarie indicazioni al responsabile e vigilando affinché le stesse siano correttamente eseguite. Ciò anche al fine di evitare che il titolare non perda il pieno controllo sui dati che, come in questo caso, deve trattare per assolvere specifici obblighi di legge (con riguardo ai possibili rischi derivanti dall’assenza o dell’inidonea regolamentazione del rapporto con il responsabile del trattamento, v. provv. 17 settembre 2020, n. 160, doc. web n. 9461168).

Nel caso di specie, il Comune non ha comprovato di aver impartito al proprio fornitore - né nel corso del rapporto contrattuale né alla sua cessazione – adeguate indicazioni ai fini della corretta gestione del ciclo di vita dei dati personali trattati per proprio conto.

La diffusione dei dati personali del reclamante, che, in ragione di quanto sopra esposto, deve ritenersi, in ogni caso, imputabile al Comune, in quanto titolare del trattamento, è, pertanto, avvenuta in maniera non conforme ai principi di “liceità, correttezza e trasparenza” e “minimizzazione dei dati”, e in assenza di un’idonea base giuridica, in violazione degli artt. 5, par. 1, lett. a) e c), e 6 del Regolamento, nonché 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139).

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Titolare, per aver diffuso dati personali del reclamante, anche afferenti alla propria sfera privata, in maniera non conforme ai principi di “liceità, correttezza e trasparenza” e “minimizzazione dei dati”, e in assenza di base giuridica, nonché per non aver tempestivamente dato riscontro alla richiesta del reclamante di esercizio del diritto opposizione al trattamento, senza, peraltro, aver informato lo stesso dei motivi dell'inottemperanza e della possibilità di proporre reclamo a un'autorità di controllo e di proporre ricorso giurisdizionale, in violazione degli artt. 5, par. 1, lett. a) e c), 6 e 12, parr. 3 e 4, del Regolamento, nonché 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139).

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 2, del Codice.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti - atteso che la diffusione dei dati è cessata in data XX e il titolare ha provveduto a fornire riscontro all’interessato in merito alla propria richiesta di esercizi dei diritti - non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

In relazione ai predetti elementi è stato considerato che la rilevata condotta ha avuto ad oggetto la diffusione di dati personali anche relativi alla sfera personale del reclamante (quali l’indirizzo di residenza, il numero di cellulare e gli indirizzi di posta elettronica privati), nonostante le numerose indicazioni rese dal Garante a tutti i soggetti pubblici sin dal 2014 con le “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati”, sopra citate. La diffusione di tali informazioni ha, peraltro, esposto l’interessato, in ragione della propria peculiare situazione personale, a potenziali rischi per la sicurezza propria e della propria famiglia. Si è tenuto, altresì, conto del considerevole lasso di tempo in cui i dati personali dell’interessato sono stati oggetto di diffusione - ovvero dallo scadere dei tre anni successivi alla data di cessazione del rapporto di lavoro (XX) fino al XX -, nonché del cospicuo ritardo con il cui il Comune ha provveduto, in data XX, a fornire riscontro alla richiesta dell’interessato di esercizio dei propri diritti, peraltro soltanto a seguito dell’invito ad aderire formulato dall’Autorità e oltre il termine impartito dall’Autorità ai fini del riscontro all’interessato (XX); ciò ha, inoltre, messo in luce talune criticità sia all’interno della propria organizzazione in merito al riparto dei compiti e della responsabilità ai fini dell’adempimento degli obblighi previsti dalla normativa in materia di protezione dei dati personali, sia nei rapporti con il fornitore.

Di contro, si è tenuto favorevolmente in considerazione che la violazione non ha riguardato categorie particolari di dati personali e che ha coinvolto un solo interessato. Il titolare ha poi fornito assicurazioni in merito alle modalità con cui in futuro provvederà a pubblicare atti e documenti contenenti dati personali sul proprio sito web istituzionale. Non risultano, inoltre, precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 10.000 (diecimila) per la violazione degli artt. 5, par. 1, lett. a) e c), 6 e 12, parr. 3 e 4, del Regolamento, nonché 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139), quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.
Tenuto conto del notevole lasso di tempo in cui i dati personali del reclamante sono stati diffusi, si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dal Titolare per violazione degli artt. 5, par. 1, lett. a) e c), 6 e 12, parr. 3 e 4, del Regolamento, nonché 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139), nei termini di cui in motivazione;

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, al Comune di Afragola, in persona del legale rappresentante pro-tempore, con sede legale in Piazza Municipio, 1 - 80021 Afragola (NA), C.F. 80047540630, di pagare la somma di euro 10.000 (diecimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al predetto Comune, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 10.000 (diecimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice (v. art. 16 del Regolamento del Garante n. 1/2019);

l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento (v. art. 17 del Regolamento del Garante n. 1/2019).

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 26 maggio 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL VICE SEGRETARIO GENERALE
Filippi