g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Conservatorio di Musica S. Cecilia di Roma - 10 novembre 2022 [9835095]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9835095]

Ordinanza ingiunzione nei confronti di Conservatorio di Musica S. Cecilia di Roma - 10 novembre 2022

Registro dei provvedimenti
n. 367 del 10 novembre

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Il reclamo.

Con reclamo pervenuto all’Autorità uno studente del Conservatorio statale di Musica “Santa Cecilia” (di seguito “il Conservatorio”) ha rappresentato di aver ricevuto una contestazione disciplinare basata sul contenuto delle dichiarazioni rese dallo stesso nel corso di un’assemblea degli studenti, svoltasi mediante piattaforma Zoom e convocata dall’organizzazione denominata “XX”, in data XX. In base a quanto lamentato il Conservatorio avrebbe acquisito la registrazione e la trascrizione audio del video dell’assemblea nonostante gli organizzatori della stessa non avessero previsto alcuna registrazione.

2. L’attività istruttoria.

Con nota del XX (prot. n XX) rispondendo alla richiesta di informazioni formulata dall’Ufficio, il Conservatorio ha rappresentato, in particolare, che:

- “l’assemblea del XX (…), non è stata organizzata e/o convocata da questo Conservatorio, bensì dall’associazione XX (“XX”) che è coordinata da un ex studente (di questo Conservatorio) e sembrerebbe annoverare fra i propri associati studenti di varie istituzioni; all’assemblea risultano inoltre aver partecipato anche soggetti non studenti. Tale circostanza, (…) è elemento pregiudiziale, in quanto al Conservatorio non sembra dover essere contestato un uso improprio di dati personali, se tali dati sono riferiti, come nel caso in questione, a circostanze ed eventi non organizzati dal (e quindi esterni al) Conservatorio medesimo”;

- “In data XX, nei locali del Conservatorio “Santa Cecilia”, è stata rinvenuta una chiavetta usb contenente il file della videoregistrazione dell’assemblea del XX (…). Non vi sono evidenze di chi abbia videoregistrato l’assemblea, né di chi abbia lasciato in Conservatorio la citata chiavetta usb che, appena rinvenuta, è stata depositata dal Direttore al protocollo riservato del Conservatorio (n. XX)”;

- “Successivamente, il Conservatorio ne ha commissionato la trascrizione nella forma di perizia giurata al (…), perito fonico e trascrittore iscritto all’Albo dei Periti presso il Tribunale Ordinario di Roma”;

- “Nell’ambito dell’assemblea (il reclamante) è intervenuto più volte con propalazioni che sono apparse integrare (sotto il profilo sia della forma sia dei contenuti) gli estremi per la configurazione della responsabilità disciplinare a suo carico, secondo quanto previsto dal Regolamento disciplinare per gli Studenti del Conservatorio “Santa Cecilia” di Roma, approvato in data XX (…). Le propalazioni del (reclamante), presuntivamente rilevanti anche sotto un profilo penale, sono apparse in contrasto con gli obblighi di condotta gravanti sugli studenti, nonché lesivi della reputazione del Conservatorio, del Personale che in esso presta servizio e degli Organi di gestione, fra cui il Direttore del Conservatorio”;

- “In data XX, si è quindi provveduto a contestare allo studente l’addebito disciplinare ai sensi dell’art. 3 c. 2 e dell’art. 4 lett. a) del Regolamento disciplinare. Infine, esperita la procedura, è stata irrogata la prevista sanzione disciplinare sulla base delle seguenti motivazioni: “Le sue affermazioni risultano altamente lesive della dignità e dell’immagine del Conservatorio “Santa Cecilia (…)”;

- “la sanzione non discende, neppure in minima parte, dalle propalazioni rivolte contro il Direttore. (…) sotto il profilo giuridico, il Conservatorio (e per esso il Direttore) è obbligato a esperire l’azione disciplinare, laddove se ne ravvisino i presupposti”.

Con nota del XX (prot. n. XX) in risposta alla richiesta di fornire ulteriori elementi formulata dall’Ufficio, il Conservatorio ha rappresentato, in particolare, che:

- “Il Conservatorio è soggetto alla disciplina della legge n. 508 del 1999, che ai sensi dell’art. 2, comma 71, demanda ad uno o più regolamenti la disciplina dell’organizzazione amministrativa e didattica delle istituzioni assoggettate a tale normativa. In questo senso, il D.P.R. n. 132 del 2003 dispone, ai sensi dell’art. 6 comma 4 che “Il direttore è titolare dell’azione disciplinare nei confronti del personale docente e degli studenti”. Al Conservatorio parimenti si applica il R.D.L. n. 1071/1935 e, in particolare, quanto previsto dall’art. 16, comma 1, secondo cui “La giurisdizione disciplinare sugli studenti (…) si esercita anche per fatti compiuti dagli studenti fuori della cerchia dei locali e stabilimenti universitari, quando essi siano riconosciuti lesivi della dignità e dell’onore, senza pregiudizio delle eventuali sanzioni di legge (…). L’Istituto, tenuto conto della propria autonomia statutaria, ha adottato un Regolamento disciplinare (…)”;

- “Si ritiene che il potere disciplinare (…) sia, in generale, connesso all’esercizio di pubblici poteri il cui fondamento è da rintracciarsi nelle norme citate. Nondimeno, l’esercizio di tale potere comporta, inevitabilmente, un trattamento dei dati personali dei soggetti destinatari del provvedimento finale. Il Conservatorio, infatti, ritiene che tale trattamento trovi la propria base giuridica legittimante nel combinato disposto dell’art. 6, lett. e) del Regolamento UE 2016/679 (di seguito “Regolamento” o “GDPR”) e dell’art. 2-ter del D. Lgs. 196/2003 (di seguito “Codice Privacy”)”;

- “il Conservatorio rinveniva nei locali del Conservatorio, in data XX, una chiavetta USB contenente la registrazione di un’assemblea del XX, indetta, peraltro, non già seguendo la normale procedura autorizzativa che caratterizza le adunanze studentesche, prevista dal vigente Regolamento della Consulta, bensì attraverso la diffusione (tramite social, instagram e facebook) del collegamento a una piattaforma telematica – “Zoom” – che ha consentito l’accesso a detta riunione a chiunque abbia voluto utilizzare il predetto link, ben in evidenza sui social (…) tale riunione deve considerarsi de facto pubblica, con la conseguente “messa a disposizione” del “pubblico” anche dei dati personali dei partecipanti e delle loro dichiarazioni. Ciò determina che chiunque abbia partecipato a detta riunione era ben consapevole che i suoi dati personali sarebbero stati resi “manifestamente pubblici” e “diffusi”, e a maggior ragione questo può dirsi per gli aderenti alla XX, organizzatori dell’assemblea on line, tra i quali (il reclamante)”;

- “Non potendo omettere di considerare il comportamento tenuto dal reclamante, anche e soprattutto in considerazione del fatto che – come precedentemente rammentato – i poteri disciplinari possono essere esercitati anche in conseguenza alle condotte tenute dagli studenti fuori dai locali del Conservatorio, l’Istituto si determinava nell’azione disciplinare, fondata non solo sui fatti emersi durante l’assemblea”;

- “con riguardo al trattamento in questione ‘connesso all’utilizzazione delle dichiarazioni rese nell’assemblea pubblica e della relativa trascrizione’ è stato precisato che: “a) le predette operazioni si identificano in un atto meramente endo-procedimentale, secretato all’interno del protocollo riservato del Conservatorio, custodito in idoneo luogo e non accessibile ad alcuno al di fuori del Direttore; b) il trattamento dei dati personali connessi alla trascrizione è avvenuto da parte di un professionista iscritto ad idoneo albo, il quale, oltre ad esser tenuto al segreto professionale, si è limitato a trascrivere quanto ivi dedotto; c) le stesse registrazioni e relative trascrizioni non sono state oggetto, pertanto, di ulteriore diffusione e comunicazione a terzi soggetti, essendo state utilizzate unicamente nella fase istruttoria del procedimento disciplinare; d) né sono state trasposte nel provvedimento finale irrogato nei confronti del (reclamante)”;

- “con riguardo alla nomina dell’RPD “il Conservatorio designava, a far data dal XX, quale RDP il Direttore (…). Tale decisione è stata, (…) orientata tanto dall’urgenza e dalla volontà di adeguarsi, nei tempi, alla normativa vigente, quanto dalla constatazione che anche altre istituzioni pubbliche (…) avevano provveduto a designare, quale RDP, direttori o altri soggetti di vertice”;

- “il Conservatorio ha provveduto con delibera del XX (allegata al presente riscontro, doc. 3) a revocare l’incarico di RDP al Direttore (…) per assegnarlo alla Società (…)”.

Sulla base degli elementi acquisiti l’Ufficio ha notificato al Conservatorio, in qualità di titolare del trattamento, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avendo il Conservatorio trattato i dati personali contenuti nel file della registrazione audio/video memorizzato nel dispositivo USB in maniera non conforme ai principi di “liceità, correttezza e trasparenza”, e “limitazione della finalità” in violazione dell’art. 5, paragrafo 1, lett. a) e b) del Regolamento e in assenza di un idoneo presupposto normativo, in violazione degli artt. 6 del Regolamento e 2-ter del Codice; per non aver regolamentato, sotto il profilo della protezione dei dati, il rapporto con il perito incaricato della trascrizione della registrazione dell’assemblea ai sensi dell’art. 28 del Regolamento mettendo a disposizione di tale soggetto i predetti dati in violazione degli artt. 5 e 6 del Regolamento e 2-ter del Codice;  nonché per aver designato il Direttore dell’Istituto in qualità di Responsabile della protezione dei dati personali (di seguito “RPD”), in violazione dell’art. 38, par. 6, del Regolamento. Pertanto il Garante ha invitato il predetto titolare a produrre scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

Il Conservatorio ha fatto pervenire le proprie memorie difensive rappresentando, in particolare, che:

- “a far data dal mese di XX, il confronto interno tra gli organi istituzionali del Conservatorio e le rappresentanze studentesche si è via via inasprito, anche a ragione della costituzione di un’organizzazione - inizialmente anonima - denominata XX (…) e della dura opposizione e delle critiche mosse dalla medesima di cui è pure uno dei rappresentanti il (reclmante)”:

- “i fatti sopra accennati, così come narrati in Conservatorio, si collocano inoltre all'interno di una documentata serie continua di esacerbazioni che va avanti sin dall'inizio dell'emergenza sanitaria”;

- “non si può non rilevare la contraddizione tra quanto riportato dal (reclamante) riguardo al fatto che non fosse prevista alcuna registrazione dell'assemblea (…) e il fatto che, in una delle comunicazioni ufficiali del XX, di cui il (reclamante) è uno dei membri più attivi, si possa leggere che "ogni (…) riunione viene registrata e di ogni incontro vengono redatti i relativi verbali (…). Appare dunque poco credibile che egli non avesse contezza della registrazione in questione”;

- con riferimento “al trattamento di dati personali contenuti nel file audio/video contenente la registrazione del XX del XX (…) bisogna rilevare come l'utilizzo dei dati contenuti nella registrazione in questione sia stato utilizzato nel contesto dell'azione disciplinare mossa dal Conservatorio nei confronti dello studente, (…) e non per finalità distinte o ulteriori. (…) ai sensi del Regolamento disciplinare per gli studenti del Conservatorio Santa Cecilia di Roma, approvato con delibera del Consiglio Accademico n. XX del XX (il "Regolamento Disciplinare"), l'azione disciplinare sugli studenti si esercita anche per fatti compiuti dagli studenti fuori della cerchia dei locali dell'Istituto quando essi siano riconosciuti lesivi della dignità e dell'onore dell'Istituzione (…). Il titolare dell'azione disciplinare è il Direttore che, "ricevuta la notizia del presunto illecito, dispone l'apertura del procedimento disciplinare. Il Direttore può acquisire documenti, sentire testimoni, compiere qualsiasi altra attività che ritenga utile";

- “Proprio a questo contesto di istruttoria, dunque, deve essere ricondotta l'acquisizione della trascrizione del file contenuto nella chiavetta USB, attraverso il ricorso ad un apposito perito informatico istruito ed autorizzato ai sensi dell'art. 29 del GDPR. In esso, infatti, è altresì individuabile la specifica base giuridica”;

- il potere disciplinare di cui all’art. 16, comma 1 del R.D.L. n. 1071/1935 “è da considerarsi a tutti gli effetti connesso all'esercizio di pubblici poteri di cui è investito il Conservatorio. Sicché il trattamento è stato considerato lecito dal titolare perché fondato sulla base giuridica di cui all'art. 6, paragrafo 1, lett. e) e paragrafi 2 e 3 del GDPR, nonché dell'art. 2-ter del Codice, nella formulazione antecedente alle modifiche introdotte con il d.1. 8 ottobre 2021, n. 139”;

- “l’art. 7 del Regolamento Disciplinare preveda che il Direttore possa "acquisire documenti, [...] compiere qualsiasi altra attività che ritenga utile". Tuttavia, non può trascurarsi la circostanza per la quale un efficace esercizio di tale attività possa poggiarsi sull'utilizzo di documenti e dati raccolti per finalità differenti rispetto a quelle che hanno giustificato la raccolta iniziale, ancor più nel caso in cui il titolare originario che questa attività ha realizzato sia un soggetto terzo. In ogni caso, preme ribadire che l'esercizio di tale attività istruttoria ha avuto luogo nella cornice di informazioni liberamente accessibili e conoscibili dagli studenti quali l'informativa sul trattamento dei dati personali e lo stesso Regolamento Disciplinare”;

- con riferimento alla nomina del RPD, “l'intenzione di muoversi in modo celere nel senso di adempiere allo specifico obbligo di legge aveva condotto il Conservatorio a effettuare una valutazione incompleta riguardo alle caratteristiche di cui deve godere il PD. Tale valutazione, invero, aveva avuto riguardo principalmente alle prassi diffusa tra altre istituzioni pubbliche facenti parte del sistema AFAM (…). A seguito della seconda richiesta di informazioni, e dunque in una fase precedente all'invio della notifica della violazione, agendo in modo proattivo e nell'interesse di portare il Conservatorio a un buon livello di compliance, si è proceduto con delibera del XX a revocare l'incarico di DP all'allora Direttore per assegnarlo alla società (…)”;

- “a seguito della nomina del nuovo RDP, nella consapevolezza della necessità di allineare i processi di trattamento dei dati personali effettuati dal Conservatorio in qualità di titolare, è stato intrapreso un percorso di compliance alla normativa applicabile”.

Nel corso dell’audizione tenutasi in data XX il Conservatorio ha dichiarato che:

“il Conservatorio, preso atto dei rilievi dell’Autorità in merito alla posizione di conflitto d’interessi del precedente (…) RPD, ha prontamente provveduto a designare un nuovo RPD, collaborando proficuamente con lo stesso al fine di rivedere complessivamente le procedure del Conservatorio in materia di protezione dei dati personali e la propria organizzazione interna, anche sulla base di quanto emerso nel corso dell’istruttoria avviata dal Garante in merito alle modalità di gestione dei procedimenti disciplinari;

“il Conservatorio ha sempre agito, anche nel caso oggetto di reclamo, con l’obiettivo primario di servire gli interessi dei propri studenti”;

“nel caso di specie, l’associazione “XX” aveva reso pubblicamente nota la circostanza che tutte le proprie riunioni sarebbero state registrate e, pertanto, il reclamante non poteva avere una legittima aspettativa di riservatezza”;

“da una lettura congiunta dell’art. 6, par. 1, lett. e), del Regolamento (UE) 2016/679, dei regolamenti interni del Conservatorio in materia di procedimenti disciplinari, nonché del r.d. 1071/1935, che attribuisce alle istituzioni del Conservatorio il potere disciplinare, è possibile rinvenire una base giuridica idonea a giustificare i trattamenti di dati personali in questione, inclusi quelli contenuti nella chiavetta USB rinvenuta dal Conservatorio”;

“l’attività di ricerca della prova deve considerarsi sempre compatibile con la finalità originaria per la quale i dati sono trattati; diversamente, infatti, sarebbe compromessa la possibilità di esercitare o difendere un diritto in sede giudiziaria”;

“occorre, in ogni caso, considerare che il Conservatorio ha una struttura organizzativa di modeste dimensioni e caratterizzata da elementi di complessità a livello gestionale, dovuti anche all’esiguità delle risorse amministrative di cui dispongono gli istituti di alta formazione artistica”;

“l’attuale Consiglio, a seguito del commissariamento del Conservatorio, ha avviato ogni più opportuna iniziativa per riorganizzare le procedure interne e la governance del Conservatorio (anche dando avvio a un processo di digitalizzazione, incrementando la sicurezza dei dati e rinnovando il sito internet istituzionale), sensibilizzando i dipendenti con riguardo all’importante tema della protezione dei dati personali. Più in generale, la struttura commissariale ha voluto rivedere la complessiva struttura organizzativa dell’Ente, che risultava caratterizzata da un’impostazione paternalistica e da una stratificazione di prassi e procedure risalenti nel tempo e non più efficaci, essendo state concepite in un’epoca in cui l’Ente agiva su base autoritativa”.

3. Esito dell’attività istruttoria.

3.1 La normativa applicabile.

Ai sensi del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, il “Regolamento”), il trattamento di dati personali effettuato in ambito pubblico è lecito quando è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, paragrafo 1, lett. c) ed e) e paragrafo 2 e 3 del Regolamento; art 2-ter del d.lgs. n. 196 del 30 giugno 2003 - Codice in materia di protezione dei dati personali, nel testo anteriore alle modifiche introdotte con il d.l. 8 ottobre 2021, n. 139, di seguito, il “Codice”).

Più in generale, la normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto (…)” (art. 6, paragrafo 2 del Regolamento).

La disciplina nazionale ha introdotto disposizioni più specifiche per adeguare l’applicazione delle norme del Regolamento, determinando, con maggiore precisione, requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto (art. 6, par. 2 del Regolamento) e, in tale ambito, ha previsto che le operazioni di trattamento di dati personali sono ammesse solo quando previste da una norma di legge o, nei casi previsti dalla legge, di regolamento (art. 2-ter, commi 1 e 3, del Codice nel testo anteriore alle modifiche introdotte con il d.l. 8 ottobre 2021, n. 139).

Il titolare del trattamento è poi, in ogni caso, tenuto a rispettare i principi in materia di protezione dei dati nonché a trattare i dati mediante il personale autorizzato e debitamente istruito in merito all’accesso ai dati (artt. 5 e 4, par. 10, artt. 29, 32, par. 4, del Regolamento e art. 2-quaterdecies del Codice).

Ai fini del rispetto della normativa in materia di protezione dei dati personali assume, inoltre, rilievo identificare con precisione i soggetti che, a diverso titolo, possono trattare i dati personali e definire chiaramente le rispettive attribuzioni, in particolare quella di titolare e di responsabile del trattamento (art. 4, par. 1, punto 7 del Regolamento e art. 28 del Regolamento).

Il rapporto tra titolare e responsabile è regolato da un contratto o da altro atto giuridico, stipulato per iscritto che, oltre a vincolare reciprocamente le due figure, consente al titolare di impartire istruzioni al responsabile e prevede, in dettaglio, quale sia la materia disciplinata, la durata, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare.

Il Responsabile del trattamento è, pertanto, legittimato a trattare i dati degli interessati “soltanto su istruzione documentata del titolare” (art. 28, par. 3, lett. a) del Regolamento).

Con riguardo alla figura del RPD, il Regolamento prevede che questo debba essere obbligatoriamente designato dal titolare del trattamento “quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico” (art. 37, par. 1, del Regolamento). Il RPD deve essere dotato delle “risorse necessarie per assolvere [ai propri] compiti (…)” e “può svolgere altri compiti e funzioni. Il titolare del trattamento o il responsabile del trattamento si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi” (art. 38, parr. 2 e 6, del Regolamento; cfr. cons. 97 del Regolamento, ove si afferma che i RPD “dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente”).

Con specifico riferimento al divieto di conflitti di interessi, le “Linee guida sui responsabili della protezione dei dati” (adottate dal Gruppo di lavoro articolo 29 il 13 dicembre 2016, nella versione emendata il 5 aprile 2017) precisano che “l’assenza di conflitti di interessi è strettamente connessa agli obblighi di indipendenza. Anche se un RPD può svolgere altre funzioni, l’affidamento di tali ulteriori compiti e funzioni è possibile solo a condizione che essi non diano adito a conflitti di interessi. Ciò significa, in modo particolare, che un RPD non può rivestire, all’interno dell’organizzazione del titolare del trattamento o del responsabile del trattamento, un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali. Si tratta di un elemento da tenere in considerazione caso per caso guardando alla specifica struttura organizzativa del singolo titolare del trattamento o responsabile del trattamento” (par. 3.5, p. 21).

3.2 Illiceità del trattamento dei dati personali contenuti nel dispositivo USB

A seguito dell’attività istruttoria è emerso che, nel caso di specie, stando a quanto dichiarato, l’assemblea degli studenti del XX, svoltasi mediante collegamento a una piattaforma telematica, “non (era stata) organizzata e/o convocata dal (…) Conservatorio” ma indetta da un’associazione studentesca. In data XX è stata rinvenuta “nei locali del Conservatorio una chiavetta USB contenente la registrazione di un’assemblea” senza che vi fossero elementi idonei ad individuare il proprietario del dispositivo. Ciononostante l’allora Direttore del Conservatorio, presa visione del contenuto del dispositivo, ha provveduto a depositare la predetta chiavetta USB al protocollo riservato del Conservatorio e ha incaricato un perito di trascrivere i contenuti del file memorizzato sul supporto, così acquisito.

Successivamente il Conservatorio ha avviato un procedimento e irrogato una specifica sanzione disciplinare nei confronti del reclamante in ragione delle dichiarazioni che in base alla citata trascrizione, sarebbero a questo imputabili in occasione della predetta assemblea.
Risulta inoltre che nelle more del procedimento disciplinare, a seguito di specifica istanza di accesso ai documenti amministrativi presentata dal reclamante, per il tramite del proprio legale, ai sensi degli artt. 22 e ss. della legge 7 agosto 1990, n. 241, il Conservatorio ha accolto l’istanza fornendo l’“estratto della trascrizione dell’Audio dell’assemblea degli studenti”.

Tanto premesso, occorre preliminarmente ribadire che qualunque trattamento di dati personali deve avvenire nel rispetto del Regolamento e del Codice dovendo, in particolare, i dati personali essere trattati “in modo lecito, corretto e trasparente nei confronti dell’interessato” e “raccolti per finalità determinate, esplicite e legittime” (principio di limitazione della finalità). In tale quadro, peraltro, la possibilità di successivi trattamenti è ammissibile solo se “non sia incompatibile con [le] finalità” iniziali del trattamento (art. 5, par. 1, lett. a) e b), del Regolamento).

Ciò comporta che il titolare può utilizzare per ulteriori trattamenti i soli dati personali lecitamente raccolti in presenza di un’idonea base giuridica, avendo previamente “soddisfatto tutti i requisiti per la liceità del trattamento originario” (cfr. cons. n. 50 del Regolamento), e dunque nei limiti in cui l’originaria raccolta sia stata lecitamente effettuata, avuto riguardo alla finalità principale e nel rispetto dei principi generali di protezione dei dati.

Nel caso di specie il Conservatorio ha acquisito, non già attraverso canali istituzionali bensì a seguito del “casuale” ritrovamento del menzionato dispositivo, i dati personali degli studenti in esso contenuti/memorizzati (in particolare immagini e dichiarazioni dei partecipanti all’assemblea studentesca).

L’istruttoria ha inoltre confermato che i dati personali in tal modo acquisiti sono stati successivamente trattati anche da parte di un professionista ai fini della trascrizione del contenuto nonché conservati e ulteriormente utilizzati dal Conservatorio ai fini del procedimento disciplinare. Sebbene tale ulteriore utilizzo sia stato effettuato, come ribadito nelle memorie difensive, nell’ambito dell’esercizio dei poteri disciplinari che il quadro di settore attribuisce al Conservatorio nei confronti degli studenti, si ritiene che il casuale ritrovamento di un oggetto, nel caso di specie un dispositivo mobile di archiviazione di dati, non possa costituire ragione sufficiente per legittimare il trattamento dei dati personali in esso memorizzati.

Né, ai fini della valutazione complessiva della liceità della raccolta dei dati contenuti nel dispositivo USB, può essere ritenuto rilevante quanto dichiarato dal Conservatorio in ordine al fatto che, essendo il link per il collegamento all’assemblea visibile su taluni social network, tale riunione potesse ritenersi accessibile a chiunque. Ciò, anche in ragione del fatto che, al momento del ritrovamento del dispositivo, non era noto il contenuto dello stesso.

Al riguardo, infatti, ancorché in un differente contesto, il Garante ha dichiarato non conforme al principio di "limitazione della finalità" l’utilizzo da parte di una amministrazione comunale, di un indirizzo di posta elettronica certificata reperito online, per notificare a un dipendente un provvedimento disciplinare, chiarendo, in particolare, che tale violazione ricorre “anche quando, come nel caso di specie, l’indirizzo di posta elettronica certificata del dipendente sia reperibile su un albo professionale online, atteso che i dati personali pubblicati in pubblici registri, elenchi, atti o documenti conoscibili da chiunque possono essere trattati con i limiti e le modalità che le leggi di settore applicabili stabiliscono per la conoscibilità e pubblicità dei dati” (cfr. provv. del 12 marzo 2020, n. 56, doc. web n. 9429218).

Alla luce delle considerazioni che precedono, e considerato che nel corso dell’istruttoria, non sono state fornite indicazioni in ordine alla specifica base giuridica che avrebbe legittimato l’originaria raccolta dei dati personali in questione, si deve concludere che, nel caso di specie, il Conservatorio avrebbe dovuto astenersi dal trattare i dati personali contenuti nel dispositivo USB, oggetto di casuale ritrovamento e in assenza di elementi volti a identificarne il legittimo proprietario, limitandosi a consegnarlo alle autorità competenti. Come risulta in atti, invece, il Conservatorio ha acquisito e trattato, anche tramite terzi (il perito che ha effettuato la trascrizione), i dati personali contenuti nel dispositivo in assenza di idoneo presupposto di liceità, in violazione degli artt. 5 e 6 del Regolamento e art. 2-ter del Codice.

Con riguardo alla circostanza dell’utilizzo ulteriore dei medesimi dati in tal modo acquisiti, anche nell’ambito di procedimenti amministrativi e disciplinari, si rileva quanto segue.

L’ampiezza dei poteri disciplinari attribuita dalle disposizioni di settore al Direttore del Conservatorio presuppone comunque la ricezione di una notizia/segnalazione che costituisce presupposto per il legittimo avvio di un conseguente procedimento (“ricevuta la notizia del presunto illecito, dispone l'apertura del procedimento disciplinare. Il Direttore può acquisire documenti, sentire testimoni, compiere qualsiasi altra attività che ritenga utile”, cfr. Regolamento disciplinare per gli studenti del Conservatorio Santa Cecilia di Roma, approvato con delibera del Consiglio Accademico n. XX del XX). Tale circostanza non è stata comprovata nel caso di specie, né può essere rinvenuta nella presa visione del contenuto di un dispositivo USB oggetto di ritrovamento e che, in assenza di ulteriori elementi, avrebbe potuto contenere dati personali riferiti a chiunque e di qualsivoglia natura.

Stante l’inutilizzabilità dei “dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati” (art. 2-decies del Codice), si ritiene che i successivi trattamenti - ancorché effettuati nell’ambito dell’esercizio di compiti e poteri attribuiti al Conservatorio - siano avvenuti in modo non conforme alla disciplina in materia di protezione dei dati personali in violazione degli artt. 5 e 6 del Regolamento, e art. 2-ter del Codice. Né, l’aver utilizzato i medesimi dati nell’ambito dell’esercizio delle predette funzioni può essere considerato sufficiente a colmare il difetto di base giuridica dell’originaria raccolta.

Si prende atto del particolare contesto in cui si sono verificati i fatti oggetto della presente istruttoria caratterizzato da una “serie continua di esacerbazioni” nei rapporti tra il Conservatorio e l’associazione studentesca di cui il reclamante era un promotore e che, come dichiarato dal Commissario straordinario nel corso della audizione del XX, le iniziative poste in essere dal Conservatorio all’epoca dei fatti in questione sono il frutto della precedente gestione dell’ente,  “caratterizzata da un’impostazione paternalistica e da una stratificazione di prassi e procedure risalenti nel tempo e non più efficaci, essendo state concepite in un’epoca in cui l’Ente agiva su base autoritativa”. Tali circostanze, tuttavia, non possono ritenersi sufficienti per escludere la responsabilità del titolare nel caso di specie.

3.3 Il ruolo del perito incaricato di effettuare la trascrizione

Come risulta dalle dichiarazioni in atti “il Conservatorio (…) ha commissionato la trascrizione” del “file della videoregistrazione dell’assemblea del XX” ad un “perito fonico e trascrittore iscritto all’Albo dei Periti presso il Tribunale Ordinario di Roma”, che quindi, come confermato dal Conservatorio “il trattamento dei dati personali connessi alla trascrizione è avvenuto da parte di un professionista iscritto ad idoneo albo”.

Al riguardo si osserva che, in base alla disciplina di protezione dei dati, nelle ipotesi in cui un trattamento di dati personali sia effettuato per conto del titolare del trattamento da un diverso soggetto (nel caso di specie il perito), è necessario che il relativo rapporto venga regolato da un contratto o da altro atto giuridico ai sensi dell’art. 28 del Regolamento (v. anche considerando 81 e art. 4, punto 8 del Regolamento) anche al fine di evitare trattamenti (comunicazione a terzi) in assenza di idoneo presupposto di liceità (stante la nozione di “terzo” di cui all’art. 4, punto 10, del Regolamento; cfr. art. 2-ter, commi 1 e 4, lett. a), del Codice, con riguardo alla definizione di “comunicazione”).

Nel caso di specie risulta che il Conservatorio ha incaricato un perito di effettuare per suo conto, operazioni di trattamento in relazione ai dati personali contenuti nel file memorizzato all’interno del dispositivo USB rinvenuto nei locali del Conservatorio. Al riguardo, impregiudicate le valutazioni relative alla liceità del complessivo trattamento (spec. par. 3.2), non vi è prova in atti di una previa regolamentazione del rapporto con il perito ai sensi dell’art. 28 del Regolamento.

Né ricorrono, nel caso di specie, contrariamente a quanto rappresentato dal Conservatorio, i presupposti per considerare il professionista in questione, soggetto autorizzato ai sensi dell’art. 29 del Regolamento, dovendosi ritenere che il riferimento all’agire “sotto l’autorità diretta del titolare o del responsabile” e l’essere “istruito” in merito all’accesso ai dati, si riferisca a persone appartenenti alla struttura giuridica e organizzativa del titolare o del responsabile come peraltro precisato dal Comitato europeo per la protezione dei dati personali (cfr. “Linee guida 07/2020 sui concetti di titolare e responsabile del trattamento nel GDPR”, adottate il 7 luglio 2021 dal Comitato europeo per la protezione dei dati personali, spec. pp. 31-32, par. 88, 89 ove espressamente si fa riferimento a “un dipendente o una persona che occupi una posizione molto simile a quella di un dipendente ad esempio il personale di un’agenzia di lavoro interinale”).

La messa a disposizione di un altro soggetto, estraneo alla struttura organizzativa del titolare di dati personali, che non operi ai sensi dell’art. 29 del Regolamento, e in assenza altresì di regolamentazione del relativo rapporto ai sensi dell’art. 28 del Regolamento, dà luogo a una comunicazione a terzi di dati personali (cfr. art. 4, punto 10, 5 e 6 del Regolamento e art. 2-ter, commi 1 e 4, lett. a), del Codice).

Tale presupposto di liceità non può essere rivenuto, nella fattispecie in esame, nel contratto stipulato tra il professionista e il Conservatorio atteso che l’espressione “necessario per l’esecuzione di un contratto” di cui all’art. 6, par. 1, lett. b) del Regolamento), si riferisce al caso in cui il trattamento sia necessario per adempiere le obbligazioni contrattuali con ciascun interessato e non invece, come nel caso di specie, nell’esecuzione di un contratto tra il titolare e un terzo (cfr. “Linee Guida sul consenso ai sensi del Regolamento UE 2016/679, del Comitato europeo per la protezione dei dati personali, che espressamente prevedono al riguardo che sia necessario “un collegamento diretto e obiettivo tra il trattamento dei dati e la finalità dell’esecuzione del contratto con gli interessati”, vedi anche quanto chiarito dal Garante con il provvedimento n. 384 del 28 ottobre 2021, doc. web n. 9722661).

Alla luce delle considerazioni che precedono, il Conservatorio ha messo a disposizione di un terzo i dati personali contenuti nel dispositivo USB, in assenza di un’idonea base giuridica, dando luogo a un trattamento illecito, in violazione degli artt. 5, par. 1, lett. a), e 6 del Regolamento e dell’art. 2-ter del Codice (sul difetto di legittimazione a trattare i dati in casi analoghi cfr. provv. del 7 marzo 2019, n. 81, doc. web n. 9121890; provv. 17 settembre 2020, n. 160, doc. web n. 9461168; provv. 17 dicembre 2020, n. 280, doc. web n. 9524175; “Linee guida 07/2020 sui concetti di titolare e responsabile del trattamento nel GDPR”, cit. p.35, spec. nota 42).

3.4 L’indipendenza del RPD

Come risulta in atti e confermato dal Conservatorio, il Direttore del Conservatorio ha rivestito la carica di RPD dal “dal 13 giugno 2018” al “28 gennaio 2022”.

Considerato il ruolo rivestito dal Direttore nell’ambito della struttura organizzativa del Conservatorio, nonché i numerosi compiti attribuiti a tale figura dalla disciplina di settore, si osserva quanto segue.

Come chiarito da questa Autorità nelle “Faq sul Responsabile della Protezione dei dati (RPD) in ambito pubblico” del 15 dicembre 2017 (doc. web n. 7322110), “in ambito pubblico, oltre ai ruoli manageriali di vertice, possono sussistere situazioni di conflitto di interesse rispetto a figure apicali dell'amministrazione investite di capacità decisionali in ordine alle finalità e ai mezzi del trattamento di dati personali posto in essere dall'ente pubblico” (FAQ n. 7, cfr. anche part. 3.5 delle “Linee guida sui responsabili della protezione dei dati” sopra richiamate). Tali indicazioni sono state di recente ribadite dal Garante, affermando che sussiste “un conflitto di interessi in relazione ai ruoli […] come la direzione risorse umane o contabilità, il responsabile IT o il responsabile della prevenzione della corruzione e della trasparenza, trattandosi di settori in cui i trattamenti dei dati personali sono certi e trasversali rispetto all’intera amministrazione, oltre che significativi in termini di quantità e qualità dei dati personali trattati, nonché di rischi sui diritti e sulle libertà fondamentali degli interessati” (par. 10.1 del “Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico)”, allegato al provv. 29 aprile 2021, n. 186, doc. web n. 9589104).

Si osserva, peraltro, che, tenuto conto delle numerose e gravose competenze attribuite dalla legge alla figura del Direttore, difficilmente quest’ultimo avrebbe potuto disporre di tempo sufficiente a svolgere in maniera adeguata anche la funzione di RPD (cfr. le “Faq sul Responsabile della Protezione dei dati (RPD) in ambito pubblico”, sopra richiamate, in particolare la n. 7, ove si chiarisce che “a seconda della natura dei trattamenti e delle attività e dimensioni della struttura del titolare o del responsabile, le eventuali ulteriori incombenze attribuite al RPD non dovrebbero pertanto sottrarre allo stesso il tempo necessario per adempiere alle relative responsabilità”; v. anche par. 9 del “Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico)”, sopra citato).

Tanto premesso, sebbene stando a quanto dichiarato la nomina in questione “è stata, (…) orientata dall’urgenza e dalla volontà di adeguarsi, nei tempi, alla normativa vigente,” si deve concludere che la designazione dell’RPD sia avvenuta in violazione dell’art. 38, par. 6, del Regolamento avendo assegnato tale incarico a un soggetto che, in ragione del ruolo rivestito all’interno della struttura dell’Istituto, si trovava in posizione di conflitto d’interessi.

Né può ritenersi rilevante ai fini della valutazione in merito alla responsabilità del Conservatorio quanto dichiarato in ordine al fatto che la scelta in questione fosse basata sulla circostanza che “anche altre istituzioni pubbliche (…) avevano provveduto a designare, quale RDP, direttori o altri soggetti di vertice” atteso che l’Autorità ha chiaramente esplicitato la contrarietà di tali scelte al quadro normativo di protezione dei dati sia con i richiamati documenti di portata generale fin dal 2018 che con decisioni su singoli casi (cfr. proprio con riguardo ad un’Accademia di Belle Arti, il provv. n. 318 del 16 settembre 2021, doc web n. 9718134).

Nel prendere atto che, con delibera del XX il Conservatorio ha proceduto a revocare l’incarico in questione designando successivamente un nuovo RPD, si deve concludere che fino alla predetta data il Conservatorio ha operato in violazione dell’art. 38, par. 6, del Regolamento.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Pertanto, si confermano le valutazioni preliminari dell'Ufficio, e si rileva l'illiceità del trattamento di dati personali effettuato dal Conservatorio in violazione degli artt. 5, 6 e 38 del Regolamento e dell’art 2-ter del Codice.

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, parr. 4 e 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo e dell’art. 166, comma 2, del Codice.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l'adozione di misure correttive, di cui all'art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

In relazione ai predetti elementi è stata considerata la particolare delicatezza dei dati personali illecitamente trattati riguardanti studenti e le opinioni da questi espresse nell’esercizio della libera manifestazione del pensiero nel contesto di un’assemblea studentesca e, dunque, nell’ambito dell’espressione del diritto di associazione (artt. 2, 18 e 21 Cost.).

Di contro è stato considerato che si è trattato di un caso isolato, frutto del clima di tensione che caratterizzava il rapporto tra il Conservatorio e gli studenti all’epoca dei fatti oggetto del reclamo e che quanto occorso, in base a quanto dichiarato, è stato il frutto di un’iniziativa maturata nell’ambito di una gestione dell’ente, caratterizzata da un’impostazione paternalistica e da prassi vetuste. Il titolare ha inoltre manifestando una piena collaborazione con l’Autorità nel corso dell’istruttoria del presente procedimento dando conto di aver avviato, anche con il supporto dell’RPD in carica, una complessa attività di riorganizzazione della struttura amministrativa nonché l’adozione di misure volte ad assicurare il rispetto della disciplina in materia di protezione dei dati personali anche sotto il profilo della sicurezza. Si è, inoltre, favorevolmente tenuto conto che non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria, nella misura di euro 6.000,00 (seimila) per la violazione degli artt. 5, 6 e 38 del Regolamento e dell’art. 2-ter Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Tenuto conto della natura dei dati oggetto di trattamento, si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), dichiara illecita la condotta tenuta dal Conservatorio di Musica S. Cecilia di Roma, descritta nei termini di cui in motivazione, consistente nella violazione degli artt. 5, 6 e 38 del Regolamento e dell’art. 2-ter Codice;

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, al Conservatorio di Musica S. Cecilia di Roma, con sede legale in Via Dei Greci 18 - 00187 Roma (RM), C.F. 80203690583, di pagare la somma di euro 6.000,00 (seimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al Conservatorio di Musica S. Cecilia di Roma – fermo restando quanto disposto dall’art. 166, comma 8 del Codice di pagare la somma di euro 6.000,00 (seimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981;

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice (v. art. 16 del Regolamento del Garante n. 1/2019);

l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento (v. art. 17 del Regolamento n. 1/2019).

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 10 novembre 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei