Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Comune di Cesano Boscone - 27 gennaio 2021 [9549165]

[doc. web n. 9549165]

Ordinanza ingiunzione nei confronti di Comune di Cesano Boscone - 27 gennaio 2021

Registro dei provvedimenti
n. 34 del 27 gennaio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Il reclamo.

Con reclamo del 22 aprile 2019, presentato ai sensi dell’art. 77 del Regolamento, come successivamente integrato, la sig.ra XX, ex dipendente del Comune di Cesano Boscone (di seguito, il “Comune”), ha lamentato la pubblicazione, nella sezione albo pretorio online del sito web istituzionale del Comune, di talune delibere, riportanti propri dati personali, incluse informazioni relative a specifiche vicende connesse al rapporto di lavoro al tempo in essere con l’amministrazione comunale.

In particolare, alla luce di quanto lamentato nel reclamo e di quanto accertato dall’Ufficio, è emerso che il Comune ha pubblicato:

- la deliberazione della giunta comunale n. 58 del 3 maggio 2018, con oggetto “costituzione in giudizio davanti al tribunale di Milano- sez. lavoro contro il ricorso proposto dai dipendenti [cognome e nome di un dipendente del Comune] e [cognome e nome della reclamante]. Incarico professionale allo studio legale […]”, contenente dati personali relativi alla reclamante e, in particolare, riferimenti a una causa pendente dinanzi l’autorità giudiziaria per l’annullamento di una sanzione disciplinare a carico della stessa. Come emerge dalla documentazione allegata al reclamo, tale deliberazione era stata già rimossa dal sito web del Comune prima della data di proposizione dello stesso (cfr. nota del Comune prot. n. 0007817/2019 del 19 aprile 2019, con la quale il Comune ha anche dichiarato di aver attivato “le necessarie procedure per la tutela del cd. “diritto all’oblio””);

- la determinazione n. 215 del 13 aprile 2018, con oggetto “liquidazione indennità di preavviso”, contenente dati personali relativi alla reclamante, identificata con il numero di matricola, e, in particolare, riferimenti alla cessazione del rapporto di lavoro e alla liquidazione dell’indennità sostitutiva del preavviso ad ella spettante;

- la determinazione n. 268 del 15 maggio 2018 della Segreteria Generale del Comune, avente ad oggetto “impegno di spesa e liquidazione all'avvocato […] nei procedimenti r.g. n. […] e […].”. Tale determinazione riporta in premessa il seguente testo: “che con deliberazione di Giunta Comunale n. 58 del 3 maggio 2018, esecutiva ai sensi di legge, si autorizzava il Sindaco a costituirsi in giudizio davanti al Tribunale di […] avverso i ricorsi promossi dai dipendenti [cognome e nome di un dipendente del Comune] e [cognome e nome della reclamante] per l’annullamento e/o la revoca delle sanzioni disciplinari della sospensione dal servizio per giorni […] inflitta dal Responsabile dell’ufficio Procedimenti disciplinari del Comune convenuta con provvedimento n. […] e prot. n. […]”. Come accertato dall’Ufficio, tale determinazione è stata pubblicata su un sito web il cui indirizzo IP è riferibile al Comune.

Nel corso degli accertamenti, è, inoltre, emerso che, effettuando una ricerca sul motore di ricerca “google.it” con il cognome e nome della reclamante, veniva restituito un collegamento a un sito web con descrizione “[Tribunale]- sez. lavoro contro il. ricorso proposto dai. dipendenti [cognome e nome di un dipendente del Comune] e [cognome e nome della reclamante] incarico”, sebbene nel file in formato “pdf “, ottenibile da tale link, non vi fossero riferimenti alla reclamante.

Le circostanze sopra menzionate sono state accertate dall’Ufficio in data 18 novembre 2019.

2. L’attività istruttoria.

Con nota del 28 novembre 2019 (prot. n. 41339), l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato al Comune, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto le presunte violazioni degli artt. 5, par. 1, lett. a) e c), 6, paragrafo 1, lett. c) ed e), 2 e 3, lett. b), nonché degli artt. 2-ter, commi 1 e 3 del Codice, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).

Il Comune ha fatto pervenire le proprie memorie difensive con nota del 23 dicembre 2019 (prot. n. 0026272/2019), rappresentando, tra l’altro, che:

- “quanto alla delibera n. 58/2018, in data 3/05/2018 [con tale delibera] il Comune attribuiva all’avvocato […] l’incarico di seguire la difesa dell’Ente nella causa che la [reclamante] nelle more aveva radicato al Tribunale di […];

- “i dati personali pubblicati dei due dipendenti sono: nome e cognome, associati ad espressioni quali “causa” e “sanzione disciplinare”;

- “la delibera veniva pubblicata in data 3.05.2018 sul sito del Comune in ottemperanza all’art. 124 TUEL, ed altresì, in questo caso, per un eccesso di zelo ai fini della trasparenza, integralmente anche sul sito dedicato all’amministrazione trasparente, ai sensi dell’art. 15 d. lgs 33/2013”;

- “la pubblicazione degli estremi degli atti di conferimento di incarichi dirigenziali di collaborazione o di consulenza a soggetti esterni a qualsiasi titolo per i quali è previsto un compenso, devono risultare completi di indicazione dei soggetti percettori, della ragione dell'incarico e dell'ammontare erogato, e sono condizioni per l'acquisizione dell'efficacia dell'atto e per la liquidazione dei relativi compensi”;

- la “valutazione [del Comune in merito alla necessità di pubblicare la delibera per finalità di trasparenza] avveniva in un periodo storico di continui cambiamenti legislativi e modifiche non solo sul tema della trasparenza, ma anche sulla privacy [, durante] […] la transizione tra Codice Privacy e Regolamento Europeo 679/2016”;

- “il Comune si è attivato immediatamente per la protezione dei dati della [reclamante] come comunicato a quest’ultima (in seguito di controllo del Garante sul sito, avvenuto nel novembre 2019, lo stesso infatti non ha trovato online nulla riconducibile a detta delibera, pubblicata in data 3.05.2018 ed eliminata dal web in data 19.04.2019)”;

- “su segnalazione del 19.04.2019 della [reclamante] [al] Comune, la delibera 58/2018 era stata immediatamente rimossa dal web da parte degli uffici preposti e se ne era data pronta notizia alla medesima, che – nonostante ciò – ha in seguito presentato il reclamo”;

- “erano state altresì effettuate tutte le azioni da parte degli uffici preposti per poter rimuovere eventuali effetti negativi conseguenziali a detta pubblicazione (in particolare è stata effettuata la richiesta di oblio sui principali motori di ricerca: Ask, Bing e Google)”;

- “non risulta che la [reclamante] abbia ricevuto nocumento da detta pubblicazione [, in quanto] ad oggi nessuna domanda di risarcimento è stata dalla stessa mossa nei confronti del Comune”;

-  “in data 13/04/2018 [la] determina n. 215, [con la quale] viene riconosciuta [alla reclamante] una liquidazione a titolo di indennità di preavviso [, è stata] pubblicata sul sito del Comune in ottemperanza all’art. 124 TUEL”;

- “la pubblicazione di quelle informazioni è stata per il Comune […] conseguenza di una attività connessa all’esercizio di funzioni istituzionali e che trova quindi la sua finalità nell’assicurare la pubblicità e la trasparenza a tutela dell’interesse pubblico”;

- “il riferimento alla reclamante nel contenuto della delibera avviene tramite il suo numero di matricola, conosciuto unicamente da lei e dal personale autorizzato”;

- “l’utilizzo di questo dato in luogo del nome e cognome per esteso della dipendente ha quindi limitato fortemente a pochi soggetti la riconducibilità alla [reclamante]”;

- “in data 19/04/2019, attraverso mail PEC, la [reclamante] […], paragonando la delibera 58 con la determina 215, [aveva ritenuto] che il riferimento alla “sola matricola [avesse] correttamente” tutelato il proprio “diritto alla riservatezza”, non essendo tale determina “contestata dalla [reclamante] in fase di reclamo presentato al Garante”;

- “detto atto è stato pubblicato in data 18.04.2018” e “a seguito di comunicazione del Garante, è stato rimosso in data 28.11.2019 al solo fine di agire immediatamente per ridurre eventuali effetti negativi”, essendo al suo posto stato “pubblicato un sunto informativo con dati filtrati e, laddove opportuno, anonimizzati”;

-  “quanto alla determina n. 268/2018 […], il 15/05/2018 [, con tale determina,] il Comune ha assunto l’impegno di spesa per la liquidazione del compenso dell’avvocato […] in relazione all’espletamento dell’incarico per la difesa dell’Ente nei confronti delle cause promosse dai signori [cognome della reclamante] e [cognome di un dipendente]”;

- “i dati personali pubblicati dei due dipendenti sono: nome e cognome, associati alla sommaria descrizione del motivo per il quale è stato conferito l’incarico al legale”;

-  “la determina veniva pubblicata in data 3.05.2018 sul sito del Comune in ottemperanza all’art. 124 TUEL, ed altresì sul sito dedicato all’amministrazione trasparente, ai sensi dell’art. 15 d. lgs 33/2013”;

- “per tutte le conseguenziali considerazioni sui motivi di pubblicazione, ci si riporta integralmente a quanto già scritto in merito per la delibera n. 58/2018”;

- “la determina n. 268 […] non è mai stata oggetto di segnalazione/ reclamo da parte della [reclamante]”;

- “i nomi e cognomi dei due dipendenti erano presenti nel preambolo del documento e pertanto non sono indicizzati, con ciò non visibili per mezzo di motori di ricerca ma solo tramite apertura diretta del file laddove pubblicato”;

- “detta determina è stata pubblicata in data 21.05.2018 ed è stata immediatamente rimossa in data 28.11.2019 ad esclusiva tutela della reclamante al fine di ridurre eventuali effetti negativi [, essendo al suo posto stato] “pubblicato un sunto informativo con dati filtrati e, laddove opportuno, anonimizzati”;

- “quanto al link ipertestuale […] non si hanno altri elementi per poter prendere posizione, in quanto ad oggi il link non è stato trovato [, precisandosi, tuttavia, che] il sito istituzionale in questi mesi è stato oggetto di profonda revisione e manutenzione [e che il] […]  passaggio ad una nuova piattaforma con dismissione della precedente […] ha causato un po’ di confusione tra gli uffici ed alcuni errori di tipo informatico-tecnico, ai quali si sta provvedendo”;

- “si esclude il carattere doloso / colposo del comportamento da parte degli autorizzati [del] Comune”;

- “gli autorizzati [del] Comune hanno agito nello scenario sopra descritto con la consapevolezza, da una parte, che “tutti gli atti dell´amministrazione comunale e provinciale sono pubblici, ad eccezione di quelli che siano considerati "riservati" per espressa indicazione di legge, oppure per effetto di una dichiarazione del sindaco o del presidente della provincia che ne vieti l´esibizione poiché la loro diffusione può pregiudicare il diritto alla riservatezza di persone, gruppi o imprese” (art. 10 D. Lgs.18 agosto 2000, n. 267)”;

-  il Comune “ha […] provveduto ad inviare Comunicazione di data breach ai sensi dell’art. 33 del Regolamento Europeo all’indirizzo PEC databreach.pa@pec.gdpr.it in data 19.04.2019 [, avendo, quindi,] allertato l’Autorità di controllo circa quanto segnalato dalla [reclamante] già tempo prima del reclamo mosso da quest’ultima”.

3. Esito dell’attività istruttoria.

La disciplina di protezione dei dati personali prevede che i soggetti pubblici, anche qualora operino nello svolgimento dei propri compiti di datori di lavoro, possono trattare i dati personali (art. 4, n. 1, del Regolamento) dei dipendenti, se il trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” (ovvero gli specifici obblighi o compiti previsti dalla legge per finalità di gestione del rapporto di lavoro) oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e) del Regolamento).

La normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del […] regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento). Al riguardo, si evidenzia che l’operazione di diffusione di dati personali (come la pubblicazione su Internet), da parte di soggetti pubblici, è ammessa solo quando prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento (art. 2-ter, commi 1 e 3, del Codice).

Il titolare del trattamento è tenuto, inoltre, a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione dei dati”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c), del Regolamento).

Nel rispetto del principio di “minimizzazione dei dati”, anche in presenza di un obbligo di pubblicazione, i soggetti chiamati a darvi attuazione non possono comunque diffondere i dati personali eccedenti o non pertinenti (cfr. «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicate in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436, parte seconda, parr. 1 e 3.a.).

In tale quadro, si osserva, in via preliminare, che non rileva quanto dichiarato dall’Ente con riferimento alla circostanza che la reclamante fosse identificabile solo da un numero limitato di soggetti. Per “dato personale” si intende, infatti, “qualsiasi informazione riguardante una persona fisica identificata o identificabile”, dovendosi considerare “identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come […] un numero di identificazione […]” (art. 4, par. 1, n. 1) del Regolamento), come, nel caso della determinazione n. 215/2018, il numero di matricola, che è univocamente associato all’interessata. Il numero di matricola è, dunque, da considerarsi un numero di identificazione certamente idoneo a consentire di risalire all’identità dell’interessata, non solo da parte del personale autorizzato del Comune, ma anche di eventuali terzi, con i quali l’interessata ha potuto, nel tempo, condividere tale numero (si pensi, ad esempio, a colleghi, familiari o consulenti). D’altra parte, anche i dati personali sottoposti a pseudonimizzazione, i quali possono essere attribuiti a una persona fisica mediante l'utilizzo di ulteriori informazioni, devono essere considerati informazioni su una persona fisica identificabile (cfr. Considerando n. 26 del Regolamento).

Con riferimento alla circostanza che il Comune fosse tenuto, ai sensi dell’art. 15 del d.lgs. n. 33/2013, alla pubblicazione della deliberazione n. 58/2018 e della determinazione n. 268/2018 per finalità di trasparenza, si rileva che, come chiarito dal Garante nelle Linee guida sopra citate, “laddove l´amministrazione riscontri l´esistenza di un obbligo normativo che impone la pubblicazione dell´atto o del documento nel proprio sito web istituzionale è necessario selezionare i dati personali da inserire in tali atti e documenti, verificando, caso per caso, se ricorrono i presupposti per l´oscuramento di determinate informazioni”, in conformità al principio di minimizzazione dei dati (art. 5, paragrafo 1, lett. c), del Regolamento), “quando le finalità perseguite nei singoli casi possono essere realizzate mediante dati anonimi o altre modalità che permettano di identificare l´interessato solo in caso di necessità”. Con specifico riferimento agli obblighi di pubblicazione di corrispettivi e compensi, nelle medesime Linee guida si chiarisce che “ai fini dell’adempimento degli obblighi di pubblicazione, […] non appare […] giustificato riprodurre sul web la versione integrale di documenti contabili […] come pure l’indicazione di altri dati eccedenti […]” (par. 9.c), come, nel caso di specie, il cognome e il nome della reclamante e quelli di un altro dipendente. Tale principio è stato, peraltro, di recente confermato dal Garante in una decisione relativa a un caso di illecita diffusione online di dati personali da parte di un soggetto pubblico (Provv. n. 118 del 02/07/2020, doc. web n. 9440025).

Pertanto, anche in presenza degli obblighi di pubblicazione ai sensi del d.lgs. n. 33/2013, i soggetti chiamati a darvi attuazione non possono comunque "rendere […] intelligibili i dati personali non pertinenti […] rispetto alle specifiche finalità di trasparenza della pubblicazione" (art. 7-bis, comma 4, del d.lgs. n. 33/2013). Il Comune avrebbe, pertanto, dovuto pubblicare “gli estremi dell'atto di conferimento dell'incarico” al professionista (art. 15, comma 1, lett. a) del d.lgs. n. 33/2013) senza fare alcun riferimento, neanche indirettamente, ai lavoratori interessati.

Le medesime considerazioni valgono, altresì, in merito agli obblighi derivanti dall’art. 124 del d.lgs. 267/2000, invocato dal Comune per giustificare la pubblicazione della deliberazione e delle due determinazioni sopra menzionate, atteso che anche alle pubblicazioni nell’albo pretorio online si applicano tutti i limiti previsti sopra menzionati con riguardo al rispetto del principio di minimizzazione dei dati (cfr. parte II, par. 3(a) delle Linee guida sopra citate). Negli atti amministrativi oggetto di pubblicazione non avrebbero dovuto essere, quindi, riportati dati identificativi dell’interessata (ovvero il cognome e il nome) o altri dati che avrebbero comunque potuto consentire l’identificazione della stessa (ovvero il numero di matricola). La pubblicazione degli atti in questione, con tale accorgimento, non avrebbe, peraltro, compromesso il principio di adeguata motivazione di cui all’art. 3 della l. 241/1990, poiché la versione integrale degli stessi sarebbe restata, in ogni caso, agli atti del Comune e sarebbe stata accessibile, da parte di soggetti qualificati, nei modi e nei limiti previsti dalla legge.

Peraltro, la circostanza che gli atti amministrativi in questione siano stati pubblicati, senza previa anonimizzazione, nei modi e nei termini in cui sia possibile, oltre l’arco temporale previsto dalla disciplina di settore (cfr. art. 124, d.lgs. 18 agosto 2000, n. 267 concernente la pubblicità degli atti degli enti locali sull’albo pretorio, nonché art. 32, l. 18 giugno 2009, n. 69), connota ulteriormente di illiceità la diffusione dei dati personali in essa contenuti (cfr. Cass. civ., sez. II, ord. n. 18292 del 3 settembre 2020).

Per quanto attiene alla circostanza che, ad avviso del Comune, la pubblicazione di tali atti amministrativi fosse comunque giustificata ai sensi dell’art. 10 del d.lgs. 18 agosto 2000, n. 267, si evidenza che il comma primo di tale articolo, nel prevedere in via generale che tutti gli atti dell’amministrazione comunale sono pubblici, fa espressamente salvi i casi in cui “la loro diffusione possa pregiudicare il diritto alla riservatezza delle persone”.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si rappresenta, altresì, che per la determinazione della norma applicabile, sotto il profilo temporale, deve essere richiamato in particolare il principio di legalità di cui all’art. 1, comma 2, della l. n. 689/1981 che sancisce come «Le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in esse considerati». Ciò determina l’obbligo di prendere in considerazione le disposizioni vigenti al momento della commessa violazione, che nel caso in esame – data la natura permanente dell’illecito contestato – deve essere individuato all’atto di cessazione della condotta illecita, verificatasi successivamente alla data del 25/5/2018 in cui il Regolamento è divenuto applicabile e il d.lgs. 10 agosto 2018, n. 101 è entrato in vigore. Dagli atti dell’istruttoria è, infatti, emerso che l’illecita diffusione online è cessata, come dichiarato dal Comune, in data 19 aprile 2019 (nel caso della deliberazione della giunta comunale n. 58/2018) e in data 28 novembre 2019 (nel caso delle determinazioni n. 215/2018 e 268/2018).

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Comune di Cesano Boscone, per aver diffuso dati personali relativi alla reclamante e a un altro lavoratore, contenuti nella deliberazione della giunta comunale n. 58 del 3 maggio 2018, nella determinazione n. 215 del 13 aprile 2018 e nella determinazione n. 268 del 15 maggio 2018, anche mediante indicizzazione sui motori di ricerca, in assenza di idonei presupposti normativi, in violazione degli artt. 6, par. 1, lett. c) ed e), 2 e 3, lett. b) del Regolamento, e 2-ter, commi 1 e 3, del Codice, nonché dei principi di base del trattamento contenuti nell’art. 5, par. 1, lett. a) e c) del Regolamento.

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo e art. 166, comma 2, del Codice.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che la pubblicazione degli atti amministrativi in questione sul sito web del Comune è cessata, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

In relazione ai predetti elementi, è stata considerato il lungo periodo di tempo in cui i dati personali sono stati oggetto di diffusione; ciò anche alla luce delle indicazioni che, sin dal 2014, il Garante, ha fornito a tutti i soggetti pubblici nelle Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati, sopra citate.

Di contro, si è tenuto favorevolmente atto che il Comune ha tenuto una condotta particolarmente collaborativa con questa Autorità al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi, in particolare si è attivato prontamente per rimuovere i dati personali dagli atti amministrativi oggetto di pubblicazione ed aveva provveduto a informare il Garante, seppur ricorrendo a una modalità di comunicazione non più attuale (cfr. Provv. n. 157 del 30/07/2019, doc. web n. 9126951) in merito alla diffusione dei dati, avvenuta a seguito della pubblicazione della deliberazione n. 58/2018, prima della proposizione del reclamo da parte dell’interessata. Non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria, nella misura di euro 2.000,00 (duemila) per la violazione degli artt. 5, par. 1, lett. a) e c), 6, par. 1, lett. c) ed e), 2 e 3, lett. b), del Regolamento, nonché dell’art. 2-ter, commi 1 e 3 del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Tenuto conto dell’esteso lasso temporale durante il quale i predetti dati sono stati resi reperibili in rete, si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito web del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecita la condotta tenuta dal Comune di Cesano Boscone, descritta nei termini di cui in motivazione, consistente nella violazione degli artt. 5, par. 1, lett. a) e c), 6, par. 1, lett. c) ed e), 2 e 3, lett. b), del Regolamento, nonché dell’art. 2-ter, commi 1 e 3 del Codice, nei termini di cui in motivazione

ORDINA

al Comune di Cesano Boscone, in persona del legale rappresentante pro-tempore, con sede legale in Via Monsignor Pogliani n. 3 - 20090 Cesano Boscone (MI), C.F. 80098810155, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 5, del Regolamento e 166, comma 2, del Codice, di pagare la somma di euro 2.000,00 (duemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione;

INGIUNGE

al predetto Comune di pagare la somma di euro 2.000,00 (duemila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981. Al riguardo, si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro 30 giorni dalla data della notifica del presente provvedimento, ai sensi dell’art. 166, comma 8, del Codice (cfr. anche art. 10, comma 3, del d.lgs. n. 150 dell’1/9/2011);

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione del presente provvedimento sul sito web del Garante, ritenendo che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 27 gennaio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei