[doc. web n. 9843741]

Provvedimento del 15 dicembre 2022

Registro dei provvedimenti
n. 419 del 15 dicembre 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore l'avv. Guido Scorza;

PREMESSO

1. Introduzione.

Con due distinti ma connessi reclami, presentati ai sensi dell’art. 77 del Regolamento, due partecipanti a una procedura concorsuale, indetta dal Comune di Selegas (di seguito, il “Comune”), hanno rappresentato di aver “contattato via pec la responsabile del procedimento per richiedere un cambio turno con riferimento ad una prova preselettiva”, lamentando che il Comune, in data XX, avrebbe fornito loro riscontro “mediante invio di una pec cumulativa che rivela l’indirizzo pec di altri [6] candidati [alle reclamanti], e quello [delle reclamanti] a loro”.

Le reclamanti hanno, altresì, segnalato “l’assenza dei dati […] di contatto del [Responsabile della protezione dei dati]” sul sito web istituzionale del Comune.

2. L’attività istruttoria.

In riscontro a una richiesta d’informazioni dell’Autorità (nota prot. n. XX del XX), il Comune, con nota prot. n. XX del XX, ha dichiarato, in particolare, che:

“tale accadimento è stato determinato non da una mancata conoscenza […] della disciplina in materia di trattamento e protezione dei dati personali [da parte della dipendente che ha effettuato l’invio della PEC in questione] (tanto che la stessa ha partecipato a più corsi di formazione in materia) o delle istruzioni ad essa impartite dal titolare del trattamento, bensì da un mero errore materiale determinato dalla stanchezza conseguente all’eccessivo carico di lavoro in periodo pandemico e dall’aver condotto la procedura concorsuale di cui trattasi sia in qualità di responsabile del procedimento che in qualità di membro di commissione (a causa dell’esiguo numero di risorse umane in rapporto alle numerose attività da svolgersi in tutto l’ente)”;

“i soggetti concorrenti indicati nella pec del XX avevano avanzato tutti la stessa istanza, per la quale la risposta non poteva che essere la medesima. Pertanto, con un errore di mera distrazione, la [dipendente in questione] aveva provveduto a fornire la medesima risposta a tutti i destinatari con la pec sopraindicata, inserendoli in copia conoscenza (CC) anziché in “copia conoscenza nascosta (CCN)”, come ordinariamente avviene in casi simili”;

occorre, in ogni caso, considerare che “vi è stata una comunicazione e non una diffusione dei dati personali (con la conseguenza che la pec degli interessati è stata visionata da un numero assai ristretto soggetti); in secondo luogo, sono stati comunicati solo dati comuni e non dati particolari e/o giudiziari; infine, non risulta al [Comune] che, a distanza di tempo, tale episodio abbia determinato conseguenze negative in capo agli interessati […]”;

“in ordine, invece, alla seconda contestazione delle reclamanti, secondo cui vi sarebbe stata una inadeguatezza delle informazioni pubblicate dal comune di Selegas sul proprio sito web istituzionale e indicate nell’informativa sul trattamento dei dati personali in relazione ai dati di contatto del [RPD], si precisa che [il Comune] ha pubblicato , al momento dell’affidamento dell’incarico al [RPD], copia del pdf scaricabile del decreto sindacale di nomina del [RPD] […], nonché ha inserito i dati di contatto del [RPD] nella sezione privacy del sito istituzionale nonché in ogni informativa utilizzata dall’ente, ivi compresa quella della procedura concorsuale in oggetto”.

Con nota del XX (prot. n. XX), l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato al Comune, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto le presunte violazioni degli artt. 5, par. 1, lett. a), 6 e 37, par. 7, del Regolamento, nonché 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, vigente al tempo dei fatti oggetto di reclamo), invitando il predetto Comune a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).

Con nota del XX (prot. n. XX), il Comune ha presentato una memoria difensiva, dichiarando, in particolare, che:

“tale errore dal carattere assolutamente colposo (nella forma della colpa lieve), è stato determinato non dalla mancata conoscenza della disciplina in materia, né dalla volontà di arrecare alcun nocumento ai partecipanti alla procedura concorsuale, ma dall’eccessivo carico di lavoro in periodo pandemico che unitamente all’esiguità delle risorse umane dell’ente (all’epoca dei fatti il personale in forze l’Area Amministrativa e socio culturale era composto unicamente dalla [dipendente che ha inviato la PEC in questione] e da un impiegato assunto a tempo determinato), ha fatto sì che [tale dipendente] fosse sottoposta ad eccessivo stress, foriero di errori come quello verificatosi”;

occorre considerare “non solo il succitato carattere colposo dell’accaduto ma altresì gli effetti lievi a valle dello stesso (esiguo numero degli interessati coinvolti, assenza di comunicazione di categorie di dati particolari o giudiziari, basso rischio [per gli interessati]”;

“i dati di contatto del [RPD], erano presenti nella sezione privacy del sito internet istituzionale accessibile già [dalla] home page https://www.comune.selegas.ca.it/selegas/zf/index.php/privacy/index/privacy. Pertanto, le reclamanti sono state messe, dal titolare del trattamento, nella piena condizione di poter contattare il [RPD] dell’ente, cosa che tra l’altro non hanno mai fatto”;

“la pubblicazione dell’informativa privacy del sito, contenente i dati di contatto del DPO è stata tempestiva ed era presente prima dello svolgimento del concorso nel XX)”.

3. Esito dell’attività istruttoria.

In base alla disciplina di protezione dei dati, i soggetti pubblici possono trattare dati personali se il trattamento è necessario, in particolare, “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e) del Regolamento).

La normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del […] regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento). Al riguardo, si evidenzia che l’operazione di comunicazione di dati personali a terzi, da parte di soggetti pubblici, è ammessa solo quando prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento (v. art. 2-ter, commi 1 e 3, del Codice, nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, vigente al tempo dei fatti oggetto di reclamo).

Il titolare del trattamento è tenuto, in ogni caso, a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione dei dati”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato”, nonché “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c), del Regolamento).

A seguito dell’attività istruttoria, è stato accertato che, in data XX, una dipendente del Comune ha inviato un messaggio di posta elettronica certificata a nove partecipanti a una prova concorsuale, con gli indirizzi di posta elettronica degli stessi in chiaro, così rivelando alle due reclamanti gli indirizzi di posta elettronica di altri sei candidati e a questi ultimi quelli delle due reclamanti, rendendo, inoltre, nota la circostanza che i destinatari - tutti candidati nell’ambito della procedura indetta dal Comune - avessero chiesto al Comune un cambio del proprio turno per effettuare una prova preselettiva.

L’invio del messaggio di posta elettronica certificata in questione con le predette modalità – che, come ammesso dal Comune, è stato effettuato in conseguenza di un errore commesso da una propria dipendente - ha comportato una comunicazione di dati personali in maniera non conforme al principio di “liceità, correttezza e trasparenza” e in assenza di una base giuridica, in violazione degli artt. 5, par. 1, lett. a), e 6 del Regolamento, nonché 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, vigente al tempo dei fatti oggetto di reclamo).

Per quanto concerne, invece, la pubblicazione dei dati di contatto del RPD, deve osservarsi quanto segue. Premesso che “non è necessario che, tra i dati oggetto di pubblicazione, vi sia anche il nominativo del RPD” (v. “Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico”, allegato al provv. 29 aprile 2021, n. 186, doc. web n. 9589104, par. 7), nel corso dell’istruttoria il Comune ha dichiarato che i dati di contatto del RPD (email e PEC) erano menzionati in una pagina del proprio sito web istituzionale - raggiungibile mediante il collegamento “privacy” dall’homepage dello stesso (cfr. il Documento di indirizzo sopra citato, ove si chiarisce che “per quanto concerne la pubblicazione, questa dovrà essere effettuata sul sito web dell’amministrazione, all’interno di una sezione facilmente riconoscibile dall’utente e accessibile già dalla homepage”) - che sarebbe stata “presente prima dello svolgimento del concorso nel XX” (v. dichiarazione in tal senso del fornitore di servizi informatici del Comune, in atti), dovendosi, pertanto, disporre l’archiviazione della contestazione relativa a tale profilo.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal Comune del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Comune, per aver comunicato a terzi i dati personali delle reclamanti e di altri sei partecipanti alla procedura concorsuale in questione, in violazione degli artt. 5, par. 1, lett. a) e 6 del Regolamento, nonché 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139).

Ciò premesso, tenuto conto:

che l’episodio risulta essere stato isolato e determinato da un mero errore umano, commesso dalla dipendente del Comune che ha materialmente proceduto all’invio del messaggio di posta elettronica certificata in questione, nonostante la stessa avesse partecipato a specifici corsi di formazione;

che il trattamento non ha avuto ad oggetto particolari categorie di dati (cfr. art. 9 del Regolamento), non ha riguardato i dati anagrafici degli interessati e non ha comportato la conoscenza delle specifiche ragioni per le quali gli stessi avevano chiesto il rinvio della prova;

che il titolare del trattamento è un Ente di piccole dimensioni (di circa 1.300 abitanti), dotato di limitate risorse organizzative e finanziarie (secondo l’organigramma prodotto dal Comune, agli atti, l’Ente dispone di soli cinque dipendenti a tempo indeterminato e di un dipendente a tempo determinato);

che la condotta è stata posta in essere nel contesto dell’emergenza epidemiologica da SARS-CoV-2, particolarmente concitata e critica anche sul piano dell’organizzazione e gestione delle attività istituzionali;

che non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento;

le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi del cons. 148 del Regolamento e delle “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal Gruppo di Lavoro Art. 29 il 3 ottobre 2017, WP 253, e fatte proprie dal Comitato europeo per la protezione dei dati con l’”Endorsement 1/2018” del 25 maggio 2018.

Alla luce di tutto quanto sopra rappresentato, e dei termini complessivi della vicenda in esame, si ritiene, pertanto, sufficiente ammonire il titolare del trattamento per la violazione delle disposizioni sopraindicate, ai sensi dell’art. 58, par. 2, lett. b), del Regolamento (cfr. anche cons. 148 del Regolamento).

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

a) dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento dei dati personali effettuato dal Comune di Selegas, in persona del legale rappresentante pro-tempore, con sede legale in Via Daga, 4 - 09040 Selegas (SU), C.F. 80018170920, per violazione degli artt. 5, par. 1, lett. a) e 6 del Regolamento, nonché 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, vigente al tempo dei fatti oggetto di reclamo), nei termini di cui in motivazione;

b) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce il Comune di Selegas, quale titolare del trattamento in questione, per aver violato gli artt. 5, par. 1, lett. a) e 6 del Regolamento, nonché 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139), come sopra descritto;

c) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 15 dicembre  2022

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei