[doc. web n. 9920145]

Provvedimento del 6 luglio 2023

Registro dei provvedimenti
n. 287 del 6 luglio 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore l'avv. Guido Scorza;

PREMESSO

1. Introduzione.

Con reclamo presentato a questa Autorità ai sensi dell’art. 77 del Regolamento è stata lamentata la pubblicazione sull’albo pretorio online del Comune di Aviano ( di seguito “Comune”) della determina n. XX del XX avente ad oggetto “attribuzione compensi incentivanti la produttività individuale - impegno e liquidazione annualità XX” – con allegato l’elenco dei nominativi e i relativi compensi di circa 70 dipendenti (Allegato A pagamento della produttività anno 2018 importi dei premi incentivanti la produttività da corrispondere al personale dipendente - XX). Successivamente, in data XX, con atto n.XX, venivano pubblicati, sempre all’albo pretorio online del Comune, i nominativi e gli importi relativi all’attribuzione delle nuove progressioni economiche orizzontali di alcuni dipendenti del Comune (“selezioni per l’attribuzione di nuove progressioni orizzontali a decorrere dal XX”).

2. L’attività istruttoria.

Con nota del XX (prot. n. XX), il Comune, in riscontro a una richiesta d’informazioni del Garante (nota prot. n. XX del XX), ha dichiarato, in particolare, che:

- “per rispondere puntualmente ai rilievi sollevati da codesta Autorità è necessario illustrare l’iter di formazione e pubblicazione dei documenti suindicati, che avviene secondo quanto previsto dalle disposizioni di legge vigenti e dal Regolamento per la disciplina dell’Albo pretorio informatico, adottato da questo Comune con deliberazione di Giunta Comunale n. XX del XX”;

- “la pubblicazione dei suddetti documenti è sicuramente un trattamento di dati, ma l’Ente ha posto in essere un’organizzazione tale per cui l’operatore addetto alla pubblicazione effettua una mera operazione esecutiva, secondo la durata e le modalità richieste, di un atto già rispondente ai requisiti richiesti, anche in materia di privacy”;

- “nello specifico entrambi i documenti sono stati redatti dal Servizio Risorse Umane, ufficio incardinato nella struttura organizzativa dell’Unione Territoriale Intercomunale (U.T.I.) del “Livenza Cansiglio-Cavallo”, che si è costituita ai sensi della l.r. n. 26/2014, con decorrenza 15/04/2016, tra i Comuni di Aviano (Comune più popoloso), di Budoia e di Caneva, come si evince anche dalla premessa della determinazione n. XX. L’U.T.I. è un ente dotato di personalità giuridica propria, avente come rappresentante legale il proprio Presidente, eletto dall’Assemblea tra i suoi componenti, che, come recita l’art. 8 dello Statuto: “(…) esercita, secondo i tempi di cui al successivo art. 32, le funzioni comunali nelle seguenti materie (…) gestione del personale e coordinamento dell’organizzazione generale dell’amministrazione e dell’attività di controllo...”;

- “questo Ente ha quindi richiesto la base giuridica del trattamento riguardante il contenuto degli atti di cui trattasi al Servizio Risorse Umane dell’U.T.I. ed ha acquisito, prima informalmente, e poi con nota n. XX del XX la documentazione che si allega”;

- “per quanto concerne il periodo di pubblicazione […] si comunica […che] la determinazione n. XX è stata pubblicata all’albo pretorio informatico dal XX al XX; l’atto n. XX è stato pubblicato all’albo pretorio informatico dal XX”.

Dalla documentazione allegata (nota prot.n. XX del XX) emerge che il Servizio Risorse Umane dell’Unione Territoriale Intercomunale Livenza-Cansiglio-Cavallo ha rappresentato che:

- “il decreto legislativo 150/2009 e s.m.i. rafforza le disposizioni in materia di trasparenza nelle pubbliche amministrazioni a titolo esemplificativo l’articolo 21 della legge n. 69 prevede l'obbligo per le amministrazioni di pubblicare nel proprio sito internet le retribuzioni annuali, i curricula vitae, gli indirizzi di indirizzi di posta elettronica e i numeri telefonici ad uso professionale dei dirigenti e dei segretari comunali e provinciali, nonché di rendere pubblici, con lo stesso sistema, i tassi di assenza e di maggiore presenza del personale, distinti per uffici di livello dirigenziale”;

- “l’art. 27 del [Contratto Collettivo Decentrato Integrativo Territoriale] CCDIT, firmato il XX che disciplina le selezioni per l’attribuzione di nuove progressioni orizzontali prevede […che] le graduatorie sono approvate dal Responsabile del Servizio Gestione Risorse Umane entro il 31 dicembre dell’anno di riferimento e sono pubblicate all'Albo”.

Con nota del XX, (prot. n. XX), l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato al Comune, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto le presunte violazioni degli artt. 5, par. 1, lett. a) e c) e 6, par. 1, lett. c) ed e) e parr. 2 e 3, lett. b) del Regolamento, nonché art. 2-ter, commi 1 e 3 del Codice, (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139)  invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).

Con nota del XXil Comune ha presentato una memoria difensiva, dichiarando, in particolare, che:

“l’ente coinvolto nella presunta violazione non sembra essere il Comune di Aviano, o almeno non in via esclusiva, in quanto la titolarità dei due provvedimenti oggetto di reclamo è in capo all’Unione Territoriale Intercomunale Livenza Cansiglio Cavallo, ente dotato di personalità giuridica propria”;

“l’Unione Territoriale Intercomunale Livenza Cansiglio Cavallo, di seguito U.T.I., costituita ai sensi della L.R. n. 26/2014, ha esercitato in autonomia fino al 30 giugno 2021, data della sua cessazione, la funzione comunale relativa alla gestione del personale per tutti i Comuni aderenti (Aviano, Budoia e Caneva)”;

“il Comune di Aviano, come del resto gli altri due Comuni, pur provvedendo alla pubblicazione nel proprio Albo pretorio informatico di alcuni atti dell’U.T.I., non aveva titolo a verificarne i contenuti. Infatti il punto 7 dell’art. 12 del Regolamento comunale per la disciplina dell’Albo Pretorio informatico (al quale l’U.T.I. è tenuta ad attenersi secondo quanto previsto dall’art. 35, comma 2 del suo Statuto […]) recita testualmente “… Pertanto, del contenuto degli atti pubblicati in relazione al rispetto delle norme per la protezione dei dati personali, anche con riguardo alla loro diffusione per mezzo della pubblicazione dei rispettivi atti all’Albo Pretorio informatico, è responsabile il soggetto, l’ufficio o organo che propone e/o adotta l’atto da pubblicare e/o il soggetto (esterno o interno) che richiede la pubblicazione...”;

“le valutazioni sul trattamento effettuato e sulla notifica della violazione debbano essere contestate anche, se non esclusivamente, all’U.T.I. a cui, infatti, preliminarmente al riscontro dato a codesta Autorità, anche lo scrivente si è rivolto, per acquisire la base giuridica del trattamento riguardante il contenuto degli atti di cui trattasi, non di propria competenza”;

“per quanto attiene la mera pubblicazione degli atti all’albo pretorio on line, [il Comune] ha posto in essere le seguenti misure tecniche e organizzative ai sensi degli articoli 25 e 32 del Regolamento (UE) n. 2016/679: è stato adottato già dal 2011 un Regolamento comunale sulla disciplina dell’Albo Pretorio informatico; - viene utilizzato, per la pubblicazione degli atti, l’applicativo AdWeb fornito dalla Regione Friuli Venezia Giulia nell’ambito della convenzione per il S.I.A.L. – Sistema Informativo per le Autonomie Locali, realizzato da INSIEL SpA, che consente di predisporre l’atto in modalità già idonea alla pubblicazione, o sottraendo alla medesima gli allegati contenenti i dati che non devono essere oggetto di diffusione, oppure permettendo la pubblicazione di allegati contenenti dati “minimizzati”, sulla base delle valutazioni del soggetto/ufficio o organo che adotta l’atto; sono stati prontamente rimossi dall’Albo pretorio informatico del Comune i due provvedimenti oggetto della violazione contestata”;

“in merito alle informazioni riguardanti il contenuto degli atti oggetto di contestazione, pur trattandosi di elementi di competenza dell’U.T.I., si comunica quanto segue: l’allegato alla determinazione n. XX del XX (produttività) riportava cognome, nome e importo del premio di produttività attribuito a una parte dei dipendenti del Comune; la determinazione n. XX del XX riportava cognome, nome, posizione economica in godimento, nuova posizione economica attribuita e costo effettivo della nuova progressione di una parte dei dipendenti del Comune”.

Il Comune, inoltre, nel corso dell’audizione, ai sensi dell’art. 166, comma 6, del Codice, ha rappresentato che (cfr. verbale prot.n. XX del XX):

- “in via preliminare si chiarisce che la titolarità dei documenti oggetto di reclamo è riconducibile ad un ente diverso dal Comune di Aviano, ossia l’Unione Territoriale Intercomunale Livenza come si evince dalla carta intestata dei predetti documenti (v. determina n. XX)”;

- “tale ente, istituito per legge regionale n. 26/2014, è dotato di autonoma personalità giuridica e a cui sono state trasferite obbligatoriamente talune competenze tra cui la gestione economica e giuridica del personale dei comuni aderenti all’Unione”;

- “i due documenti oggetto di pubblicazione sono stati adottati dall’Unione, che è pertanto il titolare del trattamento e non invece il Comune”;

- “è dunque l’Unione contravventore in merito alla condotta rilevata dal Garante, non potendo essere individuato come tale, quantomeno non in via esclusiva, il Comune di Aviano”;

- “sebbene il Comune abbia pubblicato i due atti sul proprio sito, la formazione dell’atto e la responsabilità dello stesso è da porsi in capo all’Unione (art. 35, comma 2 Statuto Unione Comunale) […]”;

- nel regolamento Comunale relativo alla disciplina dell’albo pretorio informatico si definisce, all’art. 12, punto 7, come messo in evidenza nelle memorie difensive, quale responsabile del contenuto degli atti da pubblicare l’ufficio o l’organo che propone e/o adotta l’atto e il soggetto interno o esterno che richiede la pubblicazione;

- “in applicazione dell’art. 12, punto 6, del predetto regolamento, che prevede idonee misure tecniche ai fini del rispetto della disciplina di protezione dei dati l’utilizzo di un software che consente al funzionario competente, titolare di posizione organizzativa, di selezionare i contenuti e gli allegati dei documenti che devono essere oggetto di pubblicazione;

- "avendo il Comune, pertanto, messo a disposizione dell’unione il predetto software- applicativo fornito dal Friuli Venezia Giulia- il funzionario competente dell’Unione non avrebbe adeguatamente utilizzato lo strumento in questione permettendo la pubblicazione di allegati contenenti dati personali”;

- “la funzione gestione risorse umane è stata traferita all’Unione, che avrebbe dovuto porre in essere tutte le necessarie misure al fine di assicurare che la pubblicazione, che per competenza avrebbe dovuto essere effettuata all’albo del Comune avendo ad oggetto dati personali relativi ai dipendenti del Comune di Aviano, avvenisse nel rispetto della disciplina di protezione dei dati”;

- “a decorrere dal 1° luglio 2021 l’Unione è cessata ai sensi dell’art. 2, comma 1 della L.R. Friuli Venezia Giulia n. 19/2020; in data 28 maggio 2021 è stata sostituita dalla magnifica Comunità di Montagna Dolomiti friulane Cavallo Consiglio, subentrata alle funzioni e ai compiti dell’Unione”;

- “da verifiche effettuate dal DPO del Comune e dell’Unione, il funzionario che ha predisposto i documenti, era stato autorizzato al trattamento dei dati ma non aveva adempiuto alle istruzioni, né osservato il regolamento comunale sopra citato - che l’Unione avrebbe dovuto osservare (nelle more dell’adozione di propri regolamenti, art. 35, comma 2 Statuto dell’Unione) - e alla formazione in materia di protezione dati organizzata dall’Unione, anche su indicazione del DPO”;

- “vi è stata una costante evoluzione nelle procedure da parte del Comune di Aviano e un progressivo adeguamento alla disciplina di protezione dei dati, incrementando le occasioni di formazione del personale, adottato nuove misure tecniche e organizzative adeguate per prevenire che simili accadimenti si riverifichino in futuro”.

3. Esito dell’attività istruttoria.

3.1 Il quadro normativo

La disciplina di protezione dei dati personali prevede che i soggetti pubblici, nell’ambito del contesto lavorativo, possono trattare i dati personali degli interessati, anche relativi a categorie particolari, se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti dalla legge o dal diritto dell’Unione o degli Stati membri (artt. 6, par. 1, lett. c), 9, par. 2, lett. b) e 4 e 88 del Regolamento). Il trattamento è, inoltre, lecito quando sia “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, parr. 1, lett. e), 2 e 3, e art. 9, par. 2, lett. g), del Regolamento; art. 2-ter del Codice, nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139).

La normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del […] regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento). Al riguardo, si evidenzia che l’operazione di diffusione di dati personali (come la pubblicazione su Internet), da parte di soggetti pubblici, è ammessa solo quando prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento (cfr. art. 2-ter, commi 1 e 3, del Codice, nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139).

Il titolare del trattamento è tenuto, in ogni caso, a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione dei dati”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c), del Regolamento).

3.2 La diffusione dei dati personali.

Come risulta dagli atti, nonché dall’accertamento compiuto sulla base degli elementi acquisiti, a seguito dell’attività istruttoria e delle successive valutazioni dell’Ufficio, il Comune ha pubblicato sul proprio sito web istituzionale la delibera n. XX del XXe la delibera che, sebbene indicata come la n. XX del XX, invece risulta essere la n. XX del XX, come peraltro confermato dal Comune di Aviano (cfr. nota del XX) e relativi allegati, contenenti dati personali dei propri dipendenti. In particolare la delibera n. XX del XX, avente ad oggetto “attribuzione compensi incentivanti la produttività individuale - impegno e liquidazione annualità XX”, conteneva in allegato l’elenco dei nominativi di circa 70 dipendenti del Comune, con l’indicazione degli specifici compensi percepiti. Analogamente la successiva delibera del XX n. XX, avente ad oggetto “selezioni per l’attribuzione di nuove progressioni orizzontali a decorrere dal XX” riportava numerosi dati personali tra cui i nominativi di circa 30 dipendenti del Comune con gli importi derivanti dall’attribuzione delle progressioni economiche orizzontali.

L’art.32 del d.lgs. 18 agosto 2000, n. 267 “Testo unico delle leggi sull'ordinamento degli enti locali” prescrive che “le unioni di comuni sono enti locali costituiti da due o più comuni di norma contermini, allo scopo di esercitare congiuntamente una pluralità di funzioni di loro competenza. L'unione ha potestà regolamentare per la disciplina della propria organizzazione, per lo svolgimento delle funzioni ad essa affidate e per i rapporti anche finanziari con i comuni” (cfr. commi 1 e 4).

Sebbene la funzione di gestione delle risorse umane del Comune risulta essere stata “affidata” all’Unione Territoriale Intercomunale Livenza Cansiglio Cavallo (di seguito “Unione”) e nel corso dell’istruttoria il Comune abbia rappresentato di non dover essere considerato l’unico responsabile della vicenda, occorre rilevare, per i profili di protezione dei dati, quanto segue.

L’affidamento all’Unione di funzioni proprie degli Enti che aderiscono alla stessa non può essere ritenuto sufficiente a escludere la responsabilità del Comune nel caso di specie (cfr. art. 4, punto 7 del Regolamento) anche in ragione del fatto che le delibere, all’esito di decisioni assunte dalla Giunta comunale, contenevano determinazioni nei confronti di dipendenti del Comune, che la diffusione dei dati personali è avvenuta sul sito web istituzionale dello stesso e che la titolarità del trattamento dei dati dei propri dipendenti e collaboratori per la gestione del rapporto di lavoro resta, in ogni caso, in capo all’Ente datore di lavoro (cfr. provvedimento n. 384 del 28 ottobre 2021,doc. web n. 9722661). Impregiudicata, quindi, la possibilità dell’accertamento di eventuali responsabilità in capo ad altri soggetti a vario titolo coinvolti nel trattamento in questione, l’istruttoria che ha dato origine al presente procedimento è stata avviata nei confronti del Comune (cfr. nota XX, prot. n. XX) in un momento in cui, peraltro, l’Unione era cessata (cfr. quanto dichiarato in atti dal Comune che ha confermato che “a decorrere dal 1° luglio 2021 l’Unione è cessata ai sensi dell’art. 2, comma 1 della L.R. Friuli Venezia Giulia n. 19/2020”).

Contrariamente a quanto sostenuto dal Comune non può essere invocato, per giustificare nel caso di specie la diffusione di dati personali, l’articolo 21, comma 1 della legge n. 69 del 2009, peraltro abrogato dall'art. 53, comma 1, lett. h) del d.lgs. 14 marzo 2013, n. 33, atteso che tale articolo si riferiva esclusivamente alle informazioni riguardanti i compensi percepiti da titolari di incarichi amministrativi di vertice e di incarichi dirigenziali a qualsiasi titolo conferiti.

Diversamente, l’art. 20 del d.lgs. 33 del 2013 “Obblighi di pubblicazione dei dati relativi alla valutazione della performance e alla distribuzione dei premi al personale” stabilisce che le pubbliche amministrazioni “pubblicano i dati relativi all'ammontare complessivo dei premi collegati alla performance stanziati e l'ammontare dei premi effettivamente distribuiti”, prevedendo l’obbligo di indicare esclusivamente “i criteri definiti nei sistemi di misurazione e valutazione della performance per l'assegnazione del trattamento accessorio e i dati relativi alla sua distribuzione, in forma aggregata”, ma non i dati dei compensi accessori percepiti individualmente dai dipendenti. La finalità di trasparenza perseguita mediante tale previsione, al fine di dare pubblica evidenza dei livelli di selettività e premialità nella distribuzione dei premi e degli incentivi al personale, trova effettività, per espressa scelta del legislatore, attraverso la pubblicazione dei menzionati valori in forma aggregata.

In tale quadro, non possono considerarsi, quindi, pertinenti, con riguardo alla qualità e al contenuto della fonte, le disposizioni del Contratto Collettivo Decentrato Integrativo Territoriale (art.27) che non soddisfano i requisiti della base giuridica richiesti dal Regolamento e dal Codice (art. 6, par. 1, lett. c) ed e) e parr. 2 e 3, lett. b) del Regolamento, nonché art. 2-ter, commi 1 e 3 del Codice, nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139 applicabile al caso di specie). Nel quadro di derivazione europea della disciplina di protezione dei dati, infatti, nella prospettiva della certezza del diritto, nonché del principio di non discriminazione, non sono consentiti livelli differenziati di tutela della protezione dei dati personali - né su base territoriale né a livello di singola amministrazione - specie quando, come nel caso di cui trattasi, la materia sia già stata oggetto di bilanciamento e regolazione dal legislatore con disposizioni uniformi a livello nazionale. Ciò considerando altresì che il Regolamento prevede che la base giuridica del trattamento deve essere idonea anche alla luce dell’“ordinamento costituzionale” dello Stato membro (considerando 41 e v. anche Corte Cost. sent. n. 271/2005 in base alla quale la disciplina di protezione dei dati personali rientra fra la materia di competenza esclusiva statale riferita all’“ordinamento civile”), nel rispetto del principio di proporzionalità (art. 6, par. 3, lett. b), del Regolamento).

Per completezza si ricorda che il Garante ha nel tempo fornito indicazioni in ordine ai presupposti (e, al ricorrere di questi, delle specifiche modalità) per la lecita pubblicazione di atti e documenti che contengono dati personali anche dei dipendenti precisando, in particolare, che non è lecito diffondere informazioni personali riferite a singoli lavoratori come nelle ipotesi di informazioni riguardanti contratti individuali di lavoro, trattamenti stipendiali o accessori percepiti (cfr. par. 6.3 delle "Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico" del 14 giugno 2007, doc. web n. 1417809). Tali informazioni, in assenza di idonea base giuridica, non possono essere diffuse né messe a disposizione di soggetti estranei all’amministrazione o di altri colleghi non specificamente autorizzati (cfr. in merito alla non conoscibilità da parte delle organizzazioni sindacali dei compensi accessori erogati ai dipendenti, v. Cons. St., Sez. VII, 09/08/2022, n. 7064 che conferma una precedente posizione del Garante espressa con nota n. XX del XX), salve le ordinarie forme di conoscibilità degli atti amministrativi previste dall’ordinamento (artt. 22 e ss. l. 7 agosto 1990, n. 241; d.P.R. 12 aprile 2006, n. 184; artt. 6, 9, 10 e 86 Regolamento).

Il Garante, inoltre, ha in numerose occasioni chiarito che anche la presenza di uno specifico regime di pubblicità non può comportare alcun automatismo rispetto alla diffusione online dei dati e informazioni personali, né una deroga ai principi in materia di protezione dei dati personali, come confermato dal sistema di protezione dei dati personali contenuto nel Regolamento, alla luce del quale è previsto che il titolare del trattamento deve mettere “in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento” e deve essere “in grado di dimostrare” –  alla luce del principio di “responsabilizzazione” –  di averlo fatto (artt. 5, par. 2; 24 e 25, par. 2, Regolamento).

Ad esempio, proprio in numerose decisioni in merito agli obblighi derivanti dall’art. 124 del d.lgs. 267/2000, il Garante ha ribadito che anche alle pubblicazioni sull’albo pretorio online di atti o deliberazioni si applicano tutti i limiti previsti dai principi della protezione dei dati personali, avendo riguardo anzitutto alla previa verifica della sussistenza di idonei presupposti di liceità della diffusione online dei dati personali in essa contenuti (v., tra i tanti, provv. del 15 settembre 2022, n. 299, doc. web n. 9815665 e provv. del 25 febbraio 2021, n. 68, doc. web 9567429).

Quanto poi alla pubblicazione dei dati personali dei partecipanti alle selezioni per l’attribuzione di progressioni economiche orizzontali, si fa presente che l’Autorità Nazionale Anticorruzione-ANAC, relativamente alle procedure selettive interne che determinano un passaggio di livello nell’ambito della stessa area o categoria, cd. progressioni orizzontali, come nel caso di specie, ha chiarito che trattasi di “procedure a carattere meritocratico connesse alla valutazione dell'apporto individuale del lavoratore e non soggette al principio del pubblico concorso” (v. ANAC Delibera n 775 del 10 novembre 2021; comma 1-bis dell’art. 52 del d.lgs. 165/2001) e pertanto non soggette agli obblighi di pubblicazione previsti esclusivamente per le procedure selettive finalizzate all’assunzione per il reclutamento di personale esterno o quelle consistenti nell’inquadramento in un’area superiore (c.d. progressioni verticali) che avvengono attraverso procedure comparative, determinandosi in tal caso una novazione oggettiva del rapporto di lavoro. Tale posizione è stata tenuta in considerazione dal Garante nell’ambito di decisioni su singoli casi (v., da ultimo, provv. del Garante n. 28 del 26 gennaio 2023 doc. web n. 9865528).

In base alle considerazioni che precedono si deve concludere che i dati personali dei 70 dipendenti comunali relativi ai compensi percepiti in ragione della produttività individuale e i dati personali dei 30 dipendenti relativi all’esito delle progressioni economiche orizzontali, sono stati diffusi sul sito istituzionale del Comune in assenza di un’idonea base giuridica, in violazione degli artt. 5 e 6 del Regolamento e dell’art. 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139).

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Comune per aver diffuso, mediante pubblicazione online sul proprio sito web istituzionale, i dati personali di dipendenti comunali relativi ai compensi percepiti in ragione della produttività individuale e relativi all’esito delle progressioni economiche orizzontali, in assenza di un’idonea base giuridica, in violazione degli artt. 5, par. 1, lett. a) e c) e 6, parr. 1, lett. c) ed e) e 2 e 3, lett. b) del Regolamento e dell’art. 2-ter commi 1 e 3 del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139).

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 2, del Codice.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che tali atti sono stati pubblicati rispettivamente per quindici giorni consecutivi sul sito web istituzionale del Comune e successivamente rimossi, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

In relazione ai predetti elementi è stato considerata la particolare delicatezza dei dati personali oggetto di diffusione online di numerosi interessati (decine di dipendenti comunali) riguardanti vicende inerenti al rapporto di lavoro e in particolare i dati personali di dipendenti comunali relativi ai compensi percepiti in ragione della produttività individuale e quelli relativi all’esito delle progressioni economiche orizzontali. È stato inoltre considerato il mancato rispetto delle indicazioni che, da tempo, il Garante, ha fornito a tutti i soggetti pubblici sin dal 2014 con le Linee guida sopra richiamate e in numerosi provvedimenti su singoli casi concreti adottati negli anni dal Garante.

Di contro, si è tenuto in considerazione che la violazione è stata posta in essere da un Comune di modeste dimensioni (c.a. 8.000 abitanti) e che non ha riguardato categorie particolari di dati personali. La pubblicazione nell’albo pretorio degli atti in questione è avvenuta per un breve periodo di tempo e senza alcuna indicizzazione sui siti generalisti. Non risultano, infine, precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 3.000 (tremila), per la violazione degli artt. 5, par. 1, lett. a) e c) e 6, parr. 1, lett. c) ed e) e 2 e 3, lett. b) del Regolamento e dell’art. 2-ter commi 1 e 3 del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139), quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, paragrafo 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Tenuto conto che i dati personali, oggetto di diffusione online, riguardavano gli esiti di procedure valutative e i conseguenti effetti giuridici ed economici riferiti a numerosi dipendenti comunali, si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dal Comune di Aviano per violazione degli artt. 5 e 6 del Regolamento e 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139), nei termini di cui in motivazione;

ORDINA

Al Comune di Aviano, in persona del legale rappresentante pro-tempore, con sede legale in Piazza Matteotti, 1 - 33081 Aviano (PN), C.F. 0009032093, di pagare la somma di euro di euro 3.000 (tremila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta […], in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di 3.000 (tremila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione del presente provvedimento sul sito web del Garante, ritenendo che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 6 luglio 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei