Provvedimento del 18 luglio 2023 [9920562]
Provvedimento del 18 luglio 2023 [9920562]
Condividi[doc. web n. 9920562]
Provvedimento del 18 luglio 2023
Registro dei provvedimenti
n. 311 del 18 luglio 2023
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27/4/2016, «relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE», “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);
VISTO il d. lgs. 30/6/2003, n. 196 recante «Codice in materia di protezione dei dati personali» (di seguito “Codice”);
VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida in materia di trasparenza”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;
Relatore il prof. Pasquale Stanzione;
PREMESSO
1. Introduzione
Questa Autorità ha ricevuto un reclamo, presentato dal sig. XX (di seguito “reclamante”), con il quale è stata lamentata una violazione della normativa in materia di protezione dei dati personali da parte dell’Autorità di sistema portuale del Mare Adriatico settentrionale-Porti di Venezia e Chioggia (di seguito “Autorità di sistema portuale”).
Nello specifico, è stata contestata la circostanza che nel documento intitolato «XX» e il reclamante, pubblicato online sul sito web istituzionale della citata Autorità portuale, pur essendo stato omesso il nominativo del reclamante «sono rimasti tutti i riferimenti dai quali [era] facile risalire [alla relativa identità]» e «In particolare, [veniva] citato il Decreto dell’Ente n. XX [anch’esso pubblicato online] all’interno del quale l’unico soggetto indicato è appunto [il reclamante]».
Dall’identificabilità del reclamante è conseguita la diffusione anche delle ulteriori informazioni personali allo stesso riferite, peraltro relative a una vicenda lavorativa, come la contestazione del reclamante, a mezzo del proprio avvocato, del decreto con cui sarebbe stato demansionato (decreto del Commissario straordinario n. XX) e l’avvenuta transazione della vicenda con l’Ente, completa dell’importo liquidato.
Dalla documentazione allegata dal reclamante, risulta che lo stesso si era già rivolto all’Autorità di sistema portuale, titolare del trattamento, per chiedere la rimozione delle informazioni eccedenti (da ultimo anche con e-mail inviata al Presidente del XX), senza tuttavia ricevere alcun riscontro che risolvesse la questione.
Inoltre, dalla verifica preliminare effettuata dall’Ufficio è risultato che sul sito web istituzionale dell’Autorità di sistema portuale, nell’area denominata «Autorità di Sistema Portuale Amministrazione Trasparente» (https://...), era possibile visualizzare e scaricare liberamente dalla pagina presente all’url https://... il documento intitolato «XX […]», con indicazione del Decreto dell’Ente n. XX. Il citato documento risultava, inoltre, direttamente raggiungibile all’url https://....
Analogamente, dalla medesima area, all’url https://..., risultava scaricabile il documento intitolato «Decreto n. XX del XX». Il citato documento risultava inoltre direttamente raggiungibile all’url https://....
2. La normativa in materia di protezione dei dati personali
Ai sensi della disciplina in materia, «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata» o «identificabile» (art. 4, par. 1, n. 1, del RGPD). Si considera “identificabile”» la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (ibidem).
Al riguardo, con particolare riferimento al caso sottoposto all’attenzione del Garante, si ricorda che i soggetti pubblici, come l’Autorità di sistema portuale, possono diffondere «dati personali» solo in presenza dei presupposti previsti dall’art. 2-ter, commi 1 e 3, del Codice, nel rispetto – in ogni caso – dei principi in materia di protezione dei dati, fra cui quello di «minimizzazione», in base al quale i dati personali devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. c, del RGPD).
Il Garante fin dal 2014 ha fornito specifiche indicazioni alle amministrazioni sulle cautele da adottare per la diffusione di dati personali online con il provvedimento generale n. 243 del 15/5/2014, recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (attualmente in corso di aggiornamento, ma ancora attuale nella parte sostanziale).
Nelle predette Linee guida è indicato, fra l’altro, che, in molti casi e in particolari ambiti, la pubblicazione online anche solo di alcune informazioni «è sufficiente a individuare univocamente la persona cui le stesse si riferiscono e, dunque, a rendere tale soggetto identificabile mediante il collegamento con altre informazioni che possono anche essere nella disponibilità di terzi o ricavabili da altre fonti» (parte prima, par. 3). Pertanto, per «rendere effettivamente "anonimi" i dati pubblicati online occorre, quindi, oscurare del tutto il nominativo e le altre informazioni riferite all’interessato che ne possono consentire l’identificazione anche a posteriori» (ivi)
3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato.
In base alle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX del XX ha accertato che l’Autorità di sistema portuale del Mare Adriatico settentrionale-Porti di Venezia e Chioggia – diffondendo online i dati e le informazioni personali prima descritti – ha effettuato un trattamento di dati personali non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD. Pertanto, con la medesima nota sono state notificate alla predetta Autorità di sistema portuale le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD e invitando la predetta amministrazione a far pervenire al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentita da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).
4. Memorie difensive e audizione.
L’Autorità di sistema portuale del Mare Adriatico settentrionale-Porti di Venezia e Chioggia, con la nota prot. n. XX del XX, ha inviato al Garante i propri scritti difensivi in relazione alle violazioni notificate, evidenziando, fra l’altro che:
- l’«Autorità di Sistema Portuale del Mare Adriatico Settentrionale dispone di sistemi informatici volti a garantire l’anonimizzazione dei documenti, oltre a funzionalità operative finalizzate allo stesso scopo, che vengono sempre utilizzati e gestiti con attenzione e competenza. Il corretto impiego di questi strumenti ha sempre garantito alla scrivente la corretta trattazione dei dati personali e ha assicurato l’assenza di errori ed incidenti nei numerosissimi atti e documenti trattati nella gestione delle proprie attività»;
- «Nella circostanza di specie l’errore che ha determinato la diffusione di un solo dato personale relativo ad un dipendente, è stato determinato da un mancato approfondito controllo su un altro atto precedente che quindi, per relationem, ha prodotto l’esito lamentato»;
- «Si tratta di un incidente, isolato, che ha permesso alla scrivente di evidenziare una falla nella procedura di gestione e pubblicazione dei dati che è stata immediatamente corretta»;
- «La pubblicazione dei dato personale oggetto della doglianza è da intendersi assolutamente involontario e accidentale, non essendoci in capo alla scrivente alcuna volontà di pubblicazione dello stesso»;
- «[si] dichiara di aver avviato il processo di oscuramento dei contenuti oggetto di doglianza, come esito della deindicizzazione degli stessi dai motori di ricerca»;
- è stato «pianificato e programmato con il […] DPO una attività di formazione rivolta a tutti i […] dipendenti per consolidare i temi della privacy. Sono altresì in elaborazione le linee guida per la pubblicazione dei dati online che saranno terminate entro il mese di giugno 2023».
5. Valutazioni del Garante ed esito dell’istruttoria relativa al reclamo presentato
La questione oggetto del caso sottoposto all’attenzione del Garante riguarda la pubblicazione online di un atto di transazione tra l’Autorità di sistema portuale e il reclamante nel quale, pur essendo stato omesso il nominativo di quest’ultimo, non erano state oscurate tutte le informazioni che potevano indentificarlo in maniera indiretta. Nello specifico, infatti, nella motivazione dell’atto di transazione era menzionato il decreto dell’ente n. XX – liberamente consultabile online sul medesimo sito web istituzionale – all’interno del quale era, invece, riportato in chiaro il nominativo del reclamante.
In tale contesto, pur tenendo conto della volontà dell’Autorità di sistema portuale, titolare del trattamento, di non rendere identificabile il soggetto interessato, si rileva che il reclamante risultava comunque “identificabile” per relationem.
Per «identificazione», infatti, «non si intende solo la possibilità di recuperare il nome e/o l’indirizzo di una persona, ma anche la potenziale identificabilità mediante individuazione, correlabilità e deduzione» (Gruppo di Lavoro Art. 29, Parere 05/2014 sulle tecniche di anonimizzazione, WP216; cfr. anche provv. n. 65 del 2/3/2023, in www.gpdp.it, doc. web n. 9874480; provv. n. 68 del 25/2/2021, ivi, doc. web n. 9567429; provv. 2/7/2020, n. 119, ivi, doc. web n. 9440042; provv. n. 118 del 2/7/2020, ivi, doc. web n. 9440025).
Dagli atti risulta che l’Autorità di sistema portuale era stata messa a conoscenza della problematica da parte dello stesso reclamante e avrebbe, quindi, potuto evitare il presente procedimento se avesse provveduto a dare seguito alla richiesta di rimozione delle informazioni eccedenti inviata da ultimo con e-mail del XX al Presidente dell’Autorità di sistema portuale, acquisita agli atti.
In tale contesto, l’amministrazione ha confermato nelle proprie memorie difensive l’avvenuta diffusione dei dati personali del reclamante, attribuendola a un mero errore, involontario e accidentale, dovuto a «una falla nella procedura di gestione e pubblicazione dei dati che è stata immediatamente corretta».
Al riguardo, le circostanze indicate negli scritti difensivi, esaminate nel loro complesso, sicuramente meritevoli di considerazione ai fini della valutazione della condotta, non consentono tuttavia l’archiviazione del presente procedimento, in quanto non ricorre alcuna delle ipotesi previste dall’art. 11 del Regolamento del Garante n. 1/2019.
In tale quadro, si confermano le valutazioni preliminari dell’Ufficio con la nota prot. n. XX del XX e si rileva l’illiceità del trattamento di dati personali effettuato dall’Autorità di sistema portuale del Mare Adriatico settentrionale-Porti di Venezia e Chioggia, in quanto la pubblicazione dell’atto di transazione oggetto di contestazione completo dell’indicazione del citato decreto n. XX (anch’esso pubblicato online) ha comportato una diffusione di dati e informazioni personali del reclamante sopra descritti:
a) non conforme al principio di «minimizzazione» dei dati, in quanto gli stessi non sono «limitati a quanto necessario rispetto alle finalità per le quali sono trattati», in violazione dell’art. 5, par. 1, lett. c), del RGPD;
b) priva di idonei presupposti normativi, in violazione dell’art. 2-ter, commi 1 e 3, del Codice; nonché dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD;
Si ritiene, tuttavia, di dover in ogni caso considerare la particolarità del caso in esame, che presenta una serie di circostanze meritevoli di un’attenta valutazione. In particolare, il fatto che l’Autorità di sistema portuale aveva effettivamente provveduto a omettere il nominativo del reclamante nell’atto di transazione e che – come dichiarato nelle memorie difensive – il mantenimento del riferimento al decreto n. XX è stato frutto di un errore involontario, accidentale e isolato «non essendoci in capo [all’Autorità portuale] alcuna volontà di pubblicazione dello stesso».
Si tiene, inoltre, conto del fatto che la condotta tenuta è stata di natura evidentemente colposa e ha avuto a oggetto dati non appartenenti a categorie particolari né a condanne penali o reati (artt. 9 e 10, del RGPD) riferiti a un solo soggetto interessato. Inoltre, il titolare del trattamento, a seguito della richiesta dell’Ufficio è intervenuto tempestivamente, collaborando con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alla violazione, attenuandone i possibili effetti negativi. Nel riscontro al Garante sono state, inoltre, descritte diverse misure tecniche e organizzative messe in atto ai sensi degli artt. 25-32 del RGPD e non risultano, in ogni caso, eventuali precedenti violazioni del RGPD pertinenti commesse dall’ente.
Alla luce di tutto quanto sopra rappresentato, si ritiene sufficiente ammonire il titolare del trattamento per la violazione delle disposizioni sopraindicate, ai sensi dell’art. 58, par. 2, lett. b), del RGPD (cfr. anche considerando 148 del RGPD).
Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.
TUTTO CIÒ PREMESSO IL GARANTE
rilevata l’illiceità del trattamento effettuato dall’Autorità di sistema portuale del Mare Adriatico settentrionale Porti di Venezia e Chioggia, in persona del legale rappresentante pro-tempore, con sede legale in Santa Marta - Fabbricato 13 - 30125 Venezia (VE), C.F. 00184980274 – nei termini indicati in motivazione ai sensi degli artt. 58, par. 2, lett. b), del RGPD
AMMONISCE
l’Autorità di sistema portuale del Mare Adriatico settentrionale Porti di Venezia e Chioggia per aver violato gli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD; nonché l’art. 2-ter, commi 1 e 3, del Codice
DISPONE
l’annotazione nel registro interno dell’Autorità delle violazioni e delle misure adottate ai sensi dell’art. 58, par. 2, del RGPD con il presente provvedimento, come previsto dall’art. 17 del Regolamento del Garante n. 1/2019.
Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 18 luglio 2023
IL PRESIDENTE
Stanzione
IL RELATORE
Stanzione
IL SEGRETARIO GENERALE
Mattei
