Provvedimento del 31 agosto 2023 [9936094]
Provvedimento del 31 agosto 2023 [9936094]
Condividi[doc. web n. 9936094]
Provvedimento del 31 agosto 2023
Registro dei provvedimenti
n. 363 del 31 agosto 2023
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);
VISTO il d. lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali (doc. web n. 1098801);
Relatore l’avv. Guido Scorza;
PREMESSO
1. Premessa
Con segnalazione presentata al Garante è stato rappresentato che il Comune dell’Aquila, con decreto del Sindaco n. XX del XX, aveva designato, quale Responsabile della protezione dei dati personali (di seguito, il “RPD”), l’ing. XX, direttore amministrativo della società Servizi Elaborazione Dati S.p.A. (di seguito “S.E.D. S.p.A” o “Società”), interamente partecipata dal predetto Comune. Secondo quanto rappresentato nella segnalazione, la predetta società già effettuava, per conto del Comune, trattamenti di dati personali in campo informatico, in qualità di responsabile del trattamento ai sensi dell’art. 28 del Regolamento (UE) 2016/679, dando adito, in questo modo, ad un possibile conflitto di interessi.
Il predetto decreto, inoltre, prevede che “la società S.E.D. s.p.a. ha facoltà di procedere alla individuazione di soggetto esterno alla società da designarsi, con successivo e separato provvedimento sindacale, quale Responsabile della Protezione dei Dati (D.P.O.) del Comune dell’Aquila con la precisazione che l’individuazione e successiva designazione quale D.P.O. dell’ente di soggetto esterno alla società non comporterà comunque costi aggiuntivi per il Comune dell’Aquila, essendo i relativi oneri già compresi nell’importo complessivo del corrispettivo previsto dal contratto per l’affidamento di servizi strumentali in essere con la società S.E.D. s.p.a.” (punto 4).
Il medesimo decreto, inoltre, nelle premesse specifica che con la deliberazione n. XX erano stati affidati alla predetta Società, in regime di in house providing, i “servizi strumentali relativi a: supporto informatico, assistenza e consulenza, sviluppo e manutenzione software, sviluppo nuovi servizi applicativi, costituzione, gestione, manutenzione delle banche dati dell’Ente, attività di amministrazione dei sistemi informativi” e che nel contratto di affidamento era indicato che “gli obblighi di S.E.D. s.p.a., in materia di protezione dei dati personali vengono meglio descritti nell’allegato atto di nomina a Responsabile del trattamento dati personali” (art. 5) prevedendo altresì “lo svolgimento da parte del S.E.D. s.p.a. di attività di supporto per l’osservanza del regolamento UE n. 679/2016 (GDPR)” (allegato tecnico).
2. Istruttoria.
In riscontro alla richiesta di informazioni dell’Ufficio, ai sensi dell’art. 157 del Codice, il Comune dell’Aquila ha dichiarato che:
- “le attività ordinarie che SED quotidianamente svolge per conto del Comune dell’Aquila” concernono “Informatica distribuita”, “Data center”, “Sistemi applicativi” e “Attività di consulenza”;
- l’ing. XX “non è un amministratore della Società”, per cui “Non vi è alcuna “sovrapposizione” né “conflitto di interessi”, quindi, tra il legale rappresentante del Responsabile SED (XX) e l’Ing. XX. La posizione di quest’ultimo, di direttore assunto a tempo indeterminato dalla Società, lo pone in una posizione di per cui è autonomo e indipendente dal Comune che – in nessun modo – può adottare provvedimenti nei suoi confronti non essendo dipendente dello stesso Ente ma di un soggetto (di diritto privato) diverso”;
- “In nessun modo il Decreto del Sindaco dell'Aquila n. XX del XX [] “delega” SED alla designazione — da patte della stessa — di un altro soggetto. A ben vedere, il Decreto dispone che: “La società S.E.D. S.p.A. ha facoltà di procedere alla individuazione di soggetto esterno alla società da designarsi, con separato provvedimento sindacale, quale Responsabile della Protezione dei Dati (D.P.O.) del Comune dell'Aquila ...”. Chiaramente è scritto che la eventuale designazione (art. 37 del GDPR) sarà eseguita “con separato provvedimento sindacale”. La formulazione deve essere intesa nel senso che stante le attività a cui è istituzionalmente preposta la Società può esser coinvolta nel percorso di “individuazione” dei possibili DPO a cui affidar l’incarico. L’affidamento, ossia la designazione, è un’esclusiva prerogativa del Titolare ma certamente SED potrà esser coinvolta, in sede di “programmazione dei fabbisogni e di progettazione del servizio da affidare” […];
- Come chiarito da ANAC - Autorità Nazionale Anti Corruzione nella recente Delibera n. 421 de 13 maggio 2020 avente ad oggetto “Richiesta di parere in merito all'applicazione del principio di rotazione ai contratti aventi ad oggetto il servizio di protezione dei dati personali (DPO) con la quale ha affermato il principio in base al quale “l'affidamento dei contratti aventi ad oggetto il servizio di protezione dei dati personali di importo inferiore alle soglie comunitarie deve avvenire nel rispetto del principio di rotazione. I particolari requisiti e obiettivi di esperienza e stabilità nell’organizzazione del servizio, richiesti dalla normativa di settore, possono essere perseguiti dalla stazione appaltante, già in fase di programmazione dei fabbisogni e di progettazione del servizio da affidare, attraverso la previsione di una durata del contratto che sia congrua rispetto agli obiettivi individuati e alle prestazioni richieste al contraente”.
Infine, sulla base di una verifica sul registro interno delle comunicazioni dei dati di contatto del RPD effettuate ai sensi dell’art. 37, par. 7, del Regolamento, è stato rilevato che il Comune dell’Aquila in data XX (prot. n. ), aveva indicato il dott. XX quale RPD interno, e non risultavano essere state comunicate successive variazioni, compresa quella determinata con il decreto n. XX del XX, oggetto di segnalazione.
In relazione a quanto sopra descritto, sulla base degli elementi acquisiti, delle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, con la nota del XX (prot. n.XX), l’Ufficio ha notificato al Comune dell’Aquila, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto la presunta violazione:
- degli artt. 38, par. 6, del Regolamento – in connessione con gli artt. 28, 29 e 38, par. 3, e alla luce del cons. 97 del medesimo Regolamento – per aver designato quale RPD un soggetto in posizione di conflitto di interessi in quanto titolare di un incarico di vertice che concorre all’adozione di decisioni fondamentali sui trattamenti all’interno della Società designata quale responsabile del trattamento da parte del Comune;
- dell’art. 37 del Regolamento, per aver previsto che il responsabile del trattamento, designato ai sensi dell’art. 28 del medesimo Regolamento, potesse procedere all’individuazione di un soggetto esterno da designarsi quale RPD presso il Comune, ledendo l’autonomia decisionale del titolare del trattamento cui spetta, in via esclusiva, questa prerogativa;
- dell’art. 37, par. 7, del Regolamento, per non aver comunicato all’Autorità i dati di contatto del RPD designato in sostituzione di quello precedentemente in carica.
Con nota del XX (prot. n. XX), il Comune dell’Aquila ha inviato al Garante, ai sensi dell’art. 166, commi 6 e 7, del Codice e dell’art. 18, comma 1, della legge 24 novembre 1981, n. 689, i propri scritti difensivi in relazione alle violazioni notificate, con i quali, nel richiamare gli elementi già rappresentati, ha precisato, in particolare, che:
- “Pur ribadendo l'assoluta buona fede e le ragioni fattuali che hanno ispirato la scelta dell’assetto inziale, nella prospettiva di fornire la massima cooperazione a Codesta Autorità e di porre rimedio allo stato di fatto di cui sopra, [il] Comune segnala di essersi attivato e di aver già rimosso i suddetti profili di criticità:
a) con determinazione n. XX del XX […] l’Ente, in autonomia, ha affidato l'incarico di DPO all'avv. XX, professionista esterno dotato di adeguata indipendenza e di competenze e conoscenze specifiche, il quale è stato formalmente nominato con decreto sindacale n. XX del XX […];
b) l'oggetto dell’incarico affidato è stato adeguatamente dettagliato in un contratto […];
c) in data XX […] ha provveduto a comunicare il nuovo nominativo attraverso la apposita procedura on line https://servizi.gpdp.it/comunicazionerpd/s/ […];
- Tale nomina di un soggetto esterno designato dal Comune assicura l’adeguata indipendenza e autonomia”.
Ad integrazione delle predette memorie, in vista dell’audizione richiesta, il Comune ha ulteriormente precisato che:
- “a seguito della nomina a Responsabile per la Protezione dei Dati del Comune dell’Aquila dell’ing. XX, la procedura per la comunicazione dei nuovi dati di contatto al Garante è stata avviata in data XX, inserendo i dati sul sito dell’autorità e ricevendo anche un ID provvisorio della comunicazione effettuata. Seguendo le istruzioni ricevute […], l'Ufficio di Gabinetto del Sindaco aveva proceduto a suo tempo anche alla firma digitale del file .xml scaricato dalla piattaforma, anche se successivamente il caricamento a sistema non è evidentemente andato a buon fine.
- Sicuramente l'Ente avrebbe dovuto verificare con maggiore attenzione il buon esito della procedura, ma quanto asserito dimostra in ogni caso la buona fede e la correttezza del Comune dell’Aquila nei rapporti con codesta Autorità, confermate anche dal tempestivo adeguamento alle prescrizioni del Garante a seguito della contestazione delle violazioni di cui trattasi.
In data XX, si è tenuta l’audizione richiesta dal titolare del trattamento innanzi all’Autorità, nel corso della quale, in relazione alla violazione notificata, oltre a ribadire quanto già dichiarato, è stato ulteriormente precisato che:
- il Comune aveva designato quale RPD l’Ing. XX ritendo lo stesso in “posizione di indipendenza rispetto alla Società, non solo in ragione della stabilità dell’incarico (a tempo indeterminato) ma anche per la natura del ruolo rivestito (dipendente), che è diverso da quello del presidente e rappresentante legale della società (di nomina politica)” attribuendo rilievo “alla particolare competenza ed esperienza maturata dallo stesso presso la S.E.D. S.p.A., ritenendo non sussistere ragioni di incompatibilità e conflitto di interessi”, evidenziando altresì che la Società “già si occupava del trattamento di dati del Comune in virtù del contratto di servizio” e che, comunque, la stessa “una diversa soggettività giuridica e autonomia rispetto al Comune”;
- In merito alla clausola n. 4) del decreto n. XX del XX, […] l’apporto della Società era inteso quale predisposizione del contratto e indicazione dei requisiti che dovesse avere tale figura, e non come individuazione del nominativo, proprio alla luce delle peculiari funzioni svolte dalla Società a favore del Comune. A dimostrazione di ciò, in sede di scelta del nuovo RPD, avvenuta in data XX, la designazione dell’Avv. XX è stata effettuata in piena autonomia dall’Ente, senza il coinvolgimento né della S.E.D. S.p.A. né dell’Ing. XX […];
- Con la designazione dell’Avv. XX, il Comune ha ritenuto di aver superato del tutto le criticità lamentate in ordine all’incompatibilità e al conflitto di interessi, dando inoltre atto che la procedura di individuazione e designazione è avvenuta, come detto, in totale autonomia, senza il coinvolgimento della S.E.D. S.p.A. o dell’Ing. XX […];
- La comunicazione al Garante dei dati di contatto del nuovo RPD, Avv. XX, è stata effettuata nell’immediatezza della designazione.
- Con riferimento a natura, gravità e durata delle violazioni contestate, si evidenzia che queste si ritengono di entità limitata, in quanto il Comune si è immediatamente attivato per superare i rilievi contestati, designando un nuovo RPD. A tal proposito, ha altresì evidenziato che nel frattempo non sono emerse criticità nel trattamento dei dati o danno per i cittadini. Anche riguardo all’elemento soggettivo, si sottolinea, per i motivi anzidetti, l’assoluta buona fede del Comune e l’assenza di dolo o della volontà di porre in essere condotte elusive. Il Comune, nell’ambito dell’istruttoria, ha inoltre manifestato la massima collaborazione con l’Autorità, rettificando nell’immediatezza i propri atti al fine di superare i rilievi mossi dall’Autorità”.
2. La normativa in materia di protezione dei dati personali
Il trattamento di dati personali deve avvenire nel rispetto della normativa applicabile in materia di protezione dei dati personali e, in particolare, delle disposizioni del Regolamento e del Codice.
Il RPD è designato dal titolare del trattamento obbligatoriamente “quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico”, il quale “comunica [i dati di contatto del RPD] all’autorità di controllo” (art. 37, parr. 1 e 7, del Regolamento).
Il RPD non deve ricevere “alcuna istruzione per quanto riguarda l’esecuzione di tali compiti” e “può svolgere altri compiti e funzioni. Il titolare del trattamento o il responsabile del trattamento si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi” (art. 38, paragrafi 3 e 6, del Regolamento).
Inoltre, il RPD è chiamato, tra le altre cose, a (art. 39, par. 1, lett. a), b), d) ed e), del Regolamento): “informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati”; “sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”; “cooperare con l’autorità di controllo” e “fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento”.
Tutto ciò in un contesto in cui i RPD “dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente” (cons. 97 del Regolamento).
Con specifico riferimento al divieto di ricevere istruzioni, le Linee guida sui responsabili della protezione dei dati (adottate dal Gruppo di lavoro articolo 29 il 13 dicembre 2016, nella versione emendata il 5 aprile 2017) precisano che “il RPD, nell’esecuzione dei compiti attribuitigli ai sensi dell’articolo 39, non deve ricevere istruzioni sull’approccio da seguire nel caso specifico – quali siano i risultati attesi, come condurre gli accertamenti su un reclamo, se consultare o meno l’autorità di controllo. Né deve ricevere istruzioni sull’interpretazione da dare a una specifica questione attinente alla normativa in materia di protezione dei dati”. Inoltre, “Il titolare del trattamento o il responsabile del trattamento mantengono la piena responsabilità dell’osservanza della normativa in materia di protezione dei dati e devono essere in grado di dimostrare tale osservanza. Se il titolare del trattamento o il responsabile del trattamento assumono decisioni incompatibili con il RGPD e le indicazioni fornite dal RPD, quest’ultimo dovrebbe avere la possibilità di manifestare il proprio dissenso al più alto livello del management e ai decisori” (par. 3.3, pp. 19 e 20).
Con riferimento al divieto di conflitti di interessi, le medesime Linee guida aggiungono che “L’assenza di conflitti di interessi è strettamente connessa agli obblighi di indipendenza. Anche se un RPD può svolgere altre funzioni, l’affidamento di tali ulteriori compiti e funzioni è possibile solo a condizione che essi non diano adito a conflitti di interessi. Ciò significa, in modo particolare, che un RPD non può rivestire, all’interno dell’organizzazione del titolare del trattamento o del responsabile del trattamento, un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali. Si tratta di un elemento da tenere in considerazione caso per caso guardando alla specifica struttura organizzativa del singolo titolare del trattamento o responsabile del trattamento” (par. 3.5, p. 21).
Infine, si evidenzia che, ai sensi dell’art. 28 del Regolamento, “Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti […]” (par. 1). “I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico […] che vincoli il responsabile del trattamento al titolare del trattamento […]” (par. 3). In particolare, tale contratto o altro atto giuridico prevede, tra le altre cose, che il responsabile del trattamento:
- “tratti i dati personali soltanto su istruzione documentata del titolare del trattamento” (lett. a));
- assista il titolare del trattamento sia “al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato”, sia “nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36” (lett. e) e f));
- “metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato. […] il responsabile del trattamento informa immediatamente il titolare del trattamento qualora, a suo parere, un'istruzione violi il presente regolamento o altre disposizioni, nazionali o dell'Unione, relative alla protezione dei dati” (lett. h)).
A ciò deve necessariamente essere aggiunto quanto previsto dall’art. 29 del Regolamento, secondo cui “Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri”.
Infine, si ricorda che, nel Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico, adottato dal Garante con provv. n. 186 del 29 aprile 2021 (doc. web n. 9589104), vengono evidenziate le criticità “allorché venga designato, come RPD, non l’intera società, bensì una persona fisica che, per ruolo e poteri all’interno della predetta società, sia in grado di adottare decisioni che influiscano sulla fornitura dei servizi IT, e quindi impattino sui trattamenti di dati personali effettuati per conto dell’amministrazione titolare (ad esempio, l’amministratore delegato, il direttore amministrativo, o comunque chiunque rivesta un ruolo apicale al suo interno). Questa sovrapposizione delle figure di RPD e di responsabile IT rende impossibile, di fatto, la sorveglianza, con la necessaria imparzialità, sulla validità e sull’adeguatezza delle soluzioni e delle misure, tecniche e organizzative, adottate, dato che i ruoli di controllore e controllato confluirebbero in capo al medesimo soggetto, ingenerando così un evidente conflitto permanente nello svolgimento delle proprie funzioni. In altre parole, si ritiene che l’indipendenza che il cons. 97 del Regolamento richiede in capo al RPD, tradotta nel divieto di conflitti di interessi di cui all’art. 38, par. 6, si troverebbe ad essere minata, in questi casi, proprio in ragione delle istruzioni che, nel suo ruolo di responsabile del trattamento, lo stesso deve ricevere dal titolare, ai sensi dell’art. 28, par. 3, lett. a), andando così a compromettere anche il divieto di ricevere istruzioni di cui al par. 3 dell’art. 38” (par. 10.2).
5. Esito dell’attività istruttoria.
Sulla base degli elementi acquisiti a seguito dell’attività istruttoria svolta, nonché delle successive valutazioni, risulta accertato che il Comune dell’Aquil,a con decreto n. XX del XX, ha designato quale RPD, un soggetto che si trovava in una posizione di conflitto di interessi ai sensi dell’art. 38, par. 6, del Regolamento.
Il soggetto incaricato, infatti, rivestiva, al contempo, l’incarico di “direttore amministrativo pro tempore della società SED s.p.a.”. Tale Società, in base al contratto di servizio (art. 1), forniva al Comune titolare del trattamento “servizi strumentali relativi a: supporto informatico, assistenza e consulenza, sviluppo e manutenzione software, sviluppo nuovi servizi applicativi, costituzione, gestione, manutenzione delle banche dati dell’Ente, attività di amministrazione dei sistemi informativi”, in qualità di responsabile del trattamento designato ai sensi dell’art. 28 del Regolamento (cfr. Delibera Cons. Comunale del Comune dell’Aquila n. XX del XX). In tal modo, il ruolo assolto dall’ing. XX all’interno dell’organizzazione della società lo metteva in una posizione tale da concorrere ad assumere decisioni in ordine ai trattamenti che la stessa effettuava per conto del titolare. Tali decisioni, peraltro, venivano adottate in un contesto in cui S.E.D. S.p.A., designata responsabile del trattamento ai sensi dell’art. 28 del Regolamento, e le persone che agiscono sotto la sua autorità (compreso l’ing. XX), autorizzate ai sensi dell’art. 29 del Regolamento, ricevevano istruzioni dal titolare del trattamento (Comune dell’Aquila).
Oltre a quanto sopra, la predetta Società, nell’ambito del contratto di affidamento stipulato con il Comune, svolgeva altresì “attività di supporto per l’osservanza del regolamento UE n. 679/2016 (GDPR)”, compito per il quale, a norma dell’art. 28, paragrafo 3, del Regolamento, avrebbe ricevuto istruzioni dal titolare del trattamento e alla cui vigilanza risulta naturalmente sottoposto. Conseguentemente, tale situazione di controllo sull’operato della Società per compiti strettamente connessi (quali le predette “attività di supporto per l’osservanza del regolamento UE n. 679/2016 (GDPR)”) con quelli propri del RPD, pongono anche le persone sottoposte all’autorità del responsabile del trattamento nell’area di influenza del titolare del trattamento, in tal modo potenzialmente compromettendo il divieto di impartire istruzioni al RPD per l’esecuzione dei suoi compiti, stabilito dall’art. 38, par. 3, del Regolamento.
Ciò detto, stante il ruolo di responsabile del trattamento svolto dalla Società, non può ritenersi sufficiente a superare i rilievi di cui alla contestazione, quanto evidenziato dal Comune in ordine alla “diversa soggettività giuridica e autonomia rispetto al Comune” di S.E.D. S.p.A. e alla circostanza che l’Ing. XX “non è un amministratore della Società”, per cui non vi sarebbe “alcuna “sovrapposizione” né “conflitto di interessi”, quindi, tra il legale rappresentante del Responsabile SED (XX) e l’Ing. XX” (nota del XX e memorie).
Risulta, pertanto, accertato in atti che la designazione del predetto RPD è avvenuta in violazione dell’art. 38, par. 6, del Regolamento – in connessione con gli artt. 28, 29 e 38, par. 3, e alla luce del cons. 97 del medesimo Regolamento – per aver designato quale RPD un soggetto che si trova in conflitto di interessi in quanto titolare di un incarico che concorre all’adozione di decisioni fondamentali sui trattamenti all’interno della Società designata quale responsabile del trattamento da parte del Comune.
Sotto diverso profilo, la clausola del decreto n. XX del XX secondo cui la Società, responsabile del trattamento “ha facoltà di procedere alla individuazione di un soggetto esterno alla società da designarsi, con successivo e separato provvedimento sindacale, quale Responsabile della Protezione dei Dati (D.P.O.) del Comune dell’Aquila”, è indubbiamente suscettibile di causare una significativa interferenza sull’autonomia decisionale che il Regolamento attribuisce al titolare del trattamento nell’individuazione del soggetto ritenuto idoneo per ricoprire tale posizione, ricavabile dalle disposizioni contenute nell’art. 37 del Regolamento. Tale interferenza, inoltre, nella specifica fattispecie, risulterebbe amplificata dalla circostanza che il supporto all’individuazione di un futuro RPD sarebbe stato posto in essere da un responsabile del trattamento (la società) che operava per conto del Comune, il cui direttore amministrativo, a sua volta, ricopriva il ruolo di RPD del titolare. In altre parole, gli elementi emersi nel corso dell’istruttoria hanno messo in evidenza come la Società che svolgeva funzioni da responsabile del trattamento per conto del Comune potesse influire sul processo decisionale con cui il titolare del trattamento avrebbe potuto individuare il RPD da designare eventualmente in futuro (per il previsto contributo alla sua individuazione), anche considerato che il RPD in carica ricopriva il ruolo di direttore amministrativo della medesima società, in modo da compromettere l’esercizio in maniera indipendente, come richiesto dal cons. 97 del Regolamento, dei compiti assegnati al RPD dall’art. 39 del Regolamento – tra cui, peraltro, rientra la sorveglianza sull'osservanza della disciplina in materia di protezione dei dati personali e delle politiche del titolare del trattamento anche in relazione all'attribuzione delle responsabilità (par. 1, lett. b)).
Riguardo a tali profili, il Comune ha dichiarato che “In nessun modo il Decreto del Sindaco dell'Aquila n. XX del XX “delega” SED alla designazione — da parte della stessa — di un altro soggetto” e che “chiaramente è scritto che la eventuale designazione (art. 37 del GDPR) sarà eseguita “con separato provvedimento sindacale” e la società avrebbe potuto esser coinvolta “in sede di “programmazione dei fabbisogni e di progettazione del servizio da affidare”. L’apporto della società previsto da tale clausola “era inteso quale predisposizione del contratto e indicazione dei requisiti che dovesse avere tale figura, e non come individuazione del nominativo, proprio alla luce delle peculiari funzioni svolte dalla Società a favore del Comune”. Ha inoltre evidenziato che, “a dimostrazione di ciò, in sede di scelta del nuovo RPD, avvenuta in data XX, la designazione [di tale figura] è stata effettuata in piena autonomia dall’Ente, senza il coinvolgimento né della S.E.D. S.p.A. né dell’Ing. XX”.
Ferma restando la criticità di tale clausola, potenzialmente idonea ad arrecare un vulnus all’autonomia decisionale che l’art. 37 del Regolamento attribuisce al titolare del trattamento nell’individuazione del soggetto ritenuto idoneo per ricoprire la posizione di RPD, sulla base delle dichiarazioni rese in atti dal titolare, nel caso specifico, non risulta accertato che la designazione del nuovo RPD – considerato anche che la designazione è stata effettuata successivamente all’avvio dell’istruttoria che aveva evidenziato le criticità della previsione in questione – sia avvenuta su indicazione della Società responsabile del trattamento o comunque in violazione dell’autonomia decisionale del titolare del trattamento. Pertanto, per quanto riguarda questo profilo, si procede con l’archiviazione della contestazione della violazione dell’art. 37 del Regolamento, pur rilevando che clausole come quella in parola possono creare i presupposti per l’effettuazione di condotte in grado di minare l’autonomia decisionale del titolare del trattamento, e quindi in contrasto con la disciplina in materia di protezione dei dati personali.
Deve, invece, ritenersi accertata la violazione relativa alla mancata comunicazione all’Autorità dei dati di contatto del RPD designato con il decreto n. XX del XX in sostituzione di quello precedentemente in carica. Al riguardo, sulla base di quanto dichiarato con la nota del XX, il Comune, pur avendo avviato la procedura per la comunicazione al Garante dei nuovi dati di contatto del RPD designato in data XX, non ha portato a termine, seppure in buona fede, la predetta procedura di comunicazione, pur avendo ricevuto, in data XX, all’indirizzo email XX, una comunicazione circa il rigetto della variazione dei dati di contatto.
Il mancato aggiornamento dei dati di contatto del RPD configura un inadempimento dell’obbligo di comunicazione all’Autorità previsto dall’art. 37, par. 7, del Regolamento, che è finalizzato a rendere reperibile il RPD effettivamente in carica a questa Autorità.
6. Conclusioni.
Alla luce delle valutazioni sopra riportate, si evidenzia che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ non consentono di superare del tutto i rilievi notificati con la nota del XX (prot. n. XX).
Per tutto quanto sopra descritto, le circostanze evidenziate negli scritti difensivi, esaminate nel loro complesso, sicuramente meritevoli di considerazione ai fini della valutazione della condotta, non risultano sufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
In tale quadro, si confermano, in parte, le valutazioni preliminari dell’Ufficio e si rileva che il Comune dell’Aquila ha commesso, per le ragioni descritte in motivazione, la violazione:
a) dell’art. 38, par. 6, del Regolamento – in connessione con gli artt. 28, 29 e 38, par. 3, e alla luce del cons. 97 del medesimo Regolamento – per aver designato quale RPD un soggetto che si trova in conflitto di interessi in quanto titolare di un incarico di vertice che concorre all’adozione di decisioni fondamentali sui trattamenti all’interno della Società designata quale responsabile del trattamento da parte del Comune;
b) dell’art. 37, par. 7, del Regolamento, per non aver comunicato a questa Autorità i dati di contatto del RPD designato in sostituzione di quello precedentemente in carica.
Ciò premesso, si rileva che:
- non risultano precedenti violazioni commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento;
- il titolare ha provveduto, già nel corso dell’istruttoria, a designare un nuovo RPD, esterno rispetto alla Società responsabile del trattamento, nonché a comunicare i dati di contatto al Garante.
Le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi del cons. 148 del Regolamento e delle “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal Gruppo di Lavoro Art. 29 il 3 ottobre 2017, WP 253, e fatte proprie dal Comitato europeo per la protezione dei dati con l’”Endorsement 1/2018” del 25 maggio 2018, facendo pertanto ritenere sufficiente ammonire il titolare del trattamento per la violazione delle disposizioni sopraindicate, ai sensi dell’art. 58, par. 2, lett. b), del Regolamento.
In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, in quanto il Comune, come sopra evidenziato, ha provveduto ad eliminare le criticità che hanno dato luogo alla notifica di violazione già nel corso dell’istruttoria, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.
Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione del fatto che le violazioni attengono all’allocazione di compiti e responsabilità tra i differenti incarichi connessi alla protezione dei dati personali (quali quelli di responsabile del trattamento e di RPD).
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
TUTTO CIÒ PREMESSO IL GARANTE
a) dichiara, ai sensi dell’art. 57, par. 1, lett. a), del Regolamento, l’illiceità della condotta tenuta dal Comune dell’Aquila, con sede legale in Via San Bernardino - Palazzo Fibbioni, 67100 L'Aquila, C.F./P. IVA 80002270660, consistente nella violazione degli artt. 37, par. 7, e dell’art. 38, par. 6, del Regolamento, nei termini di cui in motivazione;
b) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce il Comune dell’Aquila, per aver violato gli artt. 37, par. 7, e dell’art. 38, par. 6, del Regolamento, come sopra descritto;
c) dispone la pubblicazione del presente provvedimento sul sito web del Garante, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019
d) dispone l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento.
Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 31 agosto 2023
IL PRESIDENTE
Stanzione
IL RELATORE
Scorza
IL SEGRETARIO GENERALE
Mattei
