[doc. web n. 9940457]

Provvedimento del 14 settembre 2023

Registro dei provvedimenti
n. 398 del 14 settembre 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Introduzione.

Con reclamo presentato ai sensi dell’art. 77 del Regolamento, il sig. XX, ha lamentato la circostanza che il Comune di San Severo (FG) (di seguito “Comune”), presso cui presta la propria attività lavorativa, ha pubblicato sul proprio sito istituzionale tre determine (Determina liquidazione fondo incentivante del XX, XX e XX) contenenti “l’elenco dei dipendenti [… nome, cognome, categoria di appartenenza e somma erogata] in proporzione alla performance individuale”.

2. L’attività istruttoria.

Con nota prot. n. XX del XX in riscontro a una richiesta d’informazioni del Garante (nota prot. n. XX del XX) il Comune ha dichiarato, in particolare, che:

“le determinazioni pubblicate, oggetto del reclamo in esame, sono “nello specifico […]: determina R.G. n. XX del XX, pubblicata in pari data, di liquidazione fondo incentivante del XX; determina R.G. n. XX del XX, pubblicata in pari data, di liquidazione fondo incentivante del XX; determina R.G. n. XX del XX, pubblicata in pari data, di liquidazione fondo incentivante del XX”

“a seguito dell’entrata in vigore del GDPR, [il Comune] ha provveduto ad avviare il percorso di adeguamento al Regolamento europeo: - individuando all’esterno il Responsabile Protezione Dati personali; - predisponendo per l’approvazione il modello organizzativo aggiornato dell’Ente in materia di trattamento dei dati personali, secondo il quale è prevista l’attribuzione delle competenze del titolare agli organi del Comune in relazione alle funzioni agli stessi assegnate dal D.Lgs. n. 267/2000 e dallo Statuto comunale, con assegnazione di compiti specifici ai dirigenti delle aree organizzative, in qualità di delegati alla funzione di titolare, e con formalizzazione di istruzioni e linee guida di sicurezza per il trattamento dei dati gestiti dal Comune da parte degli autorizzati allo stesso; - fornendo la necessaria formazione al personale dipendente e ai collaboratori. Contestualmente è stata dedicata una sezione dell’home page del sito web del Comune alla tematica del trattamento dei dati, inserendo in essa i riferimenti ai provvedimenti adottati e le informative generali riferite ai diversi servizi e attività gestite”;

“al fine di evitare errori ed errate interpretazioni nella pubblicazione degli atti sono state inoltre adottate le seguenti misure organizzative: il Segretario Generale ha emesso la Direttiva generale nr. XX del XX indirizzata a tutto il personale dipendente avente per oggetto “DIFFUSIONE IN RETE DI DATI PERSONALI – BILANCIAMENTO TRA TRASPARENZA E PROTEZIONE DEI DATI PERSONALI – CHECK-LIST DI AUTO-CONTROLLO PER PREVENIRE ERRORI NELLE OPERAZIONI DI PUBBLICAZIONE DEI DATI”;

“nonostante quanto sopra rappresentato “a seguito della notifica della […] richiesta di informazioni [di questa Autorità] si è potuto constatare, tuttavia, che: nel sito istituzionale del Comune di San Severo, nella sezione dell’Albo pretorio, è risultata erroneamente attiva la sezione denominata “Archivio Albo Pretorio”, con conseguente pubblicazione di atti anche oltre il periodo di pubblicazione prescritto; nella sezione “Amministrazione trasparente” sotto sezione “Provvedimenti”, risultano riportati gli atti deliberativi e le determinazioni integrali a partire dal XX”;

“a seguito della verifica condotta dal Servizio Automazione del Comune, in contraddittorio con il fornitore incaricato della manutenzione del sito istituzionale, è risultato che la presenza della sezione “Archivio Albo Pretorio” sarebbe riconducibile ad un mero errore di configurazione del sito web a seguito di adeguamento dello stesso alle linee guida AgID; la funzione di consultazione dello storico infatti era stata disattivata, ma probabilmente a seguito dell’aggiornamento dell’applicativo, è stata involontariamente riattivata”;

“in relazione a tanto, a seguito di richiesta dell’Ente e del Servizio Automazione, il fornitore incaricato della manutenzione del sito istituzionale ha provveduto, come risulta dalla relazione interna prodotta dal responsabile del Servizio Automazione, senza indugio a: eliminare la funzione dello storico dell'albo pretorio e la consultazione degli atti deliberativi dal sito istituzionale; eliminare il link al vecchio sito con relativa inibizione ai motori di ricerca”;

“per quanto riguarda la sezione “Amministrazione trasparente” del sito istituzionale, sotto sezione “Provvedimenti”, il Servizio Automazione dell’Ente ha verificato l’erronea impostazione delle pubblicazioni automatiche e conseguentemente ha immediatamente chiesto al fornitore incaricato della manutenzione del sito istituzionale di correggere l’impostazione delle pubblicazioni automatiche, secondo il disposto dell’art. 8, comma 3, del D.Lgs. n. 33/2013. Inoltre, nelle more del completamento degli ulteriori interventi tecnici correttivi da parte del fornitore incaricato della manutenzione del sito istituzionale, in data XX il Servizio Automazione dell’Ente ha chiesto allo stesso di sospendere temporaneamente la consultabilità di detta sotto sezione”;

“premesso tutto quanto sopra riferito, […] si rappresenta che: relativamente alla base giuridica del trattamento riguardante la pubblicazione delle determinazioni dirigenziali riferite alla liquidazione del fondo incentivante per il XX, XX e XX - o di qualsiasi altro atto contenente l’elenco dei nominativi dei dipendenti associati ai compensi incentivanti sulla produttività individuale e/o agli importi relativi all’attribuzione delle progressioni economiche - sul sito web del Comune e/o sull’albo pretorio online, i dati relativi alla produttività dei dipendenti (segnatamente: nome, cognome, categoria e posizione economica, importo di produttività riconosciuto), sono stati riportati nei segnalati atti probabilmente a causa di una non corretta interpretazione della norma da parte dell’ufficio preposto; non risultano comunque allegate le schede di valutazione dei singoli dipendenti né risultano riportati i conseguenti punteggi agli stessi assegnati”;

“relativamente al periodo di tempo in cui tali documenti siano stati reperibili e/o siano ancora reperibili sul sito istituzionale del Comune e/o in rete, i documenti interessati sono stati reperibili sul sito dalla loro pubblicazione sino al giorno XX […], ed attualmente non sono più reperibili, in quanto il fornitore incaricato della manutenzione del sito istituzionale, ha effettuato con immediatezza la corretta configurazione dell’applicativo della pubblicazione e ha disattivato le funzioni di consultazione dei documenti storici”.

Con nota del XX (prot. n. XX), l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato al Comune ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto le presunte violazioni degli artt. 5 par. 1, lett. a)  e 6 par.1 lett. c) ed e) del Regolamento e dell’art. 2-ter del Codice, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).

Con nota del XX il Comune, ha presentato una memoria difensiva, dichiarando, in particolare, che:

“l’Ufficio che ha adottato i provvedimenti di liquidazione del trattamento premiale della performance, oggetto di reclamo, ha operato in buona fede, in base alla circostanza che dal provvedimento di attribuzione dell’emolumento non fosse possibile evincere alcun dato che riguardasse la situazione specifica del dipendente, trattandosi di importi economici predeterminati per legge e sulla base del CCNL”;

“si rileva che gli importi complessivamente liquidati erano da intendersi suddivisi per ciascuna Area proporzionalmente al numero di tutti i dipendenti in servizio e che nessun riferimento alle schede di valutazione fosse stato inserito”;

il Comune “a seguito della richiesta d’informazioni […], si è immediatamente attivato per conformarsi alla normativa vigente, nell’intento di scongiurare eventuali future condotte di violazione della normativa sul diritto alla privacy”;

“in aggiunta alle misure tecniche ed organizzative di cui agli artt. 25 e 32 del Regolamento già comunicate con precedente nota, al fine di garantire un ulteriore rafforzamento delle azioni già adottate, il Comune […] ha altresì: aggiornato il Codice di comportamento dei dipendenti comunali con Delibera di Giunta n. XX del XX; adottato il Modello organizzativo per la protezione dei dati personali (MOPD) con Delibera di Giunta n. XX del XX, al fine di stabilire specifiche modalità organizzative, misure procedimentali e regole di dettaglio, finalizzate anche ad armonizzare questioni interpretative, che permettano a questo Ente di poter agire con adeguata funzionalità ed efficacia nell’attuazione delle disposizioni introdotte dal Regolamento UE 2016/679”; erogato sessioni formative a tutto il personale dell’Ente in collaborazione con il Servizio RPD […]; programmato ulteriori corsi di formazione per l’anno XX, per fornire un continuo e costante aggiornamento dei dipendenti sulla normativa di settore della privacy”;

“si chiede, pertanto, al fine di gradare correttamente la responsabilità, di valutare il danno effettivo e concreto subito dall’istante, posto che nel merito non appare emergere la diffusione di dati cd. “particolari” ovvero “relativi a condanne penali e reati”, non essendoci riferimenti alle schede di valutazione della performance per la determinazione dell’importo accessorio”.

3. Esito dell’attività istruttoria.

3.1 Il quadro normativo

La disciplina di protezione dei dati personali prevede che i soggetti pubblici, nell’ambito del contesto lavorativo, possono trattare i dati personali degli interessati, anche relativi a categorie particolari, se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti dalla legge o dal diritto dell’Unione o degli Stati membri (artt. 6, par. 1, lett. c), 9, par. 2, lett. b) e 4 e 88 del Regolamento). Il trattamento è, inoltre, lecito quando sia “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, parr. 1, lett. e), 2 e 3, e art. 9, par. 2, lett. g), del Regolamento; art. 2-ter del Codice).

Tali trattamenti devono, comunque, trovare fondamento nel diritto dell’Unione o dello Stato membro, che, deve perseguire un obiettivo di interesse pubblico ed essere proporzionato al perseguimento dello stesso. La finalità del trattamento deve essere necessaria per l'esecuzione di un compito svolto nel pubblico interesse o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento (cfr. art. 6, par. 3, del Regolamento e 2-ter del Codice).

Il titolare del trattamento è tenuto, in ogni caso, a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione dei dati”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c), del Regolamento).

3.2 La diffusione dei dati personali.

Come risulta dagli atti, nonché dall’accertamento compiuto sulla base degli elementi acquisiti, a seguito dell’attività istruttoria e delle successive valutazioni dell’Ufficio, risulta che il Comune ha pubblicato sul proprio sito web istituzionale le determine riferite alla liquidazione del fondo incentivante per gli anni XX, XX e XX recanti gli elenchi dei nominativi di circa 140 dipendenti, la posizione economica di ciascuno nonché l’ammontare del compenso individualmente percepito in relazione alla produttività individuale (segnatamente le determine R.G. n. XX del XX, pubblicata in pari data, di liquidazione fondo incentivante del 2XX; R.G. n. XXdel XX, pubblicata in pari data, di liquidazione fondo incentivante del XX; R.G. n. XX del XX, pubblicata in pari data, di liquidazione fondo incentivante del XX). La pubblicazione dei predetti atti - contenenti dati personali del reclamante e di altri interessati (“segnatamente: nome, cognome, categoria e posizione economica, importo di produttività riconosciuto”) - si è protratta dal giorno della emanazione di ciascuna determina fino al XX, giorno in cui, a seguito dell’avvio della presente istruttoria, avvedendosi dell’errore, il Comune ha messo in atto, anche tramite il coinvolgimento del fornitore del servizio di gestione e manutenzione del sito web, tutte le operazioni per rimuovere i dati personali dal proprio sito istituzionale.

Al riguardo, nel ribadire che il quadro normativo in materia di protezione dei dati personali richiede per qualsiasi operazione di trattamento (art.4, punto 2 del Regolamento) compresa la diffusione (art. 2-ter comma 4 lett. b) del Codice) la necessità di disporre di un’idonea base giuridica, si ricorda che il Garante ha fornito fin dal 2007 indicazioni in ordine ai presupposti (e al ricorrere di questi, delle specifiche modalità) per la lecita pubblicazione di atti e documenti che contengono dati personali dei dipendenti precisando, in particolare, che non è lecito diffondere informazioni personali riferite a singoli lavoratori, riguardanti, ad esempio, contratti individuali di lavoro, trattamenti stipendiali o accessori percepiti, attraverso la loro pubblicazione, anche online (cfr. par. 6.3 delle "Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico" del 14 giugno 2007, doc. web n. 1417809; v. anche provv. del 15 maggio 2014 n. 243 “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” doc. web n. 3134436).

Nel corso dell’istruttoria il Comune ha rappresentato che “nel sito istituzionale del Comune di San Severo, nella sezione dell’Albo pretorio, è risultata erroneamente attiva la sezione denominata “Archivio Albo Pretorio”, con conseguente pubblicazione di atti anche oltre il periodo di pubblicazione prescritto, riconducendo pertanto erroneamente l’ambito del trattamento in questione all’assolvimento degli obblighi di pubblicazione di cui all’art. 124 del d.lgs. n. 267 del 18 agosto 2000 (Testo Unico delle leggi sull’ordinamento degli enti locali) che regola la pubblicazione per 15 giorni sull’Albo Pretorio delle deliberazioni dell’Ente. Tale disciplina, tuttavia, nulla stabilisce con riguardo alla pubblicazione delle determine oggetto della presente istruttoria, concernenti la liquidazione del fondo incentivante dei dipendenti.

Il Garante, in proposito, ha chiarito in numerose occasioni che, anche la presenza di uno specifico regime di pubblicità che riguarda talune categorie di atti, circostanza che comunque non ricorre nel caso di specie, non può comportare alcun automatismo rispetto alla diffusione online di dati personali in essi contenuti né una deroga ai principi in materia di protezione dei dati personali potendo essere diffusi i soli dati necessari, pertinenti e non eccedenti rispetto alle specifiche finalità perseguite dalla norma di settore (v. provv. del 26 gennaio 2023, n. 28, doc. web n. 9865528 e provvedimenti in esso richiamati).

A tale riguardo si precisa, infatti, che anche alle pubblicazioni sull’Albo Pretorio online di atti o deliberazioni si applicano tutti i limiti previsti dai principi della protezione dei dati personali, avendo riguardo anzitutto alla sussistenza di idonei presupposti di liceità della diffusione online dei dati personali in essa contenuti, prima ancora che alla eventuale minimizzazione degli stessi.

Anche per quanto riguarda la pubblicazione nella sezione “Amministrazione trasparente” del sito istituzionale il Comune deve sempre verificare, sulla base di una valutazione responsabile e attenta, quali dati e informazioni pubblicare in applicazione della normativa di settore che regola modi, tempi e forme di pubblicità, non essendo automaticamente applicabile il disposto dell’art. 8, comma 3, del d.lgs. n. 33/2013, richiamato dal Comune.

Al riguardo si osserva che il d.lgs. 14 marzo 2013, n. 33 prevede la pubblicazione obbligatoria da parte delle pubbliche amministrazioni dell´“ammontare complessivo dei premi collegati alla performance stanziati e l’ammontare dei premi effettivamente distribuiti” nonché “l’entità del premio mediamente conseguibile dal personale […], i dati relativi alla distribuzione del trattamento accessorio, in forma aggregata” (art. 20, commi 1 e 2, d.lgs. n. 33/2013). La finalità di trasparenza perseguita mediante tale previsione, al fine di dare evidenza dei livelli di selettività e premialità “nella distribuzione dei premi e degli incentivi” al personale, trova effettività, per espressa scelta del legislatore, attraverso la pubblicazione dei menzionati valori “in forma aggregata” e non nominativa.

Stante quindi la mancata previsione dell’obbligo di pubblicazione di tale tipologia di dati personali tra le ipotesi puntualmente elencate dal legislatore nel capo II del citato decreto legislativo o in altra specifica norma in materia di trasparenza, non trova applicazione al caso di specie il regime di conoscibilità stabilito dalla normativa sulla trasparenza, ivi compresa la specifica previsione concernente l’arco temporale quinquennale di permanenza sul web (di cui all´art. 8, comma 3, del d.lgs. 33/2013; sul punto, cfr. introduzione, parte I, punto I e parte II, Linee guida del 15 maggio 2014 cit.; provv. n. 457 del 30 luglio 2015 doc. web n.4278610).

In tale quadro, si prende atto che lo stesso Comune, nel corso dell’istruttoria ha dichiarato che la pubblicazione delle predette determine, contenenti i dati personali relativi agli emolumenti percepiti da ciascun dipendente sulla base della propria produttività, sia avvenuta a causa di una non corretta interpretazione della normativa di settore applicabile da parte dell’ufficio preposto.

Quanto, poi, all’ampio arco temporale di permanenza sul sito web dei predetti dati personali, il Comune ha rappresentato, come detto, che ciò è stato cagionato da un errore di configurazione del sito web con riattivazione della funzione di consultazione dello storico originariamente disattivata, a seguito dell’aggiornamento dell’applicativo.

Al riguardo si ricorda, in ogni caso, che il titolare del trattamento deve mettere “in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento” e deve essere “in grado di dimostrare” – alla luce del principio di “responsabilizzazione” – di averlo fatto (artt. 5, par. 2; 24 e 25, par. 2, Regolamento). Ciò anche al fine di evitare che si verifichino errori analoghi a quelli occorsi nel caso di specie.

Nel prendere atto  favorevolmente delle misure tecniche e organizzative che il Comune ha inteso implementare, a seguito dell’episodio in questione, proprio al fine di prevenire violazioni della disciplina in materia di protezione di dati personali, si deve tuttavia concludere, per le ragioni sopra esposte che i dati personali di circa 140 dipendenti comunali, tra cui il reclamante, relativi ai nominativi, posizione economica e compensi percepiti in ragione della produttività individuale per gli anni XX, XX e XX sono stati diffusi sul sito web istituzionale del Comune in assenza di un’idonea base giuridica, in violazione degli artt. 5 par. 1, lett. a) e 6 par.1 lett. c) ed e) del Regolamento e dell’art. 2-ter del Codice.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Comune per aver diffuso mediante pubblicazione online sul proprio sito web istituzionale, le determine riferite alla liquidazione del fondo incentivante per gli anni XX, XX e XX recanti gli elenchi dei nominativi di circa 140 dipendenti, la posizione economica di ciascuno nonché l’ammontare del compenso individualmente percepito in relazione alla produttività individuale, in violazione degli artt. artt. 5 par. 1, lett. a)  e 6 par.1 lett. c) ed e) del Regolamento e dell’art. 2-ter del Codice.

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 2, del Codice.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che sono stati rimossi dal sito web istituzionale del Comune, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

In relazione ai predetti elementi è stato considerato la particolare delicatezza dei dati personali oggetto di diffusione online di numerosi interessati riguardanti vicende inerenti al rapporto di lavoro con particolare riferimento agli esiti delle procedure valutative e ai conseguenti effetti salariali per i dipendenti del Comune. È stato inoltre considerato il mancato rispetto delle indicazioni che, da tempo, il Garante, ha fornito a tutti i soggetti pubblici con le Linee guida sopra richiamate e in numerosi provvedimenti su singoli casi concreti adottati negli anni dal Garante.

Di contro, si è tenuto in considerazione che la violazione non ha riguardato categorie particolari di dati personali e che il Comune ha agito sulla base di una erronea interpretazione delle norme di settore. Non risultano, infine, precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 10.000 (diecimila) per la violazione degli artt. 5, par. 1, lett. a) e 6, par. 1, lett. c) ed e) del Regolamento e dell’art. 2-ter del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, paragrafo 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Tenuto conto che i dati personali, oggetto di diffusione online, riguardavano gli emolumenti percepiti individualmente da circa 140 dipendenti comunali, tra cui il reclamante, a seguito delle valutazioni relative alla produttività, si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dal comune di San Severo per violazione degli artt. 5, par. 1, lett. a) e 6, par.  1, lett. c) ed e) del Regolamento e dell’art. 2-ter del Codice, nei termini di cui in motivazione;

ORDINA

Al Comune di San Severo, in persona del legale rappresentante pro-tempore, con sede legale in Piazza Municipio 1 - 71016 San Severo (FG), C.F. 00336360714, di pagare la somma di euro 10.000 (diecimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al predetto Comune in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 10.000 (diecimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione del presente provvedimento sul sito web del Garante, ritenendo che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 14 settembre 2023

IL VICEPRESIDENTE
Cerrina Feroni

IL RELATORE
Ghiglia

IL VICE SEGRETARIO GENERALE
Filippi