Provvedimento del 24 gennaio 2024 [9987578]
Provvedimento del 24 gennaio 2024 [9987578]
Condividi[doc. web n. 9987578]
Provvedimento del 24 gennaio 2024
Registro dei provvedimenti
n. 35 del 24 gennaio 2024
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;
Relatore il dott. Agostino Ghiglia;
PREMESSO
1. Introduzione.
L’Autorità ha ricevuto un reclamo dalla sig.ra XX, docente in servizio presso l’Istituto Comprensivo Statale “F.S. Cabrini” (di seguito, “Istituto”), in ordine alla pubblicazione, sul sito istituzionale del predetto Istituto, di decine di determinazioni dirigenziali (circa trentasette) riguardanti aspetti organizzativi legati alla continuità della attività didattica e alla gestione del rapporto di lavoro con l’interessata, con particolare riferimento ai giorni di assenza dal servizio effettuati dalla reclamante e da altro personale scolastico e alla necessità di provvedere alla loro sostituzione nel corso dell’anno scolastico 2021/2022.
2. L’attività istruttoria.
In risconto a una richiesta d’informazioni formulata dall’Autorità, l’Istituto, con nota del XX (prot. n. XX del XX), per il tramite della propria dirigente scolastica, ha rappresentato, in particolare, che:
- l’Istituto “procede in taluni casi alla sostituzione del personale docente attraverso conferimento di supplenze brevi sin dal primo giorno di assenza. Tali conferimenti devono essere valutati caso per caso, tenendo conto dei quadri orari settimanali del personale assente, dell’obbligo di garantire ai minori il diritto all’istruzione e la continuità dell’azione formativa, della necessità di garantire l’incolumità e la sicurezza degli alunni e l’indispensabile assistenza agli studenti con bisogni educativi speciali; le supplenze vengono attribuite con scorrimento delle graduatorie d’istituto di prima/seconda/terza fascia (con utilizzo anche delle dichiarazioni di disponibilità)”;
- “Ogni conferimento definisce l’avvio, attraverso opportuna determinazione dirigenziale, di un procedimento amministrativo che la sottoscritta è tenuta a formalizzare ai sensi della legge 241/90 e il cui atto conclusivo deve avvalersi della pubblicazione all’albo on line ai fini della efficacia giuridica del procedimento stesso, ai sensi della sopracitata normativa (cosiddetta “fase integrativa dell’efficacia del procedimento amministrativo”). Tali determinazioni devono essere congruamente motivate e sono proprio quelle da Voi citate nel reclamo di cui in oggetto”;
- “La pubblicazione delle determinazioni è da effettuare obbligatoriamente online a seguito di quanto disposto dall’art. 32, comma 1 della Legge n.69 del 18 giugno 2009, il quale ha sancito che “a far data dal 1 gennaio 2010 gli obblighi di pubblicazione di atti e provvedimenti amministrativi effetto di pubblicità legale si intendono assolti con la pubblicazione nei propri siti informatici da parte delle amministrazioni e degli enti pubblici obbligati”;
- “in ossequio al principio di accountability di cui all’art.5, paragrafo 2 del Regolamento Europeo 679/2016 […sono stati valutati] i dati minimi necessari da riportare nelle determinazioni oggetto del reclamo, che [lo stesso Istituto] è tenut[o] a pubblicare in albo online (e non in Amministrazione Trasparente o in altri spazi del sito) ai sensi delle norme sopra citate”;
- “A seguito di tale analisi [l’Istituto] ha ritenuto opportuno omettere ogni dato eccedente e non pertinente alle finalità di pubblicazione, in particolar modo escludendo dagli atti le causali di assenza e altre informazioni dalle quali sia possibile evincere categorie di dati particolari del soggetto interessato (es. permessi sindacali o dati sanitari); ciò anche nel pieno rispetto del provvedimento del Garante n. 290 del 1 settembre 2022, doc. web. 9811361”;
- “Tutti gli atti da voi citati non sono più in pubblicazione”.
Con nota del XX (prot. n. XX del XX, l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato all’Istituto, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, per aver posto in essere una diffusione di dati personali della reclamante e di altro personale dell’Istituto, concernenti la necessità di provvedere alle relative sostituzioni e supplenze in occasione delle assenze effettuate in determinati giorni dell’anno scolastico, in maniera non conforme al principio di liceità, correttezza e trasparenza in materia di protezione dei dati nonché in assenza di un idoneo presupposto di liceità, in violazione degli artt. 5, par. 1, lett. a), 6, par. 1, lett. c) ed e), del Regolamento e dell’art. 2-ter, commi 1 e 3 del Codice.
Con la medesima nota, l’Istituto è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).
Con nota del XX (prot. n. XX del XX), l’Istituto, che non ha chiesto di essere audito, ha fatto pervenire la propria memoria difensiva, dichiarando, in particolare, che:
- “Le 37 determine oggetto del reclamo, pubblicate ai fini di pubblicità legale in linea con quanto disposto dall’art. 32, comma 1 della Legge n.69 del 18 giugno 2009, hanno coinvolto n.4 interessati. Ciascuna determina includeva, per mero errore materiale riconducibile ad un difetto di comunicazione tra l’ufficio di Dirigenza e gli assistenti amministrativi incaricati della pubblicazione, i seguenti dati personali degli interessati: nome, cognome e data(e) di assenza. Non sono stati inclusi altri dati personali, tanto meno indicazioni in merito alle causali dell’assenza. Le 37 pubblicazioni sono state effettuate a partire dall’XX fino al XX. Tutte le suddette pubblicazioni sono state prontamente rimosse a seguito del reclamo ricevuto dalla Vs. spett.le Autorità, giusta nota prot. XX, e precisamente in data XX2”;
- “Relativamente alla gradazione dell’elemento volitivo, si ritiene che non ci sia stata nessuna consapevolezza delle violazioni contestate, poiché l’errore si colloca tra il momento dispositivo della pubblicazione e la pubblicazione stessa, dovuto, in particolare, alla comunicazione incompleta con l’Ufficio di segreteria. Non è stato, infatti, richiamato puntualmente il limite del contenuto da pubblicare, confidando nella ripetitività delle operazioni e nel contenuto delle indicazioni di base”;
- “Le pubblicazioni degli atti avvengono utilizzando una piattaforma informatica integrata i cui ambiti operativi sono suddivisi in “protocollo”, “didattica”, “personale”, “contabilità/bilancio”, “albo online” e “amministrazione trasparente”. L’accesso a ciascun ambito operativo è riservato al solo personale afferente all’ufficio di competenza, grazie all’utilizzo di credenziali personali corrispondenti ai diversi ruoli. Ciò permette di creare un flusso informatizzato a partire dalla produzione di ogni atto, fino alla sua pubblicazione senza l’esigenza di crearne copie cartacee e soprattutto abbattendo la possibilità che un atto venga processato da un ufficio di segreteria diverso da quello che ne ha la competenza”;
- “La procedura interna prevista per la protezione dei dati prevede la comunicazione diretta tra il dirigente e l’Ufficio di segreteria nella persona dell’assistente amministrativo alla specifica pubblicazione. La complessità della gestione quotidiana dell’istituzione scolastica relativamente alla copertura delle assenze del personale docente e la scarsità del personale amministrativo […] non ha consentito il controllo puntuale delle comunicazioni e della successiva pubblicazione, considerato che il lasso di tempo della pubblicazione de quo si pone nel periodo più delicato delle attività scolastiche, periodo caratterizzato -da un lato- da adempimenti periodici quali chiusura del primo quadrimestre e lavori di pre-scrutinio finali – dall’altro- da un rimarcato impegno per l’organizzazione quotidiana del servizio scolastico a causa di tassi di assenza del personale del 10% ( valore medio) con livelli massimi del 15% dovuti alla situazione pandemica. Peraltro, gli adempimenti relativi all’area amministrazione trasparente/albo on line sono stati fortemente influenzati dalla gestione scolastica nel periodo del Covid 19, che ha influenzato l’efficacia della sopra citata comunicazione diretta tra il dirigente e l’Ufficio di segreteria nella persona dell’assistente amministrativo alla specifica pubblicazione, in un’Istituzione che si è trovata ad affrontare la situazione pandemica dopo l’ alternanza di dirigenti titolari e dirigenti reggenti: tutto ciò, aggravato anche dall’avvicendamento dei direttori […] che rappresentano l’unico punto di raccordo tra dirigente e personale ATA”;
- “Il personale di segreteria ha partecipato ad un primo corso di formazione sulla privacy a XX, organizzato dal DPO incaricato. In occasione dell’avvicendamento di un diverso DPO lo stesso personale, nonché il Dirigente, ha partecipato ai primi due incontri di un ulteriore corso sulla privacy, in data XX e XX ed intende partecipare agli ulteriori due incontri previsti ma ancora da programmare. Oltre il doveroso percorso di formazione intrapreso anche nei confronti del personale di segreteria, a quest’ultimo sono state impartite le necessarie istruzioni per il trattamento dei dati, così come previsto dalla normativa ed in coerenza con il piano triennale PTPCT redatto dall’USR Lombardia. Ogni unità di personale ha preso visione di tali istruzioni e del relativo atto autorizzativo al trattamento dei dati, producendo regolarmente la ricevuta di presa visione”;
- l’Istituto ha comunque adottato “una condotta volta alla massima cooperazione con il Garante per porre rimedio alla violazione e attenuarne i possibili effetti negativi. In tale ottica, immediatamente a seguito della prima richiesta di informazioni ricevuta da parte della Vs. spett.le Autorità, [l’Istituto] ha ritenuto, per massima cautela di: a) rimuovere le pubblicazioni oggetto del reclamo (rimozione effettuata in data XX); b) modificare il format per le determine da pubblicare per la sostituzione del personale assente, al fine di evitare ogni riferimento al nominativo ed ai giorni di assenza (modifica effettuata a partire da XX)[…]. Inoltre, le istruzioni impartite al personale ATA, descritte alla lettera (d), saranno integrate in maniera da prevedere che sarà data comunicazione puntuale dei dati che è possibile pubblicare secondo la singola tipologia di provvedimento”.
Con la medesima nota, l’Istituto ha depositato agli atti copia del format predetto, in uso a partire da XX, per gli atti da pubblicarsi nell’ambito dell’avvio dei procedimenti di sostituzione del personale ai sensi della disciplina di settore.
3. Esito dell’attività istruttoria.
3.1. La normativa in materia di protezione dei dati personali.
In base alla disciplina di protezione dei dati personali contenuta nel Regolamento e nel Codice, i soggetti pubblici, anche nell’ambito del contesto lavorativo, possono trattare i dati personali degli interessati, anche relativi a categorie particolari, se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti dalla legge o dal diritto dell’Unione o degli Stati membri (artt. 6, par. 1, lett. c), 9, par. 2, lett. b) e 4 e 88 del Regolamento). Il trattamento è, inoltre, lecito quando sia “necessario per l’esecuzione di un compito di interesse pubblico o connesso 6 all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, parr. 1, lett. c) ed e), 2 e 3, e art. 9, par. 2, lett. g), del Regolamento; artt. 2-ter e 2-sexies del Codice, nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139).
La normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del […] regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento).
Al riguardo, si evidenzia che l’operazione di diffusione di dati personali (come la pubblicazione su Internet), da parte di soggetti pubblici, è ammessa solo quando prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento (cfr. art. 2-ter, commi 1 e 3, del Codice, nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139).
Il titolare del trattamento è poi, in ogni caso, tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c) del Regolamento).
3.2. La diffusione online di dati personali.
Dagli elementi acquisiti e dai fatti emersi nel corso dell’attività istruttoria e dalle successive valutazioni in relazione alla vicenda oggetto di reclamo, risulta che l’Istituto ha pubblicato sul sito web istituzionale circa trentasette determinazioni dirigenziali contenenti informazioni relative alla sostituzione e ai giorni di assenza dal servizio effettuati, nel corso dell’anno scolastico 2021/2022, dalla reclamante e da altro personale scolastico. La vicenda ha avuto origine nell’ambito dell’utilizzo della piattaforma informatica integrata (funzionale ad una pluralità di “ambiti operativi, quali “protocollo”, “didattica”, “personale”, “contabilità/bilancio”, “albo online” e “amministrazione trasparente” [… ciascuno dei quali] è riservato al solo personale afferente all’ufficio di competenza”; cfr. nota del XX). Nell’ambito dell’istruttoria, l’Istituto ha confermato che tale pubblicazione si è protratta sino al XX, data in cui l’Istituto, cooperando attivamente con l’Autorità e al fine di porre rimedio alla violazione posta in essere, ha provveduto alla rimozione dei documenti pubblicati online.
Al riguardo, si fa presente che, come chiarito dal Garante con le “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” del 15 maggio 2014 (doc. web. 3134436) nonché in occasione di decisioni su singole fattispecie, la pubblicazione sul sito web istituzionale di dati personali, in assenza di un idoneo presupposto normativo, determina una diffusione illecita di dati (cfr. artt. 5, 6 e 9 del Regolamento e 2-ter e 2-sexies del Codice). Ciò è stato, in particolare, ribadito in numerose decisioni del Garante anche con riferimento alla pubblicazione online di atti o documenti contenenti dati personali relativi ai giorni e alle causali di assenza dal servizio, proprio da parte di Istituti scolastici (cfr., in particolare, Provv. del 1° settembre 2022, n. 290, doc. web n. 9811361 e precedenti provvedimenti in esso richiamati).
Considerato che l’Istituto non ha fornito indicazioni relative all’esistenza di una specifica normativa che stabilisca la pubblicazione delle determinazioni aventi ad oggetto il ricorso alle supplenze brevi e saltuarie per la sostituzione del personale assente e che il generico riferimento agli obblighi di trasparenza di cui all’art. 32, comma 1, della l. n. 69 del 18 giugno 2009 (che, comunque, non impone la pubblicazione di atti contenenti informazioni riguardanti l’assenza dal servizio del personale) non può ritenersi sufficiente a giustificare la condotta tenuta nel caso di specie, si rappresenta quanto segue.
Come tradizionalmente ribadito dal Garante in relazione a fattispecie analoghe a quella in esame, anche la presenza di un regime di pubblicità di atti e documenti non può comportare alcun automatismo rispetto alla diffusione online dei dati e informazioni personali in essi contenuti, né una deroga ai principi in materia di protezione dei dati personali (v., tra i tanti, da ultimo, provv. 14 settembre 2023, n. 398, doc. web n. 9940457 e provvedimenti in esso richiamati).
In numerose decisioni, infatti, il Garante ha ribadito che anche alle pubblicazioni nell’albo pretorio online si applicano tutti i limiti previsti dai principi della protezione dei dati con riguardo alla liceità e alla minimizzazione dei dati (cfr. parte II, par. 3.a. delle “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati”, cit.). Ciò è d’altronde confermato anche dal sistema di protezione dei dati personali contenuto nel Regolamento, alla luce del quale è previsto che il titolare del trattamento deve mettere “in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento” e deve essere “in grado di dimostrare” – alla luce del principio di “responsabilizzazione” – di averlo fatto (artt. 5, par. 2; 24 e 25, par. 2, Regolamento).
Nella delibera oggetto di pubblicazione non avrebbe dovuto essere, quindi, riportato alcun dato personale della reclamante o di altro personale, ricorrendo, se del caso, alla tecnica degli “omissis” o ad altre misure di anonimizzazione dei dati (cfr., proprio con riguardo ad un caso analogo nel contesto scolastico, provv. 1° settembre 2022, n. 290, doc web. 9811361 e precedenti provvedimenti in esso richiamati).
Alla luce delle considerazioni che precedono, sebbene quanto verificatosi risulti essere avvenuto per mero errore e in presenza di numerose difficoltà sul piano organizzativo nel periodo emergenziale dovuto all’epidemia da Covid-19, si deve concludere che la pubblicazione online sul sito web istituzionale di informazioni relative all’assenza dal servizio della reclamante e di altri dipendenti abbia dato luogo ad una diffusione dei dati personali in assenza di un idoneo presupposto di liceità, in violazione degli artt. 5 e 6 del Regolamento e 2-ter del Codice.
Si prende, comunque, favorevolmente atto dell’adozione, da parte dell’Istituto, di misure organizzative finalizzate a prevenire che simili errori, nella fase di pubblicazione di determinazioni contenenti dati personali, possano verificarsi in futuro, in particolare attraverso una ulteriore attività formativa rivolta al personale amministrativo e l’adozione di format aggiornati da utilizzare in sede di pubblicazione sul sito web.
4. Conclusioni.
Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Istituto, in violazione degli artt. 5, par. 1, lett. a), e 6, par. 1, lett. c) ed e) del Regolamento e dell’art. 2-ter, commi 1 e 3 del Codice.
La violazione delle predette disposizioni rende applicabile all’Istituto medesimo la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 2, del Codice.
5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).
Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).
Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.
La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.Con specifico riguardo alla natura e alla gravità della violazione e alla delicatezza dei dati interessati dalla violazione (art. 83, par. 2, lett. a) e g), del Regolamento), si osserva quanto segue.
Nel far presente che nel contesto lavorativo gli interessati versano in una condizione di particolare “vulnerabilità” e che, pertanto, i rischi per i diritti e le libertà degli interessati assumono in tale ambito coefficienti di probabilità e gravità particolarmente elevati (cfr. cons. 75 e art. 88 del Regolamento e le “Linee guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento "possa presentare un rischio elevato" ai sensi del Regolamento 2016/679”, WP 248 del 4 aprile 2017, che, tra le categorie di interessati vulnerabili, menzionano espressamente “i dipendenti”), occorre considerare che la violazione in questione ha comportato la diffusione da parte dell’Istituto, in assenza di base giuridica, di dati personali concernenti le assenze effettuate dalla reclamante in determinati giorni dell’anno scolastico, ancorché ciò sia avvenuto senza indicazione delle specifiche causali o riferimenti a informazioni riconducibili a categorie particolari di dati.
Quanto alla durata della violazione (art. 83, par. 2, lett. a), del Regolamento), preme evidenziare che la stessa risulta essersi protratta, per un arco temporale esteso, sino al XX, data in cui l’Istituto ha comunque provveduto alla rimozione dei documenti pubblicati online per porre rimedio alla violazione posta in essere.
Alla luce di tali circostanze, si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023, punto 60).
Ciò premesso, si deve considerare che, ai fini dell’83, par. 2, lett. e), del Regolamento, non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento.
Si deve, altresì, considerare che l’Istituto ha collaborato con l’Autorità nel corso dell’istruttoria, provvedendo a rimuovere tempestivamente dal proprio sito web i dati personali contenuti in atti e documenti e adottando nuove procedure e misure organizzative finalizzate a prevenire che simili errori, nella fase di pubblicazione degli stessi, possano verificarsi in futuro (art. 83, par. 2, lett. f), del Regolamento).
Si tiene conto, inoltre, che la violazione è avvenuta in un contesto, quale quello scolastico, caratterizzato da numerose difficoltà sul piano organizzativo nonché dalle ulteriori problematiche connesse al periodo emergenziale dovuto alla diffusione del virus Covid-19 (art. 83, par. 2, lett. k) del Regolamento).
In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 2.000 (duemila) per la violazione degli artt. 5, par. 1, lett. a), e 6, par. 1, lett. c) ed e) del Regolamento e dell’art. 2-ter, commi 1 e 3 del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, vigente al tempo dei fatti oggetto di reclamo) quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.
Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.
TUTTO CIÒ PREMESSO IL GARANTE
dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dall’Istituto per violazione degli artt. 5, par. 1, lett. a), e 6, par. 1, lett. c) ed e) del Regolamento e dell’art. 2-ter, commi 1 e 3 del Codice, nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, vigente al tempo dei fatti oggetto di reclamo, nei termini di cui in motivazione;
ORDINA
all’Istituto Comprensivo Statale “F.S. Cabrini, in persona del legale rappresentante pro-tempore, con sede legale in Via delle Forze Armate, 65 - 20147 Milano, C.F. 97666910159, di pagare la somma di euro 2.000 (duemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;
INGIUNGE
al predetto Istituto, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 2.000 (duemila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;
DISPONE
ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione del presente provvedimento sul sito web del Garante, ritenendo che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.
Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 24 gennaio 2024
IL PRESIDENTE
Stanzione
IL RELATORE
Ghiglia
IL SEGRETARIO GENERALE
Mattei
