[doc. web n. 9992914]

Provvedimento del 24 gennaio 2024

Registro dei provvedimenti
n. 31 del 24 gennaio 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Introduzione.

Con reclamo presentato ai sensi dell’art. 77 del Regolamento e con una segnalazione presentata ai sensi dell’art. 144 del Codice, è stato rappresentato che tra il XX e il XX sarebbe stata inviata a tutti i dipendenti pubblici italiani una lettera del Ministro per la Pubblica Amministrazione relativa alle opportunità di formazione messe a disposizione nel quadro del c.d. “Piano strategico per la valorizzazione e lo sviluppo del capitale umano della PA”.

L’invio in questione risulta essere stato effettuato dall’indirizzo “Dipartimento della Funzione Pubblica - formazionePA@inps.it”, riconducibile al dominio di posta elettronica dell’Istituto Nazionale Previdenza Sociale (di seguito, l’“INPS” o l’“Istituto”)”.

Gli interessati hanno lamentato che tali email sarebbero state inviate non già agli indirizzi di posta elettronica istituzionale dei destinatari (ad esempio, nome.cognome@amministrazione.it), bensì a quelli personali.

La segnalazione e il reclamo confermano, peraltro, quanto era stato appreso da fonti di stampa, nonché da un comunicato stampa della FP CGIL del XX.

Da tali fonti, nonché dal dibattito su alcuni social network, sembra, peraltro, emergere che la lettera in questione sia stata inviata anche a persone non più in servizio presso la Pubblica Amministrazione, come, ad esempio, dipendenti pubblici in pensione.

2. L’attività istruttoria.

In riscontro a una richiesta d’informazioni formulata dall’Ufficio del Garante ai sensi dell’art. 157 del Codice (v. nota prot. n. XX del XX), la Presidenza del Consiglio dei Ministri dei Ministri (Dipartimento della funzione pubblica – di seguito, il “Dipartimento”), con nota prot. n.XX, ha dichiarato, in particolare, che:

“nell’ambito dell’investimento sul capitale umano come asset strategico della pubblica amministrazione, centrale per il rilancio del Paese nella fase post-emergenziale, dunque, anche – e soprattutto – in relazione all’attuazione degli obiettivi del PNRR, si inquadra l’azione Piano Strategico per la valorizzazione e lo sviluppo del capitale umano della pubblica amministrazione “Ri-formare la PA. Persone qualificate per qualificare il Paese […] presentato dal Ministro per la pubblica amministrazione nella sede del Dipartimento […] il XX”;

“successivamente, in data XX, con nota prot. n. XX […], avente ad oggetto, per l’appunto, «Piano Strategico per la valorizzazione e lo sviluppo del capitale umano della pubblica amministrazione “Ri-formare la PA. Persone qualificate per qualificare il Paese”, il Dipartimento […] ha chiesto la disponibilità all’INPS a fornire la propria collaborazione al fine di «garantire la massima diffusione dell’iniziativa e quindi raggiungere tutti i dipendenti delle pubbliche amministrazioni interessate», risultando all’uopo necessario «utilizzare il maggior numero di canali informativi disponibili, tra i quali anche quelli gestiti [dall’] Istituto””;

“conseguentemente, l’INPS ha individuato e adottato le scelte e le soluzioni tecniche e organizzative ritenute maggiormente adeguate al fine di raggiungere l’obiettivo – comune alle finalità istituzionali del Dipartimento […] stesso e dell’INPS – di garantire la massima diffusione delle iniziative sopra citate. All’uopo, appare doveroso evidenziare che, in effetti, la comunicazione diretta agli interessati è particolarmente servita nell’ambito di intervento “PA 110 e lode” del Piano strategico de quo, giacché nella lettera del Ministro per la pubblica amministrazione si faceva specifico riferimento ad una puntuale iniziativa in scadenza di lì a qualche giorno […] [determinando un] c.d. “effetto moltiplicatore” sul numero di iscrizioni […]”;

“con la nota del 18 gennaio […] il Dipartimento […] si è limitato a chiedere al Presidente dell’INPS di dare massima diffusione al [predetto] Piano Strategico […], attesa la necessità di utilizzare il maggior numero di canali informativi disponibili, senza fornire alcuna indicazione specifica sul tipo di canale informativo da utilizzare e/o sul dato da trattare”;

“il Dipartimento […] non ha assunto alcun ruolo, ai fini della normativa sulla privacy; tra il Dipartimento […] e l’INPS, peraltro, non vi è stata alcuna condivisione e/o scambio di dati relativi ai dipendenti della pubblica amministrazione cui è stata inviata la citata nota del Ministro per la pubblica amministrazione”.

In riscontro alla medesima richiesta d’informazioni, l’Istituto, con nota prot. n. XX, per il tramite del proprio Responsabile della protezione dei dati, ha dichiarato, in particolare, che:

“il Dipartimento […] ha manifestato l’esigenza istituzionale di informare tutti i dipendenti pubblici circa le iniziative formative utili alla loro crescita professionale nel quadro del [predetto]Piano strategico […]. Il Dipartimento, non disponendo dei recapiti telematici dei citati dipendenti, ha chiesto la collaborazione dell’INPS per raggiungere i dipendenti pubblici attraverso i propri canali di comunicazione”;

“l’Istituto ha evidenziato al Dipartimento di non avere una banca dati dei dipendenti pubblici con le relative email istituzionali, ma di poter identificare lo status di “dipendente pubblico” dalle denunce retributive UNIEMENS-ListaPosPA, che le amministrazioni pubbliche/enti pubblici effettuano mensilmente all’Istituto per i propri dipendenti. Inoltre, l’INPS ha i recapiti telematici degli utenti che si sono registrati su myINPS e che li hanno forniti per le finalità espresse nella relativa informativa. Considerato che la comunicazione si riferiva anche a prestazioni erogate dall’INPS (ValorePA), si è ritenuto che la stessa rientrasse anche tra le finalità di comunicazione istituzionale dell’Ente”;

“il procedimento adottato dall’INPS per l’invio delle comunicazioni dovrebbe essere stato il seguente: è stato estrapolato l’elenco dei codici fiscali dei dipendenti pubblici desunto dall’ultima denuncia contributiva inviata dalle P.A; tale elenco è stato integrato con il cognome, il nome e l’indirizzo email fornito dagli interessati all’interno della sezione myINPS del portale dopo aver preso visione della relativa informativa; è stata inviata la comunicazione via email ad ognuno di tali indirizzi attraverso i mail server dell’INPS e con indirizzo mittente formazionePA@inps.it”;

“i soggetti raggiunti via email sono stati circa 1,2 milioni”;

“i recapiti telematici degli utenti, nonché gli altri dati personali, non sono stati comunicati al Dipartimento […] o ad alcun altro soggetto esterno essendo stati trattati esclusivamente dall’INPS”;

“il Dipartimento […] e l’INPS hanno agito in qualità di titolari autonomi del trattamento nel perseguimento dell’interesse (pubblico) di promuovere la formazione del proprio personale dirigenziale, nell’ambito del quadro normativo risultante dalla novella di cui al decreto-legge n. 139/2021, convertito in legge n. 205/2021”.

A seguito di un’ulteriore richiesta d’informazioni dell’Ufficio (nota prot. n. XX del XX), l’Istituto, con nota prot. n. XX, per il tramite del proprio Responsabile della protezione dei dati, ha dichiarato, in particolare, che:

“le interlocuzioni [con il Dipartimento] del XX hanno […] evidenziato che l’attività si inquadrava nella costruzione di un modello che in ogni modo andava costruito “per differenza”, interpolando più database partendo dalle denunce UNIEMENS-ListaPosPA, per poi estrapolare solo i soggetti delle amministrazioni non gestite da NoiPA (MEF); nei tavoli di lavoro è stato poi concordato che l’Istituto avrebbe inviato le comunicazioni anche ai soggetti delle amministrazioni gestite da NoiPA (MEF) secondo lo schema seguente: individuazione dei soggetti esposti nelle denunce UNIEMENS-ListaPosPA, senza alcun filtro (con l’assunto che i soggetti esposti nelle denunce retributive/contributive fossero in servizio); individuazione degli indirizzi email “certificati” dai contatti; invio comunicazione”;

“[…] nei tavoli di lavoro è stato comunque evidenziato che in assenza di una base dati ad hoc sarebbe stato comunque necessario procedere con delle [considerazioni presupposte] che poi si sono riverberate anche sul fatto che il campione potesse potenzialmente ricomprendere anche personale in pensione pur essendo nel perimetro dei flussi uniemens”;

“la scelta di assumere come fonte dati il flusso uniemens è stato il presupposto per intercettare tutta la platea dei dipendenti, ma questo ha comportato che nel campione potessero essere ricompresi coloro che, avendo cessato il servizio a cavallo della rilevazione o comunque in tempi immediatamente precedenti, a vario titolo sono stati titolari di emolumenti differiti e quindi ricompresi nel flusso”;

“[…] [il] Dipartimento e l’INPS hanno agito in qualità di titolari autonomi del trattamento nel perseguimento dell’interesse (pubblico) di promuovere la formazione dei dipendenti pubblici e ciò trova conferma anche nell’email del XX [prodotta in copia unitamente all’email di riscontro inviata dal Capo del Dipartimento in data martedì XX], con la quale il Direttore centrale tecnologia informatica e innovazione pro tempore dell’Istituto dava conto analiticamente al Dipartimento […] della platea dei potenziali destinatari della comunicazione e sottoponeva al vaglio dell’interlocutore se “mandare la lettera congiunta direttamente ai dipendenti e non solo tramite le loro amministrazioni, [nonché] se mandare la lettera solo a quei dipendenti pubblici che hanno email validate””.

“[…] lo stesso Dipartimento [della Funzione Pubblica], con la nota sopra richiamata, ha dato conto dell’urgenza dell’inoltro della comunicazione oggetto di reclamo in vista dell’imminente scadenza del proprio bando “PA 110 e lode” […]”;

“se non certo, è quantomeno presumibile che detta circostanza abbia avuto un rilievo non trascurabile per il Dipartimento sulla configurazione del trattamento dei dati personali effettuato. Infatti, una diversa soluzione consistente nel preliminare coinvolgimento delle pubbliche amministrazioni per il successivo invio, ciascuna al proprio personale dipendente, della lettera a firma del Ministro sugli indirizzi di posta elettronica istituzionale del personale avrebbe richiesto tempi non compatibili con la scadenza del bando “PA 110 e lode””.

L’Ufficio del Garante ha successivamente rivolto un’ulteriore richiesta di informazioni al Dipartimento (nota prot. n. XX del XX), che ha fornito riscontro con prot. n. XX del XX, dichiarando, in particolare, che:

“rispetto alla vicenda in esame, il Dipartimento […] si è limitato a chiedere all’INPS la disponibilità a fornire la propria collaborazione al fine di garantire la massima diffusione dell’iniziativa “PA 110 e lode”, utilizzando il maggior numero di canali informativi a disposizione dell’INPS”;

“con la nota del XX, infatti, il Dipartimento […] si è limitato a chiedere al Presidente dell’INPS di dare massima diffusione al [predetto] Piano Strategico […], attesa la necessità di utilizzare il maggior numero di canali informativi disponibili, al fine di raggiungere tutti i dipendenti delle pubbliche amministrazioni, senza - tuttavia - fornire alcuna indicazione specifica sul tipo di canale informativo da utilizzare e/o sul dato da trattare”;

“viceversa, è l’INPS ad aver adottato le soluzioni tecnico-organizzative ritenute maggiormente adeguate al fine di raggiungere l’obiettivo suddetto”;

“[…] il Dipartimento […] non può aver assunto alcun ruolo ai fini della normativa sulla privacy, men che meno quello di “titolare autonomo del trattamento” […]: il Dipartimento […], infatti, non ha trattato alcun dato autonomamente, considerato che le e-mail sono state inviate dal dominio di posta elettronica dell’INPS”;

“peraltro, non vi è stata alcuna condivisione e/o scambio di dati relativi ai dipendenti della pubblica amministrazione tra INPS e Dipartimento […] a cui è stata inviata la citata nota del Ministro per la pubblica amministrazione, tale per cui non è certamente possibile sostenere che i dati siano stati trattati dal Dipartimento anche solo indirettamente e/o in un secondo momento rispetto al trattamento dei dati – questo sì – effettuato direttamente dall’INPS, unico titolare dei dati trattati nella fattispecie in esame”.

Con nota del XX (prot. n. XX), l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato al Dipartimento, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto le presunte violazioni degli artt. 5, par. 1, lett. a), 6, 12, 13, 14 e 26, parr. 1 e 2, del Regolamento, nonché 2-ter del Codice, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).

Con nota del XX (prot. n. XX), il Dipartimento ha presentato una memoria difensiva, dichiarando, in particolare, che:

si ribadisce “[…] l’estraneità, nel caso di specie, ai fini della normativa sulla privacy, del […] Dipartimento, giacché quest’ultimo, nella fattispecie, non ha trattato alcun dato personale, né come titolare, né come co-titolare o responsabile, avendo avuto – invece – un ruolo esclusivamente propulsivo nel chiedere all’INPS (con nota prot. n. XX del XX) la disponibilità a fornire la propria collaborazione [nei termini già illustrati]”;

“il Dipartimento […], con la nota del XX, non ha influenzato alcuna scelta dell’INPS in ordine al trattamento dei dati, ma si è limitato a chiedere, ai fini dell’attuazione del [predetto] Piano strategico [la predetta collaborazione] […]”;

“[…] nella fattispecie è da escludere tanto l’ipotesi di una “decisione comune” sulle finalità e mezzi del trattamento, quanto l’idea di decisioni convergenti, nel senso che i trattamenti di ciascuna parte sono tra loro indissociabili, ovverosia indissolubilmente legati. A tal riguardo, infatti, è appena il caso di evidenziare che la finalità della pubblicizzazione delle iniziative inerenti alla formazione dei pubblici impiegati, nell’ambito di una più ampia strategia di valorizzazione del capitale umano delle p.a., già rappresentava una finalità propria istituzionale dell’INPS. Tale Istituto previdenziale, infatti, prima ancora dell’avvio del [predetto] Piano Strategico […] aveva già creato una sezione specifica nel proprio sito istituzionale denominata “Valore PA” […]”;

“[…] nella lettera del Ministro per la p.a. in relazione all’attuazione degli obiettivi del PNRR, emerge chiaramente che l’azione [del] Piano Strategico […] parte dai seguenti ambiti di intervento «…l’iniziativa “PA 110 e lode”…; l’iniziativa “Syllabus”…; gli ulteriori strumenti per la formazione permanente dei dipendenti pubblici messi a disposizione da INPS attraverso il Fondo Gestione Unitaria per le Prestazioni Creditizie e Sociali. Tra questi, si evidenzia il programma “Valore PA”, che seleziona corsi universitari di formazione proposti da atenei italiani in collaborazione con soggetti pubblici o privati su aree di interesse delle stesse amministrazioni, con il finanziamento delle quote di partecipazione dei dipendenti selezionati; nonché le borse di studio che l’INPS mette a disposizione dei dipendenti della pubblica amministrazione per il finanziamento di master universitari “executive” di I e II livello accreditati»”;

“è evidente, dunque, che le e-mail inviate dall’INPS […] “partono da strumenti già esistenti”, tale per cui la finalità del trattamento non può essere stata determinata né “in comune”, né in maniera “convergente” (con [il] Dipartimento)””;

“analogo ragionamento vale per il mezzo del trattamento: come evidente, l’invio delle e-mail è avvenuto ad indirizzi di posta elettronica che già erano disponibili all’INPS, in quanto tali indirizzi erano stati comunicati dagli stessi interessati all’Istituto, per le finalità proprie di quest’ultimo […] [. Peraltro,] in base all’informativa INPS sul trattamento dei dati personali degli utenti dei servizi web e degli altri canali di comunicazione (cfr., https://www.inps.it/privacy/trattamento-dati-personali-dei-servizi-web), l’Istituto previdenziale è titolare del trattamento dei dati degli utenti, tra cui i dipendenti pubblici, che dagli stessi sono direttamente forniti all’Istituto previdenziale attraverso l’interazione con i servizi web dell’Istituto stesso, nonché attraverso gli altri canali di comunicazione quali contact center, servizi mobile, chat, Skype, fax, posta elettronica, etc.”;

“il Dipartimento […] si è limitato a segnalare la necessità e a sollecitare l’urgenza dell’invio di una comunicazione relativa anche all’iniziativa “Valore PA”, propria dell’INPS e antecedente alle altre iniziative illustrate dal Ministro per la p.a., nell’ottica del più generale interesse pubblico legato all’attuazione di uno degli obiettivi fondamentali del PNRR, nonché in ragione anche della imminente scadenza del termine di presentazione delle iscrizioni (tardive) all’anno accademico in corso. La scelta della soluzione sul piano della liceità e della fattibilità tecnica ed organizzativa era in capo all’INPS, non avendo il Dipartimento la disponibilità dei dati personali e, quindi, alcun potere o ruolo su tale decisione”;

“[…] il Dipartimento […] non ha mai condizionato in qualsiasi maniera, direttamente o indirettamente, l’INPS nella scelta di inviare mail ai dipendenti pubblici (ancorché su indirizzi mail privati), ma solo a fornire la massima diffusione possibile delle iniziative formative a favore di quest’ultimi, attraverso qualsiasi soluzione idonea scelta dall’INPS, purché efficace ed equilibrata”;

“in ogni caso, anche ammesso – ma non concesso – che il Dipartimento e l’INPS fossero, nella fattispecie, co-titolari del trattamento, la mancanza di un accordo scritto in tal senso non determina ex se una condotta sanzionabile. Infatti, in base al principio di legalità e dei suoi corollari, le sanzioni amministrative in ordine a condotte antigiuridiche devono essere predeterminate dalla legge. In questo caso, invece, né il Regolamento, né il Codice, sanzionano tale comportamento omissivo”;

“del resto, le stesse Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR (Versione 2.0 Adottate il 7 luglio 2021), a pag. 5” avrebbero chiarito che non è necessaria la forma scritta;

“[…] il trattamento del dato, nella fattispecie in esame, è stato effettuato solo ed esclusivamente dall’INPS e, pertanto, spetta solo a tale Istituto fornire argomentazioni circa la liceità, la correttezza e la trasparenza del trattamento”;

“[…] l’attività di comunicazione informativa dell’INPS – contemplata, come già detto, nella suddetta informativa sul trattamento dei dati ad opera dell’Istituto – inerente al Piano strategico de quo, non è “scollegata” dall’attività istituzionale dell’ente previdenziale. Tutt’altro: la nota del Ministro per la pubblica amministrazione in argomento, inviata dal dominio di posta dell’INPS, in realtà attiene alla comunicazione informativa di iniziative che riguardano (anche) l’Istituto previdenziale medesimo”;

“pertanto, la base giuridica di riferimento – sebbene, si ripete, solo l’INPS possa asserire in tal senso – non può che essere sussunta nell’adempimento di un obbligo legale al quale è soggetto il titolare del trattamento (art. 6, par. 1, lett. c), del Regolamento), ovvero all’esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. e), del Regolamento)”;

“con riguardo, infine, alla contestata assenza di informativa in violazione degli artt. 5, par. 1, lett. a), 12, 13 e 14 del Regolamento, […] solo l’INPS, in quanto unico titolare del trattamento nella fattispecie in esame, è in grado di (e legittimato a) fornire elementi utili sul punto”;

in ogni caso “tale trattamento non ha prodotto alcun effetto pregiudizievole. Semmai il contrario”;

“[…] la lettera inviata dall’INPS è a firma del Ministro per la p.a. pro tempore, non del Capo del Dipartimento della funzione pubblica pro tempore. Il messaggio recapitato ai dipendenti pubblici dall’INPS che qui si discute, dunque, rappresenta comunque un messaggio istituzionale di un Ministro della Repubblica, non di una pubblica amministrazione in senso stretto”.

In occasione dell’audizione, richiesta ai sensi dell’art. 166, comma 6, del Codice e tenutasi in data XX (verbale prot. n. XX della medesima data), il Dipartimento ha dichiarato, in particolare, che “[…] l’attività di formazione era giustificata da un quadro normativo di estrema importanza. L’esigenza di raggiungere capillarmente i dipendenti pubblici aveva un preciso fondamento giuridico e l’iniziativa era da considerarsi necessaria per raggiungere in tempi stretti gli obiettivi previsti da PNRR, tra cui il miglioramento del livello di conoscenze digitali da parte dei dipendenti pubblici, la cui età media è piuttosto elevata. Ciò anche al fine di compensare uno squilibrio rispetto al livello di formazione dei dipendenti degli altri Stati Membri dell’Unione europea”. Con nota prot. n. XX, il Dipartimento, avendone fatto espresso riserva in sede di audizione, ha presentato talune ulteriori osservazioni, sostanzialmente sovrapponibili a quelle già esposte in sede di memoria difensiva e di audizione.

3. Esito dell’attività istruttoria.

3.1 Il ruolo del Dipartimento e dell’Istituto ai fini della normativa in materia di protezione dei dati.

Ai sensi dell’art. 4, par. 1, n. 7), del Regolamento, il titolare del trattamento è “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri”.

Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, “essi sono contitolari del trattamento” e devono “determina[re] in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all'osservanza degli obblighi derivanti dal […] regolamento, con particolare riguardo all'esercizio dei diritti dell'interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell'Unione o dello Stato membro cui i titolari del trattamento sono soggetti. Tale accordo può designare un punto di contatto per gli interessati” (art. 26, par. 1, del Regolamento). L'accordo tra i contitolari “riflette adeguatamente i rispettivi ruoli e i rapporti dei contitolari con gli interessati” e il “contenuto essenziale dell'accordo [deve essere] messo a disposizione dell'interessato” (art. 26, par. 2, del Regolamento).

Come chiarito dal Comitato europeo per la protezione dei dati, “il criterio generale per la sussistenza della contitolarità di trattamento è la partecipazione congiunta di due o più soggetti nella definizione delle finalità e dei mezzi di un’operazione di trattamento. La partecipazione congiunta può assumere la forma di una decisione comune, presa da due o più soggetti […]” (“Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”, adottate il 7 luglio 2021, par. 53).

Nel corso dell’istruttoria è emerso che, con nota del XX (prot. n. XX), in atti, il Dipartimento ha chiesto all’Istituto di “utilizzare il maggior numero di canali informativi disponibili, tra i quali anche quelli gestiti [dall’] Istituto”, al fine di “garantire la massima diffusione dell’iniziativa e quindi raggiungere tutti i dipendenti delle pubbliche amministrazioni interessate”, invitando l’Istituto “a prendere parte all’iniziativa in parola, fornendo la propria collaborazione per ciò che riguarda sia l’attività di comunicazione ai dipendenti, sia la messa a disposizione di contenuti formativi già predisposti dall’INPS e immediatamente integrabili all’interno delle iniziative previste nel Piano Strategico”.

Sebbene l’Istituto fosse estraneo alle iniziative formative promosse dal Dipartimento, esso, accettando di collaborare con quest’ultimo e mettendo a disposizione le proprie banche dati, ha fatto propria la finalità del trattamento in questione, ritenendo che “la comunicazione […] rientrasse anche tra le finalità di comunicazione istituzionale dell’Ente” (nota prot. n.XX) e dando un apporto essenziale ai fini del perseguimento della stessa. In assenza della collaborazione dell’Istituto, il Dipartimento non avrebbe, infatti, potuto veicolare la comunicazione in questione ai dipendenti pubblici su base individuale. 

D’altra parte, l’Istituto non ha negato di aver determinato la finalità del trattamento, ritenendo lo stesso di aver agito, assieme al Dipartimento, “in qualità di titolari autonomi del trattamento nel perseguimento dell’interesse (pubblico) di promuovere la formazione del proprio personale dirigenziale, nell’ambito del quadro normativo risultante dalla novella di cui al decreto-legge n. 139/2021, convertito in legge n. 205/2021” (ibidem). 

L’Istituto ha, altresì, determinato, assieme al Dipartimento, i mezzi del trattamento. Dalle interlocuzioni intercorse tra il Dipartimento e l’Istituto e dalla corrispondenza acquisita agli atti, emerge, infatti, che, a fronte della richiesta del Dipartimento di “utilizzare il maggior numero di canali informativi disponibili, tra i quali anche quelli gestiti [dall’] Istituto”, quest’ultimo ha individuato la specifica soluzione per veicolare, su base individuale, la lettera in questione ai dipendenti pubblici (individuazione dei soggetti esposti nelle denunce UNIEMENS-ListaPosPA; integrazione dei dati con il cognome, il nome e l’indirizzo email fornito dagli utenti all’interno della sezione myINPS del portale; invio comunicazione su base individuale attraverso i mail server dell’Istituto e con indirizzo mittente formazionePA@inps.it), mettendo, a tal fine, a disposizione le proprie banche dati e i propri sistemi informatici.

Dall’e-mail inviata dall’Istituto al Dipartimento il XX, in atti, emerge poi che l’Istituto ha specificamente informato il Dipartimento della circostanza che i lavoratori pubblici avrebbero potuto essere contattati a mezzo email su base individuale, specificando che “occorre decidere se vogliamo mandare la lettera congiunta direttamente ai dipendenti e non solo tramite le loro amministrazioni”.

Con successiva e-mail del XX, inviata dal Dipartimento all’Istituto, in atti, a cui sono allegate due lettere “rispettivamente quella da inviare a tutti i dipendenti pubblici e quella da inviare a tutte le Amministrazioni”, il Dipartimento ha poi impartito all’Istituto le seguenti indicazioni: “nella stringa del mittente dell’email, come concordato, dovrà essere visibile solo “Dipartimento della Funzione pubblica”, mentre l’oggetto dell’email sarà “Ri-formare la PA. Il Piano strategico per la formazione dei dipendenti pubblici”. Ciò conferma che il Dipartimento fosse a conoscenza della circostanza che i dipendenti sarebbero stati contattati a mezzo e-mail su base individuale, facendo propria tale soluzione.

Alla luce di tutto quanto sopra esposto, si ritiene che l’Istituto e il Dipartimento abbiano agito, nel caso in questione, in qualità di contitolari del trattamento (v. artt. 4, par. 1, n. 7), e 26 del Regolamento), in quanto “il trattamento non sarebbe [stato] possibile senza la partecipazione di entrambe le parti”, essendo “il trattamento da parte di ciascuna parte […] inseparabile, ovverosia […] indissolubilmente legato” (“Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”, cit., all. 1, che riprende i contenuti della sez. 3, relativa alla “definizione di contitolari del trattamento”). Sia l’Istituto sia il Dipartimento hanno, infatti esercitato un’“influenza decisiva sull’attuazione e sulle modalità del trattamento, mediante una decisione comune o decisioni convergenti che si completano a vicenda e sono necessarie per il trattamento poiché hanno un impatto tangibile sulla determinazione delle finalità e dei mezzi” (ibidem).

A tal riguardo, occorre evidenziare che, come chiarito dalla Corte di giustizia dell’Unione europea, l’esistenza di una responsabilità congiunta non implica necessariamente una responsabilità equivalente, per un medesimo trattamento di dati personali, dei diversi soggetti che vi partecipano. Al contrario, tali soggetti possono essere coinvolti in fasi diverse di tale trattamento e a diversi livelli, di modo che il grado di responsabilità di ciascuno di essi deve essere valutato tenendo conto di tutte le circostanze rilevanti nello specifico contesto (sentenza C-40/17, Fashion ID GmbH & Co.KG contro Verbraucherzentrale NRW eV, del 29 luglio 2019: v. anche sentenza C-210/16, Wirtschaftsakademie Schleswig-Holstein, 5 giugno 2018). Non è, inoltre, necessario che la determinazione delle finalità e dei mezzi del trattamento debba essere effettuata mediante istruzioni scritte o incarichi da parte del titolare del trattamento. Può, quindi, essere considerata titolare del trattamento una persona fisica o giuridica che, per scopi che le sono propri, influisca sul trattamento di dati personali e partecipi, pertanto, alla determinazione delle finalità e dei mezzi di tale trattamento (v. Corte di giustizia dell’Unione europea, sent. C-25/17, Jehovan todistajat, del 10 luglio 2018; cfr. le “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”, cit., parr. 57 e 58).

Né rileva la circostanza che il Dipartimento non avesse accesso ai dati personali detenuti dell’Istituto e utilizzati ai fini del recapito della lettera in questione, atteso che “la responsabilità congiunta di vari soggetti per un medesimo trattamento […] non presuppone che ciascuno di essi abbia accesso ai dati personali di cui trattasi” (Corte di giustizia dell’Unione europea, sent. C-40/17, cit.; v. anche le “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”, cit., par. 56).

Nel caso di specie, deve, quindi, concludersi, che, avendo l’Istituto e il Dipartimento determinato congiuntamente – seppur con gradi di influenza diversi - le finalità e i mezzi del trattamento, gli stessi abbiano agito, nel caso di specie, in qualità di contitolari del trattamento (v., in senso conforme, provv. XX, n. XX, doc. web n. 9896412).

Ciononostante, il Dipartimento e l’Istituto non hanno stipulato un accordo interno, prima di dare avvio al trattamento, al fine di disciplinare in maniera trasparente le rispettive responsabilità in merito all'osservanza degli obblighi derivanti dal Regolamento.

Non può, a tal riguardo, essere accolta l’eccezione sollevata dal Dipartimento in merito alla circostanza che il Regolamento non richiederebbe la forma scritta in relazione all’accordo interno da stipularsi ai sensi dell’art. 26 dello stesso. In disparte da ogni osservazione nel merito, risulta, infatti, dirimente che il Dipartimento ha negato di aver assunto il ruolo di titolare o contitolare del trattamento, tesi che, in quanto tale, non presuppone la stipula di un accordo interno con l’Istituto  né in forma scritta né in forma orale. Né d’altra parte il Dipartimento ha mai dichiarato di aver stipulato tale accordo interno, ancorché solo oralmente, risultando, pertanto, violato l’art. 26, parr. 1 e 2, del Regolamento.

3.2 La base giuridica del trattamento.

Alla luce di quanto si evince dalla documentazione in atti, l’Istituto, al fine di individuare gli indirizzi di posta elettronica dei dipendenti pubblici, ai quali recapitare la predetta lettera del Ministro per la Pubblica Amministrazione, ha preliminarmente identificato “lo status di “dipendente pubblico” dalle denunce retributive UNIEMENS-ListaPosPA”. Tali denunce devono essere presentate dai datori di lavoro all’Inps con cadenza periodica, rendendo noti i dati relativi alle retribuzioni mensili corrisposte ai propri dipendenti e le altre informazioni necessarie per il calcolo dei contributi, nonché le informazioni utili all’implementazione della posizione assicurativa individuale del lavoratore e all’erogazione delle prestazioni da parte dell’Inps.

Successivamente, stando a quanto dichiarato, l’Istituto ha estratto i codici fiscali degli interessati individuati quali dipendenti pubblici, ottenendoli dall’ultima denuncia contributiva inviata dalle Pubbliche Amministrazioni, e, tramite gli stessi, è risalito al nome, al cognome e all’indirizzo di posta elettronica forniti degli interessati che, in qualità di utenti e anche indipendentemente dal proprio status di dipendenti pubblici, si fossero eventualmente registrati sulla predetta sezione “myINPS” del sito web per fruire dei diversi servizi ivi offerti all’utenza.

Come si legge nell’informativa sul trattamento dei dati personali denominata “Trattamento dati personali dei servizi web”, pubblicata sul tale sito web (https://www.inps.it/privacy/trattamento-dati-personali-dei-servizi-web), “il MyINPS è un’area del portale riservata all’utente autenticato, in quanto alla stessa si accede esclusivamente con l’uso delle credenziali PIN, SPID, CIE e CNS. L’area consente all’utente di verificare in un unico punto i propri contatti, lo stato delle domande presentate, il proprio estratto conto, le comunicazioni ricevute dall’Istituto e di ricevere informazioni o di effettuare simulazion[i] rispetto a prestazioni di interesse. In MyINPS inoltre è possibile l’accesso semplificato a servizi di immediato interesse in considerazione dell’evoluzione dinamica dei rapporti con l’Istituto e la possibilità di stampare atti e certificati (es. verbale di invalidità civile, CU, cedolino di pensione, ecc.)”. 

In tale quadro, pertanto, il portale “MyInps” censisce categorie eterogenee di utenti (ad esempio, oltre a lavoratori pubblici, dipendenti di soggetti privati, pensionati, invalidi civili, privati cittadini che abbiano alle proprie dipendenze dei collaboratori domestici, beneficiari di finanziamenti a condizioni agevolate, ecc.), e che quindi non necessariamente prestano la propria attività lavorativa alle dipendenze di Pubbliche Amministrazioni.

L’Istituto, in base al quadro normativo di settore che ne regola compiti e funzioni, tratta, pertanto, sia i dati personali dei lavoratori pubblici e privati, inclusi quelli che compaiono nelle denunce retributive UNIEMENS-ListaPosPA, sia i dati personali dei cittadini che dispongano di un’utenza per accedere all’area “MyINPS”. Tanto nell’ambito dell’erogazione di benefici e/o servizi di varia natura per finalità connesse all’adempimento di obblighi di legge e/o all’esecuzione dei compiti di interesse pubblico attribuitigli dalla legge (art. 6, par. 1, lett. c) ed e), del Regolamento).

Nel caso di specie, nel quadro del Piano nazionale di ripresa e resilienza (PNRR) e, in particolare,  degli interventi di riforma della pubblica amministrazione volti a migliorare la capacità amministrativa a livello centrale e locale, rafforzando la formazione e lo sviluppo delle competenze dei dipendenti pubblici, i dati personali degli interessati sono stati trattati per la finalità di veicolare la predetta lettera del Ministro per la Pubblica Amministrazione, recapitandola individualmente a ciascun dipendente pubblico, informando in merito a talune opportunità formative.

Tuttavia, come sopra evidenziato, l’Istituto ha utilizzato gli indirizzi di posta elettronica dei dipendenti pubblici autenticati nell’area del portale “MyInps”, indirizzi  che sono stati forniti dagli interessati al fine di fruire dei servizi erogati tramite il sito web istituzionale, non necessariamente in quanto lavoratori ma in qualità di cittadini e utenti che a vario titolo si avvalgono dei servizi in questione. L’utilizzo di tali dati di contatto ai fini dell’invio della predetta lettera si pone in contrasto con l’aspettativa degli utenti del portale in merito al trattamento dei propri dati, i quali, anche in considerazione dell’informativa sul trattamento dei dati personali fornita loro dall’Istituto al momento della raccolta dei dati, sopra citata, confidano che gli stessi saranno utilizzati esclusivamente ai fini dell’erogazione degli specifici servizi richiesti attraverso il portale “MyInps” (cfr. “Parere 03/2013 sulla limitazione delle finalità”, cit., par. II.3). Ciò anche in considerazione della natura pubblicistica dell’Istituto e del conseguente squilibrio nel rapporto tra il titolare e il responsabile del trattamento (v. cons. 49 del Regolamento), che rafforza ulteriormente l’aspettativa degli interessati a che i propri dati siano trattati esclusivamente per le finalità istituzionali proprie del soggetto pubblico che raccoglie i loro dati ed effettua il trattamento (cfr. “Parere 03/2013 sulla limitazione delle finalità”, cit., par. III.2.2.(b)).

Gli indirizzi di posta elettronica degli utenti autenticati nell’area del portale “MyInps”, non necessariamente coincidono con gli account istituzionali eventualmente assegnati dalle rispettive Amministrazioni datrici di lavoro a coloro i quali siano anche dipendenti pubblici. Per tale ragione, come peraltro risulta dal reclamo e dalla segnalazione, ai fini dell’invio della predetta lettera sono stati utilizzati anche indirizzi di posta elettronica privati. Gli utenti accreditati sul portale “MyInps”, inclusi quelli con la qualifica di dipendente pubblico, non avevano, pertanto, l’aspettativa di essere contattati sui recapiti di posta elettronica privati, forniti ad altri fini all’Inps, in merito a iniziative formative del Ministero per la Pubblica Amministrazione.  

Né risulta in atti siano state adottate misure per ridurre l’impatto sugli interessati e assicurare la correttezza del trattamento, non essendo state fornite agli stessi informazioni aggiuntive in merito all’ulteriore finalità di trattamento perseguita, relativa alla divulgazione di opportunità formative offerte da soggetti terzi e non oggetto di contributi da parte dell’Istituto (cfr. “Parere 03/2013 sulla limitazione delle finalità”, cit., par. III.2.2.(b); per tali profili si veda più diffusamente il successivo par. 3.3).

Nel far presente che la formazione del personale delle pubbliche amministrazioni può considerarsi un compito di interesse pubblico (art. 6, par. 1, lett. e) del Regolamento; v. anche d.l n. 80/2021, convertito con modificazioni dalla legge n. 113/2021 che prevede, tra le missioni del PNRR, la formazione del personale delle pubbliche amministrazioni) e che l’attività di supporto richiesta dal Dipartimento all’Istituto mirava ad assicurare la più ampia conoscibilità dell’iniziativa formativa, rivolta ai dipendenti pubblici, si ritiene, tuttavia, per le ragioni sopra esposte, che l’effettivo trattamento di dati personali posto in essere con le sopradescritte modalità, non fosse in concreto necessario, avendo potuto la medesima finalità essere perseguita attraverso modalità meno invasive per gli interessati e la loro riservatezza, ovvero senza fare ricorso a trattamenti di dati personali, ad esempio diramando la predetta lettera alle Amministrazioni Pubbliche e invitando le stesse, in qualità di datrici di lavoro, ad informare i propri dipendenti attraverso i propri canali interni (posta elettronica istituzionale; intranet; bacheche; ecc.). La soluzione in questione avrebbe, altresì, evitato che, come verificatosi nel caso di specie, la lettera del Ministro fosse recapitata anche a persone che non rivestivano più la qualifica di dipendente pubblico.

In conclusione, si ritiene, pertanto, che il Dipartimento abbia agito, ancorché nel quadro degli obiettivi di interesse pubblico legati alla formazione e riqualificazione della pubblica amministrazione,  con modalità eccedenti rispetto allo scopo che si intendeva perseguire, dando luogo ad un trattamento di dati non necessario in relazione alla finalità in concreto perseguita, in violazione degli artt. 5, par. 1, lett. a), e 6 del Regolamento, nonché 2-ter del Codice.

3.3 La trasparenza nei confronti degli interessati.

Nel rispetto del principio di “liceità, correttezza e trasparenza”, il titolare del trattamento deve adottare misure appropriate per fornire all'interessato, prima di iniziare il trattamento, tutte le informazioni richieste dal Regolamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro (artt. 5, par. 1, lett. a), 12, 13 e 14 del Regolamento).

Da quanto emerso nel corso dell’istruttoria risulta che il Dipartimento non ha fornito agli interessati alcuna specifica informativa sul trattamento dei dati personali effettuato ai fini della promozione delle iniziative formative promosse dal Ministero per la Pubblica Amministrazione.

Pertanto, il Dipartimento ha trattato i predetti dati in maniera non conforme al principio di “liceità, correttezza e trasparenza”, in violazione degli artt. 5, par. 1, lett. a), 12, 13 e 14 del Regolamento.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Dipartimento per aver posto in essere il trattamento di dati personali sopra illustrato, in qualità di contitolare del trattamento, in violazione degli artt. 5, par. 1, lett. a), 6, 12, 13, 14 e 26, parr. 1 e 2, del Regolamento, nonché 2-ter del Codice.

Ciò premesso, occorre, tuttavia, tenere in considerazione taluni elementi, anche di contesto, emersi nel corso dell’istruttoria, che risultano indispensabili ai fini della valutazione in concreto dell’entità delle violazioni riscontrate e della lesività della complessiva condotta (v. cons. 148 del Regolamento).

In particolare, tenuto conto che:

il trattamento non ha avuto ad oggetto dati appartenenti a categorie particolari (cfr. art. 9 del Regolamento);

la violazione non riveste particolare gravità, tenuto conto che il contenuto della lettera veicolata agli interessati aveva natura istituzionale e la stessa è stata inviata per finalità rivolte all’interesse collettivo, comunque meritevoli di considerazione;

non risulta in atti che alcuno degli interessati abbia subito uno specifico danno in considerazione del trattamento posto in essere; 

la violazione ha carattere colposo, avendo il Dipartimento agito in buona fede, nella convinzione che soltanto l’Istituto avrebbe assunto la qualifica di titolare del trattamento;

il Dipartimento ha collaborato in maniera proattiva con l’Autorità nel corso dell’istruttoria;

non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento;

le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi del cons. 148 del Regolamento e delle “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal Gruppo di Lavoro Art. 29 il 3 ottobre 2017, WP 253, e fatte proprie dal Comitato europeo per la protezione dei dati con l’“Endorsement 1/2018” del 25 maggio 2018.

Alla luce di tutto quanto sopra rappresentato, e dei termini complessivi della vicenda in esame, si ritiene, pertanto, sufficiente ammonire il Dipartimento per la violazione delle disposizioni sopraindicate, ai sensi dell’art. 58, par. 2, lett. b), del Regolamento (cfr. anche cons. 148 del Regolamento).

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

a) dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento dei dati personali effettuato dalla Presidenza del Consiglio dei Ministri-Dipartimento della Funzione Pubblica, in persona del legale rappresentante pro-tempore, con sede legale in Piazza Colonna, 370 - 00187 Roma (RM), C.F. 80188230587, per violazione degli artt. 5, par. 1, lett. a), 6, 12, 13, 14 e 26, parr. 1 e 2, del Regolamento, nonché 2-ter del Codice, nei termini di cui in motivazione;

b) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce la Presidenza del Consiglio dei Ministri-Dipartimento della Funzione Pubblica, quale titolare del trattamento in questione, per aver violato gli artt. 5, par. 1, lett. a), 6, 12, 13, 14 e 26, parr. 1 e 2, del Regolamento, nonché 2-ter del Codice, come sopra descritto;

c)  ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 24 gennaio 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei