I provvedimenti spiegati alle aziende
con guide, checklist, modelli; AI assisted
Osservatorio a cura del dott. V. Spataro 



   documento 2023-01-28 ·  NEW:   Appunta · Stampa · Cita: 'Doc 96274' · pdf

Ordinanza ingiunzione nei confronti di Comune di Santa Ninfa 29 aprile 2021 [9681085]

abstract:



Documento annotato il 28.01.2023 Fonte: GPDP
Link: https://www.garanteprivacy.it/web/guest/home/docwe




analisi:

L'analisi è riservata agli iscritti. Segui la newsletter dell'Osservatorio oppure il Podcast iscrizione gratuita 30 giorni




index:

Indice

  • Ordinanza ingiunzione nei confronti di C
  • IL GARANTE PER LA PROTEZIONE DEI DATI PE
  • PREMESSO
  • 1. Introduzione
  • 2. La normativa in materia di protezione
  • effettuato.
  • 4. Memorie difensive.Il Comune di Santa
  • 5. Esito dell’istruttoria relativa al
  • 6. Adozione dell’ordinanza ingiunzione
  • TUTTO CIÒ PREMESSO IL GARANTE
  • ORDINA
  • INGIUNGE



testo:

E

estimated reading time: 15 min

[doc. web n. 9681085]

Ordinanza ingiunzione nei confronti di Comune di Santa Ninfa - 29 aprile 2021

Registro dei provvedimentin. 169 del 29 aprile 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al Trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO il d. lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei Dati personali (di seguito “Codice”);

VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di Trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di Pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida in materia di trasparenza”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore l’avv. Guido Scorza;

PREMESSO

1. Introduzione

Questa Autorità ha ricevuto un reclamo da parte del sig. XX, con il quale è stata contestata una violazione della normativa in materia di protezione dei dati personali.

Nello specifico, come emerso dalla verifica preliminare effettuata dall’Ufficio, dagli indirizzi web http://... e http://... era liberamente visualizzabile e scaricabile la Delibera di Giunta n. XX del XX, avente a oggetto «Costituzione in opposizione all'atto di citazione per opposizione, all'atto di precetto del XX, XX L./Comune Santa Ninfa».

La citata delibera riportava in chiaro, nel testo e nell’oggetto, dati e informazioni personali del reclamante, quali nominativo e riferimenti particolareggiati relativi ad atti di precetto (e relativa opposizione) per pagamenti nei confronti del Comune a seguito dell’avvio di procedimento esecutivo immobiliare.

2. La normativa in materia di protezione dei dati personali

Ai sensi della disciplina in materia, «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)» e «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).

Al riguardo, i soggetti pubblici (come il Comune) possono diffondere «dati personali» solo se tale operazione è prevista «da una norma di legge o, nei casi previsti dalla legge, di regolamento» (art. 2-ter, commi 1 e 3, del Codice), nel rispetto – in ogni caso – dei principi in materia di protezione dei dati, fra i quali quello di «minimizzazione», in base al quale i Dati personali devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. c, del RGPD).

La normativa statale di settore prevede, inoltre, che «Tutte le deliberazioni del comune e della provincia sono pubblicate mediante pubblicazione all’albo pretorio, nella sede dell’ente, per quindici giorni consecutivi, salvo specifiche disposizioni di legge» (art. 124, comma 1, d. lgs. n. 267 del 18/8/2000).

In ordine alle pubblicazione sull’albo pretorio, fin dal 2014, il Garante ha fornito specifiche indicazioni alle amministrazioni sulle cautele da adottare per la diffusione di Dati personali online con il provvedimento generale n. 243 del 15/5/2014, recante le «Linee guida in materia di Trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di Pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (attualmente in corso di aggiornamento, ma ancora attuale nella parte sostanziale).

Nelle predette Linee guida del Garante è espressamente sancito che una volta trascorso il periodo temporale previsto per la pubblicazione degli atti e documenti nell’albo pretorio:

- «gli enti locali non possono continuare a diffondere i Dati personali in essi contenuti. In caso contrario, si determinerebbe, per il periodo eccedente la durata prevista dalla normativa di riferimento, una diffusione dei Dati personali illecita perché non supportata da idonei presupposti normativi […]. A tal proposito, ad esempio, la permanenza nel web di Dati personali contenuti nelle deliberazioni degli enti locali oltre il termine di quindici giorni, previsto dall´art. 124 del citato d. lgs. n. 267/2000, può integrare una violazione del suddetto art. 19, comma 3, del Codice [n.d.r. oggi riprodotto nell’art. 2-ter, commi 1 e 3, del Codice], laddove non esista un diverso parametro legislativo o regolamentare che preveda la relativa diffusione […]. [In tal caso] se gli enti locali vogliono continuare a mantenere nel proprio sito web istituzionale gli atti e i documenti pubblicati, ad esempio nelle sezioni dedicate agli archivi degli atti e/o della normativa dell’ente, devono apportare gli opportuni accorgimenti per la tutela dei dati personali[,] provvede[ndo] a oscurare nella documentazione pubblicata i dati e le informazioni idonei a identificare, anche in maniera indiretta, i soggetti interessati» (parte seconda, par. 3.a).

3. Valutazioni preliminari dell’Ufficio sul Trattamento di Dati personali effettuato.

Alla luce dalle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX del XX ha accertato che il Comune di Santa Ninfa – diffondendo i dati e le informazioni personali del reclamante contenuti nella Delibera di Giunta n. XX del XX, pubblicata online, prima descritti – ha effettuato un Trattamento di Dati personali non conforme alla disciplina rilevante in materia di protezione dei Dati personali contenuta nel RGPD. Pertanto, con la medesima nota sono state notificate al predetto Comune le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD e invitando la predetta amministrazione a far pervenire al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentito da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

4. Memorie difensive.Il Comune di Santa Ninfa, con la nota prot. n. XX del XX, ha inviato al Garante i propri scritti difensivi in relazione alle violazioni notificate.

Al riguardo, si ricorda che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, intitolato «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante».

Nello specifico, è stato rappresentato, fra l’altro che:

- si è «immediatamente dato disposizione, […] di rettificare con immediatezza il testo della delibera di G.C. n. XX del XX, […] oscurando il nominativo dall'oggetto, preambolo e dispositivo della stessa e […] ad oscurare la visione nella rete internet dagli URL indicati […]»;

- «[…]l’articolo nel portale era posizionato in una sezione non in evidenza. Gli interessati coinvolti nella violazione sono di numero 1. L’oggetto del documento riporta l'informazione anonimizzata mentre nel corpo del testo, per un errore è presente il nome e cognome dell’interessato»;

- «La pubblicazione ha avuto un carattere colposo dovuto ad un aggiornamento tecnico della software house. La pubblicazione infatti nella sezione “delibere” per la finalità trasparenza” non prevede la diffusione del documento ma solo di informazioni per estratto degli stessi»;

- «più volte in questo 2020, si è proceduto a fare formazione con il dpo e contestualmente comunicare alla software house (data processor) di verificare eventuali allegati documentali relative pubblicazioni per estratto. Il 2020 è stato molto impegnativo vist[a l’] emergenza covid, sicuramente è stata una violazione involontaria»;

- «Immediatamente nonostante gli uffici fossero chiusi, abbiamo subito comunicato agli uffici di provvedere a contattare i tecnici e/o software house di eliminare/correggere e pubblicare immediatamente il documento».

Con successiva e-mail del XX il Comune ha inviato al Garante una notifica di una Violazione dei dati personali ai sensi dell’art. 33 del RGPD che non presenta elementi di novità rispetto a quanto già accertato dall’Ufficio e precedentemente rappresentato dall’ente.

Infine, con e-mail del XX l’amministrazione ha confermato l’avvenuto oscuramento di tutti gli indirizzi web segnalati da cui era scaricabile l’atto oggetto di reclamo.

5. Esito dell’istruttoria relativa al reclamo presentato

La questione oggetto del caso sottoposto all’attenzione del Garante riguarda la diffusione di dati e informazioni personali del reclamante (quali nominativo; riferimenti particolareggiati relativi ad atti di precetto, e relativa opposizione, per pagamenti nei confronti del Comune a seguito dell’avvio di procedimento esecutivo immobiliare), contenuti nella Delibera di Giunta n. XX del XX, avente a oggetto «Costituzione in opposizione all'atto di citazione per opposizione, all'atto di precetto del XX, XX L./Comune Santa Ninfa», pubblicata online sul sito web istituzionale.

Nell’ambito dell’istruttoria aperta al riguardo da questa Autorità, il Comune di Santa Ninfa ha confermato, nelle proprie memorie difensive, l’avvenuta diffusione online dei Dati personali descritti. Sotto tale profilo, l’ente ha ammesso che la diffusione dei dati online del reclamante è stato frutto di un errore, dovuto, fra l’altro, «ad un aggiornamento tecnico della software house», anche considerando che la pubblicazione nella sezione “delibere” per la finalità trasparenza” «non prevede la diffusione del documento ma solo di informazioni per estratto degli stessi».

Le circostanze evidenziate negli scritti difensivi esaminate nel loro complesso, sicuramente meritevoli di considerazione ai fini della valutazione della condotta, non risultano tuttavia sufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo alcuna delle ipotesi previste dall’art. 11 del Regolamento del Garante n. 1/2019. Ciò anche considerando che sin dal 2014 l’Autorità, nelle Linee guida in materia di trasparenza e pubblicazione online sopra citate, ha fornito a tutte le pp.aa. specifiche indicazioni sulle modalità per contemperare gli obblighi di trasparenza e Pubblicità dell’azione amministrativa con il diritto alla protezione dei Dati personali dei soggetti interessati.

In tale quadro, si confermano le valutazioni preliminari dell’Ufficio con la nota prot. n. XX del XX e si rileva l’illiceità del Trattamento di Dati personali effettuato dal Comune di Santa Ninfa, in quanto la diffusione dei dati e delle informazioni personali del reclamante, contenuti nella citata Delibera di Giunta n. XX del XX pubblicata online risulta priva di idonei presupposti normativi per il periodo eccedente i quindici giorni previsti dall’art. 124, comma 1, del d. lgs. n. 267/2000 per la pubblicazione nell’albo pretorio, in violazione dell’art. 2-ter, commi 1 e 3, del Codice; nonché dei principi di base del Trattamento contenuti negli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD.

Considerato, tuttavia, che la condotta ha esaurito i suoi effetti, in quanto il Titolare del Trattamento ha dichiarato di aver provveduto a oscurare i Dati personali del reclamante diffusi online, fermo restando quanto si dirà sull’applicazione della sanzione amministrativa pecuniaria, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del RGPD.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria (artt. 58, par. 2, lett. i; 83 del RGPD)

Il Comune di Santa Ninfa risulta aver violato gli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD; nonché l’art. 2-ter, commi 1 e 3, del Codice.

Al riguardo, l’art. 83, par. 3, del RGPD, prevede che «Se, in relazione allo stesso Trattamento o a trattamenti collegati, un Titolare del Trattamento o un Responsabile del Trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave».

Nel caso di specie, la violazione delle disposizioni citate – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del RGPD, che si applica pertanto al caso di specie.

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD, nonché dell’art. 166 del Codice, ha il potere correttivo di «infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso». In tale quadro, «il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice» (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del RGPD.

In tal senso, la rilevata condotta tenuta in violazione della disciplina in materia di protezione dei Dati personali risulta di natura colposa ed ha avuto a oggetto la diffusione online di dati personali, per quasi un anno, non appartenenti a categorie particolari né a condanne penali o reati (artt. 9 e 10, del RGPD), riferiti a un solo soggetto interessato. Il Comune di Santa Ninfa è in ogni caso un ente di piccole dimensioni (poco più di 4.900 abitanti), che a seguito della richiesta dell’Ufficio è intervenuto tempestivamente, collaborando con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alla violazione, attenuandone i possibili effetti negativi. Non risultano, in ogni caso, eventuali precedenti violazioni del RGPD pertinenti commesse dall’ente.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, parr. 2 e 3, del RGPD l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, del RGPD, nella misura di euro 2.000,00 (duemila) per la violazione degli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD, nonché dell’art. 2-ter, commi 1 e 3, del Codice; quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo RGPD.

In relazione alle specifiche circostanze del presente caso, relative alla diffusione di Dati personali online in assenza di una idonea base normativa e in violazione del principio di min imizzazione dei dati (art. 5, par. 1, lett. c, RGPD), si ritiene altresì che debba essere applicata la sanzione accessoria della pubblicazione del presente provvedimento sul sito Internet del Garante, prevista dall’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità del Trattamento effettuato dal Comune di Santa Ninfa nei termini indicati in motivazione ai sensi degli artt. 58, par. 2, lett. i), e 83 del RGPD

ORDINA

al Comune di Santa Ninfa, in persona del legale rappresentante pro-tempore, con sede legale in Piazza Libertà n. 1 - 91029 Santa Ninfa (TP) - C.F. 81000110817 di pagare la somma di € 2.000,00 (duemila) a titolo di sanzione amministrativa pecuniaria per le violazioni di cui in motivazione;

INGIUNGE

al medesimo Comune di pagare la somma di euro € 2.000,00 (duemila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.

Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1/9/2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice).

DISPONE

- la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019;

- l'annotazione nel registro interno dell'Autorità delle violazioni e delle misure adottate ai sensi dell'art. 58, par. 2, del RGPD con il presente provvedimento, come previsto dall’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 29 aprile 2021

IL PRESIDENTEStanzione

IL RELATOREScorza

IL SEGRETARIO GENERALEMattei


Link: https://www.garanteprivacy.it/web/guest/home/docwe

Testo del 2023-01-28 Fonte: GPDP




Commenta



i commenti sono anonimi e inviati via mail e cancellati dopo aver migliorato la voce alla quale si riferiscono: non sono archiviati; comunque non lasciare dati particolari. Si applica la privacy policy.


Ricevi gli aggiornamenti su Ordinanza ingiunzione nei confronti di Comune di Santa Ninfa 29 aprile 2021 [9681085] e gli altri post del sito:

Email: (gratis Info privacy)






Nota: il dizionario è aggiornato frequentemente con correzioni e giurisprudenza