[doc. web n. 10039553]
Provvedimento del 20 giugno 2024
Registro dei provvedimenti
n. 373 del 20 giugno 2024
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al Trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al Trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;
Relatore l'avv. Guido Scorza;
PREMESSO
1. Introduzione.
Nell’ambito della trattazione del reclamo presentato ai sensi dell’art. 77 del Regolamento dalla Sig.ra XX - la quale ha lamentato, in particolare, la pubblicazione sul sito web istituzionale del Comune di Nepi di una graduatoria formata a seguito della prova preselettiva di un concorso pubblico, recante l’elenco dei candidati ammessi e non ammessi, tra i quali la stessa reclamante - l’Autorità ha rilevato, tra gli altri profili di violazione riferibili al predetto Comune, l’omessa regolamentazione, ai sensi dell’art. 28 del Regolamento, del rapporto intercorrente con la Grafiche E. Gaspari S.r.l. (di seguito, anche “Società”), che da numerosi anni gestisce il sito web istituzionale del Comune medesimo per suo conto.
Al riguardo, l’Autorità ha altresì avviato una separata istruttoria anche nei confronti della Società per i profili riconducibili alla responsabilità della stessa.
2. L’attività istruttoria.
In riscontro a una prima richiesta d’informazioni formulata dall’Autorità ai sensi dell’art. 157 del Codice, il Comune di Nepi, con nota del 2 marzo 2022, ha dichiarato, in particolare, di essersi “attivato prontamente per la risoluzione del problema” concernente la pubblicazione online della predetta graduatoria, contattando “immediatamente […] il [proprio] fornitore esterno soc. Gaspari srl […] per la rimozione della pagina” nella quale erano pubblicati i Dati personali della reclamante.
In riscontro a successive richieste di chiarimenti da parte dell’Autorità, il Comune, da ultimo con nota dell’11 novembre 2022, ha dichiarato che, quanto “alla sottoscrizione dell’accordo sulla protezione dei Dati personali con la società Grafiche E. Gaspari S.r.l. […,] accertata l’irreperibilità [dell’accordo ai sensi dell’art. 28 del Regolamento, lo stesso aveva provveduto alla] stesura del documento”, trasmettendo copia di un accordo stipulato solo il 3 novembre 2022 con la Società ai sensi dell’art. 28 del Regolamento.
Successivamente, con nota del 13 ottobre 2023, l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato alla Grafiche E. Gaspari S.r.l., ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, per aver la predetta Società effettuato, per conto e nell’interesse del Comune, il Trattamento dei Dati personali di una pluralità di interessati (utenti del sito web e altri interessati i cui Dati personali sono pubblicati sul medesimo sito), stante la mancata regolamentazione del rapporto con il Comune ai sensi dell’art. 28 del Regolamento, in assenza di un’idonea base giuridica, in violazione degli artt. 5, par. 1, lett. a), e 6 del Regolamento e dell’art. 2-ter del Codice (sia nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021 sia nell’attuale testo).
Con la medesima nota, la predetta Società è stata invitata a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).
Con nota del 13 novembre 2023, la Società, che non ha richiesto di essere audita, ha presentato una memoria difensiva, dichiarando, per quanto riguarda in particolare lo specifico profilo di violazione contestato, che:
- “il comune di Nepi è nostro cliente fin dal 2011 […], quando acquistò solo alcuni dei servizi del progetto “Bussola” […]: la licenza per l’utilizzo di un programma web con cui costruire e aggiornare il sito istituzionale; lo spazio WEB su un server di altro fornitore (inizialmente era Register S.p.A., poi trasferito su Aruba S.p.A. ed Amazon Europe ), per cui la nostra società faceva da intermediaria commerciale e gestore dei profili di accesso; una consulenza generale per la costruzione dei profili di gestione interna del sito e un layout personalizzato.”;
- “questa società e le sue controllate, per conto del Comune di Nepi, non hanno mai gestito alcun dato relativo agli utenti del sito internet e non hanno mai pubblicato sul sito internet del comune di Nepi alcun dato personale. Infatti, effettuata l’infrastrutturazione del sito mediante la creazione di un layout base e la fornitura di un apposito software di pubblicazione, ha fornito l’ID e una Password di accesso al software per l’amministratore di sistema del comune di Nepi, che a sua volta poteva nominare o creare dei profili di “gestione”. […] I contenuti e i documenti linkati dal sito potevano essere (e possono essere tuttora) caricati e collocati sui server solo dall’amministratore di sistema di Nepi e dai suoi incaricati. La nostra società, come intermediario con i proprietari dei server, svolge la funzione di intermediario commerciale e “superamministratore” dei profili di accesso, assegnando un ID e una PW solo all’amministratore di sistema di Nepi, il quale, a sua volta, autonomamente crea dei profili di gestione a dipendenti del Comune di Nepi”;
- “a luglio 2019, la nostra azienda […], nell’ambito della fornitura che era entrata nell’ottavo anno di durata, effettua due operazioni: c1- Abbandona il server di Register SPA e migra in parte su un analogo server di Amazon e in parte su un server di Aruba; c2- Mette on line un nuovo sito, esclusa Amministrazione Trasparente che continua ad essere fornita da altra azienda, tramite un apposito software che esegue due operazioni complementari: c2a- copia il vecchio sito compresi tutti i link su questo nuovo server, con un nuovo layout, reindirizzando automaticamente ogni pagina con il nuovo indirizzo; c2b- copia tutti i file linkati dal vecchio sito, presenti sul vecchio server, nel nuovo server. Questo trasferimento dà, ad ogni file, un nuovo indirizzo, che automaticamente viene cambiato su tutti i link delle pagine in cui era contenuto. Va precisato che tutte queste operazioni automatiche: non hanno richiesto nessun Trattamento sui contenuti sostanziali né delle pagine del sito né dei documenti, che sono stati trasferiti con il medesimo contenuto che avevano sul vecchio server; in nessun momento i nostri tecnici hanno modificato alcun contenuto sostanziale, non eseguendo quindi alcun Trattamento di Dati personali su alcun documento né su alcuna pagina del sito”;
- “va ulteriormente precisato, che il software di caricamento dei contenuti del sito, fornito in licenza d’uso dalla nostra società, nella disponibilità dell’amministratore di sistema di Nepi e di coloro a cui detto amministratore ha fornito profili di accesso, già nella versione del 2011, tanto più in quelle successive, permette di cancellare sia le pagine web del sito che i documenti linkati da queste pagine e collocati nei server esterni o diversi. Il Comune di Nepi non aveva alcuna necessità di nominarci “responsabile dei trattamenti di Dati personali del sito”, perché i trattamenti se li faceva in autonomia, creando, modificando e cancellando sia le pagine del sito che i documenti linkati. È quindi ovvio che se un documento caricato dal Comune di Nepi non è stato cancellato, nulla può essere rimproverato a questa società, che non poteva e non doveva fare alcun Trattamento di quel tipo”;
- “il 18/02/2022, i tecnici della nostra società dietro espressa richiesta del Comune di Nepi, che era Titolare dei dati trattati in quel documento, cancellano dal server attivo dopo il trasferimento del 2019, quel file con la graduatoria, lo fanno in via straordinaria, attivando una funzione che in via ordinaria non avrebbero assolutamente potuto utilizzare”
- “Quando nel 2011 è stata avviata la fornitura di servizi era palese, che mettere a disposizione uno spazio web, un software per la gestione di un sito e creare un layout del sito, fornendo una consulenza per la pubblicazione, autonoma da parte del comune di Nepi, di contenuti web e documenti, sulla scorta di una fornitura regolare secondo la normativa degli enti locali, non serviva una nomina formale come “responsabile del trattamento”. Nel 2011 la nozione di Responsabile del Trattamento era assolutamente diversa da quella attuale. Le funzioni sostanziali, che deve assolvere oggi il Responsabile del trattamento, come delineate dall’art. 28 del Regolamento Europeo, sono sempre state attuate da questa società in virtù della fornitura, sulla base della nostra proposta commerciale del 2011, dettagliata nel suo contenuto dai preventivi di spesa, dal materiale pubblicitario allegato e dalle determinazioni di accettazione della proposta, di impegno e liquidazione della spesa, adottate dal Comune di Nepi”;
- “La spesa di poco più di cinque euro al giorno, attualizzata al 2023, rende evidente che il Comune di Nepi, al di là degli aspetti formali, non poteva chiedere a questa società niente di più di quanto è stato puntualmente fornito, senza alcuna contestazione reciproca. L’esiguità della spesa, come peraltro segnalato dall’estensore della determinazione del Comune di Nepi [n. 312 del 17 maggio 2023], fa sì che non sia vincolante l’applicazione delle formalità del Codice dei contratti, potendosi applicare tuttora, a forniture di questo tipo, l’art. 17 UC del RD 2440 del 1923 che prevede per ogni PA la trattativa privata “per mezzo di corrispondenza, secondo l'uso del commercio, quando sono conclusi con ditte commerciali”, rendendo di fatto detta corrispondenza come contratto e, dunque, come uno dei documenti di cui all’art. 28 del Regolamento UE atti a formalizzare la nomina di un Responsabile del Trattamento [… altro atto giuridico a norma del diritto dell'Unione o degli Stati membri …]. ”.
3. Esito dell’attività istruttoria. La normativa applicabile.
In via preliminare si rappresenta che il presente provvedimento ha ad oggetto esclusivamente i trattamenti effettuati dal Comune di Nepi e, per suo conto, dalla Società e non invece distinti trattamenti eventualmente effettuati per conto del Comune o della stessa Società anche nell’ambito dell’erogazione, da parte di altri soggetti, di servizi ulteriori, ancorché connessi, a quelli oggetto della presente istruttoria, restando in ogni caso impregiudicata ogni valutazione in merito alla ricorrenza dei presupposti per avviare separati procedimenti.
Ai fini del rispetto della normativa in materia di protezione dei Dati personali occorre, in via preliminare, identificare con precisione i soggetti che, a diverso titolo, possono trattare i Dati personali e definire chiaramente le rispettive attribuzioni, in particolare quella di Titolare e di Responsabile del Trattamento e dei soggetti che operano sotto la diretta responsabilità di questi (art. 4, punti 7 e 8, 28 e 29 del Regolamento).
In tale quadro, il Titolare del trattamento, nell’ambito della predisposizione delle misure tecniche e organizzative che soddisfino i requisiti stabiliti dal Regolamento, anche sotto il profilo della sicurezza (artt. 24 e 32 del Regolamento), può avvalersi di un Responsabile per lo svolgimento di alcune attività di trattamento, cui impartisce specifiche istruzioni (cfr. considerando 81 del Regolamento).
In tal caso il Titolare “ricorre unicamente a responsabili del Trattamento che presentino garanzie sufficienti per mettere in atto [le predette misure] adeguate in modo tale che il Trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti degli interessati” (art. 28, par. 1, del Regolamento), disciplinando il relativo rapporto con un contratto o un altro atto giuridico, avente forma scritta, e impartendo istruzioni documentate in merito al Trattamento (art. 28, parr. 3 e 9, del Regolamento). Il Regolamento disciplina, inoltre, gli altri specifici obblighi e le altre forme di cooperazione cui è tenuto il Responsabile del Trattamento e l’ambito delle responsabilità che incombono rispettivamente sul Titolare e sul Responsabile (v. artt. 30, 32, 33, par. 2, 82 e 83 del Regolamento).
Il Responsabile del Trattamento è, in ogni caso, legittimato a trattare i dati degli interessati “soltanto su istruzione documentata del titolare” (art. 28, par. 3, lett. a), del Regolamento; al riguardo v. Cass., Sez. I Civ., ordinanza n. 21234 del 23 luglio 2021, che ha confermato un provvedimento del Garante, ancorché con riferimento ad un diverso contesto di Trattamento e al quadro normativo previgente), dovendo assistere quest’ultimo nel garantire il rispetto degli obblighi derivanti dalla disciplina di protezione dati (art. 28, par. 3, lett. f), del Regolamento).
Ciò premesso, alla luce di quanto emerso all’esito dell’istruttoria preliminare e delle dichiarazioni rese dalla Società, risulta accertato che la stessa, nell’erogazione del servizio strumentale finalizzato alla gestione del sito web istituzionale del Comune, ha effettuato, per conto del Comune medesimo e nell’interesse dello stesso nonché nell’esercizio delle relative funzioni istituzionali, un Trattamento dei Dati personali degli utenti del rispettivo sito web istituzionale e degli altri interessati i cui Dati personali risultano ivi pubblicati, in qualità di Responsabile del Trattamento ai sensi dell’art. 4, n. 8) del Regolamento.
Al riguardo, si osserva peraltro che, sebbene la Società abbia dichiarato di “non [aver] mai gestito alcun dato relativo agli utenti del sito internet e non [aver] mai pubblicato sul sito internet del comune di Nepi alcun dato personale” nonché di svolgere un ruolo di intermediazione commerciale tra il Comune di Nepi e le società proprietaria del server su cui è ospitato il medesimo sito, tuttavia lo svolgimento della funzione di “superamministratore” dei profili di accesso al sito web, come confermato dalla stessa Società (cfr. nota del 13 novembre 2013), comporta inevitabilmente, stante la definizione di “trattamento” (art. 4, punto 2), del Regolamento), il coinvolgimento della stessa nel Trattamento dei Dati personali degli utenti del predetto sito nonché degli altri Dati personali ivi pubblicati (cfr., sul punto, per analoghe considerazioni ancorché con riferimento a contesti differenti, provv.ti 21 luglio 2022, n. 270, doc. web n. 9811732; 10 giugno 2021, n. 236, doc. web n. 9685947; 17 dicembre 2020, n. 281, doc. web n. 9525315). Quanto sopra risulta confermato altresì dallo stesso intervento straordinario posto in essere dalla Società in 18 febbraio 2022, su richiesta dello stesso Comune, volto alla rimozione dal server del file recante la graduatoria oggetto del reclamo, quale intervento che la Società non avrebbe in nessun caso potuto effettuare in assenza di un proprio effettivo coinvolgimento nel Trattamento dei predetti Dati personali per conto del Comune.
Sulla base degli elementi sopra riportati, deve quindi ritenersi che, contrariamente a quanto sostenuto dalla Società e ancorché la stessa, di regola, non acceda direttamente ai dati trattati nell’ambito del sito web in questione, le operazioni sopra descritte diano comunque luogo a un Trattamento di Dati personali ai sensi dell’art. 4, punto 2), del Regolamento, il quale, nel caso di specie, viene effettuato dalla Società per conto e nell’interesse del Comune.
In tali casi, la disciplina in materia di protezione dei dati richiede, come detto, che il rapporto tra il Titolare e il fornitore sia regolato da un contratto o da altro atto giuridico ai sensi dell’art. 28 del Regolamento (v. anche considerando 81 e art. 4, punto 8), del Regolamento), anche al fine di evitare trattamenti in assenza di un idoneo presupposto di liceità, stante la nozione di “terzo” di cui all’art. 4, punto 10, del Regolamento (cfr. al riguardo anche art. 2-ter, commi 1 e 4, lett. a), del Codice, che definisce la “comunicazione” di dati personali).
Ciononostante, la Società è addivenuta alla stipula di un accordo sulla protezione dei Dati personali con il Comune di Nepi soltanto in data 3 novembre 2022, pur avendo iniziato a fornire i propri servizi al Comune, tra i quali in particolare l’amministrazione dei profili di accesso, numerosi anni addietro (cfr. determinazione comunale di affidamento del servizio n. 861 e dichiarazioni rese dalla Società).
Nel quadro del Regolamento e del Codice, il responsabile, a propria volta, effettua tali trattamenti attenendosi alle istruzioni impartite dal Titolare e può, pertanto, legittimamente trattare i Dati personali per conto del Titolare solo sul presupposto di un contratto o altro atto giuridico, la cui sussistenza non costituisce, contrariamente a quanto sostenuto dalla Società, un mero adempimento formale, dovendo esso disciplinare taluni tra i più rilevanti aspetti del Trattamento e recepire le specifiche istruzioni del titolare. Ne consegue che, più in generale, il Trattamento può in ogni caso legittimamente avvenire da parte del responsabile, solo in presenza di idonea regolamentazione del rapporto sotto il profilo della protezione dei dati ed entro i limiti e con le modalità dettate dal Titolare per l’esecuzione del Trattamento dei dati (cfr. art. 28, par. 5, del Regolamento).
A fronte delle contestazioni formulate dal Garante, la Società ha ritenuto che la corrispondenza intercorsa con il Comune dovesse considerarsi “come contratto e, dunque, come uno dei documenti di cui all’art. 28 del Regolamento UE atti a formalizzare la nomina di un Responsabile del Trattamento […]” sul presupposto dell’applicabilità dell’art. 17 del R.D. 18 novembre 1923, n. 2440 (cfr. nota del 13 novembre 2023) e che “la policy di gestione degli spazi web dei fornitori […dei quali la stessa a sua volta si avvale] renderebbe pleonastica ogni regolamentazione diversa” (cfr. nota del 13 novembre 2023). Al riguardo, il Regolamento stabilisce che il contratto di cui all’art. 28 deve presentare forma scritta e recare tutti i contenuti essenziali espressamente previsti dalla predetta disposizione. Ciò in quanto solo in tal modo l’accordo in questione può garantire un’adeguata regolazione del rapporto tra il Titolare e il Responsabile del Trattamento e, conseguentemente, il soddisfacimento di tutte le garanzie sostanziali connesse (v. cons. n. 81 del Regolamento; v. anche le “Linee guida 07/2020 sui concetti di Titolare del Trattamento e di Responsabile del Trattamento ai sensi del GDPR”, adottate dal Comitato europeo per la protezione dei dati il 7 luglio 2021, spec. punto 102).
Tali principi trovavano applicazione anche con riguardo al quadro giuridico antecedente al Regolamento, come precisato dalla Corte di Cassazione (v. Cass., Sez. I Civ., ordinanza n. 21234 del 23 luglio 2021 cit., ancorché in relazione a trattamenti di Dati personali in un diverso contesto). Nel confermare un provvedimento del Garante, la Corte, per i profili che rilevano nel caso di specie, ha precisato che “l'accordo intercorrente tra il "titolare" ed il "responsabile" è legislativamente previsto e non è destinato solo a regolare i rapporti inter partes, con valenza meramente interna, sotto il profilo dell'eventuale inadempimento contrattuale - come erroneamente sostiene la ricorrente -, perché la disciplina ivi dettata dal "titolare", in merito alle finalità e alle modalità del trattamento, assurge ad elemento necessario per la qualificazione di "responsabile" nel caso concreto”.
Quanto all’argomento invocato dalla Società per cui “nel 2011 la nozione di Responsabile del Trattamento era assolutamente diversa da quella attuale”, occorre precisare che, sebbene il Trattamento sia stato avviato dalla Società per conto del Comune nel periodo precedente all’entrata in vigore del Regolamento, ai fini della individuazione della normativa applicabile, sotto il profilo temporale, si deve tener presente che, in base al principio di legalità di cui all’art. 1, comma 2, della l. n. 689/1981, “Le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in esse considerati”. Da ciò consegue la necessità di prendere in considerazione le disposizioni vigenti al momento della commessa violazione; nel caso in esame, data la natura permanente dell’illecito contestato, tale momento deve essere individuato all’atto della cessazione della condotta illecita, avvenuta, con la sottoscrizione dell’accordo ai sensi dell’art. 28 del Regolamento, in data 3 novembre 2022 e, quindi, nella piena vigenza delle disposizioni del Regolamento e del Codice (come modificato dal d.lgs. 101/2018).
D’altronde l’obbligo di regolamentare il rapporto con soggetti che agiscono per conto e nell’interesse del Titolare era già previsto dal quadro previgente , (v., artt. 4, lett. g), e 29 del Codice, anteriormente alle modifiche di cui al d.lgs. n.101/2018, che prevedeva "I titolari stipulano con i predetti responsabili atti giuridici in forma scritta, che specificano la finalità perseguita, la tipologia dei dati, la durata del trattamento, gli obblighi e i diritti del Responsabile del Trattamento e le modalità di Trattamento (comma 4-bis). […] Il Responsabile effettua il Trattamento attenendosi alle condizioni stabilite ai sensi del comma 4 bis e alle istruzioni impartite dal titolare, il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2, delle proprie istruzioni e di quanto stabilito negli atti di cui al comma 4 bis (comma 5)"; al riguardo, Cass., Sez. I Civ., ordinanza n. 21234 del 23 luglio 2021 cit.).
La violazione delle predette diposizioni, ancorché non comportasse l’applicazione di una sanzione amministrativa (diversamente da quanto ora previsto dagli artt. 28 e 83, par. 4, del Regolamento), dava comunque luogo a trattamenti non conformi alla disciplina di protezione di dati potendosi configurare una comunicazione o messa a disposizione di Dati personali illecita in favore di un soggetto che, non essendo stata Designato come responsabile, era Terzo rispetto al Trattamento (v., per analoghe considerazioni, provv. 21 luglio 2022 n. 268, doc. web n. 9811271, nei confronti di un fornitore di servizi per l’acquisizione e la gestione di segnalazione di illeciti, nonché provv.ti del 21 luglio 2022, nn. 269 e 270, doc. web nn. 9813326 e 9811732, nei confronti dei titolari del trattamento).
Alla luce delle considerazioni che precedono, con riguardo al caso in esame e come già in precedenza chiarito dal Garante con riguardo ad analoghe fattispecie, non essendo stata individuata come Responsabile del Trattamento e non essendo stati indicati da parte della Società specifici presupposti che possano aver legittimato il Trattamento dei dati personali, si deve concludere che lo stesso è stato effettuato in assenza delle condizioni di liceità previste dal Regolamento e dal Codice. L’art. 6, par. 1, lett. c) ed e), del Regolamento, infatti, ammette il Trattamento se necessario “per adempiere un obbligo legale al quale è soggetto il Titolare del trattamento” ovvero “per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il Titolare del trattamento” e legittima, quindi, il solo Titolare a trattare i dati in tali contesti e non invece altri soggetti che pure trattano i dati per conto e nell’interesse del Titolare stesso (sul punto, con riguardo al difetto di legittimazione del Trattamento per i soggetti che trattano i dati per conto e nell’interesse del Titolare del trattamento, in caso di mancata regolamentazione del rapporto ai sensi dell’art. 28 del Regolamento, v., tra i tanti, provv.ti 18 luglio 2023, n. 313 e 314, doc. web nn. 9920645 e 9920664; provv.ti 21 luglio 2022, nn. 268, 269 e 270, doc. web nn. 9811271, 9813326 e 9811732; provv.ti 17 settembre 2020, nn. 160 e 161, doc. web nn. 9461168 e 9461321; provv. 11 febbraio 2021, n. 49, doc. web n. 9562852, provv.ti 17 dicembre 2020, nn. 280, 281 e 282, doc. web nn. 9524175, 9525315 e 9525337, nonché provv.ti 10 febbraio 2022, nn. 43 e 44, doc. web n. 9751498; v. anche “Linee guida 07/2020 sui concetti di Titolare e Responsabile del Trattamento nel GDPR”, adottate il 7 luglio 2021 dal Comitato europeo per la protezione dei dati personali, spec. nota 42).
In senso conforme al citato orientamento dell’Autorità si è di recente pronunciata anche la Corte di Cassazione, precisando che, in caso di mancata sottoscrizione di accordo ai sensi dell’art. 28 del Regolamento, in assenza di altri presupposti che possano legittimare il Trattamento dei dati personali, quest’ultimo debba considerarsi effettuato in assenza di idonea base giuridica e in violazione del principio di liceità (v. Cass., Sez. I Civ., sent. n. 35256 del 18 dicembre 2023, che ha confermato il provv. del 22 luglio 2021, n. 294, doc. web n. 9698597: “in assenza di "designazione" [… ai sensi dell’art. 28 del Regolamento] con specifico contratto o altro atto equipollente, né essendo stati individuati altri presupposti che potessero legittimare il Trattamento dei Dati personali degli utenti del servizio in esame, il loro trattamento, da parte di […], deve considerarsi effettuato in assenza di idonea base giuridica e, dunque, in violazione degli artt. 5, par. 1, lett. a), e 6 del Regolamento”).
Alla luce delle considerazioni che precedono, nel caso in esame, non essendo stata individuata la Società come Responsabile del Trattamento e non essendo stati rinvenuti specifici e autonomi presupposti di liceità per legittimare il trattamento, da parte della stessa, dei Dati personali degli utenti del sito web istituzionale del Comune di Nepi e degli altri interessati i cui Dati personali risultano ivi pubblicati, si deve concludere che il Trattamento in questione è stato effettuato dalla Società in assenza delle condizioni di liceità previste dal Regolamento e dal Codice, in violazione degli artt. 5, par. 1, lett. a), e 6 del Regolamento e dell’art. 2-ter del Codice.
4. Conclusioni
Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal Responsabile del Trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Per la determinazione della norma applicabile, sotto il profilo temporale, deve essere richiamato, in particolare, il principio di legalità di cui all’art. 1, comma 2, della l. n. 689/1981, ai sensi del quale le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in esse considerati. Ciò determina l’obbligo di prendere in considerazione le disposizioni vigenti al momento della commessa violazione, che – data la natura permanente degli illeciti contestati – deve individuarsi nel momento della cessazione della condotta. Si ritiene che il Regolamento e il Codice costituiscano la normativa alla luce della quale valutare i trattamenti in questione.
Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del Trattamento di Dati personali effettuato dalla Grafiche E. Gaspari S.r.l., per aver la predetta Società effettuato, per conto e nell’interesse del Comune di Nepi, il Trattamento dei Dati personali di una pluralità di interessati (utenti del sito web e altri interessati i cui Dati personali sono pubblicati sul medesimo sito), stante la mancata regolamentazione del rapporto con il Comune ai sensi dell’art. 28 del Regolamento, in assenza di un’idonea base giuridica, in violazione degli artt. 5, par. 1, lett. a), e 6 del Regolamento e dell’art. 2-ter del Codice (sia nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021 sia nell’attuale testo).
In ogni caso, considerando che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di misure correttive, di cui all'art. 58, par. 2, del Regolamento.
5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).
Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).
Tenuto conto che la violazione delle predette disposizioni ha avuto luogo in conseguenza di un’unica condotta (stesso Trattamento o trattamenti tra loro collegati), trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, tutte le violazioni accertate - artt. 5, par. 1, lett. a), e 6 del Regolamento, nonché 2-ter del Codice -sono soggette alla sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore. Tenuto che, come ricavato dall’ultimo bilancio d’esercizio disponibile (31 dicembre 2022) in accordo con i precedenti provvedimenti adottati dall’Autorità, il fatturato totale annuo della Società nel 2022 è pari a euro 10.506.637, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000.
La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.
Con specifico riguardo alla natura, alla gravità e alla durata della violazione (art. 83, par. 2, lett. a), del Regolamento), occorre considerare, in particolare, che il Trattamento in questione ha riguardato Dati personali di tutti gli utenti del sito web istituzionale del Comune nonché degli altri interessati i cui Dati personali risultavano ivi pubblicati e che la Società è addivenuta alla stipula di un accordo con il Comune ai sensi dell’art. 28 del Regolamento soltanto in data 3 novembre 2022, pur avendo iniziato a fornire i propri servizi al Comune, tra i quali in particolare l’amministrazione dei profili di accesso, numerosi anni addietro (cfr. determinazione comunale di affidamento del servizio n. 861 e dichiarazioni rese dalla Società). Si ritiene debba, altresì, considerarsi che la violazione non ha riguardato Dati personali relativi a categorie particolari di dati (art. 9 del Regolamento) o a condanne penali e reati (art. 10 del Regolamento; art. 83, par. 2, lett. g), del Regolamento).
Alla luce di tali circostanze, si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal Titolare del Trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023, punto 60).
Ciò premesso, si ritiene che, ai fini della quantificazione della sanzione, debbano essere prese in considerazione le seguenti circostanze attenuanti:
la Società ha offerto una buona cooperazione con l’Autorità nel corso dell’istruttoria, avendo, essendo addivenuta, nel corso dell’istruttoria, alla stipulazione di un accordo ai sensi dell’art. 28 del Regolamento con il Comune di Nepi (art. 83, par. 2, lett. f), del Regolamento);
non risultano precedenti violazioni pertinenti commesse dalla Società (art. 83, par. 2, lett. e), del Regolamento);
nell’ambito dei servizi erogati dalla Società per conto del Comune di Nepi, quale ente territoriale di modeste dimensioni (poco più di 9.000 abitanti), la Società ha comunque dimostrato un fattivo supporto in favore del Titolare del trattamento, in particolare attivando specifiche procedure finalizzate a porre rimedio alla violazione imputata al Comune in merito alla diffusione online dei dati contenuti nella graduatoria della procedura concorsuale sopra menzionata (art. 83, par. 2, lett. k), del Regolamento).
In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 12.000 (dodicimilaeuro/00) per la violazione degli artt. 5, par. 1, lett. a), e 6 del Regolamento, nonché 2-ter del Codice (sia nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021 sia nell’attuale testo), quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.
Tenuto conto che, come sopra rilevato, il Trattamento si è protratto per un esteso arco temporale in mancanza di un’adeguata regolamentazione dei rapporti ai sensi dell’art. 28 del Regolamento, si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.
TUTTO CIÒ PREMESSO IL GARANTE
dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del Trattamento effettuato dalla Grafiche E. Gaspari S.r.l. per violazione degli artt. 5, par. 1, lett. a), e 6 del Regolamento, nonché 2-ter del Codice (sia nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021 sia nell’attuale testo), nei termini di cui in motivazione;
ORDINA
alla Grafiche E. Gaspari S.r.l., in persona del legale rappresentante pro-tempore, con sede legale in Via Minghetti, 18 – 40057 - Granarolo Dell’Emilia (BO), frazione Cadriano, P. IVA 00089070403, di pagare la somma di euro 12.000 (dodicimilaeuro/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;
INGIUNGE
alla predetta Grafiche E. Gaspari S.r.l., in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 12.000 (dodicimilaeuro/00) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;
DISPONE
- la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice (v. art. 16 del Regolamento del Garante n. 1/2019);
- l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento (v. art. 17 del Regolamento del Garante n. 1/2019).
Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 20 giugno 2024
IL PRESIDENTE
Stanzione
IL RELATORE
Scorza
IL SEGRETARIO GENERALE
Mattei