--titolare,mansioni,contratto,data breach,sanzione,garante,italiano Contratto e mansioni mancanti - sanzione gemella - al titolare 10039471

Divulgare la privacy e la cybersecurity nelle aziende
con spiegazioni semplici e operative, AI assisted
Osservatorio a cura del dott. V. Spataro 


Podcast Newsletter Dizionario Rassegna TG About







Accesso


Password persa ?

oppure

Dallo store:

La banca dati:

218 voci nel dizionario
3643 documenti
1152 temi
105 dossier

store
i prodotti

   titolare 2024-07-30 ·  NEW:   Appunta · Stampa · Cita: 'Doc 98727' · pdf

Contratto e mansioni mancanti - sanzione gemella - al titolare 10039471

abstract:



Gemella al provvedimento 10039553, si notano gli stessi temi: mancanza di contratto, mancanza di mansioni.

Sanzione 20.000. Analisi Gen Ai.

Fonte: gpdp
Link: https://gpdp.it/web/guest/home/docweb/-/docweb-dis




analisi:

L'analisi è riservata agli iscritti. Segui la newsletter dell'Osservatorio oppure il Podcast iscrizione gratuita 30 giorni

.. ....... ... .. .......... ... .... ......... .. .......... .. ...... .. .... ... .. ........ ...........:

  1. .......... ........ .. .... .........:

    • .. ...... .. .... .. .......... ...... . ........... ... ...... .. ....... ... ........... ....... . ....... ..... ..... ............ .. .. ........ ........, .......... .'...... ... ......... ....... . ... ........
    • ...... ............. ........ ........ ..... .. ...... ........... ........., ........ ... ........ ., .... ., ..... .), ., .... ., ..... .) .. .), ... ........... (..) ..../... (....) . .'.... .-... ... ...... .. ....... .. .......... ... .... ..........
    • .. ............. .. .......... .... ...... (.... . ......., ......... . ..... ..... .....) .. .. ............ ....... . ... ... ........
    • .. ........... ........ ..... .......... ... . ........ .... .. .. ........ ...., .. ....... ............... ......

  2. ...... ................ ... ........ ... .. ......... .. .......:

    • .. ...... .. .... .. ........ . .... ......... ..... ...... ... .... ... . ..... ..... ........... ..... .... ............. .. ........ ... .. ........ .. ....... ......, ........... ... ........ .. ........ ... .... ... ............. ... .......
    • ...... .. .......... ... .......... ....'.... .. ... ...., ........ . ............ ..... ........ .............. .... ......... .. ....... .. ...... ........... ........., ........ ... ........ ., .... ., ..... .), . . ... .... . .'.... .-... ... .......
    • .. ...... .. ......... .. ....... ... .. .............. .. ..... ....'.... .. ... .... .... .. . ........ ...., .... .. ...... .... ......... .. ....... .................

  3. ........ .............. ..........:

    • ... .. .......... ........ .... .......... ... .... ......... ... ............ .... ..... ............, .. ....... .. ........ ... ........ .. .... ..... (........).
    • ... .. .......... ........ ...'...... ................ ... ........ ... .. ......... .. ......., .. ....... .. ........ ... ........ .. .... ...... (..........).
    • .. ..... ...... ..... ........ ....... . .... ...... (.........).

  4. ........ ..........:

    • .. ....... .. ........ .. ............. ... ............. ... .... ... ... ....... .. ..... ............... ..., ..... ., ... .......
    • .. ....... .. ........ ................... ... ............. ... ........ ....... ...........................

  5. ....... . ............... .. .........:

    • .. ...... .. .... .. .............. .. ........ .. ............ ........ ........., ..... .. ....... .. .. ......, .. .. ....... .... .... ........... ..... ........ ..........
    • .. .... .. ....... ........... ..... ............, .. ...... .... ...... .. ..... .. .... ...... (.........) ..... .. ...... ..... ............. ... ............., .... ................ ... ........... .... ..........

  6. .......:

    • ....... .. ........ ............. ........ ......... ........ ....... ........ ......................... ........... ......... ..... ...... ...... ..... .... .. ............. ... ............. ...... ...... ..... ........ ...... .. .. .......... ....... .................

...... .... . ...... ... . ..... .. ....... .. .......... .. ...... .. .....

---

.... .. .... ... ...... ... ... .... ..... .......:

.. ...... .. .... .. ......... ....... .............. ... ..... ....'........... . ..... ....... ......... .......... .. ....... ... .. .......... ... .... .......... .... .. ......... ..... .......... .............. ......... ... ......:

  1. ...... ... .... .......:

    • .. ...... .. ......... ... .. .......... .......... .... .... ......, ...... .. .... . .. ....... ... ............ .. ........, ... ................... ... ......... .......... . ................ ..... ..... (..................... . .......... ..............).
    • .. ......... ... .. .......... .. ........... .. ...... ........ .. ..........., .... . .. ............ ....... .... ..... .......... . ... ... ........

  2. ........ ....... . ... ...........:

    • .. ...... .. ......... ... .. ........ ........ .. .. ........ ....... . ... ..........., . ....... ... ..... ... ......... .......... ...... ...... .. ..... ..... ........... ... ......... ... ......, ....... ..... ...... ...........
    • .. ......... ... .. .......... ... .... ... .... ............. ... .. ........ ..... .... ............

  3. ..... .... . ......... .. .................... ......:

    • .. ...... .. .......... .. .... .......... .. ........... ............ ... ........ ........ .. ..... ...., ........... .. ......... .. .................... ...... ... ......... ........ ..... ......... ............... .. ... .............. . ... ...... ../.... . .. ....... ............... .. ... ...... .../...., ... ....... ... ..... ... .... .......................... ........ .... .........

  4. ....... .. ........ . ............. ... ............ ..... ...........:

    • .. ...... .. ............ .. ...... .. .... .. ....... .......... (.... .......... .. ..... ........) . .. ....... .. ... ........ .......... .. ....... .. ........, ... .. ......... .............. .. .........
    • .. ........... ..., .. ....... ..................., .. ............ ... ....... ..........., .............. . ....... ... ..... .......... ...... .. ..... .... . .. ... ......... ......... ....... ... .. ............. ..... .. ......

  5. ........ ............ ... .. ........ .. ....... ......:

    • .. ...... .. ......... ... .. ......... ... .. ........ ... .... ... ... ...... .. .... ........ ............. ......... .. ...... ... .. .............. ........ .. ....... ......
    • .. .......... .. .... ........... ... ..... .. ........ ... . ............ .. ....... ........ ........... . .............. . ............ .. .............. ... ........ ..... ...... .. ....... ..... .......... ... .... ..........

  6. ............ ... .. .......:

    • .. ...... .. ......... .. .... ...... .. .... ..... .. ............ ... .. ....... ... ..... ....... .... .......... . .......... . ......... ....... .........

  7. ...... ..... . ............. ..... ................ .. .......... .. ...........:

    • .. ...... .. ......... ... .. ............. ..... ........... ........ ..... ...... . .. .... ...... ..... ........... ................ ............. ..... ................ .. .......... .. ........... .............

...... .... .. .......... .............. ......... ... ...... .. .... ... ..... ....'........... . ..... ....... ......... .......... .. ........




index:

Indice

  • .......... ........ .. .... .........
  • ...... ................ ... ........ ...
  • ........ .............. ..........
  • ........ ..........
  • ....... . ............... .. .........
  • .......
  • ...... ... .... .......
  • ........ ....... . ... ...........
  • ..... .... . ......... .. ..............
  • ....... .. ........ . ............. ...
  • ........ ............ ... .. ........ ..
  • ............ ... .. .......
  • ...... ..... . ............. ..... .....



testo:

G


gpdp.it
Provvedimento del 20 giugno 2024 [10039471]
44-60 minuti

[doc. web n. 10039471]

Provvedimento del 20 giugno 2024

Registro dei provvedimenti
n. 372 del 20 giugno 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al Trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al Trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore l'avv. Guido Scorza;

PREMESSO

1. Introduzione.

Con reclamo presentato ai sensi dell’art. 77 del Regolamento, la Sig.ra XX ha lamentato la pubblicazione online, all’indirizzo “https://...”, nonché l’indicizzazione sui motori di ricerca di una graduatoria formata a seguito della prova preselettiva di un concorso pubblico indetto dal Comune di Nepi, recante l’elenco dei candidati ammessi e non ammessi.

La reclamante ha, altresì, lamentato che, nonostante plurime richieste di rimozione della predetta graduatoria rivolte al predetto Comune, la stessa continuava a risultare reperibile online - circostanza che è stata accertata dall’Autorità in data 10 febbraio 2022.

Nel corso dell’istruttoria, l’Autorità ha rilevato, altresì, l’omessa regolamentazione, ai sensi dell’art. 28 del Regolamento, del rapporto intercorrente con l’azienda Grafiche E. Gaspari S.r.l. (di seguito, anche “Società”), incaricata da numerosi anni della gestione del sito web istituzionale e dei relativi contenuti per conto e nell’interesse del Comune.

2. L’attività istruttoria.

In riscontro a una richiesta d’informazioni formulata dall’Autorità ai sensi dell’art. 157 del Codice, il Comune di Nepi, con nota del 2 marzo 2022, ha dichiarato, in particolare, che:

lo stesso “si è attivato prontamente per la risoluzione del problema” e ha “immediatamente contattato il [proprio] fornitore esterno soc. Gaspari srl […] per la rimozione della pagina” suindicata;

“l’assistenza [… ha] provveduto ad eliminare definitivamente i dati indicati, riguardanti peraltro un indirizzo obsoleto e non più raggiungibile dal portale ufficiale del Comune”;

il Comune medesimo ha “quindi verificato che al link indicato non compare più la pagina” e ritiene, pertanto, “di aver risolto definitivamente il problema”.

In riscontro ad una successiva richiesta dell’Autorità, finalizzata ad acquisire sia le informazioni già richieste, ma non pervenute, sia talune ulteriori informazioni, con nota del 13 giugno 2022 il predetto Comune ha dichiarato, in particolare, che:

è stato “chiesto urgentemente ai responsabili [dei competenti Uffici del Comune] […] la massima collaborazione nel fornire una relazione dettagliata su tutte le attività intraprese […]”;

il “Comune ha individuato la base giuridica del trattamento, che avrebbe giustificato la diffusione online della graduatoria del concorso pubblico al quale ha partecipato la [reclamante], nell’art. 19 del d. lgs. 33/2013, oltre che nell’art. 15, D.P.R. 9 maggio 1994, n. 487. L’Ente si è ispirato, in buona fede, al principio di accessibilità totale dei documenti detenuti dalle pubbliche amministrazioni di cui all’art. 1 del citato decreto. Nella convinzione dell’Ente, la normativa in tema degli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni gli avrebbe permesso di pubblicare la graduatoria in questione per un periodo di 5 anni, decorrenti dal 1° gennaio dell'anno successivo a quello da cui decorreva il presunto obbligo di pubblicazione”;

“la graduatoria in questione è stata pubblicata nella sezione “Amministrazione trasparente” [del] Comune in data 28 settembre 2016, ed era destinata alla pubblicazione sul sito istituzionale fino al 31 dicembre 2021, ai sensi dell’art. 8 del d. lgs. 33/2013 […]. L’indicizzazione del sito ha avuto luogo in applicazione dell’art. 9 del d. lgs. 33/2013 […]”;

il “precedente sito istituzionale, sul quale è stata originalmente pubblicata la graduatoria, è stato eliminato dalla rete Internet dal fornitore, società Gaspari S.r.l., e sostituito con un nuovo sito […]”;

“successivamente alla pubblicazione del nuovo sito, la graduatoria in questione risultava diffusa, per errore, sul sito https://.., non più accessibile dal nuovo portale dell’Ente”;

“ricevuta la richiesta della [reclamante], il Comune ha erroneamente assunto che la pubblicazione della graduatoria fosse necessaria fino al 31 dicembre 2021”;

“in seguito alla richiesta di informazioni, notificata dal Garante […] lo scorso 14 febbraio [2022], il Comune ha contattato, senza indugio, il servizio di assistenza del fornitore per richiedere la rimozione della graduatoria e ha, quindi, verificato che al link indicato non è più riconducibile alcuna pagina web”;

“il Comune si è attivato per trasmettere successivamente la copia dell’accordo sulla protezione dei Dati personali stipulato dall’Ente e la società Gaspari S.r.l. ai sensi dell’art. 28 del Regolamento […]”;

il Comune “con sollecitudine provvederà non appena ottenuta tutta la documentazione e avuto contezza ad informare tempestivamente l’autorità […] della rimozione della graduatoria formata a seguito della prova preselettiva di un concorso pubblico indetto dal Comune di Nepi”.

Successivamente, con nota dell’11 novembre 2022, facendo seguito ad una ulteriore richiesta di elementi da parte dell’Autorità, il Comune ha dichiarato, in particolare, che:

“successivamente alla pubblicazione del nuovo sito, la graduatoria in questione risultava ancora diffusa, per errore, sul sito https://..., non più accessibile dal nuovo portale dell’Ente”;

dopo aver contattato il servizio di assistenza del fornitore, “l’Ente ha quindi verificato che al link indicato non è più riconducibile alcuna pagina web”;

“il predetto articolo (contenuto) è stato pubblicato sul sito istituzionale il 3 febbraio 2015, nella sezione “Notizie” (seppur con una nomenclatura e rispettivo link d’accesso differenti), e successivamente migrato sulla nuova versione della piattaforma, senza subire alcuna modifica sostanziale (ad eccezione dei link tramite i quali i contenuti erano accessibili nel 2015) fino al 18 febbraio 2022, quando il documento in .pdf allegato al contenuto è stato eleminato dalla rete Internet a seguito della richiesta di rimozione”;

“alla scadenza del termine di pubblicazione nella sezione dell’Amministrazione trasparente, individuato a noma dell’art. 19 del d.lgs. 33/2013 […] la graduatoria è stata rimossa da tale sezione del sito istituzionale, senza che fosse eliminata anche dalla sezione “Notizie” dello stesso”;

“il fattore che ha indotto in errore [il] Comune al momento di fornire i precedenti riscontri al Garante […] è la presenza nell’indirizzo link del documento in questione della porzione di testo “bussola”. Infatti, la precedente piattaforma utilizzata dall’Ente aveva quale denominazione commerciale “Bussola” (successivamente modificata in MyCity), quindi i link dei documenti in pdf. e delle immagini in jpg. caricati sulla piattaforma assumevano automaticamente la predetta denominazione. Questa nomenclatura ha fatto sì che il Comune supponesse che il documento fosse un residuo rimasto in rete dopo il passaggio dalla vecchia alla nuova versione della piattaforma la cui gestione è stata affidata alla società Grafiche E. Gaspari S.r.l.”;

“la pubblicazione della graduatoria in questione nella sezione “Notizie” del sito istituzionale, accessibile tramite il link: https://..., e la contestuale indicizzazione sui motori di ricerca, ha avuto luogo dal 3 febbraio 2015 al 18 febbraio 2022, senza idonea base giuridica di tale Trattamento dei dati personali”.

Con la stessa nota, il Comune ha prodotto copia di un accordo stipulato il 3 novembre 2022 con la suddetta Società ai sensi dell’art. 28 del Regolamento.

Come risulta dalla relazione tecnica redatta dalla Grafiche E. Gaspari S.r.l., cui il Comune aveva dato incarico di occuparsi, in generale, della gestione del sito web istituzionale, il portale “Amministrazione Trasparente” era affidato, invece, ad “un’azienda diversa rispetto a Gaspari”. Al riguardo, l’Autorità ha pertanto chiesto al Comune di produrre in atti copia del contratto di servizi stipulato con la Grafiche E. Gaspari S.r.l., a cui si riferiva il predetto accordo per la protezione dei dati nonché gli estremi del fornitore al quale il Comune aveva affidato la gestione della sezione del portale “Amministrazione Trasparente” del proprio sito web istituzionale, allegando copia del relativo contratto di servizi, nonché copia dell’accordo per la protezione dei dati stipulato ai sensi dell’art. 28 del Regolamento con tale fornitore.

In seguito, il Comune, con nota del 30 marzo 2023, come successivamente integrata il 16 maggio 2023, ha precisato che, in ogni caso, “le pubblicazioni nella sezione “Amministrazione trasparente” del sito istituzionale, ai sensi del d. lgs. 22/2013, sono effettuate direttamente dal personale del Comune, mentre [la predetta Società] si occupa, in via principale, dell’eventuale assistenza relativa al funzionamento del software”, ed ha allegato copia della documentazione richiesta.

Con nota del 13 ottobre 2023, l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato al Comune di Nepi, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, per aver il predetto Comune:

- diffuso online i Dati personali della reclamante e degli interessati indicati nella graduatoria, in assenza di un idoneo presupposto normativo, in violazione degli artt. 5, par. 1, lett. a), 6, par. 1, lett. c) ed e), del Regolamento, nonché 2-ter del Codice (sia nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, vigente al tempo in cui è iniziata la diffusione dei Dati personali in questione, sia nell’attuale testo);

-  trattato i Dati personali degli utenti del sito web e degli altri interessati i cui dati risultavano pubblicati sul medesimo sito web, senza aver regolamentato il rapporto con la Grafiche E. Gaspari S.r.l., affidataria del servizio strumentale finalizzato alla gestione del sito web istituzionale del Comune, in violazione dell’art. 28 del Regolamento e, per l’effetto, mettendo a disposizione della predetta Società Dati personali in assenza di idoneo presupposto normativo, in violazione degli artt. 5, par. 1, lett. a), e 6 del Regolamento e dell’art. 2-ter del Codice (sia nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021 sia nel testo attualmente vigente).

Con la medesima nota, il predetto Titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).

Con nota del 14 novembre 2023, il Comune di Nepi, che non ha richiesto di essere audito, ha presentato una memoria difensiva, dichiarando, in particolare, che:

- “la diffusione riguardava i soli dati comuni, ovvero il nome e il cognome del partecipante al concorso, con l’indicazione del punteggio conseguito e dell’esito della prova (“ammesso” o “non ammesso”) e ha interessato un numero limitato di interessati, pari a 33 partecipanti ammessi alla prova successiva, e 178 non ammessi”;

- “si trattava di un episodio isolato e non sistematico, a seguito del quale non risultano intraprese azioni legali da parte degli interessati nei confronti del Comune, neppure dalla stessa reclamante, signora XX. Il Comune ritiene, pertanto, che la diffusione dei dati sul sito istituzionale non abbia arrecato danni agli interessati”;

- il “Comune, pubblicando la graduatoria preselettiva del concorso pubblico, al quale ha partecipato la signora XX, si è ispirato, in buona fede, al principio di accessibilità totale dei documenti detenuti dalle pubbliche amministrazioni di cui all’art. 1 del d.lgs. 33/2013 e al dettato dell’art. 10 del d.lgs. 267/2000, il quale prevede, in via generale, che tutti gli atti dell’amministrazione comunale sono pubblici”;

- “il Comune di Nepi è un ente di piccole dimensioni (poco più di 9.000 abitanti), il quale versa in una costante condizione di carenza di organico; quest’ultimo, non integrato risulta sovraccaricato di mansioni.

Al momento dell’accaduto, inoltre, il Responsabile del Settore Trasparenza, Anticorruzione e privacy era stato traferito presso un altro ente e la sua posizione risultava vacante per un considerevole lasso di tempo”;

- “per quanto riguarda la contestazione che i suddetti documenti risultano “privi di riferimenti contrattuali in essere tra Codesto Comune e l’azienda Grafiche E. Gaspari S.r.l.”, si rileva che il contratto per la gestione del sito web del Comune di Nepi è l’unico contratto in essere con la società Grafiche E. Gaspari S.r.l.”;

- “a seguito del reclamo presentato dalla signora XX, lo scrivente Comune, con l’assistenza del Responsabile per la protezione dei dati, ha organizzato una serie di incontri, tenutisi in data 3 novembre 2022, 23, 24 e 28 febbraio 2023, 24 marzo 2023 e 17 aprile 2023, con i responsabili di ciascun servizio finalizzati a sensibilizzare e incrementare la consapevolezza sul rispetto delle regole in materia della protezione dei dati personali”;

- il “Comune ha tenuto un alto grado di cooperazione con il Garante, per porre rimedio alla violazione e attenuarne i possibili effetti negativi”.

Si fa, altresì, presente che, nell’ambito della medesima istruttoria, sono stati acquisiti specifici elementi anche dalla Grafiche E. Gaspari S.r.l., nei cui confronti è stato avviato autonomo e separato procedimento per i profili riconducibili alla responsabilità della medesima.

3. Esito dell’attività istruttoria. La normativa applicabile.

In via preliminare si rappresenta che il presente provvedimento ha ad oggetto esclusivamente i trattamenti effettuati dal Comune di Nepi e, per suo conto, dalla Società e non invece distinti trattamenti eventualmente effettuati per conto del Comune o della stessa Società anche nell’ambito dell’erogazione, da parte di altri soggetti, di servizi ulteriori, ancorché connessi, a quelli oggetto della presente istruttoria, restando in ogni caso impregiudicata ogni valutazione in merito alla ricorrenza dei presupposti per avviare separati procedimenti.

La disciplina di protezione dei Dati personali prevede che i soggetti pubblici, anche quando operino nello svolgimento di procedure concorsuali, selettive o comunque valutative, prodromiche all’instaurazione del rapporto di lavoro, possono trattare i Dati personali degli interessati (art. 4, n. 1, del Regolamento) se il Trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il Titolare del trattamento” (si pensi a specifici obblighi previsti dalla normativa nazionale “per finalità di assunzione”, artt. 6, par. 1, lett. c), 9, parr. 2, lett. b) e 4; 88 del Regolamento) oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il Titolare del trattamento” (art. 6, par. 1, lett. c) ed e), del Regolamento e art. 2-ter del Codice).

Tali trattamenti devono, comunque, trovare fondamento nel diritto dell’Unione o dello Stato membro che deve perseguire un obiettivo di interesse pubblico ed essere proporzionato al perseguimento dello stesso. La finalità del Trattamento deve essere necessaria per l'esecuzione di un compito svolto nel pubblico interesse o connesso all'esercizio di pubblici poteri di cui è investito il Titolare del Trattamento (cfr. art. 6, par. 3, del Regolamento e 2-ter del Codice).

La disciplina nazionale ha introdotto disposizioni più specifiche per adeguare l’applicazione delle norme del Regolamento, determinando con maggiore precisione requisiti specifici per il trattamento, nonché altre misure atte a garantire un Trattamento lecito e corretto (art. 6, par. 2, del Regolamento) e, in tale ambito, ha previsto che la base giuridica prevista dall’art. 6, par. 3, lett. b), del Regolamento, è costituita esclusivamente dalle fonti normative indicate dall’art. 2-ter del Codice.

Il Titolare del Trattamento è tenuto a rispettare in ogni caso i principi in materia di protezione dei dati (art. 5 del Regolamento).

In generale, sebbene sul Titolare del trattamento, che determina le finalità e le modalità del Trattamento dei dati, ricada una “responsabilità generale” per i trattamenti posti in essere (v. art. 5, par. 2, c.d. “accountability”, e 24 del Regolamento), anche quando questi siano effettuati da altri soggetti “per suo conto” (cons. 81, artt. 4, punto 8), e 28 del Regolamento), il Regolamento ha disciplinato gli obblighi e le altre forme di cooperazione cui è tenuto il Responsabile del Trattamento e l’ambito delle relative responsabilità (v. artt. 30, 32, 33, par. 2, 82 e 83 del Regolamento).

Il Responsabile del Trattamento è legittimato a trattare i dati degli interessati “soltanto su istruzione documentata del titolare” (art. 28, par. 3, lett. a), del Regolamento) e il rapporto tra Titolare e Responsabile è regolato da un contratto o da altro atto giuridico, stipulato per iscritto che, oltre a vincolare reciprocamente le due figure, consente al Titolare di impartire istruzioni al Responsabile anche sotto il profilo della sicurezza dei dati e prevede, in dettaglio, quale sia la materia disciplinata, la durata, la natura e le finalità del trattamento, il tipo di Dati personali e le categorie di interessati, gli obblighi e i diritti del Titolare e del responsabile. Inoltre, il Responsabile del Trattamento deve assistere il Titolare nel garantire il rispetto degli obblighi derivanti dalla disciplina di protezione dati, “tenendo conto della natura del trattamento” e dello specifico regime applicabile allo stesso (art. 28, par. 3, lett. f), del Regolamento).

3.1. L’illecita diffusione dei Dati personali dei partecipanti alla prova preselettiva

Dagli elementi acquisiti e dei fatti emersi nell’ambito dell’attività istruttoria, risulta accertato che il Comune di Nepi ha pubblicato sul proprio sito web istituzionale la nota prot. n. 1983 del 2 febbraio 2015, con la quale, nell’ambito di un concorso pubblico per la copertura di due posti per il profilo di istruttore di vigilanza, veniva approvata la graduatoria della prova preselettiva, con l’elenco dei candidati ammessi (n. 33) e non ammessi (n. 178) alla prova scritta, tra i quali, in quanto non ammessa, anche la reclamante.

Il documento in questione, secondo quanto accertato nell’istruttoria e confermato dal Comune, è stato pubblicato sia nella sezione “Amministrazione trasparente” del proprio sito web istituzionale dal 28 settembre 2016 fino al 31 dicembre 2021 che nella sezione “Notizie” del proprio sito web istituzionale dal 3 febbraio 2015 fino al 18 febbraio 2022 (dapprima sulla vecchia versione del sito e poi sull’attuale versione dello stesso).

Al riguardo, le disposizioni normative che stabiliscono, in generale, la pubblicità delle graduatorie di concorsi e prove selettive (cfr., in particolare d.P.R. 10 gennaio 1957, n. 3; nonché art. 15 e ss del d.P.R. 9 maggio 1994, n. 487 “Regolamento recante norme sull’accesso agli impieghi nelle pubbliche amministrazioni e le modalità di svolgimento dei concorsi, dei concorsi unici e delle altre forme di assunzione nei pubblici impieghi”, anche a seguito delle modifiche intervenute con d.P.R. 16 giugno 2023, n. 82 e, più in generale, sulla pubblicità delle procedure di reclutamento del personale delle pubbliche amministrazioni, art. 35 d. lgs. 30 marzo 2001, n. 165) svolgono la funzione di consentire agli interessati, partecipanti alle procedure concorsuali o selettive, l’attivazione delle forme di tutela dei propri diritti e di controllo della legittimità dell’azione amministrativa. In base al predetto quadro normativo, infatti, della pubblicazione della graduatoria nei bollettini ufficiali dei rispettivi enti (e sui siti istituzionali degli stessi) veniva data notizia mediante avviso nella Gazzetta Ufficiale della Repubblica e dalla data della predetta pubblicazione decorreva il termine per le eventuali impugnative (v. art. 15, comma 6 d.P.R. 9 maggio 1994, n. 487, nel testo antecedente alle modifiche apportate dal d.P.R. 82/2023 applicabile al caso di specie, che attualmente invece prevede che la pubblicazione avvenga sul Portale unico del reclutamento di cui all’art. 35-ter del d. lgs. 30 marzo 2001, n. 165, e sul sito dell’amministrazione interessata e che dalla data di tale pubblicazione decorrano i termini per l'impugnativa).

Le norme sopra menzionate dispongono, tuttavia, che siano pubblicate le sole graduatorie definitive dei vincitori di concorso e non anche gli esiti delle prove intermedie o dei Dati personali dei concorrenti non vincitori o non ammessi (cfr. art. 15, comma 6, del d.P.R. cit.).

Anche le disposizioni in materia di trasparenza amministrativa prevedono specifici obblighi di pubblicazione nella sezione “Amministrazione Trasparente” del sito web istituzionale delle amministrazioni. Infatti, in base a quanto previsto dal d.lgs. 14 marzo 2013, n. 33, “fermi restando gli altri obblighi di pubblicità legale, le pubbliche amministrazioni pubblicano i bandi di concorso per il reclutamento, a qualsiasi titolo, di personale presso l’amministrazione, nonché i criteri di valutazione della Commissione, le tracce delle prove e le graduatorie finali, aggiornate con l'eventuale scorrimento degli idonei non vincitori. Le pubbliche amministrazioni pubblicano e tengono costantemente aggiornati i dati di cui al comma 1” (art. 19, commi 1 e 2; v. Memoria del Presidente dell’Autorità garante per la protezione dei Dati personali sul disegno di legge di bilancio 2020 commissione 5°, Bilancio, del Senato della Repubblica, del 12 novembre 2019, doc. web 9184376; cfr., da ultimo, provv. dell'11 aprile 2024 n. 235, doc. web n. 10019523 nonché provv.ti 23 marzo 2023, n. 83, doc. web n. 9888096, e 28 aprile 2022, n. 151, doc. web n. 9778996, e i precedenti provvedimenti in essi richiamati, tra cui, in particolare, il provv. 25 novembre 2021 n. 407, doc. web n. 9732406).

Tali disposizioni definiscono, sotto il profilo della protezione dei dati, l’ambito del Trattamento consentito e ne costituiscono la base giuridica stabilendo limiti, condizioni e presupposti della pubblicazione online di Dati personali nell’ambito delle procedure concorsuali.

In tale quadro il Garante ha, nel tempo, fornito specifiche indicazioni alle pubbliche amministrazioni in ordine alle cautele da adottare per la diffusione di Dati personali in Internet per finalità di trasparenza e pubblicità dell’azione amministrativa, in particolare, nel 2014, con le “Linee guida in materia di Trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” (provv. n. 243 del 15 maggio 2014, doc. web n. 3134436, parte I e II, spec. par. 3.b).

Per quanto sopra rappresentato, la pubblicazione, da parte del Comune di Nepi, sul proprio sito web istituzionale, della nota prot. n. 1983 del 2 febbraio 2015, con la quale, nell’ambito della menzionata procedura concorsuale, veniva approvata la graduatoria della prova preselettiva, con l’elenco dei candidati ammessi (n. 33) e non ammessi (n. 178) alla prova scritta, tra i quali, in quanto non ammessa, anche la reclamante, ha dato luogo a una diffusione di Dati personali in assenza di un’idonea base giuridica, in violazione degli artt. 5, 6 del Regolamento, nonché 2-ter del Codice, come peraltro confermato dallo stesso Comune nel corso dell’istruttoria (cfr. “senza idonea base giuridica di tale Trattamento dei dati personali”, nota dell’11 novembre 2022 cit.).

3.2. L’omessa regolamentazione del rapporto con il fornitore di servizi ai sensi dell’art. 28 del Regolamento

Ai fini del rispetto della normativa in materia di protezione dei Dati personali occorre, in via preliminare, identificare con precisione i soggetti che, a diverso titolo, possono trattare i Dati personali e definire chiaramente le rispettive attribuzioni, in particolare quella di Titolare e di Responsabile del Trattamento e dei soggetti che operano sotto la diretta responsabilità di questi (art. 4, punti 7 e 8, 28 e 29 del Regolamento).

In tale quadro, il Titolare del trattamento, nell’ambito della predisposizione delle misure tecniche e organizzative che soddisfino i requisiti stabiliti dal Regolamento, anche sotto il profilo della sicurezza (artt. 24 e 32 del Regolamento), può avvalersi di un Responsabile per lo svolgimento di alcune attività di trattamento, cui impartisce specifiche istruzioni (cfr. considerando 81 del Regolamento).

In tal caso il Titolare “ricorre unicamente a responsabili del Trattamento che presentino garanzie sufficienti per mettere in atto [le predette misure] adeguate in modo tale che il Trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti degli interessati” (art. 28, par. 1, del Regolamento), disciplinando il relativo rapporto con un contratto o un altro atto giuridico, avente forma scritta, e impartendo istruzioni documentate in merito al Trattamento (art. 28, parr. 3 e 9, del Regolamento). Ciò anche al fine di evitare trattamenti (comunicazione a terzi) in assenza di idoneo presupposto di liceità (stante la nozione di “terzo” di cui all’art. 4, punto 10, del Regolamento; cfr. art. 2-ter, commi 1 e 4, lett. a), del Codice, con riguardo alla definizione di “comunicazione”).

Il Responsabile del Trattamento è, in ogni caso, legittimato a trattare i dati degli interessati “soltanto su istruzione documentata del titolare” (art. 28, par. 3, lett. a), del Regolamento; al riguardo v. Cass., Sez. I Civ., ordinanza n. 21234 del 23 luglio 2021, che ha confermato un provvedimento del Garante, ancorché con riferimento ad un diverso contesto di Trattamento e al quadro normativo previgente), dovendo assistere quest’ultimo nel garantire il rispetto degli obblighi derivanti dalla disciplina di protezione dati (art. 28, par. 3, lett. f), del Regolamento). Tali principi sono stati peraltro confermati dalla Corte di Cassazione, che, tra gli altri profili, ha di recente affermato che è illecito il Trattamento di Dati personali posto in essere dal soggetto delegato dal Titolare in assenza di investitura formale nel ruolo di Responsabile (v. Cass., Sez. I Civ., sent. n. 35256 del 18 dicembre 2023, che ha confermato il provv. del 22 luglio 2021, n. 294, doc. web n. 9698597).

Ciò premesso, alla luce di quanto emerso all’esito dell’istruttoria preliminare e delle dichiarazioni rese dal Comune, anche tenuto conto degli elementi acquisiti nell’ambito della separata istruttoria condotta nei confronti dalla Società, risulta accertato che le funzioni svolte per un esteso arco temporale dalla Società, per conto e nell’interesse del Comune (cfr. determinazione comunale di affidamento del servizio n. 861 e dichiarazioni rese dalla Società), hanno comportato un Trattamento di Dati personali di una pluralità di interessati (utenti del sito web e altri interessati i cui dati sono pubblicati in specifiche sezioni del sito web), rispetto ai quali il Comune risulta comunque titolare, trattandoli in base ad obblighi di legge e per il perseguimento delle proprie finalità istituzionali, determinando i mezzi e le modalità del trattamento, nonché i principali termini dell’esecuzione del servizio sulla base dei contratti stipulati con il fornitore. Risulta, in tal senso, che il Comune, “accertata l’irreperibilità [del predetto atto, ha provveduto alla] stesura del documento” conseguendo la relativa sottoscrizione della Società solo in data 3 novembre 2022 (cfr. nota dell’11 novembre 2022). Ciò comporta che, non avendo disciplinato sotto il profilo della protezione dei dati il rapporto con il predetto fornitore fino alla predetta data, il Comune ha operato in violazione dell’art. 28 del Regolamento.

Né tali rilievi possono, peraltro, considerarsi superati alla luce dei documenti trasmessi successivamente dal Comune, atteso che si tratta di documenti non sottoscritti dalle parti, non datati e privi di riferimenti ai rapporti contrattuali in essere tra il Comune e la Società (cfr. note del 30 marzo 2023 e del 16 maggio 2023, in atti).

Come già in precedenza chiarito dal Garante con riguardo ad analoghe fattispecie (cfr. provv. 18 luglio 2023, n. 313 e 314, doc. web nn. 9920645 e 9920664; provv. 21 luglio 2022, nn. 268, 269 e 270, doc. web nn. 9811271, 9813326 e 9811732; provv. 17 settembre 2020, nn. 160 e 161, doc. web nn. 9461168 e 9461321; provv. 11 febbraio 2021, n. 49, doc. web n. 9562852, provv. 17 dicembre 2020, nn. 280, 281 e 282, doc. web nn. 9524175, 9525315 e 9525337, nonché provv. 10 febbraio 2022, nn. 43 e 44, doc. web n. 9751498; v. anche “Linee guida 07/2020 sui concetti di Titolare e Responsabile del Trattamento nel GDPR”, adottate il 7 luglio 2021 dal Comitato europeo per la protezione dei dati personali, spec. nota 42) e, da ultimo, confermato dalla giurisprudenza di legittimità sopra richiamata, in caso di mancata sottoscrizione di accordo ai sensi dell’art. 28 del Regolamento (e qualora non ricorrano altri autonomi presupposti che possano legittimare il Trattamento dei Dati personali da parte di un fornitore), il Trattamento deve considerarsi effettuato in assenza di idonea base giuridica e in violazione del principio di liceità (cfr. Cass., Sez. I Civ., sent. n. 35256 del 18 dicembre 2023 cit., ove si legge che “in assenza di "designazione" [… ai sensi dell’art. 28 del Regolamento] con specifico contratto o altro atto equipollente, né essendo stati individuati altri presupposti che potessero legittimare il Trattamento dei Dati personali degli utenti del servizio in esame, il loro trattamento, da parte di […], deve considerarsi effettuato in assenza di idonea base giuridica e, dunque, in violazione degli artt. 5, par. 1, lett. a), e 6 del Regolamento”; v. anche Cass., Sez. I Civ., ordinanza n. 21234 del 23 luglio 2021).

Alla luce delle considerazioni che precedono, stante la mancata regolamentazione del rapporto con la Società sotto il profilo della protezione dei dati, si deve concludere che il Comune abbia messo a disposizione della Società i Dati personali degli utenti del sito web e degli altri interessati i cui dati risultavano ivi pubblicati in assenza di un’idonea base giuridica, dando luogo a un Trattamento illecito di dati personali, in violazione degli artt. 5, par. 1, lett. a), e 6 del Regolamento e dell’art. 2-ter del Codice (sia nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021 sia nell’attuale testo).

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal Titolare del Trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per la determinazione della norma applicabile, sotto il profilo temporale, deve essere richiamato, in particolare, il principio di legalità di cui all’art. 1, comma 2, della l. n. 689/1981, ai sensi del quale le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in esse considerati. Ciò determina l’obbligo di prendere in considerazione le disposizioni vigenti al momento della commessa violazione, che – data la natura permanente degli illeciti contestati – deve individuarsi nel momento della cessazione della condotta. Si ritiene che il Regolamento e il Codice costituiscano la normativa alla luce della quale valutare i trattamenti in questione.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del Trattamento di Dati personali effettuato dal Comune di Nepi, per aver il predetto Comune:

- diffuso online i Dati personali della reclamante e degli interessati indicati nella graduatoria, in assenza di un idoneo presupposto normativo, in violazione degli artt. 5, par. 1, lett. a), 6, par. 1, lett. c) ed e), del Regolamento, nonché 2-ter del Codice (sia nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, vigente al tempo in cui è iniziata la diffusione dei Dati personali in questione, sia nell’attuale testo);

-  trattato i Dati personali degli utenti del sito web e degli altri interessati i cui dati risultavano pubblicati sul medesimo sito web, senza aver regolamentato il rapporto con la Grafiche E. Gaspari S.r.l., affidataria del servizio strumentale finalizzato alla gestione del sito web istituzionale del Comune, in violazione dell’art. 28 del Regolamento, mettendo a disposizione della predetta Società, per l’effetto, Dati personali in assenza di idoneo presupposto normativo, in violazione degli artt. 5, par. 1, lett. a), e 6 del Regolamento e dell’art. 2-ter del Codice (sia nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021 sia nel testo attualmente vigente).

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Nel caso di specie, si ravvisano due condotte distinte (l’una in relazione alla diffusione dei Dati personali dei partecipanti alla prova preselettiva e l’altra inerente all’omessa regolamentazione dei rapporti con la predetta Società sotto il profilo della protezione dei dati) imputabili al Comune di Nepi, le quali devono, pertanto, essere considerate separatamente ai fini della quantificazione delle sanzioni amministrative da applicarsi.

In ogni caso, considerando che le condotte hanno esaurito i relativi effetti, non ricorrono i presupposti per l’adozione di misure correttive, di cui all'art. 58, par. 2, del Regolamento.

5.1. La condotta di cui al paragrafo 3.1 del presente provvedimento

Tenuto conto che la violazione delle disposizioni citate nel precedente paragrafo 3.1 del presente provvedimento, per effetto della diffusione dei Dati personali dei partecipanti alla prova preselettiva, tra i quali la stessa reclamante, ha avuto luogo in conseguenza di un’unica condotta (stesso Trattamento o trattamenti tra loro collegati), trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l’importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, la violazione più grave riguarda gli artt. 5, par. 1, lett. a), 6, par. 1, lett. c) ed e), del Regolamento, nonché 2-ter del Codice, soggetta alla sanzione amministrativa prevista dall’83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Con specifico riguardo alla natura, alla gravità e alla durata della violazione (art. 83, par. 2, lett. a), del Regolamento), occorre considerare, in particolare il significativo numero degli interessati coinvolti (oltre duecento) e la circostanza che la graduatoria è stata oggetto di pubblicazione online per un periodo temporale particolarmente ampio, ossia dal 3 febbraio 2015 al 18 febbraio 2022, giorno in cui il predetto contenuto è stato definitivamente rimosso. D’altra parte, con riguardo al profilo soggettivo della violazione (art. 83, par. 2, lett. b), del Regolamento), deve tenersi conto della circostanza che si è trattato “di un episodio isolato e non sistematico”, dovuto ad “un mero errore umano conseguente all’errato convincimento della necessità di diffondere la graduatoria preselettiva” (cfr. nota del 14 novembre 2023), avendo il Comune operato nell’errata convinzione di poter perseguire finalità di trasparenza dell’azione amministrativa, non tenendo però conto del vigente quadro normativo e delle indicazioni fornite nel tempo dal Garante a tutti i soggetti pubblici in materia (sia con le “Linee guida in materia di Trattamento di dati personali, contenuti anche in atti e documenti  amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” sopra citate, sia con numerose decisioni su singoli casi). Si ritiene debba, altresì, considerarsi che, in ogni caso, la pubblicazione non ha riguardato Dati personali appartenenti alle categorie particolari di cui all’art. 9 del Regolamento o dati relativi a condanne penali o reati (art. 83, par. 2, lett. g), del Regolamento).

Alla luce di tali circostanze, si ritiene che, nel caso di specie, il livello di gravità di tale violazione commessa dal Titolare del Trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023, punto 60).

Ciò premesso, si devono considerare, in senso favorevole al titolare, le seguenti circostanze attenuanti:

- non risultano precedenti violazioni pertinenti commesse dal Titolare del trattamento, aventi la medesima natura di quelle accertate in relazione ai fatti di reclamo, o precedenti provvedimenti di cui all’art. 58 del Regolamento (art. 83, par. 2, lett. e), del Regolamento);

- il Comune ha offerto una buona cooperazione con l’Autorità nel corso dell’istruttoria, avendo, altresì, rappresentato di aver rimosso il predetto contenuto, seppur a seguito dell’avvio dell’istruttoria da parte del Garante (art. 83, par. 2, lett. f), del Regolamento);

- il Comune di Nepi è un ente territoriale di modeste dimensioni (poco più di 9.000 abitanti; art. 83, par. 2, lett. k), del Regolamento).
In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 8.000 (ottomila) per la violazione degli artt. 5, par. 1, lett. a), 6, par. 1, lett. c) ed e), del Regolamento, nonché 2-ter del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Tenuto conto, in particolare, dell’esteso lasso temporale durante il quale i predetti dati sono stati oggetto di pubblicazione online sul sito web istituzionale del Comune, si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

5.2. La condotta di cui al paragrafo 3.2 del presente provvedimento

Tenuto conto che la violazione delle disposizioni citate nel precedente paragrafo 3.2 del presente provvedimento, per effetto dell’omessa regolamentazione del rapporto con la  Grafiche E. Gaspari S.r.l. sotto il profilo della protezione dei dati e della conseguente messa a disposizione dei dati alla Società stessa in assenza di idoneo presupposto di liceità, ha avuto luogo nell’ambito di un’unica condotta (stesso Trattamento o trattamenti tra loro collegati), trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave. Considerato che, nel caso di specie, la violazione più grave riguarda (oltre all’art. 28 del Regolamento) gli artt. 5, par. 1, lett. a) e 6 del Regolamento, soggetta alla sanzione amministrativa prevista dall’83, par. 5, del Regolamento, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Con specifico riguardo alla natura, alla gravità e alla durata della violazione (art. 83, par. 2, lett. a), del Regolamento), occorre considerare, in particolare, che il Trattamento in questione ha riguardato Dati personali di tutti gli utenti del sito web istituzionale del Comune nonché degli altri interessati i cui Dati personali risultavano ivi pubblicati e che il Comune, che aveva esternalizzato la gestione del sito web per un esteso arco temporale (cfr. determinazione comunale di affidamento del servizio n. 861 e dichiarazioni rese dalla Società), è addivenuto alla stipula di un accordo con la Società ai sensi dell’art. 28 del Regolamento soltanto in data 3 novembre 2022. Si ritiene debba, altresì, considerarsi che la violazione non ha riguardato Dati personali relativi a categorie particolari di dati (art. 9 del Regolamento) o a condanne penali e reati (art. 10 del Regolamento) (art. 83, par. 2, lett. g), del Regolamento).

Alla luce di tali circostanze, si ritiene che, nel caso di specie, il livello di gravità di tale violazione commessa dal Titolare del Trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023, punto 60).

Ciò premesso, si devono considerare, in senso favorevole al titolare, le seguenti circostanze attenuanti:

- non risultano precedenti violazioni pertinenti commesse dal Titolare del trattamento, aventi la medesima natura di quelle accertate in relazione ai fatti di reclamo, o precedenti provvedimenti di cui all’art. 58 del Regolamento (art. 83, par. 2, lett. e), del Regolamento);

- il Comune ha offerto una buona cooperazione con l’Autorità nel corso dell’istruttoria, essendo addivenuta, nel corso dell’istruttoria, alla stipulazione di un accordo ai sensi dell’art. 28 del Regolamento con la Società  (art. 83, par. 2, lett. f), del Regolamento);

-  il Comune di Nepi è un ente territoriale di modeste dimensioni (poco più di 9.000 abitanti; art. 83, par. 2, lett. k), del Regolamento).
In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 12.000 (dodicimila) per la violazione degli artt. 55, par. 1, lett. a),

6, par. 1, lett. c) ed e), del Regolamento, nonché 2-ter del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Tenuto conto, in particolare, dell’esteso lasso temporale durante il quale il rapporto tra il Comune e la Società è rimasto sprovvisto di un’adeguata regolamentazione sotto il profilo della protezione dei dati, si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del Trattamento effettuato dal Comune di Nepi per violazione degli artt. 5, par. 1, lett. a), 6, e 28 del Regolamento, nonché 2-ter del Codice (sia nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, vigente al tempo in cui è iniziata la diffusione dei Dati personali in questione, sia nell’attuale testo), nei termini di cui in motivazione;

ORDINA

al Comune di Nepi, in persona del legale rappresentante pro-tempore, con sede legale in Piazza Comune 20 - 01036 Nepi (VT), C.F. 00088940564, di pagare la somma di euro 20.000 (ventimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al predetto Comune, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 20.000 (ventimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

- la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice (v. art. 16 del Regolamento del Garante n. 1/2019);

- l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento (v. art. 17 del Regolamento del Garante n. 1/2019).

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 20 giugno 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei


Link: https://gpdp.it/web/guest/home/docweb/-/docweb-dis

Testo del 2024-07-30 Fonte: gpdp




Commenta



i commenti sono anonimi e inviati via mail e cancellati dopo aver migliorato la voce alla quale si riferiscono: non sono archiviati; comunque non lasciare dati particolari. Si applica la privacy policy.


  Newsletter
Ricevi gli aggiornamenti su Contratto e mansioni mancanti - sanzione gemella - al titolare 10039471 e gli altri post del sito:

Email: (gratis Info privacy)






Nota: il dizionario è aggiornato frequentemente con correzioni e giurisprudenza