EntiOnLine
Categorie
indietro
26/02/2020 Ordinanza ingiunzione nei confronti di Comune di Fogliano Redipuglia - 26 febbraio 2020 > Pubblicazione sul sito web istituzionale del Comune di dati e informazioni personali.

Con provvediemnto in data 26 febbraio 2020 (Registro dei provvedimenti n. 42 del 26 febbraio 2020) il Garante ha adottato una Ordinanza ingiunzione al Comune di Fogliano Redipuglia, in persona del legale rappresentante pro-tempore, con sede legale in Largo Donatori di sangue, 10 - 34070 Fogliano Redipuglia (GO) – C.F. 00123380313 di pagare la somma di euro 6.000,00 (seimila) a titolo di sanzione amministrativa pecuniaria indicate nel presente provvedimento; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

Continua a leggere

Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida del Garante in materia di trasparenza”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore la dott.ssa Giovanna Bianchi Clerici;

PREMESSO

1. Introduzione

Questa Autorità ha ricevuto un reclamo da parte del Sig. XX, XX, in ordine alla pubblicazione sul sito web istituzionale del Comune di propri dati e informazioni personali.

Dalla verifica preliminare effettuata dall’Ufficio, è risultato che sul sito web istituzionale del predetto Comune, nella sezione “XX” erano visibili e liberamente scaricabili i seguenti documenti agli url indicati:

1) Provvedimento del Direttore Generale n. XX, avente a oggetto «XX – Provvedimento di assenza ingiustificata a visita di controllo» (http://...);

2) Provvedimento del Direttore Generale n. xx del xx, avente a oggetto «XX – Richiesta riconoscimento invalidità per causa di servizio – Inammissibilità/Irricevibilità» (http://...).

In entrambi i provvedimenti oltre ai dati identificativi del reclamante erano riportati informazioni e dettagli sulle visite fiscali effettuate nel caso di assenza dal lavoro per motivi di salute (con indicazione delle relative date), sulle visite ambulatoriali, sulla patologia sofferta.

2. Normativa applicabile

Il reclamo in esame ha a oggetto la diffusione da parte del Comune sul proprio sito web istituzionale dei dati sulla salute di un lavoratore.

Al riguardo, è necessario ricordare che «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)» e che «dati relativi alla salute» sono tutti i «dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute» (art. 4, par. 1, n. 15; considerando n. 35, del RGPD).

Al riguardo, si rappresenta che il trattamento dei dati personali deve avvenire nel rispetto dei principi indicati dall’art. 5 del RGPD, fra cui quelli di «liceità, correttezza e trasparenza» nonché di «minimizzazione dei dati», secondo i quali i dati personali devono essere – rispettivamente – «trattati in modo lecito, corretto e trasparente nei confronti dell'interessato», nonché «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (par. 1, lett. a e c).

In tal quadro, è – in ogni caso – vietata la diffusione di dati relativi alla salute (art. 2-septies, comma 8, del Codice; art. 9, parr. 1, 2, 4, del RGPD; cfr. anche art. 22, comma 8, del Codice previgente)

3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato

Dalle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX del XX ha accertato che il Comune di Fogliano Redipuglia – con la pubblicazione integrale dei provvedimenti identificati ai nn. 1 e 2 del paragrafo 1 del presente provvedimento – ha causato la diffusione di dati e informazioni personali relativi alla salute del reclamante Sig. XX.

Poiché il predetto trattamento di dati personali non è risultato conforme alla disciplina rilevante in materia di protezione dei dati personali, con la medesima nota sono state notificate al Comune le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD e invitando il predetto Comune a inviare al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentito da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

4. Memorie difensive

Con la nota prot. n. XX del XX il Comune di Fogliano Redipuglia ha inviato al Garante i propri scritti difensivi in relazione alle violazioni notificate.

Al riguardo, si ricorda che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, intitolato «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante».

Nello specifico, in relazione ai fatti contestati il Comune ha rappresentato, fra l’altro, che:

- «La violazione […] ha riguardato la pubblicazione di dati personali di un solo soggetto a partire dal XX. A seguito della ricezione della Vs nota gli atti contenenti i dati personali sono stati prontamente rimossi»;

- «La violazione in contestazione non è dipesa in alcun modo da condotte intenzionali ma da un mero errore da parte di chi ha dato l’ordine della pubblicazione degli atti. Precisamente, è stato ordinato all’operatore di pubblicare file numerati dal n. 1 al n. 10, presenti all’interno di una cartella, nell’inconsapevolezza che, all’interno di quel range, si trovassero i due file contenenti dati personali»;

- «La rimozione dei provvedimenti oggetto di violazione è avvenuta immediatamente in data XX proprio a conferma della non intenzionalità di tale condotta. L’Ente ha quindi immediatamente verificato, a seguito della contestazione, di cui trattasi, il rispetto dell’art. 2-sexies, D.Lgs.vo 196/2003, inserito dal D.Lgs.vo 101/2018, in tema di trattamento di categorie particolari di dati personali per motivi di interesse pubblico rilevante»;

- «Il Comune, anche se di piccole dimensioni e quindi con cronici problemi di scarsezza di risorse umane […] ha adempiuto a tutto quanto previsto ed in particolare:

- Redatto registro del Trattamento ai sensi dell’art. 30 Regolamento UE 679/2016;

- Nominato un DPO come da comunicazione al Garante per la protezione dei dati personali […];

- Predisposto un piano formativo in materia di tutela del trattamento del dato personale per tutti i dipendenti del Comune di Fogliano Redipuglia che trattano dati […];

- Provveduto a nominare tutti i dipendenti autorizzati/incaricati al trattamento ai sensi del comminato disposto art. 29 Regolamento UE 2016/679 e art. 2 quaterdecies comma 2 D.Lgs.vo 196/2003;

- Nomina dei Responsabili del Trattamento individuati ex art. 28 Regolamento UE 2016/679 in corso di perfezionamento;

- Provveduto all’implementazione delle 45 misure minime AGID (circolare AGID 2/2017)».

5. Esito dell’istruttoria relativa al reclamo presentato

Il Comune di Fogliano Redipuglia nelle memorie difensive ha confermato l’avvenuta diffusione online dei dati personali del reclamante, nonché la violazione delle disposizioni notificate, seppur evidenziando che la condotta non è stata intenzionale, ma frutto di un errore.

Tali elementi, tuttavia, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e non risultano sufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro nessuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019. Ciò anche tenendo conto che sin dal 2014 l’Autorità, nelle Linee guida in materia di trasparenza, ha fornito a tutti i soggetti pubblici specifiche indicazioni sulle modalità per contemperare gli obblighi di trasparenza e pubblicità dell’azione amministrativa con il diritto alla protezione dei dati personali degli interessati, anche con riferimento al divieto di diffusione di dati idonei a rivelare lo stato di salute (cfr. parte prima, par. 2; parte seconda, par. 1; nonché provvedimenti ciati in nota n. 5).).

Pertanto, si confermano le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Comune di Fogliano Redipuglia, per aver diffuso dati e informazioni sulla salute del reclamante contenuti nei provvedimenti n. XX e n. XX del XX del Direttore Generale, pubblicati sul sito web istituzionale, in violazione degli obblighi e dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a) e c); 9, parr. 2 e 4, del RGPD, nonché dell’art. 2-septies, comma 8, del Codice (cfr. anche i previgenti artt. 18, 19 e 22, comma 8, del Codice).

Considerato, comunque, che la condotta ha esaurito i suoi effetti, in quanto il Comune ha provveduto a rimuovere dal sito web istituzionale gli atti contenenti i dati personali del reclamante prima descritti, fermo restando quanto si dirà sull’applicazione della sanzione amministrativa pecuniaria, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del RGPD.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria (artt. 58, par. 2, lett. i; 83 RGPD)

Il Comune di Fogliano Redipuglia risulta aver violato gli obblighi e i principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a) e c); 9, parr. 1, 2 e 4, del RGPD, nonché dell’art. 2-septies, comma 8, del Codice (cfr. anche il previgente art. 22, comma 8, del Codice).

Al riguardo, l’art. 83, par. 3, del RGPD, prevede che «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave».

Nel caso di specie – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del RGPD, che si applica pertanto al caso di specie.

Occorre altresì tenere conto che, seppure i provvedimenti oggetto del reclamo pubblicati online risalgono a XX per la determinazione della norma applicabile, sotto il profilo temporale, deve essere richiamato il principio di legalità di cui all’art. 1, comma 2, della legge n. 689 del 24/11/1981 che, nel sancire come «Le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in esse considerati», afferma la ricorrenza del principio del tempus regit actum. Ciò determina l’obbligo di prendere in considerazione le disposizioni vigenti al momento della commessa violazione, che nel caso in esame – considerando la natura permanente dell’illecito contestato – deve essere individuato all’atto di cessazione della condotta illecita, verificatasi successivamente alla data del 25/5/2018 in cui il RGPD è divenuto applicabile. Dagli atti dell’istruttoria è, infatti, emerso che l’illecita diffusione online è cessata ad XX (mese in cui il Comune ha dichiarato di aver provveduto a rimuovere i provvedimenti dal sito web istituzionale).

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD nonché dell’art. 166 del Codice, ha il potere correttivo di «infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso». In tale quadro, «il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice» (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del RGPD.

In relazione ai predetti elementi, la rilevata condotta tenuta in violazione della disciplina in materia di protezione dei dati personali ha avuto a oggetto la diffusione di dati relativi alla salute di un solo soggetto interessato. La diffusione si è protratta per un periodo superiore ai cinque anni. Il Comune di Fogliano Redipuglia, che in ogni caso è un ente di piccole dimensioni (poco più di 3.000 abitanti) «con cronici problemi di scarsezza di risorse umane», ha, peraltro, evidenziato il carattere colposo della condotta frutto di un errore materiale. A ciò si aggiunge che l’amministrazione si è attivata per rimuovere i dati personali oggetto del reclamo e ha collaborato con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi. Nel riscontro al Garante sono state, inoltre descritte diverse misure tecniche e organizzative messe in atto ai sensi degli artt. 25-32 del RGPD. Non risultano eventuali precedenti violazioni del RGPD pertinenti commesse dal Comune di Fogliano Redipuglia.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, parr. 2 e 3, del RGPD l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, del RGPD, nella misura di euro 6.000,00 (seimila) per la violazione degli artt. 5, par. 1, lett. a) e c); 9, parr. 1, 2 e 4, del RGPD, nonché dell’art. 2-septies, comma 8, del Codice, quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo RGPD.

In relazione alle specifiche circostanze del presente caso, si ritiene altresì – anche in considerazione della natura dei dati oggetto di illecita diffusione e della durata dell’illecito – che debba essere applicata la sanzione accessoria della pubblicazione sul sito web del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità del trattamento effettuato dal Comune di Fogliano Redipuglia ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD, nonché dell’art. 166 del Codice per violazione degli artt. 5, par. 1, lett. a) e c); 9, parr. 1, 2 e 4, del RGPD, nonché dell’art. 2-septies, comma 8, del Codice, nei termini di cui in motivazione.

ORDINA

al Comune di Fogliano Redipuglia, in persona del legale rappresentante pro-tempore, con sede legale in Largo Donatori di sangue, 10 - 34070 Fogliano Redipuglia (GO) – C.F. 00123380313 di pagare la somma di euro 6.000,00 (seimila) a titolo di sanzione amministrativa pecuniaria indicate nel presente provvedimento; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

al medesimo Comune di pagare la somma di euro 6.000,00 (seimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019 e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Banca dati