Con provvediemnto in data 2 luglio 2020 (Registro dei provvedimenti n. 119 del 2 luglio 2020) il Garante ha adottato una Ordinanza ingiunzione nei confronti dell' Unione Comunale del Chianti Fiorentino, in persona del legale rappresentante pro-tempore, con sede legale in Via Cassia n. 49 50028 Barberino Val d'Elsa (FI), C.F. 94188150489, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 5, del Regolamento e 166, comma 2, del Codice, di pagare la somma di euro 6.000,00 (seimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;
Continua a leggere
Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il dott. Antonello Soro, presidente, la dott.ssa Giovanna Bianchi Clerici e la prof.ssa Licia Califano, componenti, e il dott. Giuseppe Busia, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
Vista la documentazione in atti;
Viste le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;
Relatore la dott.ssa Giovanna Bianchi Clerici;
PREMESSO
1. Il reclamo.
Con reclamo del 22 aprile 2019, presentato ai sensi dell’art. 77 del Regolamento, come successivamente integrato, la sig.ra XX, ex dipendente del Comune di Greve in Chianti, assegnata in comando all’Unione Comunale del Chianti Fiorentino (di seguito, l’”Unione”), ha lamentato la pubblicazione, nella sezione “Amministrazione Trasparente” del sito web istituzionale dell’Unione, dei seguenti atti amministrativi
- determinazione del responsabile del servizio area amministrativa n. XX del XX (Nr. Reg. Generale XX), con oggetto “"
- determinazione del responsabile del servizio area amministrativa n. XX del XX (Nr. Reg. Generale XX), con oggetto “XX"
- deliberazione della Giunta dell’Unione n. XX del XX, con oggetto “XX”;
- determinazione del responsabile del servizio area amministrativa n. XX del XX (Nr. Reg. Generale XX), con oggetto “[…] XX”, la cui pubblicazione è stata accertata dall’Ufficio in data XX, con la quale si determinava la rettifica della determinazione n. XX, sopra menzionata, citando nuovamente i dati relativi a condanne penali e reati associati al numero di matricola della reclamante.
Ai fini della ricostruzione della vicenda oggetto di reclamo è utile precisare che la reclamante era stata assunta dal Comune di Greve in Chianti a seguito di una procedura di mobilità esterna per la copertura di un solo posto presso il medesimo Comune e che la stessa era stata assegnata in comando presso l’Unione Comunale del Chianti Fiorentino, di cui il Comune fa parte. Dopo alcuni anni dall’assunzione, il Comune, a seguito di un’istruttoria avviata dal proprio Ufficio Procedimenti Disciplinari, dalla quale era emerso, ad avviso del Comune, che l’interessata aveva riportato una condanna penale non definitiva e aveva un procedimento penale in corso nel periodo in cui aveva partecipato alla selezione, aveva disposto la sanzione del licenziamento senza preavviso nei confronti dell’interessata, sul presupposto che quest’ultima non avesse i requisiti per partecipare alla procedura di mobilità esterna, il cui bando prevedeva come requisito indispensabile, autocertificato dall’interessata in fase di stipula del contratto di lavoro, l’assenza di condanne penali e procedimenti penali in corso. In tale contesto, l’Unione ha adottato le determinazioni e la deliberazione sopra menzionati, che sono oggetto del reclamo presentato al Garante.
2. L’attività istruttoria.
Sulla base degli elementi acquisiti, anche attraverso la documentazione inviata e i fatti emersi nel corso dell’attività istruttoria, l’Ufficio ha notificato all’Unione (nota prot. n. XX dell’XX), in qualità di titolare del trattamento, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto le presunte violazioni degli artt. 5, par. 1, lett. a) e c), 6, paragrafo 1, lett. c) ed e), 2 e 3, lett. b), e 10 del Regolamento, nonché degli artt. 2-ter, commi 1 e 3 e 2-octies del Codice, invitando l’Unione a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. n. 689 del 24 novembre 1981).
L’Unione, in data XX, ha fatto pervenire le proprie memorie difensive con nota del proprio legale, rappresentando, in particolare, che:
- “il trattamento delle informazioni, riconducibili [alla reclamante], deve considerarsi lecito, poiché necessario all’adempimento di un obbligo di legge e all’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento - art. 6 lett. c) ed e)”, richiamando genericamente gli obblighi previsti dal d.lgs. 33/2013 in materia di trasparenza dell’azione amministrativa, nonché, altrettanto genericamente, “gli altri obblighi di pubblicità online di dati, informazioni e documenti della p.a. – come, fra l’altro, quelli volti a far conoscere l’azione amministrativa in relazione al rispetto dei principi di legittimità e correttezza, o quelli atti a garantire la pubblicità legale degli atti amministrativi”;
- “l’Unione mai ha menzionato nei documenti pubblicati il nome e il cognome della reclamante, pseudonimizzando il dato personale e adottando, così, le adeguate misure tecniche, funzionali a scongiurare ogni eventuale rischio per i diritti e le libertà dell’interessata”, avendo pubblicato “nel corpo delle determinazioni/deliberazione, rispettivamente, il numero di matricola e le iniziali della reclamante” e avendo reso “non intellegibili le informazioni e, dunque, non identificabile l’interessata”;
- “il numero di matricola è un codice numerico che, ancorché attribuito ad un soggetto, concretamente non può qualificarsi come dato personale, perché inidoneo ad identificare l’interessato” e “nel caso di specie, [esso] permette[va] di individuare l'interessato solo a chi [fosse] autorizzato ad accedervi per esigenze pratiche connesse al rapporto di lavoro”, essendo stato, pertanto, solo “il personale dipendente dell’Ente, che opera nell’ambito della gestione delle risorse umane” in grado di “associare il numero di matricola, indicato nelle determinazioni pubblicate nel sito web alla [reclamante]”;
- “non sono state pubblicate (e sono conservate separatamente dal numero di matricola) le informazioni aggiuntive, il cui utilizzo, unitamente al numero di matricola, [avrebbe consentito], eventualmente, di rendere identificabile l’interessata”, non essendo stato fatto, negli atti amministrativi pubblicati, “alcun riferimento al settore di appartenenza della dipendente, al ruolo svolto, all’età anagrafica, alla provenienza, né ad ogni altro elemento che, anche attraverso la consultazione del sito web – accessibile a chiunque – consentisse l’identificazione della reclamante”;
- sulla base di quanto previsto dal considerando n. 26 del Regolamento, “nel caso di specie […] l’insieme dei mezzi e dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, di cui un terzo potrebbe avvalersi non consentono assolutamente l’identificazione dell’interessata sulla base della mera pubblicazione del numero di matricola.”;
- “ad analoghe conclusioni deve giungersi anche per quanto riguarda la pubblicazione nella deliberazione n. XX delle iniziali del nome e cognome della reclamante, trattandosi di “informazioni anonime” che, stante l’assenza di ulteriori elementi, non possono essere in alcun modo riconducibili all’interessata”;
- “il divieto assoluto di pubblicazione e di ostensibilità dei dati personali vige soltanto per i cd. dati “sensibili”;
- l’autorità giudiziaria penale aveva disposto “la pena accessoria della pubblicazione […] del dispositivo della sentenza” su due quotidiani e, pertanto, “il fatto oggetto del trattamento è stato reso pubblico, con la conseguenza che la pubblicità e la diffusione dello stesso non possono causalmente essere correlati all’operato dell’Amministrazione”;
- diversi “articoli di stampa” avevano “ad oggetto il fatto relativo al trattamento per cui è causa” e, pertanto, “il carattere manifestamente pubblico delle informazioni, riconducibile esclusivamente all’attività di stampa, deve escludere l’illiceità del trattamento tramite la pubblicazione nel sito web istituzionale”, rilevando che, siccome “il carattere manifestamente pubblico del dato, ex art. 9, par. 2, lett. e) del Regolamento UE 679/2016 è una, fra le tante, delle eccezioni che rendono lecito il trattamento delle categorie particolari dati personali”, tale eccezione debba “valere”, a maggior ragione, “con riferimento alle informazioni di cui alla fattispecie in esame”.
In occasione dell’audizione chiesta dall’Unione, svoltasi presso il Garante in data XX, l’Unione, a integrazione di quanto sopra, ha dichiarato, tra le altre cose, che “nella prospettiva della responsabilizzazione, il titolare ha ritenuto che il riferimento al solo numero di matricola, che era conosciuto solo da quattro persone nell’ambito dell’Ufficio del Personale e che era distinto da quello utilizzato nel gestionale delle presenze, fosse sufficiente a tutelare l’interessata e ad impedirne l’identificazione anche indiretta”.
3. Esito dell’attività istruttoria.
La disciplina di protezione dei dati personali prevede che i soggetti pubblici, anche qualora operino nello svolgimento dei propri compiti di datori di lavoro, possono trattare i dati personali (art. 4, n. 1, del Regolamento) dei dipendenti, se il trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” (si pensi a specifici obblighi o compiti previsti dalla legge per finalità di gestione del rapporto di lavoro; cfr. art. 88 del Regolamento) oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e) del Regolamento).
La normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento). Al riguardo, si evidenzia che l’operazione di diffusione di dati personali (come la pubblicazione su Internet), da parte di soggetti pubblici, è ammessa solo quando prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento (art. 2-ter, commi 1 e 3, del Codice).
In ogni caso, il trattamento dei dati relativi alle condanne penali e ai reati o a connesse misure di sicurezza può avvenire soltanto sotto il controllo dell'autorità pubblica o se il trattamento è autorizzato dal diritto dell'Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati (art. 10 del Regolamento), ovvero solo qualora il trattamento sia autorizzato da una norma di legge o, nei casi previsti dalla legge, di regolamento (art. 2-octies del Codice).
Il titolare del trattamento è tenuto, inoltre, a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c), del Regolamento).
In particolare, nel rispetto del principio di “minimizzazione dei dati” (art. 5, par. 1, lett. c), del Regolamento), anche in presenza di un obbligo di pubblicazione, i soggetti chiamati a darvi attuazione non possono comunque diffondere i dati personali eccedenti o non pertinenti (cfr. provv. n. 243 del 15 maggio 2014, Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati, doc. web n. 3134436, parte seconda, parr. 1 e 3.a.).
In tale quadro, si osserva, in via preliminare, che non rileva quanto dichiarato dall’Ente con riferimento alla circostanza che la reclamante non fosse identificabile. Occorre, infatti, anzitutto considerare che “per identificazione non si intende solo la possibilità di recuperare il nome e/o l’indirizzo di una persona, ma anche la potenziale identificabilità mediante individuazione, correlabilità e deduzione” (Gruppo di Lavoro Art. 29, Parere 05/2014 sulle tecniche di anonimizzazione, WP216). Nel caso di specie, gli atti amministrativi oggetto di reclamo facevano riferimento alla reclamante mediante il numero di matricola (nel caso delle determinazioni) e le iniziali del nome e del cognome (nel caso della deliberazione), vale a dire mediante elementi identificativi idonei a risalire all’interessata, quantomeno da parte di altri dipendenti dell’Unione (e di quelli del Comune, di cui era dipendente la reclamante) e dei propri familiari o conoscenti. D’altra parte, sin dal 2014, l’Autorità, nelle “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” (doc. web n. 3134436) ha chiarito che “la prassi seguita da alcune amministrazioni di sostituire il nome e cognome dell´interessato con le sole iniziali è di per sé insufficiente ad anonimizzare i dati personali contenuti negli atti e documenti pubblicati online” e che “il rischio di identificare l´interessato è tanto più probabile quando, fra l´altro, accanto alle iniziali del nome e cognome permangono ulteriori informazioni di contesto che rendono comunque identificabile l´interessato”, essendo necessario, al fine di rendere effettivamente anonimi i dati pubblicati online, “oscurare del tutto il nominativo e le altre informazioni riferite all´interessato che ne possono consentire l´identificazione anche a posteriori”.
In ogni caso, per effetto dei richiami interni tra le varie determinazioni oggetto di reclamo e altri atti amministrativi a esse correlati o presupposti, la lettura combinata di tali atti consentiva a chiunque di ottenere e mettere in relazione il numero di matricola, le iniziali e il ruolo svolto dall’interessata all’interno dell’amministrazione, rendendone certamente possibile l’identificazione.
Con riguardo a quanto sostenuto dal titolare in merito al fatto che le vicende giudiziarie che hanno interessato la reclamante fossero già di pubblico dominio, atteso che l’autorità giudiziaria aveva disposto la pena accessoria della pubblicazione del dispositivo della sentenza su due quotidiani e che numerosi articoli di stampa ne avessero dato conto, e che dunque l’Unione potesse legittimamente pubblicare i dati personali in questione in quanto manifestamente pubblici, si osserva quanto segue. Le modalità di riproduzione delle sentenze o dei provvedimenti dell’autorità giudiziaria sono disciplinate dagli artt. 51 e 52 del Codice. Tale riproduzione è consentita esclusivamente a fini di “informatica giuridica” (titolo, I, capo III del Codice), nel rispetto di talune misure a tutela della dignità degli interessati; peraltro, nel caso di specie, la pubblicazione del dispositivo della sentenza, secondo quanto dichiarato dall’Unione, era avvenuta per una diversa finalità, essendo stata disposta dall’autorità giudiziaria a titolo di sanzione accessoria nei confronti dell’interessata, come previsto dalla legge e nell’esercizio delle proprie funzioni. Ciò detto, i soggetti pubblici possono diffondere dati personali solo nei casi previsti da una norma di legge o, nei casi previsti dalla legge, di regolamento (art. 2-ter, commi 1 e 3, del Codice) ovvero nel caso di dati relativi a condanne penali e reati essere espressamente prevista dalla legge (art. 10 del Regolamento e art. 2-octies del Codice), a nulla rilevando che i medesimi dati siano già stati diffusi nell’ambito della pubblicazione di sentenze o provvedimenti a fini di informatica giuridica o a titolo di sanzione accessoria, o dallo stesso interessato o da terzi per altre finalità (sul punto, v. provv. n. 35 del 13 febbraio 2020, doc. web n. 9285411).
In ogni caso, alcuna disposizione normativa del d.lgs. n. 33/2013 - peraltro genericamente invocato dal titolare nel corso dell’istruttoria - prevede l’obbligo di pubblicare tali atti per finalità di trasparenza.
Si rileva inoltre che, in conformità al principio di minimizzazione dei dati (art. 5, paragrafo 1, lett. c), del Regolamento) e come chiarito dal Garante nelle Linee guida sopra citate, anche in presenza di un obbligo normativo che imponga la pubblicazione dell´atto o del documento “è necessario selezionare i dati personali da inserire in tali atti e documenti, verificando, caso per caso, se ricorrono i presupposti per l´oscuramento di determinate informazioni”, “quando le finalità perseguite nei singoli casi possono essere realizzate mediante dati anonimi o altre modalità che permettano di identificare l´interessato solo in caso di necessità”. Pertanto, anche in presenza degli obblighi di pubblicazione di atti o documenti per finalità di trasparenza, i soggetti pubblici non possono comunque "rendere […] intelligibili i dati personali non pertinenti o, se sensibili o giudiziari, non indispensabili rispetto alle specifiche finalità di trasparenza della pubblicazione" (art. 7-bis, comma 4, del d.lgs. n. 33/2013), fermo restando che, alla luce dell’attuale quadro normativo in materia di protezione dei dati, la pubblicazione di dati relativi a condanne penali e reati deve essere espressamente prevista dalla legge (art. 10 del Regolamento e art. 2-octies del Codice).
Le medesime considerazioni valgono, altresì, in merito agli “altri obblighi di pubblicità online di dati, informazioni e documenti della p.a.”, pure genericamente invocati dall’Unione, atteso che anche a tali pubblicazioni si applicano tutti i limiti previsti sopra menzionati con riguardo al rispetto del principio di minimizzazione dei dati e alle cautele nel caso in cui gli atti da pubblicare contengano dati appartenenti a categorie particolari o giudiziari (cfr. par. 3(a) della parte seconda delle Linee guida sopra citate).
4. Conclusioni.
Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria Ë� della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice Ë� si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Pertanto, si confermano le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Unione, per aver diffuso dati personali relativi alla reclamante contenuti nelle determinazioni del responsabile del servizio area amministrativa n. XX del XX (Nr. Reg. Generale XX), n. XX del XX (Nr. Reg. Generale XX) e n. XX del XX (Nr. Reg. Generale XX), nonché nella deliberazione della Giunta dell’Unione n. XX del XX, in assenza di idonei presupposti normativi, in violazione degli artt. 6, paragrafo 1, lett. c) ed e), 2 e 3, lett. b), e 2-ter, commi 1 e 3, del Codice, nonché dei principi di base del trattamento contenuti nell’art. 5, par. 1, lett. a) e c) del Regolamento; poiché nelle menzionate determinazione nn. XX e XX erano presenti anche dati relativi a condanne penali e reati, la pubblicazione è avvenuta anche in violazione dell’art. 10 del Regolamento, nonché dell’art. 2-octies del Codice.
La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo e art. 166, comma 2, del Codice.
In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento. Ciò in considerazione del fatto che, come risulta dagli atti relativi all’audizione del Unione, i riferimenti al numero di matricola della reclamante nelle determinazioni n. XX e n. XX sono stati sostituti con la formula “omissis”, nonché avendo preso atto che, come appurato dall’Ufficio in data XX, la determinazione n. XX non è più consultabile sul sito web dell’Unione e che i riferimenti alle iniziali della reclamante e agli atti amministrativi richiamati nella deliberazione n. XX sono stati sostituiti con la formula “omissis”.
5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).
Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i), e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).
Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.
La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.
In relazione ai predetti elementi, è stata considerata la particolare delicatezza dei dati personali della reclamante illecitamente diffusi dall’Unione, ovvero dei dati relativi a condanne penali e reati (art. 10 del Regolamento), anche alla luce delle indicazioni che, sin dal 2014, il Garante, ha fornito a tutti i soggetti pubblici nelle Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati, sopra citate.
Di contro, si è tenuto favorevolmente atto del fatto che, seppur tardivamente, il titolare si è adoperato per porre rimedio alla violazione, nonché della circostanza che non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento.
In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria, nella misura di euro 6.000,00 (seimila) per la violazione artt. 5, par. 1, lett. a) e c), 6, paragrafo 1, lett. c) ed e), 2 e 3, lett. b), e 10 del Regolamento, nonché degli artt. 2-ter, commi 1 e 3 e 2-octies del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.
Tenuto conto della particolare delicatezza dei dati diffusi, nonché dell’esteso lasso temporale durante il quale i predetti dati sono stati resi reperibili in rete, si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
TUTTO CIÒ PREMESSO IL GARANTE
ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecita la condotta tenuta dall’Unione Comunale del Chianti Fiorentino, descritta nei termini di cui in motivazione, consistente nella violazione degli artt. 5, par. 1, lett. a) e c), 6, paragrafo 1, lett. c) ed e), 2 e 3, lett. b), e 10 del Regolamento, nonché degli artt. 2-ter, commi 1 e 3 e 2-octies del Codice, nei termini di cui in motivazione
ORDINA
all’Unione Comunale del Chianti Fiorentino, in persona del legale rappresentante pro-tempore, con sede legale in Via Cassia n. 49 50028 Barberino Val d'Elsa (FI), C.F. 94188150489, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 5, del Regolamento e 166, comma 2, del Codice, di pagare la somma di euro 6.000,00 (seimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;
INGIUNGE
alla predetta Unione, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 6.000,00 (seimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.
DISPONE
ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione del presente provvedimento sul sito web del Garante, ravvisando altresì la ricorrenza dei presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.