Con provvedimento in data 22 luglio 2021 (Registro dei provvedimenti Registro dei provvedimenti n. 296 del 22 luglio 2021) il Garante ha adottato una Ordinanza ingiunzione nei confronti di Regione Lombardia.
Ha ordinato di pagare la somma di euro 200.000,00 (duecentomila) a titolo di sanzione amministrativa pecuniaria per le violazioni di seguito indicate:
- illiceità del trattamento di dati personali effettuato di Regione Lombardia.
Nello specifico, come emerso dalla verifica preliminare effettuata dall’Ufficio, dall’home page del sito web istituzionale della predetta Regione, tramite il percorso «XX»/«XX», si apriva la pagina web dedicata al «XX». Dai link inseriti nella parte dedicata alle «Comunicazioni», e precisamente alla comunicazione datata XX (url: https://...), era possibile visualizzare e scaricare i seguenti documenti:
1) «XX» (url: https://....). Tale elenco riportava in chiaro dati riferiti a n. 23.975 soggetti interessati, quali Id domanda, nominativo del richiedente, classe dello studente, codice e denominazione della scuola, numero della domanda;
2) «XX» (url: https://...). Tale elenco riportava in chiaro dati riferiti a n. 59.989 soggetti interessati, quali Id domanda, nominativo del richiedente, classe dello studente, codice e denominazione della scuola, numero della domanda;
3) «XX» (url: https://...). Tale elenco riportava in chiaro dati riferiti a n. 20143 soggetti interessati, quali Id domanda, nominativo del richiedente, classe dello studente, codice e denominazione della scuola, numero della domanda;
4) «XX» (url: https://...). Tale elenco riportava in chiaro dati riferiti a n. 57 soggetti interessati, quali Id domanda, nominativo del richiedente, classe dello studente, codice e denominazione della scuola, numero della domanda.
Dagli atti è risultato che trattavasi di elenchi relativi alla selezione per l’erogazione di contributi economici per l’acquisto di libri di testo, dotazioni tecnologiche e strumenti per la didattica, oppure per l’erogazione di borse di studio, da parte dello Stato, a favore di studenti residenti in Lombardia, iscritti e frequentanti corsi a gestione ordinaria (sia di istruzione sia di istruzione e formazione professionale), presso le scuole secondarie di primo e secondo grado, statali e paritarie, o frequentanti istituzioni formative accreditate, con sede in Lombardia o nelle regioni confinanti, a condizione del rientro quotidiano dello studente alla propria residenza.
Per accedere al contributo occorreva essere in possesso di un valore ISEE non superiore a circa 15.000,00 euro e il contributo economico per ogni studente poteva variare da un minimo di 200 euro, fino a un massimo di 500 euro.
Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);ù
VISTO il d. lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);
VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida in materia di trasparenza”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;
Relatore la prof.ssa Ginevra Cerrina Feroni;
PREMESSO
1. Introduzione
Questa Autorità ha ricevuto una segnalazione, con la quale è stata contestata una violazione della normativa in materia di protezione dei dati personali da parte della Regione Lombardia determinata dalla diffusione di dati personali sul sito web istituzionale.
Nello specifico, come emerso dalla verifica preliminare effettuata dall’Ufficio, dall’home page del sito web istituzionale della predetta Regione, tramite il percorso «XX»/«XX», si apriva la pagina web dedicata al «XX». Dai link inseriti nella parte dedicata alle «Comunicazioni», e precisamente alla comunicazione datata XX (url: https://...), era possibile visualizzare e scaricare i seguenti documenti:
1) «XX» (url: https://....). Tale elenco riportava in chiaro dati riferiti a n. 23.975 soggetti interessati, quali Id domanda, nominativo del richiedente, classe dello studente, codice e denominazione della scuola, numero della domanda;
2) «XX» (url: https://...). Tale elenco riportava in chiaro dati riferiti a n. 59.989 soggetti interessati, quali Id domanda, nominativo del richiedente, classe dello studente, codice e denominazione della scuola, numero della domanda;
3) «XX» (url: https://...). Tale elenco riportava in chiaro dati riferiti a n. 20143 soggetti interessati, quali Id domanda, nominativo del richiedente, classe dello studente, codice e denominazione della scuola, numero della domanda;
4) «XX» (url: https://...). Tale elenco riportava in chiaro dati riferiti a n. 57 soggetti interessati, quali Id domanda, nominativo del richiedente, classe dello studente, codice e denominazione della scuola, numero della domanda.
Dagli atti è risultato che trattavasi di elenchi relativi alla selezione per l’erogazione di contributi economici per l’acquisto di libri di testo, dotazioni tecnologiche e strumenti per la didattica, oppure per l’erogazione di borse di studio, da parte dello Stato, a favore di studenti residenti in Lombardia, iscritti e frequentanti corsi a gestione ordinaria (sia di istruzione sia di istruzione e formazione professionale), presso le scuole secondarie di primo e secondo grado, statali e paritarie, o frequentanti istituzioni formative accreditate, con sede in Lombardia o nelle regioni confinanti, a condizione del rientro quotidiano dello studente alla propria residenza.
Per accedere al contributo occorreva essere in possesso di un valore ISEE non superiore a circa 15.000,00 euro e il contributo economico per ogni studente poteva variare da un minimo di 200 euro, fino a un massimo di 500 euro.
2. La normativa in materia di protezione dei dati personali
Ai sensi della disciplina in materia, «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)» e «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).
Al riguardo, con particolare riferimento al caso sottoposto all’attenzione di questa Autorità, si ricorda che i soggetti pubblici, come la Regione, possono diffondere «dati personali» solo se tale operazione è prevista «da una norma di legge o, nei casi previsti dalla legge, di regolamento» (art. 2-ter, commi 1 e 3, del Codice), nel rispetto – in ogni caso – dei principi in materia di protezione dei dati, fra cui quello di «minimizzazione», in base al quale i dati personali devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. c, del RGPD).
La normativa statale di settore in materia di trasparenza prevede, con riferimento agli «obblighi di pubblicazione degli atti di concessione di sovvenzioni, contributi, sussidi e attribuzione di vantaggi economici a persone fisiche ed enti pubblici e privati», che «Le pubbliche amministrazioni pubblicano gli atti di concessione delle sovvenzioni, contributi, sussidi ed ausili finanziari […], e comunque di vantaggi economici di qualunque genere a persone […] di importo superiore a mille euro» nel corso dell’anno solare. In ogni caso, «È esclusa la pubblicazione dei dati identificativi delle persone fisiche destinatarie dei provvedimenti di cui al presente articolo, qualora da tali dati sia possibile ricavare informazioni relative […] alla situazione di disagio economico-sociale degli interessati» (art. 26, commi 2-4, del d. lgs. n. 33 del 14/3/2013).
In ordine alla diffusione online di dati personali di soggetti beneficiari di contributi economici, fin dal 2014, il Garante ha fornito specifiche indicazioni alle pubbliche amministrazioni sulle cautele da adottare, con il provvedimento generale n. 243 del 15/5/2014, recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (attualmente in corso di aggiornamento, ma ancora attuale nella parte sostanziale).
Nelle Linee guida del Garante sopra citate, è espressamente sancito, con riferimento all’obbligo di pubblicazione degli atti di concessione di benefici economici (parte prima, par. 9.e), che «lo stesso d. lgs. n. 33/2013 individua una serie di limiti all’obbligo di pubblicazione di atti di concessione di benefici economici comunque denominati. Non possono, infatti, essere pubblicati i dati identificativi delle persone fisiche destinatarie dei provvedimenti di concessione di sovvenzioni, contributi, sussidi e attribuzione di vantaggi economici, nonché gli elenchi dei relativi destinatari:
a) di importo complessivo inferiore a mille euro nel corso dell’anno solare a favore del medesimo beneficiario;
[…]
c) di importo superiore a mille euro nel corso dell’anno solare a favore del medesimo beneficiario “qualora da tali dati sia possibile ricavare informazioni relative […] alla situazione di disagio economico-sociale degli interessati” (art. 26, comma 4, d. lgs. n. 33/2013)».
3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato.
A seguito dalle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX del XX ha accertato che la Regione Lombardia – diffondendo i dati e le informazioni contenuti nei documenti pubblicati online prima descritti – ha effettuato un trattamento di dati personali non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD. Pertanto, con la medesima nota sono state notificate alla Regione le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD e invitando la predetta amministrazione a far pervenire al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentita da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).
4. Memorie difensive.
La Regione Lombardia, con la nota prot. n. XX del XX, ha inviato al Garante i propri scritti difensivi in relazione alle violazioni notificate.
Al riguardo, si ricorda che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, intitolato «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante».
Nello specifico, quanto alla condotta tenuta, l’ente ha evidenziato, fra l’altro che:
- «Gli atti inerenti al sopra citato bando, in quanto relativi alla concessione di agevolazioni per l’acquisto di libri di testo, dotazioni tecnologiche e strumenti per la didattica, oppure relativi all’erogazione, da parte dello Stato, di una borsa di studio, e comunque finalizzati a sostenere la spesa delle famiglie nel compimento del percorso scolastico, sia nel sistema di istruzione che nel sistema di istruzione e formazione professionale, sono certamente riconducibili alle fattispecie censite al citato art. 26, comma 2, d.lgs. 33/2013»;
- «Regione Lombardia non ha ritenuto applicabile, al caso di specie, l’eccezione prevista ai sensi dell’art. 26, comma 4, d.lgs. 33/2013, in forza della quale sarebbe “esclusa la pubblicazione dei dati identificativi delle persone fisiche destinatarie dei provvedimenti di cui al presente articolo, qualora da tali dati sia possibile ricavare informazioni relative allo stato di salute ovvero alla situazione di disagio economico-sociale degli interessati”»;
- «Si rileva, infatti, che la norma in esame individui due distinte ipotesi di deroga all'obbligo generale di pubblicazione dei dati, ossia: *) qualora da tali dati sia possibile ricavare informazioni relative allo stato di salute; ovvero *) qualora da tali dati sia possibile ricavare informazioni relative ad una situazione di disagio economico sociale degli interessati. Mentre la prima fattispecie considerata fa riferimento ad una circostanza oggettiva (informazione inerente allo stato di salute), la seconda casistica contemplata presuppone una valutazione discrezionale in merito alla natura dei dati trattati ed alla loro capacità di descrivere, o meno, un’effettiva situazione di disagio economico-sociale […]»;
- «Regione Lombardia, quale titolare del trattamento e nell'esercizio del predetto potere di valutazione discrezionale, ha ritenuto che il valore ISEE, richiesto per l’ammissione ai benefici di cui al bando in esame e indicato ai sensi di legge in euro 15.748,78, fosse una mera soglia di accesso al beneficio medesimo e non identificativa di un effettivo stato di disagio sociale e/o economico. A conforto di consimile ragionamento ricordiamo i criteri di definizione di “condizione di disagio sociale e/o economico” utilizzati dalla giurisprudenza di legittimità (cfr. Cass. Civ. n. 6505/2015), che ha sempre ribadito come lo “stato di disagio” vada inteso in senso rigoroso e consista in una “condizione obiettivamente deteriore rispetto a quella della generalità dei consociati”»;
- «A questo si aggiunga che in via generale ogni situazione di svantaggio economico-sociale debba essere verificata nel caso concreto, affinché condizioni “presunte” di sfavore corrispondano effettivamente ad uno stato di particolare debolezza meritevole di tutela e attenzione. Ed inoltre il vero obiettivo della misura regionale in questione era quello di fornire un supporto ausiliario semplicemente in funzione del parametro ISEE. Muovendo da tali presupposti, Regione ha sempre agito nella convinzione di effettuare un trattamento rispondente alle regole di cui al REG UE 679/2016»;
- «Sotto un diverso profilo si evidenzia come altre misure prevedano delle soglie di reddito. Si pensi ad esempio al cd. Reddito di Cittadinanza, ove viene fissata una soglia di 9.360 euro, mentre le comuni iniziative locali di contrasto all’indigenza statuiscono limiti di accesso mediamente anche molto più bassi. Tutti questi valori sono ben al di sotto della soglia per l’accesso al bando in esame, sicché appare improbabile che l’indicazione del valore ISEE di cui sopra (al di sotto del quale, secondo i dati ISTAT, si trova quasi la metà della popolazione italiana) possa essere di per sé indice diretto o indiretto di disagio sociale. Nella fattispecie Regione Lombardia dà atto esclusivamente dei dati rivenienti dalla liquidazione delle agevolazioni e/o delle borse di studio, non aggiungendo alcunché in ordine alle posizioni reddituali né degli studenti né, tantomeno, del relativo nucleo familiare. Un valore ISEE pari a circa 15.000 euro rappresenta il parametro proprio di una rilevante percentuale delle famiglie italiane. Se infatti ci si rifà ai dati ISTAT (interrogazione http://dati.istat.it/ al 27/5/2021), i redditi netti delle famiglie italiane nel 2018 residenti nell’area Nord Ovest ammontano ad una media di 35.000 euro annui, che corrispondono a un ISEE medio di circa 12 mila euro. In tale contesto reddituale tipico del nostro Paese, non potendo erogare il contributo libri a tutti gli aventi diritto, Regione Lombardia ha stabilito come criterio di priorità di assegnazione un parametro economico che potesse interessare un’ampia platea di beneficiari (sono stati assegnati contributi per complessivi euro 21.862.470, a n. 104.107 studenti beneficiari) e, come tale, certamente non identificativo di una condizione di “disagio economico-sociale”»;
- «Ritenendo di operare nel rispetto della vigente normativa in materia di protezione dei dati, Regione Lombardia ha, inoltre, ritenuto opportuno pubblicare l’elenco dei soggetti ammessi al beneficio, in semplice ordine alfabetico, senza riprodurre alcun tipo di “graduatoria” dalla quale si potessero evincere eventuali elementi di discrimine o circostanze inerenti allo stato economico patrimoniale del singolo richiedente»;
- «Un’ultima considerazione viene svolta in relazione alla soglia minima del contributo (quantificata in euro 1.000,00), considerata dall’art. 26, comma 2, d.lgs. 33/2013. Sul punto è opportuno richiamare il provvedimento generale dell’Autorità Garante n. 243 del 15/5/2014, recante le “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati”, espressamente attestante che, “ove l’amministrazione abbia emanato più provvedimenti i quali, nell’arco dell’anno solare, hanno disposto la concessione di vantaggi economici a un medesimo soggetto, superando il tetto dei mille euro, l’importo del vantaggio economico corrisposto, di cui all’art. 27, c. 1, lett. b), del decreto, è da intendersi come la somma di tutte le erogazioni effettuate nel periodo di riferimento. In tali casi, l’amministrazione deve necessariamente pubblicare, come condizione legale di efficacia, l’atto che comporta il superamento della soglia dei mille euro, facendo peraltro riferimento anche alle pregresse attribuzioni che complessivamente hanno concorso al suddetto superamento della soglia”. Su tali presupposti Regione Lombardia ha ritenuto necessario assolvere agli obblighi di trasparenza imposti dall’art. 26, d.lgs. 33/2013, considerato che almeno una parte dei 104 mila beneficiari della Dote scuola – Materiale didattico per l’anno 2020 sia stata beneficiaria di altri contributi regionali (tra i quali i contributi di altre componenti di Dote scuola), così superando la sopra citata soglia, criterio scriminante ai fini dell’obbligo di pubblicazione»;
- «In ottemperanza alla Legge n. 241/1990 Regione Lombardia ha valutato di tutelare l’interesse dei non beneficiari di poter prendere visione degli atti (risultati del bando). Ciò al fine di consentire anche ai partecipanti non beneficiari l’accesso agli atti […]. Anche l’elenco dei non ammessi è stato redatto e pubblicato in ordine alfabetico»;
- «Regione Lombardia ritiene di aver operato secondo la normativa in materia di protezione dei dati personali. Ciò non di meno, consapevole della rilevanza che ogni ulteriore misura tecnica ed organizzativa adottabile possa assumere al fine di innalzare il livello di tutela dei diritti degli interessati – e preso atto dei rilievi evidenziati dall’Autorità Garante – si è prontamente adoperata, da un lato per cessare il trattamento di dati contestato, e dall’altro per programmare (privacy by design) ed adottare nuove soluzioni, per gestire i processi di pubblicazione degli esiti dei bandi, in conformità alle indicazioni fornite dall’Autorità»;
- «In ogni caso i dati personali in questione sono stati prontamente rimossi dal sito istituzionale e non risultano più accessibili agli URL indicati nella notifica di violazione del 17.05.2021»;
- «Ad ogni buon conto, in un’ottica di leale cooperazione nonché alla luce di quanto emerso dalla notifica, le Direzioni Generali Regionali denominate “Istruzione, Università, Ricerca, Innovazione e Semplificazione” e “Formazione Lavoro” hanno avviato una attenta riflessione in merito alle azioni di miglioramento da intraprendere, anche per il futuro, e ciò a tutela dell’utenza finale dei consociati secondo i principi del REG UE 679/2016 e le specifiche direttive dell’Autorità Garante. In ordine alla misura “Buono scuola” per l’anno scolastico 2020/2021 si informa che, relativamente ai decreti regionali con cui sono stati approvati gli elenchi dei beneficiari, sono state adottate ai fini del trattamento dati adeguate misure tecniche: quali l’identificazione con il codice ID della domanda, recependo le indicazioni dell’Autorità»;
- «Sulla base delle analisi svolte in fase di progettazione della misura “Buono scuola per l’anno scolastico 2021/2022 “le principali misure tecnico organizzative in corso di valutazione risulterebbero le seguenti:
comunicazione ai richiedenti/beneficiari circa l’esito del bando secondo una modalità “one to one” direttamente all’interno della piattaforma regionale BandiOnLine;
autenticazione “forte” tramite SPID, CIE e PIN o CNS/TS e PIN per accedere alla piattaforma BandiOnLine. Tale modalità di autenticazione garantirebbe l’accesso sicuro e digitale alla piattaforma da parte dell’utente che presenta la domanda di contributo;
utilizzo di un identificativo unico ed univoco della domanda – generato automaticamente nella fase iniziale di predisposizione della richiesta – associato all’utente autenticato nel sistema. Questo identificativo (id) inizialmente temporaneo, sarà consolidato nel momento stesso di invio e protocollazione della domanda e sarà associato esclusivamente all’utenza profilata»;
- «Si rappresenta che in tale sistema operativo solo attraverso l’accesso certificato alla piattaforma sarà possibile risalire all’id della domanda inoltrata a Regione Lombardia (salvo che l’utente non abbia stampato localmente la ricevuta di avvenuta trasmissione con il protocollo della domanda) e - conseguentemente - ricercare attraverso il medesimo lo stato e le informazioni attinenti il procedimento amministrativo in corso. In sostanza la profilazione (SPID, CIE e PIN e/o CNS/TS e PIN) consentirebbe la esclusiva visualizzazione dell’id della persona profilata e non di altri. Ne consegue che con il solo id, non sarà possibile in alcun modo risalire ad informazioni personali e/o contenuti presenti nel sistema».
5. Valutazioni del Garante
La questione oggetto del caso sottoposto all’attenzione del Garante riguarda la diffusione online sul sito web istituzionale della Regione Lombardia di dati e informazioni personali riferiti a studenti beneficiari e non beneficiari di contributi economici (da 200 a 500 euro) – per l’acquisto di libri di testo, dotazioni tecnologiche e strumenti per la didattica, oppure per l’erogazione di borse di studio, da parte dello Stato – riservati a soggetti in possesso di un valore ISEE non superiore a circa 15.000,00 euro.
Nell’ambito dell’istruttoria aperta al riguardo da questa Autorità, la Regione Lombardia ha confermato, nelle proprie memorie difensive, l’avvenuta diffusione online dei dati personali descritti, giustificando la propria condotta «dall’assoluta convinzione che il trattamento effettuato non abbia evidenziato alcuna situazione di c.d. “disagio economico-sociale degli interessati” destinatari dei provvedimenti di concessione del buono scuola», avendo ritenuto che il valore ISEE, richiesto per l’ammissione ai benefici (pari a euro 15.748,78) «fosse una mera soglia di accesso al beneficio medesimo e non identificativa di un effettivo stato di disagio sociale e/o economico».
Al riguardo, tuttavia, occorre ricordare che l’ISEE è l’«Indicatore della Situazione Economica Equivalente» – calcolato fra l’altro in base al numero dei componenti il nucleo familiare, alla somma dei relativi redditi e di una percentuale del relativo patrimonio –, che serve fra l’altro a valutare e confrontare la situazione economica delle famiglie.
Il divieto previsto dall’art. 26, comma 4, del d. lgs. n. 33/2013 di diffondere per finalità di trasparenza dati identificativi di soggetti beneficiari di contributi economici da cui si possa desumere informazioni relative «alla situazione di disagio economico-sociale degli interessati» – come evidenziato anche dal Garante nelle Linee guida in materia di trasparenza – è «un divieto funzionale alla tutela della dignità, dei diritti e delle libertà fondamentali dell’interessato (art. 2 del Codice), al fine di evitare che soggetti che si trovano in condizioni disagiate – economiche o sociali – soffrano l´imbarazzo della diffusione di tali informazioni, o possano essere sottoposti a conseguenze indesiderate, a causa della conoscenza da parte di terzi della particolare situazione personale» (cfr. parte prima, par. 9.e). Sotto tale profilo, nelle medesime Linee guida è stato anche precisato che in ogni caso – alla luce del principio di necessità, pertinenza e non eccedenza (oggi tutti confluiti nel più generale principio di «minimizzazione» dei dati di cui all’art. 5, part. 1, lett. c, del RGPD) – non risulta «giustificato diffondere, fra l’altro, dati quali, ad esempio, […] la ripartizione degli assegnatari secondo le fasce dell’Indicatore della situazione economica equivalente-Isee, l’indicazione di analitiche situazioni reddituali, di condizioni di bisogno […], etc.» (ivi).
Per tutto quanto sopra considerato – contrariamente a quanto ritenuto dalla Regione Lombardia – si ritiene che la diffusione dei dati identificativi di studenti beneficiari di contributi economici (per l’acquisto di libri di testo, dotazioni tecnologiche e strumenti per la didattica, oppure per l’erogazione di borse di studio) unitamente alla circostanza che gli stessi siano possessori di un ISEE non superiore a euro 15.748,78 (requisito per essere ammessi al beneficio economico) non sia conforme al divieto di diffusione per finalità di trasparenza dei dati identificativi di soggetti beneficiari di contributi economici da cui si possa desumere informazioni relative «alla situazione di disagio economico-sociale degli interessati» previsto dall’art. 26, comma 4, del d. lgs. n. 33/2013, in quanto idonea in ogni caso a far conoscere a un pubblico generalizzato la particolare situazione economica della famiglia dello studente associata al relativo un ISEE non particolarmente alto. Inoltre, in ogni caso, la diffusione delle informazioni relative all’Indicatore della situazione economica equivalente-Isee dei soggetti interessati è del tutto sproporzionata rispetto alla finalità di trasparenza prevista dalla disciplina di settore, in quanto i dati diffusi non sono «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» in violazione del principio di minimizzazione (art. 5, par. 1, lett. c, del RGPD; Linee guida del Garante in materia di trasparenza, parte prima, par. 9.e).
Per i profili considerati, le osservazioni contenute nella giurisprudenza citata dalla Regione (Cass. Civ. n. 6505/2015) non possono essere considerate nel presente caso, tenendo conto che la stessa aveva a oggetto una fattispecie completamente diversa da quella in esame. Né si comprende come la circostanza – evidenziata nelle memorie difensive – per la quale un «valore ISEE pari a circa 15.000 euro» rappresenta il parametro proprio di una rilevante percentuale delle famiglie italiane» possa rappresentare un indicatore utile per decidere se diffondere o meno i dati personali dei relativi componenti, tenendo soprattutto conto che indubbiamente il predetto ISEE non si riferisce a redditi particolarmente alti.
In relazione invece al fatto che «almeno una parte dei 104 mila beneficiari della Dote scuola – Materiale didattico per l’anno 2020 [sarebbe] stata beneficiaria di altri contributi regionali (tra i quali i contributi di altre componenti di Dote scuola)», superando la soglia dei mille euro che obbliga l’amministrazione a pubblicare i relativi dati personali ai sensi dell’art. 26, comma 2, del d. lgs. n. 33/2013, si evidenzia che tale circostanza – da un lato – non è stata provata in atti e – dall’altro – comunque non varrebbe per tutti i 104 mila studenti interessati. In ogni caso, si ritiene che anche per tale ipotesi – alla luce delle osservazioni sopra riportate in ordine alla sussistenza dell’eccezione contenuta nell’art. 26, comma 4, del d. lgs. n. 33/2013 e del principio di minimizzazione dei dati (art. 5, par. 1, lett. c, RGPD) – i dati identificativi dei soggetti beneficiari non possano essere oggetto di diffusione.
Quanto alla diffusione dei dati personali dei soggetti non risultati beneficiari di alcun contributo economico, non è possibile accogliere l’eccezione avanzata dalla Regione Lombardia per la quale la relativa pubblicazione era necessaria per «tutelare l’interesse dei non beneficiari di poter prendere visione degli atti (risultati del bando) [e] consentire anche ai partecipanti non beneficiari l’accesso agli atti». Ciò in quanto la relativa pubblicazione non è supportata da alcuna idonea disposizione normativa (legge o, nei casi previsti dalla legge, regolamento) che possa giustificare la diffusione online dei relativi dati personali ai sensi dell’art. 2-ter, commi 1 e 3, del Codice.
6. Esito dell’istruttoria relativa alla segnalazione presentata
Per tutto quanto sopra descritto, le circostanze evidenziate negli scritti difensivi esaminate nel loro complesso, sicuramente meritevoli di considerazione ai fini della valutazione della condotta, non risultano sufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo alcuna delle ipotesi previste dall’art. 11 del Regolamento del Garante n. 1/2019. Ciò anche considerando che sin dal 2014 l’Autorità, nelle Linee guida in materia di trasparenza e pubblicazione online sopra citate, ha fornito a tutte le pp.aa. specifiche indicazioni sulle modalità per contemperare gli obblighi di trasparenza e pubblicità dell’azione amministrativa con il diritto alla protezione dei dati personali dei soggetti interessati.
In tale quadro – pur comprendendo il difficile bilanciamento tra esigenze di trasparenza e protezione dei dati personali soggetta a valutazione, caso per caso, da parte del titolare del trattamento soprattutto in relazione all’identificazione di fattispecie in cui provvedimenti di erogazione di benefici economici rivelino l´esistenza di una situazione di disagio economico o sociale in cui versa il soggetto interessato che non ne consente la divulgazione – si confermano le valutazioni preliminari dell’Ufficio contenute nella nota prot. n. XX del XX e si rileva l’illiceità del trattamento di dati personali effettuato dalla Regione Lombardia, in quanto con la pubblicazione online dei documenti sopra identificati ai nn. da 1 a 4 del par. 1:
a) sono stati diffusi dati personali di soggetti beneficiari di contributi economici inferiori a mille euro, riservati a soggetti con un ISEE basso, idonei a rivelare una situazione di disagio economico-sociale degli interessati, in assenza di idonei presupposti normativi, in violazione dell’art. 2-ter, commi 1 e 3, del Codice e dell’art. 26, comma 4, del d. lgs. 33/2013; nonché dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD;
b) sono stati diffusi informazioni relative all’ISEE degli studenti beneficiari del contributo economico in violazione del principio di minimizzazione (art. 5, par. 1, lett. c, del RGPD);
c) sono stati diffusi dati personali di soggetti che non sono stati ammessi ad alcun beneficio economico (cfr. «XX» identificato supra al par. 1, n. 4), in assenza di idonei presupposti normativi, in violazione dell’art. 2-ter, commi 1 e 3, del Codice, nonché dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD;
Considerato, tuttavia, che la condotta ha esaurito i suoi effetti, in quanto il titolare del trattamento ha dichiarato che «i dati personali in questione sono stati prontamente rimossi dal sito istituzionale e non risultano più accessibili agli URL indicati nella notifica di violazione», fermo restando quanto si dirà sull’applicazione della sanzione amministrativa pecuniaria, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del RGPD.
7. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria (artt. 58, par. 2, lett. i; 83 del RGPD)
La Regione Lombardia risulta aver violato gli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD; nonché l’art. 2-ter, commi 1 e 3, del Codice (cfr. anche art. 26, comma 4, del d. lgs. 33/2013).
Al riguardo, l’art. 83, par. 3, del RGPD, prevede che «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave».
Nel caso di specie, la violazione delle disposizioni citate – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del RGPD, che si applica pertanto al caso in esame.
Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD, nonché dell’art. 166 del Codice, ha il potere correttivo di «infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso». In tale quadro, «il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice» (art. 16, comma 1, del Regolamento del Garante n. 1/2019).
La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del RGPD.
In tal senso, la rilevata condotta tenuta in violazione della disciplina in materia di protezione dei dati personali risulta di natura colposa ed ha avuto a oggetto la diffusione online di dati personali, per un lasso temporale comunque esteso, quasi di 11 mesi, non appartenenti a categorie particolari né a condanne penali o reati (artt. 9 e 10, del RGPD), riferiti però a un considerevole numero di interessati (più di centomila studenti). La Regione Lombardia è un ente territoriale di grandi dimensioni con quasi 10.000.000 di abitanti. L’amministrazione, a seguito della richiesta dell’Ufficio è intervenuta tempestivamente, collaborando con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alla violazione, attenuandone i possibili effetti negativi. Va in ogni caso tenuto conto del difficile bilanciamento tra esigenze di trasparenza e protezione dei dati personali soggetta a valutazione, caso per caso, da parte del titolare del trattamento soprattutto in relazione all’identificazione di fattispecie in cui provvedimenti di erogazione di benefici economici rivelino l’esistenza di una situazione di disagio economico o sociale in cui versa il soggetto interessato che non ne consente la divulgazione. Al riguardo, vanno valutate positivamente le misure tecniche e organizzative descritte nelle memorie difensive da poter mettere in atto ai sensi degli artt. 25-32 per l’adeguamento al RGPD. Non risultano, in ogni caso, eventuali precedenti violazioni del RGPD pertinenti commesse dall’ente.
In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, parr. 2 e 3, del RGPD l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, del RGPD, nella misura di euro 200.000,00 (duecentomila) per la violazione degli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD, nonché dell’art. 2-ter, commi 1 e 3, del Codice (cfr. anche art. 26, comma 4, del d. lgs. 33/2013); quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e sufficientemente dissuasiva in ragione del suo importo sensi dell’art. 83, par. 1, del medesimo RGPD.
In relazione alle specifiche circostanze del presente caso, relative alla diffusione di dati personali online in assenza di una idonea base normativa e in violazione del principio di minimizzazione dei dati (art. 5, par. 1, lett. c, RGPD), si ritiene altresì che debba essere applicata la sanzione accessoria della pubblicazione del presente provvedimento sul sito Internet del Garante, prevista dall’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019.
Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.
TUTTO CIÒ PREMESSO IL GARANTE
rilevata l’illiceità del trattamento effettuato dalla Regione Lombardia nei termini indicati in motivazione ai sensi degli artt. 58, par. 2, lett. i), e 83 del RGPD
ORDINA
alla Regione Lombardia, in persona del legale rappresentante pro-tempore, con sede legale in Piazza Città di Lombardia, 1 - 20124 Milano (MI) - C.F. 80050050154 di pagare la somma di euro 200.000,00 (duecentomila) a titolo di sanzione amministrativa pecuniaria per le violazioni di cui in motivazione;
INGIUNGE
alla medesima Regione di pagare la somma di euro 200.000,00 (duecentomila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.
Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1/9/2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice).
DISPONE
- la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019;
- l'annotazione nel registro interno dell'Autorità delle violazioni e delle misure adottate ai sensi dell'art. 58, par. 2, del RGPD con il presente provvedimento, come previsto dall’art. 17 del Regolamento del Garante n. 1/2019.
Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Fonte : Garante