g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Prescrizioni del Garante
  4. Provvedimento del 6 giugno 2024 [10032683]

Provvedimento del 6 giugno 2024 [10032683]

Stampa Stampa Stampa PDF Trasforma contenuto in PDF

[doc. web n. 10032683]

Provvedimento del 6 giugno 2024

Registro dei provvedimenti
n. 362 del 6 giugno 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27/4/2016, «relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)» (di seguito “RGPD”);

VISTO il d. lgs. 30/6/2003, n. 196 recante il «Codice in materia di protezione dei dati personali» (di seguito “Codice”);

VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida in materia di trasparenza”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Introduzione

Questa Autorità ha ricevuto una segnalazione, con la quale è stata lamentata una condotta non conforme alla disciplina in materia di protezione dei dati personali da parte del Comune di Ustica per aver pubblicato diversi documenti sull’Albo pretorio presente sul sito web istituzionale diffondendo i dati personali ivi contenuti.

Al riguardo, dalla verifica preliminare effettata dall’Ufficio, è emerso che nella sezione «Albo pretorio», presente in homepage, nell’area «storico atti», è possibile consultare i documenti pubblicati nell’albo pretorio. Nello specifico, compilando l’apposita maschera di ricerca, è stato possibile visualizzare e scaricare i seguenti documenti indicati nella citata segnalazione:

1) Determinazione n. XX del XX dell’Area - Affari generali avente a oggetto «XX», presente all’url:
https://.... ;

2) Determinazione n. XX del XX dell’Area - Affari generali avente a oggetto «XX1», presente all’url: https://... .

I citati documenti contenevano dati personali di diversa natura e precisamente:

- la determinazione n. XX riportava dati personali anche sulla salute dei soggetti interessati, in quanto era indicato il relativo codice fiscale, il codice IBAN su cui accreditare le somme, nonché la circostanza della liquidazione a loro favore di un contributo economico (con precisazione della somma) «per agevolare i trasferimenti dalle isole minori verso la terraferma» dovendo «essere sottoposti a trattamenti chemioterapici/radioterapici o dialitici e/o comunque in terapie salvavita continuative»;

- la determinazione n. XX riportava dati personali relativi ai rimborsi agli allevatori, con indicazione del nominativo, del codice fiscale, della data e luogo di nascita e del contributo economico versato.

Dall’istruttoria effettuata è inoltre emerso che il Comune non aveva provveduto a effettuare la comunicazione obbligatoria a questa Autorità – ai sensi dell’art. 37, par. 7, del RGPD – dei dati di contatto del Responsabile della Protezione dei Dati (RPD) designato dall’ente.

2. La normativa in materia di protezione dei dati personali

Ai sensi della disciplina in materia, «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)» e «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD). Rientra, pertanto, nella definizione di dato personale anche il codice fiscale.

I soggetti pubblici, come il Comune, possono diffondere «dati personali» nel rispetto della disciplina in materia di protezione dei dati personali (art. 2-ter, commi 1 e 3, del Codice) e – in ogni caso – del principio di «minimizzazione», in base al quale i dati personali devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. c, del RGPD).

La normativa statale di settore prevede che «Tutte le deliberazioni del comune e della provincia sono pubblicate mediante pubblicazione all’albo pretorio, nella sede dell’ente, per quindici giorni consecutivi, salvo specifiche disposizioni di legge» (art. 124, comma 1, d. lgs. n. 267 del 18/8/2000).

In tale contesto, i dati sulla salute – ossia i «dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute» (art. 4, par. 1, n. 15; considerando n. 35 del RGPD) – rientrano nelle «categorie particolari di dati personali» per i quali è previsto un espresso divieto di diffusione, ossia la possibilità di darne «conoscenza […] a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione» (art. 2-septies, comma 8; art. 2-ter, comma 4, lett. b, del Codice; art. 9 del RGPD, parr. 1, 2 e 4). Il medesimo divieto è peraltro richiamato dalla disciplina statale in materia di trasparenza, nella parte in cui prevede che «Restano fermi i limiti […] alla diffusione dei dati idonei a rivelare lo stato di salute […]» (art. 7-bis, comma 6, d. lgs. n. 33/2013).

Fin dal 2014, il Garante ha fornito specifiche indicazioni alle amministrazioni sulle cautele da adottare per la diffusione di dati personali online con il provvedimento generale n. 243 del 15/5/2014, recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (in corso di aggiornamento, ma ancora attuale nella parte sostanziale).

Nelle Linee guida del Garante sopra citate, oltre a essere ribadito il divieto di diffusione di dati sulla salute e il rispetto dei principi di pertinenza e non eccedenza (oggi confluiti nel citato principio di minimizzazione), con particolare riferimento all’albo pretorio, è indicato che una volta trascorso il periodo temporale previsto per la pubblicazione degli atti e documenti nell’albo pretorio:

- «gli enti locali non possono continuare a diffondere i dati personali in essi contenuti. In caso contrario, si determinerebbe, per il periodo eccedente la durata prevista dalla normativa di riferimento, una diffusione dei dati personali illecita perché non supportata da idonei presupposti normativi […]. A tal proposito, ad esempio, la permanenza nel web di dati personali contenuti nelle deliberazioni degli enti locali oltre il termine di quindici giorni, previsto dall´art. 124 del citato d. lgs. n. 267/2000, può integrare una violazione del suddetto art. 19, comma 3, del Codice [n.d.r. oggi riprodotto nell’art. 2-ter, commi 1 e 3, del Codice], laddove non esista un diverso parametro legislativo o regolamentare che preveda la relativa diffusione […]. [In tal caso] se gli enti locali vogliono continuare a mantenere nel proprio sito web istituzionale gli atti e i documenti pubblicati, ad esempio nelle sezioni dedicate agli archivi degli atti e/o della normativa dell’ente, devono apportare gli opportuni accorgimenti per la tutela dei dati personali. In tali casi, quindi, è necessario provvedere a oscurare nella documentazione pubblicata i dati e le informazioni idonei a identificare, anche in maniera indiretta, i soggetti interessati» (parte seconda, par. 3.a).

3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato.

Dalle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX del XX ha accertato che il Comune di Ustica – diffondendo i dati e le informazioni personali, contenuti nelle determinazioni nn. XX e XX pubblicate online, prima descritti e non comunicando al Garante i dati di contatto del proprio Responsabile della protezione dei dati – ha tenuto una condotta non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD. Pertanto, con la medesima nota sono state notificate al predetto Comune le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD e invitando la predetta amministrazione a far pervenire al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentita da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

4. Memorie difensive.

Il Comune di Ustica, con p.e.c. del XX (acquisita al ns. prot. n. XX del XX), ha riscontrato la nota dell’Ufficio prot. n. XX, inviando al Garante le proprie memorie difensive in relazione alle violazioni notificate.

Al riguardo, si ricorda che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, intitolato «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante».

Nello specifico, quanto alla condotta tenuta, l’amministrazione ha comunicato, fra l’altro che:

- l’ente «ha da tempo adottato un sistema gestionale informatico unico ed integrato che permette la redazione di atti digitali, prevedendo, in fase di creazione ed editazione dell’atto, quali parti devono essere oscurate in fase di pubblicazione. L’oscuramento, quindi, è automatico e non dipende dall’editore dell’atto. Lo stesso sistema informatico produce, pertanto, due atti, uno integrale per la gestione interna e uno con le parti oscurate per la pubblicazione e le evidenze di pubblicità giuridica».

- «In ottemperanza al Regolamento Privacy 679/2016 è stato da tempo richiesto alla software house che gestisce l’albo on line di eliminare il link che consente di accedere al cosiddetto Albo Storico, visto che è obbligatorio il principio di oblio degli atti superati i tempi di decorrenza di pubblicità.».

- «Il Comune di Ustica ha eliminato da tempo la sezione ALBO STORICO […], ma, per un problema tecnico non ascrivibile ad una nostra responsabilità, riscontriamo che effettivamente è di nuovo presente nel sito web ufficiale. Si presume che dall’avvicendarsi della figura del Segretario Comunale sia disceso un diverso indirizzo […], probabilmente motivato dalla volontà di pubblicare atti non oggetto di pubblicazione obbligatoria, ma che avrebbero reso più trasparente ed accessibile l’attività dell’ente. A questo punto, la riattivazione del link ha comportato l’automatica pubblicazione di atti, che erano stati oscurati illo tempore»;

- «Abbiamo dato disposizione, il XX, alla ditta [identificata in atti] per PEC di eliminare nuovamente il link ALBO ON LINE (nuovamente eliminato) comunicandoci, se in loro possesso, il nominativo di chi ha fatto la richiesta di reinserimento ed a tal riguardo non abbiamo ancora avuto riscontro»;

- «Per quanto riguarda la pubblicazione dei dati sensibili sullo stato di salute, degli IBAN etc., si presume possa essere dovuta ad un problema della piattaforma, tra l’altro limitato a due solo atti. Ricordiamo inoltre che la piattaforma software in uso è programmata per gli aggiornamenti automatici e nulla è a carico dell’Ente in tal senso»;

- «A nostro avviso da successiva ricerca non ci risultano altri atti oggetto di mancato oscuramento e che ledono quindi la privacy delle persone».

5. Esito dell’istruttoria relativa al reclamo presentato

La questione oggetto del caso sottoposto all’attenzione del Garante riguarda la diffusione online di dati di varia natura e specie contenuti nelle determinazioni n. XX e n. XX pubblicate sul sito web istituzionale del Comune e in particolare:

- dei dati sulla salute dei soggetti che dovevano «essere sottoposti a trattamenti chemioterapici/radioterapici o dialitici e/o comunque in terapie salvavita continuative» e che avevano ricevuto un contributo economico dal Comune (con precisazione della somma) «per agevolare i trasferimenti dalle isole minori verso la terraferma», rispetto ai quali è stato diffuso il codice fiscale e l’IBAN su cui accreditare le somme;

- dei dati personali relativi ai rimborsi agli allevatori, con indicazione del nominativo, del codice fiscale, della data e luogo di nascita, nonché del contributo economico versato.

Inoltre, nel corso dell’istruttoria è risultato, che il Comune pur avendo nominato il Responsabile della protezione dei dati – contrariamente a quanto previsto dal RGPD (art. 37, comma 7) – non aveva provveduto a comunicare contestualmente a questa Autorità i relativi dati di contatto  (che risultavano in ogni caso presenti sul sito web istituzionale.

Il Comune di Ustica nelle proprie memorie difensive ha confermato l’avvenuta pubblicazione di dati personali online, giustificando l’accaduto con un problema tecnico o della piattaforma, evidenziando che la condotta contestata era limitata in ogni caso a solo due atti che, da quanto dichiarato, non sono più accessibili dall’albo pretorio storico.

Quanto alle ulteriori giustificazioni contenute nelle memorie difensive, laddove è stato dichiarato che «è stato da tempo richiesto alla software house che gestisce l’albo on line di eliminare il link che consente di accedere al cosiddetto Albo Storico, visto che è obbligatorio il principio di oblio degli atti superati i tempi di decorrenza di pubblicità», si precisa che l’eliminazione dell’albo pretorio storico dal sito web istituzionale – la cui permanenza può invece essere utile ai fini della trasparenza istituzionale – non rientra fra gli obblighi previsti dalla disciplina in materia di protezione dei dati personali come sostenuto dal Comune. Al riguardo, come detto, questa Autorità fin dal 2014 – con riferimento alla pubblicazione degli atti nell’albo pretorio online – ha indicato che, una volta trascorso il periodo di pubblicazione previsto dalle singole discipline di riferimento (ad esempio il termine di quindici giorni, previsto dall´art. 124 del citato d. lgs. n. 267/2000 per l’albo pretorio), gli enti locali possono «continuare a mantenere nel proprio sito web istituzionale gli atti e i documenti pubblicati, ad esempio nelle sezioni dedicate agli archivi degli atti e/o della normativa dell’ente». L’unica cautela da adottare al fine di essere conformi alle disposizioni del Codice e del RGPD è la necessità di «apportare gli opportuni accorgimenti per la tutela dei dati personali» eventualmente contenuti negli atti pubblicati online, provvedendo in tali casi semplicemente «a oscurare nella documentazione pubblicata i dati e le informazioni idonei a identificare, anche in maniera indiretta, i soggetti interessati» (parte seconda, par. 3.a, delle Linee guida in materia di trasparenza, cit.).

In tale contesto, anche l’eccezione sollevata dal Comune in ordine alla circostanza che «la piattaforma software in uso è programmata per gli aggiornamenti automatici e nulla è a carico dell’Ente in tal senso» non è in alcun modo accoglibile. Ciò in quanto, contrariamente a quanto sostenuto dall’ente, spetta proprio al Comune in quanto titolare del trattamento mettere in atto «fin dalla progettazione» (ossia «sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento») misure tecniche e organizzative adeguate «volte ad attuare in modo efficace i principi di protezione dei dati […] e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati» (art. 25, par. 1, RGPD, cd. data protection by design).

Inoltre, in base al principio di responsabilizzazione/accountability il Comune deve anche «essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento» (art. 5, par. 2 e 24 del RGPD) e, pertanto, in tale contesto, non può sostenere di non essere responsabile se la piattaforma che usa attraverso aggiornamenti automatici avrebbe consentito trattamenti di dati personali non conformi alla disciplina europea in materia di protezione dei dati.

Si prende in ogni caso atto della rimozione dei documenti oggetto di contestazione dal sito web istituzionale e si rileva che gli elementi evidenziati negli scritti difensivi, esaminati nel loro complesso, sicuramente meritevoli di considerazione ai fini della valutazione della condotta, non risultano tuttavia sufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo alcuna delle ipotesi previste dall’art. 11 del Regolamento del Garante n. 1/2019.

Quanto alla mancata comunicazione obbligatoria dei dati di contatto del RPD il Comune ha provveduto a comunicare correttamente a questa Autorità i dati di contatto secondo la procedura indicata sul sito istituzionale del Garante (https://servizi.gpdp.it/comunicazionerpd/s/) con nota acquisita al prot. n. XX del XX solo a seguito della contestazione delle violazioni effettuate con nota prot. n. XX.

In tale quadro, si confermano le valutazioni preliminari dell’Ufficio effettuate con la nota prot. n. XX del XX e si rileva la non conformità al RGPD della condotta tenuta dal Comune di Ustica, in quanto:

I. sono stati pubblicati sul sito web istituzionale i file identificati ai nn. 1-2 del par. 1, diffondendo i dati e le informazioni personali dei soggetti interessati ivi contenuti e prima descritti al par. 5 in violazione:

a. del divieto di diffusione dei dati sulla salute dei soggetti interessati previsto dall’art. 2-septies, comma 8, del Codice (cfr. anche l’art. 9, parr. 1, 2 e 4, del RGPD; art. 7-bis, comma 2, del d. lgs. n. 33/2013) con riferimento al codice fiscale dei soggetti che hanno ricevuto contributi economici per cure sanitarie riportati nella del. n. XX;

b. del principio di «minimizzazione» dei dati, che non sono «limitati a quanto necessario rispetto alle finalità per le quali sono trattati», previsto dall’art. 5, par. 1, lett. c), del RGPD, con riferimento ai codici fiscali, ai codici IBAN, alle date e luoghi di nascita e alle informazioni di dettaglio dei soggetti interessati riportati nella del. n. XX e nella det. n. XX;

c.  dell’art. 124, comma 1, del d. lgs. n. 267/2000; dell’art. 2-ter, commi 1 e 3, del Codice; nonché dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD, con riferimento ai nominativi degli allevatori contenuti nella det. n. XX che sono stati mantenuti online oltre il termine di quindici giorni previsto per la pubblicazione nell’albo pretorio e, quindi, in assenza di idonei presupposti normativi.

II. non è stata effettuata la comunicazione obbligatoria a questa Autorità dei dati di contatto del Responsabile della Protezione dei Dati (RPD) designato dal Comune entro la data del 25/5/2018 in cui è divenuto applicabile il RGPD, ma solo in data XX a seguito della contestazione del Garante, in violazione dell’art. 37, par. 7, del RGPD.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti – in quanto il Comune ha dichiarato di avere rimosso i dati personali oggetto di contestazione dall’albo pretorio online e ha provveduto a comunicare a questa Autorità i dati di contatto del RPD (cfr. nota prot. n. XX del XX), non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del RGPD.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria (artt. 58, par. 2, lett. i; 83 del RGPD)

Il Comune di Ustica risulta aver violato gli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b); 9, parr. 1, 2 e 4; 37, par. 7, del RGPD nonché gli artt. 2-ter, commi 1 e 3, 2-septies, comma 8, del Codice (cfr. anche artt. 7-bis, comma 2, del d. lgs. n. 33/2013 e 124, comma 1, del d. lgs. n. 267/2000).

Nel caso di specie, la violazione delle disposizioni citate – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – è soggetta all’applicazione delle sanzioni amministrative pecuniarie previste dall’art. 83, parr. 4 e 5, del RGPD, che si applicano pertanto al caso di specie.

Al riguardo, l’art. 83, par. 3, del RGPD, prevede che «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave».

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD, nonché dell’art. 166 del Codice, ha il potere correttivo di «infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso». In tale quadro, «il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice» (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del RGPD.

In tal senso, quanto all’illecita diffusione online di dati personali (cfr. par. 5, n. I, lett. a, b e c) si tiene conto del fatto che la stessa ha avuto a oggetto la diffusione online di dati personali (es.: nominativi, codice fiscale, codice IBAN) in alcuni casi anche idonei a rivelare lo stato di salute (art. 9 del RGPD), riferiti ai soggetti menzionati nelle determinazioni n. XX e n. XX (7 soggetti) mantenute sul sito web istituzionale per più di due anni ed esponendo, pertanto, i soggetti interessati a possibili effetti pregiudizievoli. Tale condotta deriva in ogni caso – secondo quanto dichiarato dal Comune – da un problema tecnico e risulta quindi essere di natura evidentemente colposa.

In relazione, invece, alla mancata comunicazione obbligatoria dei dati di contatto del RPD (cfr. par. 5, n. II) risulta che il Comune aveva provveduto a nominare il RPD e a pubblicare i relativi contatti sul sito web istituzionale, tuttavia non aveva provveduto a completare l’adempimento previsto dall’art. 37, par. 7, del RGPD provvedendo a comunicare correttamente i dati di contatto del RPD al Garante secondo la procedura indicata sul sito istituzionale (https://servizi.gpdp.it/comunicazionerpd/s/) solo a seguito della contestazione delle violazioni effettuate con nota acquisita al prot. n. XX.

Si ritiene pertanto che, nel caso di specie, il livello di gravità delle condotte tenute dal titolare del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23/5/2023, punto 60).

Ciò premesso, occorre prendere in considerazione le seguenti circostanze attenuanti:

- il Comune di Ustica è un ente di piccole dimensioni (con poco più di 1300 abitanti), con un numero molto limitato di dipendenti, di cui peraltro nelle more è stato dichiarato il dissesto finanziario con deliberazione del Consiglio comunale n. XX del XX;

- il titolare del trattamento, a seguito della richiesta dell’Ufficio è intervenuto tempestivamente, collaborando con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alle violazioni, attenuandone i possibili effetti negativi;

- il titolare del trattamento ha dichiarato che le condotte sono cessate eliminando i link ai documenti oggetto di contestazione e comunicando i dati di contatto del RPD a questa Autorità;

- non risultano precedenti violazioni del RGPD pertinenti commesse dall’ente;

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, parr. 2 e 3, del RGPD l’ammontare delle sanzioni pecuniarie, previste dall’art. 83, parr. 4 e 5, del RGPD, nella misura di euro 500,00 (cinquecento) per la violazione degli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b); 9, parr. 1, 2 e 4; 37, par. 7, del RGPD nonché gli artt. 2-ter, commi 1 e 3, 2-septies, comma 8, del Codice (cfr. anche artt. 7-bis, comma 2, del d. lgs. n. 33/2013 e 124, comma 1, del d. lgs. n. 267/2000), quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo RGPD.

In relazione alle specifiche circostanze del presente caso, relative alla diffusione di dati personali online in assenza di una idonea base normativa e alla mancata comunicazione al Garante dei dati di contatto del RPD (art. 2-ter, commi 1 e 3, del Codice; art. 37, par. 7, del RGPD), si ritiene altresì che debba essere applicata la sanzione accessoria della pubblicazione del presente provvedimento sul sito Internet del Garante, prevista dall’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità del trattamento effettuato dal Comune di Ustica nei termini indicati in motivazione ai sensi degli artt. 58, par. 2, lett. i), e 83 del RGPD

ORDINA

al Comune di Ustica, in persona del legale rappresentante pro-tempore, con sede legale in Via Petriera - 90051 Ustica (PA) – C.F. 00491510822 di pagare la somma di € 500,00 (cinquecento) a titolo di sanzione amministrativa pecuniaria per le violazioni di cui in motivazione.

INGIUNGE

al medesimo Comune di pagare pertanto la somma di € 500,00 (cinquecento), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.

Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione complessiva irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1/9/2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice).

DISPONE

- la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019;

- l’annotazione nel registro interno dell’Autorità delle violazioni e delle misure adottate ai sensi dell’art. 58, par. 2, del RGPD con il presente provvedimento, come previsto dall’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 6 giugno 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
10032683
Data
06/06/24

Argomenti

Internet e social media Pubblica Amministrazione

Tipologie

Prescrizioni del Garante

Vedi anche (10)