[doc. web n. 10033086]

Provvedimento del 23 maggio 2024

Registro dei provvedimenti
n. 302 del 23 maggio 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27/4/2016, «relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE», “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO il d. lgs. 30/6/2003, n. 196 recante «Codice in materia di protezione dei dati personali» (di seguito “Codice”);

VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida in materia di trasparenza”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore l’avv. Guido Scorza;

PREMESSO

1. Introduzione

Con reclamo, presentato dalla sig.ra XX (di seguito “la reclamante”), è stata lamentata una violazione della normativa in materia di protezione dei dati personali da parte dell’Università degli Studi di Bari “Aldo Moro” (di seguito “Ateneo”), presso cui la reclamante presta la propria attività lavorativa.

Nello specifico, la reclamante contesta l’indicizzazione nei motori di ricerca web del proprio nominativo, pubblicato sul sito web istituzionale dell’Ateneo assieme al ruolo ricoperto all’interno dell’amministrazione, e ha chiesto pertanto – prima all’Ateneo e poi al Garante – di disattivare tale indicizzazione, al fine di non rendere reperibili i predetti dati personali tramite motori di ricerca esterni al sito web istituzionale (es. Google).

A supporto di tale richiesta, la reclamante ha rappresentato che l’indicizzazione dei propri dati personali non sarebbe necessaria né funzionale, in quanto la stessa «non ricopre […] cariche di rilievo e non [ha] utenza esterna all’amministrazione». Inoltre, per eventuali richieste dei cittadini inerenti ai compiti istituzionali «esiste una mail di ufficio [e] una rubrica interna al sito dell’Università dove è possibile accedere ai [relativi] recapiti».

La reclamante ha evidenziato altresì «XX».

2. La normativa in materia di protezione dei dati personali

La disciplina europea in materia di protezione dei dati personali prevede che i soggetti pubblici, come l’Università, possono trattare «dati personali» (art. 4, n. 1, del RGPD) se il trattamento è necessario «per adempiere un obbligo legale al quale è soggetto il titolare del trattamento» oppure «per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento» (art. 6, par. 1, lett. c ed e, del RGPD).

La base giuridica dei predetti trattamenti deve essere stabilita dal diritto dell’Unione o dello Stato membro, che deve perseguire «un obiettivo di interesse pubblico [e deve essere] proporzionato all'obiettivo» (art. 6, par. 3 del RGPD).

In tale contesto, è sancito che «gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del […] regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]» (art. 6, par. 2, del RGPD).

Il Codice ha stabilito che «la base giuridica prevista dall’articolo 6, paragrafo 3, lettera b), del Regolamento è costituita da una norma di legge o di regolamento o da atti amministrativi generali” (art. 2-ter, comma 1).

In ogni caso, il titolare, nei trattamenti effettuati, è tenuto a rispettare i principi generali in materia di protezione dei dati personali, fra cui i principi di «limitazione della finalità» e di «minimizzazione dei dati», in base ai quali i dati devono essere – rispettivamente – «raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità», nonché «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. b e c, del RGPD).

Inoltre, il Garante fin dal 2014 ha fornito specifiche indicazioni alle amministrazioni sulle cautele da adottare per la diffusione di dati personali online con le Linee guida in materia di trasparenza (provv. n. 243/2014) anche con particolare riferimento alla necessità di evitare l’indicizzazione di dati personali pubblicati online per finalità diverse dalla trasparenza amministrativa (cfr. parte seconda, par. 2.a.; nonché infra par. 4).

3.  Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato

Con nota del XX, prot. n. XX, l’Ateneo ha fornito riscontro alla richiesta di informazioni dell’Ufficio (nota prot. n. XX del XX), rappresentando, fra l’altro, che la reclamante si è più volte rivolta all’Ateneo per chiedere la «la deindicizzazione della scheda di contatto della “rubrica” pubblicata sul sito web istituzionale». Tuttavia, la predetta richiesta non è stata accolta dall’Ateneo, che ha ritenuto di avere, invece, l’obbligo di indicizzare i dati oggetto di reclamo, ai sensi degli artt. 13 e 7-bis del d. lgs. n. 33/2013 (cfr. anche le note richiamate dall’Ateneo prott. n. XX e n. XX).

Al riguardo, tuttavia, le valutazioni effettuate dall’Ateneo non sono state ritenute corrette con riferimento al richiamo alle citate disposizioni nel caso in esame (cfr. anche quanto si dirà più nel dettaglio infra par. 4), per cui l’Ufficio, sulla base degli elementi acquisiti, delle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, con nota del XX (prot. n. XX), ha accertato che l’Ateneo – mantenendo indicizzati nei motori di ricerca generalisti i dati della reclamante – ha effettuato un trattamento di dati personali non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD. Di conseguenza, con la medesima nota sono state notificate all’Ateneo le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del RGPD e invitando il predetto Ateneo a produrre al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentito dall’Autorità entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689). Con la citata nota prot. n. XX, è stato, altresì, chiesto all’Ateneo di comunicare «la propria eventuale adesione spontanea» alle richieste della reclamante (art. 15, comma 1, del Regolamento del Garante n. 1/2019), informando questa Autorità delle iniziative assunte o che si intendevano assumere con particolare riferimento alla richiesta di deindicizzazione dei dati personali oggetto di reclamo.

Con nota del XX, prot. n. XX l’Ateneo ha presentato le proprie memorie difensive, aderendo spontaneamente alle richieste della reclamante e dichiarando, in particolare, che:

- «la U.O. di supporto al Responsabile della Transizione digitale del Centro Servizi Informatici […] ha rappresentato che: “In data XX l’ufficio scrivente ha provveduto alla implementazione di dichiarazioni “metatag” e “robots.txt” alla radice del portale de quo https://... volte alla negazione totale della indicizzazione dei contenuti di detto portale da parte di tutti i software di crawling web. Sono stati altresì istruiti i due maggiori provider di ricerca (Google e Microsoft Bing) affinché rimuovessero, dai loro archivi, tutti i contenuti indicizzati all’interno del portale di rubrica UniBa (https:...) e affinché rimuovessero tutte le rispettive copie cache»;

- «attese diverse settimane affinché dette dichiarazioni abbiano avuto il tempo di propagarsi globalmente, alla data del XX e, a ulteriore conferma, ad oggi XX, nessuno dato pubblicato sul portale di rubrica Uniba htips://persone.ict.uniba.it, nome e cognome [della reclamante] compresi, risulta globalmente indicizzato e quindi globalmente ricercabile. Si riscontra il medesimo comportamento anche in altri search engine provider presi a campione tra i più utilizzati (Yandex, Duckduckgo, Yahoo, ecc.)».

4. Esito dell’istruttoria relativa al reclamo presentato.

La presente istruttoria è circoscritta alla specifica richiesta di deindicizzazione dei propri dati personali formulata dalla reclamante, sia in sede di esercizio dei diritti in materia di protezione dei dati personali nei confronti dell’Ateneo titolare del trattamento, sia in sede di successivo reclamo presentato al Garante.

Al riguardo, si rileva, in via preliminare, che in base alla disciplina nazionale in materia di trasparenza – ai sensi dell’art. 9 del d. lgs. n. 33/2013 (nonché ai sensi dell’art. 7-bis, comma 1) – l’unica parte dei siti web istituzionali per cui è previsto che le pp.aa. non possano «disporre filtri e altre soluzioni tecniche atte ad impedire ai motori di ricerca web di indicizzare» i relativi contenuti, è unicamente la sezione «Amministrazione trasparente».

In tale contesto, l’art. 13 del d. lgs. n. 33/2013 in materia di trasparenza, recante «Obblighi di pubblicazione concernenti l’organizzazione delle pubbliche amministrazioni» nella sezione «Amministrazione trasparente», richiamato dall’Ateneo per sostenere l’obbligo di pubblicazione e indicizzazione dei dati personali della reclamante ai sensi dell’art. 7-bis del medesimo decreto (cfr. le note prima citate prott. n. XX e n. XX), non risulta corretto.

Ciò in quanto il citato art. 13 ha un ambito di applicazione diverso rispetto al caso in esame, facendo riferimento a oneri di trasparenza limitati a uno specifico set di informazioni quali i «nomi dei dirigenti responsabili dei singoli uffici», e «l’elenco dei numeri di telefono nonché delle caselle di posta elettronica istituzionali e delle caselle di posta elettronica certificata dedicate, cui il cittadino possa rivolgersi per qualsiasi richiesta inerente i compiti istituzionali» indicate dall’amministrazione (lett. b e d). Le citate disposizioni non fanno invece riferimento ai nomi e ai recapiti dei singoli dipendenti, né al ruolo da essi ricoperto nell’ambito della struttura organizzativa dell’amministrazione (cfr. le linee guida dell’ANAC «recanti indicazioni sull’attuazione degli obblighi di pubblicità, trasparenza e diffusione di informazioni contenute nel d.lgs. 33/2013 come modificato dal d.lgs. 97/2016», Det. n. XX del XX e relativi allegati, in https://...). Tali assunti sono stati ribaditi anche nel parere del Garante sugli schemi standard di pubblicazione predisposti da ANAC – riguardanti fra l’altro proprio il citato art. 13 del d. lgs. n. 33/2013 – ai sensi dell’art. 48, commi 1 e 3, del medesimo decreto, laddove è stata evidenziata la necessità di «limitare la pubblicazione dei dati di contatto cui il cittadino può rivolgersi per qualsiasi richiesta inerente ai compiti istituzionali previsti dallo schema riferito all’art. 13 (numeri di telefono, caselle di posta elettronica istituzionali e caselle di posta elettronica certificata dedicate) all’ufficio e non alla persona. Ciò tenendo peraltro conto che nello schema standard di pubblicazione è espressamente previsto che anche l’obbligo di pubblicazione riferito all’organigramma dell’amministrazione/ente è “da intendersi come illustrazione in forma semplificata, ai fini della piena accessibilità e comprensibilità dei dati, dell’organizzazione dell’amministrazione” e non come pubblicazione dell’elenco di tutti i dipendenti» (provv. n. 92 del 22 febbraio 2024, doc. web n. 9996090)

Di conseguenza, i citati artt. 13 e 7-bis del d. lgs. n. 33/2013 non possono essere utilizzati dall’amministrazione per sostenere l’obbligo di indicizzazione dei dati della reclamante, che invece risultano inseriti nella rubrica online – secondo quanto dichiarato dall’Ateneo (cfr. nota prima citata prot. n. XX) – ai sensi del diverso art. 19, comma 6, del Regolamento di Ateneo (D.R. n. XX del XX) per «favorire la comunicazione istituzionale».

Del resto, le previsioni normative che legittimano un trattamento di dati personali possono determinare compressioni del diritto alla protezione dei dati personali nei limiti dello stretto necessario (devono essere “necessarie” all’interesse meritevole di tutela che si intende perseguire in presenza di una “pressante esigenza sociale”) e devono rispondere effettivamente a finalità di interesse generale nel rispetto del principio di proporzionalità, graduando le forme di intervento e prediligendo quelle che, nel consentire l’effettività degli obiettivi da perseguire, determinino invasioni meno gravi nella “vita privata” degli interessati (v. la copiosa giurisprudenza della Corte Europea dei diritti dell’uomo, causa c-524/06-Huber/Bundesrepublik Deutschkand del 16/12/2008, nonché della Corte di giustizia dell’Unione europea, Grande Sezione, 8 aprile 2014, Cause riunite C-293/12 e C-594/12; sentenza 20 maggio 2003, C-465/00, C-138/01 e C-139/01, riunite; sentenza 9 novembre 2010, C-92/09 e C-93/09, riunite).

Peraltro, fin dal 2014 il Garante ha espressamente indicato (cfr. par. 2.a, parte II delle Linee guida in materia di trasparenza sopra citate) che, per le pubblicazioni online di dati personali per finalità diverse dalla trasparenza amministrativa:

- «occorre evitare, ove possibile, la reperibilità dei dati personali da parte dei motori di ricerca esterni (es. Google), stante il pericolo di decontestualizzazione del dato personale e la riorganizzazione delle informazioni restituite dal motore di ricerca secondo una logica di priorità di importanza del tutto sconosciuta, non conoscibile e non modificabile dall’utente»;

-  «Pertanto, è opportuno privilegiare funzionalità di ricerca interne al sito web, poiché in tal modo si assicurano accessi maggiormente selettivi e coerenti con le finalità di volta in volta sottese alla pubblicazione, garantendo, al contempo, la conoscibilità sui siti istituzionali delle informazioni che si intende mettere a disposizione».

In tale contesto, l’Ateneo ha rappresentato di avere una «notevole consistenza e [un’]ampia “diversificazione” della platea di cittadini/utenti che entrano in relazione con l'Università degli Studi di Bari e che ad essa si rivolgono “per qualsiasi richiesta inerente i compiti istituzionali”» (es.: studenti anche fuorisede, fornitori di servizi, scienziato/ricercatore, referenti di altre istituzioni) e che è necessario garantire riscontri efficaci, efficienti e tempestivi. Tuttavia, nel caso in esame, dagli atti non emergono sufficienti elementi che consentono di ritenere necessaria l’indicizzazione dei dati personali della reclamante.

Al riguardo, l’interessata ha infatti rappresentato di essere XX» (cfr. documentazione in atti). Tali assunti sono stati ribaditi in sede di reclamo al Garante laddove la stessa ha rappresentato che «esiste una mail di ufficio a cui tutti gli utenti possono contattarci, […] esiste una rubrica interna al sito dell’Università dove è possibile accedere ai nostri recapiti, e che gli uffici di cui ho fatto parte in questi due anni XX».

In tale quadro, si rileva che ai fini della dichiarata necessità di perseguire la finalità dichiarata dall’Ateneo di favorire la comunicazione istituzionale, con particolare riferimento ai dati personali della reclamante e al ruolo da essa svolto all’interno dell’amministrazione e ai relativi compiti istituzionali – tenuto anche conto di quanto da essa rappresentato (e non contestato dall’Ateneo) con riferimento alle caratteristiche della propria utenza XX – non emergono elementi che consentano di ritenere necessaria e proporzionata la relativa indicizzazione nei motori di ricerca generalisti, essendo sufficiente per le finalità dichiarate dal titolare del trattamento la rintracciabilità dei relativi recapiti nella rubrica pubblicata online. Tali osservazioni sono del resto confermate dalla condotta tenuta dall’Ateneo stesso che, a seguito dell’intervento e delle osservazioni formulate dall’Ufficio (nota prot. n. XX), ha aderito spontaneamente alle richieste della reclamante, attivandosi prontamente per venire incontro alla domanda di deindicizzazione dei relativi dati personali e ritenendo pertanto assolutamente non necessaria anche tale ulteriore operazione di trattamento.

In tale contesto, le dichiarazioni contenute nelle memorie difensive e le iniziative tenute a seguito dell’intervento dell’Autorità, esaminate nel loro complesso, risultano sicuramente meritevoli di considerazione ai fini della valutazione della condotta, ma non consentono l’archiviazione del presente procedimento, in quanto non ricorre alcuna delle ipotesi previste dall’art. 11 del Regolamento del Garante n. 1/2019.

Alla luce di tutto quanto sopra considerato, si confermano le valutazioni preliminari dell’Ufficio contenute nella nota del XX (prot. n. XX) e si rileva l’illiceità del trattamento di dati personali effettuato dall’Università degli Studi di Bari “Aldo Moro”, in quanto le modalità di diffusione dei dati personali della reclamante sopra descritti – considerata, in particolare, la contestata indicizzazione nei motori di ricerca generalisti, di cui non è stata provata la relativa necessità e proporzionalità rispetto alla finalità dichiarata dal titolare del trattamento tenuto anche conto del ruolo istituzionale svolto dalla reclamante all’interno dell’Ateneo (cfr. anche art. 5, par. 2 e 24 del RGPD in materia di accountability/responsabilizzazione del titolare) – risulta non conforme ai principi di “limitazione della finalità” e di “minimizzazione dei dati”, in violazione dell’art. 5, par. 1, lett. b) e c) del RGPD.

Si ritiene, tuttavia, di dover in ogni caso considerare la particolarità del caso in esame, che presenta una serie di circostanze meritevoli di un’attenta valutazione. In particolare, il fatto che:

-  la condotta tenuta dal titolare del trattamento è stata di natura evidentemente colposa e ha avuto a oggetto dati non appartenenti a categorie particolari, né a condanne penali o reati (artt. 9 e 10, del RGPD;

- l’Ateneo, a seguito della richiesta dell’Ufficio, è intervenuto tempestivamente, collaborando con l’Autorità nel corso dell’istruttoria del presente procedimento;

- l’Ateneo, al fine di porre rimedio alla predetta violazione e di eliminare i possibili effetti negativi, ha dichiarato di avere provveduto «alla negazione totale della indicizzazione» dei dati personali della reclamante, presenti nella rubrica pubblicata sul sito web dell’Ateneo. Al riguardo, è stato rappresentato di aver istruito «i due maggiori provider di ricerca (Google e Microsofi Bing) affinché rimuovessero, dai loro archivi, tutti i contenuti indicizzati all’interno del portale di rubrica UniBa (htips://persone.ict.uniba.it) e affinché rimuovessero tutte le rispettive copie cache», nonché di aver riscontrato la eliminazione dei contenuti «anche in altri search engine provider presi a campione tra i più utilizzati (Yandex, Duckduckgo, Yahoo, ecc.)»;

- non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del RGPD che siano analoghe rispetto al caso di specie.

Le circostanze del caso concreto inducono pertanto a qualificare la presente fattispecie come «violazione minore», ai sensi del cons. 148, dell’art. 83, par. 2, del RGPD e delle «Linee guida riguardanti l’applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del Regolamento (UE) n. 2016/679», adottate dal Gruppo di Lavoro Art. 29 il 3 ottobre 2017, WP 253, e fatte proprie dal Comitato europeo per la protezione dei dati con l’“Endorsement 1/2018” del 25 maggio 2018.

Alla luce di tutto quanto sopra rappresentato, e dei termini complessivi della vicenda in esame, anziché infliggere una sanzione pecuniaria, si ritiene sufficiente ammonire il titolare del trattamento per la violazione delle disposizioni sopraindicate, ai sensi dell’art. 58, par. 2, lett. b), del RGPD (cfr. anche cons. 148 del RGPD).

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del RGPD.

In relazione alle specifiche circostanze del presente caso, relative alla contestata indicizzazione nei motori di ricerca generalisti avvenuta in maniera non conforme ai principi di “limitazione della finalità” e di “minimizzazione dei dati” (art. 5, par. 1, lett. b e c del RGPD) si ritiene altresì che debba essere applicata la sanzione accessoria della pubblicazione del presente provvedimento sul sito Internet del Garante, prevista dall’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità del trattamento dei dati personali effettuato dall’Università degli Studi di Bari “Aldo Moro”, in persona del legale rappresentante pro-tempore, con sede legale in Piazza Umberto I, n. 1-70121 BARI, C.F. 80002170720, nei termini indicati di cui in motivazione, ai sensi dell’art. 58, par. 2, lett. b) del RGPD

AMMONISCE

l’Università degli Studi di Bari “Aldo Moro” per aver violato l’art. 5, par.1, lett. b) e c) del RGPD

DISPONE

- la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019;

- l’annotazione nel registro interno dell’Autorità delle violazioni e delle misure adottate ai sensi dell’art. 58, par. 2, del RGPD con il presente provvedimento, come previsto dall’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi degli artt. 78 del RGPD, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 23 maggio 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei