EntiOnLine
Categorie
indietro
24/06/2021 Ordinanza di ingiunzione nei confronti di nei confronti di Comune di Fisciano > diffusione dati personali ordinanza abuso edilizio

Con provvedimento in data 24 giugno 2021 (Registro dei provvedimenti n. 254 del 24 giugno 2021) il Garante ha adottato una Ordinanza ingiunzione nei confronti d Comune di Fisciano.

Ha ordinato di pagare la somma di € 1.000,00 (mille) a titolo di sanzione amministrativa pecuniaria per le violazioni di seguito indicate:

- l'illiceità del trattamento di dati personali effettuato nei confronti del destinatario dell'ordinanza con la diffusione dei dati e delle informazioni personali contenuti nell’ordinanza di abuso edilizio pubblicata online, in quanto il trattamento risulta:

a) non conforme al principio di «minimizzazione» dei dati – con riferimento all’indicazione in chiaro della data e del luogo di nascita, nonché del domicilio del reclamante – considerando che gli stessi non risultano essere stati «limitati a quanto necessario rispetto alle finalità per le quali sono trattati», in violazione dell’art. 5, par. 1, lett. c), del RGPD;

b) priva di idonei presupposti normativi per il periodo eccedente i quindici giorni previsti dall’art. 124, comma 1, del d. lgs. n. 267/2000 per la pubblicazione nell’albo pretorio in cui il Comune era sicuramente titolare del trattamento, in violazione dell’art. 2-ter, commi 1 e 3, del Codice; nonché dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD.

In particolare si è trattato della pubblicazione dell’ordinanza e della diffusione online di dati e informazioni personali del destinatario dell'ordinanza tra cui nome e cognome, data e luogo di nascita, domicilio, dati catastali dell’immobile di proprietà, informazioni sul procedimento per abuso edilizio nei suoi confronti.

Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO il d. lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida in materia di trasparenza”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore l’avv. Guido Scorza;

PREMESSO

1. Introduzione

Questa Autorità ha ricevuto un reclamo da parte del sig. XX, con il quale è stata contestata una violazione della normativa in materia di protezione dei dati personali.

Nello specifico, come emerso dalla verifica preliminare effettuata dall’Ufficio, all’url http://..., si apre una pagina web denominata XX, da cui è possibile visualizzare e scaricare liberamente atti approvati dall’amministrazione comunale. Al riguardo, compilando l’apposita maschera di ricerca, era possibile visualizzare e scaricare l’ordinanza del XX (reg. n. XX) avente a oggetto «XX».

La predetta ordinanza conteneva dati e informazioni personali del reclamante nell’oggetto e nel testo, quali nome e cognome, data e luogo di nascita, domicilio, dati catastali dell’immobile di proprietà, informazioni sul procedimento per abuso edilizio nei suoi confronti.

2. La normativa in materia di protezione dei dati personali

Ai sensi della disciplina in materia, «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)» e «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).

Al riguardo, i soggetti pubblici (come il Comune) possono diffondere «dati personali» solo se tale operazione è prevista «da una norma di legge o, nei casi previsti dalla legge, di regolamento» (art. 2-ter, commi 1 e 3, del Codice), nel rispetto – in ogni caso – dei principi in materia di protezione dei dati, fra i quali quello di «minimizzazione», in base al quale i dati personali devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. c, del RGPD).

La normativa statale di settore prevede, inoltre, che «Tutte le deliberazioni del comune e della provincia sono pubblicate mediante pubblicazione all’albo pretorio, nella sede dell’ente, per quindici giorni consecutivi, salvo specifiche disposizioni di legge» (art. 124, comma 1, d. lgs. n. 267 del 18/8/2000).

In ordine alle pubblicazione sull’albo pretorio, fin dal 2014, il Garante ha fornito specifiche indicazioni alle amministrazioni sulle cautele da adottare per la diffusione di dati personali online con il provvedimento generale n. 243 del 15/5/2014, recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (attualmente in corso di aggiornamento, ma ancora attuale nella parte sostanziale).

Nelle predette Linee guida del Garante è espressamente sancito che una volta trascorso il periodo temporale previsto per la pubblicazione degli atti e documenti nell’albo pretorio:

- «gli enti locali non possono continuare a diffondere i dati personali in essi contenuti. In caso contrario, si determinerebbe, per il periodo eccedente la durata prevista dalla normativa di riferimento, una diffusione dei dati personali illecita perché non supportata da idonei presupposti normativi […]. A tal proposito, ad esempio, la permanenza nel web di dati personali contenuti nelle deliberazioni degli enti locali oltre il termine di quindici giorni, previsto dall´art. 124 del citato d. lgs. n. 267/2000, può integrare una violazione del suddetto art. 19, comma 3, del Codice [n.d.r. oggi riprodotto nell’art. 2-ter, commi 1 e 3, del Codice], laddove non esista un diverso parametro legislativo o regolamentare che preveda la relativa diffusione […]. [In tal caso] se gli enti locali vogliono continuare a mantenere nel proprio sito web istituzionale gli atti e i documenti pubblicati, ad esempio nelle sezioni dedicate agli archivi degli atti e/o della normativa dell’ente, devono apportare gli opportuni accorgimenti per la tutela dei dati personali[,] provvede[ndo] a oscurare nella documentazione pubblicata i dati e le informazioni idonei a identificare, anche in maniera indiretta, i soggetti interessati» (parte seconda, par. 3.a).

3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato.

Dalle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX del XX ha accertato che il Comune di Fisciano – diffondendo i dati e le informazioni personali del reclamante contenuti nell’ordinanza pubblicata online prima descritti – ha effettuato un trattamento di dati personali non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD. Pertanto, con la medesima nota sono state notificate al predetto Comune le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD e invitando la predetta amministrazione a far pervenire al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentita da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

4. Memorie difensive.

Il Comune di Fisciano, con la nota prot. n. XX dell'XX, ha inviato al Garante i propri scritti difensivi in relazione alle violazioni notificate.

Al riguardo, si ricorda che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, intitolato «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante».

Nello specifico, è stato evidenziato, con riferimento al carattere doloso o colposo della violazione (art. 83, par. 2, lett. d, RGPD), fra l’altro, che:

- «il XX questo Ente ha sostituito gli applicativi di gestione degli atti amministrativi forniti dalla ditta [identificata in atti, di seguito “società sostituita”], ivi compreso l’Albo pretorio, con una nuova piattaforma software prodotta dall’azienda [identificata in atti]»;

- «gli atti emessi entro il XX sono stati pubblicati con la piattaforma […] fornita [dalla società sostituita]»;

- «per evitare l’interruzione del servizio di pubblicazione all’albo pretorio durante il periodo di transizione, con nota n. XX del XX […], questo Ente intimava alla Società [sostituita] di ripristinare il servizio interrotto al XX (termine contrattuale) lasciandolo attivo il periodo strettamente necessario per rispettare gli obblighi di pubblicazione degli atti emessi nel mese di dicembre»;

- «Purtroppo, abbiamo constatato, a seguito della vostra nota, che la società [sostituita] non ha provveduto all’interruzione del servizio ed alla cancellazione dei dati presenti sui suoi server, malgrado la nota [del Comune] e sebbene l’Ente non abbia più alcun rapporto di fornitura con la stessa»;

- «Non era quindi intenzione dell’Ente lasciare online, oltre il termine previsto per legge, il documento oggetto della contestazione»;

In relazione all’oggetto, finalità del trattamento e categorie di dati, nonché delle misure adottate per attenuare gli effetti della violazione (art. 82, par. 2, lett. a, c, f, g, del RGPD), è stato aggiunto che:

- «L’atto è stato pubblicato ai sensi del DPR 380/01 in quanto trattasi di ordinanza di demolizione per opere abusive e può dedursi l’ovvia conseguenza che la mera pubblicazione non è qualificabile come violazione della privacy rispetto ai principi di pertinenza, completezza e non eccedenza rientrando l’ordinanza tra quelle di rilevante interesse pubblico»;

- «Questo Ente immediatamente con nota n. XX del XX […] ha intimato alla società coinvolta nella violazione di provvedere con immediatezza a rimuovere il servizio chiedendo, nel contempo, di motivare la mancata disattivazione»;

- «In data stessa il servizio è stato rimosso»;

- «L’atto contiene nome, cognome e data di nascita».

Con successiva nota prot. n. XX del XX il Comune ha integrato le proprie memorie difensive precisando, altresì, che:

- «l’atto è stato pubblicato all’Albo pretorio on line dal XX al XX»;

- «Tanto, a ns. avviso, non può che confermare quanto già rappresentato in merito all’art. 83, par. 2, lett. D-carattere doloso o colposo della violazione […]» e precisamente che:

• «l’interruzione del servizio non consente l’accesso pubblico a tutti i gli atti pubblicati entro il XX (data scadenza del contratto);

• per i quali non è terminato il periodo di pubblicazione obbligatoria prevista dalla norma per i diversi procedimenti»;

- «Da ciò si deduce evidentemente che non era assolutamente intenzione di questo ente lasciare on line, oltre il termine di pubblicazione obbligatoria, il documento oggetto di contestazione»

- il Comune aveva già fatto presente «alla ditta affidataria del servizio Albo pretorio on-line [che] “Non è possibile, per legge, ri-pubblicare tali atti e non è possibile effettuare, per ovvi motivi, il travaso immediato dei dati al nuovo sistema adottato dall’Ente” per cui la ripubblicazione dell’atto è da addebitare solo ed esclusivamente alla società stessa».

5. Valutazioni del Garante

La questione oggetto del caso sottoposto all’attenzione del Garante riguarda la diffusione di dati e informazioni personali del reclamante (fra cui nome e cognome, data e luogo di nascita, domicilio, dati catastali dell’immobile di proprietà, informazioni sul procedimento per abuso edilizio nei suoi confronti), contenuti nell’ordinanza del XX, pubblicata online dal Comune di Fisciano, tramite piattaforma Internet fornita da una società esterna, con cui è stata ordinata la demolizione di una struttura in acciaio realizzata abusivamente, che fungeva da copertura del sottostante fabbricato per il quale era stato invece rilasciato permesso di costruire in sanatoria.

Nell’ambito dell’istruttoria aperta al riguardo da questa Autorità, il predetto Comune ha confermato, nelle proprie memorie difensive, l’avvenuta pubblicazione dell’atto e la diffusione online dei dati personali del reclamante. Sotto tale profilo, tuttavia, l’ente ha evidenziato di avere sostituito la società al tempo incaricata per gli «applicativi di gestione degli atti amministrativi», compreso l’Albo pretorio, con una nuova piattaforma software prodotta da un’altra azienda. In tale contesto, fu al contempo chiesto alla società sostituita – al fine di «evitare l’interruzione del servizio di pubblicazione all’albo pretorio durante il periodo di transizione», – «di ripristinare il servizio interrotto al XX (termine contrattuale) lasciandolo attivo il periodo strettamente necessario per rispettare gli obblighi di pubblicazione degli atti emessi nel mese di dicembre». Secondo quanto dichiarato, tuttavia, «la società [sostituita] non ha [poi] provveduto all’interruzione del servizio ed alla cancellazione dei dati presenti sui suoi server».

Al riguardo, l’eccezione sollevata al Comune in ordine al disguido informatico della società al tempo incaricata della gestione degli applicativi per pubblicazione degli atti online, la quale non avrebbe provveduto a cancellare i dati dopo la cessazione del servizio, potrebbe al massimo riguardare eventuali diffusioni di dati personali realizzate dopo la fine del rapporto contrattuale, avvenuta in data XX. Tuttavia, occorre evidenziare che – dalla verifica preliminare effettuata dall’Ufficio e dagli screenshot effettuati dall’Ufficio sulle pagine web dell’albo pretorio storico del Comune – è risultato che l’atto oggetto di reclamo (ordinanza del XX), con i dati in chiaro del reclamante, è stato pubblicato in data XX e la fine della pubblicazione, pur essendo prevista per la data del XX, è continuata anche successivamente.

Al momento dell’avvenuta pubblicazione, titolare del trattamento era indubbiamente il Comune di Fisciano, che si serviva di una società esterna per la gestione del servizio, anche se poi la stessa è stata sostituita dopo circa un mese e mezzo.

In tale contesto, si deve evidenziare che il Comune aveva l’obbligo, fin dall’inizio del trattamento, consistente nella diffusione online dei dati personali del reclamante avvenuta in data XX, di adottare by design (art. 25, par. 1, RGPD) idonee misure tecniche e organizzative volte a minimizzare i dati pubblicati online, evitando la diffusione di dati non «limitati a quanto necessario rispetto alle finalità per le quali sono trattati». Ciò con particolare riferimento all’avvenuta diffusione della data e luogo di nascita, nonché del domicilio del reclamante.

La mancata adozione delle predette misure tecniche e organizzative è avvenuta prima della data di cessazione del rapporto contrattuale del XX con la precedente società che gestiva gli applicativi per la pubblicazione degli atti online, considerando che la pubblicazione dell’ordinanza oggetto di reclamo con tutti i dati in chiaro del reclamante – secondo quanto riportato sul sito web – è avvenuta in data XX18 e doveva in ogni caso cessare dopo 15 giorni.

Il rispetto delle predette misure tecniche e organizzative da parte del Comune titolare del trattamento, “dall’inizio del trattamento”, avrebbe peraltro impedito anche la diffusione dei descritti dati personali del reclamante dopo la scadenza del contratto con la citata società.

Inoltre, il medesimo Comune, al tempo della condotta, aveva l’obbligo di adottare – come indicato nelle Linee guida del Garante del 2014 e come a esso contestato con la nota dell’Ufficio prot. n. XX del XX – gli opportuni «accorgimenti per la tutela dei dati personali[,] provvede[ndo] a oscurare nella documentazione pubblicata i dati e le informazioni idonei a identificare, anche in maniera indiretta, i soggetti interessati» dopo la scadenza dei 15 giorni previsa per la pubblicazione nell’albo pretorio.

Dagli atti sembra, invece, emergere – né il Comune ha provveduto a produrre idonea documentazione volta a dimostrare il contrario – che i dati personali del reclamante siano rimasti online anche sotto la vigenza del rapporto contrattuale vigente fino a fine dicembre del XX con la società sostituita all’epoca incaricata dal Comune e successivamente ai 15 giorni di pubblicazione previsti per l’albo pretorio, che doveva cessare al XX quando il Comune era sicuramente titolare del trattamento. Ciò in quanto, secondo quanto dichiarato dall’ente nelle memorie difensive, in data XX è stato solo chiesto alla predetta società «di ripristinare» il servizio interrotto al XX, al fine di «rispettare gli obblighi di pubblicazione degli atti emessi nel mese di dicembre», che però non riguardavano l’atto oggetto di reclamo in quanto emesso nel mese di ottobre.

Quanto alla circostanza evidenziata nelle memorie difensive, per la quale l’«atto è stato pubblicato ai sensi del DPR 380/01» e i dati pubblicati sarebbero pertinenti e non eccedenti in quanto l’ordinanza sarebbe stata «di rilevante interesse pubblico», occorre evidenziare che il Comune si è limitato a rinviare genericamente al predetto d.p.r. senza individuare alcuna disposizione che preveda nel concreto un obbligo di pubblicazione dell’ordinanza oggetto di reclamo, che allo stato infatti non risulta ivi contenuto. Il d.p.r. citato, pertanto, non può costituire, alla luce di quanto rappresentato, un’idonea base normativa per diffondere i dati personali del soggetto interessato ai sensi dell’art. 2-ter, commi 1 e 3, del Codice.

Si prende in ogni caso atto – come lo stesso Comune ha dichiarato sotto il profilo del carattere della violazione e del grado di responsabilità del titolare del trattamento (art. 83, par. 2, lett. b e d) – «che non era assolutamente intenzione [dell’]ente lasciare on line, oltre il termine di pubblicazione obbligatoria, il documento oggetto di contestazione».

6. Esito dell’istruttoria relativa al reclamo presentato

Per tutto quanto sopra descritto, le circostanze evidenziate negli scritti difensivi esaminate nel loro complesso, sicuramente meritevoli di considerazione ai fini della valutazione della condotta, non risultano sufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo alcuna delle ipotesi previste dall’art. 11 del Regolamento del Garante n. 1/2019. Ciò anche considerando che sin dal 2014 l’Autorità, nelle Linee guida in materia di trasparenza e pubblicazione online sopra citate, ha fornito a tutte le pp.aa. specifiche indicazioni sulle modalità per contemperare gli obblighi di trasparenza e pubblicità dell’azione amministrativa con il diritto alla protezione dei dati personali dei soggetti interessati, anche con riferimento all’albo pretorio online.

In tale quadro, si confermano le valutazioni preliminari dell’Ufficio con la nota prot. n. XX del XX e si rileva l’illiceità del trattamento di dati personali effettuato dal Comune di Fisciano, in quanto la diffusione dei dati e delle informazioni personali del reclamante, contenuti nell’ordinanza del XX, pubblicata online, risulta:

a) non conforme al principio di «minimizzazione» dei dati – con riferimento all’indicazione in chiaro della data e del luogo di nascita, nonché del domicilio del reclamante – considerando che gli stessi non risultano essere stati «limitati a quanto necessario rispetto alle finalità per le quali sono trattati», in violazione dell’art. 5, par. 1, lett. c), del RGPD;

b) priva di idonei presupposti normativi per il periodo eccedente i quindici giorni previsti dall’art. 124, comma 1, del d. lgs. n. 267/2000 per la pubblicazione nell’albo pretorio in cui il Comune era sicuramente titolare del trattamento, in violazione dell’art. 2-ter, commi 1 e 3, del Codice; nonché dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD.

Considerato, tuttavia, che la condotta ha esaurito i suoi effetti, in quanto il Comune ha dichiarato di aver provveduto a far rimuovere i dati personali oggetto di reclamo, fermo restando quanto si dirà sull’applicazione della sanzione amministrativa pecuniaria, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del RGPD.

7. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria (artt. 58, par. 2, lett. i; 83 del RGPD)

Il Comune di Fisciano risulta aver violato gli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD; nonché l’art. 2-ter, commi 1 e 3, del Codice.

Al riguardo, l’art. 83, par. 3, del RGPD, prevede che «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave».

Nel caso di specie, la violazione delle disposizioni citate – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del RGPD, che si applica pertanto al caso di specie.

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD, nonché dell’art. 166 del Codice, ha il potere correttivo di «infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso». In tale quadro, «il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice» (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del RGPD.

In tal senso, la rilevata condotta tenuta in violazione della disciplina in materia di protezione dei dati personali risulta di natura colposa ed ha avuto a oggetto la diffusione online di dati personali, non appartenenti a categorie particolari né a condanne penali o reati (artt. 9 e 10, del RGPD), riferiti a un solo soggetto interessato. Il Comune di Fisciano è in ogni caso un ente di medie dimensioni (poco più di 13.700 abitanti), che a seguito della richiesta dell’Ufficio è intervenuto tempestivamente, collaborando con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alla violazione, attenuandone i possibili effetti negativi. Assume altresì rilievo la circostanza che non risultano, in ogni caso, eventuali precedenti violazioni del RGPD pertinenti commesse dall’ente.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, parr. 2 e 3, del RGPD l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, del RGPD, nella misura di euro 1.000,00 (mille) per la violazione degli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD, nonché dell’art. 2-ter, commi 1 e 3, del Codice; quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo RGPD.

In relazione alle specifiche circostanze del presente caso, relative alla diffusione di dati personali online in assenza di una idonea base normativa e in violazione del principio di minimizzazione dei dati (art. 5, par. 1, lett. c, RGPD), si ritiene altresì che debba essere applicata la sanzione accessoria della pubblicazione del presente provvedimento sul sito Internet del Garante, prevista dall’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO

IL GARANTE

rilevata l’illiceità del trattamento effettuato dal Comune di Fisciano nei termini indicati in motivazione ai sensi degli artt. 58, par. 2, lett. i), e 83 del RGPD

ORDINA

al Comune di Fisciano, in persona del legale rappresentante pro-tempore, con sede legale in Piazza Umberto I - 84084 Fisciano (SA) - C.F. 00267790657 di pagare la somma di € 1.000,00 (mille) a titolo di sanzione amministrativa pecuniaria per le violazioni di cui in motivazione;

INGIUNGE

al medesimo Comune di pagare la somma di euro € 1.000,00 (mille), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.

Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1/9/2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice).

DISPONE

- la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019;

- l'annotazione nel registro interno dell'Autorità delle violazioni e delle misure adottate ai sensi dell'art. 58, par. 2, del RGPD con il presente provvedimento, come previsto dall’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Fonte Garante

Banca dati