In merito alla pubblicazione in oggetto, l'Ente risulta aver violato gli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD; nonché l’art. 2-ter, commi 1 e 3, del Codice.

Il trattamento di dati personali effettuato con la pubblicazione all'Albo Pretorio di un'ordinanza relativa ad un abuso edilizio in cui sono stati indicati dati e informazioni personali dell'interessato fra cui nome e cognome, data e luogo di nascita, domicilio, dati catastali dell’immobile di proprietà, informazioni sul procedimento per abuso edilizio nei suoi confronti, risulta:

a) non conforme al principio di «minimizzazione» dei dati – con riferimento all’indicazione in chiaro della data e del luogo di nascita, nonché del domicilio del reclamante – considerando che gli stessi non risultano «limitati a quanto necessario rispetto alle finalità per le quali sono trattati», in violazione dell’art. 5, par. 1, lett. c), del RGPD;

b) priva di idonei presupposti normativi per il periodo eccedente i quindici giorni previsti dall’art. 124, comma 1, del d. lgs. n. 267/2000 per la pubblicazione nell’albo pretorio, in violazione dell’art. 2-ter, commi 1 e 3, del Codice; nonché dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD.

L'Ente ha l’obbligo, fin dall’inizio del trattamento, consistente nella diffusione online dei dati personali, di adottare by design (art. 25, par. 1, RGPD) idonee misure tecniche e organizzative volte a minimizzare i dati pubblicati online, evitando la diffusione di dati non «limitati a quanto necessario rispetto alle finalità per le quali sono trattati». Ciò con particolare riferimento alla diffusione della data e luogo di nascita, nonché del domicilio del reclamante.

Inoltre, l'Ente ha l’obbligo di adottare – come indicato nelle Linee guida del Garante del 2014 – gli opportuni accorgimenti per la tutela dei dati personali provvedendo a oscurare nella documentazione pubblicata i dati e le informazioni idonei a identificare, anche in maniera indiretta, i soggetti interessati dopo la scadenza dei 15 giorni previsa per la pubblicazione nell’albo pretorio.

Ciò premesso, per quanto concerne i profili sanzionatori occorre tenere presente che:

• l’art. 83, par. 3, del RGPD, prevede che «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave».
• nel caso di specie, la violazione delle disposizioni citate – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del RGPD, che si applica pertanto al caso di specie.
• Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD, nonché dell’art. 166 del Codice, ha il potere correttivo di «infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso». In tale quadro, «il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice» (art. 16, comma 1, del Regolamento del Garante n. 1/2019).
• La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del RGPD.

In tal senso, la condotta tenuta in violazione della disciplina in materia di protezione dei dati personali risulta di natura colposa ed ha a oggetto la diffusione online di dati personali, non appartenenti a categorie particolari né a condanne penali o reati (artt. 9 e 10, del RGPD), riferiti a un solo soggetto interessato.

Il Garante, valuta le dimensioni del'Ente, la circostanza che l'ente, che a seguito della richiesta dell’Ufficio sia intervenuto tempestivamente, collaborando con l’Autorità nel corso dell’istruttoria del procedimento al fine di porre rimedio alla violazione, attenuandone i possibili effetti negativi.

Assume altresì rilievo la circostanza che non risultano, in ogni caso, eventuali precedenti violazioni del RGPD pertinenti commesse dall’ente.

In ragione dei suddetti elementi, valutati nel loro complesso, l’Autorità determina ai sensi dell’art. 83, parr. 2 e 3, del RGPD l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, del RGPD, per la violazione degli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD, nonché dell’art. 2-ter, commi 1 e 3, del Codice;

Nel caso concreto deciso dal garante con ordinanza ingiunzione del 24 giugno 2021 (Registro dei provvedimenti n. 254) la sanzione pecuniaria è stata determinata nella misura di euro 1.000,00 quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo RGPD, tenuto conto che si trattava ente di medie dimensioni (poco più di 13.700 abitanti), che a seguito della richiesta dell’Ufficio è intervenuto tempestivamente, collaborando con l’Autorità nel corso dell’istruttoria del procedimento al fine di porre rimedio alla violazione, attenuandone i possibili effetti negativi e che non risultano, in ogni caso, eventuali precedenti violazioni del RGPD pertinenti commesse dall’ente.