IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO il d. lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida in materia di trasparenza”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Introduzione

Questa Autorità ha ricevuto un reclamo da parte di XX, XX, XX e XX (di seguito “i reclamanti”) con il quale è stata contestata una violazione della normativa in materia di protezione dei dati personali.

Nello specifico, è stata lamentata la diffusione dei dati personali dei reclamanti contenuti nell’«Interrogazione [consiliare regionale] con risposta scritta XX. XX» del XX intitolata «XX», pubblicata sul sito web istituzionale del Consiglio regionale della Valle d’Aosta, all’url https://wdd.consiglio.vda.it/....

La predetta interrogazione conteneva dati e informazioni personali dei reclamanti, dipendenti del Consorzio XX (XX), inerenti a compensi e indennità ricevuti dal Consorzio.

I reclamanti hanno allegato al reclamo la nota inviata al Consiglio regionale e al Responsabile della Protezione dei Dati Personali della Regione Valle d’Aosta, con la quale gli stessi hanno esercitato i diritti in materia di protezione dei dati personali nei confronti del predetto Ente, nonché il riscontro ricevuto con il quale non era stata accolta la richiesta di rimozione dei dati personali dal sito web.

2. Normativa applicabile.

Ai sensi della disciplina in materia, «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)» e «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).

Il trattamento di dati personali effettuato da soggetti pubblici è lecito solo se necessario «per adempiere un obbligo legale al quale è soggetto il titolare del trattamento» oppure «per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento» (art. 6, par. 1, lett. c ed e, RGPD).

È inoltre previsto che «Gli Stati membri possono mantenere […] disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]» (art. 6, par. 2, RGPD), con la conseguenza che al caso di specie risultano applicabili le disposizioni contenute nell’art. 2-ter, commi 1 e 3, del Codice, laddove è previsto che l’operazione di diffusione di dati personali (come la pubblicazione su Internet), è ammessa quando prevista «da una norma di legge o, nei casi previsti dalla legge, di regolamento», nel rispetto – in ogni caso – dei principi in materia di protezione dei dati, fra cui quello di «minimizzazione», in base al quale i dati personali devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. c, del RGPD).

Con particolare riferimento alla questione sottoposta all’attenzione del Garante, inoltre, la normativa di settore della Regione speciale Valle d’Aosta prevede che le interrogazioni consiliari «sono iscritte all’ordine del giorno dell’adunanza, subito dopo le comunicazioni dei Presidenti del Consiglio e della Regione» e che «Il Presidente della Regione e gli Assessori rispondono alle interrogazioni per non più di dieci minuti» (art. 94, commi 1 e 2, del Regolamento interno per il funzionamento del Consiglio regionale. Cfr. anche art. 19 della Legge costituzionale 26/2/1948, n. 4 recante lo «Statuto speciale per la Valle d’Aosta»). Per le «Interrogazioni con risposta scritta» è specificamente previsto che «Nel presentare una interrogazione, i Consiglieri possono chiedere di avere risposta scritta. In questo caso, il Presidente della Regione o gli Assessori danno risposta scritta entro venti giorni. Dell’avvenuta risposta è data informazione all’Assemblea che ne prende atto senza discussione» (art. 96 del Regolamento interno per il funzionamento del Consiglio regionale).

È, inoltre, sancito che «Le sedute del Consiglio della Valle sono pubbliche» (art. 22, comma 1, dello Statuto regionale speciale citato) e che «sono diffuse anche con strumenti telematici» (art. 45, comma 1, Regolamento interno per il funzionamento del Consiglio regionale).

Si ricorda, in ogni caso che, rispetto agli obblighi di pubblicazione online di atti e documenti, il Garante, fin dal 2014, ha fornito specifiche indicazioni alle pubbliche amministrazioni sulle cautele da adottare in ordine alla diffusione di dati personali ivi contenuti con il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (attualmente in corso di aggiornamento, ma ancora attuali nella parte sostanziale).

3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato.

Con la nota prot. n. XX del XX il Consiglio Regionale della Valle d’Aosta ha fornito riscontro alla richiesta d’informazioni dell’Ufficio (prot. n. XX del XX).

Alla luce delle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX del XX ha accertato che la predetta amministrazione – diffondendo in Internet l’identità dei reclamanti – ha effettuato un trattamento di dati personali non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD. Pertanto, con la medesima nota sono state notificate al Consiglio Regionale della Valle D’Aosta le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del RGPD e invitando la predetta amministrazione a far pervenire al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentito da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

4. Memorie difensive.

Con la nota prot. n. XX del XX il Consiglio Regionale della Valle D’Aosta ha inviato al Garante i propri scritti difensivi in relazione alle violazioni notificate.

Al riguardo, si ricorda che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, intitolato «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante».

Nello specifico, è stato evidenziato, fra l’altro che:

- «le interrogazioni e le interpellanze rappresentano uno degli strumenti tipici mediante i quali ciascun componente di un'assemblea elettiva esercita il proprio mandato. Il diritto all'identità o alla riservatezza delle persone che si trovano spesso citate nei testi delle interrogazioni e delle interpellanze viene ritenuto cedevole rispetto al più generale interesse a che determinati fatti vengano portati all'attenzione dell'opinione pubblica. Ciò trova conferma nella circostanza che tali strumenti di sindacato ispettivo sono coperti dalla garanzia dell'insindacabilità prevista dall'articolo 24 dello Statuto speciale della Regione, ai sensi del quale “I consiglieri regionali non possono essere perseguiti per le opinioni espresse o i voti dati nell'esercizio delle loro funzioni”»;

- «La pubblicazione dell'atto, quale strumento di comunicazione on line, strumentale all'attuazione del principio di pubblicità degli atti assembleari, è conseguenza del principio di pubblicità delle sedute consiliari di cui all'art. 22 dello Statuto speciale della Regione e all'art. 45, comma 1, del Regolamento interno del Consiglio regionale. Tale principio è sottratto a criteri di discrezionalità. La pubblicità degli atti consiliari, di cui le interrogazioni costituiscono una delle principali espressioni, rappresenta, infatti, un'ovvia conseguenza non solo dei principi generali di trasparenza che sottendono l'attività di un'Assemblea legislativa, ma anche del fatto che, essendo pubbliche le sedute del Consiglio, sono pubblici anche gli atti che lo stesso tratta»;

- «Sindacare sulle forme e sui contenuti della pubblicità degli atti consiliari non può che comportare una indebita compressione del principio di pubblicità dei lavori dell'Assemblea e quindi una violazione del principio di intangibilità degli atti consiliari, che è coessenziale alla loro pubblicità»;

- «Rilevante è altresì il riconoscimento delle funzioni di controllo, di indirizzo politico e di sindacato ispettivo tra le attività di rilevante interesse pubblico per il cui perseguimento è consentito il trattamento di categorie particolari di dati personali (art. 2 sexies del d.lgs. 196/2003). È da ritenersi, quindi, con riferimento al caso di specie, che se l'attività politica di indirizzo e controllo e di sindacato ispettivo ammette il trattamento e la pubblicità di categorie particolari di dati personali è da considerarsi, a maggior ragione, lecito il trattamento di dati non considerati tali»;

- «l'interrogazione in esame, rispettosa del secondo comma dell’art. 109 del Regolamento interno del Consiglio regionale, non conteneva formulazioni ingiuriose o sconvenienti e quindi non poteva che superare il vaglio presidenziale di ammissibilità e, conseguentemente, essere pubblicata nella sezione dedicata sul sito internet istituzionale del Consiglio regionale»;

- «A sostegno della liceità della pubblicazione dell'atto in questione, si considera rilevante l'orientamento sostenuto dalla Camera dei Deputati in ordine alla definizione di alcune procedure di garanzia per i soggetti citati nei documenti parlamentari. Invero, la Camera dei Deputati, con deliberazione dell'Ufficio di Presidenza n. 46 del 2013, ha affrontato la tematica della tutela dei dati personali pubblicati negli atti parlamentari approvando una specifica disciplina in materia di "diritto all'oblio", sulla base della quale i cittadini citati in atti parlamentari possono chiedere, ove ricorrano i presupposti stabiliti dalla suddetta disciplina, la "deindicizzazione" delle pagine web recanti tali atti, fermo restando la piena reperibilità dell'atto medesimo sul sito istituzionale attraverso il motore di ricerca interno al sito stesso e l'intangibilità dell'atto parlamentare»;

- «Come evidenziato nel report relativo [all’]incontro [del XX con i rappresentanti del Garante], che si allega, ai dubbi, ai quesiti e alle perplessità avanzati dai referenti regionali, i rappresentanti del Garante hanno risposto invitando gli stessi a non modificare le procedure e le prassi già in uso, che nel corso degli anni si erano rivelate efficaci, ma di intervenire anzitutto sulle novità previste dall'ordinamento (nomina del DPO, registro delle attività di trattamento, notificazione del data breach). Nel corso dell'incontro è stata altresì condivisa la volontà dei presenti di pervenire alla stesura di un Codice di condotta per il trattamento di dati particolari e giudiziari, ai sensi dell'art. 40 del RGPD, proposto dalla Conferenza stessa e validato dal Garante»;

- «Come […] già esplicitato nella precedente nota indirizzata al Garante, si segnala che nei provvedimenti del XX citati nell'interrogazione e pubblicati sul sito istituzionale del XX stesso sono stati omessi i dati relativi alle indennità corrisposte, mentre i dati personali - ossia i nominativi degli interessati - sono tuttavia presenti, quindi il dato personale che [i reclamanti] presumono violato risulta già pubblico. Del resto, come [gli stessi istanti] riconoscono nel reclamo a commento dell'articolo di stampa pubblicato su una testata on-line locale, anche omettendo i nominativi nel testo dell'interrogazione essi sarebbero stati facilmente evincibili, in considerazione sia del ristretto numero di dipendenti del XX che delle mansioni assegnate al personale»;

- «Con riferimento, invece, al documento adottato dal Garante n. 243 del 15 maggio 2014 "Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati", richiamato nella nota di codesta Autorità del XX, il Consiglio regionale ha ritenuto […] che non trovasse riscontro applicativo nel caso in oggetto in quanto documento finalizzato ad indicare apposite cautele da adottare in relazione alla pubblicazione sui siti web di dati personali in attuazione degli obblighi derivanti dal d.lgs. 33/2013. Invero, nessuna disposizione di tale provvedimento legislativo interviene in materia di pubblicità, trasparenza, limitazioni in ordine all'attività politica e, in particolare, all'attività di sindacato ispettivo dei Consiglieri»;

- «il Consiglio regionale, a mero titolo prudenziale, in data XX, ha provveduto a rimuovere dal sito istituzionale del Consiglio regionale l'interrogazione con risposta scritta di cui è caso»;

- «per il suddetto atto il Consiglio regionale non ha proceduto ad alcuna discussione in merito in quanto, trattandosi di una interrogazione con risposta scritta, il Presidente dell'Assemblea si è limitato a comunicare all'Aula l'avvenuta trasmissione della risposta alla Consigliera XX, senza discussione alcuna. Inoltre, il testo dell'interrogazione, non essendo presente nell'indice di Google, non è mai stato oggetto di indicizzazione dal motore di ricerca e quindi la reperibilità dello stesso è sempre stata solo possibile attraverso una ricerca mirata sul sito istituzionale del Consiglio regionale. Non si ravvede, quindi, sussistere il pregiudizio lamentato dalle reclamanti»;

- «Alla luce di tutto quanto sopra riportato, è evidente che la pubblicazione dell'interrogazione in oggetto non è stata effettuata per recare pregiudizio alle reclamanti o per perseguire un interesse personale, bensì al solo scopo di soddisfare l'interesse pubblico alla conoscibilità dell'atto di sindacato ispettivo in questione - volto a verificare la correttezza dell'uso dei fondi pubblici - e assicurare il rispetto dei principi generali di trasparenza che sottendono l'attività di un'Assemblea legislativa».

5. Valutazioni del Garante

Oggetto dello specifico caso sottoposto all’attenzione del Garante è la diffusione di dati personali – non appartenenti a categorie particolari né a condanne penali o reati (artt. 9 e 10, del RGPD) – dei reclamanti e di informazioni di dettaglio inerenti a compensi e indennità da essi ricevuti dal XX di cui sono dipendenti, contenuti un’interrogazione consiliare regionale a risposta scritta, pubblicata sul sito web istituzionale.

Al riguardo, in base al complesso delle disposizioni statutarie e regolamentari prima richiamate (cfr. supra par. 2), si ritiene – come già evidenziato nella nota dell’Ufficio prot. n. XX del XX – che la normativa di settore preveda per le interrogazioni consiliari della Regione Valle d’Aosta uno specifico regime di pubblicità (artt. 45, comma 1; 94, commi 1 e 2, art. 96 del Regolamento interno per il funzionamento del Consiglio regionale. Cfr. anche artt. 19 e 22, comma 1, l. cost. n. 4/1948 «Statuto speciale per la Valle d’Aosta»).

Sotto tale profilo, si concorda con quanto rappresentato dal Consiglio regionale, laddove è stato evidenziato che gli «strumenti di sindacato ispettivo sono coperti dalla garanzia dell'insindacabilità» e che «La pubblicazione dell'atto, quale strumento di comunicazione on line, strumentale all'attuazione del principio di pubblicità degli atti assembleari, è conseguenza del principio di pubblicità delle sedute consiliari» e ciò può comportare che il «diritto all'identità o alla riservatezza delle persone che si trovano spesso citate nei testi delle interrogazioni e delle interpellanze v[enga] ritenuto cedevole rispetto al più generale interesse a che determinati fatti vengano portati all'attenzione dell'opinione pubblica». D’altronde, come giustamente osservato, il Codice, ha previsto il «riconoscimento delle funzioni di controllo, di indirizzo politico e di sindacato ispettivo tra le attività di rilevante interesse pubblico per il cui perseguimento è consentito il trattamento di categorie particolari di dati personali» (cfr. 2-sexies, comma 2, lett. h).

Tuttavia, la ricostruzione del Consiglio regionale, pur offrendo delle corrette osservazioni di carattere generale, appare in ogni caso incompleta. Ciò in quanto non tiene conto del necessario rispetto delle regole e dei principi in materia di protezione dei dati personali di provenienza europea – che si applicano anche ai dati personali non rientranti nelle categorie particolari di cui agli artt. 9 e 10 del RGPD (cc.dd. “dati comuni”) – come, fra gli altri, quello di «minimizzazione», in base al quale i dati personali – anche nel caso in cui siano contenuti in atti o documenti la cui diffusione online sia prevista da una specifica base normativa – devono essere non solo «adeguati» e «pertinenti», ma anche «limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. c, RGPD). Alla luce di tale principio, non è possibile accordare nel caso in esame alcun automatismo rispetto alla diffusione online di dati e informazioni personali, anche se non appartenenti a categorie particolari oppure a condanne penali o reati (artt. 9 e 10, del RGPD).

Quanto riportato è d’altronde confermato dal sistema di protezione dei dati personali contenuto nel RGPD, alla luce del quale è previsto che il titolare del trattamento non solo debba mettere «in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento» («privacy by default»), ma debba essere anche «in grado di dimostrare» – alla luce del principio di «responsabilizzazione» («accountability») – di averlo fatto (artt. 5, par. 2; 24 e 25, par. 2, RGPD).

Dagli atti risulta che lo stesso Consiglio regionale era consapevole della necessità – sebbene sottovalutando i rischi per i dati comuni – di dover adottare specifiche cautele per la diffusione dei dati personali online, come risulta da quanto dichiarato nel primo riscontro (nota prot. n. XX del XX) alla richiesta d’informazioni dell’Ufficio laddove è stato rappresentato che «a fronte di una sempre maggiore attenzione alla tutela dell’identità della persona, anche alla luce del Regolamento UE sulla protezione dei dati, attraverso il supporto, in via preventiva, della struttura consiliare competente, sono suggeriti opportuni accorgimenti in fase di formulazione degli atti di sindacato ispettivo che contengono dati particolari o giudiziari di terzi, al fine del rispetto dei principi di proporzionalità e di minimizzazione dei dati, soprattutto in relazione al sistema di pubblicità e quindi della diffusione sulla rete internet degli atti stessi».

Rispetto al quadro normativo descritto, non è possibile richiamare, come fatto dal Consiglio regionale, le soluzioni adottate «dalla Camera dei Deputati in ordine alla definizione di alcune procedure di garanzia per i soggetti citati nei documenti parlamentari», in quanto i trattamenti di dati personali effettuati dalla Camera dei Deputati e dal Senato della Repubblica sono disciplinati dagli stessi in conformità ai rispettivi ordinamenti, ai sensi della disciplina speciale contenuta nell’art. 2-novies del Codice, in ragione della sfera di autonomia riservata alle Camere dalla Costituzione (art. 64 Cost.), che non è però applicabile ai Consigli regionali.

Tali considerazioni, inoltre, sono del tutto in linea con quanto evidenziato anche «nel report relativo [all’]incontro [del XX con i rappresentanti del Garante]» – richiamato nelle memorie difensive – promosso dalla Conferenza dei Presidenti delle Assemblee legislative delle Regioni e delle Provincie autonome. In tale sede, le indicazioni fornite non sono state affatto limitate a un mero «invit[o] a non modificare le procedure e le prassi già in uso», ma hanno riguardato anche le questioni relative alla «pubblicità dei lavori consiliari (in particolare atti di sindacato ispettivo e audizioni) vs. protezione dei dati personali – pubblicazione di dati personali sui bollettini ufficiali delle Regioni in formato elettronico» rispetto alle quali è stato richiamato il quadro giuridico di riferimento relativo al trattamento di dati appartenenti a categorie particolari e a condanne penali o reati, nonché la necessità che le «Assemblee [legislative] defini[scano] modalità appropriate per ottenere il contemperamento tra informazione e privacy», anche con «la redazione di un codice di condotta ai sensi dell’art. 40 del RGPD». È stata indicata altresì la necessità di «effettua[re] un controllo ex post sui verbali e sui resoconti, permettendo un oscuramento del dato sensibile», nonché «Con riguardo alla diffusione di dati personali contenuti in provvedimenti amministrativi, pubblicati sui portali istituzionali e sui bollettini regionali, [di applicare i] principi della privacy by default e by design [, dato che] la logica da utilizzare deve essere, il più possibile quella preventiva, che opera ex ante, piuttosto che una logica di correzione, anche perché in tal modo è più difficile fare errori».

Il quadro decritto è del resto coerente anche con quanto affermato dal Garante fin dal 2014 con Linee guida prima richiamate (par. 2), laddove è stato indicato alle pp.aa. che – anche nel caso in cui esista un obbligo di pubblicare un atto o documento nel sito web istituzionale, come nel caso in esame – è in ogni caso necessario «selezionare i dati personali da inserire in tali atti e documenti, verificando, caso per caso, se ricorrono i presupposti per l’oscuramento di determinate informazioni» laddove non risultino necessarie per il raggiungimento delle finalità del trattamento (cfr. ora il principio di “minimizzazione” dei dati di cui art. 5, par. 1, lett. c, del RGPD, che ha sostituito i principi di pertinenza e non eccedenza, nonché di necessità, di cui agli artt. 3, 11, comma 1, lett. d, del Codice previgente; 6, par. 1, lett. c, della Direttiva 95/46/CE abrogata dal RGPD).

Sotto tale profilo, non è accoglibile quanto rappresentato dal Consiglio regionale, secondo il quale le citate Linee guida si applicano solo in relazione «alla pubblicazione sui siti web di dati personali in attuazione degli obblighi derivanti dal d.lgs. 33/2013», poiché, come è evidente sia nel contenuto che nel titolo del provvedimento del Garante, le stesse si applicano a tutti gli obblighi di pubblicazione online (sia per finalità di trasparenza che per altre «finalità di pubblicità»). D’altronde, agli obblighi previsti dal predetto d. lgs. n. 33/2013 è dedicata solo la prima parte delle Linee guida, mentre tutta la seconda parte è riservata alle altre ipotesi di pubblicazione online.

Quanto, infine, alla circostanza, evidenziata nelle memorie difensive, che i dati personali – quali i nominativi degli interessati – erano presenti in provvedimenti del XX pubblicati online con omissione delle informazioni relative alle indennità corrisposte, non si comprende come tale elemento possa essere utile per valutare se il relativo trattamento da parte del Consiglio regionale era effettivamente necessario per l’esercizio delle funzioni istituzionali dell’ente e se i dati personali erano effettivamente «limitati a quanto necessario rispetto alle finalità per le quali sono [stati] trattati» (artt. 5, par. 1, lett, c; 6, par. 1, lett. e, RGPD).

Tutto ciò considerato, dagli atti dell’istruttoria è emerso che il Consiglio regionale non ha effettuato alcuna valutazione in ordine al rispetto del principio minimizzazione dei dati, soprattutto alla luce della richiesta delle reclamanti (inviata al Consiglio regionale e al Responsabile per la protezione dei dati) di rimozione dei propri dati personali pubblicati online.

Tale tipo di valutazione andava effettuata in relazione alla finalità del trattamento e alla circostanza, che nel caso di specie appare dirimente, riportata nella risposta scritta del Presidente della Regione all’interrogazione consiliare presentata – su cui non c’è stata alcuna discussione assembleare – relativa all’incompetenza dell’ente regionale rispetto alle questioni sollevate. In tale risposta scritta è, infatti, chiaramente rappresentato che «la Regione non esercita un controllo di merito sull’uso corretto delle risorse. Infatti in capo al Consorzio non sussiste alcun obbligo di rendicontazione, né alla Regione è assegnato l’onere di approvare i documenti contabili. I fondi assegnati sono nella disponibilità del XX che ha autonomia decisionale in merito, salvo il controllo esercitato dagli enti che vi partecipano» (cfr. nota del Presidente della Regione prot. n. XX del XX, trasmessa al consigliere con nota prot. n. XX del XX).

Alla luce quindi della citata risposta scritta del Presidente della Regione, inviata al consigliere proponente, il Consiglio regionale avrebbe dovuto ritenere che, per l’esercizio delle proprie funzioni istituzionali, la diffusione dei dati personali dei reclamanti non era necessaria alla luce del principio di minimizzazione dei dati, considerando proprio l’incompetenza della Regione sulle questioni prospettate nell’interrogazione consiliare. Pertanto, la domanda di rimozione dei dati personali pubblicati online, presentata dai reclamanti al Consiglio regionale, doveva essere tempestivamente riscontrata, provvedendo a un semplice oscuramento dei dati personali dei soggetti interessati, contenuti negli atti pubblicati online (quali il nominativo, l’incarico e la data di assunzione), salvaguardando in tal modo anche il principio di pubblicità degli atti di sindacato ispettivo. Ciò avrebbe evitato l’invio del reclamo al Garante con la conseguente apertura di una specifica istruttoria che ha portato al presente procedimento.

6. Esito dell’istruttoria relativa al reclamo presentato

Per tutto quanto sopra descritto, le circostanze evidenziate negli scritti difensivi esaminate nel loro complesso, sicuramente meritevoli di considerazione ai fini della valutazione della condotta, non risultano sufficienti a consentire l’archiviazione del presente procedimento ai sensi dell’art. 11 del Regolamento del Garante n. 1/2019.

In tale quadro, si confermano quindi i rilievi notificati dall’Ufficio con la nota prot. n. XX del XX e si rileva la non conformità del trattamento di dati personali, oggetto del reclamo, alla disciplina rilevante in materia di protezione dei dati personali, in quanto – fermo restando il regime di pubblicità degli atti assembleari e di sindacato ispettivo regionale – il Consiglio Regionale della Valle d’Aosta, a seguito di specifica richiesta dei reclamanti, non ha provveduto a effettuare una valutazione, e a dare una corretta applicazione, del principio di minimizzazione dei dati. Ciò ha quindi comportato una diffusione online dei dati personali dei reclamanti non «limitati a quanto necessario rispetto alle finalità per le quali sono trattati», in violazione dell’art. 5, par. 1, lett. c), del RGPD.

Considerato, tuttavia, che la condotta ha esaurito i suoi effetti, in quanto il titolare del trattamento ha dichiarato di aver provveduto a rimuovere i dati personali oggetto del reclamo, fermo restando quanto si dirà sull’applicazione della sanzione amministrativa pecuniaria, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del RGPD.

7. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria (artt. 58, par. 2, lett. i; 83 RGPD)

Il Consiglio Regionale della Valle d’Aosta risulta aver violato l’art. 5, par. 1, lett. c), del RGPD.

Per la violazione della predetta disposizione è prevista l’applicazione della sanzione amministrativa di cui all’art. 83, par. 5, del RGPD.

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD, nonché dell’art. 166 del Codice, ha il potere correttivo di «infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso». In tale quadro, «il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice» (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del RGPD.

In tal senso, la rilevata condotta, tenuta in violazione della disciplina in materia di protezione dei dati personali, ha avuto a oggetto la diffusione di dati personali, per circa un anno e mezzo, non appartenenti a categorie particolari né a condanne penali o reati (artt. 9 e 10, del RGPD), riferiti a cinque soggetti interessati (reclamanti e non). La condotta ha natura colposa. Va considerato, come ulteriore elemento attenuante, il contesto in cui è avvenuto il trattamento, il principio di pubblicità degli atti e delle interrogazioni consiliari della Regione a statuto speciale Valle d’Aosta, l’incertezza del quadro normativo, derivante dalla coesistenza di numerose fonti normative non solo europee, ma anche statali e regionali. In ogni caso, a seguito della richiesta d’informazioni dell’Ufficio il titolare del trattamento è intervenuto tempestivamente, collaborando con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alla violazione attenuandone i possibili effetti negativi. Non risultano eventuali precedenti violazioni del RGPD pertinenti commesse dalla citata amministrazione.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, parr. 2 e 3, del RGPD l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, del RGPD, nella misura di euro € 1.000,00 (mille) per la violazione dell’art. 5, par. 1, lett. c), del RGPD, quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo RGPD.

In relazione alle specifiche circostanze del presente caso, relative alla diffusione di dati personali online in violazione del principio di minimizzazione dei dati (art. 5, par. 1, lett. c, RGPD), si ritiene altresì che debba essere applicata la sanzione accessoria della pubblicazione del presente provvedimento sul sito Internet del Garante, prevista dall’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità del trattamento effettuato dal Consiglio Regionale della Valle d’Aosta nei termini indicati in motivazione ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD

ORDINA

al Consiglio Regionale della Valle d’Aosta, in persona del legale rappresentante pro-tempore, con sede legale in Piazza Deffeyes, 1 - 11100 Aosta (AO) – C.F. 91000930072 di pagare la somma di euro € 1.000,00 (mille) a titolo di sanzione amministrativa pecuniaria per le violazioni di cui in motivazione;

INGIUNGE

al medesimo Consiglio Regionale di pagare la somma di euro € 1.000,00 (mille), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.

Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1/9/2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice).

DISPONE

- la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019;

- l'annotazione nel registro interno dell'Autorità delle violazioni e delle misure adottate ai sensi dell'art. 58, par. 2, del RGPD con il presente provvedimento, come previsto dall’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Fonte > Garante