1) Ordinanza ingiunzione nei confronti di Comune di Buccino – 7 novembre 2018
Registro dei provvedimenti
n. 479 del 7 novembre 2018
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;
RILEVATO che l’Ufficio del Garante per la protezione dei dati personali (si seguito Garante), con la nota n. 15656 del 23 maggio 2018, ha definito il procedimento amministrativo relativo a una segnalazione, accertando che il Comune di Buccino C. Fisc.: 82003670658, con sede in Buccino (Sa), piazza Municipio n. 1, in persona del legale rappresentante pro-tempore, ha diffuso on line dati personali sul sito web istituzionale http://www.comune.buccino.sa.it mediante la pubblicazione della nota n. 3645 del 23 maggio 2016, contenente “l’elenco non residenti a Buccino – Cancellazione liste elettorali” , in assenza di un idoneo presupposto normativo in violazione dell’art. 19, comma 3 del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196 – nel seguito, “Codice”). Ciò, anche tenendo conto di quanto acquisito in atti nell’ambito dell’istruttoria e formalizzato nella nota n. 15656 del 23 maggio 2018 dal Dipartimento libertà pubblica e sanità del Garante circa il fatto che “(…) la normativa statale in materia di trasparenza (d. lgs. n. 33 del 24/3/2013) non prevede l ‘obbligo di pubblicazioni dei dati personali oggetto della segnalazione (…) “;
VISTO il verbale n. 20683/103633 del 10 luglio 2018 con cui è stata contestata dall’Ufficio del Garante al Comune di Buccino, in persona del legale rappresentante pro-tempore la violazione amministrativa prevista dall’art. 162, comma 2-bis, del Codice, in relazione all’art. 19, comma 3, informandola della facoltà di effettuare il pagamento in misura ridotta ai sensi dell’art. 16 della legge n. 689/1981;
ESAMINATO il rapporto dell’Ufficio del Garante predisposto ai sensi dell’art. 17 della legge 24 novembre 1981, n. 689, dal quale non risulta essere stato effettuato il pagamento in misura ridotta;
CONSIDERATO che la parte non risulta essersi avvalsa delle facoltà previste dall’art. 18 della legge n. 689/1981 (non presentando all’Autorità scritti difensivi né chiedendo di essere ascoltata);
RILEVATO, pertanto, che il Comune di Buccino, ha diffuso on line dati personali sul sito web istituzionale http://www.comune.buccino.sa.it mediante la pubblicazione della nota n. 3645 del 23 maggio 2018, contenente “l’elenco non residenti a Buccino – Cancellazione liste elettorali” , in assenza di un idoneo presupposto normativo in violazione dell’art. 19, comma 3 del Codice;
VISTO l’art. 162, comma 2-bis, del Codice, che punisce la violazione delle disposizioni indicate nell’art. 167 del Codice, tra le quali quelle di cui all’artt. 19, comma 3, del medesimo Codice, con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;
RITENUTO che, nel caso in esame, ricorrano le condizioni per applicare l’art. 164-bis, comma 1, del Codice il quale prevede che se taluna delle violazioni di cui agli art. 161, 162-ter, 163 e 164 è di minore gravità, i limiti minimi e massimi stabiliti negli stessi articoli sono applicati in misura pari a due quinti;
CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge 24 novembre 1981 n. 689, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;
RITENUTO di dover determinare, ai sensi dell’art. 11 della legge n. 689/1981, l’ammontare della sanzione pecuniaria per la violazione dell’art. 162, comma 2-bis del Codice in combinato disposto con l’art. 164-bis, comma 1, nella misura di euro 4.000,00 (quattromila);
VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni; VISTA la documentazione in atti;
VISTE le osservazioni dell’Ufficio, formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE la della prof.ssa Licia Califano;
ORDINA
al Comune di Buccino C. Fisc.: 82003670658, con sede in Buccino (Sa), piazza Municipio n. 1, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 4.000,00 (quattromila) a titolo di sanzione amministrativa pecuniaria per la violazione dell’art. 162, comma 2-bis, indicata in motivazione;
INGIUNGE
al medesimo soggetto di pagare la somma di euro 4.000,00 (quattromila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689.Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.
Roma, 7 novembre 2018
IL PRESIDENTE
Soro
IL RELATORE
Califano
IL SEGRETARIO GENERALE
Busia
2) Ordinanza ingiunzione nei confronti di Comune di Castel Maggiore – 7 novembre 2018
Registro dei provvedimenti
n. 480 del 7 novembre 2018
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;
VISTO l’art. 1, comma 2, della legge 24 novembre 1981, n. 689, ai sensi del quale le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e per i tempi in esse considerati;
RILEVATO che l’Ufficio del Garante, con atto n. 17786/114844 del 12 giugno 2018 (notificato in pari data mediante posta elettronica certificata), che qui deve intendersi integralmente riportato, ha contestato il Comune di Castel Maggiore, con sede legale in Castel Maggiore (BO), via Matteotti n. 10, C.F. 00524081205, la violazione prevista dagli artt. 19, comma 3, 162, comma 2-bis, e 167 del Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196, di seguito denominato “Codice”, nella formulazione antecedente alle modifiche introdotte dal d. lg. n. 4 settembre 2018, n. 101 in vigore dal 19 settembre 2018);
RILEVATO che dall’esame degli atti del procedimento sanzionatorio avviato con la contestazione di violazione amministrativa è emerso, in sintesi, quanto segue:
– il Garante ha adottato un provvedimento, n. 292 del 16 maggio 2018, nei confronti del Comune di Castel Maggiore, che qui si intende integralmente richiamato;
– nel provvedimento si rappresenta che, a seguito di una segnalazione, è stato accertato che il Comune ha pubblicato sul proprio sito web istituzionale la Determinazione del Settore Ufficio del Segretario Generale n. 1 del 18 maggio 2015, avente ad oggetto “obbligo di astensione del Responsabile del Settore Gestione del Territorio per parziale conflitto di interessi”;
– la Determinazione stabiliva, su richiesta dello stesso Responsabile pro-tempore del Settore Gestione del Territorio, l’obbligo del medesimo di astenersi dalla valutazione di una dipendente, per potenziale conflitto di interessi poiché propria consorte;
– la Determinazione, che riportava in chiaro i dati identificativi del Responsabile del settore e della dipendente oltre che informazioni sull’esistenza di un rapporto di lavoro presso l’ente e di un potenziale conflitto di interessi nell’anno 2014, era accessibile sia dall’area dedicata all’Albo Pretorio, alla sezione denominata “Accesso agli atti amministrativi”, che dall’area “Amministrazione trasparente”, alla sezione “Provvedimenti” “Determine dirigenziali”. L’atto risultava pubblicato da circa tre anni e, quindi, per un periodo superiore ai quindici giorni previsti dalla normativa di settore (art. 124, comma 1, d. lg. n. 267/2000);
– sulla scorta di quanto accertato con il richiamato provvedimento, l’Ufficio ha contestato al Comune, quale titolare del trattamento, la violazione di cui agli artt. 19 e 162, comma 2-bis, del Codice, per aver effettuato una diffusione di dati personali in assenza di un idoneo presupposto normativo ai sensi dell’art. 19, comma 3, del Codice;
RILEVATO che con il citato atto del 12 giugno 2018 è stata contestata al Comune la sopra richiamata violazione;
PRESO ATTO che il Comune non ha provveduto al pagamento in misura ridotta, come evidenziato dal rapporto redatto ai sensi dell’art. 17 della legge n. 689/1981;
LETTI gli scritti difensivi del 12 luglio 2018, nei quali si rappresenta che:
– la determina del Comune di Castel Maggiore del 18 maggio 2015 soggiace agli obblighi di pubblicazione previsti dall’art. 12 del d. lg. 33/2013, che impone la pubblicazione di qualsiasi atto adottato dall’ente pubblico, che dispone in generale sull’organizzazione, sui procedimenti, ivi comprese le misure integrative di prevenzione alla corruzione di cui all’art. 1, comma 2-bis della legge 190/2012;
– la pubblicazione di atti relativi a situazioni di conflitti di interesse rientra nel novero delle misure di prevenzione anti-corruzione e al riguardo devono evidenziarsi i contenuti del Piano nazionale anticorruzione (richiamato dalla citata legge n. 190/2012) nelle parti in cui si stabilisce che la trasparenza è uno degli assi portanti della politica anticorruzione ed è fondata su obblighi di pubblicazione previsti dalla legge ma anche su ulteriori misure di trasparenza, individuate da ciascun ente in ragione delle proprie caratteristiche funzionali;
– il piano anticorruzione adottato dall’Anac, aggiornato in base alla determinazione n. 12/2015, indica che le misure di prevenzione debbano avere un carattere organizzativo e consentano di adottare interventi volti a interessare anche singoli processi/procedimenti tesi a ridurre le condizioni operative che favoriscono la corruzione, misure che riguardano l’imparzialità oggettiva e soggettiva del funzionario;
– in questo senso, deve considerarsi che la pubblicazione della determina oggetto di contestazione risponde ad una duplice ratio con riferimento al rispetto della trasparenza intesa come accessibilità totale e partecipazione all’attività dell’ente, nonché alla prevenzione di fenomeni corruttivi nella pubblica amministrazione;
– la pubblicazione è comunque anche consentita dall’art. 7-bis del d. lg. n. 33/2013, laddove si prevede che le amministrazioni possano disporre la pubblicazione nel proprio sito istituzionale, per la durata di anni cinque, di informazioni e documenti che le stesse non hanno l’obbligo di pubblicare in base a quanto previsto dal decreto o da altre disposizioni di legge o regolamento;
– sotto questo profilo il Piano territoriale anticorruzione del Comune di Castel Maggiore prevede la pubblicazione sul proprio sito istituzionale di direttive, circolari, programmi, istruzioni e ogni atto che dispone in generale sulla organizzazione, sulle funzioni, sugli obiettivi e sui procedimenti e prevede altresì che i responsabili dei settori possano pubblicare ulteriori dati e informazioni che ritengono necessari per assicurare la migliore trasparenza sostanziale dell’azione amministrativa;
– sussistono pertanto, per la diffusione dei dati dei soggetti citati nella determina in argomento, le condizioni richieste dall’art. 19, comma 3, del Codice, ossia l’esistenza di una norma di legge (art. 12 o art. 7-bis del d. lg. n. 33/2013) che consente tale diffusione per un periodo superiore ai 15 giorni indicato nell’art. 124 del d. lg. n. 267/2000;
RITENUTO che le argomentazioni addotte dal Comune non sono idonee a determinare l’archiviazione del procedimento sanzionatorio avviato con la contestazione di violazione amministrativa per le seguenti ragioni:
– sulla base della prima argomentazione difensiva, l’obbligo di pubblicazione della determina oggetto di contestazione risiederebbe nell’art. 12 del d. lg. n. 33/2013, laddove dispone che sia pubblicato “ogni atto, previsto dalla legge o comunque adottato, che dispone in generale sulla organizzazione, sulle funzioni, sugli obiettivi, sui procedimenti ovvero nei quali si determina l’interpretazione di norme giuridiche che le riguardano o si dettano disposizioni per l’applicazione di esse, ivi compresi i codici di condotta, le misure integrative di prevenzione della corruzione individuate ai sensi dell’articolo 1, comma 2-bis, della legge n. 190 del 2012, i documenti di programmazione strategico-gestionale e gli atti degli organismi indipendenti di valutazione”;
– l’art. 1, comma 2-bis, della legge n. 190/2012 chiarisce che le misure integrative di prevenzione della corruzione sono individuate nel piano nazionale anticorruzione, atto di indirizzo per tutte le amministrazioni pubbliche, adottato con cadenza triennale e aggiornamento annuale, dall’Autorità nazione anticorruzione (ANAC);
– nella ricognizione effettuata dalla difesa delle indicazioni contenute nel Piano nazionale anticorruzione e nei relativi aggiornamenti non si ravvedono riferimenti a disposizioni di legge che siano idonee a soddisfare il requisito previsto dall’art. 19, comma 3, del Codice e che, pertanto, consentano, direttamente e specificamente, la diffusione, da parte di soggetti pubblici, di dati personali di dipendenti raggiunti da un provvedimento che dispone la loro astensione dalla trattazione di determinati procedimenti;
– alla considerazione circa la liceità della predetta diffusione la difesa perviene, infatti, solo attraverso ricostruzioni interpretative di diverse disposizioni, non soltanto di rango primario, in base alle quali sarebbe consentita alle pubbliche amministrazioni, in ragione di generiche esigenze di trasparenza e prevenzione dalla corruzione, una ampia e indiscriminata possibilità di diffusione dei dati personali contenuti nella generalità degli atti dalle stesse adottate;
– al contrario, sulla base di quanto evidenziato nelle “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati”, adottate dal Garante il 15 maggio 2014, la diffusione dei dati personali da parte di soggetti pubblici viene vincolata a stringenti condizioni ed “è ammessa unicamente quando la stessa è prevista da una specifica norma di legge o di regolamento […]. Pertanto, in relazione all´operazione di diffusione, occorre che le pubbliche amministrazioni, prima di mettere a disposizione sui propri siti web istituzionali informazioni, atti e documenti amministrativi (in forma integrale o per estratto, ivi compresi gli allegati) contenenti dati personali, verifichino che la normativa in materia di trasparenza preveda tale obbligo […]”. Peraltro “laddove l´amministrazione riscontri l´esistenza di un obbligo normativo che impone la pubblicazione dell´atto o del documento nel proprio sito web istituzionale è necessario selezionare i dati personali da inserire in tali atti e documenti, verificando, caso per caso, se ricorrono i presupposti per l´oscuramento di determinate informazioni. I soggetti pubblici, infatti, in conformità ai principi di protezione dei dati, sono tenuti a ridurre al minimo l´utilizzazione di dati personali e di dati identificativi ed evitare il relativo trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante dati anonimi o altre modalità che permettano di identificare l´interessato solo in caso di necessità […]. Pertanto, anche in presenza degli obblighi di pubblicazione di atti o documenti contenuti nel d. lgs. n. 33/2013, i soggetti chiamati a darvi attuazione non possono comunque “rendere […] intelligibili i dati personali non pertinenti o, se sensibili o giudiziari, non indispensabili rispetto alle specifiche finalità di trasparenza della pubblicazione”[…];
– il tema dell’obbligo di astensione del dipendente pubblico in caso di conflitto di interessi trova specifica disciplina nell’art. 6-bis della legge n. 241/1990 (introdotto dall’art. 1, comma 41, della legge n. 190/2012) e nell’art. 7 del d.P.R. n. 62/2013 recante il “Codice di comportamento dei dipendenti pubblici”, disposizioni che nulla prevedono in ordine alla pubblicazione di eventuali determinazioni al riguardo assunte da parte delle pubbliche amministrazioni;
– tali determinazioni, peraltro, in base allo schema delineato dalle sopra richiamate norme, interverrebbero soltanto a seguito di segnalazione da parte del dipendente su cui grava l’obbligo di astensione, come risulta sia avvenuto anche nel caso in argomento, per cui, in un’ottica di puntuale e corretto adempimento delle predette norme, alcuna misura integrativa di prevenzione alla corruzione pare rendersi necessaria;
– in buona sostanza, la determina che dispone l’astensione di un dipendente pubblico rispetto alla trattazione di un determinato procedimento, sulla base della segnalazione del medesimo dipendente, non può connotarsi, di per sé, come una misura organizzativa adottata dall’amministrazione al fine di prevenire eventuali episodi corruttivi, ma come l’ordinaria definizione e presa d’atto di un processo innestato proprio su impulso del dipendente in adempimento di specifici obblighi di legge;
– nei confronti di tale atto, pertanto, non incombe alcun obbligo di pubblicazione per periodi di tempo ulteriori rispetto a quelli stabiliti dall’art. 124 del d. lg. n. 267/2000 in materia di albo pretorio on line;
– quanto al secondo profilo difensivo, concernente la facoltà dell’ente di procedere comunque alla pubblicazione della determina in argomento in base a quanto previsto dall’art. 7-bis del d. lg. n. 33/2013, deve evidenziarsi che tale norma, al comma 3, consente agli enti “la pubblicazione nel proprio sito istituzionale di dati, informazioni e documenti che non hanno l’obbligo di pubblicare ai sensi del presente decreto o sulla base di specifica previsione di legge o regolamento […] procedendo alla indicazione in forma anonima dei dati personali eventualmente presenti”;
– la disposizione non consente margini di discrezionalità da parte dell’amministrazione che intende procedere alla pubblicazione, cosicché appare inconferente l’assunto difensivo in base al quale, nel caso della determina pubblicata dal comune di Castel Maggiore, “non sarebbe stato possibile procedere ad anonimizzare o minimizzare il trattamento dei dati personali dei due interessati” poiché “i predetti dati costituiscono l’essenza dell’informazione stessa”: tale considerazione dovrebbe essere astrattamente valida per ogni atto idoneo ad incidere sulla sfera individuale di un interessato, snaturando l’obbligo di anonimizzazione contenuto nella norma;
– per tali ragioni, deve confermarsi la responsabilità del Comune in ordine alla violazione contestata;
RILEVATO, quindi, che il Comune di Castel Maggiore, sulla base degli atti e delle considerazioni di cui sopra, risulta aver commesso, in qualità di titolare del trattamento, ai sensi degli artt. 4, comma 1, lett. f), e 28 del Codice (nella formulazione vigente all’epoca dei fatti), la violazione indicata nell’atto di contestazione n. 19270/121919 del 26 giugno 2018;
VISTO l’art. 162, comma 2-bis, del Codice (nella formulazione vigente all’epoca dei fatti) che punisce le violazioni delle disposizioni indicate nell’art. 167 del Codice, fra le quali figura anche l’art. 19, con la sanzione amministrativa del pagamento di una somma da euro 10.000 ad euro 120.000;
CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge n. 689/1981, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;
CONSIDERATO che, nel caso in esame:
a. in ordine all’aspetto della gravità, con riferimento agli elementi dell’entità del pregiudizio o del pericolo e dell’intensità dell’elemento psicologico, le violazioni non risultano connotate da profili di gravità;
b. ai fini della valutazione dell’opera svolta dall’agente, deve rilevarsi il Comune ha provveduto alla rimozione della determinazione oggetto di contestazione;
c. circa la personalità dell’autore della violazione, deve essere considerata la circostanza che il Comune non risulta gravato da precedenti procedimenti sanzionatori definiti in via breve o a seguito di ordinanza ingiunzione;
RITENUTO che, nel caso in esame, ricorrano le condizioni per applicare l’art. 164-bis, comma 1, del Codice il quale prevede che se taluna delle violazioni di cui agli art. 161, 162-ter, 163 e 164 è di minore gravità, i limiti minimi e massimi stabiliti negli stessi articoli sono applicati in misura pari a due quinti;
RITENUTO, quindi, di dover determinare, ai sensi dell’art. 11 della L. n. 689/1981, l’ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura di euro 10.000 (diecimila) per la violazione di cui all’art. 162, comma 2-bis, del Codice e che, nel caso in argomento, può essere applicata la diminuente di cui all’art. 164-bis, comma 1, in ragione della lieve entità della violazione, costituita dalla pubblicazione della sola determina oggetto di contestazione;
VISTA la documentazione in atti;
VISTA la legge n. 689/1981, e successive modificazioni e integrazioni;
VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;
RELATORE la dott.ssa Giovanna Bianchi Clerici;
ORDINA
al Comune di Castel Maggiore, con sede legale in Castel Maggiore (BO), via Matteotti n. 10, C.F. 00524081205, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 4.000 (quattromila) a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione;
INGIUNGE
al predetto Ente di pagare la somma di euro 4.000 (quattromila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689.
Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.
Roma, 7 novembre 2018
IL PRESIDENTE
Soro
IL RELATORE
Bianchi Clerici
IL SEGRETARIO GENERALE
Busia
Fonte:
1) https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9074879
2) https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9074891
