Comune di Thiene pubblica numero di matricola di dipendente licenziato: sanzione di 3.000,00 Euro

Rispondi
Giancarlo Favero
Messaggi: 226
Iscritto il: dom gen 24, 2021 6:45 am

Comune di Thiene pubblica numero di matricola di dipendente licenziato: sanzione di 3.000,00 Euro

Messaggio da Giancarlo Favero »

Come molto spesso accade, anche in questo caso si tratta di diffusione di dati personali senza una adeguata base giuridica. Questa volta a farne le spese è stato il Comune di Thiene.
L’Autorità garante per le protezione dei dati personali ha ricevuto un reclamo con il quale è stata lamentata la pubblicazione, nell’Albo Pretorio online del Comune di Thiene (di seguito, il “Comune”), della determinazione n.742 del 16 ottobre 2019, avente ad oggetto “dipendente matr. […] - presa d’atto cessazione dal servizio per licenziamento”, contenente l’informazione del licenziamento del reclamante, identificato con il proprio numero di matricola, a seguito di procedimento disciplinare, nonché un comunicato stampa, relativo alla vicenda.
Un numero di matricola può senz'altro permettere di risalire all'identità della persona, per cui è da considerarsi a tutti gli effetti un dato personale.

Di seguito trovate il testo integrale del provvedimento, consultabile anche al seguente link:

https://www.garanteprivacy.it/web/guest ... eb/9815665

Grazie e buona lettura,

Giancarlo Favero

Ordinanza ingiunzione nei confronti di Comune di Thiene - 15 settembre 2022

Registro dei provvedimenti
n. 299 del 15 settembre 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Introduzione.

L’Autorità ha ricevuto un reclamo con il quale è stata lamentata la pubblicazione, nell’Albo Pretorio online del Comune di Thiene (di seguito, il “Comune”), della determinazione n.742 del 16 ottobre 2019, avente ad oggetto “dipendente matr. […] - presa d’atto cessazione dal servizio per licenziamento”, contenente l’informazione del licenziamento del reclamante, identificato con il proprio numero di matricola, a seguito di procedimento disciplinare, nonché un comunicato stampa, relativo alla vicenda.

2. L’attività istruttoria.

Con nota del XX (prot. n. XX) il Comune, in risposta a una richiesta di informazioni formulata dall’Ufficio, ha dichiarato, in particolare, che:

- “la finalità del trattamento dei dati personali - posto in essere mediante la pubblicazione all'albo pretorio del provvedimento dirigenziale con cui si è preso atto del licenziamento della dipendente - è insito nella ratio legis dell’art. 124 del TUEL, cioè nella conoscenza legale per la generalità dei cittadini”;

- “con riferimento alle modalità di trattamento dei dati in esame, […], si precisa che il titolare si avvale di soggetti autorizzati al Trattamento dei dati come definiti dall’art. 29 GDPR, individuati secondo un principio funzionale: sono autorizzati ad uno specifico trattamento tutti i dipendenti per i quali il trattamento stesso è necessario per lo svolgimento delle mansioni cui sono assegnati all’interno dell’organizzazione dell’ente”;

- “ancorché in presenza di un titolo giuridico che legittima - anzi che rende obbligatoria - la pubblicazione del provvedimento all'albo online e l'assenza, all'interno del provvedimento, di particolari categorie di dati, l'ente ha avuto cura di garantire il rispetto della dignità [dell’interessato], provvedendo a pseudonimizzare le generalità [del reclamante], identificando [lo stesso] mediante il solo numero di matricola ed evitando di evidenziare altri elementi che, neppure indirettamente, potessero consentire di risalire [allo stesso]”;

- “si è ritenuto che il sistema di cifratura utilizzato soddisfi i requisiti della pseudonimizzazione in quanto il codice alfanumerico utilizzato, ancorché non generato all'uopo, è comunque creato in modo casuale; l'algoritmo di decifratura è conosciuto esclusivamente - secondo il principio funzionale di stretta necessità - dai medesimi dipendenti dell’ufficio personale che - ciascuno per l'espletamento delle proprie mansioni - hanno legittimamente trattato i dati personali della dipendente”;

- “il Comune ha provveduto alla pubblicazione all’albo on line entro i limiti temporali previsti dalla normativa di riferimento (art. 124 del d. lgs. 18 agosto 2000, n. 267): precisamente l’atto è stato pubblicato dal 17 ottobre 2019 al 31 ottobre 2019. Nessun dato contenuto negli atti pubblicati all’albo on line del comune è indicizzabile, in alcun momento, nel sito web del comune mediante motori di ricerca generalisti. Ancora di più, l'albo on line del comune di Thiene non è indicizzato nei motori di ricerca generalisti”;

- relativamente al comunicato stampa diffuso dal Comune “si tratta di un comunicato in forma del tutto anonima. La finalità che si è inteso perseguire, attraverso tale comunicato stampa, è stata quella di prevenire la diffusione di informazioni distorte e/o incomplete, in quanto si era appreso che il XX avrebbe pubblicato un articolo sulla vicenda il giorno successivo. Conseguentemente, per non creare turbamento e disorientamento nell’utenza, l’Amministrazione ha ritenuto opportuno chiarire che il problema sorto è stato immediatamente risolto, prima con la sospensione, e successivamente con il licenziamento [del reclamante], senza alcun pregiudizio economico per gli utenti del servizio”.

Con nota del XX (prot. n. XX), l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato al Titolare, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto le presunte violazioni degli artt. 5, par. 1, lett. a) e c) e 6, del Regolamento nonché dell’art. 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139), invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).

Con nota del XX (prot. n. XX), il Comune ha presentato una memoria difensiva, dichiarando, in particolare, che:

- “nel caso di specie il presupposto di liceità del trattamento dei dati è costituito dalle seguenti norme: art. 2 comma 1 della L. 241/1990; art. 124 del D.Lgs. 18 agosto 2000, n. 267 (TUEL); art. 59, comma 9, n. 2 del CCNL Funzioni Locali del 21.05.2018; artt. 94 ss del Regolamento interno di organizzazione degli uffici e dei servizi, adottato dall'Ente in forza dell'autonomia regolamentare riconosciuta al Comune dall' art.117 co. 6 della Costituzione repubblicana”;

- “in particolare, ai sensi dell'art. 2, 1° comma, L. 241/90, la Pubblica Amministrazione ha l'obbligo di concludere il procedimento, avviato d'ufficio o su istanza di parte, con provvedimento espresso, salvo che non sia stata già adottata una formale risoluzione amministrativa inoppugnata e non siano sopravvenuti mutamenti della situazione di fatto o di diritto, o si tratti di domande manifestamente assurde o totalmente infondate o illegali”;

- “con riferimento invece all'asserito trattamento dei dati personali effettuato mediante la pubblicazione del provvedimento – posto comunque che quest'ultimo non reca nel testo alcun dato personale intellegibile da chiunque – il fondamento di liceità, ai sensi del citato art. 124 TUEL, non è da ricercarsi nell'oggetto della determinazione ma nella sua natura provvedimentale: ogni determinazione è pubblicata all'albo pretorio, indipendentemente dalla materia che ne costituisce l'oggetto”;

- “il Comune ha provveduto alla pubblicazione all’albo on line entro i limiti temporali previsti dalla normativa di riferimento (art. 124 del d. lgs. 18 agosto 2000, n. 267): precisamente l’atto è stato pubblicato dal 17 ottobre 2019 al 31 ottobre 2019. Nessun dato contenuto negli atti pubblicati all’albo on line del comune è indicizzabile, in alcun momento, nel sito web del comune mediante motori di ricerca generalisti”;

- “il Comune, appurata la sussistenza del requisito formale ai sensi del citato art. 124 TUEL, in considerazione dei principi di necessità, proporzionalità e pertinenza, ha verificato l'assenza di particolari categorie di dati all'interno del provvedimento e ha proceduto fin dalla progettazione del trattamento, in ossequio al principio di minimizzazione di cui all’art. 5 del Regolamento UE/2016/679, alla pseudonimizzazione delle generalità [del dipendente], identificando fin da subito [il reclamante] mediante il solo numero di matricola ed evitando di evidenziare altri elementi che, neppure indirettamente, potessero consentire di risalire alla persona che è stata sottoposta a procedimento disciplinare”;

- “si è ritenuto che il sistema di cifratura utilizzato soddisfi i requisiti della pseudonimizzazione in quanto il codice alfanumerico utilizzato, ancorché non generato all'uopo, è comunque creato in modo casuale; l'algoritmo di decifratura è conosciuto esclusivamente - secondo il principio funzionale di stretta necessità - dall’ufficio personale legittimato a trattare i dati personali [del dipendente] ai fini dell’erogazione del trattamento economico. Non vi è pertanto modo alcuno per risalire ai dati [dello stesso], né per nessun'altra persona né interna né esterna all'Amministrazione di conoscere l'algoritmo di decifratura. Non sussiste, quindi, la possibilità tramite il codice matricola, di identificare [il reclamante], neanche in modo potenziale mediante individuazione, correlabilità e deduzione, con l’eccezione dei dipendenti che già erano a conoscenza, ratione officii, dell’accaduto”;

- “infine, con riferimento al comunicato stampa, si rileva come la sua emanazione non abbia comportato alcun trattamento di dato personale essendo il testo completamente anonimo. La finalità che si è inteso perseguire, attraverso tale comunicato stampa, è stata quella di prevenire la diffusione di informazioni distorte e/o incomplete, in quanto si era appreso che il XX avrebbe pubblicato un articolo sulla vicenda. Conseguentemente, per non creare turbamento e disorientamento nell’utenza, l’Amministrazione ha ritenuto opportuno chiarire che il problema sorto è stato immediatamente risolto, prima con la sospensione, e successivamente con il licenziamento, senza alcun pregiudizio economico per gli utenti del servizio”.

3. Esito dell’attività istruttoria.

3.1 Il quadro normativo.

La disciplina di protezione dei dati personali prevede che i soggetti pubblici, nell’ambito del contesto lavorativo, possono trattare i dati personali degli interessati, anche relativi a categorie particolari, se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti dalla legge o dal diritto dell’Unione o degli Stati membri (artt. 6, par. 1, lett. c), 9, par. 2, lett. b) e 4 e 88 del Regolamento). Il trattamento è, inoltre, lecito quando sia “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, parr. 1, lett. e), 2 e 3, e art. 9, par. 2, lett. g), del Regolamento; art. 2-ter del Codice, nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139).

La normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del […] regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento). Al riguardo, si evidenzia che l’operazione di diffusione di dati personali (come la pubblicazione su Internet), da parte di soggetti pubblici, è ammessa solo quando prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento (cfr. art. 2-ter, commi 1 e 3, del Codice, nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139).
Il titolare del trattamento è tenuto, in ogni caso, a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione dei dati”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c), del Regolamento).

3.2 La diffusione dei dati personali.

Come risulta dagli atti e dalle dichiarazioni rese dal titolare del trattamento, nonché dall’accertamento compiuto sulla base degli elementi acquisiti a seguito dell’attività istruttoria e dalle successive valutazioni di questo Dipartimento, il Comune ha pubblicato, sul sito web istituzionale, sezione Albo Pretorio, la determinazione n.742 del 16 ottobre 2019, contenente l’informazione del licenziamento del reclamante, identificato con il proprio numero di matricola.

Sebbene, come sostenuto dal Comune, la determinazione in questione non menzionasse espressamente il nome e il cognome del reclamante, quest’ultimo era in ogni caso identificabile attraverso il proprio numero di matricola dovendosi, pertanto, considerare le informazioni contenute nella determinazione, relative al reclamante, come “dati personali” ai sensi dell’art. 4, par. 1, n. 1, del Regolamento.

Per “dato personale” si intende, infatti, “qualsiasi informazione riguardante una persona fisica identificata o identificabile”, dovendosi considerare “identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come […] un numero di identificazione […]” (art. 4, par. 1, n. 1) del Regolamento) come il numero di matricola che, nel caso della determinazione n. 742 del 16 ottobre 2019, è univocamente associato all’interessato. Il numero di matricola è, dunque, da considerarsi un numero di identificazione certamente idoneo a consentire di risalire all’identità dell’interessato, non solo da parte del personale autorizzato del Comune, ma anche di eventuali terzi, con i quali l’interessato ha potuto, nel tempo, condividere tale numero (si pensi, ad esempio, a colleghi e familiari). Peraltro la pseudonimizzazione operata dal Comune mediante l’inserimento del numero di matricola, costituisce una mera misura di tipo tecnico che consente, in ogni caso, di risalire all’identità dell’interessato, ancorché in modo indiretto e/o attraverso l'utilizzo di informazioni aggiuntive (v.art.4 par.1 n.5 del Regolamento e al riguardo v. anche il Considerando n. 26 del Regolamento in base al quale i dati personali sottoposti a pseudonimizzazione devono essere considerati informazioni su una persona fisica identificabile).

Come precisato dallo stesso Comune, tale numero identificativo non è stata generato esclusivamente per indicare il reclamante in correlazione alla determinazione oggetto di pubblicazione, ma costituiva un identificativo associato all’interessato nell’ambito del rapporto di lavoro, anche “ai fini dell’erogazione del trattamento economico” (v. nota del Comune del XX sopra citata).

In ogni caso il Comune non ha comprovato l’esistenza di una specifica norma di legge che obblighi l’ente a pubblicare la determinazione di presa d’atto del licenziamento disciplinare di un dipendente, richiamando negli scritti difensivi la disciplina nazionale relativa alle pubblicazioni sull’albo pretorio degli enti locali (art. 124, comma 1, del d. lgs. n. 267 del 18 agosto 2000). Al riguardo va ricordato che questa Autorità, in più occasioni, ha chiarito che anche la presenza di uno specifico regime di pubblicità, non può comportare alcun automatismo rispetto alla diffusione online dei dati e informazioni personali, né una deroga ai principi in materia di protezione dei dati personali (v. provv. del 25 febbraio 2021, n. 68, doc web 9567429). Ciò è d’altronde confermato anche dal sistema di protezione dei dati personali contenuto nel Regolamento, alla luce del quale è previsto che il titolare del trattamento deve mettere “in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento” e deve essere “in grado di dimostrare” – alla luce del principio di “responsabilizzazione” – di averlo fatto (artt. 5, par. 2; 24 e 25, par. 2, Regolamento). In numerose decisioni in merito agli obblighi derivanti dall’art. 124 del d.lgs. 267/2000, invocato dal Comune, infatti, il Garante ha ribadito che anche alle pubblicazioni nell’albo pretorio online si applicano tutti i limiti previsti dai principi della protezione dei dati con riguardo alla liceità e alla minimizzazione dei dati (cfr. parte II, par. 3.a. delle “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati”).

Nella delibera oggetto di pubblicazione non avrebbe dovuto essere, quindi, riportato alcun dato personale del reclamante (nel caso di specie il numero di matricola), che avrebbe comunque potuto consentire l’identificazione dello stesso, ricorrendo, se del caso, alla tecnica degli “omissis” o ad altre misure di anonimizzazione dei dati (cfr., sul punto, provv.ti del 27 gennaio 2021, n. 34, doc. web n. 9549165, 2 luglio 2020, n. 118, doc. web n. 9440025 e 2 luglio 2020, n. 119, doc. web n. 9440042).

La pubblicazione della determinazione in questione, con tale accorgimento, non avrebbe, peraltro, compromesso il principio di conclusione del procedimento di cui all’art. 2 della l. 241/1990, poiché la versione integrale della stessa sarebbe rimasta, in ogni caso, agli atti del Comune e sarebbe stata accessibile, da parte di soggetti qualificati, nei modi e nei limiti previsti dalla legge.

Né possono poi considerarsi pertinenti, anche con riguardo alla qualità e al contenuto della fonte, le disposizioni del CCNL Funzioni Locali del 21.05.2018 (e altre disposizioni interne relative all’organizzazione degli uffici comunali), riportate negli scritti difensivi del Comune. Tali disposizioni, che comunque non soddisfano i requisiti di una idonea base giuridica ai sensi dell’art. 2-ter, commi 1 e 3 del Codice nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, si limitano, infatti, a indicare i casi e i modi del procedimento disciplinare, ma non prevedono, né potrebbero giustificare, la diffusione online della delibera di presa d’atto del licenziamento disciplinare di un dipendente.

La diffusione dei dati personali del reclamante, contenuti nella determinazione n. 742 del 16 ottobre 2019, è, pertanto, avvenuta in maniera non conforme ai principi di protezione dei dati e in assenza di un’idonea base giuridica, in violazione degli artt. 5, par. 1, lett. a) e c), e 6 del Regolamento, nonché 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139).

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Comune, per aver diffuso, mediante pubblicazione online, della determinazione n.742 del 16 ottobre 2019, contenente dati personali relativi al licenziamento del reclamante per motivi disciplinari, in assenza di una base giuridica, in violazione degli artt. 5, par. 1, lett. a) e c), 6 del Regolamento nonché dell’art.2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139). Stante invece l’assenza di dati personali nel comunicato stampa si ritiene di archiviare il profilo riguardante la pubblicazione dello stesso.

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 2, del Codice.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti - atteso che la diffusione dei dati è cessata in data 31 ottobre 2019 - non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

In relazione ai predetti elementi è stato considerato che la rilevata condotta ha avuto ad oggetto la diffusione di dati personali attinenti a vicende connesse al rapporto di lavoro riferiti a un procedimento disciplinare a carico di un dipendente, nonostante le numerose indicazioni rese dal Garante a tutti i soggetti pubblici sin dal 2014 con le linee guida sopra richiamate (v. anche “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico" del 14 giugno 2007, doc. web n. 1417809).

Di contro, si è tenuto favorevolmente in considerazione che la violazione non ha riguardato categorie particolari di dati personali e che ha coinvolto un solo interessato. La pubblicazione nell’Albo pretorio della determinazione in questione, inoltre, è avvenuta per un breve lasso temporale e senza alcuna indicizzazione sui siti generalisti. Non risultano, inoltre, precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento.

Il Comune di Thiene rientra nella dimensione demografica appena superiore ai 23.000 abitanti.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 3.000 (tremila) per la violazione degli artt. 5, par. 1, lett. a) e c), 6, nonché 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139), quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Tenuto conto che l’atto oggetto di diffusione online conteneva i riferimenti a una delicata vicenda personale dell’interessato, riguardante il licenziamento per motivi disciplinari, si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dal Titolare per violazione degli artt. 5, par. 1, lett. a) e c), 6 del Regolamento, nonché 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139), nei termini di cui in motivazione;

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, al Comune di Thiene, in persona del legale rappresentante pro-tempore, con sede legale in Piazza Ferrarin 1 - 36016 Thiene (VI), C.F. 00170360242, di pagare la somma di euro 3.000 (tremila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al predetto Comune, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 3.000 (tremila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice (v. art. 16 del Regolamento del Garante n. 1/2019);

l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento (v. art. 17 del Regolamento del Garante n. 1/2019).

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 15 settembre 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei

Rispondi