Comune sanzionato per trattamento illecito e mancata nomina del DPO

14 Luglio 2022

In data 12 maggio 2022, il Garante per la protezione dei dati personali (il “Garante” o l’“Autorità”) ha emesso un’ordinanza ingiunzione nei confronti del Comune di Villabate (il “Comune”), sanzionandolo all’esito di un’istruttoria con cui ha accertato l’illiceità del trattamento dei dati personali di un ex dipendente e la mancanza di una valida designazione di un responsabile della protezione dei dati (“DPO”), in violazione degli artt. 5, par. 1, lett. a), 6 nonché gli artt. 37, parr. 1, lett. a), 7 e 38, par. 6, del Regolamento UE 679/2016 (“GDPR”).

Con riferimento ai profili menzionati, trovano inoltre applicazione le “Linee Guida sul consenso ai sensi del Regolamento UE 2016/679”, adottate dall’EDPB nel 2020, le “Linee Guida sui responsabili per la protezione dei dati”, adottate dal Gruppo di lavoro Art. 29 nel 2016, nonché le “FAQ sul Responsabile della Protezione dei dati in ambito pubblico”, adottate dal Garante. 

Descrizione del fatto

Il procedimento ha avuto origine dal reclamo presentato da parte di un ex dipendente del Comune (l’”Interessato”), attraverso il quale il medesimo aveva rappresentato che il Comune, nella persona dell’allora responsabile del settore Affari Generali, aveva inviato informazioni connesse al pignoramento del quinto del suo stipendio. Il responsabile del Comune, infatti, aveva comunicato tali informazioni al nuovo datore di lavoro dell’Interessato, e lo aveva informato dell’“esistenza di presunti pignoramenti”, nonché dell’”esistenza di un residuo di presunto debito […] scaduto e non trasmissibile fra le due amministrazioni”.

Il Comune aveva altresì contattato – per erronea convinzione che fosse un atto dovuto – l’istituto bancario creditore dell’Interessato informandolo non solo dell’avvenuta cessazione del rapporto di lavoro con l’Interessato stesso, ma anche di una serie di ulteriori informazioni di carattere personale a questo riferite, quali la proroga del periodo di aspettativa, la specifica ragione della cessazione del rapporto di lavoro per dimissioni volontarie e gli estremi del nuovo datore di lavoro.

Alla luce di quanto sopra e al fine di ricevere apposita tutela, l’Interessato si era pertanto rivolto al Garante, lamentando altresì che il Comune non aveva provveduto a designare un DPO o che, comunque, non aveva reso pubblici i dati di contatto, avendo l’Interessato stesso appreso solo in via informale che il soggetto individuato fosse la stessa responsabile del settore Affari Generali del Comune.

Conclusioni del Garante

A seguito dell’attività istruttoria, il Garante ha rilevato quanto segue:

  • con riguardo alla liceità del trattamento, il Comune, in qualità di titolare del trattamento, era tenuto, in ogni caso, a rispettare i principi in materia di protezione dei dati, fra i quali quello di liceità, correttezza e trasparenza, nonché di minimizzazione dei dati e tali dati personali dovevano pertanto essere trattati in modo lecito, corretto e trasparente nei confronti dell’Interessato e dovevano essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali erano stati trattati. Il Comune, tuttavia, avendo reso noto all’istituto bancario creditore informazioni di carattere personale riferite all’Interessato, aveva effettuato una comunicazione non necessaria né giustificata alla luce del quadro normativo che disciplina l’istituto del pignoramento presso terzi e gli obblighi del datore di lavoro – in qualità di terzo pignorato. Altresì illecita risultava la comunicazione effettuata dal Comune al nuovo datore di lavoro dell’Interessato in merito alla circostanza che l’Interessato avesse un debito nei confronti dell’istituto bancario creditore, nonché relativamente alle altre informazioni di dettaglio riguardanti il pignoramento di quota dello stipendio, il residuo della somma da pagare, la gestione del precedente rapporto di lavoro. La comunicazione dei dati personali dell’Interessato da parte del Comune all’istituto bancario e al nuovo datore di lavoro dell’Interessato stesso risultava pertanto in violazione degli artt. 5, par. 1, lett. a) e 6 del GDPR poiché effettuata in maniera non conforme al principio di liceità, correttezza e trasparenza e in assenza di un’idonea base giuridica. Il Comune aveva, infatti, ritenuto – erroneamente – che il trattamento fosse necessario per l’esecuzione di un contratto, ex art. 6, par. 1, lett. b) del GDPR. Tuttavia, ha ribadito il Garante, il trattamento è necessario per l’esecuzione di un contratto qualora vi sia un collegamento diretto e obiettivo tra il trattamento dei dati e la finalità dell’esecuzione del contratto con gli interessati (cfr. “Linee Guida sul consenso ai sensi del Regolamento UE 2016/679”). Nel caso di specie, invece, il rapporto contrattuale coinvolgeva unicamente l’interessato e l’istituto bancario e non (i) il Comune, che era il terzo presso il quale era stato effettuato il pignoramento; (ii) il nuovo datore di lavoro dell’Interessato, che era del tutto estraneo ai rapporti contrattuali in essere tra l’Interessato e il creditore.
  • con riguardo all’assolvimento degli obblighi relativi al DPO, la designazione di tale figura è sempre dovuta da parte dei soggetti pubblici e il soggetto designato può svolgere altri compiti e funzioni, fermo restando che il titolare del trattamento deve assicurarsi che i compiti e funzioni assegnatigli non diano adito a un conflitto di interessi (ex art. 38, par. 6, del GDPR). Il titolare del trattamento deve altresì pubblicare i dati di contatto del DPO e comunicarli all'autorità di controllo. Il Garante, tuttavia, ha constatato che:
    • il Comune aveva designato informalmente come DPO il responsabile del settore Affari Generali;
    • la nomina era stata formalizzata con l’adozione di una determinazione sindacale, ma era stato ribadito il carattere di temporaneità della designazione poiché il Comune era in attesa di individuare una idonea figura esterna;
    • la comunicazione dei dati personali oggetto di reclamo era stata effettuata con nota sottoscritta dal responsabile del settore Affari Generali, il quale svolgendo altresì la funzione di DPO si trovava in una condizione di conflitto d’interessi rispetto al ruolo apicale svolto nell’ambito dell’organizzazione del Comune;
    • nel corso dell’istruttoria svolta dal Garante, il Comune aveva designato un DPO esterno;
    • il Comune aveva comunicato tardivamente al Garante tale nuova nomina e non aveva pubblicato i dati di contatto della funzione non rendendo, pertanto, il DPO facilmente raggiungibile dagli interessati;
    • il Comune aveva pertanto violato gli artt. 37, parr. 1, lett. a), e 7, nonché 38, par. 6, del GDPR.

Le dichiarazioni in merito al trattamento, rese dal Comune nel corso dell’istruttoria, seppur meritevoli di considerazione, non sono state ritenute sufficienti per il superamento delle violazioni contestate riguardanti l’illiceità del trattamento di dati personali effettuato dal Comune, nonché per il mancato assolvimento degli obblighi relativi al DPO. Il Garante ha, infatti, evidenziato che il Comune (i) aveva comunicato a terzi i dati personali dell’Interessato in assenza di un’idonea base giuridica; (ii) non aveva tempestivamente adempiuto all’obbligo di designare un DPO; (iii) aveva nominato un DPO in posizione di conflitto d’interessi; (iv) aveva omesso di comunicare al Garante i dati di contatto del DPO; e (v) aveva omesso di pubblicare i dati di contatto del DPO sul proprio sito web istituzionale.

Con riferimento all’obbligo di designare un DPO nell’ambito pubblico, giova ricordare che l’Autorità, già in passato, aveva sanzionato la pubblica amministrazione – nello specifico il MiSE – per non aver, inter alia, designato il DPO entro il termine stabilito (vale a dire il maggio 2018, data di piena applicazione del GDPR) e per avere provveduto alla nomina e alla comunicazione al Garante dei dati di contatto con notevole ritardo[1].

La sanzione amministrativa

Alla luce di quanto sopra, il Garante ha comminato una sanzione pari a Euro 6.000, ritenendo tale cifra effettiva, proporzionata e dissuasiva.


[1] Cfr. ordinanza di ingiunzione del Garante n. 54 dell’11 febbraio 2021, emessa nei confronti del Ministero dello Sviluppo Economico.

cross