Notifica di comunicazioni concernentiun procedimento disciplinare

PROVVEDIMENTO DEL 8 MAGGIO 2013

Registro dei provvedimenti
n. 232 dell'8 maggio 2013

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti, e del dott. GiuseppeBusia, segretario generale;

VISTOil d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei datipersonali, di seguito "Codice");

VISTAla segnalazione del 13 marzo 2012 presentata da XY, concernente il trattamentodi dati personali riferiti all'interessato effettuato dalla Regione Campania;

VISTOil d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei datipersonali);

VISTEle"Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambitopubblico", adottate con provvedimento del 14 giugno 2007(pubblicato nella G.U. 13 luglio 2007, n. 161);

ESAMINATAla documentazione in atti;

VISTEle osservazioni formulate dal segretario generale ai sensi dell'art. 15 delregolamento del Garante n. 1/2000;

RELATOREla prof.ssa Licia Califano;

PREMESSO

1.1.Con segnalazione del 13 marzo 2012 XY, già dipendente della Regione Campania,ha lamentato le modalità seguite dall'Amministrazione nel notificarglicomunicazioni concernenti un procedimento disciplinare che lo ha interessato.

Piùprecisamente, il dirigente del settore sovraordinato al servizio cui erapreposto il segnalante (entrambi facenti capo all'area generale dicoordinamento 1) notificava a mano a quest'ultimo (con nota n. 0726462 del27.9.2011) comunicazioni concernenti il procedimento disciplinare che loriguardavano (la nota prot. n. 729263 del 23.9.2011 unitamente alle note prot. 719086del 23.92011 e prot. n. 721468 del 26.9.2011). Tanto, su richiesta deiresponsabili di altra unità organizzativa (facente capo all'area generale dicoordinamento 7) presso la quale si era incardinato il procedimentodisciplinare (cfr. nota di richiesta della notifica a mani dell'interessatoprot. 0722840 del 26.9.2011).

Talicomunicazioni, a detta del segnalante, gli sarebbero state notificate "inbusta aperta" (circostanza ribadita nelle successive comunicazioni del 1∞giugno 2012 e del 13 settembre 2012) e ciò avrebbe determinato un'indebitacircolazione dell'informazione concernente l'esistenza del procedimentodisciplinare nel contesto lavorativo con pregiudizio per l'interessato.

1.2.Al fine di verificare la liceità del trattamento di dati personali effettuatoed acquisire elementi idonei ad accertare la conformità alla disciplina diprotezione dei dati personali dei trattamenti oggetto della segnalazione,l'Ufficio ha formulato richieste d'informazioni nei confronti della Regione(per una delle quali, pur risultando regolarmente ricevuta, è stata presentatadenuncia di smarrimento: cfr. denuncia allegata alla nota del 4.12.2012) e, aseguito di un primo riscontro (fornito con nota del 18 maggio 2012), ha curatol'acquisizione di ulteriori elementi in loco nei giorni 20 e 21 novembre 2012mediante accertamenti delegati alla Guardia di finanza. In tale circostanza:

a. iresponsabili dell'istruttoria concernente il procedimento disciplinare hannodichiarato che le comunicazioni in questione, concernenti l'integrazione delcontraddittorio in relazione all'audizione di un teste nell'ambito delprocedimento disciplinare già pendente (senza indicazione dei fatti contestatiall'interessato), sono state trasmesse in busta chiusa dal settore competente acurare l'istruttoria al responsabile del settore da cui dipendeva il segnalanteaffinché questi effettuasse la notificazione a mani del medesimo (cfr. verbale20.11.202, p. 3 e 4);

b.l'addetta al recapito della corrispondenza per il settore che ha curato l'istruttoriadel provvedimento disciplinare ha dichiarato di aver provveduto a trasmettere"in busta chiusa" le note sopra menzionate al responsabile delsettore da cui dipende il segnalante e che "è sua prassi costanterecapitare gli atti del proprio settore sempre in busta chiusa, anche quando sitratta di atti non riservati" (cfr. verbale 21.11.2012, p. 4);

c. ladirigente del segnalante, incaricata della notifica a mano delle menzionatecomunicazioni (nonché di trasmettere copia delle stesse controfirmate dalsegnalante per presa visione, circostanza che risulta avvenuta: cfr. nota n.0726462 in atti), ha dichiarato di non ricordare se la busta contenente le noteallegate "fosse aperta o chiusa" (cfr. verbale 21.11.2012, p. 3); lastessa, peraltro, ha precisato (allegando pertinente documentazione: cfr. all.4, verb. 21.11.2012) che "nella qualità di dirigente responsabile delsettore dal quale dipendeva [il segnalante era] al corrente del procedimentodisciplinare in corso e dei motivi che ne erano alla base". Tanto perché,"nel caso l'addebito da contestare fosse stato di lieve entità", lastessa avrebbe dovuto "avviare il procedimento disciplinare".

1.3.Nel corso degli accertamenti è stato altresì richiesto se in relazione alpersonale che ha curato, a vario titolo, gli adempimenti connessi allatrattazione del procedimento disciplinare e alla notifica degli atti, avessetrovato attuazione la disciplina concernente gli incaricati e, se del caso, iresponsabili del trattamento ai sensi, rispettivamente, degli artt. 30 e 29 delCodice. In proposito è emerso che:

a. conla delibera n. 2127 del 30.12.2005 ("Approvazione organigramma privacydella Regione Campania") e con la successiva circolare assessorile n.610/SP del 6.3.2006 è stato tracciato un quadro generale di riferimento perquanto attiene l'esercizio dei poteri/doveri dell'amministrazione regionale nelsuo complesso quale titolare del trattamento, predisponendo altresì appositamodulistica standard finalizzata alla designazione di responsabili e incaricatidei trattamenti. Con tali atti è stato altresì delegato, ratione materiae,l'esercizio della titolarità del trattamento per ciascuna delle aree generalidi coordinamento (di seguito AGC) in cui si articola l'Amministrazione (cfr.verbale 21.11.2012, all. 1). In capo alle figure apicali di ciascuna AGC èstato altresì rimesso il compito di designare gli incaricati del trattamento,ed eventualmente i responsabili, in conformità alla disciplina prevista dagliartt. 29 e 30 del Codice (cfr. verbale 21.11.2012, p. 2 s.), come peraltrorisulta dalla menzionata circolare assessorile del 2006 nella quale siinvitavano "i dirigenti delle aree generali di coordinamento della RegioneCampania a provvedere alla nomina, necessaria per un legittimo trattamento deidati, dei responsabili e degli incaricati";

b. lastruttura organizzativa dell'amministrazione regionale si caratterizza percomplessità, considerata la sua articolazione in 21 aree generali dicoordinamento poste al vertice di 120 settori (questi ultimi ulteriormenteripartiti in uffici) (cfr, nota 4.12.2012);

c. inrelazione ai fatti oggetto di segnalazione e alla luce degli elementiacquisiti, solo parte del personale coinvolto nel procedimento disciplinare(appartenente all'AGC 7) è risultato espressamente designato responsabileovvero incaricato del trattamento (secondo le modalità prefigurate dalladelibera n. 2127, vale a dire) mediante singoli atti contenenti l'indicazionedegli ambiti del trattamento a ciascuno riservato unitamente alle istruzionirelative al corrispondente trattamento (cfr. verbale 21.11.2012, p. 2 e all.0);

d. lemodalità di designazione degli incaricati appena descritte (al punto b) nonhanno trovato attuazione, invece, né in relazione al superiore gerarchico delsegnalante ‒ per ilquale una formale (e più ampia) designazione (quale responsabile deltrattamento) è stata effettuata, successivamente ai fatti di cui si tratta, indata 19.12.2011 (cfr. atto di designazione allegato alla comunicazione direttaall'Autorità del 4.12.2012) – né con riguardo al personale operantenell'unità organizzativa responsabile dell'istruttoria del procedimentodisciplinare. A quest'ultimo proposito, infatti, nella menzionata comunicazioneall'Autorità del 4.12.2012 i rappresentanti della Regione hanno dichiarato che"agli atti non risultano ulteriori esplicite designazioni [ä] tanto conriferimento alla qualità di responsabile quanto a quella di incaricati deltrattamento dei dati" precisando tuttavia che "con specifico riguardoal procedimento disciplinare, le scriventi – nella rispettiva qualità didirigente del settore e di dirigente del servizio 01 ´Amministrazione delpersonale e procedimenti disciplinariª – hanno di volta in voltaprovveduto a garantire il rispetto del diritto alla protezione dei datipersonali [ä] in conformità alle disposizioni del [ä] Codice";

e. ancheper la responsabile del "Servizio monitoraggio e attuazione dellesemplificazioni amministrative – Rapporti con l'Urp – Attivitàgenerali in materia di trattamento dei dati e diritto d'accesso" non èrisultato possibile appurare l'effettiva implementazione della menzionataDelibera in ambito regionale, atteso che, secondo quanto dichiarato, allastessa "non [ä] è dato sapere se e come ogni AGC si sia organizzata perchéil mio è un servizio di supporto tecnico, senza alcun potere di controllo"(verbale 21.11.2012, p. 2).

2.1.Con riguardo ai fatti oggetto di segnalazione – segnatamente in relazionealle modalità di notificazione delle menzionate note concernenti unprocedimento disciplinare attivato nei confronti del segnalante –,ritenuta applicabile la disciplina di protezione dei dati personali, alla lucedelle dichiarazioni rese all'Autorità nel corso del procedimento – dellacui veridicità si può essere chiamati a rispondere ai sensi dell'art. 168 delCodice ("Falsità nelle dichiarazioni e notificazioni al Garante") –deve rilevarsi che, nel caso di specie, non risulta comprovato che le noteoggetto di contestazione siano state trasmesse in busta aperta al dirigenteincaricato della loro notifica al segnalante, né che (comunque) altridipendenti ne abbiano appreso il contenuto in violazione della disciplina diprotezione dei dati.

Inparticolare, il superiore gerarchico delegato ad effettuare la notificazioneera già stato posto legittimamente a conoscenza dell'esistenza del procedimentodisciplinare (come dichiarato nel verbale del 21.11.2012 e confermato dallanota del 13.7.2011, prot. 0551040, all. 4 al verbale medesimo) in base alladisciplina di settore (art. 55 bis, comma 4, d.lg. 30 marzo 2001, n. 165) oltreche conformemente alla disciplina regionale in materia (cfr. Deliberazione n.1826 del 18 dicembre 2009 – Disposizioni attuative del decretolegislativo n. 150 del 27.10.2009 in materia di amministrazione del personale eprocedimento disciplinare, unitamente alle previsioni contenute nell'art. 7 delCCNL del personale dirigente del comparto Regioni e Autonomie locali- Area II).

2.2.Peraltro, in relazione alla notificazione di atti nell'ambito di unprocedimento disciplinare l'ordinamento – contemperando così l'esigenzadi speditezza del procedimento e di certezza quanto alla circostanzadell'avvenuta notificazione della comunicazione all'interessato con la necessitàdi assicurare la riservatezza del lavoratore –espressamente prevede comelegittima la consegna "a mano" (cfr. art. 55 bis, comma 5, d.lg. n.165/2001). La legge precisa poi che per le comunicazioni successive allacontestazione dell'addebito – ipotesi che ricorre nel caso in esame –"il dipendente può indicare, altresì, un numero di fax, di cui egli o ilsuo procuratore abbia la disponibilità" (cfr. secondo periodo dell'art. 55bis, comma 5, d.lg. n. 165/2001). Nel caso di specie, tuttavia, il segnalantenon risulta essersi avvalso di tale facoltà, sì che legittimamente la notificapoteva essere effettuata a mani del segnalante.

3.1.Con riguardo infine al profilo concernente l'osservanza dell'art. 30 del Codicein capo ai soggetti che, a vario titolo, hanno trattato dati personaliconcernenti il segnalante nell'ambito del procedimento disciplinare, in baseagli elementi acquisiti deve rilevarsi che, ancorché la Regione avesse posto inessere atti funzionali alla corretta applicazione della disciplina diprotezione dei dati personali con riguardo alle modalità di designazione degliincaricati (cfr. par. 1.3.a), impartendo disposizioni alle figure apicali incui si articola l'amministrazione regionale affinché il processo (con lemodalità prefissate) raggiungesse "a cascata" tutti coloro i quali,in ragione delle mansioni attribuite, trattano dati personali in ambitoregionale, ciò non risulta essere avvenuto con eguale tempestività presso tuttele AGC. In particolare, nell'accertamento dei fatti connessi alla segnalazionein esame, è risultato che parte del personale che ha trattato i dati riferitial segnalante non sia stato designato quale incaricato del trattamento con attoindividuale, né che allo stesso siano state impartite apposite istruzioni (comeper altri accaduto); tali adempimenti sarebbero stati effettuati, nelle formepreviste dall'art. 30, comma 2, prima parte, del Codice solo a seguito degliaccertamenti effettuati in loco dalla Guardia di finanza (cfr. par. 1.3.d).

3.2.Nondimeno, nel caso di specie, pur in assenza di una formale designazione degliincaricati, può ritenersi che per gli stessi siano soddisfatti i requisitirichiesti dall'art. 30, comma 2, secondo periodo del Codice, atteso che (inconformità alla previsione contenuta nell'art. 55 bis, comma 4, d.lg. n.165/2001) dalla menzionata Deliberazione n. 1826 del 18 dicembre 2009 emergonounivocamente le attribuzioni del personale del "Servizio amministrazionedel personale – Procedimenti in materia disciplinare" (incardinatonel "Settore stato giuridico ed inquadramento") nell'espletamento deipropri compiti istituzionali, riguardanti (tra l'altro) la trattazione delprocedimento oggetto di segnalazione (e, correlativamente, i personali dati atal fine necessari).

Analogacompetenza, ricorrendone le condizioni, è altresì attribuita alla dirigente delsettore cui il dipendente è assegnato (cfr. Deliberazione n. 1826 del 18dicembre 2009); ad essa, peraltro, spettano altresì compiti connessiall'organizzazione interna delle strutture operative cui è preposta e allavigilanza e al controllo circa l'andamento generale degli uffici nonché, più ingenerale, le attribuzioni connesse alla cura dell'interesse generaledell'amministrazione (cfr. art. 23, l.r. Campania 23 maggio 1984, n. 27richiamato dall'art. 12, l. Campania 25 agosto 1989, n. 15).

3.3.Non risultando provato in atti, tuttavia, che a detto personale siano statealtresì impartite le necessarie istruzioni ai sensi dell'art. 30, comma 1, delCodice, questa Autorità si riserva la valutazione, con separato procedimento, dellasussistenza di violazioni amministrative.

4.Al di là del caso oggetto di segnalazione, peraltro, gli accertamentieffettuati hanno evidenziato – con riguardo alla tempestiva ed integraleattuazione delle misure organizzative necessarie ad assicurare la correttaimplementazione della disciplina di protezione dei dati personali e il costantemonitoraggio nel tempo dell'adeguatezza delle medesime – la sussistenzadi tempistiche e modalità attuative della disciplina differenziate tra idiversi centri di responsabilità (rappresentati anzitutto dalle AGC). Ciònonostante l'impulso originariamente dato con la delibera n. 2127 del30.12.2005 ("Approvazione organigramma privacy della RegioneCampania") e l'istituzione di un apposito Servizio, denominato "Attivitàgenerale in materia di trattamento dati e diritto d'accesso – Rapporticon l'URP" (con la deliberazione G.R. 1637 del 20 agosto 2004).

Attesoil difetto di coordinamento comunque emerso tra le diverse AGC in ordineall'omogenea attuazione delle programmate scelte organizzative, ai sensi degliartt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice, si prescrivepertanto alla Regione Campania, quale misura opportuna, che vengano rivalutatele soluzioni organizzative esistenti (cfr. in particolare par. 1.3.e) anchealla luce delle determinazioni già adottate dalla Regione nella menzionatadelibera 30 dicembre 2005 allo scopo di assicurare maggiore effettivitànell'attuazione della disciplina di protezione dei dati personali (al di làdegli adempimenti contingenti) – eventualmente secondo il modello delc.d. data protection officer ("responsabile della protezione deidati"), attualmente in discussione in sede Ue nella Proposta diregolamento generale sulla protezione dei dati –, con particolare riguardoall'attività di coordinamento tra le molteplici unità organizzative (peraltrogerarchicamente ordinate: cfr. punto 1.3.b) presenti all'internodell'Amministrazione.

TUTTO CIO' PREMESSO, IL GARANTE

1. dichiara infondata la segnalazione;

2.prescrive alla Regione Campania, ai sensi degli artt. 144, 143, comma 1, lett.b), e 154, comma 1, lett. c), del Codice, quale misura opportuna, di rivalutarele soluzioni volte ad assicurare maggiore effettività nell'attuazione delladisciplina di protezione dei dati personali, con particolare riguardo:

a. alladesignazione degli incaricati;

b.  alcoordinamento tra le molteplici unità organizzative presenti all'internodell'Amministrazione.

Aisensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presenteprovvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 8 maggio 2013

Il presidente
Soro

Il relatore
Califano

Il segretario generale
Busia