[doc. web n. 10164379]

Provvedimento del 4 giugno 2025

Registro dei provvedimenti
n. 326 del 4 giugno 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Claudio Filippi Segretario generale reggente;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE-Regolamento generale sulla protezione dei dati (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTE le Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica effettuati nell'ambito del Sistema Statistico nazionale adottate dal Garante ai sensi dell’art. 20, comma 4 del d.lgs. 10 agosto 2018, n. 101, con provvedimento n. 514 del 19 dicembre 2018, allegato A4 al Codice (doc. web n. 9069677, di seguito “Regole deontologiche”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it , doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it , doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. L’attività ispettiva

Nei giorni XX, l’Ufficio del Garante ha svolto accertamenti ispettivi presso la Regione Lazio, Ufficio di Statistica (di seguito anche  “Regione”), al fine di verificare l’osservanza delle disposizioni in materia di protezione dei dati personali, con particolare riferimento a quelle che concernono il settore della statistica e la corretta implementazione delle misure previste (art. 89 del Regolamento) per assicurare effettiva applicazione ai principi di protezione dei dati personali, nell’ambito dei lavori statistici svolti nello svolgimento delle proprie funzioni istituzionali (art. 58, par. 1, lett. a), e) ed f) del Regolamento; artt. 157 e 158 del Codice; artt. 21 e 22 del Regolamento del Garante n. 1/2019 ; ordine di servizio n. XX del XX).

Merita in questa sede richiamarsi solo quanto emerso in relazione alla rilevazione statistica “Movimento dei clienti negli esercizi ricettivi – IST-00139”, di cui l’Istituto Nazionale di Statistica-Istat è titolare del trattamento, realizzata, per quanto attiene alla fase di raccolta dei dati, dalla Direzione del Turismo della Regione Lazio, per conto dell’Ufficio di Statistica della medesima Regione. In particolare, nella giornata del 10 ottobre, è stato rappresentato che:

- il lavoro è realizzato attraverso la piattaforma Radar, gestita dalla società LazioCrea, che svolge, per conto della Regione, il ruolo di responsabile del trattamento ai sensi dell’art. 28 del Regolamento, in virtù di un atto di designazione omnibus trasmesso in atti (delibera della Giunta della Regione Lazio n. XX del XX, allegato G);

- la Direzione del Turismo raccoglie su base mensile i dati dei movimenti dei clienti negli esercizi ricettivi (meglio rappresentati nella scheda informativa del predetto lavoro contenuta nel Programma Statistico Nazionale-PSN) attraverso la predetta piattaforma e li fornisce all’Ufficio di statistica aggregati per comuni e per categoria;

- i predetti dati, raccolti esclusivamente per finalità statistiche, sono caricati sulla piattaforma -entro il 5 del mese successivo a quello di riferimento- dalla struttura ricettiva che è chiamata a indicare, mensilmente, lo stato di nazionalità o provincia del cliente, il tipo di struttura, la data di arrivo, al fine di fornire all’Istat dati aggregati a livello comunale, mentre una successiva e diversa aggregazione è prevista per la fase di diffusione;

- in fase di diffusione, la Regione rispetta la cd. regola del 5;

- la consultazione sul sito internet della Regione dei risultati della statistica in esame avviene attraverso specifiche tabelle sulle quali non si possono effettuare delle query, se non nella misura in cui è possibile configurare dei filtri per lo scarico delle informazioni di interesse;

- non vengono effettuati controlli sulla possibilità che attraverso due pubblicazioni incrociate si pervenga all’identificazione di un singolo;

- al momento non ci sono diffusioni con dettaglio comunale sul sito della Regione;

- la Regione, in base ad un accordo di carattere generale del XX con l’Istat, nella sua veste di responsabile del trattamento, svolge in relazione al lavoro in esame analisi statistiche e diffonde i risultati statistici intermedi e provvisori con dicitura “documento fonte Istat”;

- il tempo di conservazione dei dati da parte del responsabile è di 36 mesi secondo quanto indicato nella circolare dell’Istat.

Nella giornata dell’XX, è stata mostrata la piattaforma Radar e illustrati i dati caricati dalle strutture ricettive che hanno un livello di dettaglio più fine rispetto a quello richiesto da Istat, in quanto nella piattaforma possono essere registrate anche delle singolarità. L’aggregazione è svolta periodicamente da una funzionalità di Radar, su input di LazioCrea, previa verifica della qualità dei dati.

È stato dichiarato, inoltre, che non è prevista una politica di cancellazione di questi dati.

2. Violazione contestate

Sulla base degli elementi acquisiti nell'ambito della richiamata attività ispettiva nonché delle successive valutazioni svolte, l’Ufficio- con atto del XX (prot. n. XX) -che qui deve intendersi integralmente riprodotto- ha avviato, ai sensi dell’art. 166, comma 5 del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2 del Regolamento, nei confronti della Regione, invitandola a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7 del Codice, nonché art. 18, comma 1 l. n. 689 del 24 novembre 1981).

Con il predetto atto, l’Ufficio del Garante ha notificato alla Regione che risulta accertata la violazione del principio di limitazione della conservazione di cui all’art. 5, par. 1, lett. e) del Regolamento e degli obblighi derivanti dall’art. 28 del Regolamento.

In particolare, la contestazione della violazione del principio di limitazione della conservazione si fonda su quanto dichiarato in sede ispettiva e sopra richiamato; ci si riferisce in particolare alla dichiarazione relativa alla assenza di “una politica di cancellazione di questi dati” (cfr. supra par. 1). Ciò tenuto altresì conto che la scheda informativa del lavoro statistico “Movimento dei clienti negli esercizi ricettivi – IST-00139”, inserita nel PSN 2023-2025 indica un tempo di conservazione dei dati di 60 mesi.

In base al principio di limitazione della conservazione, infatti, i dati possono essere conservati in una forma che consente l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati (art. 5, par. 1, lett. e) del Regolamento).

Rilevata, pertanto, l’assenza di una specifica politica che indichi misure tecniche e organizzative per la cancellazione dei dati dalla piattaforma Radar allo scadere del periodo di tempo individuato come necessario e sufficiente al raggiungimento dello scopo della raccolta, è risultata accertata la violazione del principio di limitazione della conservazione, di cui all’art. 5, par. 1, lett. e) del Regolamento, nell’ambito del lavoro statistico “Movimento dei clienti negli esercizi ricettivi – IST-00139”, da parte della Regione, che agisce in qualità di responsabile del trattamento per conto di Istat, ai sensi dell’art. 28 del Regolamento.

La contestazione della violazione degli obblighi derivanti dall’art. 28 del Regolamento si fonda su quanto dichiarato in sede ispettiva e sopra richiamato; ci si riferisce in particolare alla dichiarazione secondo la quale il lavoro è realizzato attraverso la piattaforma Radar, gestita dalla società LazioCrea, che svolge per conto della Regione il ruolo di responsabile del trattamento, ai sensi dell’art. 28 del Regolamento, in virtù di un atto di designazione omnibus trasmesso in atti -delibera della Giunta della Regione Lazio n. XX del XX, allegato XX- (cfr. supra par. XX).

Nell’ambito delle operazioni di trattamento dei dati personali occorre, infatti individuare correttamente i ruoli di titolare (artt. 4, n. 7 e 24), di responsabile e, se del caso, di sub-responsabile del trattamento (art. 4, n. 8 e 28; cfr. Comitato europeo per la protezione dei dati Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR Versione 2.0, Adottate il 7 luglio 2021; Opinion 22/2024 on certain obligations following from the reliance on processor(s) and sub-processor(s) Adopted on 7 October 2024).

Rispetto al richiamato lavoro statistico, la Regione ha dichiarato di svolgere il ruolo di responsabile del trattamento per conto di Istat e che il lavoro è realizzato attraverso la piattaforma Radar gestita dalla società LazioCrea, responsabile del trattamento per conto della Regione, in virtù del predetto un atto di designazione omnibus della Regione.

L’Ufficio del Garante ha ritenuto quindi che sia stato malamente definito il ruolo della società LazioCrea nella catena dei trattamenti necessari per la realizzazione del predetto lavoro, in quanto la Regione ha provveduto a designare la società LazioCrea quale responsabile ai sensi dell’art. 28 del Regolamento e non quale cd sub-responsabile nei limiti e alle condizioni di cui all’art. 28, par. 2 e 4 del Regolamento, agendo come titolare del trattamento ai sensi dell’art. 24 del Regolamento e impedendo all’effettivo titolare del trattamento, Istat, di mantenere il controllo sulle informazioni rispetto alle quali è chiamato a determinare finalità e mezzi del trattamento (art. 4, n. 7 del Regolamento; cfr. altresì Opinion 22/2024 on certain obligations following from the reliance on processor(s) and sub-processor(s), adottata dal Comitato europeo per la protezione dei dati il 7 Ottobre 2024, punto 21).

In particolare, il Regolamento non prevede infatti la possibilità che un responsabile del trattamento possa designarne un altro (cd “sub-responsabile” del trattamento) “senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l'aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l'opportunità di opporsi a tali modifiche” (art. 28 par. 2 del Regolamento).

3. Memorie difensive

Con nota del XX (prot. nr. XX), la Regione ha fatto pervenire le proprie memorie difensive, non chiedendo di essere sentita in audizione, ai sensi dell’art. 166, comma 5 del Codice.

3.1.  Sul principio di limitazione della conservazione

Con riferimento alla contestazione della violazione del principio di limitazione della conservazione, la Regione, con dichiarazioni della cui veridicità risponde penalmente ai sensi dell’art. 168 del Codice, ha rappresentato, fornendo altresì specifica documentazione al riguardo, di avere ricevuto dall’Istat, con circolare del XX (prot. n. XX), relativa alla rilevazione dello stesso anno, generiche istruzioni in ordine al trattamento (ivi inclusa la conservazione) dei dati personali necessari per la realizzazione della rilevazione IST-000139, evidenziando come “la scheda PSN in vigore in quell’anno non indicava né un tempo né un criterio di conservazione determinato” e come il Garante stesso abbia rilevato che in tale schema di PSN vi fosse, [in termini generali ndr], la necessità di addivenire ad una “precisazione delle modalità di trattamento, specie con riferimento alla conservazione dei dati identificativi diretti” (cfr. provv. n. 271 del 9/05/2018, doc. web n. 9001732).

È stato dichiarato, inoltre, che “Negli anni XX e XX, ai fini dell’indagine in argomento, l’Istat ha somministrato istruzioni relative ai tempi di conservazione del dato raccolto” attraverso due specifiche circolari (XX, prot. n. XX e XX, prot. n. XX) nelle quali, “con riferimento agli “Obblighi dei responsabili”, [...] l’Istat ha indicato che: “a conclusione delle attività [...] – con le modalità e nei tempi indicati dall’ISTAT – [il responsabile procede] a cancellare le informazioni raccolte tramite la compilazione dei questionari informatici di cui sia venuto a conoscenza in occasione e per le finalità dell’indagine in oggetto e che abbia trattato per conto dell’ISTAT, producendo una dichiarazione che documenti i metodi di cancellazione sicura e definitiva delle informazioni con i quali si è proceduto a tale operazione da esibire su richiesta dell’ISTAT”. È stato rappresentato, inoltre, che, “sempre rispetto alle rilevazioni 2019 e 2020”, l’ISTAT, in una specifica appendice tabellare del PSN 2017-2019, aggiornamento 2018-2019 [...], ha previsto per ogni studio i tempi di conservazione, per la prima volta, relativamente ai dati raccolti direttamente per l’indagine IST-00139, stabilisce esplicitamente un tempo di conservazione pari a 36 mesi.

Relativamente alla rilevazione dell’anno 2021, di cui al PSN 2017-2019, aggiornamento 2019, entrato in vigore l’11/02/2021, è stato rappresentato che l’Istat, pur provvedendo ad indicare i tempi di conservazione dei singoli lavori statistici direttamente all’interno delle specifiche schede informative, nella circolare del XX (prot. n. XX), ha riportato “quanto indicato nelle succitate circolari per le rilevazioni degli anni XX e XX con la medesima formulazione “indefinita””.

Medesime considerazioni sono state formulate con riferimento alle rilevazioni dal 2022 al 2024 attesa la presenza di indicazioni analoghe nelle circolari dell’Istat del XX (prot. n.XX), del XX (prot. n. XX) e del XX (prot. n. XX).

È stato rappresentato, infine, che “Per la rilevazione da effettuare nel corso dell’anno XX, con la circolare Prot. n. XX del XX [...] “per la prima volta in maniera davvero chiara e inequivocabile, l’Istat ha fornito al responsabile del trattamento il tempo e i criteri di conservazione, esplicitandone decorrenza e durata: “cancellare i dati raccolti in qualità di organo intermedio di rilevazione, di cui sia venuto a conoscenza in occasione e per le finalità dell'indagine in oggetto e che abbia trattato per conto dell'Istat, trascorsi 60 mesi dall'invio dei prospetti riepilogativi dei dati definitivi del XX, producendo una dichiarazione che documenti i metodi di cancellazione sicura e definitiva delle informazioni con i quali si è proceduto a tale operazione, da conservare presso l'Ufficio di statistica della Regione per 60 mesi e da esibire su richiesta dell'Istat” e che “Inoltre, il tempo di conservazione indicato coincide con quello riportato nella relativa scheda del PSN 2023-2025 pubblicato il 15/11/2024”.

A tale riguardo si dà atto che nel PSN, dal triennio 2023-2025, il tempo di conservazione previsto per il lavoro in esame è stato infatti esteso a 60 mesi.

La Regione ha dichiarato, inoltre, che “la Giunta regionale, quale responsabile iniziale del trattamento per conto dell’Istat, titolare del trattamento:

- ha fornito una specifica policy a LAZIOcrea S.p.A. - qualificato quale sub-responsabile del trattamento – al fine di disporre ‘la cancellazione “sicura e definitiva” dei dati personali conservati su server o su qualsiasi altro supporto che siano stati rilevati in data precedente al XX’ (così nota del XX, prot. n. XX, Allegato XX). Si specifica che, preso atto delle contestazioni dell’Autorità e seppur in assenza di qualsiasi istruzione da parte dell’Istat (come ampiamente esposto supra), in ossequio al principio di limitazione della conservazione ex art. 5, par. 1, lett. e) del RGPD, la Giunta Regionale del Lazio ha richiesto anche la cancellazione dei dati relativi alle rilevazioni precedenti all’anno 2019 (in analogia con le indicazioni relative agli anni di rilevazione successivi)”.

È stato rappresentato, infine, che la società LazioCrea ha fornito specifica documentazione attestante in particolare l’avvenuta cancellazione dei dati raccolti nella rilevazione in esame secondo le istruzioni ricevute.

3.2. Sugli obblighi derivanti dall’art. 28 del Regolamento

Con riferimento alla contestazione della violazione degli obblighi derivanti all’art. 28 del Regolemento, la Regione, con dichiarazioni della cui veridicità risponde penalmente ai sensi dell’art. 168 del Codice, ha rappresentato, che “la Giunta regionale, quale responsabile iniziale del trattamento per conto dell’Istat, titolare del trattamento, [...]:

- ha trasmesso a LAZIOcrea S.p.A., in allegato alla succitata nota del XX, prot. n. XX, a firma del Direttore-Designato, un contratto con il quale ha formalmente individuato la Società in house quale sub-responsabile del trattamento, nei limiti e alle condizioni di cui all’art. 28, par. 4, del RGPD impartendo alla stessa le medesime istruzioni ricevute dal Titolare e ivi precisando i relativi tempi di conservazione”, sollecitando formalmente la sottoscrizione di tale contratto.

4. Valutazione dell’Ufficio

4.1 Sul principio di limitazione della conservazione

L’Ufficio del Garante, all’esito dell’attività ispettiva svolta presso l’Ufficio di Statistica della Regione, ha contestato la violazione del principio di limitazione della conservazione, di cui all’art. 5, par. 1, lett. e) del Regolamento, in base al quale i dati possono essere conservati in una forma che consente l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati, nell’ambito dei trattamenti di dati personali necessari per la realizzazione del lavoro statistico “Movimento dei clienti negli esercizi ricettivi – IST-00139”, rispetto al quale la Regione agisce in qualità di responsabile del trattamento per conto di Istat, ai sensi dell’art. 28 del Regolamento.

Nelle proprie memorie difensive, la Regione ha, in sintesi, evidenziato l’assenza di istruzioni chiare e precise sul punto da parte di Istat, almeno fino al 2024.

Invero, nella prima delle circolari trasmesse, antecedente all’entrata in vigore del Regolamento, in quanto datata XX, l’Istat, per ciò che qui rileva, indica che “Ciascun responsabile del trattamento dei dati personali, designato presso l’Ufficio di statistica della Regione o della Provincia autonoma o presso altra struttura e/o ente coinvolto nelle attività oggetto della presente circolare, con riferimento al proprio ambito di competenza è tenuto in particolare a:

- [...];

- assicurare il rispetto dei principi di cui all’art. 11 del decreto legislativo 30 giugno 2003, n. 196;

- [...]

- adottare, ai sensi degli artt. 31 e seguenti del decreto legislativo 30 giugno 2003, n. 196, e ss.mm.ii, le misure di sicurezza di natura tecnica, logistica e organizzativa idonee a prevenire rischi di distruzione o perdita, anche accidentale, dei dati, accessi non autorizzati e trattamenti non conformi alle finalità della raccolta, in tutte le fasi di competenza, ivi compresa la trasmissione dei dati e la conservazione degli stessi per il periodo indicato dall’Istat”.

Al riguardo, si osserva che l’art. 11, comma 1 del Codice, abrogato dal 19 settembre 2018, per effetto del d.lgs. 10 agosto 2018, n. 101, disponeva, in particolare, “che i dati personali oggetto di trattamento sono [...] conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati”.

Con le successive circolari del XX, XX, XX, XX e XX, sopra citate, l’Istat, nel dar conto dell’entrata in vigore del Regolamento, subordina l’obbligo di cancellazione delle informazioni raccolte dai responsabili del trattamento al rispetto delle indicazioni sulle modalità e sui tempi per lo svolgimento di tale operazione che lo stesso Istituto avrebbe dovuto impartire e che, secondo quanto emerso nell’attività istruttoria, non sono state fornite fine al XX.

Solo con la circolare del XX, infatti, l’Istituto, in relazione alla cancellazione dei dati raccolti per lo svolgimento della rilevazione in esame ha indicato ai responsabili del trattamento di “[...] cancellare i dati raccolti in qualità di organo intermedio di rilevazione, di cui sia venuto a conoscenza in occasione e per le finalità dell'indagine in oggetto e che abbia trattato per conto dell'Istat, trascorsi 60 mesi dall'invio dei prospetti riepilogativi dei dati definitivi del 2025, producendo una dichiarazione che documenti i metodi di cancellazione sicura e definitiva delle informazioni con i quali si è proceduto a tale operazione, da conservare presso l'Ufficio di statistica della Regione per 60 mesi e da esibire su richiesta dell'Istat”.

Nella documentazione in atti rileva, inoltre, una nota della Divisione Sistemi Territoriali, Socio-Sanitari e Gestionali per la Sanità della società LazioCrea del XX nella quale, in riscontro ad una specifica richiesta della Regione Lazio “con la quale viene chiesto a LAZIOcrea di procedere alla cancellazione dei dati di movimento turistico registrati sul sistema RADAR in data antecedente al XX, si comunica l’avvenuta eliminazione sicura e definitiva degli stessi. L’attività di cancellazione è stata effettuata in data XX”.

In relazione a quanto precede, e ad integrazione di quanto già sopra riportato, si osserva che, in base alle Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR Versione 2.0 Adottate dal Comitato europeo per la protezione dei dati, il 7 luglio 2021, “Se il titolare del trattamento sceglie di cancellare i dati personali, il responsabile del trattamento dovrebbe garantire che la cancellazione sia effettuata in modo sicuro, anche ai fini dell’adempimento dell’articolo 32 del GDPR. Il responsabile dovrebbe confermare al titolare del trattamento che la cancellazione è stata completata entro un termine concordato e secondo modalità convenute”.

Tutto ciò premesso, fermi gli ulteriori accertamenti che l’Ufficio del Garante si riserva eventualmente di svolgere nei confronti dell’Istat in relazione ai profili in esame, si ritiene che alla luce delle memorie difensive presentate dalla Regione possa considerarsi superata la contestazione del principio di limitazione della conservazione da parte della Regione medesima (art. 5, par. 1, lett. e) del Regolamento).

La Regione (e per essa la società LazioCrea) invero, pur avendo potuto osservare un atteggiamento più proattivo nella gestione delle informazioni trattate per conto di Istat (art. 28, par. 3, lett. h) del Regolamento), ha omesso di procedere alla cancellazione delle informazioni raccolte nell’ambio della rilevazione “Movimento dei clienti negli esercizi ricettivi – IST-00139”, fintantoché non siano intervenute specifiche istruzioni al riguardo da parte dell’Istat nella sua veste di titolare del trattamento.

La Regione è poi prontamente intervenuta in tal senso non appena, in un momento successivo all’accertamento ispettivo del Garante, tali indicazioni sono state rese dall’Istat, titolare del trattamento, nella richiamata circolare del XX.

4.2. Sulla violazione degli obblighi di cui all’art. 28 del Regolamento

L’Ufficio del Garante, all’esito dell’attività ispettiva svolta presso la Regione ha contestato la violazione degli obblighi derivanti all’art. 28 del Regolamento, in quanto nella realizzazione della rilevazione statistica “Movimento dei clienti negli esercizi ricettivi – IST-00139”, nell’ambito della quale la medesima Regione assume il ruolo di Responsabile del trattamento per conto di Istat, si è avvalsa della Società LazioCrea senza designarla responsabile del trattamento.

A tale riguardo, si osserva che già a far data dal XX, l’Istat nelle sue circolari organizzative ha previsto che “Qualora, [...] l’Ufficio di statistica della Regione o della Provincia autonoma, per lo svolgimento delle attività oggetto della presente circolare, intenda avvalersi di altra struttura della stessa amministrazione e/o di altro ente competente a livello territoriale in materia di turismo, il Responsabile del trattamento [...] è autorizzato a nominare presso detto ufficio o ente un ulteriore Responsabile (di seguito Sub-responsabile) per il trattamento di dati personali da questo effettuato per conto dell’Istat, secondo quanto prescritto ai paragrafi 2 e 4 dell’art. 28 del Regolamento (UE) 2016/679.

Il Responsabile si impegna a selezionare il Sub-responsabile tra soggetti che, per esperienza, capacità e affidabilità, forniscano garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate, in modo tale che il trattamento soddisfi i requisiti prescritti dal Regolamento (UE) 2016/679, dal d.lgs. n. 196/2003 e dal d.lgs. n. 101/2018 e garantisca la tutela dei diritti degli interessati. A tal fine l’ufficio o l’ente di cui l’Ufficio di statistica della Regione o della Provincia autonoma intende avvalersi comunica al Responsabile il nominativo della persona idonea a svolgere il ruolo di Sub-responsabile.

Prima della data di inizio delle operazioni di rilevazione, il Responsabile si impegna a definire mediante un contratto o un altro atto giuridico i compiti affidati al Sub-responsabile e gli impegni da questo assunti con riferimento alla disciplina in materia di protezione dei dati personali, prevedendo garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti richiesti dalla normativa in materia sopra richiamata.

In particolare, gli obblighi imposti al Sub-responsabile devono coincidere con quelli definiti a carico del Responsabile con la presente circolare. Ai sensi della normativa vigente, infatti, qualora il Sub-responsabile ometta di adempiere ai propri obblighi in materia di protezione dei dati, il Responsabile conserva nei confronti dell’Istat l'intera responsabilità del loro adempimento (art. 28, paragrafo 4, Reg. (UE) 2016/679)”.

A tale riguardo, nel prendersi favorevolmente atto della pronta reazione della Regione che, a seguito dell’attività ispettiva, con nota del XX, prot. n. XX, ha inviato alla società LazioCrea un “Contratto di nomina quale Sub-Responsabile del trattamento, ai sensi dell’art. 28, par. 4, del RGPD dei dati personali rilevati tramite l’applicativo RADAR, nell’ambito della rilevazione IST-00139 “Movimenti dei clienti degli esercizi ricettivi”, (che non spetta tuttavia al Garante verificare in queste sede), si conferma la violazione da parte della stessa degli obblighi di cui all’art. 28 del Regolamento per la mancata tempestiva designazione della Società LazioCrea quale sub-responsabile del trattamento e per la conseguente mancata informazione al riguardo al titolare del trattamento (cfr. anche punto 1.3.4. delle Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR, cit.).

Invero, nell’atto di designazione (omnibus) della società LazioCrea quale responsabile del trattamento (deliberazione del XX, n. XX), a prescindere dalla mancata formalizzazione del ruolo della stessa di sub-responsabile, la Regione si limita a indicare che, con riferimento agli incarichi attribuiti in relazione al lavoro statistico in esame (del quale nell’atto non vi è menzione esplicita), la società offre come servizio la “Piattaforma web-based per la rilevazione delle presenze turistiche sul territorio a fini statistici. Consente alle strutture ricettive di adempiere agli obblighi di legge nei confronti dell'Agenzia del Turismo e alla Regione Lazio relativamente alla comunicazione delle presenze turistiche.

È utilizzato dall'Amministrazione Regionale per assolvere al debito informativo trimestrale e annuale verso l'ISTAT.

La piattaforma consente:

Solleciti all’utenza nei casi di mancato invio dei dati

Immissione data entry in particolare sull’anagrafica RADAR

Help desk tecnico di secondo livello all’utenza sull’immissione ed invio dati

Valutazione e correzione eventuali problematiche nell’utilizzo dell’applicativo RADAR.”.

Tale atto, quindi, non contiene l’indicazione degli obblighi in materia di protezione dei dati impartiti, nelle sue varie circolari, dall’Istat, quale titolare del trattamento, agli Uffici di statistica competenti, né tanto meno prevede specifiche garanzie per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento (art. 28, par. 4 del Regolamento; punto 1.3.4. delle Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR, cit.).

Inoltre, la Regione, non informando l’Istat, titolare del trattamento, dell’introduzione della società LazioCrea (quale sub-responsabile) nella catena di soggetti coinvolti nel trattamento, ha sostanzialmente compromesso la sua effettiva possibilità di esercitare un controllo attivo sui dati e sulle operazioni necessarie al raggiungimento delle finalità istituzionale dell’Istituto medesimo.

Le centralità della consapevolezza da parte del titolare del trattamento in ordine all’identità e quantità di sub-responsabili coinvolti nelle attività, affinché questi, in omaggio al principio di accountability, di cui all’art. 5, par. 2 del Regolamento, possa concretamente decidere sulle finalità e mezzi del trattamento durante tutta la sua durata, è ulteriormente ribadita dal Comitato europeo per la protezione dei dati nella Opinion 22/2024 on certain obligations following from the reliance on processor(s) and sub-processor(s), del 7 ottobre 2024, nella parte in cui indica che “ The Board recalls that it should be up to the initial processor to proactively provide certain information to the controller and “the processor’s duty to inform the controller of any change of sub-processors implies that the processor actively indicates or flags such changes toward the controller” This means that the information relating to the identification of all of the processor’s sub-processors should be easily accessible to the controller. The identification of those actors is particularly relevant for the controller to be able to have control over its processing activities for which it is responsible and may be held accountable in case of a violation of the GDPR” (punti 27 e 28).

5. Conclusioni

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dalla Regione, ai sensi dell’art. 168 del Codice nel corso dell’istruttoria e degli elementi forniti dalla Regione stessa nelle memorie difensive, seppure meritevoli di considerazione, non consentono tuttavia, come sopra illustrato e motivato, di superare tutti i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni, si rileva la violazione da parte della Regione, degli obblighi di cui all’art. 28 del Regolamento per la mancata tempestiva designazione della società LazioCRea quale sub-responsabile del trattamento e la conseguente mancata informazione al riguardo al titolare.

Ciò premesso, tenuto conto che:

- la Regione ha già provveduto ad inviare alla società LazioCrea una bozza di contratto di nomina quale Sub-Responsabile del trattamento, ai sensi dell’art. 28, par. 4 del Regolamento, nell’ambito della rilevazione “Movimento dei clienti negli esercizi ricettivi – IST-00139”;

- il fatto è imputabile a un comportamento colposo della Regione ampiamente motivato in atti, il quale non ha causato effetti negativi significativi sugli individui (art. 83, par. 2, lett. a) del Regolamento);

- non risultano precedenti violazioni pertinenti, aventi ad oggetto i trattamenti svolti per scopi statistici, commesse dal titolare del trattamento, né sono stati precedentemente disposti, in relazione ai predetti trattamenti, provvedimenti di cui all’art. 58 del Regolamento (art. 83, par. 2, lett. e) del Regolamento);

- la Regione si è dimostrata collaborativa nel corso dell’accertamento ispettivo e del presente procedimento, mettendo prontamente in atto misure correttive in relazione al trattamento dei dati personali effettuato, volte a sanare le violazioni contestate;

- le circostanze del caso concreto inducono a qualificare il trattamento come "violazione minore", ai sensi del considerando 148 del Regolamento e delle Linee guida WP 253, riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del Regolamento.

Si ritiene, pertanto, relativamente al caso in esame, che sia sufficiente ammonire il titolare del trattamento, ai sensi degli artt. 58, par. 2, lett. b) e 83, par. 2del Regolamento, per il mancato rispetto delle previsioni dell’art. 28 del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all'art. 17, comma 4 del Regolamento del Garante n. 1/2019.

TUTTO CIO’ PREMESSO IL GARANTE

a) ai sensi dell'art. 57, par. l, lett. a) e f) del Regolamento, dichiara l'illiceità del trattamento dei dati personali effettuato Regione Lazio (p.i. 80143490581), con sede a Roma, Via R. Raimondi Garibaldi, n. 7, per la violazione degli obblighi di cui all’art. 28 del Regolamento nei termini di cui in motivazione;

b) ai sensi dell'art. 58, par. 2, lett. b) del Regolamento, ammonisce la predetta Regione, quale responsabile del trattamento in questione, per aver violato l’art. 28 del Regolamento come sopra descritto;

c) ritiene che ricorrano i presupposti di cui all'art. 17 del Regolamento del Garante n. 1/2019;

d) ai sensi dell’art. 154-bis, comma 3 del Codice dispone la pubblicazione del presente provvedimento sul sito del Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 4 giugno 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE REGGENTE
Filippi