[doc. web n. 2985897]

Ordinanza di ingiunzione nei confronti di Regione Lazio - 30 ottobre 2013

Registro dei provvedimenti
n. 489 del 30 ottobre 2013

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

RILEVATO che il Nucleo speciale privacy della Guardia di finanza, in esecuzione della richiesta di informazioni ex art. 157 del Codice in materia di protezione dei dati personali – d.lg. 30 giugno 2003, n. 196 (di seguito denominato Codice) (n. 3957/61900 del 24 febbraio 2009), ha svolto, nei confronti di Lait s.p.a., gli accertamenti di cui al verbale di operazioni compiute datato 2 aprile 2009 dai quali è risultato che, tramite appositi form di raccolta presenti alle pagine web www.poslazio.it/opencms/opencms/sociale/pos/cittadino/servizi_al_cittadino/Prenotazioni_prestazioni/privacy e www.poslazio.it/opencms/opencms/sociale/pos/Registrazione/index.html, viene effettuata una raccolta di dati personali anagrafici, oltre, tra l´altro, all´indirizzo di posta elettronica, al numero di telefonia fissa e mobile, senza che venga resa un´idonea informativa agli interessati ai sensi dell´art. 13 del Codice, sia nelle predette pagine web sia tramite apposito link denominato "Note legali e privacy" presente in tutte le pagine del sito Internet www.poslazio.it;

RILEVATO, però, che, ravvisata la necessità di ulteriori approfondimenti, l´Ufficio del Garante, con le note nn.rr. 4479 del 3 giugno 2011 inviata da Lait s.p.a. e  445986 del 14 ottobre 2011 inviata dalla Direzione attività della presidenza della Regione Lazio, ha accertato che, diversamente da quanto dichiarato nel verbale di operazioni compiute, Lait s.p.a., in base a quanto previsto nell´art. 20 della Convenzione per la realizzazione, organizzazione e gestione del sistema informativo regionale (S.I.R.), non è qualificabile né come autonomo titolare né come cotitolare dei trattamenti effettuati tramite i form di raccolta in argomento, bensì come responsabile dei trattamenti medesimi, come peraltro formalizzato nell´atto di designazione ai sensi dell´art. 29 del Codice, adottato con Decreto del Presidente della Regione Lazio n. T0423 del 7 agosto 2006. A fronte di ciò, in assenza di specifiche indicazioni da parte dell´effettivo titolare del trattamento (Regione Lazio) non rinvenibili nell´atto di designazione né in altri documenti acquisiti agli atti del procedimento, Lait s.p.a. non può essere ritenuta autonomamente responsabile dell´inidoneità dell´informativa agli interessati ai sensi dell´art. 13 del Codice oggetto di contestazione;

CONSIDERATO che il procedimento amministrativo sanzionatorio aperto con il verbale n. 10 redatto in data 2 aprile 2009 dal Nucleo speciale privacy della Guardia di finanza, nei confronti di Lait s.p.a., si è concluso con l´Ordinanza di archiviazione n. 229 del 4 novembre 2011 dell´Ufficio del Garante nei confronti della medesima società;

VISTO il verbale del n. 23709/61900 del 4 novembre 2011 con cui, alla luce dei nuovi elementi acquisiti di cui sopra, è stata contestata, alla Regione Lazio C.F.: 80143490581, con sede in Roma, via Cristoforo Colombo n. 12 in persona del legale rappresentante pro-tempore, quale titolare del trattamento, la violazione amministrativa, prevista dall´art. 161 del Codice, in relazione all´art. 13, informandolo della facoltà di effettuare il pagamento in misura ridotta ai sensi dell´art. 16 della legge 24 novembre 1981, n. 689;

RILEVATO dal rapporto del predetto Ufficio del Garante, predisposto ai sensi dell´art. 17 della legge 24 novembre 1981, n. 689, relativo al suddetto verbale di contestazione, che non risulta essere stato effettuato il pagamento in misura ridotta;

VISTO lo scritto difensivo, anche se inviato ben oltre i termini previsti dall´art. 18 della legge 24 novembre 1981, n. 689, con il quale la Regione Lazio, sottolineando "(…) di essere venuta a conoscenza della contestazione elevata, tardivamente, per varie ragioni, dovute, in particolare, alla gestione iniziale della questione da parte di Lait. S.p.a. e dall´ex Direzione regionale attività della Presidenza (…) alla complessità dell´organizzazione regionale, al rinnovo delle stesse strutture amministrative, oltre che al tempo trascorso dalla contestazione (…)", ha evidenziato come, sia in base a quanto disposto dall´art. 20, commi 7 e 8 della Convenzione per la realizzazione, organizzazione e gestione del sistema informativo regionale (S.I.R.) che in relazione a quanto disciplinato dall´art. 3.4, lett b) e c) del Regolamento sulle "Misure minime di sicurezza per il trattamento dei dati personali presso le strutture della Giunta Regionale del Lazio", emanato con deliberazione della Giunta Regionale n. 1142 del 29 novembre 2004, "(…) gli incaricati del trattamento dei dati, nominati dal responsabile del trattamento – nel caso di specie il legale rappresentante di Lait s.p.a. -, avrebbero dovuto consegnare agli interessati, al momento della raccolta dei dati, il modulo contenente l´informativa di cui all´art. 13 della legge, salvo che l´informativa medesima fosse stata fornita direttamente dal titolare o dal responsabile". Sul punto, peraltro, "(…) Lait s.p.a., responsabile del trattamento dei dati in questione e, soprattutto, della gestione informatica del vasto e complesso sistema informativo Regionale, era stata resa edotta dei principi in tema di Privacy, nonché degli obblighi derivanti dall´art. 13 del Codice che, d´altra parte, la stessa ha applicato, inserendo il relativo riferimento da destinare agli interessati ai servizi offerti nelle pagine web del POS";

RITENUTO che le argomentazioni addotte non risultano idonee in relazione a quanto contestato. La notifica del verbale di contestazione è ritualmente avvenuta ai sensi dell´art. 14 della legge n. 689/1981 mediante invio, tramite posta elettronica certificata, alla casella di posta elettronica istituzionale della Regione in data 4 novembre 2011. Sul punto si evidenzia come le argomentazioni con le quali è stata richiamata la disciplina di cui all´art. 3 della legge n. 689/1981 risultano inapplicabili al caso di specie, atteso che l´errore sulla liceità del fatto, comunemente indicato come buona fede, può rilevare come causa di esclusione della responsabilità solo quando esso risulti incolpevole. A tal fine occorre, cioè, un elemento positivo idoneo ad indurre un errore siffatto, non ovviabile dall´interessato con l´ordinaria diligenza (Cass. Civ. sez. I del 21 febbraio 1995 n. 1873; Cass. Civ. sez II del 13 marzo 2006, n. 5426), elemento che, nel caso di specie, non è riscontrabile. Inoltre, circa l´obbligo di rendere un´idonea informativa agli interessati, si evidenzia come spetti al titolare del trattamento (Regione Lazio), qualora non provveda direttamente, fornire puntuali indicazioni al responsabile del trattamento medesimo (Lait s.p.a.) circa gli elementi previsti dall´art. 13 del Codice che, altrimenti, non potrebbero essere conosciuti né dal citato responsabile né, tantomeno, dagli incaricati del trattamento. La Regione non ha fornito alcun elemento di prova di aver provveduto in tal senso, atteso che né con la Convenzione per la realizzazione, organizzazione e gestione del sistema informativo regionale (S.I.R.), né con il Regolamento sulle "Misure minime di sicurezza per il trattamento dei dati personali presso le strutture della Giunta Regionale del Lazio" e neanche con l´atto di designazione quale responsabile dei trattamenti in argomento, così come formalizzato ai sensi dell´art. 29 del Codice, con Decreto del Presidente della Regione Lazio n. T0423 del 7 agosto 2006, vengono fornite alla Lait s.p.a. specifiche indicazioni circa i contenuti che avrebbero dovuto avere le informative previste dall´art. 13 del Codice per i trattamenti di dati all´origine del presente procedimento sanzionatorio;

RILEVATO che la Regione Lazio ha quindi effettuato un trattamento di dati personali (art. 4 comma 1, lett. a) e b) del Codice) senza rendere la prescritta informativa agli interessati ai sensi dell´art. 13 del Codice attraverso appositi form presenti alle pagine web www.poslazio.it/opencms/opencms/sociale/pos/cittadino/servizi_al_cittadino/Prenotazioni_prestazioni/privacy e www.poslazio.it/opencms/opencms/sociale/pos/Registrazione/index.html;

VISTO l´art. 161 del Codice che punisce la violazione delle disposizioni di cui all´art. 13 con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro;

CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge 24 novembre 1981 n. 689, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a) in ordine all´aspetto della gravità, l´entità del pregiudizio o del pericolo, l´intensità dell´elemento psicologico e le modalità concreta della condotta non sono contraddistinti da elementi specifici;

b) ai fini della valutazione dell´opera svolta dall´agente, non risultano essere stati forniti elementi di valutazione;

c) circa la personalità dell´autore della violazione, deve essere positivamente considerata la circostanza che la Regione non risulti avere precedenti specifici in termini di violazioni alle disposizioni del Codice;

d) in merito alle condizioni economiche dell´agente, al fine di commisurare l´importo della sanzione alla reale capacità economica del trasgressore nel rispetto del principio di uguaglianza, si deve valutare la natura di ente pubblico del trasgressore;

RITENUTO di dover determinare, ai sensi dell´art. 11 della legge n. 689/1981, l´ammontare della sanzione pecuniaria per la violazione dell´art. 161 del Codice nella misura di euro 12.000,00 (dodicimila);

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni ed integrazioni;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Licia Califano;

ORDINA

alla Regione Lazio C.F.: 80143490581, con sede in Roma, via Cristoforo Colombo n. 12, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 12.000,00 (dodicimila) a titolo di sanzione amministrativa pecuniaria per la violazione prevista dall´art. 161 del Codice indicata in motivazione;

INGIUNGE

al medesimo soggetto di pagare la somma di euro 12.000,00 (dodicimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale o in copia autentica, quietanza dell´avvenuto versamento.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 30 ottobre 2013

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia