[doc. web n. 8997443]

Ordinanza ingiunzione nei confronti di Comune di Fiumicino - 22 febbraio 2018

Registro dei provvedimenti
n. 108 del 22 febbraio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale; 

RILEVATO che l’Ufficio del Garante, a fronte dell’invio di una nota da parte della Compagnia di Fiumicino della Guardia di finanza con la quale sono stati trasmessi un verbale di ricezione esposto datato 3 dicembre 2015 e un verbale di acquisizione di documentazione datato 18 dicembre 2015 e a fronte della nota n 5764/103067 del 26 febbraio 2016 del Dipartimento tecnologie digitali e sicurezza informatica di questo Ufficio, ha accertato che il Comune di Fiumicino Cod. fisc.:97086740582, con sede in Fiumicino, via Portuense n. 2498, in persona del legale rappresentante pro-tempore, operando in qualità di titolare del trattamento ai sensi degli artt. 4 e 28 del d.lg. 30 giugno 2003, n. 196 recante Codice in materia di protezione dei dati personali (di seguito denominato Codice) ed essendo incluso nella categoria dei destinatari del provvedimento del Garante n. 393 del 2 luglio 2015, pubblicato in Gazzetta Ufficiale n. 179 del 4 agosto 2015 (in www.garanteprivacy.it, doc web n. 4129029), non ha provveduto a inviare nel termine previsto dal citato provvedimento né in altra data la comunicazione del data breach avvenuto l’11 novembre 2015, in violazione dell’art. 154, comma 1 lett. c), del Codice;

VISTO il verbale n. 15479/103067 del 25 maggio 2016 con cui è stata contestata al predetto Comune, per non aver provveduto a inviare nel termine previsto dal citato provvedimento né in altra data la comunicazione del data breach avvenuto l’11 novembre 2015, la violazione amministrativa prevista dall’art. 162, comma 2-ter, in relazione all’art. 154, comma 1, lett.c) del Codice  informandola della facoltà di effettuare il pagamento in misura ridotta ai sensi dell’art. 16 della legge n. 689/1981;

ESAMINATO il rapporto del Nucleo speciale privacy  predisposto ai sensi dell’art. 17 della legge 24 novembre 1981, n. 689, dal quale risulta che non è stato effettuato il pagamento in misura ridotta;

VISTO lo scritto difensivo inviato ai sensi dell’art. 18 della legge 24 novembre 1981, n. 689, con il quale il Comune di Fiumicino ha evidenziato “(…) come la formulazione dell’art. 162, comma 2-ter D.Lgs. 196/03 faccia capo alla tecnica della normazione in bianco; dove cioè la determinazione del contenuto concreto della regola di condotta da osservare è affidata all’Autorità Amministrativa, ossia a una fonte secondaria, con ciò violando il principio della riserva di legge sancito dalla norma costituzionale  (…)”, per cui “(…) la norma punitiva di cui all’art. 162, comma 2-ter D.Lgs. 196/03, configurando una disposizione del tutto in bianco, ossia anche priva della sola indicazione di un perimetro di cornice (…) limitativo dello specifico intervento dell’Autorità Amministrativa (…), si pone in insanabile contrasto con il principio stabilito dall’art. 25, comma 2, Cost. e inoltre con l’art. 7 CEDU (…) nella parte in cui quest’ultima norma fa riferimento al reato (…) secondo il diritto interno ossia con riguardo alle relative fonti di produzione”. Inoltre, ha rilevato come “Dalla vicenda concreta emerge ictu oculi il dato della vicinanza temporale tra l’entrata in vigore del provvedimento prescrittivo dell’Autorità Garante (provvedimento n. 393 del 2 luglio 2015), pubblicato sulla Gazzetta Ufficiale n. 179 del 4 agosto 2015; e il fatto, di natura omissiva, contestato al Comune di Fiumicino, che risale alla scadenza delle 48 ore successive all’incidente informatico avvenuto il giorno 11 novembre 2015. A ciò si aggiunge l’ulteriore, correlativo dato della complessità operativa di una struttura articolata quale è l’ente pubblico di riferimento, che di certo richiede il decorso di un ragionevole lasso temporale, ai fini del recepimento delle novità normative incidenti sul suo assetto”. Ha lamentato poi l’intervenuta estinzione dell’obbligo di pagare la sanzione per effetto di quanto previsto dall’art. 14 della legge n. 689/1981, poiché “Nella fattispecie, si è trattato di una indagine particolarmente rapida e semplice, atteso che, è stato sufficiente per il Garante (…) consultare le proprie banche dati informatiche, per verificare che nessuna comunicazione ex Provv. 393/2015 era stata effettuata dal Comune di Fiumicino. Pertanto il dies a quo deve farsi coincidere con il giorno in cui il Garante (…) ha ricevuto la nota della Compagnia di Fiumicino della Guardia di Finanza e cioè il 13 gennaio 2016”

VISTO il verbale dell’audizione delle parti redatto in data 4 aprile 2017, ai sensi dell’art. 18 della legge n. 689/1981, nel quale il Comune di Fiumicino, nel ribadire quanto argomentato nella memoria difensiva, ha osservato come “(…) i dati personali non sono mai stati oggetto di diffusione, in quanto non vi è stato alcun accesso incontrollato ad essi. L’attacco informatico subito, infatti, è del tipo cryptolocker (della classe ronsomware), per cui i dati stessi sono stati resi indisponibili, in quanto cifrati in maniera inaccessibile, ma non sono mai stati estratti dal server del Comune”;

CONSIDERATO che le argomentazioni addotte non consentono di escludere la responsabilità del Comune di Fiumicino in relazione alla contestazione in argomento. Risulta inconferente, anche alla luce dei richiamati principi stabiliti dall’art. 25, comma 2, della Costituzione e dell’art. 7 CEDU, quanto argomentato circa il fatto che “(…) la formulazione dell’art. 162, comma 2-ter D.Lgs. 196/03 faccia capo alla tecnica della normazione in bianco (…)”, atteso che il Comune non tiene conto sia del fatto che il dispositivo del provvedimento del Garante n. 393 del 2 luglio 2015, al punto 1, prescrive, ai sensi dell'articolo 154, comma 1, lett. c), del Codice, che le pubbliche amministrazioni di cui all'articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, tra le quali deve essere annoverato il Comune di Fiumicino, devono comunicare al Garante, entro quarantotto ore dalla conoscenza del fatto, gli incidenti informatici che, come nel caso di specie, possano avere un impatto significativo sui dati personali contenuti nelle proprie banche dati, sia che l’art. 162, comma 2-ter del Codice nell’indicare gli importi minimi e massimi della sanzione amministrativa, specifica l’elemento costitutivo della condotta consistente, nel caso che ci occupa, nell’inosservanza dei provvedimenti di prescrizione di misure necessarie di cui all’art. 154, comma 1 lett. c) del Codice. 

Quanto argomentato circa “(…) il dato della vicinanza temporale tra l’entrata in vigore del provvedimento prescrittivo dell’Autorità Garante (provvedimento n. 393 del 2 luglio 2015), pubblicato sulla Gazzetta Ufficiale n. 179 del 4 agosto 2015; e il fatto, di natura omissiva, contestato al Comune di Fiumicino, che risale alla scadenza delle 48 ore successive all’incidente informatico avvenuto il giorno 11 novembre 2015” unitamente al fatto “(…) della complessità operativa di una struttura articolata quale è l’ente pubblico di riferimento (…)”, non consente di qualificare gli elementi costitutivi della disciplina sull’errore scusabile di cui all’art. 3 della legge n. 689/1981, atteso che, l'errore sulla liceità del fatto, comunemente indicato come buona fede, può rilevare come causa di esclusione della responsabilità solo quando esso risulti incolpevole. A tal fine occorre, cioè, un elemento positivo idoneo ad indurre un errore siffatto, non ovviabile dal trasgressore con l’ordinaria diligenza, elemento che non è riscontrabile nel caso di specie sia riguardo al dato della “(…) vicinanza temporale (…)” che tra l’altro non può essere tenuto in alcun conto visto il congruo tempo intercorso tra la data di entrata in vigore del provvedimento n. 393 (4 agosto 2015) e quella entro la quale effettuare la prescritta comunicazione al Garante (13 novembre 2015), sia con riferimento alla complessità operativa del Comune di Fiumicino.

Risulta privo di pregio anche quanto argomentato relativamente allo spirare del termine di cui all’art. 14, comma 2 della legge n. 689/1981, atteso che il dies a quo per la notificazione della contestazione va correttamente individuato nella data di accertamento della violazione e questa deve intendersi come la data in cui sono stati acquisiti (e valutati dall’organo accertatore) tutte le circostanze di fatto e gli elementi di diritto rilevanti ai fini dell’individuazione di una condotta sanzionata quale illecito amministrativo (ex multis Cass. Civ. 12830/06). Nel caso in esame il Comune di Fiumicino ritiene erroneamente che il termine decadenziale di cui all’art. 14 della legge n. 689/1981 decorra dal “(…) giorno in cui il Garante (…) ha ricevuto la nota della Compagnia di Fiumicino della Guardia di Finanza e cioè il 13 gennaio 2016 (…)”. In effetti la violazione, così come espressamente rilevato nel verbale contestazione, è stata accertata, ai sensi dell’art. 13 della legge n. 689/1981, con la nota del Dipartimento tecnologie digitali e sicurezza informatica datata 26 febbraio 2016, nella quale viene statuito come “(…) è possibile certamente affermare che il caso in esame ricade nella definizione di data breach di cui al provvedimento n. 393 del 2 luglio 2015”. Il Dipartimento attività ispettive e sanzioni, ricevuta la trattazione in argomento inviata dal Dipartimento competente per materia in data 5 maggio 2016, ha proceduto a notificare la contestazione nel rispetto del termine di novanta giorni previsto dall’art. 14 della legge n. 689/1981, ovvero in data 25 maggio 2016.

Anche le argomentazioni relative al fatto che “L’attacco informatico subito, (…), è del tipo cryptolocker (della classe ronsomware), per cui i dati stessi sono stati resi indisponibili, in quanto cifrati in maniera inaccessibile, ma non sono mai stati estratti dal server del Comune” risultano prive di pregio, in quanto il Comune non tiene conto di quanto previsto dal citato provvedimento n. 393 del 2 luglio 2015 che, nella premessa, individua puntualmente le fattispecie che determinano l’obbligo di comunicazione al Garante, ritenendo “necessario assoggettare il trattamento dei dati personali effettuato nell'ambito delle predette banche dati all'obbligo di comunicazione al Garante del verificarsi di violazioni dei dati o incidenti informatici (accessi abusivi, azione di malware) che, pur non avendo un impatto diretto su di essi, possano comunque esporli a rischi di violazione”;

RILEVATO, pertanto, che il Comune di Fiumicino essendo incluso nella categoria dei destinatari del provvedimento del Garante n. 393 del 2 luglio 2015, non ha provveduto a inviare nel termine previsto dal citato provvedimento né in altra data la comunicazione del data breach avvenuto l’11 novembre 2015, in violazione dell’art. 154, comma 1 lett. c), del Codice;

VISTO l’art. 162, comma 2-ter del Codice, che punisce la violazione dell’art. 154, comma 1 lett. c) del medesimo Codice con la sanzione amministrativa del pagamento di una somma da trentamila euro a centottantamila euro;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge 24 novembre 1981 n. 689, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore e che pertanto l’ammontare della sanzione pecuniaria per la violazione di cui all’art. 162, comma 2-ter, del Codice nella misura di 30.000,00 (trentamila);

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell’Ufficio, formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

ORDINA

al Comune di Fiumicino Cod. fisc.:97086740582, con sede in Fiumicino, via Portuense n. 2498, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 30.000,00 (trentamila) a titolo di sanzione amministrativa pecuniaria per la violazione prevista dall’art. 162, comma 2-ter del Codice come indicato in motivazione; 

INGIUNGE

al medesimo soggetto di pagare la somma di euro 30.000,00 (trentamila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale o in copia autentica, quietanza dell’avvenuto versamento.

Ai sensi degli artt. 152 del Codice e 10 del d. lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero. 

Roma, 22 febbraio 2018

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia