Ordinanza ingiunzione nei confronti di Regione Toscana - 10 febbraio...
Ordinanza ingiunzione nei confronti di Regione Toscana - 10 febbraio 2022 [9751498]
Condividi[doc. web n. 9751498]
Ordinanza ingiunzione nei confronti di Regione Toscana - 10 febbraio 2022
Registro dei provvedimenti
n. 43 del 10 febbraio 2022
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, l’avv. Guido Scorza, componente, e il cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;
RELATORE l’avv. Guido Scorza;
PREMESSO
1. La violazione dei dati personali.
Con nota del 30 luglio 2020 - integrata con le successive note del 31 luglio e del 6 agosto 2020 - la Regione Toscana ha notificato a questa Autorità, ai sensi dell’art. 33 del Regolamento, una violazione dei dati personali, avvenuta il 27 luglio 2020. In particolare è stata rappresentata la pubblicazione accidentale di alcuni dati personali, riferiti a 3.548 interessati, che hanno partecipato, in qualità di candidati, alle prove preselettive, svoltesi nelle giornate del 21, 22 e 23 luglio 2020, del concorso pubblico per esami per l’assunzione a tempo indeterminato di n. 84 assistenti amministrativi, indetto con decreto dirigenziale n. 1076 del 24 gennaio 2020.
In particolare, la Regione Toscana ha evidenziato che in data 27 luglio 2020, alle ore 15.45, la responsabile del predetto procedimento concorsuale riceveva una segnalazione circa l’avvenuta pubblicazione, nell’ambito di un gruppo costituitosi su un sistema di messaggistica istantanea (WhatsApp) e relativo al citato concorso, “dello screenshot di una comunicazione apparentemente intercorsa tra un candidato e la società Scanshare S.r.l., affidataria del servizio di organizzazione e gestione della preselezione delle prove concorsuali e Responsabile del trattamento dei dati inerenti le prove preselettive a seguito di stipula di contratto”. In detto screenshot veniva riportato un indirizzo web dal quale era possibile scaricare un file con le anagrafiche di coloro che avevano partecipato alla preselezione nei giorni 21, 22 e 23 luglio 2020 e i punteggi delle relative prove. L’immagine di una pagina del file è stata anch’essa inviata al responsabile del procedimento e, successivamente, nella versione completa “anch’essa inviata sullo stesso gruppo whatsapp” (cfr. notifica del 30 luglio 2020), il quale “si metteva immediatamente in contatto con l’affidatario, al fine di sospendere immediatamente la pubblicazione non autorizzata e non concordata dei sopra richiamati dati e informazioni”.
La Regione ha rappresentato che, “da quanto riferito dal Responsabile del Trattamento, durante la fase di upload dei dati oggetto della violazione al fine della predisposizione dei file e documenti da inviare all'amministrazione […], è stata erroneamente inviata una email ad una candidata che chiedeva, direttamente all'affidatario, informazioni riguardo i tempi della pubblicazione dei risultati, contenente l’url che avrebbe ospitato il portale per l'accesso ai candidati del proprio test e dei risultati e “puntante” all’applicazione web in upload, e quindi incompleta, da cui è stato possibile accedere ai dati in questione. La violazione è avvenuta a causa della casuale coincidenza dell’url del portale con il percorso in cui i dati erano in trasmissione. Tale criticità, secondo quanto riportato dal responsabile del trattamento, è durata il tempo necessario affinché il trasferimento dati fosse completato. L’upload è iniziato alle 14:49 e terminato alle 15:49” (cfr. notifica del 30 luglio 2020).
La Regione ha altresì evidenziato che, dopo essere venuta a conoscenza della violazione, “già a partire dalle ore 15.45 del 27/07/2020 [… ha proceduto] alla contestazione formale all’affidatario per violazione degli obblighi assunti con il contratto di affidamento del servizio di “Organizzazione e gestione della preselezione delle prove concorsuali” CIG 815268507F, siglato dalle parti in data 17/07/2020, in particolare con riferimento all’art. 16 “Trattamento dati personali” del suddetto contratto e art. 2 relativamente agli “Obblighi del fornitore” del capitolato speciale descrittivo e prestazionale”, diffidando Scanshare S.r.l. (di seguito Società) dal “ripetere o perseverare nei citati comportamenti, lesivi e gravemente negligenti”.
La Regione ha inoltre fornito copia della relazione prodotta dalla Società in data 30 luglio 2020, nella quale, tra le altre cose, è riportato che “è stata inoltrata ad Hostinger richiesta dei log degli indirizzi IP che hanno avuto accesso ai dati. È presumibile che un numero esiguo di candidati abbia avuto accesso [e] risulta, da quanto appreso anche da pagine pubbliche facebook, che molti partecipanti alle prove preselettive anche dopo l’accesso accidentale ai dati non avessero conoscenza dei risultati” e che “i dati pubblicati accidentalmente erano contenuti in file e tabelle non di facile interpretazione”.
Con note inviate tra il 31 luglio e il 17 settembre 2020 sono pervenuti a questa Autorità numerosi reclami (diverse decine) relativi alla questione sopra descritta e presentati, anche collettivamente, dai partecipanti al predetto concorso, in relazione ai profili di competenza in materia di protezione dei dati personali.
2. L’attività istruttoria.
Con nota del 9 settembre 2020, la Regione, in risposta alle richieste di informazioni formulate dall’Ufficio, ha dichiarato, in particolare, che:
“durante la violazione i dati erano presenti sul sistema interamente gestito da parte del Responsabile e collocato presso un sistema di cloud di sua scelta. In particolare, l’incidente è avvenuto nella fase di caricamento dei dati su tale sistema; in questa fase nessuno avrebbe dovuto avere accesso ad alcunché. Nella fase di upload dei dati il sistema di protezione non era stato configurato e quindi i dati sono stati resi disponibili a chiunque avesse il link. Tale link [(“https://scanshareservice.com/regione-toscana/”)] è stato erroneamente fornito dal servizio di helpdesk del Responsabile ad un candidato, su richiesta di quest’ultimo, in data 27/07/2020, prima della data concordata per la pubblicazione autenticata, sul sito web del Responsabile, dei risultati per ciascun candidato. Il sito di Regione Toscana riportava, e riporta ancora, esclusivamente il link a tale sistema”;
“non era in alcun modo possibile l’accesso alla documentazione prodotta all’atto della presentazione della domanda in quanto questa è conservata in un sistema, diverso da quello richiamato, collocato dal Titolare presso il Sistema Cloud della Regione Toscana”;
“dopo lo svolgimento della prova preselettiva la trasmissione, da parte del Responsabile al Titolare, dei dati personali dei candidati e degli esiti della prova, è avvenuta mediante comunicazione tramite pec contenente gli esiti della prova preselettiva con l’elenco dei candidati ammessi alla prova scritta oltre i risultati delle singole prove per procedere in data 27/07/2020 (protocollo RT 0259786) in formato excel e pdf, per il proseguimento del procedimento amministrativo a partire dall’elenco dei canditati ammessi alla prova successiva”;
“la Regione ha nominato la Società, ai sensi dell’art. 28 del Regolamento, responsabile del trattamento (come da contratto per l’affidamento del servizio “Organizzazione e gestione della preselezione delle prove concorsuali”) ma non ha mai “ricevuto comunicazioni né richieste di autorizzazione, da parte della [stessa], riguardanti il coinvolgimento di soggetti terzi e la loro nomina a sub-responsabili del trattamento dei dati”.
Con successiva nota del 20 novembre 2020, la Regione ha inoltre fornito all’Autorità l’offerta tecnica della Società, affidataria del servizio di organizzazione e gestione della preselezione delle prove concorsuali, parte integrante del contratto di affidamento del servizio, in cui viene specificato che “la Scanshare garantirà, immediatamente dopo la conclusione delle prove, l’accesso online degli elaborati, della scheda anagrafica, del codice di abbinamento e del correttore al Candidato che, con username e password, potrà visionare il proprio elaborato” (v. all. 3 alla citata nota del 20 novembre 2020).
Con nota del 4 dicembre 2020, l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato alla Regione Toscana, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto le presunte violazioni degli artt. 5, par. 1, lett. a), e 6, par. 1, lett. c) ed e), del Regolamento e dell’art. 2-ter del Codice (nel testo anteriore alle modifica apportate dal d.l. 8 ottobre 2021, n. 139, convertito, con modificazioni, dalla l. 3 dicembre 2021, n. 205), invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, l. 24 novembre 1981, n. 689).
La Regione ha fatto pervenire le proprie memorie difensive con nota del 4 gennaio 2021, rappresentando, tra l’altro, che:
“nonostante tutte le cautele adottate da parte dell’Ente, la Ditta affidataria si è resa comunque responsabile dell’incidente di “Data breach” occorso a latere della procedura concorsuale, causato da una comunicazione diretta via mail ad una candidata, da parte di un dipendente della Ditta “Scanshare”, della URL ove erano, incidentalmente, in fase di upload i dati riferiti ai candidati che hanno partecipato alle prove preselettive della procedura in oggetto”;
“tale comunicazione diretta non [è] mai stata autorizzata dall’Amministrazione, risultando al contrario fornita in aperta violazione delle clausole contrattuali […]. Diversamente, nel Capitolato speciale, descrittivo e prestazionale per l’appalto del servizio di organizzazione e gestione delle procedure preselettive è previsto che “La Scanshare garantirà, immediatamente dopo la conclusione delle prove, l’accesso on-line degli elaborati, della scheda anagrafica, del codice di abbinamento e del correttore al Candidato che, con username e password, potrà visionare il proprio elaborato” […] proprio al fine di assicurare la sicurezza degli accessi ai soli abilitati”;
la Regione “non appena avuta conoscenza di quanto accaduto, ha posto in essere una reazione immediata e tempestiva, agendo sin da subito, ogni strumento di denuncia e di tutela previsti dall’Ordinamento vigente, finanche nell’obiettivo di attenuare, per quanto inerente al proprio potere di azione, le conseguenze negative dell’accaduto nei confronti di tutti gli interessati”;
“come riferito dalla Ditta affidataria Responsabile del trattamento, l’accesso all’ambiente nella fase di caricamento dei dati dei candidati è avvenuto solo per comunicazione accidentale diretta ad un solo candidato della URL per l’accesso – e rimane a tutt’oggi indimostrato che tale candidato abbia diffuso ad altri le credenziali di accesso. È ragionevole affermare come rintracciare la URL tramite una ordinaria “navigazione” sul web nel lasso temporale (comunque limitato) di upload dei dati fosse, se pur non impossibile, talmente arduo da assumere il carattere della assoluta improbabilità; per quanto ragionevole e conosciuto dalla Scrivente dunque, l’esposizione ha comunque prodotto un solo accesso non consentito, con tutte le conseguenti valutazioni in ordine alla gravità della violazione”;
“già in fase prodromica all’avvio delle selezioni, [la Regione con] l’articolo 16 del contratto di affidamento di servizio stipulato con la Ditta affidataria prescrive che “L’appaltatore, in quanto Responsabile, fornisce garanzie sufficienti, in particolare in termini di conoscenze specialistiche, affidabilità e risorse, per attuare misure tecniche e organizzative che soddisfino i requisiti normativi sanciti dal GDPR, dal Codice Privacy e da qualsiasi altra norma connessa inerente al trattamento dei dati personali, comprese le misure di sicurezza del trattamento, per garantire la riservatezza e la protezione dei diritti degli interessati. L’appaltatore, in quanto Responsabile, è tenuto ad assicurare e far assicurare ai propri dipendenti, collaboratori e responsabili ulteriori, la riservatezza ed il corretto trattamento delle informazioni, dei documenti e degli atti amministrativi, dei quali venga a conoscenza durante l’esecuzione della prestazione”;
“la Scrivente […], all’indomani dell’avvenuta conoscenza della violazione, [ha adottato] ogni provvedimento utile a scongiurarne i negativi effetti, in prima istanza agendo a garanzia della posizione soggettiva degli interessati, […] comunicando ad ognuno degli oltre tremilacinquecento candidati, tempestivamente, […], l’incidente del “data breach” occorso. In seconda istanza, anche a scopo dissuasivo di ulteriori violazioni, ha provveduto ad inviare diffida nei confronti della Ditta responsabile “Scanshare” già in data 29/07/2020”;
“in data 23/12/2020, Regione Toscana ha inviato ulteriore diffida alla Ditta affidataria, anche in relazione alla ultima contestazione di codesta Autorità del 03/12/2020, riservandosi ogni azione di rivalsa ove, all’esito del presento procedimento, dovesse esserle comminata una sanzione”.
3. Esito dell’attività istruttoria.
3.1. Il quadro normativo.
La disciplina in materia di protezione dei dati personali prevede che i soggetti pubblici, anche qualora operino nello svolgimento di procedure concorsuali, selettive o comunque valutative, prodromiche all’instaurazione del rapporto di lavoro, possono trattare i dati personali degli interessati (art. 4, punto 1), del Regolamento), se il trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” (si pensi a specifici obblighi previsti dalla normativa nazionale “per finalità di assunzione”, artt. 6, par. 1, lett. c), 9, parr. 2, lett. b), e 4, e 88 del Regolamento) oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. e), del Regolamento).
La normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento). Al riguardo, si evidenzia che l’operazione di “diffusione” di dati personali (come la pubblicazione online), da parte di soggetti pubblici, è ammessa solo quando prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento (art. 2-ter del Codice, poi modificato dal citato d.l. 8 ottobre 2021, n. 139).
Il titolare del trattamento è poi, in ogni caso, tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” (art. 5, par. 1, lett. a), del Regolamento).
Il titolare, nell’ambito della predisposizione delle misure tecniche e organizzative che soddisfino i requisiti stabiliti dal Regolamento, anche sotto il profilo della sicurezza (artt. 24 e 32 del Regolamento), può avvalersi di un responsabile per lo svolgimento di alcune attività di trattamento, cui impartisce specifiche istruzioni (cfr. considerando n. 81 del Regolamento). In tal caso il titolare “ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto [le predette misure] adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti degli interessati” (art. 28, par. 1, del Regolamento).
3.2. La diffusione dei dati personali.
In via preliminare si prende atto che la Regione ha tempestivamente notificato la violazione dei dati personali all’Autorità e ha prontamente informato, mediante un messaggio di posta elettronica, gli interessati coinvolti nella violazione, in conformità agli art. 33 e 34 del Regolamento, adottando altresì misure - che l’Ufficio ha ritenuto adeguate - per porre rimedio alla violazione e attenuarne i possibili effetti negativi nei confronti degli interessati (v. nota del 31 luglio 2020).
Dall’accertamento compiuto sulla base degli elementi acquisiti nonché delle successive valutazioni, risulta che i candidati hanno proceduto all’iscrizione al predetto concorso indetto dalla Regione, tramite il portale in questione, e che, nei giorni precedenti alle prove preselettive, la stessa ha inviato alla Società, fornitrice del servizio di organizzazione e gestione della fase preselettiva, responsabile del trattamento, i dati necessari all’espletamento di tali prove (nome, cognome, data di nascita e codice fiscale di ciascun partecipante alla procedura). Successivamente, la Società ha proceduto al “caricamento” dei dati relativi alle prove espletate sul server che avrebbe ospitato l’applicazione web per la consultazione da parte di ciascun candidato dei propri dati. In tale circostanza si è verificato l’incidente di sicurezza che ha dato luogo alla diffusione di numerosi dati personali (riferiti a circa 3.600 partecipanti alla fase preselettiva nei giorni 21, 22 e 23 luglio 2020).
Sul punto si osserva che il titolare del trattamento è tenuto a “mettere in atto misure adeguate ed efficaci [e a …] dimostrare la conformità delle attività di trattamento con il […] Regolamento, compresa l’efficacia delle misure” adottate (considerando 74 del Regolamento) e, in tale ambito, ai fini della predisposizione delle misure tecniche e organizzative che soddisfino i requisiti stabiliti dal Regolamento, può ricorrere anche a un responsabile per lo svolgimento di alcune attività di trattamento, al quale impartisce specifiche istruzioni, anche sotto il profilo della sicurezza (v. considerando 81 del Regolamento).
In base al Regolamento, i dati devono essere “trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (art. 5, par. 1, lett. f), del Regolamento).
In ogni caso il titolare rimane responsabile dell’attuazione delle misure tecniche e organizzative adeguate a garantire e essere in grado di dimostrare che il trattamento è effettuato in conformità al Regolamento. Sul titolare ricadono, infatti, le decisioni circa le finalità e le modalità del trattamento dei dati personali degli interessati nonché una “responsabilità generale” in relazione ai trattamenti posti in essere (v. art. 5, par. 2 che formalizza la c.d. “accountability” e 24 del Regolamento), anche quando questi siano effettuati da altri soggetti “per suo conto” (cons. 81, artt. 4, punto 8) e 28 del Regolamento; provv. 17 settembre 2020, n. 160 doc. web n. 9461168 e, da ultimo, provv. 10 giugno 2021, n. 235, doc. web n. 9685922).
A tal fine, affinché il titolare sia in condizione di rispettare i propri obblighi in materia di protezione dei dati e sia in condizione di dimostralo, l’accordo che disciplina il rapporto con il responsabile del trattamento, deve avere un sufficiente livello di dettaglio in merito a tali misure (artt. 5, par. 2, e 24 del Regolamento; cfr., sul punto, con espresso riferimento al rapporto tra gli articoli 5, par.2, 24 e 32 del Regolamento Guidelines 7/2020 on the concepts of controller and processor in the GDPR, adottate dal Comitato europeo per la protezione dei dati il 7 luglio 2021, in particolare, par. 2.1.4, punti 8, 19, 41 e 126).
Nel caso di specie, è emerso che la Regione, con il contratto di affidamento del servizio, abbia regolamentato, ai sensi dell’art. 28 del Regolamento, il rapporto con la Società, prevedendo che la Società si impegnasse a “non mettere in atto, per nessun motivo, trattamenti di dati diversi da quelli autorizzati dal Titolare” e oggetto del contratto (cfr., art. 16 del citato contratto di affidamento del servizio).
In particolare, seppur nell’offerta tecnica che costituisce parte integrante del citato contratto, la Società, responsabile del trattamento, si era altresì impegnata a garantire “immediatamente dopo la conclusione delle prove, l’accesso on-line degli elaborati, della scheda anagrafica, del codice di abbinamento e del correttore al Candidato che, con username e password, potrà visionare il proprio elaborato” (all. 3 alla nota della Regione Toscana del 20 novembre 2020, p. 31), risulta accertato che, nello svolgimento delle attività necessarie alla predisposizione dell’applicazione web per la consultazione da parte di ciascun candidato dei propri dati, la Società non avesse tuttavia adottato alcuna misura idonea a garantire che i dati personali di ciascun interessato fossero resi disponibili esclusivamente allo stesso o a soggetti autorizzati.
In particolare, la mancata adozione di procedure di autenticazione informatica - in occasione della predetta operazione di upload dei dati, in data 29 luglio 2020, dalle ore 14:49 alle 15:49 - ha reso possibile a chiunque si fosse collegato all’indirizzo web https://scanshareservice.com/regione-toscana/, peraltro erroneamente messo a disposizione di una candidata, di accedere liberamente ai dati personali dei circa 3.600 interessati partecipanti alla procedura (ossia, nome, cognome, data di nascita, codice fiscale, giorno della prova e sessione di convocazione, numero di questionario estratto per la sessione alla quale ha partecipato ciascun candidato, esiti dettagliati dei singoli questionari e punteggio complessivo).
Ciò ha dato luogo a una diffusione di dati personali, trattati nell’ambito della predetta procedura concorsuale indetta dalla Regione e di cui la stessa deve essere ritenuta responsabile in base al Regolamento (artt. 5, par. 2, e 24 del Regolamento). Le argomentazioni difensive della stessa seppur tenute in debita considerazione ai fini del presente provvedimento, non sono infatti sufficienti a escludere completamente la responsabilità del titolare del trattamento con riguardo agli obblighi derivanti dalla disciplina in materia di protezione dei dati personali.
Tanto premesso, l’assenza di misure tecniche e organizzative adeguate ai rischi connessi alla specifica operazione di upload dei dati - ancorché riconducibile principalmente alla mancata predisposizione di specifiche misure di controllo degli accessi sul server in questione da parte della Società, responsabile del trattamento - ha creato le premesse per il verificarsi della violazione di sicurezza che ha comportato la diffusione online dei dati personali dei candidati, in violazione degli artt. 5, par. 1, lett. a), e 6, par. 1, lett. c) ed e), del Regolamento e dell’art. 2-ter del Codice, di cui la Regione, titolare del trattamento, deve essere comunque ritenuta responsabile ai sensi degli artt. 5, par. 2 e 24 del Regolamento.
4. Conclusioni.
Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dalla Regione Toscana, in relazione alla diffusione dei dati personali relativi a numerosi candidati della menzionata procedura concorsuale e di numerose informazioni relative alle prove preselettive svolte dagli stessi, comprensivi anche dell’esito e della votazione conseguita da ciascuno, in violazione degli artt. 5 e 6 del Regolamento e dell’art. 2-ter del Codice (nel testo anteriore alle modifiche di cui al d.l. 8 ottobre 2021, n. 139).
La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo e dell’art. 166, comma 2, del Codice.
In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.
5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).
Il Garante, ai sensi degli artt. 58, par. 2, lett. i), e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).
Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.
La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.
In relazione ai predetti elementi, è stato considerato l’elevato numero (oltre tremila partecipanti al concorso) di interessati i cui dati sono stati diffusi.
Di contro, è stato considerato che la violazione dei dati personali in questione – protrattasi comunque per un breve arco temporale (circa un’ora) – è risultata essere riconducibile principalmente alla mancata predisposizione di specifiche misure di sicurezza da parte del responsabile del trattamento e che il titolare del trattamento, dopo essere venuto a conoscenza della stessa, ha adottato adeguate misure per porvi rimedio e attenuarne i possibili effetti negativi nei confronti degli interessati. La Regione ha inoltre prestato la propria ampia collaborazione nel corso dell’istruttoria.
Non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento.
In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria, nella misura di euro 10.000 (diecimila) per la violazione degli artt. 5 e 6 del Regolamento e dell’art. 2-ter del Codice (nel testo anteriore alle modifiche di cui al d.l. 8 ottobre 2021, n. 139), quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.
Tenuto conto dei numerosi interessati coinvolti nella violazione dei predetti dati, ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito web del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e dall’art. 16 del Regolamento del Garante n. 1/2019.
Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
TUTTO CIÒ PREMESSO IL GARANTE
ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecita la condotta tenuta dal Regione Toscana, descritta nei termini di cui in motivazione, consistente nella violazione degli artt. 5 e 6 del Regolamento e dell’art. 2-ter, del Codice (nel testo anteriore alle modifiche di cui al d.l. 8 ottobre 2021, n. 139), nei termini di cui in motivazione;
ORDINA
alla Regione Toscana, in persona del legale rappresentante pro-tempore, con sede legale in Firenze (FI), Piazza Duomo 10, C.F. 01386030488, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 5, del Regolamento e dell’art. 166, comma 2, del Codice, di pagare la somma di euro 10.000 (diecimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione;
INGIUNGE
alla Regione Toscana di pagare la somma di euro 10.000 (diecimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981. Al riguardo, si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro 30 giorni dalla data della notifica del presente provvedimento, ai sensi dell’art. 166, comma 8, del Codice (cfr. anche art. 10, comma 3, del d.lgs. n. 150 dell’1/9/2011);
DISPONE
la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice;
l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento.
Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 10 febbraio 2022
IL PRESIDENTE
Stanzione
IL RELATORE
Scorza
IL SEGRETARIO GENERALE
Mattei
