Provvedimento del 10 aprile 2025 [10140301]
Provvedimento del 10 aprile 2025 [10140301]
Condividi[doc. web n. 10140301]
Provvedimento del 10 aprile 2025
Registro dei provvedimenti
n. 200 del 10 aprile 2025
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il dott. Claudio Filippi, segretario generale reggente;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale reggente ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;
Relatore l'avv. Guido Scorza;
PREMESSO
1. Introduzione.
Con reclamo presentato il XX ai sensi dell’art. 77 del Regolamento, la Sig.ra XX ha lamentato, in particolare, che, in data XX, un operatore di un ufficio provinciale dell’Ente di patrocinio e assistenza per i cittadini e l’agricoltura (di seguito, anche “EPACA”, “Ente” o “Patronato”) avrebbe effettuato un accesso ai propri dati personali, detenuti presso l’INPS, indicando come giustificativo “proroga di delega”, nonostante la stessa ritenesse di non aver mai conferito alcun mandato al predetto ufficio provinciale dell’Ente.
2. L’attività istruttoria.
Nell’ambito dell’istruttoria, l’Ente, con nota del XX ha rappresentato, in particolare, che:
- l’operatore del predetto ufficio provinciale “in data XX analizzando le pratiche messe a scadenziario dai colleghi relative agli estratti certificativi, h[a] rilevato che in data XX per la [… reclamante] era stata inserita [da una] ex collega […] una scadenza per un aggiornamento della posizione con relativa richiesta di certificativo”; “la data dell’invito inserita era XX e la data di scadenza era XX”;
- “preoccupato per la scadenza già passata, consapevole che un estratto certificativo di norma si chiede qualche mese prima della domanda di pensione, h[a] cercato nel programma […] se nell’anagrafica ci fosse un numero di telefono o una mail per contattarla velocemente al fine di non farle perdere eventuali diritti [ma] nell’anagrafica non era inserito nessun recapito telefonico o di posta elettronica”;
- “a questo punto, considerato che la signora si era affidata [all’Ente] nel XX per una consulenza previdenziale e che tale consulenza doveva proseguire con un aggiornamento mediante la richiesta di estratto certificativo, [… è] entrato sul sito dell'INPS inserendo il codice fiscale sulla delega che non risultava revocata da nessuno e h[a] fatto proroga; poi [è] entrato nel suo estratto ed h[a] rilevato che fortunatamente la decorrenza della pensione slittava ancora di qualche anno”;
- ciò stante, l’operatore del predetto ufficio provinciale “ha chiesto l’acquisizione dell’estratto – conto della [… reclamante] esclusivamente per il calcolo degli anni di contribuzione e le eventuali finestre di pensionamento, al fine di accertare che la stessa subisse un ritardo nella presentazione della domanda di pensione […agendo] nell’interesse e per finalità di tutela dell’utente [e, tuttavia] con leggerezza, e, comunque, in violazione delle istruzioni e direttive date a tutti i dipendenti”; “è anche vero che l’accesso è stato fatto in stato di necessità poiché [il predetto operatore] riteneva di aver causato un danno all’utente”;
- “è stato interesse [… del] Patronato attivarsi per un provvedimento disciplinare nei confronti dell’addetto Epaca, poiché ha disatteso le istruzioni impartite in materia di privacy”;
- “per l'erogazione dei propri servizi, il Patronato si avvale di moduli prestampati per l'acquisizione della delega da parte degli interessati che intendano presentare formalmente una propria richiesta [… e] in base alle disposizioni impartite dalla Sede centrale [dell’Ente], nessuna operazione richiesta dagli utenti può essere effettuata dagli uffici del Patronato stesso in assenza di delega scritta (previamente acquisita) da parte di questi ultimi. Gli addetti Epaca sono stati [infatti] istruiti e formati in ordine alla necessaria acquisizione, al momento della raccolta dei dati riferiti agli utenti, del "modulo contenente il mandato di assistenza e rappresentanza"”.
Successivamente, con nota del XX, l’Ente, nel far pervenire ulteriori elementi di informazione, ha dichiarato in particolare che:
- “il mandato conferito dalla [… reclamante] non è più in possesso [… del] Patronato, in quanto trattasi di un mandato rilasciato nel XX, per cui vi era l’obbligo di conservarlo fino alla data del XX, alla luce di quanto previsto dall’art. 11, comma 3, del Dm del Ministero del Lavoro e delle Politiche Sociali del 10 Ottobre 2008, n. 193”;
- i “dati personali della [… reclamante] sono stati conservati per cinque anni, con le modalità di trattamento - Informativa privacy di Epaca”.
Si dà atto, inoltre, che, come successivamente emerso nell’ambito dell’istruttoria (cfr. nota della reclamante del XX nonché nota di EPACA del XX), l’Ente è stato investito, giusto mandato, della gestione della pratica della reclamante - la quale, per questo genere di questioni, è solita rivolgersi alla organizzazione sindacale a cui è iscritta - in quanto, in base ad una convenzione in essere sin dal 2005, tale organizzazione si avvale proprio del supporto di EPACA ai fini dell’erogazione verso i propri iscritti di servizi analoghi a quelli fruiti dalla reclamante.
Con nota del XX, l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato ad EPACA, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, sul presupposto che il predetto Ente, avendo conservato i dati personali della reclamante per un periodo temporale superiore a quello di cinque anni previsto dalla disciplina di settore, ha acceduto ai dati personali della reclamante presso la banca di dati di INPS in mancanza di uno specifico e valido mandato che potesse considerarsi ancora produttivo di effetti giuridici nei confronti dell’Ente medesimo, in maniera non conforme ai principi di “liceità, correttezza e trasparenza” e “limitazione della conservazione” nonché in assenza di un idoneo presupposto normativo, in violazione degli artt. 5, par. 1, lett. a) ed e), e 6 del Regolamento e degli artt. 2-ter e 116 del Codice. Con la medesima nota, il predetto titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).
Con nota del XX, l’Ente ha presentato una memoria difensiva al riguardo e, in data XX, è stato sentito in audizione.
3. La normativa in materia di protezione dei dati personali e la disciplina di settore applicabile
In base alla normativa europea in materia di protezione dei dati, il trattamento di dati personali è lecito solo a condizione che lo stesso si fondi su una delle basi giuridiche previste dal Regolamento (cfr. artt. 5, par. 1, lett. a), 6, 9 e 10 del Regolamento) e sia assicurato il rispetto dei principi in materia di protezione dei dati, fra i quali, in particolare, per quanto di maggior rilevanza ai fini del caso di specie, quelli di “liceità, correttezza e trasparenza” e di “limitazione della conservazione” (art. 5, par. 1, lett. a) ed e), del Regolamento).
Spetta, in ogni caso, al titolare del trattamento mettere in atto misure tecniche ed organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente alla normativa in materia di protezione dei dati personali (artt. 5, par. 2, e 24 del Regolamento).
Con più specifico riferimento al caso di specie, si evidenzia che gli istituti di patronato e di assistenza sociale, quali enti di diritto privato che svolgono un servizio di pubblica utilità (cfr. art. 1 della l. 30 marzo 2001, n. 152), possono trattare, in qualità di titolari del trattamento, i dati personali dei propri utenti, per lo svolgimento delle proprie attività e l’erogazione dei propri servizi, in particolare se il trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e) del Regolamento; v. anche art. 2-ter del Codice; con riguardo al trattamento di categorie particolari di dati, cfr. artt. 9 del Regolamento e 2-sexies del Codice).
In tale quadro, l’art. 116, comma 1, del Codice, prevedendo espressamente che, “per lo svolgimento delle proprie attività gli istituti di patronato e di assistenza sociale, nell’ambito del mandato conferito dall’interessato, possono accedere alle banche di dati degli enti eroganti le prestazioni, in relazione a tipi di dati individuati specificamente con il consenso manifestato dall’interessato medesimo”, richiede, tra l’altro, quale indefettibile presupposto dell’accesso, da parte di tali istituti, alle banche di dati degli enti eroganti le prestazioni, anche il conferimento di un apposito e specifico mandato da parte dell’utente interessato. Ciò anche alla luce della disciplina di settore applicabile, che, nel disciplinare le attività di consulenza, di assistenza e di tutela degli istituti di patronato, stabilisce, tra l’altro, che gli stessi, in nome e per conto dei propri assistiti e su mandato degli stessi, possono presentare domanda e svolgere tutti gli atti necessari per il conseguimento delle predette prestazioni (cfr. art. 8 della l. 30 marzo 2001, n. 152).
La disciplina di settore applicabile stabilisce, inoltre, che “ciascuna sede degli istituti di patronato è tenuta a conservare, per cinque anni ed a presentare per i controlli, tutta la documentazione riguardante l’attività svolta […]” (cfr., in particolare, art. 11, comma 3, del Decreto del Ministero del lavoro e delle politiche sociali del 10 ottobre 2008, n. 193, recante “Regolamento per il finanziamento degli istituti di patronato, ai sensi dell'articolo 13, comma 7, della legge 30 marzo 2001, n. 152”; v. anche, in senso analogo, art. 16, comma 1, lett. e), del D.M. anzidetto, per cui “gli istituti di patronato devono […] conservare per cinque anni e presentare, per eventuali controlli, tutta la documentazione riguardante l’attività svolta e quanto altro utile ai fini della valutazione dei servizi resi”).
4. Esito dell’attività istruttoria.
All’esito dell’attività istruttoria, è emerso che l’Ente, giusto mandato, è stato investito della gestione della pratica relativa alla reclamante nel XX e che, ritenendo di operare nel quadro delle previsioni obbligatorie di cui agli artt. 11, comma 3, e 16, comma 1, lett. e), del D.M. 193/2008, ha conservato il predetto mandato conferito dalla reclamante per un arco temporale pari a cinque anni, sino al XX.
Risulta altresì che l’Ente, in data XX, ritenendo che nel caso di specie “il mandato non era ancora cessato” (cfr. memorie difensive del XX) e malgrado lo stesso non fosse più in suo possesso (cfr. nota del XX), ha fatto accesso ai dati personali della reclamante contenuti nella banca di dati dell’INPS, indicando come giustificativo “proroga di delega”, al fine di dare esecuzione alla prestazione consulenziale richiesta dalla reclamante mediante il conferimento del mandato.
Nell’ambito dell’istruttoria, l’Ente ha, inoltre, dato atto di aver avviato un procedimento disciplinare nei confronti dell’operatore dell’ufficio provinciale che ha effettuato l’accesso interrogando la banca di dati dell’INPS, posto che lo stesso risultava aver violato le istruzioni impartite in merito al trattamento dei dati personali.
Al riguardo, si rileva in primo luogo come - nonostante, come detto, l’Ente non disponesse più della copia del mandato conferito dalla reclamante già a partire dal XX (in ossequio a quanto previsto dalle richiamate previsioni di cui al predetto D.M. 193/2008) - la conservazione, in generale, dei dati personali della reclamante medesima, acquisiti mediante il predetto mandato e nel corso della sua esecuzione, si sia protratta per un arco temporale superiore a quello previsto per il mandato che ne giustificava il trattamento.
Sotto tale profilo, l’Ente, sebbene in una prima fase dell’istruttoria avesse riferito, genericamente, di aver conservato i dati personali della reclamante per cinque anni (v. nota del XX), ha poi precisato che, mentre “ai sensi della disciplina di settore, la conservazione del fascicolo (di cui fa parte sia il mandato che la “autorizzazione privacy”) è prevista per 5 anni per la finalità relativa allo svolgimento dei controlli da parte del Ministero del Lavoro e delle Politiche Sociali; diversamente la conservazione dei dati personali in forza del mandato si protrae fino alla conclusione dello stesso”, circostanza che talvolta può comportare “la possibile conservazione dei dati personali anche per un lungo periodo, come avvenuto nel caso di specie, atteso che l’interessata aveva richiesto la consulenza diversi anni prima della data prevista per il suo pensionamento” (cfr. verbale di audizione del XX; v., in senso analogo, anche memorie difensive del XX).
Premesso che, in base alla richiamata disciplina di settore (cfr. artt. 11, comma 3, e 16, comma 1, lett. e), del predetto D.M. 193/2008), il termine di conservazione quinquennale è riferito a tutti i documenti inerenti all’attività consulenziale svolta e, dunque, non solo al mandato, come invece sostenuto dall’Ente, ma a tutti i documenti acquisiti o prodotti nell’ambito dell’esecuzione dell’incarico, i quali di regola contengono anche i dati personali dell’interessato mandante, con riguardo al caso di specie occorre evidenziare quanto segue.
Ancorché l’Ente ritenesse di operare nell’esclusivo interesse della reclamante o, comunque, per prevenire il rischio di danni a suo carico, l’accesso ai dati della reclamante presso la banca di dati dell’INPS risulta essere stato effettuato in assenza di uno specifico e valido mandato che potesse considerarsi ancora produttivo di effetti giuridici nei confronti dell’Ente medesimo, oltreché dello specifico consenso previsto dall’art. 116, comma 1, del Codice. Nel caso di specie, infatti, l’Ente ha dichiarato che, al momento della consultazione della banca di dati dell’INPS, non era più in possesso del mandato, né lo stesso risulta aver prodotto in atti documentazione idonea a comprovare l’avvenuta prestazione del predetto consenso da parte dell’interessata, ancorché lo stesso non fosse “stato mai revocato” formalmente (cfr. memorie difensive del XX).
L’assenza dei presupposti legittimanti l’accesso alla banca di dati dell’INPS ai sensi dell’art. 116, comma 1, del Codice, sopra richiamato, risulta peraltro confermata anche dalla stessa circostanza che l’Ente ha poi avviato un procedimento disciplinare nei confronti dell’operatore che lo ha materialmente effettuato, proprio ritenendo che lo stesso avesse disatteso le istruzioni impartite in merito al trattamento dei dati personali.
In tale contesto, non può quindi essere ritenuta rilevante per escludere la responsabilità dell’Ente la circostanza che “l’I.N.P.S., per altro, nella fattispecie ha consentito all’operatore di patronato di cliccare un tasto “proroga” della delega precedente per accedere ai dati aggiornati, sempre in forza del mandato già conferito che era quello del XX […e che, pertanto, secondo l’Ente,] per I.N.P.S., riutilizzare un mandato per accedere ai dati aggiornati, quando il mandato deve ancora esaurire i suoi effetti, è una azione consentita” (cfr. memorie difensive del XX; v., in senso analogo, verbale di audizione del XX). Anche in un’ottica di “responsabilizzazione” (art. 5, par. 2, del Regolamento), infatti, spetta all’Ente, in qualità di titolare del trattamento, comprovare adeguatamente la ricorrenza dei presupposti per effettuare l’accesso alla banca di dati dell’INPS, tra i quali, in particolare, la copia del mandato rilasciato dall’utente e il consenso previsto dall’art. 116, comma 1, del Codice.
Né rileva quanto, al riguardo, è stato riferito dall’Ente con le proprie memorie difensive, per cui, in particolare, “nel caso di specie, […] i dati personali [della reclamante] sono stati raccolti per finalità determinate che erano quelle del calcolo presuntivo della decorrenza della pensione ed il suo aggiornamento in caso di variazione delle norme, [… ed il relativo trattamento è stato necessario] per dare attuazione al mandato di assistenza fino al momento della liquidazione definitiva della pensione [… tenuto conto in particolare che la reclamante] non era stata collocata in pensione, per cui il mandato già conferito nel XX agli effetti dell’accesso fatto nel XX era ancora in essere in quanto la medesima non lo aveva mai revocato” (cfr. memorie difensive del XX; v., in senso analogo, verbale di audizione del XX). Al riguardo, occorre, infatti, rammentare come l’Ente abbia indicato come causale dell’accesso una “proroga di delega” e come, dall’esame della documentazione in atti, non si ravvisino specifiche evidenze idonee a comprovare che, nel caso in esame, la reclamante abbia mai effettivamente assunto iniziative volte a richiedere o, comunque, a convalidare una proroga del mandato originariamente conferito.
Né, ancora, per le ragioni anzidette, può essere invocato il fatto che la reclamante “avrebbe potuto chiedere ad Epaca, ai sensi degli artt. 15 e ss. del GDPR, la cancellazione dei Suoi dati personali, cosa che non è stata mai fatta” (cfr. memorie difensive del XX), o che “dovere e correttezza imponevano all’assistita - qualora avesse voluto rivolgersi ad altro patronato per il medesimo servizio, ovvero revocare il mandato, sulla base delle informazioni che EPACA mette a disposizione sul proprio sito - di comunicare tale circostanza a mezzo raccomandata all’Ente oltre che all’INPS” (cfr. verbale di audizione del XX). L’omesso esercizio dei diritti ai sensi degli artt. 15-22 del Regolamento da parte dell’interessata, infatti, non esonera il titolare dall’obbligo di adottare le misure necessarie a garantire la conformità al quadro normativo in materia di protezione dei dati personali.
Tutto ciò premesso, risulta che il trattamento di dati personali in questione - consistente nella conservazione dei dati personali della reclamante per un arco temporale superiore a quello previsto per il mandato che ne giustificava il trattamento, e, comunque, superiore a quello di cinque anni previsto dalla disciplina di settore (cfr., in particolare, artt. 11, comma 3, e 16, comma 1, lett. e), del Decreto del Ministero del lavoro e delle politiche sociali del 10 ottobre 2008, n. 193) e nell’accesso alla banca di dati di INPS in mancanza dei presupposti previsti dalla legge e, in particolare, di uno specifico e valido mandato che potesse considerarsi ancora produttivo di effetti giuridici nei confronti dell’Ente - è stato effettuato in maniera non conforme ai principi di “liceità, correttezza e trasparenza” e “limitazione della conservazione” nonché in assenza di un idoneo presupposto normativo, in violazione degli artt. 5, par. 1, lett. a) ed e), e 6 del Regolamento e degli artt. 2-ter e 116, comma 1, del Codice.
5. Conclusioni.
Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Ente di patrocinio e assistenza per i cittadini e l’agricoltura per aver trattato dati personali della reclamante, in violazione degli artt. 5, par. 1, lett. a) ed e), e 6 del Regolamento, nonché 2-ter e 116 del Codice.
Tenuto conto che la violazione delle predette disposizioni ha avuto luogo in conseguenza di un’unica condotta (stesso trattamento o trattamenti tra loro collegati), trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, tutte le violazioni sono soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000.
In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti e che l’Ente ha dichiarato che aveva fornito istruzioni ai propri operatori adeguate ad assicurare il rispetto alla disciplina in materia di protezione dei dati personali, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.
6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).
Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).
Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.
La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.
Tenuto conto che:
nel caso di specie, sebbene l’accesso sia stato effettuato dall’operatore dell’ufficio provinciale disattendendo le istruzioni impartite in merito al trattamento dei dati personali, le informazioni accedute hanno riguardato un solo interessato e, in base a quanto dichiarato dal titolare, “non risultano essersi mai verificati eventi analoghi a quello lamentato dalla reclamante nel caso di specie” (cfr. verbale di audizione del XX; art. 83, par. 2, lett. a), del Regolamento);
la violazione presenta carattere colposo, posto che il titolare ha dichiarato di aver agito in buona fede, nell’esclusivo interesse della reclamante, al fine di prevenire danni a suo carico nonché ritenendo di versare in uno “stato di necessità […] dovuto all’[asserita] esigenza di assicurare l’esecuzione del mandato, che, essendo specificamente volto alla verifica dei requisiti per il pensionamento dell’interessata, si sarebbe completato solamente in occasione dell’accoglimento della domanda di pensionamento ovvero del relativo rigetto e degli eventuali ricorsi amministrativi” (cfr. verbale di audizione del XX; art. 83, par. 2, lett. b), del Regolamento);
dagli atti non emerge che il trattamento abbia riguardato dati appartenenti alle categorie particolari di cui all’art. 9 del Regolamento (cfr. art. 83, par. 2, lett. g), del Regolamento),
si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento sia basso (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60).
Ciò premesso, si ritiene che, ai fini della quantificazione della sanzione, debbano essere prese in considerazione le seguenti circostanze attenuanti:
l’Ente ha offerto una sufficiente cooperazione con l’Autorità nel corso dell’istruttoria (art. 83, par. 2, lett. f), del Regolamento);
non risultano precedenti violazioni pertinenti commesse dall’Ente (art. 83, par. 2, lett. e), del Regolamento).
In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 5.000 (cinquemila/00) per la violazione degli artt. 5, par. 1, lett. a) ed e), e 6 del Regolamento, nonché 2-ter e 116 del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.
Si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante. Ciò in considerazione del fatto che l’accesso alla banca di dati dell’INPS è stato effettuato dall’Ente in assenza dei presupposti previsti dal quadro normativo applicabile.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.
TUTTO CIÒ PREMESSO IL GARANTE
dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato da EPACA per violazione degli artt. 5, par. 1, lett. a) ed e), e 6 del Regolamento, nonché 2-ter e 116 del Codice, nei termini di cui in motivazione;
ORDINA
all’Ente di Patrocinio ed Assistenza per i Cittadini e l’Agricoltura (“EPACA”), in persona del legale rappresentante pro-tempore, con sede legale in via XXIV maggio, 43 – 00187, Roma, C.F. 80051730580, di pagare la somma di euro 5.000 (cinquemila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;
INGIUNGE
al predetto Ente, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 5.000 (cinquemila/00) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;
DISPONE
- ai sensi dell’art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;
- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;
- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.
Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 10 aprile 2025
IL PRESIDENTE
Stanzione
IL RELATORE
Scorza
IL SEGRETARIO GENERALE REGGENTE
Filippi
