g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Ordinanza ingiunzione o revoca
  4. Ordinanza di ingiunzione nei confronti del Consiglio dell'ordine degli avvocati di Santa Maria Capua Vetere - 27 aprile 2010 [1781708]

Ordinanza di ingiunzione nei confronti del Consiglio dell'ordine degli avvocati di Santa Maria Capua Vetere - 27 aprile 2010 [1781708]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 1781708]

Ordinanza di ingiunzione nei confronti del Consiglio dell´ordine degli avvocati di Santa Maria Capua Vetere - 27 aprile 2010

Registro delle deliberazioni
Del. n. 31 del 27 aprile 2010

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Daniele De Paoli, segretario generale;

ESAMINATO il rapporto dell´Ufficio del Garante per la protezione dei dati personali predisposto ai sensi dell´art. 17 della legge 24 novembre 1981, n. 689, relativo al verbale di contestazione per violazione amministrativa redatto in data 3 aprile 2008 nei confronti del Consiglio dell´ordine degli avvocati di Santa Maria Capua Vetere, con sede in Santa Maria Capua Vetere, Piazza Resistenza – Palazzo di Giustizia, per la violazione degli articoli 37 e 38 del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2006, n. 196, di seguito denominato "Codice");

RILEVATO che, a seguito di una segnalazione pervenuta in data 10 ottobre 2007 relativa all´utilizzo di un sistema di rilevazione dei dati biometrici dei praticanti avvocati per finalità di verifica delle presenze ai corsi tenuti dalla Scuola di formazione dei praticanti avvocati istituito ai sensi dell´art. 3 del d.P.R. 10 aprile 1990 n. 101, è stata avviata un´attività istruttoria, conclusasi con il provvedimento di divieto datato 23 gennaio 2008, dalla quale è risultato che il predetto Consiglio ha effettuato, in qualità di titolare, trattamenti di dati personali biometrici previsti dall´art. 37, comma 1, lett. a) del Codice;

VISTO il verbale n. 8292 del 3 aprile 2008 con cui è stata contestata al predetto Consiglio la violazione prevista dall´art. 163 del Codice in relazione all´art. 37, informandolo della facoltà di effettuare il pagamento in misura ridotta ai sensi dell´art. 16 della legge n. 689/1981;

RILEVATO dal predetto rapporto che non risulta essere stato effettuato il pagamento in misura ridotta;

VISTI gli scritti difensivi datati 12 maggio 2008, inviati ai sensi dell´art. 18 della legge n. 689/1981, con i quali il Consiglio, richiamando le argomentazioni di diritto articolate nel ricorso straordinario al Presidente della Repubblica del 29 aprile 2008 avverso il citato provvedimento di divieto del Garante:

- asserisce che "(…) il dato biometrico raccolto con il metodo della soc. Zucchetti è stato utilizzato unicamente a fini identificativi di colui il quale aveva accesso alle aule della scuola. Non si è pertanto raccolto un dato biometrico, bensì un dato anagrafico corrispondente ad una impronta biometrica con conseguente inapplicabilità dell´art. 37";

- evidenzia di essere "(…) totalmente estraneo alle attività della F.E.S.T. (Fondazione Forense Elio Sticco), Fondazione che gestisce la scuola forense, e alle modalità da quest´ultima prescelte per l´identificazione dei praticanti avvocati", così come provato dalla fattura del 3 aprile 2007 emessa nei confronti della Fondazione che dimostra come "(…) l´acquisto del sistema di rilevamento biometrico è stato eseguito in piena autonomia dalla Fondazione e non già dal Consiglio"; inoltre, il "(…) sistema di rilevamento biometrico delle presenze dei praticanti era … meramente sperimentale e non obbligatorio";

- osserva che la contestazione della sanzione amministrativa è stata formulata senza "(…) avviare formalmente un procedimento ex art. 7 L. 241/1990 o effettuare ispezioni dirette in loco, (considerando) veritiere le affermazioni dei segnalanti omettendo alcuna verifica delle stesse". (…) L´assenza di contraddittorio ha invece determinato l´adozione (…) delle conseguenti sanzioni amministrative sulla scorta di notizie destituite di qualsivoglia fondamento";

- rappresenta che, "(…) da notizie assunte direttamente dalla F.E.S.T., il sistema prodotto dalla soc. Zucchetti era anche dotato di certificazione di conformità alla normativa sulla privacy, cosicché giammai era ipotizzabile la sussistenza di una violazione della normativa citata";

- rileva infine l´insussistenza dei "(…) presupposti per la contestazione della violazione (…) dell´art. 37 del Codice, giacché lo stesso Garante, con provvedimento del 28 giugno 2007 ha autorizzato il trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle fondazioni";

VISTO il verbale dell´audizione delle parti, tenutasi in data 25 febbraio 2010, con cui il Consiglio, ribadendo quanto dedotto nello scritto difensivo, ha illustrato più in dettaglio i rapporti intercorrenti tra la Fondazione F.E.S.T. e il Consiglio dell´ordine degli avvocati di S.M. Capua Vetere;

RITENUTO che le argomentazioni addotte non risultano idonee ad escludere la responsabilità del Consiglio in relazione alla violazione amministrativa per omessa notificazione in quanto:

- l´Autorità, nell´ambito di diversi procedimenti di verifica preliminare di cui all´art. 17 del Codice (ex multis provvedimento datato 8 aprile 2009 in www.garanteprivacy.itdoc. web n. 160018), ha asserito che un sistema di verifica delle presenze basato sul confronto tra le impronte digitali degli interessati rilevate ad ogni accesso e il template comporta un trattamento di dati biometrici che, ai sensi dell´art. 37, comma 1 lett. a) del Codice, impone l´obbligo di notificazione al Garante. La circostanza che un trattamento di dati biometrici sia avvenuto non appare, peraltro, contestata come risulta anche dal verbale di audizione delle parti ove si rileva che nel "(…) periodo in contestazione la rilevazione attraverso il sistema biometrico era comunque alternativa al sistema tradizionale (…)" e che "(…) nel corso della raccolta dei dati biometrici, i praticanti sono stati informati oralmente circa gli elementi di cui all´art. 13 del Codice";

- relativamente alla titolarità del trattamento dei dati biometrici, si osserva che al Consiglio, così come ritenuto nel provvedimento del Garante del 23 gennaio 2008 e come si evince dagli atti, appaiono riferibili "le decisioni in ordine alle finalità, alle modalità del trattamento dei dati in argomento e agli strumenti utilizzati ivi compreso il profilo della sicurezza", in linea con quanto previsto dall´art. 4, comma 1 lett. f) del Codice che individua il titolare del trattamento. Sul punto si evidenzia che l´art. 3, comma 1, del d.P.R. 10 aprile 1990 n. 101 prevede, tra l´altro, che: "I Consigli dell´Ordine del distretto di Corte d´appello possono istituire, d´intesa, scuole di formazione unificate per tutti o parte degli ordini di ciascun distretto"; la norma attribuisce pertanto ai Consigli dell´Ordine non solo la discrezionalità sull´istituzione delle scuole ma anche la facoltà di strutturarle con specifici assetti organizzativi. Nel caso di specie, sulla base di quanto dichiarato dal Consiglio in sede istruttoria con la nota 5905/07 del 31 ottobre 2007 in riscontro alle richieste dell´Autorità, la titolarità del trattamento dei dati biometrici dei frequentatori dei corsi, appare, in effetti, riconducibile al Consiglio stesso. Al riguardo, il Consiglio ha dichiarato che "Si è proceduto, tramite i nostri consulenti, ad una ricerca di mercato per reperire un sistema di rilevamento a) affidabile per la identificazione certa del corsista, (…), c) riduttivo dei costi del personale, d) armonizzante le esigenze della scuola con quelle del D. Lgs. 196/2003 e della casistica specifica già esaminata dall´Autority in riferimento agli ordini forensi – Enti di diritto pubblico – Organo di tutela disciplinare". Inoltre, si deve tener conto di quanto asserito nel verbale di audizione delle parti datato 25 febbraio 2010 nel quale, tra l´altro, vengono forniti maggiori dettagli circa finalità e modalità del trattamento dei dati in questione. In particolare il Consiglio ha dichiarato che tra le condizioni per il rilascio del certificato di compiuta pratica forense che devono essere verificate dal Consiglio dell´Ordine vi è la frequenza della scuola; la stessa viene accertata attraverso il riscontro tra le dichiarazioni rese dal praticante e le informazioni relative alla partecipazione al corso comunicate, con cadenza semestrale, dalla fondazione. Il Consiglio dell´Ordine, con riferimento al trattamento dei dati relativi alla frequenza dei corsi organizzati presso la scuola di formazione dallo stesso istituita, ha quindi stabilito le finalità e le modalità del trattamento dei dati, il tipo di strumento da utilizzare per rilevare le presenze e la tempistica dei flussi di dati dalla fondazione al Consiglio, operando quindi in veste di titolare del trattamento. Né, per individuare la titolarità del trattamento, risulta rilevante la citata fattura del 3 aprile 2007;

- con riferimento alle argomentazioni relative agli aspetti connessi al procedimento sanzionatorio, si evidenzia che la Corte di Cassazione si è ripetutamente espressa nel senso che "nelle fattispecie regolate dalle norme di cui alla legge 24 novembre 1981 n. 689 in materia di irrogazione di sanzioni amministrative, non trovano applicazione le disposizioni sulla partecipazione degli interessati al procedimento amministrativo (art. 7 legge 241/1990), le quali configurano una normativa generale su cui prevale la legge speciale, in quanto idonea – mediante i meccanismi di informazione e di difesa previsti dagli artt. 17 e 18 – ad assicurare garanzie di partecipazione non inferiori al minimum prescritto dalla anzidetta normativa" (Cass. Civile Sez. Lavoro, sent. n. 3254 del 5 maggio 2003). In questo ambito la comunicazione di avvio del procedimento è da individuarsi nell´atto di contestazione della violazione amministrativa, regolarmente notificato in data 18 aprile 2008;

- il "certificato di conformità alla normativa privacy" rilasciato dalla società Zucchetti non esime il titolare del trattamento dall´osservanza degli obblighi posti dal Codice tanto è vero che lo stesso "certificato" contiene espliciti richiami al titolare del trattamento circa alcuni adempimenti da osservare per rendere il trattamento dei dati conforme alla legge;

- non appare rilevante, infine, il richiamo al provvedimento del 28 aprile 2007 che, diversamente da quanto ritenuto, non disciplina i casi di esclusione dall´obbligo di notificazione al Garante di cui all´art. 37 del Codice;

RILEVATO che l´attività svolta dal Consiglio dell´Ordine degli avvocati di Santa Maria Capua Vetere configura un trattamento di dati personali (art. 4, comma 1, lett. a) e b), del Codice) per il quale doveva essere assolto tempestivamente l´obbligo di effettuare la notificazione del trattamento ai sensi e nei modi previsti dagli artt. 37, comma 1, lett. a) e 38 del Codice;

VISTO l´art. 163 del Codice che, nella formulazione antecedente alla modifica apportata con d.l. n. 207 del 30 dicembre 2008, convertito con modificazioni nella legge n. 14/2009, punisce la violazione delle disposizioni di cui agli art. 37 e 38 con la sanzione amministrativa del pagamento di una somma da diecimila euro a sessantamila euro e con la sanzione amministrativa accessoria della pubblicazione dell´ordinanza-ingiunzione;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

RITENUTO di dover determinare l´ammontare della sanzione pecuniaria, avuto riguardo ai parametri indicati nell´art. 11 della legge 24 novembre 1981 n. 689, valutati anche in relazione all´opera svolta dall´agente, alla gravità della violazione e alle condizioni economiche del contravventore, nella misura del minimo pari alla somma di diecimila/00 euro;

RITENUTO di dover applicare la sanzione accessoria della pubblicazione, avuto riguardo alla gravità della violazione valutata alla luce dei predetti parametri e circostanze, nella misura ritenuta congrua della sola pubblicazione per estratto, per una sola volta, su una testata giornalistica a livello locale, identificata nel quotidiano "Il Mattino";

VISTA la documentazione in atti;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Giuseppe Fortunato;

ORDINA

al Consiglio dell´ordine degli avvocati di Santa Maria Capua Vetere, con sede in Santa Maria Capua Vetere, Piazza Resistenza – Palazzo di Giustizia, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 10.000,00 (diecimila) a titolo di sanzione amministrativa pecuniaria per la violazione dell´art. 163 del Codice, indicata in motivazione;

DISPONE

la pubblicazione a cura dell´Ufficio della presente ordinanza-ingiunzione a titolo di sanzione amministrativa accessoria prevista dall´art. 163 del Codice, per estratto e per una sola volta, sulla testata giornalistica  "Il Mattino";

INGIUNGE

al medesimo Consiglio di pagare, fermo restando quanto dovuto per la sanzione accessoria, la somma di euro 10.000,00 (diecimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale o in copia autentica, quietanza dell´avvenuto versamento;

DÁ ATTO CHE

avverso il presente provvedimento, ai sensi dell´art. 152 del Codice, può essere proposta opposizione davanti al tribunale ordinario del luogo ove ha sede il titolare del trattamento entro il termine di trenta giorni dalla notificazione del presente provvedimento.

Roma, 27 aprile 2010

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE
De Paoli

Scheda

Doc-Web
1781708
Data
27/04/10

Tipologie

Ordinanza ingiunzione o revoca

Documenti citati