[doc. web n. 2257919]

Ordinanza di ingiunzione nei confronti di Comune di Milano - 26 luglio 2012

Registro dei provvedimenti
n. 230 del 26 luglio 2012

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della dott.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il verbale n. 27651/63988 del 18 dicembre 2009, che qui si intende integralmente richiamato, con cui è stata contestata al Comune di Milano, con sede in Milano, piazza della Scala n. 2, in persona del legale rappresentante pro-tempore, la violazione prevista dall´art. 162, comma 2-bis, del Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196, di seguito denominato Codice), in relazione all´art. 33, per aver omesso di adottare le misure minime di sicurezza previste dalle regole 2, 3, 4 e 6 del disciplinare tecnico di cui all´allegato B) del Codice, in due postazioni informatiche (nn. cespite B1022016 e B1022018) presenti presso la Scuola primaria di San Giusto (via San Giusto n. 65, Milano);

VISTI gli scritti difensivi del 26 febbraio 2010, inviati ai sensi dell´art. 18 della legge n. 689/1981, che qui si intendono integralmente richiamati;

LETTO il verbale dell´audizione delle parti, tenutasi in data 4 ottobre 2011 ai sensi dell´art. 18 della legge n. 689/1981, che qui deve intendersi integralmente richiamato;

RITENUTO che le argomentazioni addotte dal Comune di Milano non risultano idonee ad escludere le responsabilità dell´ente in relazione a quanto contestato per le motivazioni di seguito riportate:

a.  con riferimento al computer di cui al cespite n. B1022016 il Comune evidenzia nelle memorie difensive che "non è utilizzato da soggetti esterni alla scuola, neppure durante i mesi estivi, quando la sede ospita il Centro Estivo" e che "per quanto riguarda le foto presenti nel suddetto pc, attengono alle consuete attività ludico educative […]. Per svolgere queste attività è stato preventivamente acquisito da parte della scuola il benestare dei genitori dei bambini fotografati".

Nel corso dell´audizione il Comune ha ribadito che "la postazione di cui al cespite n. B1022016 non è stata mai oggetto di accessi da parte di persone esterne alla scuola. Infatti anche nell´ambito del centro estivo, il coordinamento dei servizi e l´accesso alla postazione è stato demandato al prof. […], che è tuttora il referente interno del Comune assegnato alla scuola S. Giusto".

Preso atto delle precisazioni del Comune, si osserva che dagli accertamenti è risultato che il computer B1022016 veniva utilizzato da diversi utenti che condividevano le medesime credenziali di accesso. La sussistenza di tale circostanza, a prescindere dalla qualità degli utenti e dalla loro collocazione funzionale nell´ambito della struttura scolastica che aveva in dotazione il computer, determina l´omessa applicazione delle misure minime di sicurezza di cui alle regole nn. 2, 3, 4 e 6 del disciplinare tecnico di cui all´allegato B) del Codice e, conseguentemente, la violazione degli artt. 33 e 34 del Codice medesimo. Le richiamate norme, infatti, pongono in capo al titolare del trattamento l´obbligo di costituire un sistema per l´accesso ai computer che preveda l´attribuzione di credenziali di autenticazione univoche per ciascun incaricato. Inoltre, la componente riservata della credenziale (cd. password) deve essere conosciuta dal solo incaricato a cui è stata attribuita e deve essere mantenuta segreta.

Si deve inoltre osservare che la conservazione di fotografie ritraenti persone identificate o identificabili costituisce un trattamento di dati personali e che il computer B1022016 conteneva anche dati personali costituiti da elenchi di alunni appartenenti a gruppi di lavoro;

b.  con riferimento al computer di cui al cespite n. B1022018 il Comune evidenzia nelle memorie difensive che "è utilizzato soltanto dalla Preside […], dalla Vice-Preside […] e dalla Segretaria […] per consentire, in necessaria sinergia tra di loro, la continuità del servizio, indispensabile prima di tutto per gli alunni e per la tutela della loro salute […]. L´accessibilità immediata all´unico pc esistente in Presidenza, da parte della preside, della Vice-Preside e dell´addetta alla Segreteria, è garanzia di buon funzionamento della scuola e non può portare alcun danno alle persone, i cui dati sono immessi nell´archivio: quei dati vengono infatti utilizzati esclusivamente a loro tutela e a loro beneficio solo per il servizio che istituzionalmente viene erogato".

Le osservazioni del Comune non mutano il quadro delineato nell´atto di contestazione. Devono infatti richiamarsi le considerazioni svolte al punto a) della presente ordinanza, in ordine all´obbligo per il titolare del trattamento di costituire un sistema di autenticazione conforme alle regole nn. 2, 3, 4, e 6 del disciplinare tecnico di cui all´allegato B) del Codice, e, per l´effetto, agli artt. 33 e 34 del Codice medesimo.

Deve inoltre aggiungersi che qualunque trattamento di dati personali effettuato da un soggetto pubblico trova fondamento, a norma dell´art. 18 del Codice, nelle funzioni istituzionali del soggetto medesimo. La sussistenza di tale necessario presupposto di legittimità non fa venire meno l´obbligo, in capo al soggetto medesimo, di applicare tutte le misure minime di sicurezza previste;

c. il Comune, sia nelle memorie difensive che in sede di audizione, descrive analiticamente il modello organizzativo adottato a seguito dell´acquisizione di "elementi sulle circostanze che hanno determinato la mancata adozione in maniera completa delle misure di sicurezza". Il Comune rappresenta inoltre di aver dotato gli utenti dei computer di cui alla contestazione, di credenziali di accesso univoche.

Il percorso seguito dal Comune non può incidere sulla valutazione delle responsabilità in ordine alla contestazione di violazione amministrativa in argomento, ma evidenzia una chiara volontà dell´ente di giungere alla eliminazione in radice delle cause che hanno determinato le contestate omissioni;

RILEVATO, quindi, che il Comune di Milano, sulla base delle considerazioni sopra richiamate, risulta aver commesso la violazione delle disposizioni di cui agli artt. 33 e 34 del Codice, per aver omesso di adottare le misure di sicurezza di cui alle regole nn. 2, 3, 4, e 6 del disciplinare tecnico di cui all´allegato B) del Codice medesimo;

VISTO l´art. 162, comma 2-bis del Codice che punisce la violazione delle disposizioni di cui all´art. 33 con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge 24 novembre 1981 n. 689, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

RITENUTO che, nel caso in cui l´infrazione non abbia caratterizzazioni specifiche che possano portare a valutazioni di maggiore o minor rigore, nella determinazione della sanzione può ritenersi corretta l´individuazione di un importo pari al terzo del massimo o, se più favorevole, al doppio del minimo, in linea con quanto previsto dall´art. 16 della L. n. 689/1981, ferma restando la valutazione degli ulteriori elementi previsti dall´art. 11 della medesima legge [cfr. Cass. civ., sez. I, 4 novembre 1998, n. 11054];

CONSIDERATO che, nel caso in esame:

a) la violazione, riguardo gli elementi dell´entità del pregiudizio o del pericolo e dell´intensità dell´elemento psicologico, non risulta di grave rilevanza, tenuto conto che le omissioni contestate si riferiscono ad un numero limitato di computer in uso presso l´ente;

b) ai fini della valutazione dell´opera svolta dall´agente, deve essere valutato in termini favorevoli il fatto che il Comune di Milano abbia adottato misure efficaci per rimuovere le cause che hanno determinato le contestate omissioni;

c)  circa la personalità del contravventore, deve tenersi in considerazione che al Comune di Milano non sono state, in passato, applicate sanzioni amministrative per violazioni in materia di protezione dei dati personali;

d) trattandosi di ente pubblico, le condizioni economiche dell´agente, al fine di commisurare l´importo della sanzione alla reale capacità economica del trasgressore nel rispetto del principio di uguaglianza, non sostanziano elementi specifici idonei ad incidere sulla quantificazione della sanzione;

RITENUTO di dover determinare, ai sensi dell´art. 11 della L. n. 689/1981, l´ammontare della sanzione pecuniaria,  in ragione dei suddetti elementi valutati nel loro complesso, nella misura di euro 20.000,00 (ventimila), pari al minimo edittale della sanzione prevista dall´art. 162, comma 2-bis del Codice (nella formulazione vigente all´epoca dei fatti e, quindi, antecedente alle modifiche di cui all´art. 20-bis, comma 1, lettera c), punto 1, del decreto legge 25 settembre 2009, n. 135, convertito dalla legge 20 novembre 2009, n. 166);

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la dott.ssa Augusta Iannini;

ORDINA

al Comune di Milano, con sede in Milano, piazza della Scala n. 2, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 20.000,00 (ventimila) a titolo di sanzione amministrativa pecuniaria per la violazione prevista dall´art. 162, comma 2-bis, del Codice, come determinata in motivazione;

INGIUNGE

al Comune di Milano di pagare la somma di euro 20.000,00 (ventimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale o in copia autentica, quietanza dell´avvenuto versamento.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 26 luglio 2012

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia