[doc. web n. 9025679]

Ordinanza ingiunzione nei confronti di Ministero dell’Istruzione, dell’Università e della Ricerca - 1° marzo 2018

Registro dei provvedimenti
n. 127 del 1° marzo 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale; 

VISTO l’art. 1 comma 121 della legge 13 luglio 2015 n. 107 che sancisce che “Al fine di sostenere la formazione continua dei docenti e di valorizzarne le competenze professionali, è istituita […] la Carta elettronica per l'aggiornamento e la formazione del docente di ruolo delle istituzioni scolastiche di ogni ordine e grado […]”;

VISTO il D.P.C.M. 23 settembre 2015, recante le “Modalità di assegnazione e di utilizzo della Carta elettronica per l'aggiornamento e la formazione del docente di ruolo delle istituzioni scolastiche di ogni ordine e grado”;

VISTO il D.P.C.M. 28 novembre 2016, recante la “Disciplina delle modalità di assegnazione e utilizzo della Carta elettronica per l'aggiornamento e la formazione del docente di ruolo delle istituzioni scolastiche di ogni ordine e grado”, il quale prevede che “la Carta è realizzata in forma di applicazione web, utilizzabile tramite accesso alla rete Internet attraverso una piattaforma informatica dedicata nel rispetto della normativa vigente in materia di trattamento dei dati personali” (art. 2 comma 2) nonché che titolare del trattamento dei dati personali, effettuato attraverso l'applicazione web dedicata e connesso allo svolgimento dei propri compiti istituzionali, è il Ministero dell’istruzione, dell’università e della ricerca (di seguito Miur) “al quale ci si può rivolgere per esercitare i diritti di cui all'articolo 7 del decreto legislativo n. 196 del 2003” recante il Codice in materia di protezione dei dati personali (di seguito Codice) (art. 10 comma 1). Il Miur si avvale della Società Generale d'Informatica s.p.a. (di seguito Sogei), che verifica la sussistenza delle condizioni previste dall'articolo 3 comma 1 e dall'articolo 9 comma 3 del D.P.C.M. 28 novembre 2016, mediante il richiamo di uno specifico servizio di attestazione online messo a disposizione dal Sistema Informativo Miur (art. 4 commi 1 e 2). Al riguardo, i soggetti esterni di cui all’art. 4 “sono designati dal Miur quali «Responsabili del trattamento dei dati» con apposito atto scritto in cui sono specificati analiticamente i compiti affidati, che non comportano decisioni sulle finalità e sulle modalità di utilizzazioni dei dati stessi che restano nella sfera della titolarità del Miur” (art. 10 comma 2);

VISTA la Convenzione per l’adattamento ai fini del riuso del sistema “18app” tra il Miur, l’Agenzia per l’Italia Digitale (di seguito Agid) e la Sogei, secondo cui “le parti dovranno attenersi alle disposizioni del D.Lgs. n. 196/2003 e successive modificazioni e integrazioni, recante la disciplina in materia di protezione dei dati personali. In relazione a quanto previsto al precedente comma e con riferimento ai dati che saranno forniti dal Miur per la realizzazione delle attività previste dal presente Atto, il Miur provvederà con separato atto a designare la Sogei quale responsabile esterno del trattamento dei dati personali in conformità alle previsioni del D.Lgs. n. 196/2003” (art. 15 commi 1 e 2);

VISTO l’accertamento ispettivo disposto il 7 aprile 2017 dal Garante nei confronti di Sogei, al fine di acquisire compiuti elementi informativi necessari alla definizione dell’istruttoria da parte del Dipartimento libertà pubbliche e sanità del Garante, con riferimento all’assegnazione e all’utilizzo della “Carta elettronica per l’aggiornamento e la formazione del docente di ruolo delle istituzioni scolastiche di ogni ordine e grado”. Nel corso di tale accertamento è risultato che nella schermata del primo accesso del beneficiario della “Carta docente” viene richiesto il completamento della registrazione, visualizzando il codice fiscale, data e luogo di nascita, numero di telefono mobile e contatto e-mail dell’interessato con l’indicazione “restiamo in contatto” e l’invito a rivolgersi al gestore nel caso di dati non corretti (cfr. https://cartadeldocente.istruzione.it). Si è accertato che non è possibile per l’utente cancellare il numero di cellulare e il contatto e-mail né di non voler essere contattato (pag. 5 del citato verbale di operazioni compiute del 7 aprile 2017). Nel corso di tale accertamento, la Sogei ha dichiarato altresì che il titolare del trattamento (Miur) non ha inviato alla stessa la prevista nomina a “Responsabile del trattamento” (pag. 2 del verbale di operazioni compiute del 7 aprile 2017) e lo ha ribadito con successiva nota prot. n. 62 del 20 aprile 2017;

VISTO l’accertamento ispettivo disposto il 4 maggio 2017 dal Garante nei confronti del Miur, relativamente all’applicazione “Carta docente”  messa in funzione il 28 novembre 2016 per la registrazione degli esercenti e il 1° dicembre 2016 per i docenti. In particolare, nel corso dell’accertamento ispettivo è stato effettuato l’accesso tramite Spid all’applicazione in questione  (da cui è risultato che tra gli attributi richiesti vi erano il numero di cellulare e l’indirizzo e-mail del docente) ed è stata acquisita la “infoprivacy” dell’applicativo medesimo (all. 10 del verbale di operazioni compiute del 4 maggio 2017). Con riguardo al numero di cellulare e all’indirizzo e-mail dei docenti, acquisiti tramite l’applicazione in questione, la parte ha dichiarato che tali dati “non sono di interesse del Ministero nell’ambito della gestione della “Carta docente” e che, d’altro canto, “i recapiti del docente, raccolti presso l’interessato, sono già trattati dal Miur per finalità di gestione del rapporto di lavoro” (pag. 3). L’informativa agli interessati, acquisita in sede di accertamento dal c.d. footer della pagina web dell’applicazione in esame, indicava che: “Tutti i dati personali forniti direttamente e/o acquisiti attraverso l’identità digitale (SPID) nell’ambito del servizio saranno trattati in modo lecito e secondo correttezza al solo fine di consentire all’utente di utilizzare il servizio” e che “Il conferimento di tutti i dati a tal fine richiesti è necessario per consentire all’utente di fruire del servizio in questione” (cfr. all. 10 del citato verbale di operazioni compiute presso il Miur). Nel corso dell’accertamento medesimo, la suddetta infoprivacy è risultata, peraltro, diversa da quella riportata dal Miur in una e-mail indirizzata alla Sogei il 24 novembre 2016, proprio in relazione all’indicazione delle finalità perseguite ed all’obbligo di conferimento dei dati relativi all’e-mail e al cellulare dei docenti (cfr. all. 4 pag. 2 e pag. 4 del suddetto verbale). Su specifica domanda dei verbalizzanti, la parte ha dichiarato di non conoscere le ragioni di tale difformità. La parte ha dichiarato, altresì, che la designazione di Sogei a responsabile del trattamento non è stata predisposta, a motivo della tempistica di perfezionamento della “Convenzione per l’adattamento ai fini del riuso del sistema 18app tra il Miur, Agid e Sogei”, nonché del passaggio di consegne effettuato ai sensi dell’art. 5 comma 6 lett. f) del D.P.C.M. n. 98/2014 ed in quanto “il Miur si è focalizzato sull’attuazione del web service previsto dall’art. 4 comma 2 per la verifica della sussistenza dei requisiti per l’ottenimento del beneficio della “Carta docente” (…), confidando che gli aspetti relativi a Spid fossero già conformi al quadro normativo vigente” (pag. 3);

VISTA la nota del 18 maggio 2017 prot. n. 14965 nella quale il Miur, a fronte delle riserve espresse durante l’attività ispettiva e con riferimento alla mancata formalizzazione della nomina a “Responsabile esterno dei dati personali”, ha rappresentato che “sia l’art. 10 del D.P.C.M. 28 novembre 2016 sia l’art. 15 della Convenzione Miur-Agid-Sogei del 28 dicembre 2016 individuano già Sogei come responsabile esterno del trattamento dei dati personali in conformità alla previsione del D.lgs. 196/2003”; 

PRESO ATTO della nota n. 22111 del 20 giugno 2017 con la quale il Dipartimento Libertà Pubbliche e Sanità del Garante presso cui è ancora in corso un’istruttoria, nel trasmettere gli atti al Dipartimento Attività Ispettive, Sanzioni e Registro dei Trattamenti del Garante, ha accertato nei confronti del Miur:

a) “l’inidonea informativa (cfr. artt. 13 e 161 del Codice) fornita agli interessati nell’applicazione web della “Carta docente”, allo stato non ancora modificata rispetto a quanto rilevato nel corso degli accertamenti ispettivi”. In particolare, con specifico riferimento al trattamento dei dati relativi al numero di cellulare e dell’indirizzo e-mail dei beneficiari, l’informativa (“infoprivacy”), fornita agli interessati in un c.d. footer della pagine web dell’applicazione (all. 10 del citato verbale di operazioni compiute presso il Miur), non è risultata idonea in relazione all’indicazione delle finalità del trattamento, della natura obbligatoria o facoltativa del conferimento delle stesse, nonché delle conseguenze di un eventuale rifiuto a rispondere […];

b) “la mancata designazione della società Sogei s.p.a. quale responsabile del trattamento, in violazione dei presupposti stabiliti dalla legge e dai regolamenti, in particolare dall’art. 10 comma 2 del citato D.P.C.M. 28 novembre 2016 (art. 18 comma 3 e 162 comma 2-bis del Codice)”;

VISTO il verbale nr. 24617 del 12 luglio 2017, che qui si intende integralmente richiamato, con cui, in relazione ai fatti suindicati, sono state contestate al Miur:

a) la violazione amministrativa prevista dall’art. 161 del Codice in relazione all’art. 13 del Codice per l’inidonea informativa agli interessati della “Carta docente”. In ragione dell’elevato numero di interessati coinvolti nella suddetta violazione dell’art. 13 del Codice (cfr. all. 13 del suddetto verbale di operazioni compiute presso la Sogei) si è ritenuto applicabile l’art. 164-bis comma 3 del Codice;

b) la violazione amministrativa prevista dall’art. 162 comma 2-bis del Codice in relazione all’art. 18 comma 3 del Codice per la mancata designazione di Sogei a responsabile del trattamento;

LETTO il rapporto redatto dall’Ufficio ai sensi dell’art. 17 della legge n. 689/1981, dal quale risulta che il contravventore non ha provveduto al pagamento in misura ridotta per le violazioni contestate, pur essendo stato informato in sede di contestazione della facoltà di effettuare il pagamento in misura ridotta ai sensi dell’art. 16 della legge 24 novembre 1981, n. 689; 

RILEVATO che l’art. 13 comma 1 lett. a), b) e c) del Codice prevede che gli interessati siano previamente informati, tra l’altro, delle finalità del trattamento cui sono destinati i dati, della natura obbligatoria o facoltativa del conferimento dei dati nonché delle conseguenze di un eventuale rifiuto di rispondere;

CONSTATATO che nella citata nota del 18 maggio 2017 il Miur, nel confermare la diversità dell’infoprivacy di cui alla suddetta e-mail del 24 novembre 2016 rispetto a quella fornita agli interessati nella versione in esercizio (pag. 2), ha dichiarato che “il numero di cellulare e l’indirizzo e-mail sono ritenuti utili per garantire un servizio all’utenza di qualità, ma non obbligatori” e che “l’art. 4 comma 3 D.P.C.M. del 28 novembre 2016 prevede che il Ministero possa realizzare iniziative di informazione destinate ai beneficiari della carta, senza che questo sia stato oggetto di rilievo da parte di codesto Garante nel parere resto con nota prot. 35509 del 22 novembre 2016; pertanto, l’acquisizione degli indirizzi dei docenti è funzionale all’eventualità di successive comunicazioni connesse all’utilizzo della carta” (pag. 2); 

VISTI gli scritti difensivi pervenuti al Garante con la nota prot. n. 29382 del 12 settembre 2017, quindi ben oltre il termine di 30 giorni previsto dall’art. 18 della l. n. 689/1981. Sul punto, la parte ha dichiarato che il provvedimento di contestazione, notificato il 12 luglio 2017 dal Dipartimento Attività Ispettive, Sanzioni e Registro dei trattamenti dei dati personali all’indirizzo PEC dell’Ufficio Relazioni con il Pubblico del Miur, “per motivi di disfunzione organizzativa interna” è pervenuto agli uffici del Miur competenti alla trattazione e allo scrivente Ufficio di Gabinetto del Ministro “soltanto in data 25 agosto 2017” (pag. 2 dei citati scritti difensivi). Con riferimento alla contestata violazione dell’art. 13 del Codice, la parte sostiene che, essendo l’infoprivacy fornita nel portale da Sogei diversa da quella autorizzata dal Miur in sede di progettazione e di strutturazione dell’applicativo, spetterebbe alla Sogei chiarire le ragioni sottese alla scelta di formulare il testo nei termini risultanti nella versione in esercizio (pag. 3 dei citati scritti difensivi). Inoltre ed in aperto contrasto con quanto affermato nella citata nota del 18 maggio 2017, la parte dichiara che dalla formula utilizzata nell’infoprivacy fornita agli interessati si evince in modo inequivocabile “il carattere obbligatorio” e non facoltativo del conferimento dei dati medesimi, compresi l’indirizzo e-mail ed il numero di cellulare (pag. 4 dei citati scritti difensivi). A seguire, la parte evidenzia, invece, “il carattere facoltativo” del conferimento dei recapiti degli interessati (pag. 6 dei citati scritti difensivi), e prima ancora la parte richiama l’informativa che è stata fornita agli interessati dall’Identity Provider in sede di assegnazione dell’identità digitale, nonché la privacy policy presente nell’applicazione in esame (pag. 5 dei citati scritti difensivi). Con riferimento, poi, alla contestata violazione dell’art. 18 comma 3 del Codice, secondo il Miur, “a tale solo iniziale ritardo nella formalizzazione della nomina, determinato da fattori del tutto contingenti e di carattere eccezionale, il Ministero ha tuttavia posto rimedio con l’adozione dell’atto di designazione trasmesso a Sogei con nota prot. n. 32416 del 27 luglio 2017”, allegata agli scritti difensivi (pag. 7 dei citati scritti difensivi);

RILEVATO che le argomentazioni addotte dalla parte non risultano idonee ad escludere la responsabilità della parte in relazione a quanto contestato. Con riferimento alla contestata violazione di cui all’art. 13 del Codice, nel dichiarare che l’infoprivacy fornita nel portale da Sogei fosse diversa da quella autorizzata in sede di progettazione e di strutturazione dell’applicativo, segnalando quindi l’opportunità di richiedere a Sogei chiarimenti circa le ragioni sottese alla scelta di formulare il testo nei termini risultanti nella versione in esercizio, il Miur non tiene conto che la responsabilità per il trattamento effettuato in violazione del Codice ricade comunque in capo al titolare del trattamento medesimo, ruolo ricoperto nel caso di specie dal Miur medesimo. Inoltre, nel dichiarare alternativamente, nei medesimi scritti difensivi, “il carattere obbligatorio” ovvero “il carattere facoltativo” del conferimento dei dati medesimi, compresi l’indirizzo e-mail ed il numero di cellulare, il Miur non chiarisce quale delle due opzioni rilevi nel caso concreto. Infine, risulta inconferente il richiamo all’informativa fornita agli interessati dall’Identity Provider in sede di assegnazione dell’identità digitale, nonché la privacy policy presente nell’applicazione in esame, poiché attengono evidentemente a distinti trattamenti di dati personali e non assumono alcun rilievo nella vicenda in esame. Per quanto concerne la mancata designazione di Sogei quale responsabile del trattamento, la parte dichiara di non aver proceduto tempestivamente in tal senso, a causa di non meglio precisati “fattori del tutto contingenti e di carattere eccezionale”;

RILEVATO, quindi, che l’informativa fornita agli interessati presente nel footer della pagina web dell’applicazione in esame (cfr. all. 10 del verbale del 4 maggio 2017) è risultata, con specifico riferimento al trattamento dei dati relativi al numero di cellulare e dell’indirizzo e-mail dei beneficiari, inidonea in relazione all’indicazione delle finalità del trattamento, della natura obbligatoria o facoltativa del conferimento delle stesse, nonché delle conseguenze di un eventuale rifiuto a rispondere, e che, pertanto, il Miur in qualità di titolare del trattamento, ai sensi dell’art. 28 del Codice, ha effettuato un trattamento di dati personali fornendo un’inidonea informativa agli interessati, in violazione dell’art. 13 del Codice;

RILEVATO, inoltre, che il Miur, sempre in qualità di titolare del trattamento, non ha proceduto alla designazione della società Sogei s.p.a. quale responsabile del trattamento, come previsto dall’art. 29 del Codice e dall’art. 10 comma 2 del citato D.P.C.M. 28 novembre 2016, in violazione dell’art. 18 comma 3 del Codice;

VISTO l’art. 161 del Codice che punisce la violazione delle disposizioni di cui all’art. 13, con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro;

VISTO l’art. 162 comma 2-bis del Codice che punisce la violazione delle disposizioni indicate nell’art. 167 del Codice, tra cui figura l’art. 18, con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge n. 689/1981, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:
a) in ordine all’aspetto della gravità con riferimento agli elementi dell’entità del pregiudizio o del pericolo e dell’intensità dell’elemento psicologico, le violazioni non risultano connotate da elementi specifici;

b) ai fini della valutazione dell’opera svolta dall’agente, la parte ha presentato gli scritti difensivi oltre il termine previsto dall’art. 18 della l. n. 689/1981. Contestualmente agli scritti difensivi la parte ha trasmesso la nota con cui ha inviato alla Sogei il 27 luglio 2017 l’atto di designazione a responsabile esterno del trattamento;

c) circa la personalità dell’autore della violazione, rileva che il Ministero è già stato destinatario di un’ordinanza ingiunzione n. 269 del 4 ottobre 2012 per la violazione prevista dall’art. 162 comma 2-bis del Codice relativamente all’art. 19, comma 3, del Codice, in relazione al motore di ricerca dell’Osservatorio “Anagrafe studenti” presente sul sito internet del Miur, per mezzo del quale era possibile effettuare interrogazioni in grado di restituire informazioni su persone fisiche, identificabili anche indirettamente;

d) in merito alle condizioni economiche dell’agente, al fine di commisurare l’importo della sanzione alla reale capacità economica del trasgressore, non si ravvisano elementi specifici, trattandosi di soggetto pubblico;

RITENUTO, quindi, di dover determinare, ai sensi dell’art. 11 della legge n. 689/1981, l’ammontare della sanzione pecuniaria,  in ragione dei suddetti elementi valutati nel loro complesso, nella misura di:

• euro 6.000,00 (seimila) per la violazione di cui all’art. 161 del Codice, in combinato disposto con l’art. 164-bis comma 3 del Codice;

• euro 10.000,00 (diecimila) per la violazione di cui all’art. 162 comma 2-bis del Codice;

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

ORDINA

al Ministero dell’Istruzione, dell’Università e della Ricerca, con sede legale in Viale Trastevere, 76/a - 00153 Roma, CF 80185250588, in persona del legale rappresentante pro-tempore, di pagare la somma complessiva di euro 16.000,00 (sedicimila) a titolo di sanzione amministrativa pecuniaria per le violazioni previste dagli artt. 161 e 162 comma 2-bis del Codice come indicato in motivazione;

INGIUNGE

al medesimo Ministero di pagare la somma di euro 16.000,00 (sedicimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689. 

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero. 

Roma, 1° marzo 2018

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRET

ARIO GENERALE
Busia