g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Ordinanza ingiunzione o revoca
  4. Ordinanza ingiunzione nei confronti di CAA Liberi professionisti s.r.l. - 11 luglio 2018 [9039403]

Ordinanza ingiunzione nei confronti di CAA Liberi professionisti s.r.l. - 11 luglio 2018 [9039403]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9039403]

Ordinanza ingiunzione nei confronti di CAA Liberi professionisti s.r.l. - 11 luglio 2018

Registro dei provvedimenti
n. 417 dell'11 luglio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale; 

VISTO l’art. 1, comma 2, della legge 24 novembre 1981, n. 689, ai sensi del quale le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e per i tempi in esse considerati;

RILEVATO che il Nucleo privacy della Guardia di finanza, in esecuzione della richiesta di informazioni n. 10765/114083 del 21 marzo 2017, formulata ai sensi dell’art. 157 del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito denominato “Codice”), ha svolto presso la sede operativa di CAA Liberi professionisti s.r.l. (di seguito “CAA”), sita in Alghero (SS), via Oristano n. 7, gli accertamenti di cui ai verbali di operazioni compiute del 9 e 10 maggio 2017, al fine di acquisire ogni utile informazione e documentazione in relazione ai trattamenti di dati personali effettuati dal suddetto centro di assistenza agricola;

VISTI gli atti relativi agli accertamenti eseguiti presso la sede operativa del CAA e la nota inviata dallo stesso in data 24 maggio 2017, a scioglimento delle riserve formulate nel corso della visita ispettiva, dai quali è risultato, in sintesi, che: 

- il CAA effettua un trattamento di dati personali dei soggetti che si recano presso la sede operativa di Alghero per ricevere assistenza nell’elaborazione delle dichiarazioni di coltivazione e produzione, per la presentazione delle domande di ammissione a benefici comunitari, nazionali e regionali;

- per l’effettuazione dei propri compiti, il CAA si avvale della collaborazione del responsabile della sede di Alghero e di un suo collaboratore, ai quali ha assegnato le credenziali di autenticazione necessarie per accedere al portale SIAN (messo a disposizione dell’ente pagatore AGEA e nell’ambito del quale viene costituito il cd. fascicolo aziendale) senza, tuttavia, averli designati incaricati del trattamento, ai sensi dell’art. 30 del Codice;

- l’informativa che il CAA fornisce agli utenti che si avvalgono dei servizi offerti e inserita nel mandato che gli stessi utenti sottoscrivono, è risultata inidonea perché recante quale titolare del trattamento la sede operativa di Alghero e quale responsabile del trattamento la sede legale di Torino;

VISTO il verbale n. 62/2017 del 2 agosto 2017, che qui integralmente si richiama, con cui sono state contestate a CAA Liberi professionisti s.r.l., con sede legale in Torino, via Carlo Alberto n. 30, P.I. 08268610014, in persona del legale rappresentante pro-tempore, le violazioni amministrative previste dagli artt. 161 e 162, comma 2-bis, in relazione agli artt. 13 e 33 del Codice;

CONSIDERATO che, con riferimento alla violazione dell’art. 33 del Codice, non è prevista la definizione in via breve ai sensi dell’art. 16 della legge 24 novembre 1981 n. 689;

RILEVATO che dal rapporto predisposto ai sensi dell’art. 17 della legge n. 689/1981 dal predetto Nucleo non risulta che il CAA abbia effettuato il pagamento in misura ridotta in relazione alla violazione dell’art. 13 del Codice;

VISTI gli scritti difensivi, datati 31 agosto 2017, inviati ai sensi dell’art. 18 della legge n. 689/1981, con cui è stato evidenziato “l’errore in cui sono occorsi i verbalizzanti circa la titolarità del  trattamento dei dati e conseguentemente anche in relazione alla mancata designazione degli incaricati del trattamento, che nel caso in esame, stante la palese carenza di titolarità in capo alla sede centrale del CAA Liberi professionisti s.r.l. non era prescritta”. In particolare, è stato sottolineato come “il CAA Liberi professionisti di Torino non ha nessun potere decisionale reale sul trattamento effettuato presso la sede di Alghero, non avendo neppure copia dei fascicoli aziendali e dei dati ivi acquisiti, trattati e conservati”. Piuttosto, secondo la parte, “titolare del trattamento dei dati, relativamente a quanto contenuto nei fascicoli aziendali, risulta chiaramente (…) l’organismo pagatore AGEA (…)”, come risulta dalla documentazione prodotta nell’ambito dell’accertamento ispettivo da cui si evince che il CAA agisce quale Ente delegato e non come titolare del trattamento; 

LETTO il verbale di audizione, svoltasi in data 4 maggio 2018 ai sensi dell’art. 18 della legge n. 689/1981, in cui la parte ha ribadito le osservazioni già formulate negli scritti difensivi in merito alla titolarità del trattamento che deve essere riconosciuta in capo all’Ente pagatore AGEA, producendo in atti copia dalla Convenzione stipulata tra gli stessi in data 4 maggio 2016;  

RITENUTO che le argomentazioni addotte non sono idonee ad escludere la responsabilità della parte in relazione a quanto contestato. La nota, prodotta in atti, con cui AGEA indica i requisiti di sicurezza ISO che i CAA, in qualità di Enti delegati, devono possedere per l’espletamento di talune attività operative, indica come “gli organismi [delegati] provvedono al trattamento e alla gestione dei dati che appartengono all’organismo pagatore (…). L’organismo pagatore rimane responsabile della sicurezza dei sistemi d’informazione”. Sulla base di quanto riportato, dunque, si evince che AGEA assume il compito di predisporre tutte le regole e le misure necessarie per garantire l’accesso, da parte dei CAA, al sistema SIAN, intervenendo sotto il profilo dell’abilitazione e del controllo degli accessi. Per quanto riguarda, invece, lo svolgimento delle attività delegate ai CAA, l’Allegato 1 alla predetta nota, recante “Requisiti in materia di sicurezza delle informazioni cui gli Enti delegati devono far riferimento durante lo svolgimento delle attività oggetto di convenzione con AGEA”, specifica le misure minime di sicurezza che ciascun CAA deve porre in essere nell’espletamento dei propri compiti, sia con riferimento ai trattamenti effettuati con l’ausilio di strumenti elettronici sia con riferimento a quelli effettuati su supporto cartaceo, sia ancora con riferimento all’accesso al sistema SIAN. In particolare, rispetto a quest’ultimo aspetto, al punto 4 del citato Allegato 1, viene espressamente assegnato al CAA il compito di “individuare e nominare con atto formale il Responsabile delle utenze, quale soggetto responsabile dell’assegnazione delle utenze per l’accesso al sistema SIAN ai funzionari incaricati dello svolgimento delle attività delegate all’Ente delegato”. Tale designazione, che presuppone l’individuazione degli incaricati del trattamento e la loro nomina per iscritto accompagnata da specifiche istruzioni, non risulta che sia stata effettuata dal CAA in argomento nei confronti di quanti operano per suo conto anche nelle sedi operative. Pertanto, deve confermarsi la piena riconducibilità del trattamento in capo al CAA, nella persona del suo legale rappresentante pro-tempore, in quanto soggetto responsabile dello svolgimento delle attività esercitate presso la sede operativa e, in particolare per quanto qui di interesse, delle designazioni dei soggetti incaricati di accedere ai sistemi informatici. Anche la violazione dell’art. 13 del Codice deve considerarsi fondata laddove nell’informativa predisposta non sono stati correttamente indicati le figure del titolare e del responsabile del trattamento. Con riferimento alla richiesta di applicazione dell’art. 164-bis, comma 1, del Codice, deve ritenersi applicabile limitatamente alla violazione dell’art. 13, sul presupposto che tale violazione è valutata di minore gravità, circostanza non riscontrabile rispetto alla violazione dell’art. 33;

RILEVATO che CAA Liberi professionisti s.r.l. ha effettuato un trattamento di dati personali (art. 4 comma 1, lett. a) e b) del Codice), omettendo di adottare le misure minime di sicurezza ai sensi dell’art. 33 del Codice e fornendo un’informativa inidonea ai sensi dell’art. 13 del Codice medesimo;

VISTO l’art. 161 del Codice, che punisce la violazione dell’art. 13 del medesimo Codice con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro;

VISTO l’art. 162, comma 2-bis, del Codice che punisce la violazione delle disposizioni indicate dall’art. 167, tra le quali l’art. 33 del Codice con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

RITENUTO che, limitatamente alla violazione di cui all’art. 161, ricorrono le condizioni per applicare l'art. 164-bis, comma 1, del Codice, secondo cui “se taluna delle violazioni di cui agli art. 161, 162, 162-ter, 163 e 164 è di minore gravità, i limiti minimi e massimi stabiliti negli stessi articoli sono applicati in misura pari a due quinti”;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge 24 novembre 1981 n. 689, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore; 

RITENUTO, quindi, di dover determinare, ai sensi dell’art. 11 della legge n. 689/1981, l’ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura di euro 10.000,00 (diecimila) per la violazione di cui all’art. 162, comma 2-bis, e di euro 2.400,00 (duemilaquattrocento) per la violazione di cui all’art. 161 applicata in combinato disposto con l’art. 164-bis, comma 1, del Codice, per un ammontare complessivo pari a euro 12.400,00 (dodicimilaquattrocento);

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell’Ufficio, formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Licia Califano;

ORDINA

al CAA Liberi professionisti s.r.l., con sede legale in Torino, via Carlo Alberto n. 30, P.I. 08268610014, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 12.400,00 (dodicimilaquattrocento) a titolo di sanzione amministrativa pecuniaria per le violazioni di cui agli artt. 161 e 162, comma 2-bis, come indicato in motivazione;

INGIUNGE

al medesimo soggetto di pagare la somma di euro 12.400,00 (dodicimilaquattrocento), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689. 

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero. 

Roma, 11 luglio 2018

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia

Scheda

Doc-Web
9039403
Data
11/07/18

Argomenti

Misure di sicurezza

Tipologie

Ordinanza ingiunzione o revoca

Vedi anche (10)