Diritti interna

Doveri interna

ricerca avanzata

Ordinanza ingiunzione nei confronti di Comune di Genova - 28 marzo 2019 [9117126]

[doc. web n. 9117126]

Ordinanza ingiunzione nei confronti di Comune di Genova - 28 marzo 2019

Registro dei provvedimenti
n. 101 del 28 marzo 2019

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO l’art. 1, comma 2, della legge 24 novembre 1981, n. 689, ai sensi del quale le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e per i tempi in esse considerati;

RILEVATO che il Garante per la protezione dei dati personali (di seguito Garante), a fronte della definizione di due distinti procedimenti amministrativi relativi ad altrettante distinte segnalazioni ha appurato che il Comune di Genova – C.F/P.I. 00856930102 –, con sede legale in Genova, Palazzo Tursi, via Garibaldi n. 9, in persona del rappresentante legale pro-tempore ha assegnato il servizio di gestione di fasi della procedura contravvenzionale, mediante gara di appalto, ad un Raggruppamento Temporaneo di Impresa (RTI).

Di tale RTI aggiudicatario dell’appalto, con riferimento a quanto accertato con la nota n. 5313 del 14 febbraio 2017 che ha definito il procedimento amministrativo relativo alla prima segnalazione, fanno parte Maggioli s.p.a. e Poste Italiane s.p.a., le quali, a fronte del contratto n. 67755 del 23 ottobre 2010 stipulato con il Comune di Genova (titolare del trattamento ai sensi dell’art. 28 del Codice), sono state designate responsabili del trattamento dei dati ai sensi dell’art. 29 del Codice solo in 21 gennaio 2017 con il provvedimento sindacale n. 15. Ciò ha consentito di accertare che il Comune di Genova, fino al 20 gennaio 2017,  ha effettuato una comunicazione illecita dei dati personali del segnalante alle suddette società in mancanza di un idoneo presupposto normativo, in violazione di quanto disposto dall’art. 19, comma 3, del Codice.

Con riferimento a quanto accertato con la nota n. 22435 del 22 giugno 2017, è stato rilevato che il Comune di Genova, sempre riguardo all’assegnazione del servizio di gestione di fasi della procedura contravvenzionale mediante gara di appalto ad un Raggruppamento Temporaneo di Impresa (RTI), abbia ricondotto quanto lamentato nella segnalazione a quanto già descritto in riferimento alla prima segnalazione. Rileva però dagli atti come, nel caso che ci occupa, la designazione della Maggioli s.p.a. quale responsabile del trattamento dei dati ai sensi dell’art. 29 del Codice, effettuata con provvedimento sindacale 262 del 14 giugno 2011, risultava espressamente “condizionata per oggetto e durata al contratto n. 66975 del 29 giugno 2010 in corso di esecuzione tra il Comune di Genova e il Raggruppamento Temporaneo di Impresa (RTI)” -di cui faceva parte il Responsabile del trattamento dei dati ovvero Maggioli s.p.a.-, e revocata di diritto alla cessazione del rapporto medesimo o alla risoluzione per qualsiasi causa dallo stesso. Come accertato, la “procedura  contravvenzionale oggetto di reclamo si è svolta in vigenza del contratto di appalto Rep. N. 67755” stipulato il 23 ottobre 2015, per i cui trattamenti, come sopra precisato,  il Comune ha provveduto ad effettuare la designazione ai sensi dell’art. 29 del Codice, solo il 21 gennaio 2017. Prendendo atto degli elementi evidenziati nella nota del 13 aprile 2017 del Comune, non può condividersi l’affermazione che “non vi sia soluzione di continuità tra il provvedimento 262 ed il provvedimento n. 15” e che “il comune si è avvalso, senza soluzione di continuità dei servizi R.T.I. composto dalle stesse imprese”. Ciò non solo in quanto i diversi contratti di appalto sono stati stipulati dal Comune con due diversi RTI […] ma anche perché pur valorizzando la continuità dell’attività svolta nel tempo da Maggioli s.p.a., la designazione di quest’ultima è stata effettuata solo in data successiva al trattamento oggetto della segnalazione. Pertanto il trattamento dei dati del segnalante è stato effettuato in violazione dei presupposti previsti dall’art. 19, c. 3, del Codice;

VISTI i verbali nn.rr. 7524/107269 del 28 febbraio 2017 e 25842/113623 del 24 luglio 2017 con cui sono state contestate dall’Ufficio del Garante al Comune di Genova, in persona del legale rappresentante pro-tempore due violazioni amministrative entrambe previste dall’art. 162, comma 2-bis, del Codice, in relazione all’art. 19, comma 3, informandolo, per entrambi i verbali di contestazione, della facoltà di effettuare il pagamento in misura ridotta ai sensi dell’art. 16 della legge n. 689/1981;

ESAMINATI i due rapporti dell’Ufficio del Garante predisposti ai sensi dell’art. 17 della legge 24 novembre 1981, n. 689, dai quali non risultano essere stati effettuati i pagamenti in misura ridotta;

VISTI, relativamente al verbale di contestazione n. 7524/107269 del 28 febbraio 2017, gli scritti difensivi datati, uno 30 marzo 2017 e inviato ai sensi dell’art. 18 della legge n. 689/1981, l’altro 4 febbraio 2019 e inviato per gli effetti dell’art. 18 del d.lgs. 10 agosto 2018 n. 101, con i quali il Comune di Genova, motivando la richiesta di applicazione dell’art. 164-bis, comma 1 del Codice relativamente ai casi di minore gravità, ha illustrato il susseguirsi dei contratti di servizio n. 66975 del 29 giugno 2010 e n. 67755 del 23 ottobre 2015 stipulati con Poste Italiane s.p.a. per la gestione, sviluppo e stampa dei verbali elevati per violazioni al Codice della strada e per la notifica e rinotifica dei medesimi verbali e Maggioli s.p.a. per la rendicontazione postalizzata e pagamenti, indicando quale atto di designazione dei responsabili del trattamento dei dati ai sensi dell’art. 29 del Codice il provvedimento del Sindaco n. 262 del 14 giugno 2011. A fronte di ciò ha evidenziato come “(…) il rapporto tra il Comune di Genova e le società Maggioli e Poste Italiane per la gestione di fasi della procedura contravvenzionale si è protratto senza soluzione di continuità tra il contratto Rep. 66975 ed il contratto Rep. n. 67755, mantenendo inalterati i rispettivi compiti e le rispettive attribuzioni funzionali nel corso dei diversi contratti che si sono succeduti nel tempo”, ragione per la quale “(…) il Comune di Genova non risulta essere incorso in alcuna violazione dell’art. 19, comma 3, del Codice”. Inoltre il Comune, nell’osservare come “(…) le difese già svolte  (…) mantengono la loro valenza ancor più alla luce dei principi che emergono dal Regolamento (UE) n. 2016/679 sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali (…)”, invoca “(…) l’applicazione del cumulo giuridico ex art. 8 comma 1 L. 689/81 delle sanzioni elevate con il verbale n. 25842/113623 del 24.7.2017 e con il verbale n. 7524/107269 del 28.2.2017” ritenendo applicabile, se più favorevole, la “(…) sanzione eventualmente prevista da Regolamento (UE) n. 2016/679”;

VISTO il verbale dell’audizione della parte redatto in data 19 dicembre 2017, ai sensi dell’art. 18 della legge n. 689/1981, nel quale il Comune di Genova ha sostanzialmente ribadito quanto argomentato nella memoria difensiva;

VISTI, relativamente al verbale di contestazione n. 25842/113623 del 24 luglio 2017, gli scritti difensivi datati, uno 8 agosto 2017 inviato ai sensi dell’art. 18 della legge n. 689/1981, l’altro 4 febbraio 2019 inviato per gli effetti dell’art. 18 del d.lgs. 10 agosto 2018 n. 101, con i quali il Comune di Genova, motivando la richiesta di applicazione dell’art. 164-bis, comma 1 del Codice relativamente ai casi di minore gravità e ribadendo quanto argomentato relativamente al susseguirsi dei contratti di servizio  Rep. n. 66975 e Rep. n. 67755 stipulati con Poste Italiane s.p.a. e Maggioli s.p.a. in funzione dell’atto di designazione del responsabile del trattamento dei dati ai sensi dell’art. 29 del Codice ovvero il provvedimento del Sindaco n. 262 del 14 giugno 2011, ha rilevato come “(…) l’Ente esponente ha fornito le informazioni richieste con nota prot. 128282 del 13.4.2017, inviata in data 13.4.2017 via PEC. Alcuna altra richiesta di integrazioni risulta essere pervenuta da codesta Autorità al Comune di Genova. (…) da tale data del 13.4.2017 codesta Autorità era in possesso degli elementi necessari per procedere o meno all’elevazione del verbale sanzionatorio (…) e quindi da tale data decorreva il termine di 90 giorni stabilito dall’art. 14, comma 2, L. 689/81 per la notifica del verbale. Poiché detta notifica si è perfezionata invece via PEC solo in data 24.7.2017, e quindi decorso detto termine, si eccepisce, ai sensi dell’art. 14, comma 6, L. 689/81 l’estinzione dell’obbligo di pagare la somma dovuta (…)”. Ha osservato altresì come “(…) tanto con tale verbale (verbale di contestazione n. 7524/107269 del 28 febbraio 2017), quanto con quello di cui ai presenti scritti difensivi, è stata contestata al Comune la medesima condotta omissiva (…) da cui è conseguita (…) la medesima violazione dell’art. 19 comma 3 del Codice Privacy. Consegue quindi che, data tale unicità dell’omissione e della violazione, risulterà corretto applicare al Comune di Genova, in relazione ad entrambe tali identiche fattispecie, un’unica sanzione (…)”. In subordine a tale ultima argomentazione, invoca l’applicazione del cumulo giuridico, ai sensi art. 8 comma 1 della legge n. 689/1981, delle sanzioni elevate con i verbali nn.rr. 25842/113623 del 24.7.2017 e  7524/107269 del 28.2.2017;

VISTO il verbale dell’audizione della parte redatto in data 19 dicembre 2017, ai sensi dell’art. 18 della legge n. 689/1981, nel quale il Comune di Genova ha sostanzialmente ribadito quanto argomentato nelle memorie difensive;

CONSIDERATO che le argomentazioni addotte non permettono di escludere la responsabilità del Comune di Genova.

Riguardo entrambe i verbali di contestazione, non risulta condivisibile quanto osservato circa il fatto che “(…) è stata contestata al Comune la medesima condotta omissiva (…) da cui è conseguita (…) la medesima violazione dell’art. 19 comma 3 del Codice Privacy”. Quelli oggetto di attività di controllo da parte dell’Autorità, in tempi diversi, sono due distinti procedimenti amministrativi (istruiti in fascicoli diversi) scaturiti da altrettante autonome segnalazioni che hanno determinato la qualificazione di autonomi trattamenti di dati personali. Ciò evidentemente, ha determinato l’accertamento, in tempi diversi,  di distinte violazioni contestate con i verbali in argomento. Tale evidenza produce i suoi effetti anche in ordine alla impossibilità di riconoscere i presupposti applicativi del concorso formale omogeneo con conseguente applicazione del cumulo giuridico delle norme sanzionatorie di cui all’art. 8, comma 1, della legge n. 689/1981, atteso che, per le ragioni già esposte, nel caso di specie, non si sostanzia il requisito dell’unicità dell’azione previsto come presupposto necessario alla ricorrenza dell’istituto menzionato.

Parimenti non apprezzabili risultano le osservazioni circa la ricorrenza, se più favorevole, della “(…) sanzione eventualmente prevista da Regolamento (UE) n. 2016/679”, atteso che, in realtà, al fine della determinazione della norma applicabile, sotto il profilo temporale, deve trovare applicazione il principio di legalità di cui all’art. 1, comma 2 della legge n. 689/1981 che, nel prevedere come “Le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in esse considerati”, asserisce la ricorrenza del principio del tempus regit actum. La ricorrenza di tali principi determina l’obbligo di prendere in considerazione la norma vigente al momento della commessa violazione. Nel caso che ci occupa tale momento deve essere individuato nel momento dell’avvenuta comunicazione dei dati dei segnalanti. Risulta evidente, quindi, come, nel caso in trattazione, la disciplina del Regolamento n. 679/2016, i cui effetti si producono dalla data del 25 maggio 2018, non possa essere presa in considerazione, ma dovrà essere applicata la distinta norma prevista dal Codice vigente al momento in cui la condotta oggetto di contestazione è stata posta in essere.

Relativamente al verbale di contestazione n. 7524/107269 del 28 febbraio 2017, con riferimento al susseguirsi dei contratti di servizio n. 66975 del 29 giugno 2010 e n. 67755 del 23 ottobre 2015 stipulati con Poste Italiane s.p.a. e Maggioli s.p.a. in funzione dell’atto di designazione del responsabile del trattamento dei dati ai sensi dell’art. 29 del Codice ovvero il provvedimento del Sindaco n. 262 del 14 giugno 2011, si rileva come nessun elemento valutativo ulteriore sia stato prodotto in atti rispetto a quelli già presi in considerazione nell’ambito dell’attività istruttoria definita con gli atti di accertamento del 14 febbraio 2017 e 22 giugno 2017 che non risultano essere stati impugnati e dei quali, peraltro, viene ampiamente tenuto conto nel verbale di contestazione in argomento.

Relativamente al verbale di contestazione n. 25842/113623 del 24 luglio 2017, oltre a ribadire quanto già rappresentato relativamente alla contestazione del 28 febbraio 2017, risulta privo di pregio quanto argomentato relativamente allo spirare del termine di cui all’art. 14, comma 2 della legge n. 689/1981, atteso che il dies a quo per la notificazione della contestazione va correttamente individuato nella data di accertamento della violazione e questa deve intendersi come la data in cui sono stati acquisiti (e valutati dall’organo accertatore) tutte le circostanze di fatto e gli elementi di diritto rilevanti ai fini dell’individuazione di una condotta sanzionata quale illecito amministrativo, così come statuito dalla medesima giurisprudenza della Corte di Cassazione citata nella memoria. Nel caso in esame il Comune ritiene erroneamente che il termine decadenziale di cui all’art. 14 della legge n. 689/1981 decorra “(…) da tale data del 13.4.2017 (…)”. In realtà la violazione, così come espressamente rilevato nel verbale contestazione, è stata accertata, ai sensi dell’art. 13 della legge n. 689/1981, con la nota n. 22450 del 22 giugno 2017 con la quale l’articolazione dell’Ufficio del Garante competente per materia ha preso atto della condotta omissiva costituente illecito amministrativo. Il Dipartimento attività ispettive e sanzioni, peraltro dopo aver ricevuto la trattazione in argomento, ha proceduto a notificare la contestazione nel rispetto del termine di novanta giorni previsto dall’art. 14 della legge n. 689/1981, ovvero in data 24 luglio 2017;

RILEVATO, pertanto, che:

con riferimento a quanto accertato con la nota n. 5313 del 14 febbraio 2017 che ha definito il procedimento amministrativo relativo alla prima segnalazione, fanno parte del Raggruppamento Temporaneo di Impresa (RTI) Maggioli s.p.a. e Poste Italiane s.p.a., le quali, a fronte del contratto n. 67755 del 23 ottobre 2010 stipulato con il Comune di Genova (titolare del trattamento ai sensi dell’art. 28 del Codice), sono state designate responsabili del trattamento dei dati ai sensi dell’art. 29 del Codice solo in 21 gennaio 2017 con il provvedimento sindacale n. 15. Ciò ha consentito di accertare che il Comune di Genova, fino alla data del 20 gennaio 2017, ha effettuato una comunicazione illecita dei dati personali del segnalante alle predette società, in mancanza di un idoneo presupposto normativo, in violazione di quanto disposto dall’art. 19, comma 3, del Codice.

Con riferimento a quanto accertato con la nota n. 22435 del 22 giugno 2017, è stato rilevato che il Comune di Genova, sempre riguardo all’assegnazione del servizio di gestione di fasi della procedura contravvenzionale mediante gara di appalto ad un Raggruppamento Temporaneo di Impresa (RTI), abbia ricondotto quanto lamentato nella segnalazione a quanto già descritto in riferimento alla prima segnalazione. Rileva però dagli atti come, nel caso che ci occupa, la designazione della Maggioli s.p.a. quale responsabile del trattamento dei dati ai sensi dell’art. 29 del Codice, effettuata con provvedimento sindacale 262 del 14 giugno 2011, risultava espressamente “condizionata per oggetto e durata al contratto n. 66975 del 29 giugno 2010 in corso di esecuzione tra il Comune di Genova e il Raggruppamento Temporaneo di Impresa (RTI)” -di cui faceva parte il Responsabile del trattamento dei dati ovvero Maggioli s.p.a.-, e revocata di diritto alla cessazione del rapporto medesimo o alla risoluzione per qualsiasi causa dallo stesso. Come accertato, la “procedura  contravvenzionale oggetto di reclamo si è svolta in vigenza del contratto di appalto Rep. N. 67755” stipulato il 23 ottobre 2015, per i cui trattamenti il Comune ha provveduto ad effettuare la designazione ai sensi dell’art. 29 del Codice, solo il 21 gennaio 2017. Prendendo atto degli elementi evidenziati nella nota del 13 aprile 2017 del Comune, non può condividersi l’affermazione che “non vi sia soluzione di continuità tra il provvedimento 262 ed il provvedimento n. 15” e che “il comune si è avvalso, senza soluzione di continuità dei servizi R.T.I. composto dalle stesse imprese”. Ciò non solo in quanto i diversi contratti di appalto sono stati stipulati dal Comune con due diversi RTI […] ma anche perché pur valorizzando la continuità dell’attività svolta nel tempo dalla Maggioli s.p.a., la designazione di quest’ultima è stata effettuata solo in data successiva al trattamento oggetto della segnalazione. Pertanto il trattamento dei dati del segnalante è stato effettuato in violazione dei presupposti previsti dall’art. 19, c. 3, del Codice;

VISTO l’art. 162, comma 2-bis, del Codice, che, per ciascuna delle due contestazioni, punisce la violazione delle disposizioni indicate nell’art. 167 del Codice, tra le quali quelle di cui all’artt. 19, comma 3, del medesimo Codice, con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

RILEVATO che il Comune, non appena avuta notizia già della prima segnalazione, ha provveduto di propria iniziativa a designare i responsabili del trattamento (le due società Poste Italiane s.p.a. e Maggioli s.p.a.) con provvedimento sindacale n. 15 del 27 gennaio 2017, e che pertanto, valutando positivamente tale elemento, devono considerarsi sussistenti i presupposti applicativi dei casi di minore gravità di cui all’art. 164-bis, comma 1 del Codice;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge 24 novembre 1981 n. 689, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore e che pertanto, tenendo conto della ricorrenza del disposto di cui all’art. 164-bis, comma 1 del Codice, l’ammontare delle due sanzioni pecuniarie deve essere quantificato nella misura di euro 4.000,00 (quattromila) per ciascuna violazione, per un importo complessivo pari a euro 8.000,00 (ottomila);

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTA la documentazione in atti;

VISTE le osservazioni dell’Ufficio, formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

ORDINA

al Comune di Genova – C.F/P.I. 00856930102 –, con sede legale in Genova, Palazzo Tursi, via Garibaldi n. 9, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 8.000,00 (ottomila) a titolo di sanzione amministrativa pecuniaria per le due violazioni dell’art. 162, comma 2-bis, in combinato disposto con l’art. 164-bis, comma 1 del Codice che disciplina i casi di minore gravità, nei termini indicati in motivazione;

INGIUNGE

al medesimo soggetto di pagare la somma di euro 8.000,00 (ottomila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 28 marzo 2019

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia