Diritti interna

Doveri interna

ricerca avanzata

Ordinanza ingiunzione nei confronti di Regione Abruzzo - 6 maggio 2019 [9164171]

[doc. web n. 9164171]

Ordinanza ingiunzione nei confronti di Regione Abruzzo - 6 maggio 2019

Registro dei provvedimenti
n. 111 del 6 maggio 2019

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO l’art. 1, comma 2, della legge 24 novembre 1981, n. 689, ai sensi del quale le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e per i tempi in esse considerati;

RILEVATO che il Nucleo privacy della Guardia di finanza, in esecuzione della richiesta di informazioni n. 7227/123076 del 2 marzo 2018, formulata ai sensi dell’art. 157 del d.lgs. 30 giugno 2003 n. 196, recante il Codice in materia di protezione dei dati personali (di seguito “Codice”), ha svolto gli accertamenti di cui al verbale di operazioni compiute del 27, 28 e 29 marzo 2018 nei confronti della Regione Abruzzo, con sede in L’Aquila, Via Leonardo da Vinci n. 6, C.F. 80003170661, finalizzati a verificare il rispetto delle disposizioni in materia di protezione dei dati personali con riferimento ai trattamenti di dati personali posti in essere dalla Regione Abruzzo nell’ambito dell’offerta dei servizi pubblici realizzati per mezzo delle APP;

VISTA la documentazione acquisita nel corso delle attività ispettive da cui è risultato che la Regione Abruzzo, nell’ambito dell’offerta dei servizi pubblici resa ai cittadini, ha realizzato diverse app tra cui “Regione Abruzzo”, gestita dall’Ufficio Stampa della Regione, e “Allarmeteo” gestita dal Centro funzionale della Protezione Civile d’Abruzzo. Mediante le suddette app, la Regione, in qualità di titolare del trattamento ai sensi degli artt. 4, comma 1, lett. f), e 28 del Codice, effettua un trattamento di dati personali degli utenti che, previo download delle app sui propri dispositivi mobili, effettuano una registrazione, conferendo dati personali tra cui nome, cognome, indirizzo e-mail e password, e indirizzo nel caso dell’app “Allarmeteo”;

PRESO ATTO della documentazione successivamente inviata dalla Regione Abruzzo a scioglimento delle riserve formulate nel corso degli accertamenti ispettivi, da cui è risultato che la Regione Abruzzo non ha effettuato le designazioni degli incaricati del trattamento, ai sensi dell’art. 30 del Codice, nei confronti dei dipendenti dell’Ufficio Stampa e degli addetti del Centro funzionale della Protezione Civile d’Abruzzo, relativamente ai trattamenti di dati personali degli utenti raccolti per mezzo delle app  “Regione Abruzzo” e “Allarmeteo”;

VISTO il verbale n. 55 del 24 maggio 2018 con cui è stata contestata alla Regione Abruzzo, in persona del legale rappresentante pro tempore, la violazione amministrativa prevista dall’art. 162, comma 2-bis, del Codice, in relazione all’art. 33 del medesimo Codice, per la quale non è prevista la definizione in via breve ai sensi dell’art. 16 della legge 24 novembre 1981 n. 689;

VISTI gli scritti difensivi datati 3 luglio 2018, inviati ai sensi dell’art. 18 della legge 24 novembre 1981, n. 689, con cui la parte, dopo aver preliminarmente descritto le caratteristiche e le importanti funzionalità dell’app denominata “Allarmeteo”, ha precisato che l’app in parola “non tiene traccia della posizione dell’utente e non registra nel db i suoi spostamenti, ma si limita all’invio delle allerte che sono previste nell’area in cui ricade l’indirizzo che l’utente ha indicato in fase di registrazione”. Ciò posto, la parte ha osservato che “con determinazione dirigenziale n. 5 del 12/04/2016 notificata a tutti i dipendenti del Centro funzionale d’Abruzzo addetti al trattamento dei dati raccolti dalla piattaforma Allarmeteo, è stato approvato il Manuale del Centro Funzionale che contiene istruzioni e procedure che regolamentano le modalità operative di pubblicazione e diffusione dei messaggi di allertamento eseguite attraverso la piattaforma Allarmeteo”. Pertanto, la parte ritiene che la contestazione elevata nei confronti della Regione sia infondata, posto che nei diversi documenti predisposti dalla Regione inerenti la funzionalità dell’app, sono stati sempre rimarcati i requisiti di riservatezza e sicurezza, nel rispetto di quanto stabilito dall’art. 33 del Codice. In ultimo, la parte ha rilevato che il trattamento di dati personali effettuato per mezzo della suddetta app deve considerarsi di rilevante interesse pubblico, “in quanto trattasi di finalità di protezione civile per la tutela della pubblica e privata incolumità, ai sensi e per gli effetti dell’art. 73” del d.lgs.196/2003;

LETTO il verbale di audizione, tenutasi il 16 aprile 2019, ai sensi dell’art. 18 della legge n. 689/1981, nel corso della quale la parte ha ribadito quanto già dichiarato nelle memorie difensive, sottolineando come la Deliberazione di Giunta regionale n. 172 del 4 marzo 2015, che approva il sistema di allertamento regionale, contenga una descrizione analitica delle procedure che gli operatori del Centro funzionale della Protezione civile devono seguire per l’inserimento delle allerte e il conseguente invio agli utenti;

CONSIDERATO che le argomentazioni addotte non sono idonee ad escludere la responsabilità della parte in relazione a quanto contestato. Si rileva, preliminarmente, che le osservazioni difensive formulate dalla parte hanno riguardato solo l’app “Allarmeteo” e non anche l’app “Regione Abruzzo”, rispetto alla quale, dunque, non sono stati forniti chiarimenti circa l’eventuale designazione degli incaricati del trattamento, effettuate nei confronti dei dipendenti dell’Ufficio stampa che, sulla base delle dichiarazioni rese nel corso degli accertamenti ispettivi, gestiscono le richieste di informazioni che pervengono dagli utenti che si registrano all’app effettuando, in tal modo, un trattamento di dati personali. Per quanto concerne, invece, la documentazione che è stata prodotta dalla parte relativamente all’app “Allarmeteo”, si osserva che, nonostante l’accuratezza delle istruzioni operative contenute nel Manuale del Centro funzionale e, in particolare, nell’allegato denominato “Istruzioni operative per le attività di allertamento del Centro funzionale d’Abruzzo”, datato 12/04/2016 e notificato a tutti i dipendenti, tali istruzioni non possono essere valutate alla stregua di una designazione degli incaricati del trattamento ex art. 30 del Codice. Infatti, nei citati documenti, che pure contengono una descrizione precisa circa le modalità con cui gli operatori devono procedere alla compilazione dei bollettini di criticità meteorologiche, all’inserimento e all’invio di alert, non è tuttavia presente alcun riferimento alle modalità con cui gli addetti del Centro funzionale della Protezione civile devono trattare, conservare e gestire, i dati personali conferiti dagli utenti che intendono avvalersi del servizio di allerta meteo. Al riguardo, si osserva che l’art. 30 del Codice dispone che la designazione, fatta per iscritto, individui “puntualmente” l’ambito di trattamento consentito; nel caso di specie, non viene specificata in nessuno dei testi predisposti dalla Regione alcuna istruzione relativa al trattamento di dati personali. Per quanto riguarda l’applicabilità al caso in esame della disposizione di cui all’art. 73 del Codice, che individua le attività di rilevante interesse pubblico in ragione della finalità (“in materia di protezione civile”, art. 73, comma 2, lett. h), si osserva che tale norma non esime il titolare del trattamento dall’osservanza delle disposizioni in materia di protezione dei dati personali, tra cui quelle relative alle misure minime di sicurezza, e la conseguente applicazione di sanzioni amministrative nel caso in cui venissero ravvisate delle violazioni;

RILEVATO, pertanto, che la Regione Abruzzo ha effettuato un trattamento di dati personali (art. 4 comma 1, lett. a) e b) del Codice) omettendo di adottare le misure minime di sicurezza di cui all’art. 33 del Codice;

VISTO l’art. 162, comma 2-bis, del Codice che punisce la violazione delle disposizioni indicate nell’art. 33 del Codice con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

RITENUTO che ricorrono le condizioni per applicare l'art. 164-bis, comma 1, del Codice, secondo cui “se taluna delle violazioni di cui agli art. 161, 162, 162-ter, 163 e 164 è di minore gravità, i limiti minimi e massimi stabiliti negli stessi articoli sono applicati in misura pari a due quinti”;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge 24 novembre 1981 n. 689, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione e della personalità del contravventore;

RITENUTO di dover determinare, ai sensi dell’art. 11 della legge n. 689/1981, l’ammontare della sanzione pecuniaria per la violazione dell’art. 162, comma 2-bis, del Codice nella misura di euro 4.000,00 (quattromila), applicata in combinato disposto con l’art. 164-bis, comma 1, del Codice;

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni ed integrazioni;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Licia Califano;

ORDINA

alla Regione Abruzzo, con sede in L’Aquila, Via Leonardo da Vinci n. 6, C.F. 80003170661, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 4.000,00 (quattromila) a titolo di sanzione amministrativa pecuniaria per la violazione prevista dall’art. 162, comma 2-bis, del Codice indicata in motivazione;

INGIUNGE

al medesimo soggetto di pagare la somma di euro 4.000,00 (quattromila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 6 maggio 2019

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia