Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Città Metropolitana di Napoli - 29 ottobre 2020 [9513059]

[doc. web n. 9513059]

Ordinanza ingiunzione nei confronti di Città Metropolitana di Napoli - 29 ottobre 2020

Registro dei provvedimenti
n. 204 del 29 ottobre 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, vice-segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTA la legge n. 689/1981 e successive modificazioni e integrazioni, con particolare riferimento all’art. 1, comma 2;

VISTO il reclamo presentato in data XX dal Sig. XX, dipendente della Città Metropolitana di Napoli, con il quale è stato lamentato che una nota contenente una segnalazione, da cui avrebbe avuto origine un procedimento disciplinare nei propri confronti, sarebbe stata protocollata “senza gli attributi di riservatezza, così da essere disponibile ad una pluralità di soggetti” e che in ragione dell’ampia circolazione che il documento avrebbe avuto all’interno dell’amministrazione, la stessa sarebbe stata, successivamente, oggetto di scambio, attraverso messaggi di posta elettronica e social network, tra il personale dell’Ufficio. In particolare, il reclamante ha rappresentato di essere venuto a conoscenza del fatto che la segnalazione proposta nei suoi confronti da una dirigente della Città metropolitana sarebbe “stata inserita nel portale informatico della Città Metropolitana di Napoli, denominato “Folium”, senza gli attributi di riservatezza, così da essere disponibile ad una pluralità di soggetti […ed avere] ampia eco tra i propri colleghi ed è stata trasmessa, sia tramite posta elettronica, sia tramite whatsapp a svariate persone”.

VISTA la richiesta di informazioni (nota prot. n. XX del XX) del Dipartimento Realtà Pubbliche di questa Autorità, con la quale si invitava la Città metropolitana a fornire ogni elemento e informazione utile in relazione a quanto segnalato;

PRESO ATTO della nota del XX (prot. n. XX), con la quale il Responsabile della protezione dei dati della Città metropolitana forniva riscontro, per conto di quest’ultima, in ordine a quanto richiesto, dichiarando, in particolare, che:

- i documenti dell’Ente sono gestiti dal “Sistema di gestione informatica dei documenti” (di seguito, SIGID), il cui accesso “è consentito esclusivamente attraverso un processo di autenticazione che richiede l’inserimento preventivo nel sistema di apposite credenziali di accesso”;

- l’accesso al Sistema non è consentito a utenti non autorizzati privi di credenziali di autenticazione e non permette di effettuare operazioni non previste dal profilo associato;

- con riferimento al caso di specie, la segnalazione del XX, è “considerata quale notizia utile all’attivazione di un procedimento disciplinare a carico del dipendente XX, ma non […] tecnicamente qualificabile come l’avvio di un procedimento disciplinare”.

VISTA la nota n. XX del XX del Dipartimento Realtà Pubbliche, con la quale veniva definito il procedimento, le cui motivazioni devono intendersi qui integralmente richiamate, con particolare riferimento al fatto che “nell’ambito dei trattamenti di dati personali effettuati mediante i sistemi informatici di gestione dei documenti è necessario, adottare procedure differenziate e/o riservate con riguardo, ad esempio, a tutti i documenti attinenti procedimenti disciplinari dei dipendenti, nonché degli atti prodromici all’attivazione degli stessi, in ragione di informazioni delicate che possono essere contenute in tali atti (sul punto, v. anche alcune decisioni con le quali il Garante ha dichiarato l’illecito trattamento dei dati personali dei dipendenti da parte di colleghi in ragione della scorretta configurazione del protocollo informatico, Provv. ti 11 ottobre 2012, n. 280, doc. web n. 2097560 e 12 giugno 2014, n. 298, doc. web n. 3318492)”;

VISTO che nel citato atto il Dipartimento ha accertato che la mancata valutazione dello specifico contenuto della nota che ha dato avvio al procedimento disciplinare (contenente la segnalazione a carico del reclamante) e la conseguente protocollazione della stessa nota senza gli attributi di riservatezza hanno reso accessibile il documento a una pluralità di dipendenti non autorizzati allo specifico trattamento; ciò in conseguenza del fatto che l’Ente ha erroneamente qualificato tale nota come mera “notizia utile all’attivazione di un procedimento disciplinare a carico del dipendente” ma non tecnicamente come un atto di “avvio di un procedimento disciplinare”;

CONSIDERATO che, pertanto, nella predetta nota il Dipartimento Realtà Pubbliche ha accertato che si è verificato, “ancorché per cause imputabili ad un possibile errore di valutazione nell’ambito delle ordinarie procedure di protocollazione, un illecito trattamento di dati personali del reclamante (art. 19 del Codice)”, poiché, “per effetto della mancata protocollazione in forma “riservata” dell’atto, si sono determinate le condizioni che hanno reso possibile la consultazione di un documento contenente informazioni particolarmente delicate riferite [al reclamante], a un novero di soggetti non autorizzati”;

CONSIDERATO che i fatti oggetto del reclamo si sono verificati nel novembre del XX (cfr. estratto del XX del sistema di protocollazione allegato al reclamo), in data, quindi, anteriore a quella nella quale il Regolamento (UE) 2016/679 è diventato applicabile (25 maggio 2018) e che, pertanto, ai trattamenti di dati personali in esame si applica il Codice in materia di protezione dei dati personali nella versione antecedente alla riformulazione del medesimo operata a mezzo del d.lgs. n. 101/2018;

VISTO l'atto del XX (prot. n. XX) con cui il Dipartimento Realtà Pubbliche del Garante ha contestato alla Città Metropolitana di Napoli, in personale del legale rappresentante pro-tempore, con sede legale in Piazza Matteotti, n. 1, Napoli, P.IVA 01263370635, la violazione della disposizione di cui all'articolo 19 del Codice, sanzionata dall'articolo 162, comma 2-bis del medesimo Codice, per aver comunicato dati personali relativi al reclamante a soggetti non autorizzati in assenza di un idoneo presupposto normativo;

RILEVATO che dal rapporto amministrativo predisposto dall’Ufficio, ai sensi dell’art. 17 della legge 24 novembre 1981 n. 689, non risulta essere stato effettuato il pagamento in misura ridotta di cui all’art. 16 della legge 689/81;

RILEVATO che la Città Metropolitana di Napoli non si è avvalsa della facoltà di presentare una memoria difensiva ai sensi dell’art. 16 della legge 24 novembre 1981 n. 689;

RILEVATO che, sulla base delle motivazioni di cui alla contestazione amministrativa del XX, che si intendono qui integralmente richiamate e confermate, la Città Metropolitana di Napoli, in persona del rappresentante legale pro-tempore, in qualità di titolare del trattamento, risulta aver commesso la violazione della disposizione di cui all’art. 19 del Codice, sanzionata dall’art. 162, comma 2-bis, del Codice medesimo, per aver comunicato dati personali relativi al reclamante a soggetti non autorizzati in assenza di un idoneo presupposto normativo, come sopra specificato;

VISTO l’art. 162, comma 2-bis del Codice, che punisce le violazioni indicate nell’art. 167, tra cui la violazione relativa all’art. 19 del medesimo Codice, con la sanzione amministrativa del pagamento di una somma da euro 10.000,00 (diecimila) a euro 120.000,00 (centoventimila);

RITENUTO che, per il caso di specie, possa applicarsi la riduzione prevista dall’art. 164-bis, comma 1, del Codice, in quanto la mancata protocollazione come documento “riservato” della segnalazione nei confronti del dipendente, sulla cui base è stato avviato il procedimento disciplinare, è stata frutto dell’erronea considerazione della stessa come mero “documento utile all’attivazione del procedimento disciplinare” ma non come atto del procedimento (per i cui atti, come comprovato dall’ente, è prevista la protocollazione “riservata”, che consente l’accesso selettivo al solo personale autorizzato del relativo trattamento);

RITENUTO, pertanto, che la sanzione prevista dal citato art. 162, comma 2-bis, del Codice, rideterminata ai sensi del suddetto art. 164-bis, comma 1, del Codice medesimo, varia da un minimo di euro 4.000,00 ad un massimo di euro 48.000,00;

CONSIDERATO che con la predetta contestazione amministrativa del XX il Garante ha informato la Città Metropolitana di Napoli della possibilità di avvalersi della facoltà di effettuare il pagamento, nel termine perentorio di 60 giorni dalla data di notificazione della contestazione, della somma stabilita in 8.000 (ottomila) euro;

CONSIDERATO che la Città Metropolitana di Napoli non si è avvalsa di tale facoltà;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge 24 novembre 1981 n. 689, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore e che pertanto l’ammontare della sanzione pecuniaria deve essere quantificato nella misura di euro 8.000,00 (ottomila);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal vice segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

ORDINA

alla Città Metropolitana di Napoli, in personale del legale rappresentante pro-tempore, con sede legale in Piazza Matteotti, n. 1, Napoli, P.IVA 01263370635, di pagare la somma euro 8.000,00 (ottomila), a titolo di sanzione amministrativa pecuniaria per la violazione della disposizione di cui all’art. 19 del Codice medesimo per aver comunicato dati personali a terzi non autorizzati senza un idoneo presupposto giuridico;

INGIUNGE

al medesimo Comune di pagare la somma di euro 8.000,00 (ottomila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 29 ottobre 2020

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL VICE SEGRETARIO GENERALE
Filippi