Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Roma Capitale - 17 dicembre 2020 [9524175]

 

VEDI ANCHE: Newsletter del 25 gennaio 2021

 

[doc. web n. 9524175]

Ordinanza ingiunzione nei confronti di Roma Capitale - 17 dicembre 2020

Registro dei provvedimenti
n. 280 del 17 dicembre 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

RELATORE il prof. Pasquale Stazione;

PREMESSO

1. Illiceità del trattamento dei dati personali effettuato da Roma Capitale mediante il sistema di prenotazione “Tu Passi”.

Con provvedimento n. 81 del 7 marzo 2019, adottato a seguito di una complessa attività istruttoria e di accertamenti effettuati ai sensi dell’art. 58 del Regolamento e 157 e 158 del Codice, è stata dichiarata l’illiceità del trattamento dei dati personali di utenti e dipendenti effettuato da Roma Capitale mediante il sistema “TuPassi”, fornito da Miropass s.r.l. (di seguito, la “Società”), utilizzato, fin dal 2015, per finalità di prenotazione degli appuntamenti e di erogazione dei servizi di sportello.

Con il provvedimento citato, il Garante ha dichiarato illecito il trattamento effettuato con tale sistema per violazione degli articoli 5, 13, 14, 28 e 32 del Regolamento e articoli 13 e 29 del Codice, in relazione ai trattamenti effettuati anteriormente alle modifiche apportate allo stesso dal d.lgs. n. 101/2018.

In particolare, risulta accertato che il trattamento è stato effettuato in contrasto:

- con i principi di liceità, correttezza e trasparenza (artt. 5, par. 1, lett. a) e con l’obbligo, posto in capo al titolare del trattamento, di fornire l’informativa agli utenti e ai dipendenti (artt. 13 e 14 del Regolamento, già art. 13 del Codice, anteriormente alle modifiche di cui al d.lg. n.101/2018);

- con l’obbligo di regolamentare, con un atto avente le caratteristiche di cui all’art. 28, paragrafi 2 e 3 del Regolamento (già art. 29 del Codice, anteriormente alle modifiche di cui al d.lgs. n.101/2018), i trattamenti di dati personali affidati, per conto del titolare, alla Società nell’ambito dei servizi di assistenza e manutenzione del sistema “TuPassi”;

- con l’obbligo di adottare misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio, tenendo conto, in particolare, della natura, dell’oggetto, del contesto, delle finalità e dei rischi inerenti al trattamento per i diritti e le libertà delle persone fisiche (art. 32 del Regolamento).

Con lo stesso provvedimento sono state prescritte “adeguate azioni correttive volte ad eliminare le criticità tecniche e organizzative (v. par. da 3.1 a 4)”, ingiungendo all’Ente di comunicare le iniziative intraprese, entro 90 giorni dalla data di ricezione del provvedimento, fornendo al riguardo un riscontro adeguatamente documentato (cfr. dispositivo Provv. cit.).

Con la nota del XX (prot. n. XX), l’Ufficio ha notificato il provvedimento all’Ente contemporaneamente all’avvio del procedimento, ai sensi dell’art. 166, comma 5, del Codice, per l’adozione dei provvedimenti di cui all’articolo 58, paragrafo 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

Con nota del XX, prot. XX, l’Ente ha inviato i propri scritti difensivi in relazione alle violazioni notificate, rappresentando, in particolare, di aver “previsto l’implementazione di tutte le opportune attività di competenza necessarie a garantire gli adempimenti puntuali alle prescrizioni normative” e di aver proceduto “alla designazione della società […] a responsabile del trattamento [….] con provvedimento sottoscritto digitalmente in data XX (XX)”, riservandosi, altresì, di comunicare, nei tempi e nei modi previsti dal provvedimento n. 81 del 2019, “le iniziative intraprese per l’attuazione delle prescrizioni contenute nel provvedimento, con particolare riferimento ai profili di sicurezza informatica nel traffico dati tra i sistemi costituenti l’architettura Tupassi”.

Nel corso dell’istruttoria l’Ente ha fornito, in tempi diversi, anche su specifica sollecitazione dell’Ufficio (cfr., ad esempio, note del XX, prot. XX e del XX prot. n. XX), ulteriori elementi e una copiosa documentazione, non sempre pertinente, volta a documentare l’adempimento delle prescrizioni di cui al provvedimento n. 81 del 7 marzo 2019 (cfr., verbale audizione convocata d’ufficio presso gli uffici del Garante del XX e note del XX, prot. n. XX, del XX, prot. n. XX e del XX, prot. n. XX).

Il completo adempimento da parte dell’Ente alle prescrizioni impartite con il provvedimento del 7 marzo 2019, n. 81 è stato definitivamente rilevato dall’Ufficio con la nota del XX, prot. XX.

2.  Conclusioni.

Alla luce delle dichiarazioni rese dal titolare del trattamento negli scritti difensivi ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ e della documentazione dallo stesso prodotta, tenuto altresì conto che il titolare non ha contestato i profili di merito accertati con il provvedimento del 7 marzo 2019, n. 81 e notificati dall’Ufficio con l’atto di avvio del procedimento, si confermano le valutazioni dell’Ufficio circa l’illiceità del trattamento di dati personali, di utenti e dipendenti, effettuato dall’Ente mediante il sistema “Tu Passi” per la prenotazione dei servizi allo sportello, per violazione degli articoli 5, 13, 14, 28 e 32 del Regolamento.

Sebbene il trattamento sia stato intrapreso dall’Ente nel periodo precedente all’entrata in vigore del Regolamento (il sistema “Tu passi” risulta infatti essere stato adottato fin dal 2015), ai fini della individuazione della normativa applicabile, sotto il profilo temporale, occorre tener presente che, in base al principio di legalità di cui all’art. 1, comma 2, della l. n. 689/1981, “Le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in esse considerati”. Da ciò consegue la necessità di prendere in considerazione le disposizioni vigenti al momento della commessa violazione; nel caso in esame, data la natura permanente dell’illecito contestato, tale momento deve essere individuato all’atto della cessazione della condotta illecita, determinatasi con l’attuazione del provvedimento del 7 marzo 2019, n. 81 e quindi nella piena vigenza delle disposizioni del Regolamento e del Codice (come modificato dal d.lgs. 101/2018).

La violazione delle predette disposizioni rende quindi applicabile la sanzione amministrativa prevista dall’art. 83, par. 4 e 5 del Regolamento, ai sensi degli artt. 58, par. 2, lett. i) e 83, par. 5, del Regolamento medesimo come richiamato anche dall’art. 166, comma 2, del Codice.

In tale quadro, considerando, che la condotta ha esaurito i suoi effetti, essendo state, nel tempo, adottate le misure necessarie ad adempiere alle prescrizioni impartite dal citato provvedimento, per rendere conforme il trattamento alla disciplina di protezione dei dati personali, come rilevato con nota del XX, prot. XX non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

3. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

In relazione ai predetti elementi è stato considerato l’ingente numero di interessati (utenti e dipendenti) che hanno utilizzato nel tempo il sistema per la prenotazione e la gestione degli appuntamenti con gli uffici dell’Ente e la durata del complessivo trattamento, iniziato nel 2015. Sono state altresì considerate le modalità con le quali, nel corso dell’istruttoria, l’Ente ha fornito gli elementi di valutazione richiesti dall’Ufficio, mediante numerosi invii di documentazione, talvolta non pertinente, con inevitabili riflessi sulla tempestività della definizione del procedimento, anche nella fase di verifica del corretto adempimento al provvedimento n. 81/2019. Ciò, anche per le difficoltà operative riscontrate dalla figura del Responsabile della protezione dei dati - peraltro soggetta ad avvicendamenti nel corso dell’istruttoria-, nel cooperare efficacemente e nel fungere adeguatamente da referente per l’amministrazione nonché da “punto di contatto per l’autorità per le questioni connesse al trattamento” (art. 39, par.1, lett. d) ed e) del Regolamento), per effetto delle non sempre opportune scelte organizzative dell’Ente. Ai fini della complessiva commisurazione della sanzione è stato altresì considerato che in relazione all’obbligo di informativa agli utenti del sistema “Tupassi” sussiste uno specifico precedente sanzionatorio (cfr. atto di contestazione di violazione amministrativa del 23 maggio 2018 n. 51, definito con iscrizione a ruolo, ai sensi dell’art. 18, comma 2, del d.lgs. 101/2018, “con riferimento ai trattamenti di dati effettuati fino a quella data”, v. punto 3.1. provv. n. 81/2019). La medesima violazione è stata nuovamente accertata, unitamente agli altri profili, nel corso delle verifiche effettuate nel mese di ottobre 2018 (cfr., nota del XX, prot. n. XX di avvio del procedimento, ai sensi dell’art. 166, comma 5, del Codice).

Di contro è stato considerato che, come già rilevato dal Garante, talune delle violazioni contestate sono state originate dalle specifiche caratteristiche del sistema impiegato dall’Ente per i servizi di prenotazione, che nella “versione standard”, originariamente distribuita dalla Società fornitrice, non consentiva “di configurare “caso per caso” la tipologia dei dati trattati e i tempi massimi di conservazione, e quindi di rispettare i principi applicabili al trattamento dei dati (art. 5, par. 1, spec. lett. a), b), c) ed e) Regolamento)” (cfr. par. 5, Provv. cit.). Ferma restando l’imputazione della responsabilità del titolare per le violazioni contestate, tale circostanza è stata comunque tenuta in considerazione ai fini della commisurazione della sanzione. Si è altresì tenuto conto dell’impegno manifestato dall’Ente a conformare i trattamenti alla disciplina in materia di protezione dei dati personali (regolamentazione del rapporto con il fornitore ai sensi dell’art. 28 del Regolamento, integrazione dell’informativa, sospensione delle funzionalità di reportistica, individuazione dei tempi di conservazione dei dati).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria tenendo anche conto della fase di prima applicazione delle disposizioni sanzionatorie ai sensi dell’art. 22, comma 13, del d. lgs. 10/08/2018, n. 101, nella misura di euro 500.000 (cinquecentomila) per la violazione degli artt. 5, 13, 14, 28 e 32 del Regolamento. Nella quantificazione della sanzione il Garante ha tenuto in particolare considerazione il fatto che le violazioni sono connesse a un trattamento iniziato prima della definitiva applicazione del Regolamento.

Tenuto conto della particolare delicatezza e del numero dei dati trattati, si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità del trattamento effettuato da Roma Capitale per violazione degli artt. artt. 5, 13, 14, 28 e 32 del Regolamento nei termini di cui in motivazione;

ORDINA

a Roma Capitale in persona del legale rappresentante pro-tempore, con sede legale in Roma, p.zza del Campidoglio, C.F. 02438750586, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 5, del Regolamento e 166, comma 2, del Codice, di pagare la somma di euro 500.000,00 (cinquecentomila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice (cfr. anche art. 10, comma 3, del d. lgs n. 150 dell’1/9/2011), ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata, secondo le modalità indicate in allegato;

INGIUNGE

a Roma Capitale di pagare la somma di euro 500.000,00 (cinquecentomila) in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione del presente provvedimento sul sito web del Garante, ritenendo che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 17 dicembre 2020

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei