[doc. web n. 4014900]

Ordinanza di ingiunzione nei  confronti di Ministero dell´Interno – Dipartimento della Pubblica Sicurezza - 2 aprile 2015

Registro dei provvedimenti
n. 205 del 2 aprile 2015

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

RILEVATO che, all´esito di un procedimento amministrativo scaturente da una segnalazione, l´Ufficio del Garante ha accertato che, attraverso il sito web istituzionale del Ministero dell´Interno – Dipartimento della Pubblica Sicurezza (C.F.: 80202230589), con sede in Roma, piazza del Viminale n. 1, veniva diffusa una graduatoria concorsuale contenente dati personali della segnalante in assenza di una previsione normativa o regolamentare, e quindi in violazione di quanto previsto dall´art. 19, comma 3 del d.lg. 30 giugno 2003, n. 196 recante Codice in materia di protezione dei dati personali (di seguito denominato Codice);

VISTO il verbale n. 19164/76072 del 20 luglio 2012 con cui è stata contestata al Ministero dell´Interno – Dipartimento della Pubblica Sicurezza, in persona del legale appresentante pro-tempore, la violazione amministrativa prevista dall´art. 162, comma 2-bis, del Codice, in relazione all´art. 19, comma 3, informandolo della facoltà di effettuare il pagamento in misura ridotta ai sensi dell´art. 16 della legge n. 689/1981;

ESAMINATO il rapporto dell´Ufficio del Garante predisposto ai sensi dell´art. 17 della legge 24 novembre 1981, n. 689, dal quale non risulta essere stato effettuato il pagamento in misura ridotta;

VISTO lo scritto difensivo datato 1° settembre 2012 e inviato ai sensi dell´art. 18 della legge n. 689/1981, con il quale il Ministero dell´Interno – Dipartimento della Pubblica Sicurezza ha evidenziato come "(…) seppur nella fattispecie la singola graduatoria possa essere stata lasciata in rete per un tempo lungo, ciò è avvenuto nell´ambito più generale di una strategia comunicativa totalizzante, destinata a dare al cittadino una quanto più chiara, esaustiva e globale idea sulle modalità di svolgimento delle varie procedure concorsuali", ove sul punto, richiamando quanto disposto dall´art. 35, comma 5-ter, del d.lg. 30 marzo 2011, n. 165 (introdotto dalla legge n. 244/2007 c.d. legge finanziaria 2008), ha rilevato quanto statuito dalla sentenza del Consiglio di Stato n. 14 del 28 luglio 2011. Inoltre, sottolineando come "(…) nell´ottica dell´efficienza e della trasparenza della pubblica amministrazione, (…) si era optato per la pubblicazione via web, per velocizzare e rendere più efficace la diffusione dei risultati", ha richiamato analiticamente distinte fonti normative e regolamentari, nonché specifici provvedimenti dell´Autorità, osservando come "(…) suscita perplessità la conclusione che la diffusione dei dati della concorrente (segnalante) sia stata effettuata in assenza di una norma regolamentare specifica". Ha osservato, altresì, come "(…) con riferimento al complesso delle indicazioni circa l´adozione di accorgimenti informatici atti a rendere non indistintamente raggiungibili i dati ai motori di ricerca (di cui alle richiamate "Linee guida in materia di trattamento di dati personali contenuti anche in documenti e atti amministrativi, effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web") (…), gli eventuali espedienti desinati a permettere di raggiungere i dati ad un limitato numero di utenti (…) non avrebbe prodotto nel caso prospettato risultati validi in termini di salvaguardia dei dati"; " l´attribuzione di credenziali di accesso (…) non rientrava e tuttora non rientra nelle funzionalità del sito istituzionale (…); "(…) non appare chiaro se, alla luce del Disciplinare tecnico in materia di misure di sicurezza (…) vi sia un reale obbligo di adottare la modalità di pubblicazione appena citata ai dati in contestazione". D´altra parte, "(…) le citate perplessità, (…), come quella di cui alla deliberazione n. 88 del 2 marzo 2011 ("Linee guida in materia di trattamento di dati personali contenuti anche in documenti e atti amministrativi, effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web") (…) non aiutano certo a districarsi agevolmente nel convulso panorama giuridico". "Ulteriori incertezze, possono (…) derivare (…) anche dai progressivi sviluppi della giurisprudenza amministrativa, circa il rapporto tra diritto di accesso ai documenti e la tutela della riservatezza". Inoltre, sottolinea come la contestazione, indicando quale norma violata unicamente l´art. 19, comma 3 del Codice, limita "(…) la sanzione alla sola mancanza di una norma di legge o regolamento regolante la possibilità di pubblicazione della graduatoria" e quindi "(…) senza che vengano mosse a questa Amministrazione ulteriori censure, quali (…) quelle riguardanti la giacenza nel tempo dei dati on line". Al riguardo, "(…) pur essendo ormai pacificamente ammesso un rinvio per relationem ad altri atti procedimentali (…) non può però ammettersi  (…) una motivazione a tal punto succinta da essere incompleta e conseguentemente contraddittoria". Non meno importante risulta "(…) il mancato rispetto dei termini procedurali dell´attività istruttoria, ai sensi dell´art. 11 e seg. del Regolamento n. 1/2007 (Regolamento concernente le procedure interne dell´Autorità aventi rilevanza esterna, finalizzate allo svolgimento dei compiti demandati al Garante per la protezione dei dati personali- 14 dicembre 2007";

VISTO il verbale di audizione delle parti redatto in data 8 aprile 2013 ai sensi dell´art. 18 della legge n. 689/1981, nel quale il Ministero dell´Interno – Dipartimento della Pubblica Sicurezza ha sostanzialmente ribadito quanto argomentato negli scritti difensivi;

CONSIDERATO che le argomentazioni addotte non permettono di escludere la responsabilità del Ministero in relazione a quanto contestato. L´Ente ritiene erroneamente che la violazione contestata si riferisca anche al fatto che "(…) la singola graduatoria possa essere stata lasciata in rete per un tempo lungo (…)"senza che vengano  "(…) mosse (…) ulteriori censure, quali (…) quelle riguardanti la giacenza nel tempo dei dati on line"; il verbale di contestazione, invece, individua la condotta nella diffusione di dati della segnalante in assenza di una previsione normativa e regolamentare, così come previsto dall´art. 19, comma 3 del Codice. Quanto dedotto circa il "(…) complesso delle indicazioni circa l´adozione di accorgimenti informatici atti a rendere non indistintamente raggiungibili i dati ai motori di ricerca (…)", è inconferente rispetto all´oggetto della contestazione. Risulta parimenti inconferente quanto osservato "(…) circa il rapporto tra diritto di accesso ai documenti e la tutela della riservatezza", atteso che la richiamata disciplina non ha alcuna attinenza con quella regolante le diffusione di dati personali sul web su cui verte il caso in trattazione. Riguardo le perplessità circa "(…) la conclusione che la diffusione dei dati della concorrente (segnalante) sia stata effettuata in assenza di una norma regolamentare specifica", si evidenzia, invece, come la cornice normativa applicabile al caso di specie (rispetto alla quale nelle memorie difensive non è stato fornito alcun elemento aggiuntivo rispetto all´istruttoria preliminare), sia quella specificamente valutata dall´Ufficio del Garante nella nota 18709/76072 del 17 luglio 2012 (citata nel verbale di contestazione in argomento) quale atto conclusivo del procedimento amministrativo della segnalazione. In tale ambito, ai sensi dell´art. 13 della legge n. 689/1981, è stata accertata la violazione, fornendo, peraltro, una esaustiva motivazione circa le ragioni per le quali la condotta tenuta dal Ministero dell´Interno – Dipartimento della Pubblica Sicurezza fosse censurabile anche sotto il profilo amministrativo sanzionatorio contestato. La citata disciplina sulle scriminanti dell´illecito amministrativo, poi, non è applicabile neanche con riferimento al lamentato "(…) convulso panorama giuridico (…)". In effetti l´errore sulla liceità del fatto, comunemente indicato come buona fede, può rilevare come causa di esclusione della responsabilità solo quando esso risulti incolpevole. A tal fine occorre, cioè, un elemento positivo idoneo ad indurre un errore siffatto, non ovviabile dall´interessato con l´ordinaria diligenza (Cass. Civ. sez. I del 21 febbraio 1995 n. 1873; Cass. Civ. sez II del 13 marzo 2006, n. 5426), elemento che, nel caso di specie, non è riscontrabile. Quanto alla lamentata violazione del Regolamento del Garante n. 1/2007, pur prendendo atto delle motivazioni proposte, si deve evidenziare come ormai costante e consolidata giurisprudenza ritenga non viziato l´atto amministrativo sopravvenuto alla scadenza di un termine del procedimento cui tale atto è riferibile (Consiglio di Stato, sezione IV, 10/06/2013, n. 3172; 12/06/2012, n. 2264; 10/06/2010, n. 3695; Consiglio di Stato, sezione V, 11/10/2013, n. 4980);

RILEVATO, pertanto, che il Ministero dell´Interno – Dipartimento della Pubblica Sicurezza ha effettuato un trattamento di dati personali ai sensi dell´art. 4, comma 1, lett. a) e b) del Codice, atteso che ha diffuso, attraverso il sito Internet istituzionale, dati personali della segnalante contenuti in una graduatoria concorsuale in violazione del citato art. 19, comma 3, del Codice;

VISTO l´art. 162, comma 2-bis, del Codice che punisce la violazione delle disposizioni indicate nell´art. 19 del Codice con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

RITENUTO, in ogni caso, che sussistono gli elementi che consentono di applicare la previsione di cui all´art. 164-bis, comma 1, del Codice per l´illecito contestato;

CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge 24 novembre 1981 n. 689, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

RITENUTO, pertanto, di dover determinare, ai sensi dell´art. 11 della L. n. 689/1981, l´ammontare della sanzione pecuniaria per la violazione nella misura di euro 4.000,00 (quattromila);

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la dott.ssa Augusta Iannini;

ORDINA

al Ministero dell´Interno – Dipartimento della Pubblica Sicurezza (C.F.: 80202230589), con sede in Roma, piazza del Viminale n. 1, in persona del legale appresentante pro-tempore, di pagare la somma di euro 4.000,00 (quattromila) a titolo di sanzione amministrativa pecuniaria per la violazione prevista dall´art. 162, comma 2-bis, del Codice indicata in motivazione;

INGIUNGE

al medesimo soggetto di pagare la somma di euro 4.000,00 (quattromila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 2 aprile 2015

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia