[doc. web n. 4774473]

Ordinanza di ingiunzione nei confronti di Istituto Nazionale Previdenza Sociale - 22 gennaio 2015

Registro dei provvedimenti
n. 33 del 22 gennaio 2015

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

RILEVATO che l´Ufficio del Garante ha effettuato, nei confronti dell´Ente Nazionale di Previdenza e di Assistenza per i Lavoratori dello Spettacolo (ENPALS), con sede in Roma, viale Regina Margherita n. 206 (ora Istituto Nazionale Previdenza Sociale P. IVA 02121151001, con sede legale in Roma, Via Ciro il Grande 21) nonché nei confronti della Società Italiana degli Autori ed Editori (SIAE), un´attività di controllo ai sensi degli artt. 157 e 158 del d.lgs. del 30 giugno 2003 n. 196, recante Codice in materia di protezione dei dati personali (di seguito denominato Codice), formalizzata, rispettivamente, nei verbali di operazioni compiute datati 28 gennaio 2010 e 4 febbraio 2010 nonché del 2 febbraio 2011. Nell´ambito di tale attività è stato rilevato che ENPALS, quale ente previdenziale e assistenziale dei lavoratori dello spettacolo, svolgeva la propria attività nei confronti degli utenti attraverso diversi canali tra cui, in particolare il proprio sito web e i propri sportelli sul territorio avvalendosi anche, in base ad un´apposita convenzione (stipulata in data 10 ottobre 2000 e modificata in data 19 dicembre 2005 e 16 luglio 2009), degli uffici territoriali della Società Italiana degli Editori (SIAE) per lo svolgimento dell´attività di front-office. In base a quanto emerso dall´attività di controllo risulta accertato che ENPALS, in qualità di titolare, ha omesso di rendere l´informativa di cui all´art. 13 del Codice ovvero, fino al 15 marzo 2010 (data di modifica della modulistica utilizzata) per i trattamenti di dati effettuati, attraverso gli "sportelli" SIAE in relazione ai dati raccolti per la gestione delle diverse pratiche afferenti ai lavoratori dello spettacolo amministrati dall´Ente. Risulta parimenti accertato che la predetta violazione ha coinvolto numerosi interessati ovvero tutti coloro che si sono avvalsi dei predetti "sportelli" SIAE. E´ stato inoltre accertato che l´ENPALS ha omesso di adottare le misure minime di sicurezza di cui all´art. 33 del Codice, con riferimento alle modalità di attribuzione agli incaricati appartenenti ad enti esterni (tra cui la SIAE), delle credenziali di autenticazione per l´accesso agli applicativi ENPALS, ciò determinando la disapplicazione alle regole nn. 1, 2, 3, 5 e 6 del disciplinare tecnico di cui all´allegato B) al Codice;

VISTI i verbali nn.rr. 5216/66952 e 5217/66952, entrambi del 22 marzo 2011 (che qui si intendono integralmente richiamati), con cui sono state contestate all´ENPALS la violazione amministrativa prevista dall´art. 161, nella forma aggravata ai sensi dell´art. 164-bis, comma 3 del Codice, in relazione all´art. 13, e la violazione amministrativa prevista dall´art. 162, comma 2-bis del Codice, in relazione all´art. 33, informandolo della facoltà, per la sola violazione dell´art. 13 del Codice, di effettuare il pagamento in misura ridotta ai sensi dell´art. 16 della legge 24 novembre 1981, n. 689;

ESAMINATO il rapporto dell´Ufficio del Garante predisposto ai sensi dell´art. 17 della legge 24 novembre 1981, n. 689, relativo al solo rilievo per violazione dell´art. 13 del Codice, dal quale non risulta essere stato effettuato il pagamento in misura ridotta;

VISTI gli scritti difensivi del 29 aprile 2011, redatti ai sensi dell´art. 18 della legge n. 689/1981 nei quali l´Ente, dopo aver illustrato i rapporti intercorrenti tra ENPALS e SIAE anche alla luce della citata convenzione stipulata, ne ha fatto discendere che "Nello svolgimento di tutte queste attività l´ENPALS e la SIAE si pongono dunque come titolari del trattamento dei dati personali (…)", atteso che "La lapalissiana conferma (…) dell´autonomia decisionale di SIAE nell´impostazione delle modalità di operazioni di trattamento rispetto all´ENPALS, emerge chiaramente dal modulo in atti dell´informativa fornita agli utenti che si recano presso la SIAE per effettuare attività di sportello ENPALS (all. 5 al verbale di operazioni compiute del 4 febbraio 2010), nella quale è specificato anche che i trattamenti effettuati dalla SIAE - al fine di assolvere gli obblighi negoziali assunti in virtù della convenzione ENPALS/SIAE – ed è alla fine presente una formula di raccolta del consenso degli interessati per legittimare il trattamento dei dati personali da parte della stessa SIAE quale titolare (…)". Inoltre, sul punto, l´ENPALS ha rilevato come "(…) SIAE ha comunque effettuato la raccolta e il trattamento dei dati personali, connessi agli adempimenti amministrativi gestiti per conto dell´ENPALS, in un contesto organizzativo ed anche fisico del tutto separato da quello dell´ENPALS, in cui ha mantenuto piene prerogative decisionali, direttive e di controllo (…)". Ha osservato, altresì, come "Qualora anche, in ipotesi, la qualificazione del rapporto tra ENPALS e SIAE fosse da rivedere dal punto di vista privacy per le sole attività di sportello (…), ciò non potrebbe prescindere dalla necessaria adozione di appositi atti giuridici per definire precisi obblighi tra i due enti volti a delineare ai fini della protezione dei dati personali una diversa catena di comando e controllo (…)". D´altro canto "Occorre anche aggiungere, sempre a sostegno dell´affermata autonomia dei due enti sul piano organizzativo, che non solo non sussiste alcun rapporto del tipo titolare-responsabile tra ENPALS e SIAE, ma che non vi è né vi sarebbe (…) un obbligo per l´ENPALS di nomina di SIAE quale responsabile del trattamento". Circa la violazione di cui all´art. 161 del Codice nelle memorie difensive è stato evidenziato come "(…) è certo che, anche se la modulistica utilizzata è quella fornita da ENPALS, i dati oggetto del trattamento in questione e i documenti che li contengono non sono raccolti dall´ENPALS presso gli interessati, ma sono acquisiti per il tramite di un ente ed utenti esterni. Per tale ragione, si ritiene che, in relazione alla posizione dell´ENPALS ed alla formale od anche meramente fattuale impostazione del ruolo di titolare di SIAE, avrebbe dovuto perlomeno valutarsi con maggiore attenzione l´applicabilità al caso di specie della fattispecie di cui al comma 4, anziché del comma 1, dell´art. 13 del Codice (…)", ciò anche in considerazione della conseguente applicabilità, al caso di specie, della disciplina di cui all´art. 13, comma 5 del Codice, alla luce della quale l´ENPLS non avrebbe dovuto rendere alcuna informativa agli interessati. Riguardo all´applicazione, alla violazione in argomento, delle ipotesi aggravate di cui all´art. 164-bis, comma 3 del Codice, ha osservato come non si sia tenuto conto del fatto che si sarebbe dovuto applicare quanto previso nel provvedimento del Garante recante "Semplificazioni di taluni adempimenti in ambito pubblico e privato rispetto a trattamenti per finalità amministrative e contabili" del 19 giugno 2008. Sempre sul punto ha, altresì evidenziato come "(…) l´aggravante di cui all´articolo in questione, aggiunto solo alla fine del 2008 (…), non potrebbe trovare applicazione nei confronti di condotte commesse in un periodo antecedente la sua entrata in vigore, ai sensi del principio di legalità di cui all´art. 1 della l. 689/81; a tal fini non potrebbero comunque essere prese in considerazione le condotte risalenti fino al 2000, in quanto il diritto alla applicazione delle sanzioni amministrativo pecuniarie è soggetto al termine di prescrizione quinquennale di cui all´art. 28 della l. 689/81". Relativamente alla violazione di cui all´art. 162, comma 2-bis del Codice, ha osservato come "(…) con un passaggio interpretativo e un salto logico (…) non meglio motivato, si è ritenuto (…) che gli addetti in servizio presso enti esterni, quali la SIAE, e designati da quest´ ultima quali incaricati del trattamento siano in qualche modo da considerare, rispetto ai sistemi dell´ENPALS cui sono abilitati ad accedere dall´esterno, non quali utenti appartenenti ad altri enti o società (…), bensì come incaricati anche del medesimo Ente, cioè come persone fisiche facenti parte della relativa organizzazione ed operanti sotto la diretta autorità dell´ENPALS quale titolare del trattamento dei dati in questione (…)". "(…) appare evidente come l´assunto da cui muove la contestazione in parola sia del tutto infondato, non esercitando l´ENPALS alcuna diretta autorità e sorveglianza sugli incaricati di altri enti ed operanti nei relativi ambiti organizzativi". Quanto detto risulta confermato alla luce delle modifiche normative, rispetto a quanto previsto dal D.P.R. n. 318/1999, introdotte dall´entrata in vigore del Codice. Inoltre, sul punto, giova rilevare come appaia "(…) difficile comprendere come (…) sia stato possibile riscontrare la violazione delle regole 1, 2, 3, 5 e 6 del disciplinare tecnico mancando il presupposto necessario per l´applicazione di tali regole, ovvero l´atto di designazione degli incaricati da parte di SIAE (leggi ENPALS così come specificato nel verbale di audizione )(…)". Ad ogni buon conto, preso atto di quanto disposto dalla regola n. 1 di cui al disciplinare tecnico Allegato B) al Codice e considerato che "Le successive regole (…) vanno quindi riferite ai requisiti di tali credenziali di autenticazione", si ritiene che "(…) da parte dell´ENPALS non sia stata commessa alcuna violazione delle contestate misure minime di sicurezza nelle modalità di attribuzione delle credenziali di autenticazione agli utenti di enti esterni, quali SIAE, per l´utilizzo dei propri sistemi applicativi ai fini dello svolgimento delle attività in esame, in quanto per il trattamento complessivamente svolto e per accedere a tali sistemi i medesimi utenti dovevano e devono superare, quali incaricati SIAE, una prima procedura di autenticazione informatica a norma di legge – per aver accesso alla rete SIAE abilitata al collegamento a detti sistemi e poi al loro utilizzo, previo superamento dell´ulteriore procedura prevista da ENPALS per gli utenti esterni". D´altro canto, le argomentazioni appena proposte, trovano ulteriore conferma nella previsione, applicabile al caso di specie, del Provvedimento del Garante datato 27 novembre 2008 recante "Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all´allegato B) al Codice in materia di protezione dei dati personali", nella parte in cui dispone che "Può essere adottata, quale procedura di autenticazione anche la procedura di login disponibile sul sistema operativo delle postazioni di lavoro connesse a una rete". All´ENPALS, inoltre, "Preme (…) sottolineare (…) la evidente pesantezza ed irragionevolezza dell´apparato punitivo previsto dall´impianto codicistico che, in caso di violazione delle misure minime di sicurezza previste dall´art. 33 e ss. del Codice e dell´allegato B) al Codice medesimo, prevede l´applicazione della sanzione amministrativa e di quella penale senza richiedere requisiti aggiuntivi per rendere la medesima condotta perseguibile anche dal punto di vista penale";

VISTO il verbale di audizione delle parti redatto in data 11 giugno 2012 ai sensi dell´art. 18 della legge n. 689/1981, nel quale l´ENPALS, nel ribadire quanto argomentato negli scritti difensivi, ha rilevato, relativamente a quanto dedotto in ordine alla titolarità del trattamento dei dati, che, "(…) l´assenza (…) di un provvedimento da parte dell´Autorità Garante di prescrizione di misure necessarie o opportune nei confronti dell´ENPALS concernente l´obbligo di designare la SIAE quale responsabile del trattamento, come sarebbe stato invece necessario in base ai rilievi formulati dall´Autorità", mentre relativamente all´applicazione dell´ipotesi aggravata alla sanzione di cui all´art. 161 del Codice, ha osservato come l´art. 164-bis, comma 3 del Codice sia entrato in vigore "(…) a fine 2008 e, pertanto, il periodo di interesse sarebbe pari a circa un anno e differentemente da quanto indicato in contestazione non riguarderebbe l´intero rapporto decennale tra i due enti, in quanto la condotta in esame sulla base degli atti risulta cessata in data 15 marzo 2010". Inoltre, sul punto, ha evidenziato come l´omissione contestata "(…) era evidente (…) già all´epoca dei primi accertamenti eseguiti nel 2010 avendo l´ENPALS già indicato la presenza dell´informativa fornita da SIAE (…). Pertanto, anche sotto questo profilo, essendo la contestazione avvenuta dopo un anno e dopo l´accertamento presso SIAE nel 2011, se ne eccepisce la tardività e comunque (…) se ne evidenzia la sua riconducibilità ad una ipotesi di minore gravità essendo passato più di un anno tra l´accertamento e la contestazione ed avendo l´ente provveduto ad inserire comunque un´ulteriore informativa nella modulistica già nel marzo 2010, successivamente cioè ai precitati accertamenti";

RITENUTO che le argomentazioni addotte non risultano idonee ad escludere la responsabilità in relazione a quanto contestato. Il trasgressore ritiene erroneamente corretta la qualificazione, invece meramente formale, di autonomi titolari del trattamento operata da ENPALS e SIAE nella convenzione richiamata, con particolare riferimento alla versione del 2005, così come modificata dall´appendice datata 16 luglio 2009. La convenzione, nel disciplinare i rapporti tra i due enti, individua gli specifici trattamenti di dati oggetto della contestazione che pertengono istituzionalmente a ENPALS quale ente previdenziale e attribuisce a SIAE specifici compiti e mansioni che, però, sono solo strumentali ai trattamenti in parola. L´ENPALS, per effetto di quanto stipulato nella convenzione, si occupa, alla luce di quanto specificato nei 3°, 4°, e 5° considerato in premessa alla convenzione del 2005, della formazione del personale di SIAE che viene impiegato nell´attività di fornt office in nome e per suo conto (art. 2, comma 1), di predisporre e fornire la modulistica per la raccolta dei dati degli interessati (art. 2, comma 1), di rendere accessibili, creando e fornendo le necessarie credenziali di autenticazione, i propri sistemi informatici attraverso i propri applicativi e le proprie procedure (art. 2, comma 2 e art. 3, comma 4) e di formare il personale SIAE preposto all´utilizzo dei citati sistemi e applicazioni (art. 2, comma 2). E´ in questa prospettiva che deve essere quindi valutata la qualità di titolare (unico) del trattamento ricoperta da ENPALS, risultando inconferenti tutte le considerazioni relative al contesto organizzativo ed anche fisico del tutto separato di SIAE rispetto a quello di ENPALS, visto che, così come dimostrato in atti, i trattamenti di dati che ci occupano si sono svolti in condizioni in cui SIAE non ha mantenuto quella pienezza di prerogative decisionali, direttive e di controllo richieste dalla norma (art. 4, comma 1 lett. f) del Codice) dalle quali deriva un´effettiva titolarità. Accertato quindi che la titolarità dei dati personali trattati, in relazione alla gestione delle pratiche previdenziali e assistenziali dei lavoratori dello spettacolo, presso gli "sportelli" SIAE è da ricondursi a ENPALS, ne deriva anche che la responsabilità derivante da eventuali inadempimenti alle norme del Codice è, in primo luogo, riferibile all´Ente. Sotto questo punto di vista un´eventuale designazione di SIAE a responsabile (non avvenuta) avrebbe potuto far considerare anche una responsabilità di quest´ultimo rispetto alle violazioni oggetto del presente procedimento. Alla luce di ciò, risulta evidente come il generico cenno alla convenzione ENPALS/SIAE del 16 luglio 2009, contenuto nell´informativa di cui all´allegato n. 5 al verbale di operazioni compiute del 4 febbraio 2010, è assolutamente inidoneo a informare gli interessati rispetto al trattamento effettuato da ENPALS. In effetti la citata informativa riguarda i soli trattamenti di dati in relazione ai quali SIAE opera quale titolare del trattamento ai sensi dell´art. 28 del Codice, senza che, peraltro, alcun elemento di valutazione possa essere desunto dalla richiamata formula di raccolta del consenso che si riferisce ai trattamenti effettuati da SIAE quale autonomo titolare di trattamenti di dati non inerenti le contestazioni in argomento. Risulta, inoltre, erronea la ritenuta "(…) necessaria adozione di appositi atti giuridici per definire precisi obblighi tra i due enti volti a delineare ai fini della protezione dei dati personali una diversa catena di comando e controllo (…)", atteso che l´attività di controllo che ha consentito l´accertamento delle violazioni contestate, deve essere inquadrata, così come esplicitamente menzionato nella richiesta di informazione ai sensi dell´art. 158 del Codice notificata a ENPALS, nell´ambito di una più ampia istruttoria relativa al trattamento di dati personali effettuato da soggetti che accedono ai sistemi informativi dell´Anagrafe delle entrate. Appare pertanto evidente come l´attività istruttoria dell´Autorità non fosse specificamente rivolta alla definizione dei ruoli nell´ambito del rapporto scandito dalla convenzione tra ENPALS e SIAE che, in tale ottica, si poneva come meramente incidentale. In effetti l´attività istruttoria posta in essere dall´Autorità deve essere riferita a un diverso procedimento amministrativo che nulla ha a che vedere con quello sanzionatorio del quale ci si occupa in questa sede. Non risulta, peraltro, condivisibile neanche quanto argomentato circa la violazione dell´art. 161 del Codice. Il citato comma 4 dell´art. 13 del Codice disciplina l´obbligo di informativa nei casi in cui il dato è raccolto da persona diversa dall´interessato. A fronte di tale circostanza (che a titolo esemplificativo si può verificare a fronte di dati acquisiti a seguito di cessione di data-base), il titolare cessionario dovrà adempiere agli obblighi previsti (fornire l´informativa agli interessati) all´atto della registrazione dei dati o, se prevista, non oltre la prima comunicazione. Nel caso di specie invece, poiché, come ampiamente illustrato, SIAE agisce in nome e per conto di ENPALS e le attività svolte rientrano nella piena titolarità dell´Ente previdenziale, non sussistono i presupposti della richiamata applicabilità di quanto previsto dall´art. 13, commi 4 e 5, del Codice, essendo i dati raccolti direttamente dagli interessati. Relativamente all´inapplicabilità, nella contestazione di cui all´art. 161 del Codice, dell´ipotesi aggravata prevista dall´art. 164-bis, comma 3 del Codice, si osserva, in primo luogo, che il riferimento al provvedimento dell´Autorità del 19 giugno 2008 recante "Semplificazioni di taluni adempimenti in ambito pubblico e privato rispetto a trattamenti per finalità amministrativo contabili" (in www.garanteprivacy.it, doc. web n. 1526724), non appare pertinente. L´ENPALS non ha reso alcuna informativa (neanche semplificata) agli interessati con riferimento ai dati raccolti tramite SIAE di cui di cui alla convenzione stipulata. Tale omissione ha riguardato un elevato numero di interessati (100.000 nuovi lavoratori immatricolati ogni anno; 180.000 nuove denunce contributive all´anno). I requisiti previsti dal citato art. 164-bis comma 3 del Codice risultano pertanto oggettivamente riscontrati e il citato provvedimento dell´Autorità del 2008 sulle semplificazioni non influisce in alcun modo sull´applicabilità dell´ipotesi aggravata. Le argomentazioni appena esposte spiegano effetti anche in ordine a quanto dedotto circa l´applicazione del principio di legalità di cui all´art. 1 della legge n. 689/1981. La natura permanente dell´illecito omissivo contestato (risalente all´anno 2000), determina, l´individuazione del suo momento consumativo all´atto della cessazione della condotta illecita (15 marzo 2010), ovvero, in attuazione del principio di legalità di cui all´art. 1 della legge n. 689/1981, nella piena vigenza dell´art. 164-bis del Codice, così come modificato dall´art. 44 del d.l. 30 dicembre 2008 n. 207, convertito, con modificazioni, dalla legge 27 febbraio 2009 n. 14. D´altro canto, sempre in considerazione della data di cessazione della condotta illecita di che trattasi (15 marzo 2010 ovvero successivamente allo svolgimento dell´attività di controllo nei confronti di ENPALS -28 gennaio e 4 febbraio 2010), pur volendo considerare solo la quantità di interessati che annualmente hanno fornito i loro dati per i trattamenti di cui alla convenzione stipulata tra ENPALS e SIAE senza ricevere alcuna informativa ai sensi dell´art. 13 del Codice, si rileva come, dall´entrata in vigore dell´art. 164-bis, comma 3 del Codice, la condotta omissiva illecita abbia continuato a sostanziarsi con caratteristiche tali da consentire l´applicazione, come già argomentato, dell´ipotesi aggravata, rendendo, peraltro, inconferente quanto osservato circa l´applicazione dell´istituto della prescrizione di cui all´art. 28 della legge n. 689/1981. Relativamente alla violazione di cui all´art. 162, comma 2-bis del Codice, tenuto conto del fatto che nell´ambito del procedimento di cui all´ art. 169, comma 2 del Codice, le prescrizioni impartite con il provvedimento datato 21 marzo 2011 al direttore della Direzione sistemi informativi e telecomunicazioni dell´ENPALS, quale responsabile del trattamento dei dati pro-tempore, sono state prontamente adempiute, si evidenzia come, diversamente da quanto ritenuto, l´Ufficio del Garante non abbia effettuato alcun "(…) salto logico (…) non meglio motivato (…)". Fermo restando quanto già argomentato sulla unica titolarità del trattamento, ENPALS, coerentemente con la sua qualificazione di unico titolare del trattamento, predispone e fornisce a SIAE gli applicativi informatici utilizzati, fornisce le credenziali di autenticazione per accedere al proprio sistema informativo, predispone e fornisce la modulistica per la raccolta dei dati degli interessati, si occupa della formazione del personale di SIAE che viene impiegato nell´attività di fornt office in nome e per suo conto fornendo le istruzioni per l´utilizzo delle applicazioni informatiche dedicate. Nel caso che ci occupa, in virtù di quanto stipulato nella convenzione e di quanto rilevato in sede di controllo, emerge chiaramente che ENPALS esercita un controllo diretto sull´operato di SIAE. Sul punto, inoltre, risulta inconferente anche il richiamo al D.P.R. n. 318/1999 che, antecedentemente all´entrata in vigore dell´Allegato B) al Codice, scandiva e disciplinava le misure minime di sicurezza. Riguardo quanto rilevato circa l´assenza del presupposto necessario all´applicazione delle regole 1, 2, 3, 5 e 6 dell´Allegato B) al Codice, si osserva che sulla base degli atti e delle informazioni acquisite nell´ambito dell´ispezione effettuata presso la SIAE, tra le quali anche le designazioni a incaricato ex art. 30 del Codice, le istruzioni e le circolari della stessa società, si è ritenuto che fosse sostanzialmente soddisfatto il requisito della designazione ad incaricato del trattamento previsto dal citato art. 30 del Codice anche con riferimento ai trattamenti dei dati di ENPALS. Le modalità di comunicazione (in chiaro) delle parole chiave degli utenti di SIAE che abilitano all´accesso ai sistemi informativi da parte di ENPALS al responsabile dell´ufficio previdenza della SIAE e l´impossibilità per gli utenti di modificare la parola chiave, unitamente alla mancata previsione della scadenza della stessa, configurano pienamente il venir meno delle misure minime di sicurezza previste. Per altro verso si evidenzia come, così come previsto nella richiamata regola 1, debba essere il titolare del trattamento a consentire l´accesso ai propri sistemi fornendo idonee credenziali di autenticazione o, comunque, verificando quelle necessarie per accedere al sistema operativo delle postazioni di lavoro connesse alla rete esterna. Nel caso di specie ENPALS ha effettivamente fornito le credenziali agli utenti esterni, ancorché prive dei requisiti richiesti dal disciplinare tecnico Allegato B) al Codice. Si osserva, inoltre, che non si può considerare applicabile, nel caso in trattazione, il provvedimento dell´Autorità del 27 novembre 2008, atteso che quelli oggetto di contestazione non sono trattamenti di dati personali aventi finalità amministrativo contabili. Con riferimento alla "(…) pesantezza ed irragionevolezza dell´apparato punitivo previsto dall´impianto codicistico (…)", si evidenzia come tali argomentazioni non consentano di sostanziare alcuno degli elementi costitutivi dell´errore scusabile di cui all´art. 3 della legge n. 689/1981;

RILEVATO, pertanto, che, fino alla data del 15 marzo 2010, ENPALS risulta aver effettuato, in virtù di apposita convenzione stipulata con SIAE un trattamento di dati (art. 4 comma 1, lett. a) e b) del Codice) omettendo di rendere l´informativa agli interessati ai sensi dell´art. 13 del Codice e omettendo, altresì, di adottare le misure minime di sicurezza ai sensi dell´art. 33 del Codice;

VISTO l´art. 161 del Codice che punisce la violazione dell´art. 13 del medesimo Codice con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro;

VISTO l´art. 162, comma 2-bis, del Codice che punisce la violazione delle disposizioni indicate nell´art. 33 del Codice con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

CONSIDERATO che, così come rilevato nel verbale di contestazione, la condotta illecita afferente la violazione di cui all´art. 161 del Codice, sulla base degli atti, è cessata solamente in data 15 marzo 2010 e che, nell´ambito del rapporto decennale tra i due enti, tale violazione, per quanto sopra detto, ha riguardato numerosi interessati, e che tale circostanza sia idonea ad integrare una delle ipotesi di maggiore gravità, di cui all´art. 164-bis, comma 3, del Codice;

CONSIDERATO che, ai fini della determinazione dell´ammontare delle due sanzioni pecuniarie, occorre tenere conto, ai sensi dell´art. 11 della legge 24 novembre 1981 n. 689, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

RITENUTO di dover determinare, ai sensi dell´art. 11 della legge n. 689/1981, l´ammontare della sanzione pecuniaria per la violazione dell´art. 161, per effetto dell´applicazione dell´art. 164-bis, comma 3 del Codice deve essere quantificato in euro 24.000,00 (ventiquattromila), e per la violazione dell´art. 162, comma 2-bis del Codice, nella misura di euro 20.000,00 (ventimila), per un importo complessivo afferente entrambe le violazioni pari a euro 44.000,00 (quarantaquattromila);

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Antonello Soro;

ORDINA

all´Istituto Nazionale Previdenza Sociale P. IVA 02121151001, con sede legale in Roma, Via Ciro il Grande 21, in persona del legale rappresentante pro-tempore, che, in attuazione di quanto disposto dall´art. 21 del D.L. 6 dicembre 2011, convertito nella legge del 22 dicembre 2011 n. 214, è subentrato in tutti i rapporti attivi e passivi dell´Ente Nazionale di Previdenza e di Assistenza per i Lavoratori dello Spettacolo (ENPALS) soppresso a far data dal 1° gennaio 2012, di pagare la somma di euro 44.000,00 (quarantaquattromila) a titolo di sanzione amministrativa pecuniaria;

INGIUNGE

al medesimo soggetto di pagare la somma di euro 44.000,00 (quarantaquattromila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale o in copia autentica, quietanza dell´avvenuto versamento.

Ai sensi degli artt. 152 del Codice  e 10 del d. lg. n. 150/2011,  avverso il  presente  provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 22 gennaio 2015

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia