Provvedimento del 22 febbraio 2024 [10006915]
Provvedimento del 22 febbraio 2024 [10006915]
Condividi[doc. web n. 10006915]
Provvedimento del 22 febbraio 2024
Registro dei provvedimenti
n. 104 del 22 febbraio 2024
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;
Relatore la prof.ssa Ginevra Cerrina Feroni;
PREMESSO
1. Introduzione
Con reclamo presentato in data XX ai sensi dell’art. 77 del Regolamento, nei confronti del Comune di Civita Castellana (di seguito il “Comune”) e della S.A.T.E. S.p.a. (Servizi Ambiente Territorio Energia, di seguito la “Società”), i Sigg. XX, XX e XX hanno rappresentato di aver ricevuto una comunicazione, ai sensi dell’art. 34 del Regolamento, con la quale il Comune informava gli interessati di essere venuto a conoscenza, per il tramite della Società, – in qualità di gestore del servizio di raccolta dei rifiuti-, “della possibilità di una illegittima diffusione, attraverso social media, di dati personali particolari appartenenti ad alcuni cittadini […] nell’ambito del servizio di raccolta e smaltimento dei rifiuti, protetto nel rispetto delle norme anti Covid-19”.
In particolare, come già rappresentato dal Comune nella notifica di violazione dei dati personali inviata all’Autorità, ai sensi dell’art. 33 del Regolamento, in data XX (nota prot. n. XX del XX), la suddetta diffusione – avvenuta nel mese di XX – consisteva nella messa a disposizione “Su WhatsApp e poi su Facebook [… di] una foto del documento interno con cui l'Ente ha notiziato la società SATE S.p.a., gestore del servizio di raccolta dei rifiuti, delle abitazioni in cui risiedono soggetti per i quali deve essere attivata una particolare forma di raccolta legata all'emergenza epidemiologica da Covid-19”, per un totale di nove interessati coinvolti.
2. L’attività istruttoria
In occasione delle verifiche effettuate per accertare quanto rappresentato nel reclamo e nella notifica di violazione dei dati personali, l’Ufficio, con una prima nota del XX, ha invitato il Comune a fornire ogni informazione utile in relazione alla vicenda sopra rappresentata, ai sensi dell’art. 157 del Codice. Il Comune, con nota del XX, ha fornito riscontro alla suddetta richiesta di informazioni dichiarando che:
“In data XX la ASL di Viterbo […] comunicava al Commissario Prefettizio del Comune di Civita Castellana […] della positività al Covid di alcuni cittadini di Civita Castellana, per i conseguenti adempimenti ai fini dell’adozione di misure di contenimento del virus Sars Covid 19, inviando specifico elenco dei cittadini positivi o in quarantena”;
“Ricevuta la comunicazione il Commissario Prefettizio del Comune di Civita Castellana, […] disponeva l’attivazione delle procedure anti Covid-19 previste dall’Ente e già in uso dall’inizio della pandemia. Tali procedure prevedevano due comunicazioni di servizio interno: la prima rivolta al Comandante della Polizia Locale […]ai fini dell’attivazione della vigilanza domiciliare dei soggetti affetti dal virus, la seconda rivolta alla società S.A.T.E. S.p.a., gestore del servizio integrato di raccolta e smaltimento dei rifiuti, ai fini dell’attivazione dei sevizi speciali di raccolta e smaltimento differenziato dei rifiuti provenienti da abitazione con presenza di soggetti affetti dal virus Sars Covid-19 […]”;
“Con riferimento al caso oggetto di indagine, nella mattina del XX, su disposizione del Commissario Prefettizio del Comune di Civita Castellana […] sono state inviate, come da prassi, due distinte comunicazioni: la prima indirizzata al Comandante della Polizia Locale […] contenente l’elenco integrale trasmesso dalla ASL di Viterbo, per l’attivazione della vigilanza domiciliare e per i controlli di rispettiva competenza, la seconda inviata con pec alla società S.A.T.E. S.p.a. contente un elenco minimizzato nelle informazioni contenute (cognome e nome solo iniziali puntate, indirizzo integrale, data inizio e fine isolamento […]. Entrambi tali comunicazioni di servizio sono state inviate con la dicitura GARANTIRE LA MASSIMA RISERVATEZZA E TUTELA DELLA PRIVACY”;
“In data XX il Commissario Prefettizio del Comune di Civita Castellana […] veniva contattato dalla ASL di Viterbo, notiziandolo di aver appreso che su WhatsApp e su Facebook era apparsa una foto del documento interno con cui l’Ente aveva notiziato la società S.A.T.E. S.p.a. ai fini della raccolta di rifiuti speciali”;
“In data XX, […] l’Amministratore Delegato della S.A.T.E. S.p.a., ad integrazione della precedente comunicazione, ha comunicato che in data XX ha presentato denuncia-querela dei fatti accaduti, e di essersi attivata per acquisire elementi volti ad accertare sia le modalità con cui si è verificato l’evento, nonché eventuali responsabili per ogni ulteriore e previsto obbligo di legge”;
“In data XX il Commissario Prefettizio del Comune di Civita Castellana […] inviava alla società S.A.T.E. S.p.a. […] una comunicazione di violazione dei dati personali […] con la quale, con riferimento a quanto accaduto, chiedeva di tenere tempestivamente informato il Comune di Civita Castellana circa gli esiti dell’indagine in corso […]”.
Successivamente, con nota del XX (prot. n. XX) l’Ufficio ha invitato la Società a fornire ogni informazione utile in relazione alla vicenda sopra rappresentata, ai sensi dell’art. 157 del Codice. In risposta a tale richiesta la Società con nota del XX, ha rappresentato che:
"Sulle condizioni di liceità […] il trattamento dei dati personali in questione è necessario per lo svolgimento di un'attività di pubblico servizio, come la raccolta dei rifiuti, che nel periodo pandemico è stata oggetto di particolari attenzioni ed accorgimenti operativi. La SATE in particolare ha dovuto adottare procedure differenziate per la raccolta dei rifiuti dei positivi al Covid, operando ai fini della privacy come incaricato al trattamento pertanto il trattamento dei dati personali è lecito in conformità con i principi stabiliti del reg Ue 679 2016”;
“Il rapporto giuridico che intercorre tra il comune e la società ai sensi dell’articolo 28 è costituito da un contratto di servizio […];
“La società come già detto ha avviato una procedura interna volta ad individuare sia gli eventuali responsabili, sia le modalità con cui si addivenuti alla commissione delle ipotizzate illecita. In particolare l'azienda ha proceduto all'audizione del RSU nonché membro del comitato di controllo dell'osservanza e la gestione di tutti i protocolli sul covid 19, come all'epoca previsto. In data XX è stata presentata, denuncia-querela per i fatti accaduti, evidenziando il fatto che la foto illecitamente diffusa, non è stata fatta all’interno dell’azienda ma, come indicato in denuncia, presumibilmente è stata fatta all’esterno poiché sembra evidente una foto rimaneggiata fatta allo schermo di un cellulare, in quanto nella foto c’è una cornice che non corrisponde minimamente ad alcuna bacheca o altra superfice vetrata dell’azienda, come pure non riflette alcun soffitto ed alcuna porta dell’azienda, ma riflette elementi completamente differenti. Del resto, neanche i vigili urbani che si recarono quel giorno stesso in azienda, hanno mai rilevato e/o contestato nulla in merito”;
“l’azienda ha svolto attività volte alla formazione e sensibilizzazione dei dipendenti, al fine di ottimizzare le condizioni per il trattamento dei dati mediante riunioni e corsi, anche congiuntamente con il comitato di controllo in cui si è posta particolare attenzione ai protocolli previsti per il trattamento dei dati personali”.
Il Comune, in risposta ad una ulteriore richiesta di informazioni del XX avanzata dall’Autorità, con nota del XX, ha altresì chiarito per quanto concerne i canali su cui sono stati divulgati i dati relativi alla salute, che “In ogni caso, da informazioni acquisite sull’accaduto, la diffusione dei dati in oggetto è avvenuta solo all’interno di una chat Whatsapp e, quindi, tra un numero molto limitato di persone” e che “L’univocità dell’evento e l’estrema limitazione della diffusione dei dati (avvenuta solo all’interno di una chat Whatsapp e, quindi, tra un numero molto limitato di persone) sono i caratteri distintivi di quanto accaduto, la cui causa deve essere esclusivamente ricondotta nella non corretta tutela e gestione delle informazioni inviate dall’Ente da parte della SATE S.p.a. e dei suoi operatori […]”. Per quanto concerne la regolamentazione del rapporto tra il Comune e la Società, il Comune ha chiarito che “I rapporti tra la stazione appaltante e la società sono disciplinati da un contratto sottoscritto nel 2001 ed integrato nel 2011 […]”.
Con riferimento alla condotta della Società, l’Ufficio, sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, ha notificato in data XX (prot. n. XX) ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento in relazione alle seguenti violazioni, per aver agito:
in maniera non conforme ai principi di liceità, correttezza e trasparenza e, pertanto, in violazione degli artt. 5, par. 1, lett. a) e 9 del Regolamento, e dell’art. 2-septies, par. 8 del Codice (come vigente all’epoca dei fatti, nel testo anteriore alle modifiche apportate dal decreto-legge 8 ottobre 2021, n. 139, convertito, con modificazioni, dalla legge 3 dicembre 2021, n. 205), essendo la diffusione dei dati relativi alla salute avvenuta in assenza di un idoneo presupposto normativo;
in maniera non conforme ai principi di integrità e riservatezza in violazione degli artt. 5, par. 1 lett. f) e 32 del Regolamento, essendo stata la suddetta diffusione cagionata altresì da un’assenza di misure tecniche e organizzative adeguate (es. circolari, linee guida etc.) idonee a garantire un’adeguata sicurezza dei dati personali anche in termini di attenzione, da parte del personale interno, ai rischi derivanti da trattamenti di dati personali non autorizzati o illeciti.
Con l’atto sopra citato la Società è stata invitata a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla legge 24 novembre 1981, n. 689).
Tuttavia, la Società non ha presentato memorie difensive né ha chiesto di essere audita.
3. Esito dell’attività istruttoria
3.1. La normativa in materia di protezione dei dati personali.
Il trattamento di dati personali deve avvenire nel rispetto della normativa applicabile in materia di protezione dei dati personali e, in particolare, delle disposizioni del Regolamento e del Codice.
In particolare, per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)”. Inoltre, “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4, par. 1, n. 1, del Regolamento).
Per quanto concerne le categorie particolari di dati, sono considerati tali “i dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché […] dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona” (art. 9, par. 1, del Regolamento).
Con particolare riferimento al caso sottoposto all’attenzione dell’Autorità, si ricorda che l’operazione di “diffusione” di dati personali – ossia “il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione” (art. 2-ter, comma 4, lett. b) del Codice) – trattati per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, è ammessa solo quando sia prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento (art. 2-ter, comma 3, del Codice, nel testo antecedente alle modifiche apportate dal citato d.l. 8 ottobre 2021, n. 139, convertito, con modificazioni, dalla l. 3 dicembre 2021, n. 205) e sempre nel rispetto dei principi in materia di protezione dei dati personali, tra i quali, i principi di “liceità, correttezza e trasparenza”, in base ai quali i dati devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell'interessato” e “integrità e riservatezza” in base ai quali i dati devono essere “trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (art. 5, par. 1, lett. a) e f) del Regolamento).
In particolare, per quanto concerne l’adozione di misure di sicurezza tecniche e organizzative, l’art. 32 del Regolamento stabilisce che “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”.
3.2. La diffusione di categorie particolari di dati da parte della Società.
Dall’accertamento compiuto sulla base degli elementi acquisiti e dei fatti emersi nell’ambito dell’attività istruttoria, è stato rilevato che il trattamento dei dati in esame, svolto dalla società per conto del Comune, è stato avviato senza che il ruolo fosse disciplinato ai sensi dell’art. 28 del Regolamento (né ai sensi dell’art. 29 del Codice, nel testo anteriore alle modifiche di cui al decreto legislativo 10 agosto 2018, n. 101), in quanto il contratto di servizio sottoscritto nel 2001 e successivamente integrato nel 2011 con il quale – inizialmente - sono state conferite le funzioni di gestione del “servizio pubblico di igiene urbana”, in essere all’epoca della violazione dei dati personali e superato solo successivamente, con il nuovo contratto di XX, non soddisfaceva le caratteristiche dell’atto giuridico volto a regolamentare il rapporto con il responsabile del trattamento, non contenendo né gli elementi previsti dall’art. 29 del Codice previgente né gli elementi previsti dall’art. 28 del Regolamento.
Sul punto, si evidenzia in ogni caso che “La presenza (o l’assenza) di un accordo scritto, tuttavia, non è determinante ai fini della sussistenza di un rapporto titolare-responsabile del trattamento. […] un rapporto titolare-responsabile del trattamento potrebbe sussistere anche in assenza di un accordo di trattamento per iscritto. […] Inoltre, in determinate circostanze, l’assenza di una definizione chiara del rapporto tra il titolare e il responsabile del trattamento può comportare il problema della mancanza di una base giuridica su cui qualsivoglia trattamento dovrebbe basarsi, ad esempio in merito alla comunicazione dei dati tra il titolare e il presunto responsabile del trattamento” (cfr., in tal senso, le Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR, versione 2.0, adottate il 7 luglio 2021 dal Comitato europeo per la protezione dei dati, spec. nota 42 al punto 103).
Tuttavia – anche in considerazione dello stato di emergenza legato all’epidemia da COVID-19, deliberato dal Consiglio dei Ministri in data 31 gennaio 2020, e degli interventi normativi volti a individuare misure urgenti in materia di contenimento e gestione dell'emergenza epidemiologica – oggetto di contestazione nell’ambito dell’istruttoria condotta dall’Autorità non è stata la legittimità del trattamento riguardante la comunicazione, da parte del Comune, dell’elenco, contenente i dati minimizzati dei cittadini affetti dal virus Sars Covid-19, alla società per l’attivazione dei sevizi speciali di raccolta e smaltimento differenziato dei rifiuti, bensì la diffusione, nell’accezione sopra definita, di tale elenco, costituente un trattamento ultroneo rispetto alla predetta comunicazione.
La diffusione dei dati relativi alla salute, da quanto è emerso nel corso dell’istruttoria, è risultata riconducibile alla Società, che non ha fornito indicazioni circa la base giuridica che avrebbe legittimato tale trattamento.
Sul punto, si rappresenta che il trattamento dei dati personali effettuato da soggetti pubblici o gestori di pubblici servizi è, di regola, lecito solo se necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e), del Regolamento). È inoltre previsto che “Gli Stati membri possono mantenere […] disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento). Per quanto concerne i trattamenti aventi ad oggetto categorie particolari di dati personali di cui all'articolo 9, par. 1, del Regolamento, necessari per motivi di interesse pubblico rilevante ai sensi del par. 2, lett. g), del medesimo articolo, “sono ammessi qualora siano previsti dal diritto dell'Unione europea ovvero, nell'ordinamento interno, da disposizioni di legge o, nei casi previsti dalla legge, di regolamento che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato” (art. 2-sexies, comma 1, del Codice, nel testo vigente all’epoca dei fatti, antecedente alle modifiche apportate dal citato d.l. 8 ottobre 2021, n. 139, convertito, con modificazioni, dalla l. 3 dicembre 2021, n. 205).
In ogni caso, i dati relativi alla salute, ossia quelli “attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, paragrafo 1, n. 15 del Regolamento), in ragione delle maggiori garanzie riconosciute dal Regolamento e dal Codice, stante la particolare delicatezza di tale categoria di dati, è espressamente previsto che “non possono essere diffusi” (art. 2-septies, comma 8, del Codice e art. 9, paragrafo 4, del Regolamento).
Per quanto concerne, inoltre, la situazione emergenziale, si evidenzia che, nell’ambito della gestione dello stato di emergenza legato all’epidemia da COVID-19, deliberato dal Consiglio dei Ministri in data 31 gennaio 2020, sono state adottate numerose disposizioni che implicano il trattamento di dati personali. Tali disposizioni prevedono, da un lato, che le amministrazioni pubbliche possano effettuare i trattamenti di dati personali che risultino necessari all'espletamento delle funzioni attribuitegli nell'ambito dell'emergenza determinata dal diffondersi del Covid-19, dall’altro, che siano, comunque, adottate le misure necessarie a garantire il rispetto della disciplina vigente in materia di protezione dei dati personali e, in particolare, dei principi applicabili al trattamento, di cui all’art. 5 del Regolamento (cfr. art. 5 dell’ordinanza del Capo del Dipartimento della protezione civile del 3 febbraio 2020, n. 630; art. 17 bis del decreto-legge 17 marzo 2020, n. 18, convertito con modificazioni, dalla legge 24 aprile 2020, n. 27).
Come già evidenziato, la disciplina vigente vieta la diffusione dei dati relativi alla salute, e tale divieto non è stato derogato dalla normativa d’urgenza sul Covid-19 (art. 9 del Regolamento; artt. 2-septies, comma 8, del Codice e 166, comma 2 del Codice; art. 14 del decreto-legge 9 marzo 2020, n. 14 e art. 17bis del citato d.l. 17 marzo 2020, n. 18, convertito con modificazioni, dalla l. 24 aprile 2020, n. 27). Tale trattamento, oltre che vietato, nel contesto della gestione dell’emergenza aggiunge agli interessati e ai loro familiari, oltre alla pena per l’esposizione alla malattia, anche quella derivante da un’inaccettabile diffusione di aspetti assai delicati relativi alla propria vita privata.
Con particolare riferimento al contesto in esame, si evidenzia inoltre il rischio che, anche nel caso della pubblicazione di documenti in cui non sono riportati i dati identificativi completi degli interessati (per esempio, la comunicazione riportante solo le iniziali puntate, etc.), soprattutto in realtà territoriali come quella del predetto Comune, gli interessati siano, comunque, identificabili.
Come è emerso nel corso dell’istruttoria, la diffusione dei dati relativi alla salute è stata cagionata anche da un’assenza di misure tecniche e organizzative adeguate (es. circolari, linee guida etc.) idonee a garantire un’adeguata sicurezza dei dati personali anche in termini di attenzione, da parte del personale interno alla Società, ai rischi derivanti da trattamenti non autorizzati o illeciti.
Sul punto, infatti, risulta opportuno evidenziare che pur essendo tenuto, il responsabile del trattamento, a trattare i dati conformemente alle istruzioni impartite dal titolare, taluni obblighi previsti dalla normativa in materia di protezione dei dati personali sono posti direttamente anche a carico dello stesso responsabile.
Al riguardo, infatti, l’art. 32 del Regolamento stabilisce che “[…] il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”. Spetta dunque anche al responsabile del trattamento, in ragione dell’esperienza e delle competenze nello specifico settore in cui opera, adottare misure tecniche ed organizzative adeguate.
In ragione delle considerazioni che precedono, il trattamento dei dati personali concernente la diffusione di dati relativi alla salute da parte della società risulta essere stato effettuato in contrasto con la normativa in materia di protezione dei dati personali, in maniera non conforme al principio di “liceità, correttezza e trasparenza” e in assenza di una base giuridica, in violazione degli artt. 5, par. 1, lett. a), e 9 del Regolamento, nonché dell’art. 2-septies, par. 8 del Codice (nel testo vigente all’epoca dei fatti, antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, convertito, con modificazioni, dalla l. 3 dicembre 2021, n. 205). Risulta, altresì, accertata la violazione del principio di “integrità e riservatezza” (art. 5 par. 1 lett. f) e dell’art. 32 del Regolamento.
4. Conclusioni.
Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dalla Società, in qualità di responsabile del trattamento, nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dalla Società, per aver effettuato il trattamento di dati personali in violazione degli artt. 5, par. 1, lett. a) e f), 9 e 32 del Regolamento, e dell’art. 2-septies, par. 8 del Codice (nel testo anteriore alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, convertito, con modificazioni, dalla l. 3 dicembre 2021, n. 205).
Tenuto conto che la violazione delle predette disposizioni ha avuto luogo in conseguenza di un’unica condotta, trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, le violazioni più gravi, relative agli artt. 5 e 9 del Regolamento e 2-septies, par. 8 del Codice sono soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi, tenuto conto che il fatturato della Società risulta pari, per l’anno 2022, a euro 3.151.959,00 (tremilionicentocinquantunomila/00), fino a euro 20.000.000 (ventimilioni/00).
Tenuto conto, inoltre, che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.
5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).
Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).
Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.
La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.
Con specifico riguardo alla natura e alla gravità della violazione (art. 83, par. 2, lett. a), del Regolamento), occorre considerare sia la specifica natura del trattamento – concernente la limitata diffusione di dati personali mediante una chat privata di Whatsapp, sia la circoscritta durata dello stesso. Si ritiene che debba, altresì, essere preso in considerazione il fatto che la pubblicazione ha riguardato un numero esiguo di interessati (nove casi) (art. 83, par. 2, lett. a) del Regolamento).
In senso sfavorevole alla Società deve, tuttavia, considerarsi la delicatezza dei dati trattati (art. 83, par. 2, lett. g), del Regolamento), essendo gli stessi suscettibili di poter rivelare le condizioni di salute degli interessati.
Alla luce di tali circostanze, si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal responsabile del trattamento possa essere considerato di grado medio (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023, punto 60).
Ciò premesso , deve essere presa in considerazione, in senso favorevole alla Società ai fini della quantificazione della sanzione, che non risultano precedenti violazioni pertinenti commesse dal responsabile del trattamento e che la predetta Società si è attivata (mediante avvio di una procedura interna e presentazione di denuncia-querela in merito ai fatti accaduti) al fine di comprendere le dinamiche e i responsabili della diffusione anche al fine di adottare misure finalizzate ad attenuare il danno subito dagli interessati (art. 83, par. 2, lett. c) ed e) del Regolamento). In aggiunta, si rileva altresì, in senso favorevole alla Società, che la violazione è avvenuta durante la fase iniziale dello stato di emergenza legato all’epidemia da COVID-19, deliberato dal Consiglio dei Ministri in data 31 gennaio 2020, in presenza di una peculiare situazione organizzativa e gestionale in cui si è trovata la Società per la gestione del servizio di raccolta dei rifiuti provenienti da soggetti positivi o in quarantena, nonché da un peculiare clima di incertezza e tensione da parte della popolazione, in merito alle misure precauzionali da adottare per prevenire il contagio dal virus (art. 83, par. 2, lett. k) del Regolamento).
In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 6.000,00 (seimila/00) per la violazione degli artt. 5, par. 1, lett. a) e f), 9 e 32 del Regolamento, e dell’art. 2-septies, par. 8 del Codice (nel testo anteriore alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, convertito, con modificazioni, dalla l. 3 dicembre 2021, n. 205), quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.
Alla luce di quanto sopra esposto e in considerazione della tipologia delle violazioni accertate che hanno riguardato i principi generali del trattamento, e in particolare i principi di liceità, integrità e riservatezza, si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.
TUTTO CIÒ PREMESSO IL GARANTE
dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dalla S.A.T.E. S.p.a. (Servizi Ambiente Territorio Energia) per la violazione degli artt. 5, par. 1, lett. a) e f), 9 e 32 del Regolamento, e dell’art. 2-septies, par. 8 del Codice (nel testo anteriore alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, convertito, con modificazioni, dalla l. 3 dicembre 2021, n. 205), nei termini di cui in motivazione;
ORDINA
ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, alla S.A.T.E. S.p.a. (Servizi Ambiente Territorio Energia), con sede legale in Piazza Matteotti n. 3, 01030 - Civita Castellana (VT), C.F. E P. IVA 01683120560, di pagare la complessiva somma di euro 6.000,00 (seimila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;
INGIUNGE
alla S.A.T.E. S.p.a. (Servizi Ambiente Territorio Energia) di pagare la complessiva somma di euro 6.000,00 (seimila/00) in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;
DISPONE
la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice (v. art. 16 del Regolamento del Garante n. 1/2019);
l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento (v. art. 17 del Regolamento del Garante n. 1/2019).
Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 22 febbraio 2024
IL PRESIDENTE
Stanzione
IL RELATORE
Cerrina Feroni
IL SEGRETARIO GENERALE
Mattei
