g-docweb-display Portlet

Provvedimento del 1° ottobre 2020 [9500388]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9500388]

Provvedimento del 1° ottobre 2020

Registro dei provvedimenti
n. 165 del 1° ottobre 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv.  Guido Scorza, componenti e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il provvedimento in materia di propaganda elettorale e comunicazione politica adottato dal Garante in data 18 aprile 2019 e preso atto delle risultanze dell’attività di monitoraggio avviata dall’Ufficio;

VISTE le notizie di stampa pubblicate nel XX secondo le quali XX, candidata alle elezioni XX, avrebbe utilizzato l’indirizzario dell’Università XX, presso cui è professore ordinario XX, per inviare una comunicazione di posta elettronica a fini di propaganda elettorale;

VISTA la nota del 22 luglio 2019 con la quale XX, in risposta alla richiesta di informazioni dell’Autorità, ha rappresentato:

- di avere “inconsapevolmente effettuato una comunicazione ai propri colleghi di Università”;

- di aver agito in buona fede in quanto inesperta di competizioni elettorali con conseguente mancata conoscenza dei provvedimenti del Garante in materia;

- di aver inviato la comunicazione in questione dal proprio account universitario di posta elettronica;

- che la “maggior parte dei contatti è … stata recuperata dalla rubrica, liberamente accessibile al pubblico generico, presente on-line sul sito XX”;

- che si è trattato di un unico invio di posta elettronica;

- che non sono state utilizzate le liste di distribuzione dell’Ateneo, bensì la funzione “stampa-unione” del programma Microsoft Word;

VISTA la nota dell’Ufficio del 22 ottobre 2019 (prot. n. 36143) con la quale, ai sensi dell’art. 166, comma 5, del Codice, è stato comunicato ad XX, nella sua qualità di titolare del trattamento, l’avvio del procedimento per l’eventuale adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento e notificate le presunte violazioni di legge, individuate, nel caso di specie, nell’utilizzo di un numero imprecisato di indirizzi di posta elettronica contenuti nella rubrica istituzionale dell’Università XX per l’invio di una comunicazione di propaganda elettorale senza adeguata base giuridica ed idonee informazioni all’interessato, trattamento di dati personali effettuato in maniera non conforme ai principi base di liceità e trasparenza del trattamento di cui all’art. 5, par. 1, lett. a), del Regolamento ed in violazione degli artt. 6, par. 1, lett. a) e 13 del Regolamento.

VISTI gli scritti difensivi inviati dal legale XX in data 19 novembre 2019 con cui la, nel richiamare la precedente risposta del 22 luglio, è stato dato riscontro alla predetta nota dell’Ufficio precisando quanto segue:

a. con riferimento all’art. 83, par. 2, lett. a):

- il fatto deve ritenersi di particolare tenuità avendo inviato “un’unica comunicazione a mezzo e-mail esclusivamente al personale dell’Ateneo XX, colleghi di lavoro, che la [XX] in buona parte conosceva direttamente, per la sua intensa attività accademica, scientifica, didattica e di relazione”;

- il trattamento deve ritenersi “istantaneo, isolato” ed effettuato “una tantum” non essendo stati i dati personali utilizzati “per un periodo o per finalità ulteriori rispetto all’invio di ciascuna singola e-mail”;

- la comunicazione elettorale è stata personalizzata sulla base di ciascun destinatario in quanto l’invio sarebbe stato effettuato personalmente dalla titolare mediante inserimento di nome e cognome e spedizione “… di volta in volta, ad un solo e unico destinatario, senza la presenza di altri contatti tra i destinatari né di undisclosed recipient né di alcun altro nominativo o indirizzo”;

- la comunicazione elettorale è stata inviata a circa 7.000 indirizzi di posta elettronica afferenti al personale dell’Ateneo XX;

- non è derivato alcun nocumento dalla condotta posta in essere;

b. con riferimento all’art. 83, par. 2, lett. b):

- di aver agito in assoluta buona fede ritenendo l’invio della comunicazione elettorale un’attività di carattere personale non soggetta alla disciplina in materia di protezione dei dati personale;

- l’elemento soggettivo sarebbe pertanto da qualificare come una colpa lieve;

c. con riferimento all’art. 83, par. 2, lett. c):

- le comunicazioni di posta elettronica in esame sono state cancellate successivamente all’invio;

d. con riferimento all’art. 83, par. 2, lett. d):

- di aver inviato le e-mail contenenti la comunicazione elettorale da un computer allocato nella sua abitazione, protetto dalle misure di sicurezza previste dal provider del sistema operativo utilizzato;

e. con riferimento all’art. 83, par. 2, lett. f):

- di aver collaborato con l’Autorità “accordando la massima disponibilità e cooperazione, rispondendo con sollecitudine alle richieste di chiarimenti pervenute e mettendo a disposizione ogni informazione conosciuta”;

f.  con riferimento all’art. 83, par. 2, lett. g):

- i dati personali trattati sono dati comuni (nome ed e-mail istituzionale dei destinatari), liberamente reperibili su Internet;

g.  con riferimento all’art. 83, par. 2, lett. h):

- l’Autorità è venuta a conoscenza della presunta violazione da terzi in quanto la stessa riteneva di non aver posto in essere un trattamento rilevante ai fini della disciplina in materia di protezione dei dati personali;

h. con riferimento all’art. 83, par. 2, lett. k):

- si ritiene rilevante il fatto che il rettore dell’Università XX non abbia applicato alcuna sanzione per violazione del codice etico dell’Ateneo.

RILEVATO che il punto 2 del provvedimento in materia di propaganda elettorale e comunicazione politica adottato dal Garante in data 18 aprile 2019 (in www.garanteprivacy.it, doc web n. 9105201) sottolinea che il trattamento di dati personali a fini di propaganda elettorale e connessa comunicazione politica può essere effettuato solo sulla base di alcuni presupposti di liceità tra cui il consenso libero, specifico, informato ed inequivocabile dell’interessato, conformemente a quanto previsto dagli artt.6, par. 1, lett. a), 9, par. 2, lett. a) e 13 del Regolamento;

RILEVATO che il punto 5 del predetto provvedimento indica espressamente che non possono essere utilizzati né i dati personali raccolti da soggetti pubblici per lo svolgimento delle loro attività istituzionali né dati rinvenuti sul web, atteso che l’agevole reperibilità di dati personali in Internet (quali recapiti telefonici o indirizzi di posta elettronica) non comporta la libera disponibilità degli stessi e non ne autorizza il trattamento per finalità diverse da quelle sottese alla loro pubblicazione;

RILEVATO che XX ha trattato gli indirizzi istituzionali di posta elettronica del personale dell’Università XX per inviare un messaggio di propaganda elettorale senza il consenso libero, specifico ed informato degli interessati per tale finalità, a nulla rilevando la circostanza che tali dati fossero liberamente accessibili in quanto pubblicati sul sito istituzionale dell’Ateneo;

RILEVATA pertanto l’illegittimità di tale trattamento di dati personali in quanto effettuato in maniera non conforme ai principi base di liceità e trasparenza del trattamento di cui all’art. 5, par. 1, lett. a), del Regolamento ed in violazione degli artt. 6, par. 1, lett. a) e 13 del Regolamento;

PRESO ATTO che, secondo quanto dichiarato da XX, i messaggi di posta elettronica sono stati cancellati successivamente all’invio, mentre nulla è stato riferito in merito agli indirizzi di posta elettronica di riferimento, dichiaratamente salvati in un file Excel;

CONSIDERATO che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”;

RITENUTO di dover pertanto ordinare, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento ad XX, titolare del trattamento, di astenersi dall’utilizzare per finalità di propaganda elettorale, in difformità dal provvedimento del Garante sopra citato, i dati personali relativi al personale dell’Università XX, eventualmente ancora detenuti;

CONSIDERATO, ai fini della valutazione della gravità della violazione, che:

- il messaggio è stato inviato ad un numero considerevole di persone (circa 7.000);

- XX non può qualificarsi inesperta in materia di propaganda elettorale in quanto la stessa ha già ricoperto, in passato, cariche pubbliche;

- relativamente alla collaborazione prestata al Garante, si rileva un contrasto in merito a quanto dichiarato con riferimento alle modalità di invio del messaggio, atteso che nella nota del 22 luglio 2019 XX ha affermato di aver inserito i contatti reperiti sul sito XX in un file Excel che ha costituito la “base per la spedizione della citata mail per il tramite della funzione “stampa-unione” fornita dal noto programma di videoscrittura Word”, mentre nella nota del 19 novembre 2019 ha sostenuto di aver inserito manualmente nome e cognome di ogni destinatario e di aver spedito le e-mail “di volta in volta, ad un solo e unico destinatario”;

CONSIDERATO, tuttavia, che:

- si è trattato di un unico messaggio, rivolto ad una cerchia di soggetti gravitanti, più o meno latamente, nell’ambiente professionale della candidata;

- i dati personali oggetto di trattamento sono dati comuni e che non sono pervenuti all’Autorità reclami o segnalazioni in merito ai fatti in esame;

- i messaggi di posta elettronica, secondo quanto dichiarato, sono stati cancellati successivamente all’invio;

- a parte il contrasto sopra menzionato tra le due dichiarazioni fornite all’Autorità, XX ha collaborato fattivamente nell’ambito dell’attività istruttoria, comunicando tempestivamente ogni informazione conosciuta;

RITENUTO, pertanto, che in relazione all’art. 83, par. 2, secondo periodo ed al considerando 148 del Regolamento, le violazioni in questione possano essere qualificate di grado “minore”;

RITENUTO di dover, ai sensi dell’art. 58, par. 2, lett. b), del Regolamento ammonire XX, titolare del trattamento, in merito alla necessità di attenersi al rispetto della normativa in tema di protezione dei dati personali con particolare riguardo all’invio di comunicazioni per finalità di propaganda elettorale e/o di comunicazione politica;

RILEVATO che, in caso di inosservanza di quanto disposto dal Garante, può trovare applicazione la sanzione amministrativa di cui all’art. 83, par. 5, lett. e), del Regolamento;

RITENUTO che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal vice segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecita la condotta tenuta da XX come descritta nei termini di cui in motivazione, consistente nella violazione degli artt. 5, par. 1, lett. a), 6, par. 1, lett. a) e 13 del Regolamento in relazione all’utilizzo di un numero imprecisato di indirizzi di posta elettronica contenuti nella rubrica istituzionale dell’Università XX per l’invio di una comunicazione di propaganda elettorale senza adeguata base giuridica ed idonee informazioni all’interessato;

b) ai sensi dell’art. 58, par. 2, lett. f), del Regolamento ordina ad XX di astenersi dall’utilizzare per finalità di propaganda elettorale, in difformità dal provvedimento del Garante sopra citato, i dati personali relativi al personale dell’Università XX, eventualmente ancora detenuti;

c)  ai sensi dell’art. 58, par.2, lett. b), del Regolamento ammonisce XX in merito alla necessità di attenersi al rispetto della normativa in tema di protezione dei dati personali con particolare riguardo all’invio di comunicazioni per finalità di propaganda elettorale e/o di comunicazione politica.

Ai sensi dell’art. 157 del Codice, dispone che XX comunichi all’Autorità, entro il termine di giorni 30 dalla notifica del presente provvedimento, l’avvenuto adempimento della prescrizione imposta e, al riguardo, si evidenzia che l’eventuale mancato riscontro alle richieste del Garante, formulate ai sensi dell’art. 157 del Codice, può comportare l’applicazione la sanzione amministrativa di cui all’art. 83, par. 5, lett. e), del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato, alternativamente, presso il tribunale del luogo ove risiede o ha sede il titolare del trattamento ovvero presso quello del luogo di residenza dell'interessato entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso ovvero di sessanta giorni, se il ricorrente risiede all’estero.

Roma, 1° ottobre 2020

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL VICE SEGRETARIO GENERALE
Filippi