[doc. web n. 9438157]

Ordinanza ingiunzione nei confronti di Istituto autonomo per le case popolari della provincia di Isernia - 10 giugno 2020

Registro dei provvedimenti
n. 101 del 10 giugno 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il dott. Antonello Soro, presidente, la dott.ssa Augusta Iannini, vicepresidente, la prof.ssa Licia Califano e la dott.ssa Giovanna Bianchi Clerici, componenti e il dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida del Garante in materia di trasparenza”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore la dott.ssa Giovanna Bianchi Clerici;

PREMESSO

1. Introduzione

Questa Autorità ha ricevuto due reclami da parte delle Sig.re XX e XX (di seguito “i reclamanti”) in ordine all’illegittima diffusione di propri dati personali online da parte dell’Istituto autonomo per le case popolari della provincia di Isernia.

In particolare, dalla verifica preliminare effettuata dall’Ufficio, è risultato che sul sito web istituzionale del predetto Istituto dal link situato nell’area dedicata all’Albo Pretorio, nella sezione denominata «Atti amministrativi», nella pagina dedicata alla «Visione Atti amministrativi», era possibile visualizzare e scaricare liberamente i seguenti documenti, agli url indicati:

1.    XX;

2.    XX;

3.    XX;

4.    XX;

5.    XX;

6.    XX;

7.    XX;

8.    XX.

I documenti sopra citati riportavano in chiaro dati personali relativi ai due reclamanti. Inoltre, i primi tre documenti citati riportavano anche dati relativi allo stato di salute di uno di loro, in quanto specificavano la circostanza della relativa assenza per malattia.

L’Istituto autonomo per le case popolari della provincia di Isernia ha fornito riscontro alla richiesta d’informazioni dell’Ufficio e con nota del XX ha confermato la rimozione dal sito web dei documenti prima indicati.

2. Normativa applicabile.

Ai sensi del RGPD il trattamento di dati personali effettuati da soggetti pubblici (come il Comune) è lecito solo se il trattamento è necessario «per adempiere un obbligo legale al quale è soggetto il titolare del trattamento» oppure «per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento» (art. 6, par. 1, lett. c ed e).

È inoltre previsto che «Gli Stati membri possono mantenere […] disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]» (art. 6, par. 2, RGPD), con la conseguenza che al caso di specie risulta applicabile la disposizione contenuta nell’art. 19, comma 3, del Codice, vigente alla data dei fatti, laddove sancisce che l’operazione di diffusione di dati personali (come la pubblicazione su Internet), da parte di soggetti pubblici, è ammessa solo quando prevista da una norma di legge o di regolamento.

In ogni caso, inoltre, il titolare del trattamento è tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di «liceità, correttezza e trasparenza» nonché di «minimizzazione», in base ai quali i dati personali devono essere «trattati in modo lecito, corretto e trasparente nei confronti dell'interessato» e devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. a e c, del RGPD).

È, altresì, previsto che «Gli Stati membri possono mantenere […] disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]» (art. 6, par. 2, RGPD).

In tale quadro, il trattamento di «categorie particolari di dati personali» elencati dall’art. 9, par. 1, del RGPD – fra cui rientrano i «dati relativi alla salute» ossia i «dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute» (art. 4, par. 1, n. 15; considerando n. 35 del RGPD) – è vietato, a meno che non ricorra una delle eccezioni prevista dal paragrafo 2 del citato art. 9.

Fra le predette eccezioni rientra il caso in cui «il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato» (art. 9, par. 2, lett. g). In ogni caso, «Gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di […] dati relativi alla salute» (art. 9, par. 4, RGPD).

Pertanto, al caso di specie, risultano applicabili le disposizioni contenute:

- nell’art. 19, comma 3, del Codice, vigente alla data dei fatti, nella parte in cui è sancito che l’operazione di diffusione di dati personali (come la pubblicazione su Internet), da parte di soggetti pubblici è ammessa solo quando prevista da una norma di legge o di regolamento (la medesima disposizione è riprodotta nel nuovo art. 2-ter, commi 1 e 3, del Codice);

- nell’art. 22, comma 8, del Codice, vigente alla data dei fatti, che prevede come, in ogni caso, è vietata la diffusione di dati idonei a rivelare lo stato di salute dei soggetti interessati (il cui contenuto è stato riprodotto nel nuovo art. 2- septies, comma 8, del Codice).

3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato.

Dalle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX del XX ha accertato che l’Istituto autonomo per le case popolari della provincia di Isernia diffondendo i dati personali dei reclamanti – contenuti nei documenti prima identificati ai nn. da 1 a 8 pubblicati sul sito web istituzionale – ha effettuato un trattamento di dati personali non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD. Pertanto, con la medesima nota sono state notificate all’Istituto le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD e invitando il predetto Istituto a inviare al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentito da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

4. Memorie difensive e audizione.

Con la nota del XX l’Istituto autonomo per le case popolari della provincia di Isernia ha inviato al Garante i propri scritti difensivi in relazione alle violazioni notificate.

Al riguardo, si ricorda che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, intitolato «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante».

Nello specifico, in merito ai fatti contestati l’Istituto ha evidenziato che:

- in relazione agli atti amministrativi contrassegnati ai nn. 1-3, l’obbligo di motivazione degli atti amministrativi ha comportato la necessità di dare evidenza dell’assenza per malattia di uno dei reclamanti, ma, in ogni caso, non è stato fatto alcun riferimento alla «natura della malattia, a patologie riscontrate e/o a diagnosi effettuate»;

- in relazione agli atti amministrativi contrassegnati ai nn. 4-7, «la pubblicazione degli atti sul sito web dell’Ente è avvenuta in ottemperanza agli obblighi di trasparenza imposti alle Amministrazioni dal D. Lgs. n. 33/2013, il quale, all’art. 18 stabilisce di pubblicare l'elenco degli incarichi conferiti o autorizzati ai propri dipendenti, con l'indicazione della durata e del compenso spettante per ogni incarico, all’art. 15 pone l’obbligo di pubblicare tutte le informazioni relative allo svolgimento di incarichi o lo svolgimento di attività professionali». Al riguardo è stato aggiunto che «In ogni caso, la pubblicazione è avvenuta anche nell’ambito dell’aggiornamento delle informazioni e dei dati relativi alla propria organizzazione interna (art. 13) oltre che in forma pertinente rispetto alla finalità perseguita e sicuramente non eccedente»;

- in relazione all’atto amministrativo contrassegnato al n. 8, la relativa «pubblicazione è avvenuta in maniera erronea».

In merito alla condotta tenuta, l’Istituto ha chiesto in ogni caso di tenere in considerazione che:

- «la contestata diffusione dei dati da parte dello IACP-IS […] non ha riguardato, come visto, categorie “particolari” di dati e laddove vi è stata un’indicazione riferita allo “stato di salute” di un interessato, questa è rimasta nei limiti della genericità e delle informazioni ritenute indispensabili al fine di dedurre la situazione di eccezionalità necessaria per l’affidamento dell’incarico all’XX uscente»;

- i reclamanti «mai avevano manifestato disturbi o pregiudizi di sorta legati all’operato di IACP-IS come sopra delineato, circostanza che avrebbe potuto eventualmente consentire a questo, già interessato da difficoltà gestionali e fenomeni di riorganizzazione una migliore definizione delle procedure ed una soluzione condivisa della vicenda in essere»;

- «All’esito della segnalazione della potenziale violazione delle norme in materia di privacy inoltre, avvenuta, si ripete, solo ad opera di codesta Autorità, IACP-IS ha immediatamente provveduto alla rimozione degli atti asseritamente “lesivi” dal sito web al preciso scopo di cooperare con l’Autorità Garante e di ridurre comunque qualsivoglia fattore di rischio e/o criticità»;

- «IACP-IS ha adottato, anche attraverso precipue istruzioni al personale, misure di controllo sui dati personali oggetto di pubblicazione»;

In data 27/9//2019 si è, inoltre, svolta presso il Garante l’audizione richiesta dall’Istituto autonomo per le case popolari della provincia di Isernia ai sensi dell’art. 166, comma 6, del Codice in occasione della quale è stato rappresentato, a integrazione di quanto già riportato nella documentazione inviata, che:

- «l’Ente è un soggetto amministrativo di piccole dimensioni, in fase di liquidazione, caratterizzato da difficoltà organizzative, gestionali e finanziarie, con ricadute sui rapporti tra l’Ente ed il suo personale»

- «sotto il profilo soggettivo, l’amministrazione ha agito con l’unico intento di ottemperare agli obblighi di legge, in assenza di qualsiasi forma di dolo o di volontà di ledere soggetti terzi»;

- «i segnalanti non si sono mai attivati presso l’Ente per chiedere la rimozione dei propri dati personali pubblicati online, avendo direttamente adito il Garante per la protezione dei dati personali»

- «l’Ente si è immediatamente attivato, a seguito della comunicazione inviata dal Garante, a rimuovere gli atti oggetto di segnalazione, che erano in ogni caso pubblicati su un sito web che tipicamente è consultato da un numero ridotto di utenti».

- «i fatti oggetto di segnalazione sono avvenuti in vigenza della precedente normativa in materia di protezione dei dati personali, ovvero prima dell’applicazione del Regolamento (UE) 2016/679».

5. Esito dell’istruttoria relativa ai reclami presentati

L’Istituto autonomo per le case popolari della provincia di Isernia sia nelle memorie difensive che nell’audizione ha confermato l’avvenuta diffusione online dei dati personali dei reclamanti, presentando alcune osservazioni che, seppure meritevoli di considerazione, non consentono di superare del tutto i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento.

In relazione agli atti amministrativi contrassegnati ai nn. 1-3 non è possibile accogliere l’eccezione per la quale non sarebbero stati diffusi categorie particolari di dati personali in quanto i predetti documenti contenevano generico riferimento all’assenza per malattia del soggetto interessato senza indicare la patologia.

Al riguardo, fin dal 2014 il Garante nelle proprie Linee guida in materia di trasparenza ha indicato che è «sempre vietata la diffusione di dati idonei a rivelare lo “stato di salute” (art. 22, comma 8, del Codice [oggi art. 2-septies, comma 8, del Codice])» e che «In particolare, con riferimento ai dati idonei a rivelare lo stato di salute degli interessati, è vietata la pubblicazione di qualsiasi informazione da cui si possa desumere, anche indirettamente, lo stato di malattia o l´esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici» (cfr. parte prima, par. 2; parte seconda par. 1; nonché provvedimenti ivi citati in nota n. 5).

Per tale motivo, non è possibile accogliere l’eccezione per la quale – in deroga al divieto di diffusione dei dati sulla salute – l’obbligo di motivazione dell’atto amministrativo potrebbe legittimare la diffusione della notizia dell’assenza per malattia di uno dei reclamanti.

In relazione a quanto osservato in ordine agli atti amministrativi contrassegnati ai nn. 4-7, occorre evidenziare che le disposizioni, citate dall’Istituto, contenute negli artt. 13, 15 e 18 del d. lgs. n. 33/2013 non prevedono la pubblicazione dei dati personali dei reclamanti ivi contenuti, in quanto i predetti atti sarebbero relativi allo svolgimento del rapporto di lavoro di personale dei disciolti II.AA.CC.PP. presso l’E.r.e.s. ai sensi della l.r. della Regione Molise n. 21 del 2/12/2014 richiamata nei citati decreti. Tale fattispecie non è assimilabile a contratti di “collaborazione o consulenza” a soggetti esterni alla p.a. o a incarichi “conferiti o autorizzati” ai dipendenti di cui agli artt. 15 e 18 del d. lgs. 33/2013. Inoltre, la relativa pubblicazione non rientra fra gli obblighi di pubblicità di cui all’art. 13 che riguarda informazioni sull’organizzazione di tipo diverso.

Per tali motivi, in relazione alla condotta tenuta, le argomentazioni riportate dall’Istituto autonomo per le case popolari della provincia di Isernia non risultano sufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo nessuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

In tale quadro, si confermano pertanto le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal predetto Istituto, in quanto:

- la diffusione sul sito web istituzionale dei dati identificativi del reclamante assente per malattia, contenuti nel Decreto n. XX e nelle Determinazioni dirigenziali n. XX e n. XX (prima identificati ai nn. da 1 a 3), ha causato una diffusione di dati idonei a rivelare lo stato di salute del soggetto interessato, in violazione in ogni caso dell’art. 22, comma 8, del Codice, vigente al momento della condotta illecita (ora riprodotto nel nuovo art. 2-septies, comma 8, del Codice), e dell’art. 9, parr. 1 e 4, del RGPD;

- la diffusione sul sito web istituzionale dei dati identificativi dei reclamanti, contenuti nei Decreti n. XX, n. XX, n. XX e n. XX(prima identificati ai nn. da 4 a 7) ha causato una diffusione di dati personali sul web in assenza di idonei presupposti normativi, in violazione dell’art. 19, comma 3, del Codice, vigente al momento della condotta illecita (ora riprodotto nel nuovo art. 2-ter, commi 1 e 3 del Codice), e dell’art. 6, par. 1, lett. c) ed e); par. 2 e par. 3, lett. b), del RGPD;

- la diffusione sul sito web istituzionale dei dati identificativi dei soggetti interessati contenuti nella Determinazione dirigenziale n. XX (prima identificata al n. 8) ha causato una diffusione di dati personali sul web in assenza di idonei presupposti normativi, in violazione dell’art. 19, comma 3, del Codice, vigente al momento della condotta illecita (ora riprodotto nel nuovo art. 2-ter, commi 1 e 3 del Codice) e dell’art. 6, par. 1, lett. c) ed e); par. 2 e par. 3, lett. b), del RGPD.

La violazione delle predette disposizioni rende applicabile ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, la sanzione amministrativa prevista dall’art. 83, par. 5 del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice.

Considerato, comunque, che la condotta ha esaurito i suoi effetti, in quanto il titolare del trattamento ha provveduto a rimuovere dal sito web istituzionale gli atti contenenti i dati personali dei reclamanti prima descritti, fermo restando quanto si dirà sull’applicazione della sanzione amministrativa pecuniaria, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del RGPD.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria (artt. 58, par. 2, lett. i; 83 RGPD)

L’Istituto autonomo per le case popolari della provincia di Isernia risulta aver violato gli artt. 6, par. 1, lett. c) ed e); par. 2 e par. 3, lett. b); 9, parr. 1 e 4, del RGPD; nonché degli art. 19, comma 3, e 22, comma 8, del Codice, vigenti al momento della condotta illecita.

Al riguardo, l’art. 83, par. 3, del RGPD, prevede che «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave».

Nel caso di specie, la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del RGPD, che si applica pertanto al caso di specie.

Occorre altresì tenere conto che, seppure le deliberazioni e i decreti oggetto del reclamo, pubblicati online, risalgono gli anni 2016-2017, per la determinazione della norma applicabile, sotto il profilo temporale, deve essere richiamato in particolare il principio di legalità di cui all’art. 1, comma 2, della l. n. 689/1981 che, nel sancire come «Le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in esse considerati». Ciò determina l’obbligo di prendere in considerazione le disposizioni vigenti al momento della commessa violazione, che nel caso in esame – data la natura permanente dell’illecito contestato – deve essere individuato all’atto di cessazione della condotta illecita, verificatasi successivamente alla data del XX in cui il RGPD è divenuto applicabile. Dagli atti dell’istruttoria è, infatti, emerso che l’illecita diffusione online è cessata a luglio XX (mese in cui l’Istituto autonomo per le case popolari della provincia di Isernia ha confermato di aver provveduto a rimuovere i provvedimenti prima indicati dal sito web istituzionale).

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD nonché dell’art. 166 del Codice, ha il potere correttivo di «infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso». In tale quadro, «il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice» (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del RGPD.

In relazione ai predetti elementi, la rilevata condotta tenuta in violazione della disciplina in materia di protezione dei dati personali ha avuto a oggetto la diffusione di dati personali di due soggetti interessati, anche relativi allo stato di salute (ma privi dell’indicazione della patologia). La diffusione si è protratta per un più di un anno. L’Istituto autonomo per le case popolari della provincia di Isernia ha inoltre evidenziato che l’Ente «è un soggetto amministrativo di piccole dimensioni, in fase di liquidazione, caratterizzato da difficoltà organizzative, gestionali e finanziarie, con ricadute sui rapporti tra l’Ente ed il suo personale» e ha agito «in assenza di qualsiasi forma di dolo o di volontà di ledere soggetti terzi». I reclamanti hanno adito direttamente al Garante e non si sono rivolti preliminarmente all’Istituto per chiedere la rimozione dei dati pubblicati. A ciò si aggiunge che l’amministrazione si è attivata per rimuovere i dati personali oggetto del reclamo e ha collaborato con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alla violazione attenuandone i possibili effetti negativi. Nel riscontro al Garante sono state, inoltre descritte diverse misure tecniche e organizzative messe in atto ai sensi degli artt. 25-32 del RGPD. Non risultano eventuali precedenti violazioni del RGPD pertinenti commesse dal citato Istituto.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, parr. 2 e 3, del RGPD l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, del RGPD, nella misura di euro 2.000,00 (duemila) per la violazione degli artt. 6, par. 1, lett. c) ed e); par. 2 e par. 3, lett. b); 9, parr. 1 e 4, del RGPD; nonché degli art. 19, comma 3, e 22, comma 8, del Codice, quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo RGPD.

In relazione alle specifiche circostanze del presente caso, relative alla diffusione sul web di dati sullo stato di salute e di dati identificativi dei reclamanti in assenza di una idonea base normativa, si ritiene altresì che debba essere applicata la sanzione accessoria della pubblicazione sul sito web del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità del trattamento effettuato dall’Istituto autonomo per le case popolari della provincia di Isernia ai sensi degli artt. 57, par. 1, lett. f), e 83 del RGPD, nonché dell’art. 166 del Codice per la violazione degli artt. 6, par. 1, lett. c) ed e); par. 2 e par. 3, lett. b); 9, parr. 1 e 4, del RGPD; nonché degli art. 19, comma 3, e 22, comma 8, del Codice, vigenti al momento della condotta illecita.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 5, del RGPD, e 166, comma 2, del Codice, all’Istituto autonomo per le case popolari della provincia di Isernia, in persona del legale rappresentante pro-tempore, con sede legale Via Papa Giovanni XXIII, N. 113 - 86170 Isernia (IS) – C.F. 00075330944 di pagare la somma di euro 2.000,00 (duemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

al medesimo Istituto di pagare la somma di euro 2.000,00 (duemila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.

Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1/9/2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice).

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019 e ritiene che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 10 giugno 2020

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia