Ordinanza ingiunzione nei confronti di Azienda Pluriservizi Macerata S.p.A....
Ordinanza ingiunzione nei confronti di Azienda Pluriservizi Macerata S.p.A. - 18 giugno 2020 [9444865]
Condividi[doc. web n. 9444865]
Ordinanza ingiunzione nei confronti di Azienda Pluriservizi Macerata S.p.A. - 18 giugno 2020
Registro dei provvedimenti
n. 105 del 18 giugno 2020
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il dott. Antonello Soro, presidente, la dott.ssa Augusta Iannini, vicepresidente, la dott.ssa Giovanna Bianchi Clerici e la prof.ssa Licia Califano, componenti, e il dott. Giuseppe Busia, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
Vista la documentazione in atti;
Viste le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;
Relatore la dott.ssa Augusta Iannini;
PREMESSO
1. Il reclamo.
Un’organizzazione sindacale ha presentato reclamo per conto di un dipendente dell’Azienda Pluriservizi Macerata S.p.A., concessionaria del servizio di trasporto pubblico locale nel Comune di Macerata, lamentando che l’Azienda, per prassi interna, affiggeva quotidianamente su una bacheca il documento relativo ai turni di servizio degli autisti, contenente anche informazioni relative ad alcune causali di assenza dei dipendenti. In particolare, è stato rappresentato che l’Azienda rendeva disponibile, con tali modalità, un documento contenente informazioni di dettaglio relative al “servizio giornaliero di tutto il personale autista [in cui sono riportati] lo stato di malattia, di infortunio, di permesso [ai sensi della] legge 104/92, di aspettativa per gravi motivi di salute […] dei propri lavoratori”. Ciò sarebbe avvenuto, nonostante le ripetute obiezioni sollevate dalle organizzazioni sindacali e dai dipendenti, che sollevavano profili di violazione della disciplina in materia di protezione dei dati.
2. L’attività istruttoria.
In riscontro alle specifiche richieste formulate dall’Ufficio, l’Azienda ha dichiarato che (cfr., nota del XX, prot. n. XX)
- “il mod. XX [denominato] XX” è stato in uso “fino al XX scorso” ed era finalizzato “unicamente all’organizzazione del servizio di Trasporto Pubblico urbano” in modo da consentire agli “autisti addetti alla guida di verificare la corretta applicazione dei criteri di assegnazione dei turni di guida, con particolare riguardo a possibili sostituzioni o cambi”;
- “si era ritenuto, in maniera di fatto condivisa con il personale interessato, che tale modalità attenesse a dati pertinenti e non eccedenti in relazione all’attività lavorativa svolta”;
- “l’organizzazione del servizio di trasporto pubblico urbano prevede la garanzia della continuità nell’erogazione dello stesso, con conseguente necessità di riorganizzazione dei turni di lavoro in caso di assenze del personale originariamente assegnato”;
- “al fine di evitare possibili situazioni conflittuali si era, pertanto, deciso di fornire indicazioni di massima che mettessero in evidenza gli aspetti impattanti sull’organizzazione del servizio giornaliero [e dunque] oltre ai turni di servizio, le informazioni relative alle causali di assenza (con sotto indicati i singoli nominativi degli autisti)”;
- l’azienda ha confermato che tra le causali di assenza indicate poi erano, in particolare quelle per malattia e fruizione dei benefici derivanti dalla legge n.104 del 1992 (“Assenza per malattia” […] “Assenza per l. 104” […]”;
- “tali informazioni erano affisse in bacheca solo in forma cartacea nel locale riservato agli autisti, all’interno del deposito tpl e, in alcun modo, venivano comunicate […] o diffuse a soggetti terzi diversi dal personale abilitato alla guida degli autobus”;
- in data 18 giugno 2019 “si è provveduto alla revisione del modulo in questione anche nell’ottica di un adeguamento con quanto richiesto dal Regolamento UE 2016/679 e sulla base del principio di minimizzazione dei dati comunicati”;
- il nuovo modello riporta allo stato “i soli dati identificativi dei lavoratori in servizio e il relativo turno assegnato […] al fine di fornire agli autisti in servizio la mera informazione in ordine all’assenza dei colleghi, ovvero alla necessità di provvedere alla eventuale sostituzione di qualcuno di loro”.
Con nota dell’XX (prot. n. XX), l’Ufficio, sulla base degli elementi acquisiti dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, ha notificato all’Azienda, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, paragrafo 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).
In particolare, l’Ufficio ha rilevato che l’Azienda ha periodicamente affisso in locali aziendali, fino al XX, prospetti recanti dati personali relativi a causali delle assenze degli autisti relativi alle condizioni di salute dei dipendenti o di loro familiari e conviventi in violazione dei principi di “liceità, correttezza e trasparenza” nonché di “minimizzazione” del trattamento, art. 5, par. 1, lett. a) e c), del Regolamento, e degli artt. 6 e 9 del Regolamento nonché art. 2 sexies del Codice.
Con nota del XX (prot. XX) l’Azienda ha fatto pervenire le proprie memorie difensive, rappresentando, tra l’altro, che:
- “il servizio trasposto pubblico locale è dotato di una propria sede […] dove è collocato il deposito dei mezzi e da dove partono il servizio e gli operatori di esercizio […] solo gli addetti al TPL”;
- l’accesso “è vietato ai non addetti-dunque anche ad altri lavoratori dell’azienda […]” e la bacheca “è posta in un luogo riparato e non direttamente visibile se non specificamente conosciuto”; “tale bacheca è a servizio delle attività relative agli autisti addetti al TPL e solo tali addetti possono raggiungerla poiché collocata all’interno del locale ad accesso selezionato, limitato a solo questa parte di personale dipendente, ed è destinata alla comunicazione delle disposizioni aziendali sull’organizzazione del lavoro di quello specifico reparto, non di altri”;
- il trasporto pubblico locale richiede che il gestore assolva una “serie di obblighi volti a conformare l’espletamento dell’attività a norme di continuità, regolarità, capacità e qualità e, anche alla luce della disciplina europea, grava sulle imprese concessionarie, tra gli altri, “l’obbligo di esercizio” ossia quello di “assicurare […] un servizio conforme a determinate norme di continuità, regolarità e capacità”;
- “il contratto di servizio (istituto regolato dall’art. 19 del d.lgs. 422/1997 e dal Regolamento europeo n. 1370/2007 […] dispone specifici obblighi correlati anche alla pianificazione e programmazione che sono prerogative che il d.lgs. 42271997 affida alla Regione in funzione regolatoria”; “all’ente concedente devono essere assicurati determinati standards di operatività del servizio e gli obblighi di continuità, non interruzione puntualità del servizio […] sono stati recepiti nella carta dei servizi [dell’Azienda]”;
- “al fine di assicurare la massima regolarità al servizio […] l’azienda ha adottato] collaudati modelli organizzativi […] per ovviare alle situazioni di emergenza in caso di necessità sostitutive o aggiuntive di personale per casi imprevisti ed imprevedibili”;
- “Nell’unità operativa è presente il Direttore di Esercizio […] gestisce tutte le attività e prende le decisioni in caso di necessità straordinarie”
- “poste le esigue dimensioni del ramo di attività in rapporto alle dimensioni di altre società tpl regionali” è stato creato il “c.d. turno di disposizione per cui gli addetti al tpl, a turno assumono funzioni di controllo […] intervenendo nel caso sia necessaria la sostituzione di un autista […]”;
- “la predisposizione del turno di servizio […] aveva la funzione di mettere in grado l’operatore […] di eseguire una scelta immediata del collega da contattare e richiamare in servizio”. In particolare, “conoscendo le motivazioni dell’assenza, il lavoratore poteva esaminare la problematica e decidere quale dei vari colleghi assenti richiamare in base alla specifica necessità del momento” […] senza dovere eseguire ricerche e passaggi ulteriori che inevitabilmente comporterebbero una reazione più lenta o impossibile se tali dati fossero solo a disposizione delle risorse umane”;
- atteso che “nella mansione degli operatori TPL è ricompresa anche quella specifica relativa alla selezione del personale da richiamare in servizio, questi erano certamente autorizzati al trattamento” e pertanto “nei fatti pare integrato il requisito richiesto dall’art. 29 del GDPR, affinché gli operatori del TPL siano riconosciuti quali addetti/incaricati al trattamento sotto la responsabilità del Titolare- anche- dei dati sulle assenze, stante quanto sopra descritto circa le mansioni affidate”;
- il trattamento era dettato dall’esigenza di “ridurre al minimo i tempi di reazione di intervento con l’obiettivo di assicurare massima continuità e puntualità al servizio di linea urbano”;
- con riguardo alla modifica del documento dei turni, ciò sarebbe stato effettuato in “applicazione del principio della massima cautela e non, invece, perché il fine organizzativo sia ugualmente raggiunto […] senza conoscere la casale dell’assenza, infatti […] dovrà rimettere la valutazione a un lavoratore delle risorse umane, che potrebbe essere assente, perché l’orario di lavoro è diverso dal nastro del TPL, o non preparato per la soluzione della problematica in quanto opera in un ambito del tutto diverso”;
- “la metodologia organizzativa era perfettamente condivisa, tanto che mai alcun operatore ha sollevato questioni relative alla riservatezza propria o di colleghi”;
- i dati esposti erano “minimi e del tutto asettici” oltre che conoscibili da “una limitata cerchia di lavoratori” e “dall’altro lato del bilanciamento vi è l’esigenza dia assicurare sempre la regolarità e continuità […] del servizio”, pertanto l’Azienda “in buona fede ha valutato che la minima compressione del diritto alla riservatezza dei soli lavoratori addetti alla TPL […] potesse essere ragionevole, non fonte di rischio per i lavoratori […e] comunque recessiva in vista del fine pubblico perseguito, ovverosia l’obbligo di impedire prolungate interruzioni o anche solo ritardi del servizio […]”;
- in ogni caso, l’Azienda “non ha esibito sul tabellone dati relativi a procedimenti disciplinari o valutazioni del personale, bensì dati la cui potenzialità lesiva […] è concretamente minima seno trascurabile”;
- “deve essere valutato [che] l’APM ha autonomamente provveduto a modificare la propria condotta (dal 17/06/2019) eliminando l’affissione delle cause di assenza in virtù anche del fatto che la minimizzazione dell’uso dei dati è un processo di tendenza […e] muta a seconda delle necessità, delle misure organizzative e tecniche”;
- per tali ragioni l’Azienda chiede di valutare la condotta come una violazione minore, anche “alla luce del provvedimento del 3 luglio 2014 [doc web 3325317] per cui in un caso similare è stata valutata come applicabile la sola prescrizione amministrativa”.
3. Esito dell’attività istruttoria.
In base alla disciplina in materia di protezione dei dati il datore di lavoro può trattare i dati personali dei dipendenti, anche relativi a categorie particolari di dati - tra i quali sono ricompresi anche i “dati relativi alla salute” (cfr. art. 9, par. 1 del Regolamento)- se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti da leggi, dalla normativa comunitaria, da regolamenti o da contratti collettivi (artt. 6, par. 1, lett. c), 9, par. 2, lett. b) e 4; 88 del Regolamento).
In tale quadro, con riguardo alle categorie particolari di dati personali, inclusi quelli relativi alla salute (in merito ai quali è previsto un generale divieto di trattamento, ad eccezione dei casi indicati all’art. 9, par. 2 del Regolamento e, comunque un regime di maggiore garanzia rispetto alle altre tipologie di dati, in particolare, per effetto dell’art. 9, par. 4, nonché dell’art. 2-septies del Codice), il trattamento è consentito, per assolvere specifici obblighi “in materia di diritto del lavoro […] nella misura in cui sia autorizzato dal diritto […] in presenza di garanzie appropriate” (art. 9, par. 2, lett. b), del Regolamento), ovvero, quando “necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. g), del Regolamento).
Il legislatore nazionale ha definito “rilevante” l’interesse pubblico per il trattamento “effettuato da soggetti che svolgono compiti di interesse pubblico o connessi all’esercizio di pubblici poteri” nelle materie indicate, seppur in modo non esaustivo, dall’art. 2-sexies del Codice, stabilendo che i relativi trattamenti “sono ammessi qualora siano previsti […] da disposizioni di legge o, nei casi previsti dalla legge, di regolamento che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato”.
In ogni caso, il titolare del trattamento è tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c), del Regolamento).
Alla luce della ricostruzione che precede, si rileva in via preliminare che, come risulta dalle dichiarazioni rese dall’Azienda, fino al XX, per consolidata prassi aziendale, il documento con i turni di servizio veniva regolarmente affisso nella bacheca posta in locali riservati agli autisti (“in un luogo riparato e non direttamente visibile se non specificamente conosciuto”), all’interno del deposito dei mezzi, il cui accesso è comunque interdetto ad altri lavoratori dell’azienda. Per tale ragione, nel caso di specie, i dati personali ivi contenuti erano resi giornalmente conoscibili in favore di un novero determinato o, comunque, determinabile di soggetti, ossia il personale con mansioni di autista impiegato nel servizio di trasporto pubblico locale (cfr. la definizione di “comunicazione” di dati personali contenuta nell’art. 2-ter comma 4, lett. a), del Codice). L’Azienda ha confermato che tra le causali di assenza indicate voi erano, in particolare quelle per malattia e fruizione dei benefici derivanti dalla legge n.104 del 1992.
In generale le informazioni strettamente connesse allo svolgimento dell´attività lavorativa, come, in particolare, le specifiche causali dell’assenza dei dipendenti - quali, ferie permessi individuali o l´assenza dal servizio nei casi previsti dalla legge o dai contratti collettivi di lavoro- sono lecitamente trattate dal datore di lavoro in base a specifiche disposizioni normative che prevedono anche obblighi di comunicazione e invio di apposita certificazione al datore di lavoro e, a seconda dei casi, anche agli enti previdenziali.
Tali obblighi sono funzionali non solo a giustificare i trattamenti normativi ed economici spettanti al lavoratore, ma anche a consentire al datore di lavoro, nelle forme di legge, di effettuare le necessarie verifiche e assumere le conseguenti determinazioni, ovvero al fine di permettere ai dipendenti di godere dei benefici di legge, come nel caso delle agevolazioni previste per l’assistenza a familiari disabili, ai permessi retribuiti e ai congedi per gravi motivi familiari (v., sul punto, par. 6, Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati, n. 53 del 23 novembre 2006, doc. web n. 1364939 e, non diversamente, par. 8 delle Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico, del 14 giugno 2007, doc. web n. 1417809).
Tali trattamenti devono tuttavia avvenire mediante il personale “autorizzato” e debitamente “istruito” in merito all’accesso ai dati (artt. 4, par. 10, 29, 32, par. 4, del Regolamento), al ricorrere dei presupposti di liceità sopra indicati, in relazione alle funzioni svolte e alle istruzioni rese (v., sul punto, par. 6, Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati, n. 53 del 23 novembre 2006, doc. web n. 1364939), nella misura in cui i dati siano adeguati e pertinenti per dare esecuzione al rapporto di lavoro nel quadro delle previsioni normative applicabili ai rapporti di lavoro (cfr. artt. 5, par. 1, lett. c) e 88 del Regolamento).
Ne consegue che i dati personali dei dipendenti trattati dal datore di lavoro per finalità di gestione del rapporto di lavoro non possono essere messi a conoscenza di soggetti diversi da coloro che sono parte del rapporto contrattuale (cfr. definizioni di “dato personale” e “interessato”, contenuta nell’art. 4, par.1, 1) del Regolamento), né possono essere trattati da coloro che, in ragione delle mansioni svolte, non siano autorizzati a accedere a tali dati.
Stante quindi anche la definizione di “terzo” (contenuta nell’art. 4, par.1, 10) del Regolamento) gli altri dipendenti addetti al servizio di trasporto non sono legittimati a trattare informazioni di dettaglio sulle assenze dei colleghi, in quanto, in base alle mansioni assegnate, non possono essere considerati autorizzati ad accedere a quei dati per la gestione delle assenze del personale, anche in vista della pianificazione dei turni di lavoro (cfr., Provv.ti 3 luglio 2014, n. 341, doc. web n. 3325317; 31 luglio 2014, n. 392, doc web n. 3399423, e, più di recente, Provv. 13 dicembre 2018, n. 500, doc. web n. 9068983 ma v., già Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico del 14 giugno 2007 (doc. web n. 1417809, cfr., in particolare, i paragrafi 5.1, 5.2 e 5.3).
Nel caso in esame tale ruolo è svolto, come risulta dalle dichiarazioni dell’Azienda, da alcune funzioni aziendali secondo le rispettive competenze. In particolare, oltre che dai preposti all'amministrazione generale del personale, la gestione dei turni di servizio è assegnata, per scelta organizzativa del titolare, a una specifica funzione aziendale, quella del Direttore di Esercizio - che, nell’unità operativa dedicata al trasporto pubblico locale, “prende le decisioni in caso di necessità straordinarie” al fine di assicurare la continuità del servizio. Ove questo sia assente tale compito è rimesso a colui che svolge la relativa funzione, in sua vece e in base a uno specifico “turno di disposizione”.
Pertanto, anche in presenza di prassi interne o scelte organizzative che, come nel caso di specie, prevedano che gli altri addetti al servizio assumano “a turno” le funzioni del Direttore di Esercizio, non può essere ritenuto conforme al quadro normativo in materia di protezione dei dati il trattamento dei dati dei colleghi indistintamente e simultaneamente da parte di tutti gli autisti.
In conclusione, l’Azienda nell’erogazione del servizio di trasporto pubblico locale può, nel rispetto della disciplina di protezione dei dati e in modo parimenti efficace, affiggere in aree disponibili agli addetti al servizio, il solo documento riepilogativo dei turni giornalieri. In ogni caso, in considerazione delle difficoltà rappresentate nel corso dell’istruttoria con riguardo al limitato organico adibito al servizio e l’esigenza di semplificare le fasi di reperimento del personale disponibile per provvedere celermente a eventuali sostituzioni, l’Azienda avrebbe potuto, se del caso, rendere disponibili informazioni di maggior dettaglio, nel rispetto del principio di minimizzazione dei dati (ad esempio, il solo periodo di assenza prolungata, senza specificazione della motivazione), al solo Direttore del servizio o al dipendente che, di volta in volta, in base al turno di disposizione, ne svolgeva le funzioni.
Per tali ragioni, come emerso dalle risultanze istruttorie, l’Azienda, ha dato luogo, in assenza di idoneo presupposto di liceità, a una comunicazione illecita di dati personali a terzi non autorizzati (cfr. la definizione di “comunicazione” di dati personali contenuta nell’art. 2-ter comma 4, lett. a), del Codice) in violazione degli artt. 6 e 9, parr. 1, 2 e 4 del Regolamento e art. 2-sexies del Codice e in violazione dei principi di base del trattamento (art. 5, par. 1, lett. a) e c) del Regolamento).
4. Conclusioni.
La violazione dei dati personali oggetto dell’istruttoria da parte dell’Azienda è avvenuta nella piena vigenza delle disposizioni del Regolamento e del Codice, come modificato dal d.lg.n.101/2018, e che, dunque, al fine della determinazione del quadro normativo applicabile sotto il profilo temporale (art. 1, comma 2, della l. 24 novembre 1981, n. 689), queste costituiscono le disposizioni vigenti al momento della commessa violazione, che nel caso di specie si è protratta fino al 18 giugno 2019.
La violazione delle predette disposizioni rende applicabile, ai sensi degli artt. 58, par. 2, lett. i), del Regolamento, la sanzione amministrativa prevista dall’art. 83, par. 5 del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice.
In tale quadro, considerando che con successivo atto organizzativo l’Azienda ha dato disposizione di impiegare, a decorrere dal XX, un diverso modulo con “i soli dati identificativi dei lavoratori in servizio e il relativo turno assegnato” (cfr. nota del 9 luglio 2019, cit.), la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.
5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).
Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).
Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.
La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.
In relazione ai predetti elementi è stata considerata la particolare delicatezza dei dati personali illecitamente trattati (dati relativi alla salute, art. 4, par. 1, n. 15 del Regolamento), le violazioni attinenti a rilevanti profili organizzativi inerenti la disciplina vigente in materia nonché il mancato rispetto delle indicazioni che, da tempo, il Garante, ha fornito ai datori pubblici e privati con le Linee guida sopra richiamate e con numerose decisioni su singoli casi, quale ad esempio il provvedimento del 3 luglio 2014 (doc. web n. 3325317), peraltro già noto al titolare del trattamento, e, come confermato, da ultimo, con il Provvedimento prescrittivo del 5 giugno 2019 (doc. web n. 9124510).
Di contro è stato considerato che l’Azienda, si è comunque attivata per rimuovere modificare la prassi aziendale e ha collaborato con l’Autorità nel corso dell’istruttoria del presente procedimento. Non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento.
In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 4.000 (quattromila) per la violazione degli artt. 5, par. 1, lett. a) e c) nonché artt. 6 e 9, parr. 1, 2 e 4, del Regolamento e art. 2-sexies del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.
Tenuto conto della particolare delicatezza dei dati diffusi, si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
TUTTO CIÒ PREMESSO IL GARANTE
rileva l’illiceità del trattamento effettuato dall’Azienda Pluriservizi Macerata S.p.A. per violazione degli artt. degli artt. 5, par. 1, lett. a) e c) nonché artt. 6 e 9, parr. 1, 2 e 4, del Regolamento e art. 2-sexies, comma 8, del Codice, nei termini di cui in motivazione;
ORDINA
all’Azienda Pluriservizi Macerata S.p.A., in persona del legale rappresentante pro-tempore, con sede legale in V.le Don Bosco, 34 - 62100 Macerata - P.I 00457550432, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 5, del Regolamento e 166, comma 2, del Codice, di pagare la somma di euro 4.000,00 (quattromila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;
INGIUNGE
alla medesima Azienda di pagare la somma di euro 4.000,00 (quattromila), in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;
DISPONE
ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione del presente provvedimento sul sito web del Garante, ritenendo che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.
Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 18 giugno 2020
IL PRESIDENTE
Soro
IL RELATORE
Iannini
IL SEGRETARIO GENERALE
Busia
