Provvedimento del 14 gennaio 2021 [9540654]
Provvedimento del 14 gennaio 2021 [9540654]
Condividi[doc. web n. 9540654]
Provvedimento del 14 gennaio 2021
Registro dei provvedimenti
n. 6 del 14 gennaio 2021
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e il dott. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;
Relatore il dott. Agostino Ghiglia;
PREMESSO
1. Il reclamo.
Con il reclamo del 20 dicembre 2019, il sig. XX ha lamentato di aver presentato, all’Università degli Studi di Napoli “Parthenope”, in data 13 novembre 2019, una richiesta di accesso ai dati personali contenuti nel fascicolo personale e a “tutti i dati in generale in possesso dell’Università” ai sensi dell’art. 15 del Regolamento (Ue) 2016/679, chiedendo “la trasmissione di una copia completa (senza omissione/esclusione alcuna) degli stessi, in formato elettronico d’uso comune e/o in formato cartaceo” e di non avere ottenuto alcun riscontro.
2. L’attività istruttoria.
Con nota del 30 gennaio 2020 (prot. n. 0003921), l’Ufficio ha invitato l’Università, ad aderire, entro il termine di 20 giorni dal ricevimento della nota, alla richiesta del reclamante di esercizio del diritto di accesso ai dati personali, procedendo a informare il reclamante e l’Autorità circa le determinazioni adottate.
Con nota del 12 febbraio 2020 (prot. n. 0011629/2020) l’Università ha dato seguito all’invito del Dipartimento a fornire riscontro all’istanza di accesso ai dati personali del sig. XX, formulata ai sensi della normativa sulla protezione dei dati personali, specificando tra l’altro che:
- “Il fascicolo studente del dott. XX è in formato cartaceo. Pertanto, l'Ateneo, facendo seguito alla richiesta (del reclamante), ha provveduto ad estrarre copia conforme dello stesso, che Lei o il Suo assistito potrete ritirare (…) in alternativa, (…), l’Ateneo provvederà a spedire il plico ad un indirizzo da Lei indicato;
- da una ricognizione effettuata in tutte le ripartizioni e presso tutti i dipartimenti dell’Ateneo non risultano presenti dati personali (…) o dati sensibili (Art. 9 GDPR) dell'interessato ultronei rispetto al fascicolo e in corso di trattamento;
- (…) Mai nessun dato dello studente è stato trasferito ai soggetti indicati nell'art. 15, paragrafo 2, del Regolamento UE 679/2016”.
L’Ufficio, sulla base dalle verifiche compiute e degli elementi acquisiti, anche attraverso la documentazione inviata dall’Università, e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, ha accertato che l’Università ha fornito riscontro alla richiesta di accesso ai dati personali del reclamante, solo a seguito dell’invito formulato dal Dipartimento nell’ambito del procedimento relativo al reclamo presentato dalla Sig. XX ai sensi dell’art. 77 del Regolamento, ciò in violazione dell’art. 12, par. 3 e dell’art. 15 del Regolamento.
Si è proceduto pertanto alla notifica delle violazioni, prevista dall’art. 166, comma 5, del Codice, all’Università, comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, paragrafo 2, del Regolamento, invitando l’Università a produrre scritti difensivi o documenti e, eventualmente, a chiedere di essere sentita dall’Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).
L’Università ha fatto pervenire le proprie memorie difensive, con nota del 31 luglio 2020, rappresentando, in particolare che:
- “in data 12 febbraio 2020 (dunque, entro il termine dei 20 giorni concessi (dal Garante), l’Università Parthenope, con lettera pec -prot. n. 0011629”, ha fornito riscontro all’istanza di accesso ai dati personali del reclamante presentata dall’Avv. XX, inviando contestualmente copia di tale riscontro anche all’Autorità;
- il mancato riscontro alla richiesta di accesso è riconducibile al mancato “uncinamento dell’indirizzo pec privacy@pec.uniparthenope.it all’indirizzo dell’Ufficio Protocollo e/o Direzione Generale (che come è noto sono quelli deputati rispettivamente - alla registrazione degli atti in entrata presso gli Enti – alle istanze verso la governance)”.
- "l’istanza presentata dall’Avv. XX in favore del Dott. XX veniva indirizzata ad un solo indirizzo pec (privacy@pec.uniparthenope.it) senza alcuna valutazione di opportunità e doverosità, nell’interesse del proprio assistito, di inviarla anche agli indirizzi pec dell’Ufficio di Protocollo o di quelli relativi alla Governance, ritenendo inopinatamente che detto indirizzo fosse sufficiente allo scopo; allo stesso modo il medesimo legale non ricevendo riscontro ricorreva all’Ill.mo Garante, piuttosto che svolgere un nuovo tentativo verso indirizzi di posta notoriamente incaricati al ricevimento formale di atti ed istanze”.
- “In ordine alla gravità e alla durata della violazione, va rilevato che si è trattato di un unico interessato e che lo stesso non ha mai lamentato (…) conseguenze di danno eventuale a causa della omessa tempestività di accesso, invero, l’interessato ha già svolto il proprio accesso e ha già ricevuto l’intero carteggio determinando una brevissima durata temporale della violazione di circa poco più di un mese (riepilogo: istanza del 13 novembre con scadenza entro il 13 dicembre e documenti pronti per la consegna 12 febbraio)”.
- “L’elemento soggettivo che avrebbe determinato la condotta lesiva (…) non può essere ricondotto al “dolo”, in quanto giammai alcuno ha inteso scientemente e volontariamente ledere il diritto dell’interessato ma a ben vedere neppure può essere ricondotto alla “colpa” se non riconoscendo anche un concorso del legale dell’interessato che ha destinato la formale istanza ad un account di posta non deputato allo scopo”.
- I dati personali trattati nell’ambito delle attività accademiche dell’iscritto al corso di laurea, quindi anche nello specifico caso, sono dati anagrafici, date e votazioni per i singoli esami superati, data di laurea con relativo voto; non vi sono dati personali afferenti a quella particolare categoria di dati di cui all’art. 9 GDPR.
- “L’Università di Napoli Parthenope ha inteso prendere le misure necessarie ed adeguate ad evitare che un analogo evento possa ripetersi in futuro. (…) vi è stato un disallineamento della funzione “gestisci pec” che non riportava all’interno del sistema le mail indirizzate alla casella privacy@pec.uniparthenope.it; allo stesso tempo si è provveduto all’immediato ripristino del sistema “associando la casella alla Unità Organizzativa “Direzione Generale” in base alla considerazione che questa UO ha una posizione fissa nella gerarchia organizzativa ed è destinataria anche di altre caselle pec […] molto più attive in termini di scambio di mail”. Determinando così, per il futuro, la possibilità di rilevare con immediata evidenza un eventuale malfunzionamento del sistema”.
Dalla documentazione allegata alla richiamata nota del 31 luglio 2020, risulta inoltre che:
- “Dal giorno 24/05/2018 al giorno 13-11-2019” sulla casella privacy@pec.uniparthenope.it “non è pervenuta nessuna richiesta o mail di qualsivoglia contenuto. La mancanza di corrispondenza ha fatto sì che il controllo “manuale” della casella, fatto attraverso il portale di Aruba, venisse effettuato con sempre minore frequenza, confidando nell'automatismo in essere sul sistema di protocollo. Il giorno 30-01-2020 è arrivata la segnalazione del Garante in oggetto. Analizzando tale segnalazione il Gruppo di lavoro ha notato che tale segnalazione era stata inviata sia alla casella direzione.generale@pec.uniparthenope.it che privacy@pec.uniparthenope.it ma nel sistema di protocollo non risultava traccia di tale mail. Per tale motivo, la richiesta dell’Avv. XX, inviata alla sola casella privacy@pec.uniparthenope.it in data 13 novembre 2019, di accesso ai dati personali (…), non ha avuto immediato riscontro.
- Da un’analisi del sistema di protocollo è emerso … che la citata ristrutturazione dell’organizzazione delle Ripartizioni di Ateneo aveva comportato un disallineamento della funzione “gestisci PEC” che non riportava all'interno del sistema le mail indirizzate alla casella privacy@pec.uniparthenope.it”.
3. Esito dell’attività istruttoria.
Il Regolamento, agli artt. 12 e ss., disponendo in materia di “diritti dell’interessato”, prevede che quest’ultimo possa ottenere dal titolare del trattamento l’accesso ai dati personali e a specifiche informazioni sul trattamento dei dati allo stesso riferiti (artt. 15 e ss. e Considerando 63). Ciò a meno che non ricorra uno dei casi di limitazione dei diritti dell’interessato tassativamente indicati all’art. 23 del Regolamento e 2-undecies del Codice, che non risultano conferenti rispetto alla fattispecie in esame.
L’art. 12 del Regolamento prevede, inoltre, che il titolare del trattamento debba fornire all’interessato le informazioni relative all'azione intrapresa, riguardo a una richiesta, ai sensi degli articoli da 15 a 22 del Regolamento senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa (par. 3).
Nel caso oggetto di reclamo, l’Università non ha risposto alla richiesta di accesso ai dati personali del reclamante, come da richiesta presentata dallo stesso in data 13 novembre 2019, se non a seguito dell’invito ad aderire formulato dall’Ufficio, soltanto in data 12 febbraio 2020 e quindi oltre il termine previsto dall’art. 12 del Regolamento.
4. Conclusioni.
Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Si confermano pertanto le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Università non avendo quest’ultimo fornito riscontro alla richiesta presentata dallo stesso circa l’esercizio del diritto di accesso ai dati previsto dall’art. 15 del Regolamento, se non a seguito dell’invito ad aderire formulato dal Dipartimento, ciò in violazione dell’art. 12, par. 3 e dell’art. 15 del Regolamento.
Ciò premesso, tenuto conto che si tratta dell’unico caso noto all’Autorità nel quale si è determinato un mancato riscontro a una richiesta di esercizio del diritto di accesso da parte di un interessato e che il mancato riscontro all’istanza di accesso è stato anche determinato da un temporaneo malfunzionamento del sistema di protocollo informatico, le circostanze del caso concreto inducono a qualificare il caso come “violazione minore”, ai sensi dell’art. 83, par. 2, e del considerando 148 del Regolamento.
Si ritiene, pertanto, che, relativamente al caso in esame sia sufficiente ammonire il titolare del trattamento ai sensi degli artt. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, per aver violato gli artt. 12, par. 3 e 15 del Regolamento, e che non vi siano i presupposti per l’adozione di ulteriori provvedimenti correttivi da parte dell’Autorità ai sensi dell’art. 58, par. 2, del Regolamento.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019, concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
TUTTO CIÒ PREMESSO IL GARANTE
a) ai sensi dell’art. 57, par. 1, lett. a) e f), del Regolamento, dichiara illecita la condotta tenuta dell’Università degli Studi di Napoli “Parthenope”, descritta nei termini di cui in motivazione, consistente nella violazione degli artt. 12, par. 3 e 15, del Regolamento;
b) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce l’Università degli Studi di Napoli “Parthenope”, quale titolare del trattamento in questione, per aver violato gli artt. 12, par. 3 e 15 del Regolamento, non avendo consentito al reclamante l’esercizio del diritto di accesso ai dati personali e non fornito riscontro alla richiesta dello stesso se non a seguito dell’invito ad aderire alle richieste di quest’ultimo formulato dal Garante;
c) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019, concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’Autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 14 gennaio 2021
IL PRESIDENTE
Stanzione
IL RELATORE
Ghiglia
IL SEGRETARIO GENERALE
Mattei
