g-docweb-display Portlet

Provvedimento del 14 gennaio 2021 [9542136]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

VEDI ANCHE NEWSLETTER DELL'11 MARZO 2021

 

[doc. web n. 9542136]

Provvedimento del 14 gennaio 2021

Registro dei provvedimenti
n. 10 del 14 gennaio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

Relatore l’avv. Guido Scorza;

PREMESSO

1. La violazione dei dati personali e l’attività istruttoria

Questa Autorità ha ricevuto una segnalazione in relazione al trattamento di dati personali effettuato dalla Regione Lazio attraverso il portale “Salute Lazio”. Nell’ambito dell’attività istruttoria effettuata a seguito di tale segnalazione, l’Ufficio ha richiesto elementi in merito al trattamento di dati personali effettuato tramite il servizio ReCUP regionale, con particolare riferimento al ruolo della società Laziocrea S.p.a. e della Società Cooperativa sociale integrata Capodarco (note del 23.7.2018 - prot. n. 22072; del 1.10.2018 – prot. n. 28604; incontro del 5.11.2018).

La società aCapo S.C.S.I., ex Capodarco Società Cooperativa sociale integrata (di seguito Società Cooperativa) ha fornito gli elementi richiesti durante l’incontro svoltosi presso l’Autorità il 5 novembre 2018 e con nota del 9.11.2018 (prot. n. 6996).

Dalla documentazione acquisita in atti, a seguito di tale attività istruttoria, è risultato che:

-  dal 1999 il servizio di call center regionale (ReCUP) è stato affidato dalla Regione Lazio alla Società Cooperativa sociale integrata Capodarco, attraverso un contratto di affidamento a seguito di procedura ad evidenza pubblica (procedura avviata nel 1999 attraverso l’Azienda Farmasociosanitaria Capitolina FARMACAP e proseguita nel 2002 dalla stessa Regione);

- nel 2003 la Regione Lazio ha stipulato una convenzione con la società Laziomatica (poi Lait S.p.A., oggi Laziocrea S.p.a.) per la realizzazione, organizzazione e gestione del sistema informativo regionale (Reg. Cron n. 2692 del 4.3.2003, successivamente rinegoziata il 25.5.2006);

- nel 2005, la Regione Lazio ha affidato a Laziomatica S.p.A. l’organizzazione, il coordinamento e la gestione tecnologica del servizio di call center di prenotazioni delle prestazioni sanitarie (ReCUP) e ha ceduto alla società Laziomatica S.p.A. il contratto di affidamento stipulato con la Cooperativa Capodarco (D.G.R. n. 219/2005, determinazione del 21.4.2005, n. D1746);

-  nel 2006 la società Laziomatica è stata designata, per la suddetta attività, responsabile del trattamento (nomine in atti, cfr., in particolare, decreto Presidente Regione Lazio 7.8.2006, n. T04223). Successivamente, la Regione ha aggiornato i compiti e le responsabilità di Laziocrea, fornendo le istruzioni di cui all’art. 28 del Regolamento (DGR n. 797 del 29.11.2017, DGR n. 891 del 19 dicembre 2017);

- nel 2018 gli operatori di call center, dipendenti della predetta Cooperativa, sono stati designati dalla società Laziocrea quali incaricati del trattamento, ai sensi dell’art. 30 del Codice all’epoca vigente (nota 6.4.2018, prot n. 5380);

- la Società Capodarco, “affidataria fin dalla sua istituzione del servizio di call center della Regione Lazio per la prenotazione delle prestazioni sanitarie (ReCup)”, in relazione alla “moltitudine di trattamenti effettuati”, ha designato un responsabile della protezione dei dati e ha censito i trattamenti di dati personali, anche relativi alla salute, raccolti in occasione della predetta attività di call center nel Registro delle attività di trattamento (in atti);

- il 7 gennaio 2019 la Società Laziocrea, in qualità di responsabile del trattamento della Regione Lazio, in conformità all’art. 11, p. 4, del contratto quadro di servizi con la Regione (DGR n. 891/2017), ha fatto ricorso, ai sensi dell’art. 28 del Regolamento, alla Cooperativa Capodarco come responsabile del trattamento dei dati personali effettuato attraverso il servizio ReCUP (contratto del 7.1.2019, prot. n. 79 in atti, revisionato, da ultimo, nel maggio 2019).

In relazione alle risultanze della predetta attività istruttoria, l’Ufficio, con atto n. 21816 del 24 giugno 2019, ha notificato alla Società aCapo S.C.S.I., ex Capodarco società Cooperativa sociale integrata, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, paragrafo 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

In particolare l’Ufficio, nel predetto atto ha preliminarmente rappresentato che:

- il trattamento di dati personali effettuato dalla Società Cooperativa Capodarco attraverso l’erogazione del servizio di call center ReCUP è stato realizzato senza che il titolare (Regione Lazio), ovvero -a decorrere dalla data di piena applicazione del Regolamento- la società Laziocrea (già designata responsabile di tale trattamento dalla Regione Lazio) avessero fatto ricorso alla Cooperativa come responsabile del trattamento;

- la società Laziocrea, in qualità di responsabile del trattamento della Regione Lazio, in conformità all’art. 11, p. 4, del contratto quadro di servizi con la Regione del 2017, ha fatto ricorso alla Cooperativa Capodarco come responsabile del trattamento solo in data 7 gennaio 2019 (con successive modifiche trasmesse a questa Autorità il 2 maggio 2019);

- con specifico riferimento alla circostanza che nel 2008 la Società Cooperativa Capodarco sia stata designata responsabile del trattamento dalla Lait S.p.A. per i trattamenti di dati personali effettuati per la gestione ed erogazione del servizio di call center (sistema ReCUP), la predetta nomina è da ritenersi priva di effetti, in quanto, seppure la stessa risulta essere stata perfezionata dalla Lait S.p.A., in qualità di titolare, la titolarità di tale trattamento di dati personali, per espressa ammissione della Regione Lazio, è attribuibile esclusivamente alla Regione Lazio di cui la società Lait S.p.A. era stata designata responsabile (atto di designazione a responsabile della Cooperativa Capodarco da parte della Lait S.p.A. del 10.12.2008, prot. n. 12772; atto di designazione a responsabile della Lait S.p.A. da parte della Regione Lazio del decreto del 7.8.2006, n. T0423). Secondo quanto indicato nel predetto atto di designazione della Cooperativa Capodarco, infatti, “la titolarità dei trattamenti di dati effettuati nell’ambito del sistema ReCUP rimane attribuita alla Regione Lazio”;

- in merito all’avvenuta designazione -in data 6.4.2018- da parte della società Laziocrea S.p.A. del personale della Società Cooperativa Capodarco ad incaricato del trattamento (secondo la definizione vigente all’epoca dei fatti), tale adempimento deve ritenersi privo di effetti, in quanto, qualora il trattamento sia effettuato da persone fisiche che operano esclusivamente presso società esterne al titolare e al responsabile del trattamento, le stesse non possono essere designate quali incaricati del trattamento, poiché non sono soggette alla “diretta autorità” del titolare o del responsabile del trattamento (art. 30 del Codice, vigente all’epoca dei fatti).

Nel richiamato atto del 24 giugno 2019, l’Ufficio ha, quindi, ritenuto che, seppure la condotta oggetto dell’istruttoria da parte di questa Autorità sia iniziata prima della data di piena applicazione del Regolamento, al fine della determinazione della norma applicabile sotto il profilo temporale deve essere richiamato il principio di legalità di cui all’art. 1, comma 2, della legge n. 689 del 24/11/1981 che, nel prevedere come «Le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in esse considerati», asserisce la ricorrenza del principio del tempus regit actum. L’applicazione di tale principio determina l’obbligo di prendere in considerazione le disposizioni vigenti al momento della commessa violazione. Nel caso di specie, tale momento - considerando la natura permanente della condotta contestata - deve essere individuato nel momento di cessazione della condotta illecita, che dagli atti dell’istruttoria risulta essersi protratta almeno fino 7 gennaio 2019, ossia in epoca successiva al 25/5/2018, data in cui il Regolamento è divenuto pienamente applicabile.

Ciò premesso, sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, con il predetto atto del 24 giugno 2019, l’Ufficio ha reputato che la Società Coperativa Capodarco abbia effettuato un trattamento di dati personali anche sulla salute degli interessati nell’ambito del servizio di prenotazioni sanitarie ReCUP in violazione della disciplina in materia di protezione dei dati personali ed, in particolare, degli artt. 5, par. 2, lett. a), 6 e 9 del Regolamento.
Con nota del 24/7/2019 (prot. n. U5291) la Società Cooperativa ha fatto pervenire le proprie memorie difensive, in cui, in particolare, è stato rappresentato che:

- “la aCapo Cooperativa Sociale Integrata fornisce servizi di call center, fronte office e back office in favore, prevalentemente, del servizio sanitario pubblico regionale e nello specifico è stata affidataria, fin dalla sua istituzione, del servizio di call center della Regione Lazio per la prenotazione di prestazioni sanitarie (Recup)”;

- la “Cooperativa era stata nominata Responsabile esterno del trattamento dalla Lait s.p.a”;

- “in data 24 luglio 2018, è stata notificata l’aggiudicazione dell’appalto per la fornitura del servizio alla società GPI S.p.a. ed in data 19 luglio 2019 è cessata la fornitura del servizio da parte della aCapo”;

- “nello specifico, per i trattamenti relativi al contratto Recup, la Cooperativa si faceva promotrice di un processo di comunicazione con la stazione appaltante attuato attraverso una serie di incontri interlocutori con il Dirigente RUP del contratto”;

- “nel periodo di Amministrazione Giudiziaria, in data 15 dicembre 2016, (…) emergeva durante l’incontro che LazioCrea, a differenza della precedente società LAIT, “non aveva la titolarità dei dati della piattaforma Recup” (…), e pertanto era stata nominata dalla Regione Lazio come "Responsabile esterno al trattamento dei dati". Questa circostanza comportava, allo stato dell’allora normativa vigente in ambito privacy, che LazioCrea non poteva a sua volta nominare Capodarco come Responsabile esterno, tale incarico doveva essere affidato direttamente dalla Regione Lazio in qualità di Titolare. In quella sede LazioCrea prendeva in gestione il problema facendosi promotrice presso la Regione Lazio, per la soluzione. (…). Nel successivo incontro del 02 Febbraio 2017 (…) al primo punto all’ordine del giorno vi era: “la nomina di Capodarco da parte di soggetto da individuare (Regione Lazio o LAZIOcrea), come Responsabile Esterno al trattamento dei dati nell’ambito della gestione dei servizi erogati;” durante tale incontro LazioCrea informava la Cooperativa di aver avviato l’iter burocratico per far nominare Capodarco come Responsabile Esterno al trattamento dei dati Regionali dell’appalto Recup e che tale iter si preannunciava molto lungo in quanto la nomina andava sottoposta al vaglio del Consiglio Regionale e firmata dal Presidente della Regione Lazio”;

- “nel corso del 2017 (…), in più occasioni e mediante più interventi sia con la società LazioCrea che con la Regione Lazio la Cooperativa evidenziava la necessità di essere nominata Responsabile esterno per il trattamento dei dati”;

- “La Cooperativa aCapo (allora Capodarco), (…) nell’attesa della formalizzazione ha fatto tutto quanto possibile per attuare, nel ruolo de facto di Responsabile del trattamento, le misure di sicurezza a garanzia dei dati trattati ed assumendo una postura privacy volta al raggiungimento della piena compliance aziendale”;

- “Capodarco si comportava de facto come Responsabile del trattamento pur non avendo ricevuto formale nomina e si adoperava proattivamente affinché tale trattamento fosse espletato conformemente alla normativa vigente, mettendo in atto tutte le misure di sicurezza idonee emerse dall’analisi dei rischi (effettuata a proprie spese) e riguardanti l’ambito di trattamento di propria pertinenza”.

In data 15 gennaio 2020, presso l’Ufficio del Garante, ai sensi degli artt. 166, commi 6 e 7, del Codice 18, comma 1, dalla legge n. 689 del 24/11/1981 si è svolta l’audizione, nel corso della quale la Società Cooperativa ha ribadito quanto già precedentemente rappresentato, precisando, in particolar modo, di aver “provveduto tempestivamente, all’atto dell’affidamento del servizio ad altro soggetto, a restituire i dati personali trattati nell’ambito dell’attività di ReCup alla Società Lazio crea, su indicazione formale della Regione Lazio, e a cancellare le utenze di autenticazione degli operatori. Atteso un riscontro da parte del titolare relativo al buon esito della predetta operazione di restituzione, la Società ha provveduto, su indicazione del titolare, nel mese di ottobre del 2019, alla cancellazione dei predetti dati e delle ultime utenze di autenticazione” (documentazione relativa a tale operazione in atti).

2. Esito dell’attività istruttoria.

L’attività istruttoria in esame concerne il tema della fornitura del servizio di call center da parte di un soggetto esterno al titolare del trattamento, che comporta il trattamento dei dati personali anche sulla salute raccolti in occasione dell’offerta del servizio di prenotazione di prestazioni sanitarie. Al riguardo, si precisa che l’Autorità –con riferimento al quadro giuridico anteriore al Regolamento- ha evidenziato che le società che prestano servizi ad altri soggetti e che, quindi, trattano i dati personali degli utenti, devono essere designate responsabili del trattamento (artt. 4, comma 1, lett. a) e 29 del Codice; cfr., a titolo non esaustivo, Provvedimento del 15 giugno 2011, doc. web n. 1821257; Provvedimento del 16 febbraio 2006, doc. web n. 1242592; Provvedimento del 29 aprile 2009, doc. web n. 1617709; Provvedimento del 12 maggio 2011, doc. web n. 1813953- cfr. anche, con specifico riferimento ai centri unici di prenotazione, Relazione annuale 2016, pp. 61-62 – doc web n. 6458231).

Il Garante, anche con specifico riferimento ai trattamenti dei dati personali effettuati mediante l’utilizzo di call center siti in Paesi al di fuori della Unione europea, ha dettato delle specifiche prescrizioni in materia di call center, partendo dal presupposto che i soggetti che prestano in outsourcing tali servizi effettuano un trattamento di dati personali per conto del titolare, in relazione al quale devono essere designati da quest’ultimo quali responsabili del trattamento (provvedimento del 10 ottobre del 2013, doc. web n. 2724806).

Con specifico riferimento ai trattamenti di dati personali effettuati da soggetti di cui si avvale il titolare del trattamento, in un recente provvedimento, il Garante ha rappresentato che il titolare è il soggetto sul quale ricadono le decisioni circa le finalità e le modalità del trattamento dei dati personali degli interessati nonché una “responsabilità generale” sui trattamenti posti in essere (v. art. 5, par. 2 c.d. “accountability” e 24 del Regolamento), anche quando questi siano effettuati da altri soggetti “per suo conto” (cons. 81, artt. 4, punto 8) e 28 del Regolamento) (provvedimento del 17 settembre 2020, doc web n. 9461168).

Nel predetto provvedimento è stato precisato che il rapporto tra titolare e responsabile è regolato da un contratto o da altro atto giuridico, stipulato per iscritto che, oltre a vincolare reciprocamente le due figure, consente al titolare di impartire istruzioni al responsabile e prevede, in dettaglio, quale sia la materia disciplinata, la durata, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare. Il Responsabile del trattamento è, pertanto, legittimato a trattare i dati degli interessati “soltanto su istruzione documentata del titolare” (art. 28, par. 3, lett. a) del Regolamento).

Si evidenzia inoltre che, come recentemente evidenziato dal Comitato Europeo per la protezione dei dati, l’assenza di una chiara definizione del rapporto tra il titolare e il responsabile può sollevare il problema della mancanza di base giuridica su cui ogni trattamento dovrebbe basarsi, ad esempio, per quanto riguarda la comunicazione dei dati tra il titolare e il presunto responsabile (Guidelines 07/2020 on the concepts of controller and processor in the GDPR -Version 1.0- Adopted on 02 September 2020, punto 101, nota 35).

Dalla documentazione in atti e, in particolare secondo quanto dichiarato dalla predetta Società Cooperativa, emerge che la stessa ha effettuato il trattamento dei dati sulla salute, attraverso il servizio Recup della Regione Lazio. senza che il proprio ruolo nel trattamento dei dati, per conto della Regione, fosse disciplinato ai sensi dell’art. 28 del Regolamento. Non essendo stata individuata come responsabile del trattamento, in assenza della prescritta “istruzione documentata” da parte del titolare (art. 28, par. 3, lett. a) del Regolamento), e in assenza di ulteriori specifici presupposti che abbiano legittimato il trattamento dei dati personali, anche relativi alla salute, dei soggetti che nel tempo hanno usufruito del servizio Recup regionale, si deve concludere che la Società Cooperativa abbia effettuato il predetto trattamento in assenza delle condizioni di liceità previste dal Regolamento e dal Codice. In particolare, si osserva che:

1. dal 1999 al gennaio 2019, la società aCapo S.C.S.I., ex Capodarco società Cooperativa sociale integrata ha effettuato il trattamento di dati personali, attraverso l’erogazione del servizio di call center ReCUP, in assenza di una idonea base giuridica non essendo stata designata responsabile del trattamento da parte della Regione Lazio, titolare dello stesso. La predetta designazione è stata infatti effettuata dalla società Laziocrea, in qualità di responsabile del trattamento della Regione Lazio, in conformità all’art. 11, p. 4, del contratto quadro di servizi con la Regione del 2017, solo in data 7 gennaio 2019 (con successive modifiche trasmesse a questa Autorità il 2 maggio 2019);

2. la designazione a responsabile del trattamento della Cooperativa Capodarco per i trattamenti di dati personali relativi alla gestione ed erogazione del servizio di call center (sistema ReCUP) effettuata nel 2008 dalla Lait S.p.A., è da ritenersi priva di effetti, in quanto, seppure la stessa risulta essere stata perfezionata dalla Lait S.p.A., in qualità di titolare, è stato accertato che la titolarità di tale trattamento di dati personali è attribuibile esclusivamente alla Regione Lazio di cui la società Lait S.p.A. era stata designata responsabile (atto di designazione a responsabile della Cooperativa Capodarco da parte della Lait S.p.A. del 10.12.2008, prot. n. 12772; atto di designazione a responsabile della Lait S.p.A. da parte della Regione Lazio del decreto del 7.8.2006, n. T0423). Secondo quanto indicato nel predetto atto di designazione della Società Cooperativa Capodarco, infatti, “la titolarità dei trattamenti di dati effettuati nell’ambito del sistema ReCUP rimane attribuita alla Regione Lazio”. Ciò stante, ai sensi della normativa all’epoca vigente, solamente la Regione Lazio, in qualità di titolare del trattamento, poteva designare la Società Cooperativa Capodarco responsabile del trattamento, affidando ad esso compiti specifici che dovevano essere analiticamente indicati per iscritto (art.29 del Codice all’epoca vigente);

3. l’avvenuta designazione -in data 6.4.2018- da parte della società Laziocrea S.p.A. del personale della Cooperativa Capodarco ad incaricato del trattamento (secondo la definizione vigente all’epoca dei fatti), è da ritenersi priva di effetti, in quanto, non è possibile designare le persone fisiche che operano esclusivamente presso società esterne al titolare e al responsabile del trattamento quali incaricati del trattamento, poiché le stesse non sono soggette alla “diretta autorità” del titolare o del responsabile del trattamento (art. 30 del Codice, all’epoca vigente).

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare e dai responsabili del trattamento nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni si rileva l’illiceità del trattamento di dati personali effettuato dalla Società aCapo S.C.S.I., ex Capodarco società Cooperativa sociale integrata, nei termini di cui in motivazione, per violazione degli gli artt. 5, par. 1, lett. a), 6 e 9, del Regolamento.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che la Regione Lazio ha dichiarato che è stata effettuata la designazione a responsabile del trattamento del nuovo operatore che gestisce il servizio prenotazione delle prestazioni sanitarie e che la Società aCapo S.C.S.I., ex Capodarco società Cooperativa sociale integrata ha provveduto, all’atto dell’affidamento del servizio ad altro soggetto, a restituire i dati personali trattati nell’ambito dell’attività di ReCup alla Società Lazio crea e a cancellare le utenze di autenticazione degli operatori non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

Ciò premesso, tenuto conto che:

- la Società aCapo S.C.S.I., ex Capodarco società Cooperativa sociale integrata, ha più volte rappresentato al titolare del trattamento la necessità di essere nominata Responsabile per il trattamento dei dati effettuati attraverso il servizio Recup e che, nell’attesa della formalizzazione di tale designazione, ha messo in atto misure tecniche e organizzative al fine conformare, per quanto possibile, il trattamento dei dati effettuato alla disciplina sulla protezione dei dati personali (istituendo ad esempio il registro dei trattamenti, anche con riferimento a quelli effettuati attraverso il servizio Recup);

- l’Autorità è venuta a conoscenza della mancata designazione della Cooperativa Capodarco a responsabile del trattamento nell’ambito di un’attività istruttoria relativa ai trattamenti effettuati attraverso il portale “Salute Lazio” dalla Regione Lazio e non sono stati denunciati furti, perdite di dati o trattamenti illeciti da parte di dei diversi soggetti coinvolti nel trattamento dei dati (art. 83, par. 2, lett. a) e h) del Regolamento);

le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi del considerando 148 del Regolamento e delle Linee guida WP 253, riguardanti l’applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del Regolamento (UE) n. 2016/679.

Si ritiene, pertanto, relativamente al caso in esame, che sia sufficiente ammonire il titolare del trattamento ai sensi degli artt. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, affinché provveda a rispettare le previsioni del Regolamento contenute negli artt. 5 par. 1, lett. a), 6 e 9 del Regolamento e che, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, non vi siano i presupposti per l’adozione di ulteriori provvedimenti correttivi da parte dell’Autorità, ai sensi dell’art. 58, par. 2, del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell’art. 57, par. 1, lett. a) del Regolamento, dichiara l’illiceità del trattamento dei dati personali effettuato dalla Società aCapo S.C.S.I., ex Capodarco società Cooperativa sociale integrata con sede legale in Roma, Via Cristoforo Colombo n. 436– C.F./P.IVA 01030041006, per la violazione dei principi di base del trattamento, di cui agli artt. 5, par. 2, lett. a), 6 e 9 del Regolamento, nei termini di cui in motivazione;

b) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce la predetta Società aCapo S.C.S.I., ex Capodarco società Cooperativa sociale integrata per aver violato gli artt. 5, par. 2, lett. a), 6 e 9 del Regolamento, come sopra descritto;

c) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni, se il ricorrente risiede all’estero.

Roma, 14 gennaio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei