g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Istituto Professionale per i servizi commerciali e turistici “G. Ravizza” di Novara - 24 giugno 2021 [9688099]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9688099]

Ordinanza ingiunzione nei confronti di Istituto Professionale per i servizi commerciali e turistici “G. Ravizza” di Novara - 24 giugno 2021

Registro dei provvedimenti
n. 255 del 24 giugno 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Introduzione.

Con reclamo del XX, presentato ai sensi dell’art. 77 del Regolamento, è stata lamentata la pubblicazione di alcuni documenti, nella sezione “Amministrazione trasparente” del sito web dell’Istituto Professionale per i servizi commerciali e turistici “G. Ravizza” di Novara (di seguito “Istituto”), presso cui la reclamante, al tempo della presentazione del reclamo, svolgeva il ruolo di XX, contenenti dati personali della reclamante e dei suoi familiari, tra cui anche informazioni relative allo stato di salute del XX. In particolare è stato rappresentato che la reclamante, XX, “come da prassi [aveva] inserito la domanda con la relativa documentazione sul portale interno “Regel” […]. Da una ricerca su Internet, inserendo il proprio nome veniva visualizzato un link sul motore di ricerca Google e aprendo il link ipsravizza.edu.it/... si visualizzavano tutti i documenti originali.

A seguito di richiesta di cancellazione dei documenti dal sito, l’Istituto provvedeva a rimuovere la documentazione “dopo circa cinque giorni” dalla richiesta stessa. Infatti, dopo la segnalazione al Direttore dei Servizi Generali ed Amministrativi dell’Istituto, che “verificava la fondatezza del reclamo e che tutti i documenti erano stati immessi in rete e visibili a tutti” la reclamante veniva contattata “dalla dirigente [dell’Istituto], che […] assicurava che la situazione era stata ripristinata”.

2. L’attività istruttoria.

Con nota del XX (prot. n. XX), l’Istituto, in risposta a una richiesta di informazioni formulata dall’Ufficio, ha dichiarato, in particolare, che:

- la documentazione “contenente dati personali, anche di carattere sanitario riferibili al XX è stata pubblicata nella sezione Amministrazione Trasparente del sito di codesto Istituto, in data XX”;
-    “per mero errore” […] l’Assistente Amministrativa, nello svolgimento dei compiti di sua spettanza, ha erroneamente attivato la spunta che rendeva visibili i documenti in oggetto”;

- “a seguito della segnalazione fatta dagli stessi interessati, in data XX, codesto Istituto […] ha provveduto immediatamente ad eliminare […] i dati personali erroneamente diffusi, provvedendo inoltre alla rimozione dai motori di ricerca di tutti i riferimenti che rimandassero ai contenuti online […]. Il file è stato rimosso dal server Regel- Amministrazione trasparente- eliminando la spunta che lo rendeva visibile”;

- “codesto Istituto ha informato gli interessati della predetta cancellazione e ha provveduto “entro i termini dell’art.33 del GDPR, in data XX, a notificare [al Garante] la violazione tramite PEC documentandola nel registro delle violazioni”.

Con nota dell’XX (prot. n.XX), sulla base degli elementi acquisiti, anche attraverso la documentazione inviata, e i fatti emersi nel corso dell’attività istruttoria, l’Ufficio ha notificato all’Istituto, in qualità di titolare del trattamento, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto le presunte violazioni degli artt. 6, par. 1, lett. c) ed e) e parr. 2 e 3 lett. b), 9 e 5, par. 1, lett. a) e c), del Regolamento, nonché degli artt. 2-ter, commi 1 e 3 e 2-septies, comma 8 del Codice, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7 del Codice, nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).

L’istituto ha fatto pervenire le proprie memorie difensive, con nota del XX (prot. n.XX), rappresentando, in particolare, che:

- “la violazione accertata si è protratta per un periodo […] limitato (pubblicazione dei dati sull'albo pretorio dell'Istituto per un mese circa) ed a seguito alla segnalazione fatta dagli stessi interessati l'Istituto scolastico ha provveduto immediatamente ad eliminare dal proprio sito la documentazione contenente i dati personali erroneamente diffusi, provvedendo, inoltre, alla rimozione dai motori di ricerca di tutti i riferimenti che rimandassero ai contenuti online in questione. Il file è stato rimosso immediatamente dal server Regel — Amministrazione trasparente - eliminando la spunta che lo rendeva visibile”;

- “il numero di interessati coinvolti è estremamente limitato (3 persone) […e] la pubblicazione dei dati per cui è stata accertata la violazione in oggetto è avvenuta per mero errore, dovendosi escludere totalmente qualsiasi intento doloso o colposo”;

- è stata effettuata la “tempestiva rimozione dal proprio sito della documentazione contenente i dati personali erroneamente diffusi […e la] rimozione dai motori di ricerca di tutti i riferimenti che rimandassero ai contenuti online in questione; [sono stati contattati] gli interessati per aggiornamenti circa lo stato delle misure adottate per attenuare le conseguenze della violazione”;

- “l’istituto, con particolare riferimento alle misure di tipo organizzativo, [rappresenta che] è stato definito un organigramma privacy. Tutto il personale è stato designato autorizzato al trattamento dei dati personali e ha ricevuto le istruzioni su come trattare i dati; la scuola ha inoltre provveduto a nominare il responsabile della protezione dei dati. Il personale è stato formato in merito agli adempimenti da porre in essere per proteggere i dati dei propri interessati. È stata adottata una politica sulla protezione dei dati e redatto il registro delle attività di trattamento in cui vengono definiti i trattamenti posti in essere dalla scuola. L'Istituto si è dotato di una procedura per la gestione data breach e la predisposizione di registro delle violazioni”;

- “l'Istituto ha provveduto, entro i termini previsti dal comma 1 dell'art. 33 del GDPR, in data XX a notificare all'Autorità Garante la violazione in oggetto tramite PEC documentandola, in aggiunta, sul Registro delle Violazioni. A seguito della richiesta di informazioni da parte dell'Autorità Garante, l'Istituto, […] ha cooperato con codesta Autorità rappresentando quanto accaduto nella maniera più trasparente possibile ed ammettendo l'errore alla base della violazione dati accertata”.

3. Esito dell’attività istruttoria.

3.1 Il quadro normativo.

La disciplina di protezione dei dati personali prevede che i soggetti pubblici, anche qualora operino nello svolgimento dei propri compiti di datori di lavoro, possono trattare i dati personali dei lavoratori, anche relativi a categorie particolari di dati - tra i quali sono ricompresi anche i “dati relativi alla salute” (cfr. art. 9, par. 1, del Regolamento) - se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti dalle norme nazionali di settore (artt. 6, par. 1, lett. c) ed e); 9, par. 2, lett. b) e par. 4; 88 del Regolamento).

La disciplina nazionale ha introdotto, inoltre, disposizioni più specifiche per adeguare l’applicazione delle norme del Regolamento, determinando, con maggiore precisione, requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto (art. 6, par. 2, del Regolamento) e, in tale ambito, ha previsto che le operazioni di trattamento, e tra queste la “diffusione” di dati personali, sono ammesse solo quando previste da una norma di legge o, nei casi previsti dalla legge, di regolamento (art. 2-ter, commi 1 e 3, del Codice).

In ogni caso, i “dati relativi alla salute”, ossia quelli “attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, n. 15, del Regolamento), per effetto delle maggiori garanzie che il Regolamento e il Codice riconoscono in ragione della particolare delicatezza di tale categoria di dati, “non possono essere diffusi” (art. 2-septies, comma 8, del Codice e art. 9, par. 4, del Regolamento).

Il titolare del trattamento è tenuto, inoltre, a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c), del Regolamento).

3.2  Diffusione dei dati personali

In tale quadro, si osserva che, sebbene l’Istituto, dopo la segnalazione da parte dell’interessata, abbia immediatamente provveduto ad eliminare  i dati personali della reclamante e dei suoi familiari diffusi erroneamente, tale pubblicazione è avvenuta, in ogni caso, in assenza di un’idonea base giuridica (ovvero in assenza di una espressa norma di legge o, nei casi previsti dalla legge, di regolamento) e, con riferimento a dati personali particolari, tra cui i dati relativi allo stato di salute del XX della reclamante, in violazione del divieto di diffusione previsto dall’art. 2-septies, comma 8, del Codice.

Non rileva, al fine della esclusione della condotta lesiva, seppure l’istituto abbia riconosciuto sin da subito l’errore commesso, aver posto in essere tutti i comportamenti previsti da quanto disciplinato dal Regolamento, notificando immediatamente ai sensi dell’art. 33 la violazione e cooperando in maniera trasparente con la stessa Autorità. Tali circostanze sono tenute in considerazione al fine dell’ammontare della sanzione.

Tanto premesso, alla luce delle considerazioni che precedono, il trattamento risulta essere avvenuto in violazione degli artt. 5, par. 1, lett. a) e c), 6 e 9 del Regolamento e degli artt. 2-ter e 2-septies, comma 8, del Codice.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento negli scritti difensivi ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice – seppur meritevoli di considerazione non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si rappresenta, altresì, che la violazione oggetto da parte dell’Istituto, è avvenuta nella piena vigenza delle disposizioni del Regolamento, e che, dunque, al fine della determinazione del quadro normativo applicabile sotto il profilo temporale (art. 1, comma 2, della l. 24 novembre 1981, n. 689), queste costituiscono le disposizioni vigenti al momento della commessa violazione, che nel caso di specie è avvenuta dal XX fino al XX, data in cui il Regolamento era pienamente efficace.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Istituto Professionale per i servizi commerciali e turistici “G. Ravizza” di Novara, per aver diffuso dati personali della reclamante riguardanti anche dati relativi alla salute XX. Tale documentazione è stata pubblicata sul sito dal XX fino al XX, giorno in cui è stata rimossa a seguito di segnalazione da parte degli interessati.

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che la pubblicazione della documentazione, contenente i dati della reclamante e dei propri familiari, sul sito web dell’Istituto è cessata, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

5.  Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

In relazione ai predetti elementi è stato considerato che la rilevata condotta, tenuta in violazione della disciplina in materia di protezione dei dati personali, ha avuto a oggetto la diffusione di dati personali, anche alla luce delle indicazioni che, sin dal 2014, il Garante, ha fornito a tutti i soggetti pubblici nelle “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” sopra citate. Tale diffusione di dati personali si è protratta per circa un mese

Di contro, si è tenuto favorevolmente atto che l’Istituto si è attivato immediatamente per rimuovere la documentazione erroneamente pubblicata, per cui l’ostensione si è protratta per un esiguo lasso temporale, e ha collaborato sin da subito con questa Autorità ammettendo l’errore commesso e che non risultano precedenti violazioni pertinenti compiute dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 2.000,00 (duemila) per la violazione degli artt. 5, paragrafo 1, lett. a) e c), 6, paragrafo 1, lett. c) ed e) e 2 e 3, lett. b) e 9 par.4 del Regolamento, nonché degli artt. 2-ter, commi 1 e 3  e 2-septies par.8 del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, paragrafo 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Tenuto conto del periodo di tempo durante il quale i predetti dati sono stati reperibili in rete, si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecita la condotta tenuta dall’Istituto Professionale per i servizi commerciali e turistici “G. Ravizza” di Novara, descritta nei termini di cui in motivazione, consistente nella violazione degli artt. 5, 6 e 9 del Regolamento e degli artt. 2-ter e 2-septies del Codice, nei termini di cui in motivazione;

ORDINA

All’Istituto Professionale per i servizi commerciali e turistici “G. Ravizza” di Novara, in persona del legale rappresentante pro-tempore, con sede legale B.do M. D’Azeglio, 3 – 28100 Novara, C.F. 80015680038, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 5, del Regolamento e 166, comma 2, del Codice, di pagare la somma di euro 2.000,00 (duemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione;

INGIUNGE

al predetto Istituto di pagare la somma di euro 2.000,00 (duemila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981. Al riguardo, si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro 30 giorni dalla data della notifica del presente provvedimento, ai sensi dell’art. 166, comma 8, del Codice (cfr. anche art. 10, comma 3, del d.lgs. n. 150 dell’1/9/2011);

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione del presente provvedimento sul sito web del Garante, ritenendo che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 24 giugno 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei