[doc. web n. 9994597]

Provvedimento dell'8 febbraio 2024

Registro dei provvedimenti
n. 61 dell'8 febbraio 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal vice segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore l'avv. Guido Scorza;

PREMESSO

1. Introduzione.

Con reclamo presentato ai sensi dell’art. 77 del Regolamento, la Sig.ra XX, dipendente dell’Agenzia territoriale della Regione Puglia per il servizio di gestione dei rifiuti (AGER – di seguito, l’“Agenzia”), ha lamentato la circostanza che “in data […] XX [le è stata] notificata a mezzo email dal mittente protocollo@pec.ager.puglia.it [....] sulla [propria] casella di posta [istituzionale], la scheda di valutazione per l’anno 2019” e che tale nota in uscita sarebbe stata acquisita al protocollo dell’Agenzia con modalità inidonee ad assicurare la riservatezza dei dati personali in essa contenuti, essendo la stessa “visibile a tutti gli utenti abilitati”.

L’interessata ha, altresì, rappresentato di “non [aver] avuto indicazione alcuna e/o confronto [con il Responsabile della protezione dei dati (RPD) designato dall’Agenzia], in relazione alle modalità di trattamento dei dati quanto meno relativa alla propria sfera di attività”, conoscendo unicamente gli estremi dell’atto di conferimento dell’incarico allo stesso.

2. L’attività istruttoria.

Con nota prot. n. XX del XX, reiterata con nota prot. n. XX del XX, l’Autorità ha rivolto all’Agenzia una richiesta d’informazioni ai sensi dell’art. 157 del Codice.
Con nota prot. n. XX del XX, l’Agenzia ha fornito riscontro alla predetta richiesta, dichiarando, in particolare, che:

“per mero errore materiale la scheda di valutazione non è stata protocollata in modo riservato, ma accessibile a tutte le persone autorizzate ad accedere al protocollo”;

“l’AGER è ente di nuova costituzione, avvenuta con LR numero 20 del 2016 con la nomina di un commissario ad acta in carica fino a settembre 2018. Nella fase di start-up dell’ente, […] il primo personale dipendente individuato è arrivato nel febbraio 2019, tramite mobilità e l’AGER ha fatto fronte all’avvio delle attività istituzionali con personale a contratto parasubordinato o consulenza. Per garantire il funzionamento della struttura, accedevano al protocollo anche i collaboratori ([…] e la stessa [reclamante]), ma non c’era nessun motivo per cui altri utenti dovessero accedere al file, e come è possibile verificare dai log di sistema […] hanno fatto accesso al file solo le persone interessate dal procedimento (operatore che ha inviato, e la stessa [reclamante]) e quindi nessun altro è venuto a conoscenza del contenuto del protocollo in oggetto”;

“successivamente all’evento soltanto quattro persone […] dell’ufficio protocollo sono state autorizzate ad accedere al sistema. A partire dal 2021 le unità si sono ridotte a tre […]”;

“il sistema adotta alti livelli di sicurezza, in quanto accessibile solo da uno specifico indirizzo IP, e ogni comunicazione riguardante il personale, spuntando la casella “riservato”, diventa automaticamente inaccessibile se non in possesso della password”;

“ogni volta che viene generato un protocollo riservato, per potervi accedere o per poterlo inviare, è necessaria la generazione di una password univoca utile ad aprire solo ed esclusivamente il file protocollato […]”;

“[…] nessun operatore del protocollo è in grado di acquisire o generare [la] suddetta password [, essendo necessario fare] richiesta all’ufficio IT a supporto della direzione generale la quale in base alla richiesta pervenuta via mail dall’ufficio protocollo procede, a seguito della verifica del Direttore Generale, a generare la password di accesso al protocollo per permetterne l’eventuale invio”;

“[la] nomina del [RPD è stata effettuata con] DD. n. XX del XX [con] oggetto “XX […]” e [con] DD. n. XX del XX [di rinnovo dell’incarico]”;

“i dati di contatto [del RPD] sono stati pubblicati in data XX, con la contestuale pubblicazione del nuovo sito internet”;

“per errore materiale non è stata fatta la comunicazione del [RPD] al Garante e si è provveduto il giorno XX con nota prot. n. XX”.
Con nota del XX (prot. n. XX), l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato all’Agenzia, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, per:

l’omessa designazione del RPD nel periodo intercorrente tra il 25 maggio 2018, data in cui il Regolamento è diventato efficace, e il XX, data in cui è stato designato il RPD, in violazione dell’art. 37, par. 1, lett. a), del Regolamento;

l’omessa informazione in merito ai dati di contatto del RPD, in violazione degli artt. 13, par. 1, lett. b), e 37, par. 7, del Regolamento;

l’omessa comunicazione all’Autorità dei dati di contatto del RPD, in violazione dell’art. 37, par. 7, del Regolamento.
Con la medesima nota, il predetto titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).

Con nota del XX (prot. n. XX), l’Agenzia ha presentato una memoria difensiva, dichiarando, in particolare, che:

“l’ente[,] avviato dopo la prima fase commissariale nel 2018[,] non ha potuto contare su alcuna unità di personale dipendente, [in quanto] le attività venivano condotte facendo leva su rapporti di natura professionale”;

“solo dal febbraio 2019 venivano coperte due posizioni con altrettante unità di personale provenienti da procedura di mobilità volontaria”;

“[soltanto nell’] ottobre 2019 con successivi Decreti 90/91/92/93/94/95 l’Agenzia provvedeva a bandire procedure di selezioni pubbliche per titoli e colloqui per la copertura di 10 posti a tempo determinato”;

“le procedure avviate sono state poi sospese a causa dell’emergenza COVID-19. Solo nel XX tali procedure sono state perfezionate ed hanno consentito all’ente di dotarsi di personale proprio (seppur in larghissima parte a tempo determinato) nel numero totale di 6 unità (comprensive di quelle acquisite tramite procedura di mobilità)”;

“pertanto occorre sottolineare come tale periodo vada considerato come vero e proprio start-up dell’ente, di fatto privo per lungo tempo di una stabile ed organica struttura organizzativa, aggravato da tutte le criticità che la concomitanza dell’emergenza sanitaria ha comportato”;

“non vi è stato alcun accesso non autorizzato ai dati personali oggetto della presente procedura […, come emerge dai] “log” di accesso” prodotti in atti;

“[…] la dipendente interessata in nessuna maniera ha fatto presente la circostanza della mancata apposizione del protocollo “riservato” invece di quello “ordinario” permettendo così ai colleghi di inibire l’accesso al documento”;

“[…] la mancata apposizione del protocollo “riservato” invece di quello “ordinario” è ascrivibile ad una mera dimenticanza dell’operatore di protocollo”.
In occasione dell’audizione, richiesta ai sensi dell’art. 166, comma 6, del Codice e tenutasi in data XX (v. verbale prot. n. XX del XX), l’Agenzia ha dichiarato, in particolare, che:

“l’Ente ha vissuto un periodo molto complesso per dotarsi di una struttura organizzativa interna; a fronte della sua costituzione nel 2018, soltanto nel 2019 sono arrivate le prime due unità con procedure di mobilità. Nello stesso anno sono arrivati dei collaboratori e solo nel 2020 sono stati sottoscritti i primi contratti a tempo determinato”;

“tale processo di organizzazione interna è stato ulteriormente complicato dalla pandemia da SARS-CoV-2”;

“la mancata designazione del RPD e la non tempestiva pubblicazione e comunicazione dei dati di contatto dello stesso, non è dipesa dalla volontà dell’Ente, che, nel primo periodo della sua storia, ha dovuto fronteggiare una situazione emergenziale e di scarsità di risorse”;

“fino al XX l’Agenzia ha utilizzato il sito web della Regione Puglia, che non consentiva di inserire puntuali informazioni relative all’Ente; successivamente, una volta diventata autonoma, l’Agenzia ha potuto pubblicare online tutte le informazioni richieste dalla legge”;

“l’Agenzia ha provveduto a pubblicare i dati di contatto [del] RPD sul proprio sito web istituzionale e ha modificato tutte le proprie informative sul trattamento dei dati, incluse quelle destinate ai lavoratori, indicando i dati di contatto del RPD”;

“in ogni caso i dipendenti erano stati già informati della nomina dell’RPD e dei dati di contatto dello stesso”.

3. Esito dell’attività istruttoria.

3.1 L’accessibilità ai dati personali contenuti in una scheda di valutazione.

La reclamante ha lamentato la circostanza che soggetti non autorizzati avrebbero avuto accesso alla propria scheda di valutazione, relativa all’anno 2019.

Al riguardo, l’Agenzia, con assunzione di responsabilità anche ai sensi dell’art. 168 del Codice, ha dichiarato – producendo anche evidenze estratte dai propri sistemi informatici (file di log) - che, sebbene tale scheda di valutazione fosse stata erroneamente protocollata in modalità ordinaria e non riservata, nessun soggetto non autorizzato ha avuto accesso alla stessa ed è venuto a conoscenza dei dati personali della reclamante, non essendosi, pertanto, configurata alcuna comunicazione illecita di dati personali a terzi. Tuttavia, tale circostanza non sottrae l’Agenzia dalla responsabilità di adottare, quale titolare del trattamento, le misure organizzative e tecniche idonee ad impedire l’accessibilità da parte di soggetti non autorizzati ai dati in questione.

3.2 Il ritardo nella designazione del RPD.

Ai sensi dell’art. 37, par. 1, lett. a), del Regolamento, “il titolare del trattamento […] designa […] sistematicamente un responsabile della protezione dei dati ogniqualvolta […] il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico […]”.

All’esito dell’istruttoria, è emerso che l’Agenzia ha provveduto a designare il proprio RPD con determina n. XX del XX, acquisita agli atti.

Risulta, pertanto, accertato che nel periodo intercorrente tra il 25 maggio 2018, data in cui il Regolamento è diventato efficace, e il XX, data di adozione di detta determina, l’Agenzia non ha designato un RPD, in violazione dell’art. 37, par. 1, lett. a), del Regolamento.

3.3 L’omessa informazione in merito ai dati di contatto del RPD.

Ai sensi dell’art. 37, par. 7, del Regolamento, “il titolare del trattamento o il responsabile del trattamento pubblica i dati di contatto del responsabile della protezione dei dati […]”.

Nel corso dell’istruttoria, l’Agenzia ha dichiarato che “i dati di contatto [del RPD] sono stati pubblicati in data XX, con la contestuale pubblicazione del nuovo sito internet”.

Risulta, pertanto, accertato che nel periodo intercorrente tra il XX, data in cui è stato designato il RPD, e il XX, l’Agenzia ha omesso di pubblicare i dati di contatto del RPD.

Al riguardo, si rileva, altresì, che l’Agenzia non ha comprovato di aver messo a disposizione, con altre modalità, i dati di contatto del RPD, ad esempio nell’ambito dell’informativa sul trattamento dei dati personali ai sensi dell’art. 13, par. 1, lett. b), del Regolamento (sul punto, cfr. le “Linee guida sui responsabili della protezione dei dati”, nella versione adottata dal Comitato europeo per la protezione dei dati il 5 aprile 2017, par. 2.6).

Soltanto a seguito dell’audizione del XX, a fronte di un’espressa riserva formulata in tale sede, l’Agenzia, con nota prot. n. XX del XX, ha depositato in atti il testo di un avviso, con il quale i dipendenti sarebbero stati resi edotti dei dati di contatto del RPD, nonché copie di due informative sul trattamento dei dati personali, riportanti, tra le altre cose, l’indirizzo di posta elettronica a cui è possibile contattare il RPD. Si tratta, tuttavia, di meri documenti di testo, privi di collocazione temporale certa, che non possono essere ritenuti sufficienti a comprovare l’assolvimento degli obblighi previsti dal Regolamento. Peraltro, nel produrre in atti tali documenti, l’Agenzia non ha chiarito la tempistica e le modalità con cui tali documenti sarebbero stati portati a conoscenza degli interessati.

L’Agenzia ha, pertanto, agito in violazione degli artt. 13, par. 1, lett. b), e 37, par. 7, del Regolamento.

3.4 L’omessa comunicazione all’Autorità dei dati di contatto del RPD.

L’Agenzia ha dichiarato che “per errore materiale non è stata fatta la comunicazione del [RPD] al Garante e si è provveduto il giorno XX con nota prot. n. XX”.

Anche a tal riguardo, occorre evidenziare preliminarmente che, sempre ai sensi dell’art. 37, par. 7, del Regolamento, “il titolare del trattamento o il responsabile del trattamento […] comunica [i dati di contatto del RPD] all'autorità di controllo”.

Risulta, dunque, altresì, accertato che nel periodo intercorrente tra il XX, data in cui è stato designato il RPD, e il XX, l’Agenzia ha omesso di comunicare all’Autorità i dati di contatto del RPD.

L’omessa comunicazione degli stessi all’Autorità, nei periodi sopra indicati, configura una violazione dell’art. 37, par. 7, del Regolamento.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Agenzia, per non aver tempestivamente designato il RPD, informato gli interessati dei dati di contatto dello stesso e comunicato i medesimi dati all’autorità di controllo, in violazione degli artt. 13, par. 1, lett. b), e 37, parr. 1, lett. a), e 7 del Regolamento.

Tenuto conto che la violazione delle predette disposizioni ha avuto luogo in conseguenza di un’unica condotta, trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, la violazione più grave è soggetta alla sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che l’Agenzia ha dichiarato di aver provveduto ai pertinenti adempimenti relativi alla figura del RPD, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Con specifico riguardo alla natura e alla gravità della violazione (art. 83, par. 2, lett. a), del Regolamento), occorre considerare che l’intempestiva designazione del RPD e l’omessa informazione – sia agli interessati sia all’Autorità - in merito ai dati di contatto dello stesso può pregiudicare in maniera considerevole il corretto assolvimento da parte del titolare del trattamento degli obblighi derivanti dalla normativa in materia di protezione dei dati, nonché la possibilità per gli interessati di far valere i propri diritti presso il titolare e per l’Autorità di interfacciarsi in maniera efficace con lo stesso.

Alla luce di tali circostanze, si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023, punto 60).

Ciò premesso, si ritiene che, ai fini della quantificazione della sanzione, debbano essere prese in considerazione le seguenti circostanze attenuanti:

a seguito dell’avvio dell’istruttoria da parte dell’Autorità, l’Agenzia si è attivata per rimediare alle violazioni contestate (art. 83, par. 2, lett. f), del Regolamento);

non risultano precedenti violazioni pertinenti commesse dall’Agenzia (art. 83, par. 2, lett. i), del Regolamento);

le violazioni sono dipese anche dalla peculiare situazione organizzativa e gestionale in cui si è trovato l’Ente fin dalla sua costituzione nel 2018 (nomina di un commissario ad acta fino a settembre 2018; attribuzione di personale dipendente soltanto a partire da febbraio 2019, prima con due unità e poi con sei unità a tempo indeterminato tra il 2020 e il 2021), ulteriormente complicatasi nel periodo dell’emergenza pandemica da Sars-CoV-2 (art. 83, par. 2, lett. k), del Regolamento);

sino al XX le informazioni relative all’Agenzia venivano pubblicate sul sito web istituzionale della Regione Pubblica, non disponendo l’Agenzia di un proprio sito (art. 83, par. 2, lett. k), del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 6.000 (seimila) per la violazione degli artt. 13, par. 1, lett. b), e 37, parr. 1, lett. a), e 7 del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Tenuto conto che la designazione del RPD è stata effettuata con notevole ritardo, ovvero dopo circa tre anni dalla data di efficacia del Regolamento, si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecita la condotta tenuta dall’Agenzia, descritta nei termini di cui in motivazione, consistente nella violazione degli artt. 13, par. 1, lett. b), e 37, parr. 1, lett. a), e 7 del Regolamento;

ORDINA

all’Agenzia territoriale della Regione Puglia per il servizio di gestione dei rifiuti (AGER), con sede legale in Via delle Magnolie 6/8 - 70026 Modugno (BA), C.F. 93473040728, di pagare la somma di euro 6.000 (seimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Agenzia, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 6.000 (seimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione del presente provvedimento sul sito web del Garante, ritenendo che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 8 febbraio 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL VICE SEGRETARIO GENERALE
Filippi