Con provvediemnto in data 11 luglio 2018 (Registro dei provvedimenti n. 418 dell'11 luglio 2018) il Garante ha adottato una Ordinanza ingiunzione nei confronti del Comune di Volla, in persona del legale rappresentante pro-tempore, con sede in Volla (NA), via Aldo Moro n. 1, C.F. 01223110634, di pagare la somma di euro 10.000 (diecimila) a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione;
Continua a leggere
Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla presenza del dott. XXX, presidente, della dott.ssa XXX, vicepresidente, della dott.ssa XXX e della prof.ssa XXX, componenti e del dott. XXX, segretario generale;
VISTO l’art. 1, comma 2, della legge 24 novembre 1981, n. 689, ai sensi del quale le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e per i tempi in esse considerati;
RILEVATO che l’Ufficio, con atto n. 9593/114802 del 28 marzo 2018 (notificato in pari data mediante posta elettronica certificata), che qui deve intendersi integralmente riportato, ha contestato al Comune di Volla, in persona del legale rappresentante pro-tempore, con sede in Volla (NA), via Aldo Moro n. 1, C.F. 01223110634, la violazione delle disposizioni di cui agli artt. 33, 34 e 162, comma 2-bis, del Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196, di seguito denominato “Codice”);
RILEVATO che dall’esame degli atti del procedimento sanzionatorio avviato con la contestazione di violazione amministrativa è emerso, in sintesi, quanto segue:
- il 1° febbraio 2017 è pervenuto al Garante un reclamo presentato da un dipendente del Comune di Volla, con il quale si evidenziavano criticità nel funzionamento del sistema di protocollazione elettronica in uso presso il Comune;
- in particolare, con il reclamo, si rappresentava che tutti i dipendenti del Comune avevano la possibilità, accedendo al sistema di protocollazione, di visionare la documentazione contenente dati personali anche di natura sensibile e giudiziaria, riferita al reclamante e a altri dipendenti dell’Ente;
- nel corso dell’istruttoria avviata a seguito del reclamo, il Comune di Volla confermava che i dipendenti comunali muniti di credenziali per l’accesso al sistema di protocollazione denominato GOLEM “avevano effettivamente la possibilità di visualizzare tutta la posta in entrata pervenuta al Protocollo Generale, ciò per un’errata impostazione del sistema informatico”. Il Comune rappresentava altresì che tale anomalia era stata eliminata fin dal 7 agosto 2017 e che, allo stato, la visibilità degli atti in entrata era consentita solo al Sindaco, al Segretario generale, al responsabile dell’ufficio protocollo e ai relativi addetti;
- il 28 febbraio 2018, l’Unità lavoro pubblico e privato dell’Ufficio del Garante ha inviato una nota al Comune di Volla e al reclamante con la quale sono stati comunicati gli esiti dell’istruttoria evidenziando che “la circostanza in base alla quale, per espressa ammissione del Comune, le modalità di utilizzo del sistema sarebbero state configurate con funzionalità tali da consentire ad un novero ampio di dipendenti di venire a conoscenza di dati personali, inerenti a vicende che riguardano il reclamante, […] o altri dipendenti, determina che tale trattamento presenti alcuni profili di violazione della disciplina di protezione dei dati personali. […] In particolare risultano violate le disposizioni di cui all’art. 34, comma 1, lett. c) e d), del Codice – relative, rispettivamente, all’utilizzazione di un sistema di autorizzazione, nonché all’aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati – nonché alle regole 13, 14, e 15 dell’Allegato B al Codice”;
RILEVATO che con il citato atto del 28 marzo 2018 è stata contestata al Comune di Volla, ai sensi dell’art. 162, comma 2-bis, del Codice, la violazione dell’art. 33, per avere omesso di adottare le misure minime di sicurezza di cui al successivo artt. 34, comma 1, lett. c) e d), del Codice e alle regole nn. 13, 14 e 15 del disciplinare tecnico di cui all’allegato B) del medesimo Codice;
PRESO ATTO che per la predetta violazione è escluso il pagamento in misura ridotta;
PRESO ATTO, altresì, che il Comune di Volla non ha presentato memorie difensive e non ha richiesto di essere sentito dall’Autorità;
RITENUTO di dover confermare la responsabilità del Comune di Volla in ordine alla violazione contestata, poiché risulta pienamente provato in atti, anche sulla base delle dichiarazioni dell’Ente, che, a causa di una impropria configurazione del sistema di protocollazione denominato GOLEM, il Comune abbia omesso di attribuire ai propri dipendenti, in possesso delle credenziali per l’accesso al sistema medesimo, idonei profili di autorizzazione e abbia, per l’effetto, consentito agli stessi di visionare atti contenenti dati personali anche di natura sensibile e giudiziaria, relativi ad altri dipendenti comunali;
RILEVATO, quindi, che il Comune di Volla, in qualità di titolare del trattamento ai sensi degli artt. 4, comma 1, lett. f), e 28 del Codice, sulla base delle considerazioni sopra richiamate, risulta aver commesso la violazione prevista dall’art. 162, comma 2-bis, del Codice, per aver omesso di adottare le misure minime dettate dagli artt. 33 e 34, comma 1, lett. c) e d), del Codice e dalle regole nn. 13, 14 e 15 del disciplinare tecnico di cui al relativo allegato B);
VISTO l’art. 162, comma 2-bis, del Codice, ove è previsto che “in caso di trattamento di dati personali effettuato in violazione delle misure indicate nell'articolo 33 […] è altresì applicata in sede amministrativa, in ogni caso, la sanzione amministrativa del pagamento di una somma da 10.000 euro a 120.000 euro”;
CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge n. 689/1981, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;
CONSIDERATO che, nel caso in esame:
a) in ordine all’aspetto della gravità con riferimento agli elementi dell’entità del pregiudizio o del pericolo e dell’intensità dell’elemento psicologico, la violazione non risulta connotata da elementi specifici;
b) ai fini della valutazione dell’opera svolta dall’agente, deve essere considerato in termini favorevoli il fatto che il Comune di Volla, già da agosto 2017, ha eliminato le anomalie riscontrate nel sistema di protocollazione;
c) circa la personalità dell’autore della violazione, il Comune di Volla non risulta gravato da precedenti procedimenti sanzionatori definiti in via breve o con ordinanza-ingiunzione;
RITENUTO, quindi, di dover determinare, ai sensi dell’art. 11 della L. n. 689/1981, l’ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura di euro 10.000 (diecimila);
VISTA la documentazione in atti;
VISTA la legge n. 689/1981, e successive modificazioni e integrazioni;
VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;
RELATORE la dott.ssa XXX;
ORDINA
al Comune di Volla, in persona del legale rappresentante pro-tempore, con sede in Volla (NA), via Aldo Moro n. 1, C.F. 01223110634, di pagare la somma di euro 10.000 (diecimila) a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione;
INGIUNGE
al medesimo Ente di pagare la somma di euro 10.000 (diecimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689.
Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.