EntiOnLine
Categorie
indietro
18/04/2018 Ordinanza ingiunzione nei confronti di Anas S.p.A. - 18 aprile 2018 > Omissione designazione dei lavoratori coinvolti nei trattamenti effettuati mediante la piattaforma RMT

Con provvediemnto in data 18 aprile 2018 ( Registro dei provvedimenti n. 239 del 18 aprile 2018) il Garante ha adottato una Ordinanza ingiunzione nei confronti di Anas S.p.A., in persona del legale rappresentante pro-tempore, con sede legale in Roma, via Monzambano n. 10, C.F. 80208450587, di pagare la somma di euro 20.000 (ventimila) a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione;

Continua a leggere

Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

RILEVATO che l’Ufficio, con atto n. 12012/79092 del 14 maggio 2013 (notificato in pari data mediante posta elettronica certificata), che qui deve intendersi integralmente riportato, ha contestato ad Anas S.p.A., in persona del legale rappresentante pro-tempore, con sede legale in Roma, via Monzambano n. 10, C.F. 80208450587, la violazione delle disposizioni di cui agli artt. 33, 34, 154, comma 1, lett. c), 157, 162, comma 2-bis, 162, comma 2-ter e 164 del Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196, di seguito denominato “Codice”);

RILEVATO che dall’esame degli atti del procedimento sanzionatorio avviato con la contestazione di violazione amministrativa è emerso, in sintesi, quanto segue:

- con provvedimento del Garante n. 103 del 7 marzo 2013 (in www.gpdp.it, doc web n. 2471134), che qui deve intendersi integralmente richiamato, è stato accertato che Anas S.p.A., nell’ambito dei trattamenti di dati personali svolti con l’utilizzo di sistemi di videosorveglianza e geolocalizzazione gestiti dalla piattaforma Road management tool (RMT), non ha designato quali incaricati del trattamento i lavoratori del Compartimento dell’Emilia Romagna coinvolti nel funzionamento dei sistemi e non ha impartito istruzioni in merito al corretto impiego dei medesimi;

- in particolare, nel corso dell’attività ispettiva svolta presso il Compartimento della viabilità per l’Emilia Romagna di Anas S.p.A., svoltasi a Bologna il 28 marzo 2012, “i verbalizzanti hanno chiesto alla parte se, in ordine al funzionamento del sistema RMT, siano stati designati gli incaricati del trattamento presso il compartimento di Bologna e siano state impartite loro idonee istruzioni per il trattamento. La parte […] ha dichiarato che, in considerazione del fatto che il sistema è di recente funzionamento […], tali adempimenti non sono stati ancora posti in essere. Precisa che, in ordine al personale interessato al funzionamento del sistema RMT, sono stati realizzati presso il Compartimento, a cura della Direzione centrale, corsi di formazione durante i quali sono state fornite istruzioni circa il funzionamento del sistema, illustrati i principali adempimenti richiesti dal Codice e consegnate le credenziali individuali di autenticazione”;

- sulla base delle evidenze documentali, poiché la mancata designazione degli incaricati del trattamento determina la mancata adozione di tutte le misure minime di sicurezza che il Codice e il disciplinare tecnico di cui al relativo allegato B) riconduce all’attività degli incaricati del trattamento, l’Ufficio ha provveduto a contestare ad Anas S.p.A. la violazione delle disposizioni in materia di misure minime di sicurezza e a inviare alla Procura della Repubblica presso il Tribunale di Bologna una comunicazione di notizia di reato, in data 14 maggio 2013, per le violazioni previste e punite dall’art. 169 del Codice;

RILEVATO che con il citato atto del 14 maggio 2013 è stata contestata ad Anas S.p.A., ai sensi dell’art. 162, comma 2-bis, del Codice, la violazione dell’art. 33, per non avere effettuato la designazione degli incaricati del trattamento, secondo le modalità indicate dall’art. 30, omettendo dunque di adottare le misure minime di sicurezza di cui ai successivi artt. 34 e 35 e nelle regole nn. 1-10, 12-14 e 15 del disciplinare tecnico di cui all’allegato B) del Codice;

RILEVATO che con il medesimo atto sono state contestate ad Anas S.p.A. ulteriori violazioni (tre ipotesi di inosservanza del provvedimento generale del Garante del 27 novembre 2008 e mancato riscontro alle richieste del Garante), per le quali Anas S.p.A. ha comunicato al Garante, con nota del 31 luglio 2013, l’avvenuto pagamento in misura ridotta “senza rinuncia alcuna alle osservazioni proposte” con le memorie difensive presentate il 13 giugno 2013;

RITENUTO che il pagamento in misura ridotta, previsto dall’art. 15 della legge n. 689/1981, produce l’estinzione dell'obbligazione e la preclusione dell'ulteriore corso del procedimento sanzionatorio, che pertanto, nel caso in argomento, prosegue solo per la trattazione della contestazione della violazione amministrativa in materia di misure minime di sicurezza;

PRESO ATTO che per la predetta violazione è escluso il pagamento in misura ridotta;

LETTE le memorie difensive presentate da Anas S.p.A. il 14 giugno 2013, nelle quali si osserva, in relazione alla violazione in tema di misure minime di sicurezza, quanto segue:

- “Preliminarmente si rileva che l'art. 162 co. 2-bis del Codice qui contestato sanziona la mancata adozione di misure di sicurezza, richiamando norme diverse da quella — articolo 30 — di cui si contesta ad ANAS l'adempimento tardivo. Non è stato peraltro contestato — ne tanto meno dimostrato - che l'avere formalizzato le nomine specifiche sul sistema RMT il 4 aprile 2012 (in data, peraltro, di molto precedente l’entrata in esercizio del sistema) abbia comportato un'effettiva situazione di rischio per la sicurezza dei dati (in termini di perdita dei dati, di accesso abusivo agli stessi o di utilizzo per finalità diverse da quelle per cui i dati sono stati raccolti);

- “Al riguardo, si ritiene che il principio di stretta legalità che ispira il sistema sanzionatorio di cui alla L. 689/1981 esclude ogni possibilità d'integrazione analogica della norma sanzionatrice, come quella operata, tale da estenderne l'applicazione a ipotesi in essa non contemplate (inter alia C.d. S. VI, sent. N. 4141 del 28-6-2010, Autorità di Vigilanza sui Contratti Pubblici c. S.S.p.A., conferma T.A.R. Lazio — Roma, sez. III n. 3749/2006)”;

- “Per altro verso si rileva che l'onere in capo ai responsabili del trattamento di nominare gli Incaricati - ai sensi dell'art. 30 del Codice — con specifico riferimento al sistema RMT era espressamente previsto nel Regolamento per la disciplina della videosorveglianza stradale e della localizzazione satellitare veicolare emanato dall'Amministratore Unico II 12 dicembre 2011 e trasmesso ai Capi Compartimento, responsabili del trattamento, con nota del 13 febbraio 2012 […]. La necessità di provvedere a tale adempimento è stata successivamente ribadita con nota inviata dal Direttore Centrale Risorse Organizzazione e Sistemi il 7 marzo 2012 […]. Tale adempimento è stato concretamente posto in essere il 3 aprile 2012 […].”;

- “Tuttavia l'accesso al sistema RMT da parte dei dipendenti è stato regolato fin dalla fase sperimentale. Come già precisato, i dipendenti che operavano sul sistema RMT erano già stati nominati incaricati del trattamento - ai sensi dell'art. 30 del Codice - sin dal 2007, sulla base dell'appartenenza alle unità organizzative […] ed erano in ogni caso tenuti al rispetto delle direttive impartite dal Capo Compartimento ed erano tenuti al rispetto delle misure di sicurezza previste dalle procedure aziendali”;

RITENUTO che le argomentazioni addotte non risultano idonee a determinare l’archiviazione del procedimento sanzionatorio avviato con la contestazione di cui sopra per le ragioni di seguito esposte:

a) risulta accertato che la società non ha provveduto alla designazione per iscritto degli incaricati del trattamento ai sensi dell'art. 30 del Codice, con ciò determinando la mancata applicazione di quella parte di misure minime di sicurezza che il Codice riconduce all'attività degli incaricati del trattamento medesimo. Al riguardo è opportuno sottolineare che la mancata designazione degli incaricati del trattamento non costituisce un mero inadempimento formale, ma si configura come atto presupposto indispensabile per l'applicazione della parte più significativa delle misure di sicurezza da adottarsi per il trattamento dei dati personali ed è strettamente correlata all'attività degli incaricati del trattamento (ovvero di coloro che ordinariamente operano sui dati personali), mirando a fornire agli stessi le istruzioni da seguire per il corretto trattamento dei dati; per tali ragioni, la mancata designazione per iscritto degli incaricati, ai sensi dell'art. 30, determina la mancata applicazione di tutte quelle misure minime di sicurezza, di cui all'art. 33 e seguenti, che il disciplinare tecnico (allegato B) del Codice) riconduce all'attività degli incaricati del trattamento medesimo (regole nr. 1-10; 12-14 e 15 dell'allegato B) e comporta, quindi, l'applicazione della sanzione di cui all'art. 162, comma 2- bis, del Codice;

b) a nulla può rilevare la circostanza che i dipendenti di Anas S.p.A. fossero già stati designati quali incaricati, con la preposizione di ciascuno all’unità lavorativa per la quale è individuato l’ambito di trattamento consentito ai sensi dell’art. 30, comma 2, del Codice, giacché l’implementazione della piattaforma RMT è intervenuta in epoca successiva e, come evidenziato nel provvedimento del 7 marzo 2013, essa ha dato origine a nuovi trattamenti, svolti mediante l’interazione di sistemi di videosorveglianza e geolocalizzazione, per i quali era necessario adottare nuovi atti di designazione nei quali fosse individuato l’ambito di operatività di ciascun incaricato e con i quali fossero impartite specifiche istruzioni connesse alla complessità dei sistemi utilizzati;

c) la necessità di una nuova designazione degli incaricati preposti a svolgere operazioni di trattamento sulla piattaforma RMT è stata individuata dalla stessa Anas S.p.A. che, anche nelle memorie difensive, ha dichiarato di aver in più occasioni richiesto ai capi-Dipartimento, nella loro qualità di responsabili del trattamento, di adottare i conseguenti atti. Ciò non è avvenuto in relazione ai dipendenti del Compartimento per la viabilità dell’Emilia Romagna e, al riguardo, Anas non risulta aver svolto quell’attività di controllo nei confronti dei responsabili che l’art. 29, comma 5, del Codice impone al titolare il quale “anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni [del Codice, ivi compreso il profilo relativo alla sicurezza] e delle proprie istruzioni”;

d) la partecipazione dei dipendenti a corsi di formazione o la predisposizione di un documento tecnico illustrativo delle funzionalità della piattaforma RMT non può certo sostituire l’atto di designazione degli incaricati del trattamento, tantomeno può essere idoneo a fornire a ciascun dipendente le istruzioni di dettaglio al fine di adottare tutte le misure individuate nel disciplinare tecnico di cui all’allegato B) del Codice. Sotto questo profilo, inoltre, non ha alcuna rilevanza la circostanza che la piattaforma RMT fosse attiva solo in via sperimentale, posto che i relativi trattamenti hanno avuto inizio nell’anno 2011;

e) la mancata formale designazione degli incaricati del trattamento, nelle modalità indicate dall’art. 30 del Codice, ha pertanto determinato, nel concreto, la mancata individuazione dell’ambito di trattamento consentito con riferimento all’utilizzo della piattaforma RMT, e la mancata indicazione delle istruzioni e delle specifiche condotte che i dipendenti sono chiamati ad adottare al fine di consentire la puntuale applicazione delle misure minime di sicurezza indicate nell’atto di contestazione;

f) deve pertanto confermarsi la responsabilità della società in ordine alla violazione contestata;

RILEVATO, quindi, che Anas S.p.A., sulla base delle considerazioni sopra richiamate, risulta aver commesso la violazione prevista dall’art. 162, comma 2-bis, del Codice, per aver omesso di designare quali incaricati, ai sensi dell’art. 30 del Codice, i lavoratori del Compartimento per la viabilità dell’Emilia Romagna coinvolti nei trattamenti effettuati mediante la piattaforma RMT e, per l’effetto, di adottare le misure minime di sicurezza di cui agli artt. 33 e ss. e alle regole nn. 1-10, 12-14 e 15 e 27-29 del disciplinare tecnico di cui all’allegato B) del medesimo Codice;

VISTO l’art. 162, comma 2-bis, del Codice, ove è previsto che “in caso di trattamento di dati personali effettuato in violazione delle misure indicate nell'articolo 33 […] è altresì applicata in sede amministrativa, in ogni caso, la sanzione amministrativa del pagamento di una somma da 10.000 euro a 120.000 euro”;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge n. 689/1981, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a) in ordine all’aspetto della gravità con riferimento agli elementi dell’entità del pregiudizio o del pericolo e dell’intensità dell’elemento psicologico, la violazione non risulta connotata da elementi specifici;

b) ai fini della valutazione dell’opera svolta dall’agente, deve essere considerato in termini favorevoli il fatto che Anas S.p.A. ha dato puntuale adempimento al provvedimento di prescrizione del 14 maggio 2013, adottato dal Garante ai sensi dell’art. 169, 2° comma, del Codice, provvedendo alla designazione degli incaricati del trattamento e all’attuazione delle correlate misure minime di sicurezza;

c) circa la personalità dell’autore della violazione, Anas non risulta gravata da precedenti procedimenti sanzionatori definiti in via breve o con ordinanza-ingiunzione;

d) in merito alle condizioni economiche dell’agente, è stato preso in considerazione il bilancio per l’anno 2016;

RITENUTO, quindi, di dover determinare, ai sensi dell’art. 11 della L. n. 689/1981, l’ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura di euro 20.000 (ventimila);

VISTA la documentazione in atti;

VISTA la legge n. 689/1981, e successive modificazioni e integrazioni;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la dott.ssa Augusta Iannini;

ORDINA

ad Anas S.p.A., in persona del legale rappresentante pro-tempore, con sede legale in Roma, via Monzambano n. 10, C.F. 80208450587, di pagare la somma di euro 20.000 (ventimila) a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione;

INGIUNGE

alla medesima società di pagare la somma di euro 20.000 (ventimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Banca dati