EntiOnLine
Categorie
indietro
30/03/2017 Ordinanza ingiunzione nei confronti di Provincia di Caserta - 30 marzo 2017 > Omissione di designazione degli incaricati del trattamento

Con provvediemnto in data 30 marzo 2017 (Registro dei provvedimenti n. 170 del 30 marzo 2017) il Garante ha adottato una Ordinanza ingiunzione nei confronti di Provincia di Caserta, in persona del legale rappresentante pro-tempore, con sede legale in Caserta, corso Trieste 129/133, C.F. 80004770618, di pagare la somma di euro 20.000,00 (ventimila) a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione;

Continua a leggere

Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

RILEVATO che la Guardia di finanza, Nucleo speciale privacy, con verbale n. 21/2012 del 2 aprile 2012 (notificato il 7 maggio 2012), che qui deve intendersi integralmente riportato, ha contestato alla Provincia di Caserta, in persona del legale rappresentante pro-tempore, con sede legale in Caserta, corso Trieste 129/133, C.F. 80004770618, la violazione delle disposizioni di cui agli artt. 33 e 162, comma 2-bis, del Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196, di seguito denominato "Codice");

DATO ATTO, in sintesi, di quanto riportato nell´atto di contestazione, e cioè che: a) la provincia di Caserta è titolare dei trattamenti di dati personali effettuati presso il Centro per l´impiego di Caserta; b) nell´ambito del Centro per l´impiego e del sovraordinato Settore politiche del lavoro della Provincia di Caserta non sono stati designati quali incaricati del trattamento, ai sensi dell´art. 30 del Codice, i soggetti che effettuano operazioni di trattamento; c) la Provincia di Caserta non ha provveduto ad aggiornare, fino all´anno 2011, il Documento programmatico per la sicurezza di cui all´art. 34, comma 1, lett. g), del Codice e della regola n. 19 del disciplinare tecnico di cui all´allegato B) del Codice (entrambe le disposizioni, nella formulazione antecedente alle modifiche apportate con l´art. 45, comma 1, lett. c) e d), del decreto legge 9 febbraio 2012, n. 5, convertito, con modificazioni, dalla legge 4 aprile 2012, n. 35);

LETTI gli scritti difensivi presentati il 4 giugno 2012 e le dichiarazioni rese il 10 giugno 2013 dalla parte in sede di audizione ai sensi dell´art. 18 della legge n. 689/1981, con i quali è stato eccepito che: a) "la Provincia di Caserta ha provveduto, con l´approvazione del regolamento del sistema organizzativo dell´ente ove si definiscono le competenze e le attribuzioni dei dirigenti e dei responsabili dei servizi, alla nomina dei responsabili del trattamento ai sensi degli artt. 29 e 30 D. Lgs. 196/2003 […]"; b) "In merito [al mancato aggiornamento del documento programmatico sulla sicurezza, n.d.r.], si fa presente che dal 2006 non sono intervenuti cambiamenti nei trattamenti dei dati che la Provincia effettua, né tanto meno l´organizzazione del sistema informativo. Pertanto sono stati confermati i contenuti del documento programmatico in parola";

RITENUTO che le argomentazioni addotte non risultano idonee a determinare l´archiviazione del procedimento sanzionatorio avviato con la contestazione di cui sopra:

- con riferimento alla mancata designazione degli incaricati del trattamento, deve osservarsi che, dalla documentazione prodotta dall´Ente al fine di comprovare l´avvenuto adempimento al predetto obbligo, non è possibile desumere che presso il Centro per l´impiego della provincia di Caserta e, più in generale, presso il Settore politiche del lavoro del medesimo Ente, siano stati designati quali incaricati del trattamento, nelle forme previste dall´art. 30 del Codice (pertanto con designazione individuale o per classi omogenee di trattamento e conferimento di specifiche istruzioni) tutti coloro che svolgono operazioni di trattamento di dati personali. La documentazione prodotta, come osservato anche nelle memorie difensive, riguarda la definizione delle "competenze e attribuzioni dei dirigenti e dei responsabili dei servizi", che sono stati designati responsabili del trattamento ai sensi dell´art. 29 del Codice, e non anche l´individuazione degli incarichi dei restanti dipendenti che, in ragione della propria attività di servizio, ordinariamente trattano dati personali. Tali dipendenti devono, per l´appunto, essere designati incaricati con un atto, adottato dal titolare o dal responsabile ai sensi dell´art. 30 del Codice, che non ha una mera valenza formale ma è il presupposto per l´attuazione e, quindi, l´osservanza delle misure minime di sicurezza (di cui agli artt. 33 e 34 del Codice in combinato disposto con le regole contenute nel Disciplinare tecnico in materia di misure minime di sicurezza, allegato B al Codice). La parte più significativa delle predette misure è infatti strettamente connessa all´attività degli incaricati del trattamento al fine di fornire agli stessi le istruzioni da seguire per il corretto trattamento dei dati e di renderli consapevoli delle connesse responsabilità anche attraverso il loro inserimento in specifici processi formativi in materia di privacy;

- quanto al mancato aggiornamento del documento programmatico sulla sicurezza, deve premettersi che tale obbligo era previsto dall´art. 34, comma 1, lett. g), del Codice e dalla regola n. 19 del relativo disciplinare tecnico ed è stato abrogato dall´art. 45, comma 1, lett. c) e d), del decreto legge 9 febbraio 2012, n. 5, convertito, con modificazioni, dalla legge 4 aprile 2012, n. 35. Le disposizioni sopra richiamate prevedevano la redazione, con cadenza annuale, di un dettagliato documento relativo alle misure di sicurezza adottate e da adottare, oltre ad una analitica valutazione dei rischi incombenti sul trattamento e la programmazione di specifici interventi formativi nei confronti degli incaricati del trattamento. A nulla rileva, pertanto, che, come affermato nelle memorie difensive, dal 2006 la Provincia di Caserta non abbia registrato alcun cambiamento nei trattamenti di dati personali e nell´organizzazione del sistema informativo. La redazione di un documento programmatico per la sicurezza, fino alla data di abrogazione delle relative disposizioni, doveva comunque essere obbligatoriamente curata annualmente anche per dare conto di quanto rimasto immutato sia per analizzare eventuali nuovi rischi in tema di sicurezza e programmare nuove iniziative a contrasto. Inoltre, il documento avrebbe dovuto dare conto degli interventi formativi in tema di sicurezza svolti nei confronti dei dipendenti che, si deve desumere, nell´arco di sei anni, siano stati programmati e portati a compimento;

- deve pertanto confermarsi la responsabilità della Provincia di Caserta in ordine alle violazioni contestate per l´omessa adozione delle misure minime di sicurezza come indicato nel verbale di contestazione e nel provvedimento di prescrizione emesso dal Garante, in applicazione delle disposizioni di cui all´art. 169, comma 2, del Codice, il 4 dicembre 2012 e notificato l´11 gennaio 2013, al quale il contravventore, peraltro, non risulta avere dato adempimento. In relazione a tale omissione, l´Autorità, in data 12 aprile 2013, ai sensi dell´art. 169, comma 2, del Codice e dell´art. 21, comma 3, del d. lgs. n. 758/1994, ha rappresentato alla Procura della Repubblica presso il Tribunale di Santa Maria Capua Vetere che la procedura sopra indicata non si è perfezionata.

RILEVATO, quindi, che la Provincia di Caserta, sulla base delle considerazioni sopra richiamate, risulta aver commesso la violazione di cui all´art. 162, comma 2-bis del Codice, per aver omesso di designare gli incaricati del trattamento ai sensi dell´art. 30 del Codice (determinando pertanto la mancata adozione di tutte le misure minime di sicurezza ex art. 33 del Codice che il disciplinare tecnico di cui all´allegato B) del medesimo Codice riconduce all´attività degli incaricati – regole nn. 1-18, 20-23, 25 e 27-29) e di aggiornare il documento programmatico sulla sicurezza come previsto dall´art. 34, lett. g), del Codice e della regola n. 19 del disciplinare tecnico (nel periodo antecedente all´abrogazione delle predette disposizioni ad opera dell´art. 45, comma 1, lett. c) e d), del decreto legge 9 febbraio 2012, n. 5, convertito, con modificazioni, dalla legge 4 aprile 2012, n. 35);

VISTO l´art. 162, comma 2-bis, del Codice che punisce la violazione delle disposizioni di cui all´art. 33, con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione, occorre tenere conto, ai sensi dell´art. 11 della legge 24 novembre 1981 n. 689, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione (la Provincia di Caserta non risulta, dagli atti della procedura prescrittiva avviata dall´Autorità, aver designato gli incaricati del trattamento neanche a seguito della ricezione del provvedimento che il Garante ha adottato ai sensi dell´art. 169, 2° comma, del Codice, in data 4 dicembre 2012), della gravità della violazione (che appare non connotata da elementi di specificità), della personalità (l´Ente non risulta avere precedenti specifici in termini di violazioni delle disposizioni del Codice) e delle condizioni economiche del contravventore (è stato preso in esame il prospetto sui risultati di amministrazione per l´anno 2013) e che pertanto l´ammontare della sanzione pecuniaria con riferimento alla violazione di cui all´art. 162, comma 2-bis, deve essere quantificato nella misura di euro 20.000,00 (ventimila);

VISTA la documentazione in atti;

VISTA la legge n. 689/1981, e successive modificazioni e integrazioni;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la prof.ssa Licia Califano;

ORDINA

alla Provincia di Caserta, in persona del legale rappresentante pro-tempore, con sede legale in Caserta, corso Trieste 129/133, C.F. 80004770618, di pagare la somma di euro 20.000,00 (ventimila) a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione;

INGIUNGE

alla Provincia di Caserta di pagare la somma di euro 20.000,00 (ventimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Banca dati