EntiOnLine
Categorie
indietro
01/02/2018 Ordinanza ingiunzione nei confronti di Provincia di Benevento - 1 febbraio 2018 > Diffusione dei dati sensibili ,inosservanza del provvedimento adottato dal Garante, mancato riscontro ad una richiesta di informazioni del Garante

Con provvedimento in data 1 febbraio 2018 (Registro dei provvedimenti n. 59 del 1 febbraio 2018) il Garante ha adottato una Ordinanza ingiunzione nei confronti della Provincia di Benevento, in persona del legale rappresentante pro-tempore, con sede legale in Benevento, Piazza Castello n. 1, C.F. 92002770623, di pagare la somma di euro 60.000,00 (sessantamila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione;

Continua a leggere

Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il provvedimento del Garante n. 585 del 12 novembre 2015 adottato nei confronti della Provincia di Benevento (di seguito denominata "Provincia"), che qui deve intendersi integralmente richiamato, con cui si accertava che sul sito istituzionale della suddetta Provincia era pubblicata la "Graduatoria provvisoria disabili e categorie protette relativa all´anno 2012" recante in chiaro i dati identificativi degli interessati, nonché il codice fiscale degli stessi, liberamente accessibile e raggiungibile attraverso i principali motori di ricerca sul web. Veniva così accertata la diffusione di dati da cui era possibile desumere lo stato di malattia o l´esistenza di patologia dei soggetti interessati, rientranti nella categoria dei dati sensibili (art. 4, comma 1, lett. d) del d. lg. 30 giugno 2003, n. 196, di seguito denominato "Codice"), in violazione dell´art. 22 comma 8 del Codice, nonché la diffusione di informazioni eccedenti e non pertinenti rispetto alla finalità della pubblicazione, in particolare il codice fiscale degli interessati, in violazione dell´art. 11, comma 1, lett. d) del Codice. Accertata, quindi, l´illiceità del trattamento dei dati suddetti, il Garante ha disposto nei confronti della Provincia:

• ai sensi dell´art. 154 comma 1 lett. d) del Codice, il divieto dell´ulteriore diffusione in Internet dei dati personali idonei a rivelare lo stato di salute degli interessati e dei dati eccedenti e non pertinenti rispetto alla finalità perseguita contenuti nella graduatoria suddetta ed in altri analoghi documenti eventualmente presenti sul sito web della Provincia;

• ai sensi dell´art. 154 comma 1 lett. c) del Codice, di conformare per il futuro la pubblicazione di atti e documenti in Internet alle disposizioni contenute nel Codice e nelle Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati (www.gpdp.it doc. web n. 3134436);

• ai sensi dell´art. 157 del Codice, di dare comunicazione al Garante delle misure adottate per conformarsi alle prescrizioni impartite con il provvedimento medesimo entro 20 giorni dalla data di ricezione dello stesso;

CONSTATATO che il citato provvedimento è stato notificato alla Provincia in data 24 novembre 2015 tramite posta elettronica certificata, come risulta dall´avviso di avvenuta consegna che è agli atti presso il Garante, e che il termine di 20 giorni per l´adozione delle misure prescritte e per il conseguente riscontro al Garante è spirato quindi il 14 dicembre 2015;

VISTA la nota dell´Unità lavoro pubblico e privato del Garante del 27 gennaio 2016, con cui veniva evidenziato non solo il mancato riscontro entro il citato termine di 20 giorni del titolare del trattamento in ordine alle misure adottate per conformarsi alle prescrizioni del Garante, ma anche la permanenza sul sito web della Provincia dei dati personali oggetto del provvedimento, nonostante il divieto adottato dal Garante;

VISTO il verbale di operazioni compiute redatto in data 3 febbraio 2016 dal Dipartimento attività ispettive, sanzioni e registro dei trattamenti del Garante, con cui si accertava la persistenza di una facile raggiungibilità e accessibilità, attraverso i più comuni motori di ricerca, dei dati relativi alla menzionata graduatoria provvisoria (doc. prot. 3758 del 4 giugno 2013, rinvenibile all´indirizzo http://app1.provincia.benevento.it/art48/wp-content/uploads/2013/06/graduatoria-provvisoria-disabili.pdf), nonché dei dati relativi alla "Graduatoria definitiva disabili e categorie protette relativa all´anno 2012" (doc. prot. n. 4575 dell´8 luglio 2013, rinvenibile all´indirizzo http://app1.provincia.benevento.it/art48/wp-content/uploads/2013/07/graduatoria-definitiva-disabili.pdf ). A riprova di quanto accertato, sono stati allegati al suddetto verbale i "print screen" delle schermate risultanti dalle interrogazioni effettuate dall´Ufficio;

PRESO ATTO della mancata adozione da parte della Provincia delle misure prescritte dal Garante con il provvedimento n. 585/2015;

RILEVATO che con atto n. 3299/101975 del 8 febbraio 2016, che qui deve intendersi integralmente riportato, l´Ufficio del Garante ha contestato alla Provincia di Benevento, in persona del legale rappresentante pro-tempore, con sede legale in Benevento, Piazza Castello n. 1:

• ai sensi dell´art. 162 comma 2-bis del Codice, la violazione delle disposizioni indicate nell´art. 167 del Codice, con particolare riferimento all´art. 22 comma 8, in relazione alla diffusione dei dati sensibili degli interessati. Dagli atti del fascicolo è risultato che tale condotta è stata posta in essere da dipendenti della Provincia di Benevento nell´esercizio delle rispettive funzioni. Pertanto, il titolare del trattamento è da individuarsi nella Provincia stessa, in base al combinato disposto di cui agli artt. 4 comma 1 lett. f) e 28 del Codice;

• ai sensi dell´art. 162 comma 2-ter del Codice, la violazione delle disposizioni di cui all´art. 154 comma 1 lett. c) e d) del Codice, in relazione all´inosservanza del provvedimento adottato dal Garante;

• ai sensi dell´art. 164 del Codice, la violazione della disposizione di cui all´art. 157 del Codice, in relazione al mancato riscontro ad una richiesta di informazioni del Garante;

VISTO lo scritto difensivo della Provincia dell´8 febbraio 2016, nota prot. n. 3487 del 9 febbraio 2016, con cui si è rappresentato: 1) preliminarmente di aver provveduto, per le graduatorie relative all´anno 2013 e seguenti, a non divulgare mediante pubblicazione sull´albo pretorio o altri strumenti di diffusione i dati personali idonei a rilevare lo stato di salute degli interessati alle graduatorie dei disabili e categorie protette di cui alla legge 68/1999; 2) di aver dato "pedissequa esecuzione" al citato provvedimento del Garante n. 585 del 12 novembre 2015, "in particolare ottemperando al divieto di diffusione di tali dati ai sensi dell´art. 154 comma 1 lett. d) del Codice, nonché a conformare la pubblicazione di atti e documenti secondo le prescrizioni di cui all´art. 154 comma 1 lett. c) del Codice citato, rispettando in particolare il divieto di diffusione dei dati di cui all´art. 22 comma 8 e dei dati di cui all´art. 11 comma 1 lett. d), come previsto dai punti 1 e 2 del dispositivo del citato provvedimento"; 3) che "in esecuzione di quanto previsto al punto 3 del dispositivo del provvedimento in questione, si è dato riscontro all´ufficio del Garante delle misure adottate per la conformazione alle prescrizioni impartite con nota prot. n. 0081422 dell´11.12.2015, che si allega in copia". In particolare, nella nota allegata allo scritto difensivo, si comunicava che erano stati "adottati tutti i provvedimenti idonei ad evitare la diffusione dei dati personali relativi allo stato di salute degli interessati e dei dati eccedenti e non pertinenti rispetto alla finalità della graduatoria dei disabili e categorie protette di cui alla legge 68/1999, disponendo di conformare ai sensi dell´art. 154 comma 1 lett. d) del Codice, la pubblicazione di atti e documenti alle disposizioni relative alla materia della protezione dei dati personali prevista dalla normativa disciplinante la stessa, con espresso divieto di diffusione dei dati di cui all´art. 22 comma 8 e art. 11 comma 1 lett. d) del Codice";

VISTA l´ulteriore comunicazione del 25 marzo 2016, nota prot. n. 8825 del 29 marzo 2016, con cui la Provincia ha ribadito di aver fornito, con comunicazione n. 81422 dell´11.12.2015, il riscontro richiesto dal Garante entro i 20 giorni decorrenti dalla notifica del provvedimento citato ed ha evidenziato l´insussistenza dei comportamenti contestati, considerato che si è provveduto alla rimozione della graduatoria dell´anno 2012 sull´albo pretorio e che non risultano pubblicate graduatorie relative all´anno 2013 e seguenti, chiedendo quindi di archiviare la procedura avviata con la citata contestazione "non sussistendo le violazioni normative rilevate e i presupposti per l´applicazione delle sanzioni";

RITENUTO che le argomentazioni addotte non risultano idonee in relazione a quanto contestato. Si rileva quanto segue.

• Con riferimento alla contestata violazione dell´art. 157 del Codice di cui alla sanzione prevista dall´art. 164 del Codice, la nota richiamata dalla Provincia, pur se protocollata in uscita con il numero 81422 dell´11.12.2015 ed indirizzata alla sede del Garante, non è mai giunta a destinazione, come si evince dai dati risultanti dal registro di protocollo dell´Ufficio. Si evidenzia, peraltro, che il Garante ha sollecitato tale riscontro alla Provincia, con nota dell´Unità Lavoro pubblico e privato del 29 dicembre 2015 (l´avvenuta consegna della relativa PEC è agli atti del relativo fascicolo), cui non è seguita alcuna risposta da parte della Provincia. Peraltro, non è stata fornita alcuna prova dell´effettiva trasmissione della nota dell´11 dicembre 2015, pur essendo tale onere posto a carico della Provincia medesima. Come è noto, infatti, tenuto conto che l´obbligo di fornire le informazioni richieste dal Garante ai sensi dell´art. 157 è sanzionato amministrativamente da una specifica disposizione di legge (art. 164 del Codice), è onere del titolare fornire la prova dell´avvenuto adempimento nell´ambito di procedimenti o verifiche ispettive (in ordine all´onere della prova, cfr. provv.to del Garante n. 5 del 12 gennaio 2017 in www.gpdp.it doc. web n. 6026657 e provv.to del Garante n. 110 del 15 marzo 2012 in www.gpdp.it doc. web n. 2115627, confermato con sentenza del Tribunale di Milano n. 7555 del 15/10/2013).

• Con riferimento alla contestata violazione dell´art. 154 comma 1 lett. c) e d) del Codice di cui alla sanzione prevista dall´art. 162 comma 2 ter del Codice, nonostante quanto dichiarato nella nota datata 11 dicembre 2015 (mai pervenuta al Garante), ancora il 3 febbraio 2016 si accertava la persistenza di una facile raggiungibilità e accessibilità, attraverso i più comuni motori di ricerca, dei dati relativi alle menzionate graduatorie, provvisoria e definitiva, dei disabili e delle categorie protette relativa all´anno 2012 (cfr. i "print screen" delle schermate risultanti dalle interrogazioni effettuate dall´Ufficio allegati al suddetto verbale di operazioni compiute). Anche sotto questo profilo e diversamente da quanto dichiarato nella citata nota dell´11 dicembre 2015, la Provincia non ha fornito alcuna prova, precedentemente alla contestazione di violazione suddetta, di essersi conformata al divieto disposto dal Garante con il citato provvedimento, ai sensi dell´art. 154 comma 1 lett. d) del Codice, ma ne è stato dimostrato il contrario;

• Con riferimento alla contestata violazione delle disposizioni indicate nell´art. 167 del Codice, tra cui quella dell´art. 22 comma 8, sanzionata ex art. 162 comma 2 bis del Codice, la Provincia ha prestato acquiescenza a quanto accertato in sede di provvedimento del Garante n. 585 del 12 novembre 2015, a mezzo del quale rilevava "l´illiceità del trattamento effettuato dalla Provincia in relazione all´avvenuta diffusione di dati idonei a rivelare lo stato di salute degli interessati (art. 22 comma 8 del Codice)". Tenuto conto, infatti, che il provvedimento n. 585/2015 era senza dubbio impugnabile ai sensi dell´art. 152 del Codice nel termine decadenziale di 30 giorni dalla sua comunicazione, la sua mancata impugnazione da parte della Provincia ha determinato l´acquiescenza all´accertamento dell´illecito in quanto "è proprio la facoltà di impugnare che dà al suo mancato utilizzo quell´inequivocabile valore di scelta consapevole, cui consegue l´acquiescenza" (in tal senso, cfr. Tribunale di Arezzo n. 607 del 12 maggio 2016 con cui si è rigettato il ricorso proposto avverso l´ordinanza ingiunzione del Garante n. 643 del 10 dicembre 2015). Peraltro, come confermato dalla giurisprudenza, l´interesse della Provincia ad impugnare il provvedimento sussisteva da subito perché quel provvedimento giudicava illecita un suo trattamento dati e le inibiva di proseguirlo e "perché esso era, per l´appunto, il fondamento di futuri possibili sanzioni" (cfr. citato Trib. Arezzo n. 607/2016, nonché Trib. Taranto n. 2384/2017 con cui si è rigettato il ricorso proposto avverso l´ordinanza ingiunzione del Garante n. 38 del 6 febbraio 2016). Rileva, sul punto, che la Provincia abbia dichiarato, nello scritto difensivo, di essersi adeguata a quanto richiesto dal provvedimento del Garante, motivo di più per desumerne l´acquiescenza a esso;

LETTO il rapporto redatto dall´Ufficio ai sensi dell´art. 17 della legge n. 689/1981, dal quale risulta che il contravventore non ha provveduto al pagamento in misura ridotta, per le violazioni contestate;

VISTA la nota dell´8 aprile 2016 con cui il Garante ha preso atto di quanto dichiarato dalla Provincia con nota del 9 febbraio 2016 relativa alle misure adottate per ottemperare al provvedimento dell´Autorità del 12 novembre 2015 "ed alla quale è allegata la comunicazione dell´11 dicembre 2015 prot. 81422 (peraltro mai pervenuta al Garante)" ed ha preso atto altresì degli esiti delle verifiche effettuate, in tempi diversi, dall´Ufficio mediante accesso al sito web istituzionale della Provincia nonché attraverso ricerche libere sul web da cui risulta che "i dati personali idonei a rivelare lo stato di salute degli interessati contenuti nella graduatoria oggetto del menzionato provvedimento non sono, allo stato, più disponibili on line" (nota dell´Ufficio dell´8 aprile 2016);

RILEVATO, quindi, che la Provincia di Benevento, sulla base delle considerazioni sopra richiamate, risulta aver commesso, in qualità di titolare del trattamento, ai sensi degli artt. 4, comma 1, lett. f), e 28 del Codice, la violazione prevista dall´art. 162 comma 2-bis del Codice, in relazione alla diffusione dei dati sensibili degli interessati (artt. 167 e 22 comma 8 del Codice); la violazione prevista dall´art. 162 comma 2-ter del Codice, in relazione all´inosservanza del provvedimento adottato dal Garante (art. 154 comma 1 lett. c) e d) del Codice), la violazione prevista dall´art. 164 del Codice, in relazione al mancato riscontro ad una richiesta di informazioni del Garante (art. 157 del Codice);

VISTO l´art. 162 comma 2-bis del Codice che punisce la violazione delle disposizioni indicate nell´art. 167 del Codice, tra cui quella dell´art. 22 comma 8 del Codice, con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

VISTO l´art. 162 comma 2-ter che punisce l´inosservanza dei provvedimenti di prescrizione di misure necessarie o di divieto, di cui rispettivamente all´art. 154 comma 1 lett. c) e d) del Codice, con la sanzione amministrativa del pagamento di una somma da trentamila euro a centottantamila euro;

VISTO l´art. 164 del Codice che punisce la violazione delle disposizioni di cui all´art. 157 del Codice con la sanzione amministrativa del pagamento di una somma da diecimila euro a sessantamila euro;

CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge n. 689/1981, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che nel caso in esame:

• con riferimento alla violazione di cui all´art. 162 comma 2-bis del Codice ed in ordine alla gravità della violazione, rileva la circostanza che il trattamento illegittimo ha riguardato dati idonei a rivelare lo stato di salute degli interessati ed è consistito nella diffusione degli stessi tramite internet, rendendoli pertanto accessibili a chiunque a fronte dell´espresso divieto previsto dall´art. 22, comma 8, del Codice;

• con riferimento alle violazioni di cui all´art. 162 comma 2-ter e 164 del Codice e sotto il profilo ai fini della valutazione dell´opera svolta dall´agente, deve essere considerata invece in termini favorevoli la circostanza che, pur se tardivamente, con nota del 9 febbraio 2016 la Provincia ha dato riscontro alla richiesta di informazioni formulata dal Garante ai sensi dell´art. 157 del Codice ed ha comunicato di aver ottemperato, benchè, anche in questo caso, tardivamente, a quanto richiesto ex art. 154 comma 1 lett. c) e d) dal Garante con il provvedimento citato, come riscontrato dall´Ufficio con nota dell´8 aprile 2016;

RITENUTO, quindi, di dover determinare, ai sensi dell´art. 11 della legge n. 689/1981, l´ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura di:

• euro 10.000,00 (diecimila) per la violazione di cui all´art. 162 comma 2-bis del Codice;

• euro 40.000,00 (quarantamila) per la violazione di cui all´art. 162 comma 2-ter del Codice;

• euro 10.000,00 (diecimila) per la violazione di cui all´art. 164 del Codice;

RITENUTO, quindi, di dover determinare, ai sensi dell´art. 11 della legge n. 689/1981, l´ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura di euro 60.000,00 (sessantamila) per le violazioni di cui agli artt. 162 comma 2-bis, 162 comma 2-ter e 164 del Codice;

VISTA la documentazione in atti;

VISTA la legge n. 689/1981, e successive modificazioni e integrazioni;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE il dott. Antonello Soro;

ORDINA

alla Provincia di Benevento, in persona del legale rappresentante pro-tempore, con sede legale in Benevento, Piazza Castello n. 1, C.F. 92002770623, di pagare la somma di euro 60.000,00 (sessantamila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione;

INGIUNGE

alla Provincia di Benevento di pagare la somma di euro 60.000,00 (sessantamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Banca dati