Garante per la protezione
    dei dati personali


Ordinanza di ingiunzione nei confrontidi Comune di Milano

PROVVEDIMENTO DEL 26 LUGLIO 2012

Registro dei provvedimentin. 230del 26 luglio 2012

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, alla presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna BianchiClerici e della dott.ssa Licia Califano, componenti e del dott. Giuseppe Busia,segretario generale;

VISTOil verbale n. 27651/63988 del 18 dicembre 2009, che qui si intendeintegralmente richiamato, con cui è stata contestata al Comune di Milano, consede in Milano, piazza della Scala n. 2, in persona del legale rappresentantepro-tempore, la violazione prevista dall'art. 162, comma 2-bis, del Codice inmateria di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196, diseguito denominato Codice), in relazione all'art. 33, per aver omesso diadottare le misure minime di sicurezza previste dalle regole 2, 3, 4 e 6 deldisciplinare tecnico di cui all'allegato B) del Codice, in due postazioniinformatiche (nn. cespite B1022016 e B1022018) presenti presso la Scuolaprimaria di San Giusto (via San Giusto n. 65, Milano);

VISTIgli scritti difensivi del 26 febbraio 2010, inviati ai sensi dell'art. 18 dellalegge n. 689/1981, che qui si intendono integralmente richiamati;

LETTOil verbale dell'audizione delle parti, tenutasi in data 4 ottobre 2011 ai sensidell'art. 18 della legge n. 689/1981, che qui deve intendersi integralmenterichiamato;

RITENUTOche le argomentazioni addotte dal Comune di Milano non risultano idonee adescludere le responsabilità dell'ente in relazione a quanto contestato per lemotivazioni di seguito riportate:

a. con riferimento al computer di cui al cespite n. B1022016 il Comune evidenzianelle memorie difensive che "non è utilizzato da soggetti esterni allascuola, neppure durante i mesi estivi, quando la sede ospita il CentroEstivo" e che "per quanto riguarda le foto presenti nel suddetto pc,attengono alle consuete attività ludico educative []. Per svolgere questeattività è stato preventivamente acquisito da parte della scuola il benestaredei genitori dei bambini fotografati".

Nelcorso dell'audizione il Comune ha ribadito che "la postazione di cui alcespite n. B1022016 non è stata mai oggetto di accessi da parte di personeesterne alla scuola. Infatti anche nell'ambito del centro estivo, ilcoordinamento dei servizi e l'accesso alla postazione è stato demandato alprof. [], che è tuttora il referente interno del Comune assegnato alla scuolaS. Giusto".

Presoatto delle precisazioni del Comune, si osserva che dagli accertamenti èrisultato che il computer B1022016 veniva utilizzato da diversi utenti checondividevano le medesime credenziali di accesso. La sussistenza di talecircostanza, a prescindere dalla qualità degli utenti e dalla loro collocazionefunzionale nell'ambito della struttura scolastica che aveva in dotazione ilcomputer, determina l'omessa applicazione delle misure minime di sicurezza dicui alle regole nn. 2, 3, 4 e 6 del disciplinare tecnico di cui all'allegato B)del Codice e, conseguentemente, la violazione degli artt. 33 e 34 del Codicemedesimo. Le richiamate norme, infatti, pongono in capo al titolare deltrattamento l'obbligo di costituire un sistema per l'accesso ai computer chepreveda l'attribuzione di credenziali di autenticazione univoche per ciascunincaricato. Inoltre, la componente riservata della credenziale (cd. password)deve essere conosciuta dal solo incaricato a cui è stata attribuita e deveessere mantenuta segreta.

Sideve inoltre osservare che la conservazione di fotografie ritraenti personeidentificate o identificabili costituisce un trattamento di dati personali eche il computer B1022016 conteneva anche dati personali costituiti da elenchidi alunni appartenenti a gruppi di lavoro;

b. con riferimento al computer di cui al cespite n. B1022018 il Comune evidenzianelle memorie difensive che "è utilizzato soltanto dalla Preside [], dallaVice-Preside [] e dalla Segretaria [] per consentire, in necessaria sinergiatra di loro, la continuità del servizio, indispensabile prima di tutto per glialunni e per la tutela della loro salute []. L'accessibilità immediataall'unico pc esistente in Presidenza, da parte della preside, dellaVice-Preside e dell'addetta alla Segreteria, è garanzia di buon funzionamentodella scuola e non può portare alcun danno alle persone, i cui dati sonoimmessi nell'archivio: quei dati vengono infatti utilizzati esclusivamente aloro tutela e a loro beneficio solo per il servizio che istituzionalmente vieneerogato".

Leosservazioni del Comune non mutano il quadro delineato nell'atto dicontestazione. Devono infatti richiamarsi le considerazioni svolte al punto a) dellapresente ordinanza, in ordine all'obbligo per il titolare del trattamento dicostituire un sistema di autenticazione conforme alle regole nn. 2, 3, 4, e 6del disciplinare tecnico di cui all'allegato B) del Codice, e, per l'effetto,agli artt. 33 e 34 del Codice medesimo.

Deveinoltre aggiungersi che qualunque trattamento di dati personali effettuato daun soggetto pubblico trova fondamento, a norma dell'art. 18 del Codice, nellefunzioni istituzionali del soggetto medesimo. La sussistenza di tale necessariopresupposto di legittimità non fa venire meno l'obbligo, in capo al soggettomedesimo, di applicare tutte le misure minime di sicurezza previste;

c.il Comune, sia nelle memorie difensive che in sede di audizione, descriveanaliticamente il modello organizzativo adottato a seguito dell'acquisizione di"elementi sulle circostanze che hanno determinato la mancata adozione inmaniera completa delle misure di sicurezza". Il Comune rappresenta inoltredi aver dotato gli utenti dei computer di cui alla contestazione, dicredenziali di accesso univoche.

Ilpercorso seguito dal Comune non può incidere sulla valutazione delleresponsabilità in ordine alla contestazione di violazione amministrativa inargomento, ma evidenzia una chiara volontà dell'ente di giungere allaeliminazione in radice delle cause che hanno determinato le contestateomissioni;

RILEVATO,quindi, che il Comune di Milano, sulla base delle considerazioni soprarichiamate, risulta aver commesso la violazione delle disposizioni di cui agliartt. 33 e 34 del Codice, per aver omesso di adottare le misure di sicurezza dicui alle regole nn. 2, 3, 4, e 6 del disciplinare tecnico di cui all'allegatoB) del Codice medesimo;

VISTOl'art. 162, comma 2-bis del Codice che punisce la violazione delle disposizionidi cui all'art. 33 con la sanzione amministrativa del pagamento di una somma dadiecimila euro a centoventimila euro;

CONSIDERATOche, ai fini della determinazione dell'ammontare della sanzione pecuniaria,occorre tenere conto, ai sensi dell'art. 11 della legge 24 novembre 1981 n.689, dell'opera svolta dall'agente per eliminare o attenuare le conseguenzedella violazione, della gravità della violazione, della personalità e dellecondizioni economiche del contravventore;

RITENUTOche, nel caso in cui l'infrazione non abbia caratterizzazioni specifiche chepossano portare a valutazioni di maggiore o minor rigore, nella determinazionedella sanzione può ritenersi corretta l'individuazione di un importo pari alterzo del massimo o, se più favorevole, al doppio del minimo, in linea conquanto previsto dall'art. 16 della L. n. 689/1981, ferma restando lavalutazione degli ulteriori elementi previsti dall'art. 11 della medesima legge[cfr. Cass. civ., sez. I, 4 novembre 1998, n. 11054];

CONSIDERATOche, nel caso in esame:

a) laviolazione, riguardo gli elementi dell'entità del pregiudizio o del pericolo edell'intensità dell'elemento psicologico, non risulta di grave rilevanza,tenuto conto che le omissioni contestate si riferiscono ad un numero limitatodi computer in uso presso l'ente;

b) aifini della valutazione dell'opera svolta dall'agente, deve essere valutato intermini favorevoli il fatto che il Comune di Milano abbia adottato misureefficaci per rimuovere le cause che hanno determinato le contestate omissioni;

c) circa la personalità del contravventore, deve tenersi in considerazione che alComune di Milano non sono state, in passato, applicate sanzioni amministrativeper violazioni in materia di protezione dei dati personali;

d)trattandosi di ente pubblico, le condizioni economiche dell'agente, al fine dicommisurare l'importo della sanzione alla reale capacità economica deltrasgressore nel rispetto del principio di uguaglianza, non sostanzianoelementi specifici idonei ad incidere sulla quantificazione della sanzione;

RITENUTOdi dover determinare, ai sensi dell'art. 11 della L. n. 689/1981, l'ammontaredella sanzione pecuniaria,  in ragione dei suddetti elementi valutati nelloro complesso, nella misura di euro 20.000,00 (ventimila), pari al minimoedittale della sanzione prevista dall'art. 162, comma 2-bis del Codice (nellaformulazione vigente all'epoca dei fatti e, quindi, antecedente alle modifichedi cui all'art. 20-bis, comma 1, lettera c), punto 1, del decreto legge 25settembre 2009, n. 135, convertito dalla legge 20 novembre 2009, n. 166);

VISTAla documentazione in atti;

VISTAla legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTEle osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazionedel 28 giugno 2000;

RELATOREla dott.ssa Augusta Iannini;

ORDINA

alComune di Milano, con sede in Milano, piazza della Scala n. 2, in persona dellegale rappresentante pro-tempore, di pagare la somma di euro 20.000,00(ventimila) a titolo di sanzione amministrativa pecuniaria per la violazioneprevista dall'art. 162, comma 2-bis, del Codice, come determinata inmotivazione;

INGIUNGE

alComune di Milano di pagare la somma di euro 20.000,00 (ventimila), secondo lemodalità indicate in allegato, entro 30 giorni dalla notificazione del presenteprovvedimento, pena l'adozione dei conseguenti atti esecutivi a norma dall'art.27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine digiorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale oin copia autentica, quietanza dell'avvenuto versamento.

Aisensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso ilpresente provvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 26 luglio 2012

Il presidente
Soro

Il relatore
Iannini

Il segretario generale
Busia