Garante per la protezione
    dei dati personali


Ordinanza di ingiunzione nei confrontidi Regione Lazio

PROVVEDIMENTO DEL 30 OTTOBRE 2013

Registro dei provvedimenti
 n. 489 del 30 ottobre 2013

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, alla presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia,segretario generale;

RILEVATOche il Nucleo speciale privacy della Guardia di finanza, in esecuzione dellarichiesta di informazioni ex art. 157 del Codice in materia di protezione deidati personali – d.lg. 30 giugno 2003, n. 196 (di seguito denominatoCodice) (n. 3957/61900 del 24 febbraio 2009), ha svolto, nei confronti di Laits.p.a., gli accertamenti di cui al verbale di operazioni compiute datato 2aprile 2009 dai quali è risultato che, tramite appositi form di raccoltapresenti alle pagine webwww.poslazio.it/opencms/opencms/sociale/pos/cittadino/servizi_al_cittadino/Prenotazioni_prestazioni/privacye www.poslazio.it/opencms/opencms/sociale/pos/Registrazione/index.html, vieneeffettuata una raccolta di dati personali anagrafici, oltre, tra l'altro,all'indirizzo di posta elettronica, al numero di telefonia fissa e mobile,senza che venga resa un'idonea informativa agli interessati ai sensi dell'art.13 del Codice, sia nelle predette pagine web sia tramite apposito linkdenominato "Note legali e privacy" presente in tutte le pagine delsito Internet www.poslazio.it;

RILEVATO,però, che, ravvisata la necessità di ulteriori approfondimenti, l'Ufficio delGarante, con le note nn.rr. 4479 del 3 giugno 2011 inviata da Lait s.p.a. e 445986 del 14 ottobre 2011 inviata dalla Direzione attività della presidenzadella Regione Lazio, ha accertato che, diversamente da quanto dichiarato nelverbale di operazioni compiute, Lait s.p.a., in base a quanto previstonell'art. 20 della Convenzione per la realizzazione, organizzazione e gestionedel sistema informativo regionale (S.I.R.), non è qualificabile né comeautonomo titolare né come cotitolare dei trattamenti effettuati tramite i formdi raccolta in argomento, bensì come responsabile dei trattamenti medesimi,come peraltro formalizzato nell'atto di designazione ai sensi dell'art. 29 delCodice, adottato con Decreto del Presidente della Regione Lazio n. T0423 del 7agosto 2006. A fronte di ciò, in assenza di specifiche indicazioni da partedell'effettivo titolare del trattamento (Regione Lazio) non rinvenibilinell'atto di designazione né in altri documenti acquisiti agli atti delprocedimento, Lait s.p.a. non può essere ritenuta autonomamente responsabiledell'inidoneità dell'informativa agli interessati ai sensi dell'art. 13 delCodice oggetto di contestazione;

CONSIDERATOche il procedimento amministrativo sanzionatorio aperto con il verbale n. 10redatto in data 2 aprile 2009 dal Nucleo speciale privacy della Guardia difinanza, nei confronti di Lait s.p.a., si è concluso con l'Ordinanza diarchiviazione n. 229 del 4 novembre 2011 dell'Ufficio del Garante nei confrontidella medesima società;

VISTOil verbale del n. 23709/61900 del 4 novembre 2011 con cui, alla luce dei nuovielementi acquisiti di cui sopra, è stata contestata, alla Regione Lazio C.F.:80143490581, con sede in Roma, via Cristoforo Colombo n. 12 in persona dellegale rappresentante pro-tempore, quale titolare del trattamento, laviolazione amministrativa, prevista dall'art. 161 del Codice, in relazioneall'art. 13, informandolo della facoltà di effettuare il pagamento in misuraridotta ai sensi dell'art. 16 della legge 24 novembre 1981, n. 689;

RILEVATOdal rapporto del predetto Ufficio del Garante, predisposto ai sensi dell'art.17 della legge 24 novembre 1981, n. 689, relativo al suddetto verbale dicontestazione, che non risulta essere stato effettuato il pagamento in misuraridotta;

VISTOlo scritto difensivo, anche se inviato ben oltre i termini previsti dall'art.18 della legge 24 novembre 1981, n. 689, con il quale la Regione Lazio,sottolineando "() di essere venuta a conoscenza della contestazioneelevata, tardivamente, per varie ragioni, dovute, in particolare, alla gestioneiniziale della questione da parte di Lait. S.p.a. e dall'ex Direzione regionaleattività della Presidenza () alla complessità dell'organizzazione regionale,al rinnovo delle stesse strutture amministrative, oltre che al tempo trascorsodalla contestazione ()", ha evidenziato come, sia in base a quantodisposto dall'art. 20, commi 7 e 8 della Convenzione per la realizzazione,organizzazione e gestione del sistema informativo regionale (S.I.R.) che inrelazione a quanto disciplinato dall'art. 3.4, lett b) e c) del Regolamentosulle "Misure minime di sicurezza per il trattamento dei dati personalipresso le strutture della Giunta Regionale del Lazio", emanato condeliberazione della Giunta Regionale n. 1142 del 29 novembre 2004, "()gli incaricati del trattamento dei dati, nominati dal responsabile deltrattamento – nel caso di specie il legale rappresentante di Lait s.p.a.-, avrebbero dovuto consegnare agli interessati, al momento della raccolta deidati, il modulo contenente l'informativa di cui all'art. 13 della legge, salvoche l'informativa medesima fosse stata fornita direttamente dal titolare o dalresponsabile". Sul punto, peraltro, "() Lait s.p.a., responsabiledel trattamento dei dati in questione e, soprattutto, della gestioneinformatica del vasto e complesso sistema informativo Regionale, era stata resaedotta dei principi in tema di Privacy, nonché degli obblighi derivanti dall'art.13 del Codice che, d'altra parte, la stessa ha applicato, inserendo il relativoriferimento da destinare agli interessati ai servizi offerti nelle pagine webdel POS";

RITENUTOche le argomentazioni addotte non risultano idonee in relazione a quanto contestato.La notifica del verbale di contestazione è ritualmente avvenuta ai sensidell'art. 14 della legge n. 689/1981 mediante invio, tramite posta elettronicacertificata, alla casella di posta elettronica istituzionale della Regione indata 4 novembre 2011. Sul punto si evidenzia come le argomentazioni con lequali è stata richiamata la disciplina di cui all'art. 3 della legge n.689/1981 risultano inapplicabili al caso di specie, atteso che l'errore sullaliceità del fatto, comunemente indicato come buona fede, può rilevare comecausa di esclusione della responsabilità solo quando esso risulti incolpevole.A tal fine occorre, cioè, un elemento positivo idoneo ad indurre un erroresiffatto, non ovviabile dall'interessato con l'ordinaria diligenza (Cass. Civ.sez. I del 21 febbraio 1995 n. 1873; Cass. Civ. sez II del 13 marzo 2006, n.5426), elemento che, nel caso di specie, non è riscontrabile. Inoltre, circal'obbligo di rendere un'idonea informativa agli interessati, si evidenzia comespetti al titolare del trattamento (Regione Lazio), qualora non provvedadirettamente, fornire puntuali indicazioni al responsabile del trattamentomedesimo (Lait s.p.a.) circa gli elementi previsti dall'art. 13 del Codice che,altrimenti, non potrebbero essere conosciuti né dal citato responsabile né,tantomeno, dagli incaricati del trattamento. La Regione non ha fornito alcunelemento di prova di aver provveduto in tal senso, atteso che né con laConvenzione per la realizzazione, organizzazione e gestione del sistema informativoregionale (S.I.R.), né con il Regolamento sulle "Misure minime disicurezza per il trattamento dei dati personali presso le strutture dellaGiunta Regionale del Lazio" e neanche con l'atto di designazione qualeresponsabile dei trattamenti in argomento, così come formalizzato ai sensidell'art. 29 del Codice, con Decreto del Presidente della Regione Lazio n.T0423 del 7 agosto 2006, vengono fornite alla Lait s.p.a. specificheindicazioni circa i contenuti che avrebbero dovuto avere le informative previstedall'art. 13 del Codice per i trattamenti di dati all'origine del presenteprocedimento sanzionatorio;

RILEVATOche la Regione Lazio ha quindi effettuato un trattamento di dati personali(art. 4 comma 1, lett. a) e b) del Codice) senza rendere la prescrittainformativa agli interessati ai sensi dell'art. 13 del Codice attraversoappositi form presenti alle pagine webwww.poslazio.it/opencms/opencms/sociale/pos/cittadino/servizi_al_cittadino/Prenotazioni_prestazioni/privacye www.poslazio.it/opencms/opencms/sociale/pos/Registrazione/index.html;

VISTOl'art. 161 del Codice che punisce la violazione delle disposizioni di cuiall'art. 13 con la sanzione amministrativa del pagamento di una somma daseimila euro a trentaseimila euro;

CONSIDERATOche, ai fini della determinazione dell'ammontare della sanzione pecuniaria,occorre tenere conto, ai sensi dell'art. 11 della legge 24 novembre 1981 n.689, dell'opera svolta dall'agente per eliminare o attenuare le conseguenzedella violazione, della gravità della violazione, della personalità e dellecondizioni economiche del contravventore;

CONSIDERATOche, nel caso in esame:

a) inordine all'aspetto della gravità, l'entità del pregiudizio o del pericolo,l'intensità dell'elemento psicologico e le modalità concreta della condotta nonsono contraddistinti da elementi specifici;

b) aifini della valutazione dell'opera svolta dall'agente, non risultano esserestati forniti elementi di valutazione;

c) circala personalità dell'autore della violazione, deve essere positivamenteconsiderata la circostanza che la Regione non risulti avere precedentispecifici in termini di violazioni alle disposizioni del Codice;

d) inmerito alle condizioni economiche dell'agente, al fine di commisurare l'importodella sanzione alla reale capacità economica del trasgressore nel rispetto delprincipio di uguaglianza, si deve valutare la natura di ente pubblico deltrasgressore;

RITENUTOdi dover determinare, ai sensi dell'art. 11 della legge n. 689/1981,l'ammontare della sanzione pecuniaria per la violazione dell'art. 161 delCodice nella misura di euro 12.000,00 (dodicimila);

VISTAla documentazione in atti;

VISTAla legge 24 novembre 1981 n. 689, e successive modificazioni ed integrazioni;

VISTEle osservazioni dell'Ufficio, formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000;

RELATOREla prof.ssa Licia Califano;

ORDINA

allaRegione Lazio C.F.: 80143490581, con sede in Roma, via Cristoforo Colombo n.12, in persona del legale rappresentante pro-tempore, di pagare la somma dieuro 12.000,00 (dodicimila) a titolo di sanzione amministrativa pecuniaria perla violazione prevista dall'art. 161 del Codice indicata in motivazione;

INGIUNGE

almedesimo soggetto di pagare la somma di euro 12.000,00 (dodicimila) secondo lemodalità indicate in allegato, entro 30 giorni dalla notificazione del presenteprovvedimento, pena l'adozione dei conseguenti atti esecutivi a norma dall'art.27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine digiorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale oin copia autentica, quietanza dell'avvenuto versamento.

Ai sensidegli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presenteprovvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 30 ottobre 2013

Il presidente
Soro

Il relatore
Califano

Il segretario generale
Busia