Nell’anno 2018 sono stati avviati n. 707 nuovi procedimenti sanzionatori amministrativi. I relativi atti di contestazione sono stati adottati sulla base della disciplinaprevista dalla l. n. 689/1981, in virtù del relativo rimando operato dal Codice prima dell’entrata in vigore del decreto legislativo n. 101/2018. Tutti i suddetti procedimenti sanzionatori, tra cui anche quelli avviati nella seconda parte dell’anno (quindi successivamente alla data di applicazione del RGPD), hanno riguardato l’accertamento di violazioni delle norme in materia di protezione dei dati personali avvenute prima del 25 maggio 2018, cioè nella piena vigenza del Codice nella sua formulazione precedente alle modifiche introdotte dal decreto legislativo n. 101/2018, sì che, in applicazione del principio tempus regit actum, le violazioni sono state contestate secondo la procedura prevista dalla citata l. n. 689/1981 (cfr. sez. IV, tab. 6).

All’accertamento delle violazioni amministrative previste dal Codice poteva procedere:

– il personale dell’Ufficio del Garante addetto all’attività ispettiva a cui, sulla base di quanto previsto dall’art. 156, comma 9, del Codice, nei limiti del servizio cui è destinato e secondo le rispettive attribuzioni, è attribuita la qualifica di ufficiale o agente di polizia giudiziaria;

– fino al 25 maggio 2018, chiunque rivestisse, nell’esercizio delle proprie funzioni, la qualifica di ufficiale o agente di polizia giudiziaria, in base a quanto previsto dall’art. 13, l. n. 689/1981.

Le 707 violazioni in relazione alle quali sono stati avviati procedimenti sanzio-natori nel 2018 hanno riguardato:

– 424 casi di trattamento illecito per violazione delle disposizioni contenute nell’art. 167 (es. trattamento di dati senza il consenso degli interessati; diffusione didati sui siti internet delle p.a.; comunicazioni elettroniche indesiderate), sanzionati dall’art. 162, comma 2-bis;

– 229 casi di omessa o inidonea informativa all’interessato, sanzionati dall’art.161;

– 17 casi di omessa o incompleta notificazione ai sensi degli artt. 37 e 38, sanzionati dall’art. 163;

– 14 casi di omessa adozione delle misure minime di sicurezza di cui all’art. 33 (es. mancata designazione degli incaricati;

violazione delle disposizioni di cui all’All.B al Codice), sanzionati dall’art. 162, comma 2-bis;

– 9 casi di omessa informazione o esibizione di documenti al Garante, sanzionati dall’art. 164;

I procedimenti sanzionatori definiti nell’anno 2018 con provvedimento di ordinanza-ingiunzione adottato dall’Autorità, relativamente a violazioni contestate (anche) negli anni precedenti al 2018 stesso e non definite all’epoca attraverso il pagamento spontaneo in misura ridotta da parte del contravventore, sono stati 439. Di questi, 419 hanno comportato l’applicazione di una sanzione (per un ammontare complessivo di somme ingiunte pari a 9.562.600 euro) e 20 si sono invece conclusi con l’archiviazione in quanto la parte ha potuto dimostrare nel procedimento di non aver commesso la violazione contestata o che la violazione non era ad essa imputabile.

È opportuno evidenziare che, in aggiunta ai procedimenti sopra descritti, sono stati definiti ulteriori n. 88 procedimenti sanzionatori attraverso l’esercizio, da parte dei trasgressori, della facoltà di definizione agevolata prevista dal citato art. 18, d.lgs.n. 101/2018 ed il versamento dei relativi importi. Relativamente alle sopra citate ordinanze-ingiunzione adottate dall’Autorità,invece, appare necessario evidenziare alcuni significativi provvedimenti, tra cui si segnalano, per la particolare rilevanza economica e per il considerevole numero di interessati coinvolti, n. 5 ordinanze-ingiunzioni emesse dal Garante nei confronti dialtrettante compagnie telefoniche (consultabili ai docc. web nn. 7665804,9370122, 9025351, 9040267 e 9079005), con riferimento, in particolare, all’esercizio di attività di marketing non sorrette da idoneo consenso, indirizzate verso clienti ed ex clienti (cfr. al riguardo par. 10.2). Nelle predette ordinanze sono stati presi in considerazione, quali elementi determinanti per la quantificazione delle sanzioni, la circostanza che l’utilizzo di molteplici canali di contatto (telefonate su rete fissa, su rete mobile e messaggi sms) avesse reso maggiormente invasivo l’illecito trattamento, nonché l’adozione, ancor prima dell’intervento dell’Autorità, di procedure idonee a ricondurre i trattamenti in una cornice di liceità.

In un’altra ordinanza-ingiunzione (provv. 16 maggio 2018, n. 297, doc. web n.9370122), adottata sempre nei confronti di una compagnia telefonica, il Garante, muovendo dalla segnalazione di un abbonato che lamentava l’indebita intestazione, a suo nome, di un elevato numero di linee telefoniche di rete fissa dallo stesso mai richieste, ha censurato, in termini di maggiore onerosità della sanzione, la circostanza che la compagnia non si fosse attivata con tempestività per risolvere le gravi problematiche segnalate dall’interessato, costringendolo a rivolgersi al Garante. In tutti i provvedimenti sopra richiamati il Garante, a seguito di un’analisi sulla struttura dei bilanci e sulla posizione nel mercato nazionale e internazionale di ciascuna compagnia, ha applicato l’incremento sanzionatorio previsto in relazione allerilevanti condizioni economiche dei contravventori. Le società coinvolte hanno versato le sanzioni comminate dal Garante. Un altro settore significativo è quello relativo all’adozione di n. 22 ordinanze-ingiunzioni nei confronti di altrettanti medici di base di Roma (provv. 22 maggio2018, n. 335, doc. web n. 9027240) i quali, alla fine del 2014, hanno consentito l’accesso al sistema informativo ai propri sostituti che hanno utilizzato le credenziali di autenticazione dei titolari. Nei provvedimenti del Garante è stato confermato che i medici titolari hanno l’onere di prevedere accessi separati ai propri applicativi nelcaso in cui gli stessi siano utilizzati dai propri sostituti, e che gli accessi di questi ultimi al sistema di monitoraggio della spesa sanitaria debbano avvenire con l’utilizzo di proprie credenziali.

Il Garante ha inoltre adottato un provvedimento sanzionatorio in applicazione delle disposizioni di cui agli artt. 24 e 25, d.lgs. n. 101/2018, che prevede l’irrogazione di sanzioni amministrative in luogo delle sanzioni penali per reati depenalizzati in materia di omessa adozione di misure minime di sicurezza e falsità nelle notificazioni. In un altro caso il Garante, rilevando che l’applicazione della sanzione amministrativa in luogo di quella penale avrebbe determinato una violazione del principio del ne bis in idem, ha prospettato l’archiviazione del relativo procedimento.

In materia di telemarketing si segnalano due ordinanze ingiunzioni (provv.ti 31 maggio 2018, n. 368, doc. web n. 9038227 e n. 369, doc. web n. 9038386) adottate dall’Autorità nei confronti di due società che, in qualità di co-titolari, hanno effettuato attività di telemarketing nei confronti di un numero rilevante di soggetti, in violazione delle disposizioni in materia di protezione dei dati personali. In particolare, lesocietà, in modo promiscuo e senza alcuna compartimentazione, hanno raccolto i datipersonali degli interessati attraverso tre diversi canali: mediante un form online, presente sul sito internet di una delle due società, dagli elenchi telefonici pubblici e,infine, da liste di numerazioni ottenute da una società terza. Tali operazioni di raccolta dati sono state effettuate rendendo agli interessati che accedevano al sito internet un’informativa inidonea e acquisendo un unico consenso a fronte di diverse finalità perseguite; omettendo di acquisire il consenso informato degli interessati le cui numerazioni erano state reperite dalla società terza e, infine, omettendo di verificare pressoil Registro pubblico delle opposizioni le numerazioni ottenute dagli elenchi pubblici.

Entrambe le società sono state destinatarie di un provvedimento di divieto e prescrittivo (provv. 15 giugno 2017, n. 268, doc. web n. 6629169), nonché delle sanzioni amministrative previste per la violazione degli artt. 13, 23, 130, commi 3 e 3-bis, delCodice. È stata altresì applicata la sanzione amministrativa prevista dall’art. 164-bis,comma 2, del Codice, che punisce la violazione di un’unica o di più disposizioni indicate nel Capo I del Codice, commesse anche in tempi diversi in relazione a banche dati di particolare rilevanza o dimensioni, con la sanzione amministrativa da euro cinquantamila a euro trecentomila, in considerazione del rilevantissimo numero di dati personali contenuti nella banca dati (circa 1.000.000 di numerazioni). Come più volte ribadito sia dalla giurisprudenza di merito che da quella di legittimità, la fattispecie di cui all’art. 164-bis, comma 2, del Codice è del tutto autonoma e distinta rispetto alle fattispecie in essa richiamate. Di qui la configurabilità del cumulo materiale, conseguente all’astratta ipotizzabilità del concorso (non formale) degli illeciti amministrativi tra le fattispecie di cui agli artt. 161 e 162, comma 2-bis, in rapporto a quella di cui all’art. 164-bis, comma 2, del Codice, quando le prime violazioni (tra le tante possibili secondo il tenore della disposizione esaminata) siano commesse conriferimento a una banca dati di particolare rilevanza e dimensioni.

Il Garante ha adottato un’ordinanza ingiunzione (provv. 22 febbraio 2018, n.108, doc. web n. 9023215) nei confronti di una impresa individuale per aver effettuato un trattamento di dati personali per mezzo di un sistema di video sorveglianza omettendo di rendere l’informativa agli interessati ai sensi dell’art. 13 del Codice, conservando le immagini per un periodo di tempo superiore a 7 giorni, in violazione di quanto previsto dal Garante nel provvedimento generale sulla video sorveglianza, e, infine, omettendo di adottare le misure di sicurezza ex art. 33 del Codice.

Rispetto a tale ultima violazione, essendo stata inoltrata comunicazione di notizia direato all’autorità giudiziaria, è stata sollevata, in sede difensiva, la possibile configurabilità dell’istituto della connessione per pregiudizialità ex art. 24, l. n. 689/1981.

L’Autorità ha avuto così modo di chiarire che la valutazione circa la ricorrenza dell’istituto della connessione (per pregiudizialità) della violazione amministrativa con un reato (nel caso di specie, quella dell’art. 33 del Codice), di cui all’art. 24, l. n.689/1981, è rimessa esclusivamente all’autorità giudiziaria procedente. Che tali valutazioni siano di competenza dell’autorità giudiziaria e che precedano la fase della contestazione, si ricava dall’art. 14, comma 3, della medesima legge, in base alla quale, quando la connessione non sussiste, l’autorità giudiziaria dispone “conprovvedimento” la trasmissione degli atti all’“Autorità competente” per la contestazione della violazione amministrativa e quindi l’avvio del procedimento sanzionatorio. Nella fattispecie in esame, avendo il Pubblico ministero autorizzato l’utilizzo ai fini amministrativi degli elementi acquisiti in ambito penale, per la contestazione della violazione amministrativa, emerge la piena competenza del Garante a definire il relativo procedimento sanzionatorio.

In riferimento all’utilizzo di dispositivi finalizzati alla localizzazione di persone ed oggetti, il Garante, nel sanzionare una società esercente l’attività di car sharing per la mancata indicazione, nel testo dell’informativa da rilasciare ai clienti, di riferimenti alla finalità e alle modalità riguardanti la funzione di geolocalizzazione dei veicoli a noleggio, ha definito il concetto di localizzazione “continuativa” di cui al provvedimento recante “Chiarimenti sui trattamenti da notificare al Garante – 23 aprile 2004” (doc. web n. 993385), nonché al provvedimento concernente sistemi di localizzazione dei veicoli nell’ambito del rapporto di lavoro del 4 ottobre 2011 (doc. web n. 1850581). Ha ritenuto, infatti, sussistente il requisito della “continuità” qualora la posizione del mezzo sia rilevabile a discrezione del titolare del trattamento, ossia ogni qualvolta il titolare del trattamento sia in grado di conoscere, inqualsiasi momento, automaticamente o meno (anche, ad es., attraverso un meccanismo conoscitivo come una telefonata o l’invio di un sms) la posizione del conducente sul veicolo geolocalizzato, prescindendo quindi dalla staticità o dinamicità delsistema di localizzazione e/o dalla possibilità o meno di una tracciatura costante invia automatica di tutto il percorso effettuato dal veicolo geolocalizzato (provv. 15febbraio 2018, n. 86, doc. web n. 8990236).

Fonte: Garante - Relazione 2018