Con provvedimento in data 12 novembre 2014 (Registro dei provvedimenti n. 522 del 12 novembre 2014) il Garante ha adottato una Ordinanza ingiunzione nei confronti di Provincia di Taranto C.F.: 80004930733, con sede in Taranto, via Anfiteatro n. 4, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 4.000,00 (quattromila) a titolo di sanzione amministrativa pecuniaria per la violazione prevista dall´art. 162, comma 2-bis del Codice;
Continua a leggere
Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;
RILEVATO che il Nucleo speciale privacy della Guardia di finanza, in esecuzione della richiesta di informazioni ai sensi dell´art. 157 del Codice in materia di protezione dei dati personali – d.lg. 30 giugno 2003, n. 196 (di seguito denominato Codice) nr. 21473/53969 dell´11 ottobre 2011 formulata da questa Autorità, ha svolto degli accertamenti formalizzati nei verbali di operazioni compiute datati 14 e 15 febbraio 2012 nei confronti del Centro per l´impiego di Taranto (struttura della Provincia di Taranto, appartenente al 7° settore-Servizio agenzia del lavoro, cooperazione sociale formazione professionale-Politiche giovanili-Attività socio assistenziale) e nel verbale di operazioni compiute del 16 febbraio 2012 nei confronti della Provincia di Taranto C.F.: 80004930733, con sede in Taranto, via Anfiteatro n. 4, dai quali è risultato che la citata Provincia nella sua qualità di titolare, con specifico riferimento ai trattamenti di dati effettuati presso il Centro per l´impiego, ha omesso di adottare le misure minime di sicurezza previste dall´art. 33 del Codice in quanto:
- non ha provveduto alla designazione degli incaricati del trattamento dei dati personali ai sensi dell´art. 30 del Codice, non provvedendo, altresì, a impartire loro le relative istruzioni;
- le password di accesso al sistema informatico "Sintesi" sono costituite da meno di otto caratteri, oltre al fatto che il citato sistema informatico non disattiva le credenziali di autenticazione inutilizzate da almeno sei mesi;
VISTO il verbale nr. 17 del 19 marzo 2012 (che qui si intende integralmente richiamato) con cui è stata contestata alla Provincia di Taranto la violazione amministrativa prevista dagli artt. 162, comma 2-bis del Codice, in relazione all´art. 33, per la quale non è prevista la possibilità di effettuare il pagamento in misura ridotta ai sensi dell´art. 16 della legge 24 novembre 1981, n. 689;
CONSIDERATO che le prescrizioni impartite dall´Ufficio del Garante ai sensi dell´art. 169, comma 2, del Codice con il provvedimento datato 11 luglio 2012, sono state prontamente adempiute unitamente all´effettuazione del pagamento del quarto del massimo della sanzione stabilita per la sanzione amministrativa;
VISTO lo scritto difensivo del 19 aprile 2012 inviato ai sensi dell´art. 18 della legge n. 689/1981, nel quale la Provincia ha evidenziato come "(…) con le Delibere di Giunta n. 57 del 2009 e n. 69 del 2010, la Provincia nella sua qualità di titolare del trattamento individua i Dirigenti preposti a singoli Settori quali Responsabili del trattamento dei dati personali, prevedendo in sede di prima applicazione che tutti i dipendenti fossero incaricati del trattamento dei dati personali (…)", ove, in relazione a tale adempimento, la Provincia, nelle more della puntuale applicazione del Codice, "(…) designava formalmente un consulente esterno (…) specializzato in consulenza privacy e document managment (…)". Inoltre, relativamente a quanto contestato circa le password di accesso al sistema informatico "Sintesi", ha rilevato come "(…) i terminali utilizzati nel Centro per l´Impiego di Taranto, al momento della verifica risultavano tutti dotati di password di accesso che, sia pur non conforme agli standard prescritti, ha tuttavia svolto efficacemente la sua funzione (…)", ove peraltro, sul punto, "(…) sottolinea che il sistema SINTESI è stato acquistato con modalità del riuso e che i relativi codici sorgente non sono mai stati consegnati alla Provincia di Taranto, per cui il compito di adeguamento del sistema informatico è prerogativa esclusiva della Provincia di Milano (…)";
VISTO il verbale di audizione delle parti redatti ai sensi dell´art. 18 della legge n. 689/1981 nel quale la Provincia di Taranto, ha evidenziato come "(…) l´attività dell´ufficio oggetto dell´attività ispettiva (…) è divenuta di competenza della Provincia solo recentemente (…). In particolare si evidenzia che il sistema informatico ha cominciato a essere gestito in occasione della acquisizione della citata competenza. (…)Tuttavia i dirigenti, anche in ragione della elevata rotazione a cadenza semestrale, non hanno mai pienamente gestito il sistema che, si sottolinea, è stato trasferito dal Ministero del Lavoro assieme alle strumentazioni all´epoca implementate (…)";
RITENUTO che le argomentazioni addotte non risultano idonee in relazione a quanto contestato. Le Delibere di Giunta n. 57 del 2009 e n. 69 del 2010 hanno la funzione di approvare i D.P.S. delle relative annualità, senza che tali documenti, come peraltro già puntualmente accertato ai sensi dell´art. 13 della legge n. 689/1981 dalla Guardia di finanza nel verbale di operazioni compiute del 15 febbraio 2012, contengano le designazioni a responsabile del trattamento secondo quanto prescritto dall´art. 28, comma 4 del Codice. Sul punto, inoltre, si rileva come la formale designazione di un consulente esterno specializzato in materia di tutela dei dati personali non sostanzi l´esimente della buona fede di cui all´art. 3 della legge n. 689/1981. Relativamente alle password di accesso al sistema informatico "Sintesi", si rileva come, nella memoria difensiva, la Provincia ammetta la loro non conformità agli standard prescritti, ove, peraltro, quanto argomentato relativamente al fatto che "(…) il sistema SINTESI è stato acquistato con modalità del riuso e che i relativi codici sorgente non sono mai stati consegnati alla Provincia di Taranto(…)", non comporta l´impossibilità di attuare le specifiche regole previste dall´Allegato B) al Codice oggetto di contestazione. Quanto detto, anche tenendo conto delle ulteriori argomentazioni di cui al verbale di audizione, non consente il sostanziarsi dell´esimente della buona fede di cui all´art. 3 della legge n. 689/1981;
RILEVATO che risulta essere avvenuto presso la Provincia di Taranto un trattamento di dati (art. 4 comma 1, lett. a) e b) del Codice) omettendo di adottare le misure minime di sicurezza ai sensi dell´art. 33 del Codice;
VISTO l´art. 162, comma 2-bis, del Codice che punisce la violazione delle disposizioni indicate nell´art. 167 del Codice, tra le quali quella di cui all´art. 33 del medesimo Codice, con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;
RITENUTO che ricorrano le condizioni per applicare l´art. 164-bis, comma 1, del Codice che prevede che se taluna delle violazioni di cui agli art. 161, 162, 163 e 164 è di minore gravità, i limiti minimi e massimi stabiliti negli stessi articoli sono applicati in misura pari a due quinti;
CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge n. 689/1981, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione (che ha tempestivamente adempiuto alle prescrizioni impartite dal Garante), della gravità della violazione, della personalità e delle condizioni economiche del contravventore e che pertanto l´importo della sanzione pecuniaria per la violazione dell´art. 162, comma 2-bis del Codice, deve essere determinato nella misura di euro 4.000,00 (quattromila);
VISTA la documentazione in atti;
VISTA la legge n. 689/1981, e successive modificazioni e integrazioni;
VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;
RELATORE la prof.ssa Licia Califano;
ORDINA
alla Provincia di Taranto C.F.: 80004930733, con sede in Taranto, via Anfiteatro n. 4, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 4.000,00 (quattromila) a titolo di sanzione amministrativa pecuniaria per la violazione prevista dall´art. 162, comma 2-bis del Codice;
INGIUNGE
alla medesima Provincia di pagare la somma di euro 4.000,00 (quattromila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale o in copia autentica, quietanza dell´avvenuto versamento.
Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.