EntiOnLine
Categorie
Tutorial > Glossario-Definizioni
Tutorial > Normativa
Normativa europea e internazionale
Normativa italiana
Tutorial > Autocontrollo di conformita' > chek list
Tutorial > Modulistica-Formulari-Procedure
Modulistica Garante
Procedure-Buone prassi
Formule
Massimario > Quesiti e Faq
Accesso Civico e documentale
Albo pretorio e Trasparenza
Attivita' di trattamento
Attori interni ed esterni
Canali Social e motori di ricerca> Youtube, Facebook, Twitter, Linkedin - Google, Safari, Firefox
Certificazione e accreditamento
Cookie
Coronavirus
Data Breach
Dati Sanitari
Diritti
DPIA
Foto e Video Online
Garante
RPD
GDPR
Green-pass
Informativa
Internet e Motori di ricerca
ISTAT
Minori
Password
Phishing
Piano triennale trattamento e protezione dati
Polizia Postale e delle Comunicazioni
Pubblica amministrazione e trasparenza
Registrazione delle attivita' di trattamento
Sanzioni Amministrative
Scuola
Sicurezza informatica
Spam
Spid
Trattamento dei dati
Videosorveglianza
News
Tutorial > Formazione - Slide
Tutorial > Formazione -Video
Soggetti > Titolare autonomo
Soggetti > Contitolare
Soggetti > Titolare - Dirigenti designati - Dipendenti incaricati
Accountability
Soggetti > Servizio protezione dati - DPO
Soggetti > Responsabile del trattamento
Soggetti > Responsabile servizio protezione dati-rpd
Vigilanza DPO-RPD
Soggetti > Interessati - diritti
Diritti degli interessati
Informativa in formato elettronico e icone sul sito web
Informativa: trasparenza del trattamento
Autorita' di regolazione > Garante europeo
Giornate europee della protezione dei dati
Autorita' di controllo > Garante
Attivita' ispettiva
Linee guida e Linee guida europee
Pareri
Pareri su istanze di accesso civico - art.5, co. 7 D.Lgs. 33/2013
Provvedimenti
Provvedimenti approvazione regole deontologiche e Codici di condotta
Provvedimenti di accertamento, ordinanze ingiunzione, correttivi e sanzionatori
Pubblicazioni e Comunicati
Autorita' di indagine > Guardia di finanza - Polizia postale
Sistema di gestione rischio> Valutazione di impatto - DPIA
Sistema di gestione rischio > Attivita' di trattamento - REGISTRI
Registro attivita' di trattamento
Registro Data breach
Sistema di gestione rischio > Data Breach > Illeciti penali
Sistema gestione rischio > Attivita' di trattamento dati particolari
Sistema gestione rischio - Analisi - DESCRIZIONE SISTEMATICA
Adesione a un meccanismo di certificazione
Ambito di applicazione del trattamento
Archivi/banche dati
Categorie di destinatari
Categorie di interessati
Categorie di trattamenti - forme ordinarie di elaborazione
Categorie di trattamenti - particolari forme di elaborazione- : interconnessione e raffronti di dati-elaborazioni automatizzate
Categorie di trattamenti - particolari forme di elaborazione: comunicazione
Categorie di trattamenti - particolari forme di elaborazione: diffusione
Categorie di trattamenti - particolari forme di elaborazione: trasferimento all'estero
Categorie-tipi di dati
Cessazione trattamento: modalita' di cessazione dei dati
Cessazione trattamento: Periodo di conservazione dei dati
Cessazione trattamento: termine ultimo per la cancellazione delle diverse categorie di dati
Codici di condotta e regole deontologiche
Contesto del trattamento
Finalita' del trattamento
Fonte normativa
Interesse legittimo
Luoghi di custodia dei dati
Natura del trattamento
Opinioni interessati o loro rappresentanti
Parere di esperti
Parere RPO/RTD
Registrazione dei dati personali, dei destinatari e del periodo di conservazione dei dati personali
Sintetica descrizione del trattamento e del flusso informativo
Tipo di archivio/banca dati
Valutazione impatto sulla protezione dei dati - DPIA
Sistema di gestione rischio - Valutazione - Determinazione preliminare
1.Valutazione o assegnazione di punteggio
2.Processo decisionale automatizzato
3.Monitoraggio sistematico
4.Dati sensibili o aventi carattere altamente personale
5.Trattamento di dati su larga scala
6.Creazione di corrispondenze o combinazione di insieme di dati
7.Dati relativi a interessati vulnerabili
8.Uso innovativo o applicazioni di nuove soluzioni tecnologiche o organizzative
9.Trattamento che impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o un contratto
Criteri pertinenti in base alle linee guida
Criteri pertinenti rilevati dall'Ente
Descrizione sistematica
Motivazione assenza rischio elevato
MY PERSONAL BD > Sistema gestione rischio - Valutazione - Necessita' proporzionalita' conformita' gdrp
Linee-guida Gruppo Articolo 29
Metodologia di valutazione dei rischi
Data breach
Misure che contribuiscono ai diritti degli interessati in relazione alle finalita'
Misure che contribuiscono alla proporzionalita' e necessita' del trattamento in relazione alle finalita'
Misure previste per dimostrare la conformita' al RGPD
Valutazione rischio: sintesi
Sistema di gestione rischio > Data Breach > Illeciti amministrativi e danno erariale
Sistema di gestione rischio > Prescrizioni - raccomandazioni Garante
Sistema di gestione rischio > Revisione - Monitoraggio - Riesame
Fasi attuazione misure
Indicatori attuazione misure
Responsabile attuazione misure
Riesame e motivazione riesame
Stato attuazione misure
Sistema di gestione rischio > Minacce
RISCHI Impatti potenziali in caso di eventi fra cui accesso illegittimo, modifiche indesiderate e indisponibilita' dei dati
RISCHI Minacce che potrebbero comportare accessi illegittimi, modifiche indesiderate e indisponibilita' dei dati
RISCHI Origine/fonte dei rischi: accessi illegittimi, modifiche indesiderate e indisponibilita' dei dati
Valutazione rischio - ponderazione
Sistema gestione rischio - Trattamento - Misure di sicurezza e sicurezza informatica
AgID e sicurezza informatica
Misure di sicurezza logistiche
Misure di sicurezza organizzative
Misure di sicurezza procedurali
Misure di sicurezza tecniche informatiche, comprese le misure di ripristino in caso di data breach
Sistema di gestione rischio > Attivita' di trattamento dati personali
Attivita' fiscale e tributaria
Attivita' giudiziaria
Big data e Open data
Dati biometrici
Biometria in ambito pubblico
Dati biometrici nel rapporto di lavoro
Dati personali nel rapporto di lavoro pubblico e privato
Dati personali dei dipendenti mediante dispositivi e posta elettronica
Dati personali nella gestione del rapporto di lavoro
Dati relativi ai dipendenti tramite sistemi di geolocalizzazione
Pubblicita' e trasparenza dei dati dei lavoratori
Dati sensibili e giudiziari presso le pubbliche amministrazioni
Documentazione anagrafica e la materia elettorale
Istruzione scolastica
Previdenza e l'assistenza sociale
Recupero crediti
Sanita' e dati genetici
Trattamenti effettuati presso regioni ed enti locali
Videosorveglianza
Videosorveglianza in ambito privato
Videosorveglianza in ambito pubblico
Sistema di gestione rischio > Attivita' di trattamento - principi e base giuridica
Liceita' del trattamento
Liceita'-Consenso
Principi generali
Trasparenza del trattamento
Sistema di gestione rischio > Trasparenza - privacy - accesso civico
Sorveglianza DPO
Sorveglianza DPO > Programmazione
Sorveglianza DPO > Prescrizioni - raccomandazioni
Raccomandazioni e Prescrizioni RPD
Focus > Transizione al digitale
Focus > Intelligenza artificiale
Focus > Elezioni
Trattamento dei dati personali da parte di movimenti politici e associazioni
Trattamento dei dati personali degli eletti e degli amministratori da parte delle P.A.
Focus > Coronavirus e smart working
Focus > Censimento
Focus > Casi riportati dalla stampa
Focus > Rapporto lavoro pubblico
Focus > Giurisprudenza
Focus > Albo pretorio e amministrazione trasparente
cerca
CONSULENZA
FAQ
Pareri del consulente
STRUMENTI
Modulistica
Schemi e tabelle
Procedure
Glossario
Rassegna stampa
NORMATIVA
Normativa
Linee guida ANAC
Linee guida Garante Privacy
Principi di diritto
Documentazione
GIURISPRUDENZA
Giurisprudenza
Decisioni amministrative
Provvedimenti delle autorita'
indietro
16/02/2017 Ordinanza ingiunzione nei confronti di Consorzio unico di bacino per le Province di Napoli e Caserta - 16 febbraio 2017 > Trattamento di dati personali tramite un sistema di rilevazione dei dati biometrici dei dipendenti

Con provvediemnto in data 16 febbraio 2017 (Registro dei provvedimenti n. 65 del 16 febbraio 2017) il Garante ha adottato una Ordinanza ingiunzione nei confronti del Consorzio unico di bacino per le Province di Napoli e Caserta in liquidazione, in persona del legale rappresentante pro-tempore, con sede legale in Marcianese (CE), strada provinciale 335, km. 27,800, snc, P.I.: 03532640616, di pagare la somma di euro 20.000,00 (ventimila) a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione;

Continua a leggere

Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

RILEVATO che la Guardia di finanza, Nucleo speciale privacy, in esecuzione della richiesta di informazioni ai sensi dell´art. 157 del Codice in materia di protezione dei dati personali – d.lgs. 30 giugno 2003, n. 196 (di seguito denominato Codice), n. 30130/74010 del 29 novembre 2012, formulata da questa Autorità a fronte di una segnalazione, ha svolto, presso la sede legale del Consorzio unico di bacino per le Province di Napoli e Caserta in liquidazione (d´ora in poi Consorzio), già sita in Caserta, corso Pietro Giannone, n. 50, P.I.: 03532640616, gli accertamenti di cui ai verbali delle operazioni compiute del 3 e 4 aprile 2013;

RILEVATO che all´esito di tale attività e a fronte della nota inoltrata dal Soggetto liquidatore del Consorzio datata 11 ottobre 2013, a scioglimento delle riserve formulate in sede di accertamenti ispettivi presso la sede del Consorzio, il competente Ufficio del Garante, con la nota di trasmissione n. 17284/74010 del 4 giugno 2014, ha accertato quanto segue:

- il Consorzio ha effettuato un trattamento di dati personali tramite un sistema di rilevazione dei dati biometrici [impronte digitali] dei dipendenti per finalità di rilevazione delle presenze;

- tale trattamento, iniziato nel mese di aprile del 2011, risulta cessato a partire dal mese di novembre 2012 e non vi sono evidenze di ulteriori trattamenti dei template a suo tempo raccolti;

- il Consorzio, tuttora in fase di liquidazione, non aveva provveduto ad effettuare la notificazione al Garante prescritta dall´art. 37, comma 1, lett. a) del Codice in quanto non riteneva che il sistema utilizzasse dati biometrici [il sistema memorizzava un codice alfanumerico associato al dipendente per ogni impronta rilevata];

RILEVATO che l´Ufficio del Garante, con verbale n. 17788/74010 del 6 giugno 2014 (notificato in pari data), che qui deve intendersi integralmente riportato, ha contestato al Consorzio, in qualità di titolare del trattamento, in relazione all´omessa notifica al Garante del trattamento di dati biometrici di cui all´art. 37, comma 1 lett. a) del Codice, la violazione amministrativa prevista dall´art. 163 del Codice, informandolo della facoltà di effettuare il pagamento in misura ridotta ai sensi dell´art. 16 della legge 24 novembre 1981, n. 689;

ESAMINATO il rapporto predisposto ai sensi dell´art. 17 della legge 24 novembre 1981, n. 689 dal quale non risulta essere stato effettuato il pagamento in misura ridotta;

CONSIDERATO che la parte non risulta essersi avvalsa delle facoltà previste dall´art. 18 della legge n. 689/1981 (non presentando all´Autorità scritti difensivi né chiedendo di essere ascoltata);

CONSIDERATO che il sistema utilizzato all´epoca dei fatti dal Consorzio, nel rilevare l´impronta digitale dell´interessato, trasformandola in un codice alfanumerico tramite il c.d. enrolment e convertendola in un template, effettuava un trattamento di dati personali di cui all´art. 4, comma 1, lett. a), del Codice. Sul punto il Garante si è espresso in numerosi provvedimenti (ex multis Ordinanza ingiunzione n. 554 del 22 ottobre 2015, doc. web. 4630919; Provvedimento generale prescrittivo in tema di biometria del 12 novembre 2014, doc. web. 3556992; Provvedimento dell´8 novembre 2007, doc. web n. 1461908; provvedimenti relativi ai casi da sottrarre all´obbligo di notificazione, in G. U. n. 81 del 6 aprile 2004, doc. web n. 852561, e del 23 aprile 2004, doc. web n. 993385);
Visto l´art. 37, comma 1, lett. a), del Codice che disciplina l´obbligo per i titolari del trattamento di effettuare una notifica preventiva al Garante qualora il trattamento riguardi dati biometrici;

RILEVATO, pertanto, che il Consorzio unico di bacino per le Province di Napoli e Caserta in liquidazione, in qualità di titolare del trattamento, ai sensi degli artt. 4, comma 1, lett. f) e 28 del Codice, risulta aver commesso la violazione di cui all´art. 37, comma 1, lett. a) del Codice, per aver effettuato un trattamento di dati biometrici senza aver presentato preventivamente la notificazione al Garante;

VISTO l´art. 163 del Codice che punisce la violazione delle disposizioni di cui all´art. 37 con la sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro;

CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge n. 689/1981, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

RITENUTO di dover determinare, ai sensi dell´art. 11 della l. n. 689/1981, l´ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura di euro 20.000,00 (ventimila);

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

ORDINA

al Consorzio unico di bacino per le Province di Napoli e Caserta in liquidazione, in persona del legale rappresentante pro-tempore, con sede legale in Marcianese (CE), strada provinciale 335, km. 27,800, snc, P.I.: 03532640616, di pagare la somma di euro 20.000,00 (ventimila) a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione;

INGIUNGE

al medesimo soggetto di pagare la somma di euro 20.000,00 (ventimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Categorie
Provvedimenti di accertamento, ordinanze ingiunzione, correttivi e sanzionatori
Data breach
Provvedimenti di accertamento, ordinanze ingiunzione, correttivi e sanzionatori
Parole chiave
Banca dati

Copyright © Entionline by Maggioli Spa - P.IVA 02066400405. Tutti i diritti riservati. Disclaimer - informativa privacy - Cookies policy

credits