Provvedimento del 9 aprile 2015 [4064810]
Provvedimento del 9 aprile 2015 [4064810]
Condividi[doc. web n. 4064810]
Provvedimento del 9 aprile 2015
Registro dei provvedimenti
n. 216 del 9 aprile 2015
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano, componente e del dott. Giuseppe Busia, segretario generale;
VISTA l´istanza avanzata in data 18 settembre 2014 ai sensi dell´art. 7 d.lgs. 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (di seguito "Codice") con la quale XY, in servizio presso il Comando Brigata di Supporto al NRDC-ITA (HQ), a seguito del recapito presso il proprio ufficio, in plico postale chiuso e privo di indicazioni circa il mittente, di una tabella contenente l´elenco analitico delle vertenze fra l´interessato e l´Amministrazione da cui a tutt´oggi dipende (ricorsi amministrativi e giurisdizionali, richieste di accesso agli atti, istanze varie, ecc.) ha chiesto la conferma dell´esistenza di dati personali che lo riguardano e la loro comunicazione in forma intelligibile, di conoscerne l´origine, le finalità, le modalità e la logica del trattamento, nonché gli estremi identificativi del titolare, del responsabile e dei soggetti cui i dati possono essere comunicati o che possano venirne a conoscenza;
VISTA la nota di risposta datata 30 settembre 2014 con la quale detto Comando ha confermato l´esistenza di dati personali che riguardano l´interessato di cui ha indicato l´origine, le finalità, le modalità e la logica del trattamento, fornendo indicazioni anche in ordine al titolare del trattamento, al responsabile e agli incaricati e confermando anche al ricorrente di aver "incaricato il dipendente Nucleo Carabinieri – PM di effettuare gli accertamenti tesi a valutare eventuali aspetti di carattere penale"; successivamente, con nota del 22 ottobre 2014, l´interessato ha reiterato la richiesta di comunicazione in forma intelligibile dei dati personali che lo riguardano;
VISTO il ricorso ai sensi dell´art. 145 del Codice regolarizzato il 2 gennaio 2015 con il quale l´interessato, rappresentato e difeso dall´avv. Luigi Ciaraffa, ha chiesto al titolare del trattamento la conferma dell´esistenza "di un database contenente l´elencazione analitica dei dati relativi ai contenziosi fra l´odierno ricorrente e la P.A. da cui egli dipende, di indicare le finalità e le modalità di trattamento dei dati" eventualmente riportati in tale database; inoltre, il ricorrente ha sostenuto la illiceità del trattamento degli asseriti dati giudiziari contenuti nella citata tabella chiedendone la cancellazione, il blocco e la trasformazione in forma anonima perché trattati in violazione di legge con attestazione che tali operazioni sono state portate a conoscenza di coloro ai quali i dati sono stati comunicati o diffusi; rilevato che il ricorrente ha chiesto la liquidazione in proprio favore delle spese del procedimento;
VISTI gli ulteriori atti d´ufficio e, in particolare, la nota datata 8 gennaio 2015 con la quale questa Autorità, ai sensi dell´art. 149 comma 1 del Codice, ha invitato il titolare del trattamento a fornire riscontro alle richieste dell´interessato, nonché la nota del 2 marzo 2015 con cui è stata disposta, ai sensi dell´art. 149 comma 7 del Codice, la proroga del termine per la decisione sul ricorso;
VISTA la nota del 20 gennaio 2015 con la quale il Ministero della Difesa-Stato Maggiore dell´Esercito, in qualità di titolare del trattamento, ha dichiarato di aver già fornito riscontro alle richieste del ricorrente prima del ricorso con nota del 30 settembre 2014 notificata al medesimo il 2 ottobre 2014, e con la successiva nota del 7 novembre 2014, notificata in data 24 novembre 2014, con la quale lo si invitava a prendere contatto con i responsabili degli uffici che trattano i suoi dati personali per l´estrazione di quelli ritenuti di interesse;
VISTA la memoria di replica del 23 gennaio 2015 con la quale il ricorrente ha ritenuto insufficiente il riscontro di controparte che non fornirebbe, a proprio parere, "alcuna delle risposte ai quesiti puntualmente formulati dal ricorrente" nell´atto di ricorso;
VISTO il verbale dell´audizione svoltasi presso gli uffici del Garante in data 27 gennaio 2015 nel corso della quale il titolare del trattamento, in relazione alle specifiche istanze contenute nell´atto di ricorso, ha precisato che la tabella ricevuta dal ricorrente in plico postale anonimo costituisce uno "specchio riepilogativo redatto in una fase endoprocedimentale e funzionale al buon andamento del contenzioso ancora in atto con il ricorrente (ricorso gerarchico tuttora pendente (…)approntato dal capo Sezione Personale con l´ausilio di due suoi collaboratori"- documento che "è stato illecitamente sottratto dal computer del (…) Capo Sezione Personale, presumibilmente tramite una intrusione informatica" come da quest´ultimo denunciato al Nucleo Carabinieri e Polizia Militare operante presso il Comando Brigata di Supporto in data 29 settembre 2014 (copia della denuncia-querela è stata depositata in sede di audizione); il titolare del trattamento ha poi ribadito che i dati in questione "sono stati elaborati e custoditi su un personal computer protetto da user id e password il cui accesso è identificato da credenziali univoche ubicato in locali protetti e sorvegliati nell´arco delle 24 ore, scambiati mediante rete informatica protetta a norma di legge (…)" sostenendo "di non dover procedere alla cancellazione, trasformazione in forma anonima e blocco dei dati richiesti dal ricorrente perché non sono trattati in violazione di legge"; il ricorrente ha invece affermato che i riscontri forniti dal titolare del trattamento prima del ricorso non conterrebbero alcun riferimento allo "specchio riepilogativo" in questione della cui sottrazione lo stesso ha potuto apprendere solo in sede di audizione; pertanto, "acclarata l´esistenza dello specchio riepilogativo in questione e delle sue finalità", lo stesso ha chiesto un approfondimento di indagine da parte del Garante "in merito alla liceità e idoneità delle modalità di trattamento di tali dati, anche in termini di sicurezza, in ragione della sottrazione dei dati denunciata con la denuncia- querela del 29/9/2014";
VISTA la memoria datata 9 febbraio 2015 con la quale il ricorrente ha manifestato perplessità in ordine all´utilità dello specchio riepilogativo contenente dati riferiti a contenziosi, peraltro annosi e in gran parte già estinti, che non avrebbero alcuna attinenza con il citato ricorso gerarchico, contestando anche le modalità di trasmissione del documento stesso che sarebbe stato oggetto di comunicazione via posta elettronica senza previa cifratura (come previsto per i dati giudiziari trattati da soggetti pubblici dall´art. 22 comma 6 del Codice) ed in assenza delle necessarie autorizzazioni interne;
VISTA la nota del 16 febbraio 2015 con la quale il titolare del trattamento, nell´evidenziare che le considerazioni formulate dal ricorrente nella propria memoria non solo non attengono alle richieste oggetto di ricorso ma vertono su questioni di organizzazione interna di competenza dei Comandanti militari, ha sostenuto la liceità del trattamento da parte del personale operante presso il Comando Brigata di Supporto; infine, lo stesso titolare ha precisato che non sussiste alcun obbligo di cifratura dei dati contenuti nello "specchio riepilogativo" in questione non trattandosi né di dati sensibili né di dati giudiziari ed ha inviato, per completezza di trattazione, il "Disciplinare interno per l´utilizzo dei servizi non classificati di posta elettronica ed accesso ad internet" attualmente in vigore;
RILEVATO preliminarmente che i dati contenuti nello c.d. "specchio riepilogativo" ricevuto dal ricorrente in plico postale anonimo ed oggetto di contestazione, non sono dati giudiziari secondo la definizione contenuta all´art. 4 comma 1 lett. e) del Codice;
RILEVATO poi che le richieste di cancellazione, blocco e trasformazione in forma anonima dei dati contenuti nello c.d. "specchio riepilogativo" (con attestazione che tali operazioni sono state portate a conoscenza di coloro ai quali i dati sono stati comunicati o diffusi), sono state formulate solo nell´atto di ricorso e non sono state previamente avanzate con l´interpello preventivo; ritenuto pertanto di doverle dichiarare inammissibili;
RILEVATO che, in ordine alle restanti richieste formulate nel ricorso, ricomprese in quelle già avanzate ai sensi dell´art. 7 del Codice, il titolare del trattamento ha fornito, sia pure nel corso del procedimento, un sufficiente riscontro dichiarando che i dati contenuti nello "specchio riepilogativo" (documento appositamente elaborato nell´agosto 2014) sono stati trattati ai fini della gestione del contenzioso attualmente pendente con il ricorrente secondo le modalità ampiamente illustrate nel corso dell´istruttoria; ritenuto pertanto, alla luce di tali considerazioni, di dover dichiarare non luogo a provvedere sul ricorso ai sensi dell´art. 149 comma 2 del Codice;
RILEVATO tuttavia che, alla luce delle risultanze emerse nel corso dell´istruttoria in ordine alla presunta intrusione informatica oggetto della denuncia-querela depositata in atti, questa Autorità si riserva di avviare un autonomo procedimento, all´esito delle indagini svolte dagli inquirenti, al fine di accertare eventuali condotte omissive in tema di adozione di misure minime di sicurezza ai sensi dell´art. 33 ss. del Codice;
RITENUTO che sussistono giusti motivi per compensare fra le parti le spese del procedimento in ragione della peculiarità della vicenda e della sequenza dei rapporti intercorsi fra le parti;
VISTA la documentazione in atti;
VISTI gli artt. 145 e ss. del Codice;
VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;
RELATORE la dott.ssa Augusta Iannini;
TUTTO CIÒ PREMESSO IL GARANTE:
1) dichiara inammissibili le richieste di cancellazione, blocco e trasformazione in forma anonima dei dati, con attestazione che tali operazioni sono state portate a conoscenza di coloro ai quali i dati sono stati comunicati o diffusi;
2) dichiara non luogo a provvedere sul ricorso in ordine alle restanti richieste;
3) dichiara compensate le spese del procedimento tra le parti.
Ai sensi degli artt. 152 del Codice e 10 d.lgs. n. 150 del 2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.
Roma, 9 aprile 2015
IL PRESIDENTE
SORO
IL RELATORE
IANNINI
IL SEGRETARIO GENERALE
BUSIA
