Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Provvedimento del 29 luglio 2020 [9463997]

[doc. web n. 9463997]

Provvedimento del 29 luglio 2020

Registro dei provvedimenti
n. 149 del 29 luglio 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv.  Guido Scorza, componenti e l’avv. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito RGPD);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. Introduzione.

Questa Autorità ha ricevuto un reclamo da parte della sig.ra XX in relazione alla pubblicazione, sul sito web istituzionale dell’Istituto Tecnico Agrario “Emilio Sereni” di Roma, di una presentazione in power point, recante l’indicazione di informazioni personali relative alla reclamante, quali nome, cognome, indirizzo email e numero di cellulare. In particolare, la reclamante ha lamentato di non aver ricevuto riscontro dall’Istituto in relazione ad una richiesta presentata ai sensi degli artt. 17, 18 e 21 del Regolamento.

2. L’attività istruttoria.

Con nota del XX (prot. n. XX) il Dipartimento ha provveduto ad inviare all’Istituto scolastico un invito a fornire riscontro alla istanza presentata dalla sig.ra XX ai sensi della normativa sulla protezione dei dati personali.

Con nota del XX, (prot. n. XX) il Dirigente scolastico dell’Istituto Agrario, ha dato seguito all’invito di questo Dipartimento a fornire riscontro alla istanza presentata dalla reclamante rappresentando, tra l’altro, che:

-  “il documento, destinato alla sola visione interna ai referenti del progetto (…), per mero errore materiale è stato pubblicato nella sezione news del sito istituzionale www.agrariosereni.it”;

- “In data XX, l’ITA “Emilio Sereni” riceve, tramite PEC, la richiesta di cancellazione del suddetto documento. Tale richiesta è gestita dalla segreteria dell’Istituto nei giorni immediatamente successivi la ricezione con la comunicazione al referente interno del sito web istituzionale di procedere alla cancellazione del documento. La cancellazione è eseguita in tempo reale.”

- “Relativamente al riscontro fornito alla Sig.ra XX dell’avvenuta cancellazione entro i 30 giorni dalla richiesta, purtroppo, nonostante le approfondite ricerche, non è emersa agli atti dell’Istituto alcuna comunicazione in uscita”.

L’Ufficio, sulla base dalle verifiche compiute e degli elementi acquisiti, anche attraverso la documentazione inviata dall’Istituto scolastico, e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, ha accertato che l’Istituto scolastico ha dato riscontro alla richiesta della reclamante solo a seguito dell’invito formulato dall’Ufficio nell’ambito del procedimento relativo al reclamo presentato dalla sig.ra XX ai sensi dell’art. 77 del Regolamento, ciò in violazione dell’art. 12, par. 3 del Regolamento.

È stato inoltre rilevato che la pubblicazione sul sito web istituzionale, dei dati personali della reclamante (nome, cognome, indirizzo email e numero di cellulare), in assenza di un idoneo presupposto di legittimità, ha causato un’indebita diffusione di dati personali che, anche in ragione della indicizzazione, da parte dei motori di ricerca, era suscettibile di recare pregiudizio alla riservatezza della sig.ra XX.

Pertanto, si è proceduto alla notifica delle violazioni effettuate, prevista dall’art. 166, comma 5, del Codice, all’Istituto scolastico, comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, paragrafo 2, del Regolamento e invitando il predetto Istituto a inviare al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentito dall’Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

In particolare l’Ufficio ha contestato all’Istituto scolastico di avere fornito riscontro alla richiesta della reclamante solo a seguito dell’invito formulato dal Garante stesso, in violazione dell’art. 12, par. 3 del Regolamento e che la pubblicazione dei predetti dati sul sito web istituzionale sia avvenuta in violazione della normativa a tutela dei dati personali, determinando un trattamento di dati personali:

a) non conforme ai principi di “liceità, correttezza e trasparenza” e di “minimizzazione dei dati”, in violazione dell’art. 5, par. 1, lett. a) e c), del Regolamento;

b) in assenza di un presupposto normativo per la pubblicazione dei richiamati dati personali in violazione dell’art. 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del Regolamento e dell’art.  2-ter, commi 1 e 3, del Codice;
 

Con nota del XX (prot. n. XX) l’Istituto scolastico ha fatto pervenire le proprie memorie difensive, e ha dichiarato, in particolare che:

- “La pubblicazione è avvenuta in seguito alla trasmissione delle slide del progetto dell’interessata all’istituto. Per mero errore materiale il referente interno del sito web ha pubblicato il progetto dell’interessata nella sezione pubblica delle news invece che nell’area riservata al personale interno. A totale insaputa del DS”.

- “La violazione è avvenuta in assoluta buona fede, con l’intento di dare massima visibilità̀ al progetto, ed è sicuramente da ritenersi di carattere colposo”.

- “Alla ricezione della richiesta dell’interessata l’istituto ha provveduto ad eliminare dal sito internet le slide del progetto con i dati dell’interessata”.

- “Su segnalazione dell’Autorità̀ l’Istituto ha provveduto ad inoltrare a Google la rimozione dal motore di ricerca dei contenuti obsoleti.

3. Esito dell’istruttoria relativa al reclamo presentato. Normativa applicabile.

Ai sensi della disciplina in materia, “dato personale” è “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)” (art. 4, par. 1, n. 1, del Regolamento). Inoltre, “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (ibidem).

Il trattamento di dati personali effettuato in ambito pubblico è lecito solo se tale trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e)).

La normativa europea prevede inoltre che “Gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto (…)” con la conseguenza che, al caso di specie, risulta applicabile la disposizione contenuta nell’art. 2-ter del Codice, in base al quale l’operazione di diffusione di dati personali (come la pubblicazione in Internet) in ambito pubblico è ammessa solo quando prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento.

In tale quadro, il trattamento dei dati personali deve avvenire nel rispetto dei principi indicati nell’art. 5 del Regolamento, fra cui quelli di “liceità, correttezza e trasparenza” nonché di “minimizzazione dei dati”, secondo i quali i dati personali devono essere – rispettivamente – “trattati in modo lecito, corretto e trasparente nei confronti dell'interessato” nonché “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (par. 1, lett. a) e c).

Il Regolamento, inoltre, agli artt. 12 e ss, disponendo in materia di “diritti dell’interessato”, prevede il diritto dell’interessato di ottenere dal titolare il riscontro alla richiesta di esercizio dei diritti presentata ai sensi degli articoli da 15 a 22 del Regolamento, ciò, a meno che non ricorra uno dei casi di limitazione dei diritti dell’interessato tassativamente indicati all’art. 23 del Regolamento e all’art. 2-undecies del Codice. Il titolare del trattamento è inoltre tenuto, “se non ottempera alla richiesta dell’interessato”, ad informare quest’ultimo, “senza ritardo e al più tardi entro un mese dalla richiesta, dei motivi dell’inottemperanza” (art. 12, par. 3 del Regolamento).

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice - e considerato che, con riferimento al caso di specie, le memorie difensive prodotte dall’Istituto non hanno prodotto elementi tali da determinare l’archiviazione del procedimento, si confermano le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal predetto Istituto, per aver fornito riscontro all’istanza dell’interessata formulata ai sensi degli art. 17 e 21 del Regolamento, solo a seguito dell’invito ad aderire alle richieste di quest’ultima formulato dal Garante, nonché per aver diffuso, tramite la pubblicazione sul sito web istituzionale, i dati personali della reclamante (nome, cognome, indirizzo e-mail e numero di cellulare), in assenza di un idoneo presupposto giuridico per la pubblicazione, determinando un’indebita diffusione di dati personali.

Ciò, in violazione della normativa a tutela dei dati personali e, specificamente:

a) in violazione dei principi di “liceità, correttezza e trasparenza” e di “minimizzazione dei dati”, di cui all’art. 5, par. 1,” (par. 1, lett. a) e c) del Regolamento;

b) in assenza di un presupposto normativo per la pubblicazione dei predetti dati personali, in violazione dell’art. 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del Regolamento e 2-ter, commi 1 e 3, del Codice;

c) in violazione dell’art. 12, par. 3 del Regolamento.

Ciò premesso tuttavia, dalla documentazione in atti e dalle dichiarazioni fornite dal titolare del trattamento, risulta che: la condotta ha esaurito i suoi effetti, atteso che l’Istituto scolastico ha dichiarato di aver provveduto a rimuovere le informazioni personali riguardanti l’interessata, circostanza verificata dall’Ufficio;  la diffusione ha avuto a oggetto dati e informazioni personali relative a un solo soggetto interessato e si è protratta per un breve lasso di tempo; si è trattato di un episodio isolato determinato da un comportamento colposo; non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento né sono stati precedentemente disposti provvedimenti di cui all’art. 58 del Regolamento; l’Istituto ha collaborato con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi ed ha avviato una serie di azioni volte a implementare le misure tecniche e organizzative.

Le circostanze del caso concreto inducono, pertanto, a qualificare il caso come “violazione minore”, ai sensi dell’art. 83, par. 2, e del considerando 148 del Regolamento, nonché delle Linee guida WP 253, riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del Regolamento (UE) 2016/679.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, che occorra ammonire l’Istituto scolastico, in qualità di titolare del trattamento ai sensi degli artt. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, per la violazione di quanto segue: i principi di “liceità, correttezza e trasparenza” e di “minimizzazione dei dati”, di cui all’art. 5, par. 1,  lett. a) e c) del Regolamento; i presupposti di liceità del trattamento di cui agli artt. 6, par. 1, c) ed e), par. 2 e par. 3, lett. b) del Regolamento e art. 2-ter commi 1 e 3 del Codice; le disposizioni in materia di informazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato di cui all’art. 12, par. 3 del Regolamento e si ritiene che non vi siano i presupposti per l’adozione di ulteriori provvedimenti correttivi da parte dell’Autorità ai sensi dell’art. 58, par. 2, del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara l’illiceità del trattamento dei dati personali effettuato dall’Istituto Tecnico Agrario “Emilio Sereni” per la violazione degli artt. 5, par. 1, lett. a) e c); 6, par. 1, c) ed e), par. 2 e par. 3, lett. b) e 12, par. 3 del Regolamento; art. 2-ter commi 1 e 3 del Codice, nei termini di cui in motivazione;

b) ai sensi dell’art. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, ammonisce l’Istituto Tecnico, quale titolare del trattamento in questione, per aver violato gli artt. 5, par. 1, lett. a) e c); 6, par. 1, c) ed e), par. 2 e par. 3, lett. b) e 12, par. 3 del Regolamento; art. 2-ter commi 1 e 3 del Codice come sopra descritto;

c) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 29 luglio 2020

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Buisa