g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Prefettura - Ufficio Territoriale del Governo di Genova - 29 settembre 2021 [9719797]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9719797]

Ordinanza ingiunzione nei confronti di Prefettura - Ufficio Territoriale del Governo di Genova - 29 settembre 2021

Registro dei provvedimenti
n. 350 del 29 settembre 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO il d. lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida in materia di trasparenza”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Introduzione

Questa Autorità ha ricevuto una segnalazione, con la quale è stata contestata una violazione della normativa in materia di protezione dei dati personali, derivante dalla diffusione di dati personali sul sito web istituzionale della Prefettura - Ufficio Territoriale del Governo di Genova.

Nello specifico, come emerso dalla verifica preliminare effettuata dall’Ufficio in data XX, all’url http://..., erano presenti due link denominati «XX», e «XX».

Tramite i predetti link era possibile visualizzare e liberamente scaricare un file in formato .xml contenente una tabella intitolata «XX», in cui era riportato l’elenco dei procuratori di due società (la XX e la XX) e dei loro familiari maggiorenni conviventi (circa un centinaio di soggetti in tutto).

Il predetto file risultava altresì scaricabile dai seguenti url:

- http://...;

- http://...

2. La normativa in materia di protezione dei dati personali

Ai sensi della disciplina in materia, «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)» e «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).

Al riguardo, con particolare riferimento al caso sottoposto all’attenzione di questa Autorità, si ricorda che i soggetti pubblici, come la Prefettura, possono diffondere «dati personali» solo se tale operazione è prevista «da una norma di legge o, nei casi previsti dalla legge, di regolamento» (art. 2-ter, commi 1 e 3, del Codice), nel rispetto – in ogni caso – dei principi in materia di protezione dei dati, fra i quali quello di «minimizzazione», in base al quale i dati personali devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. c, del RGPD).

In ordine agli obblighi di pubblicazione sui siti web istituzionali, fin dal 2014, il Garante ha fornito specifiche indicazioni alle amministrazioni sulle cautele da adottare per la diffusione di dati personali online con il provvedimento generale n. 243 del 15/5/2014, recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (attualmente in corso di aggiornamento, ma ancora attuale nella parte sostanziale).

3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato.

A seguito dalle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX dell’XX ha accertato che Prefettura-Ufficio Territoriale del Governo di Genova – diffondendo i dati e le informazioni personali contenuti nel file pubblicato online prima descritto – ha effettuato un trattamento di dati personali non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD. Pertanto, con la medesima nota sono state notificate alla predetta Prefettura le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD e invitando la predetta amministrazione a far pervenire al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentita da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

4. Memorie difensive.

La Prefettura-Ufficio Territoriale del Governo di Genova, con nota prot. n. XX del XX, ha inviato al Garante i propri scritti difensivi in relazione alle violazioni notificate.

Al riguardo, si ricorda che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, intitolato «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante».

In particolare, quanto alla condotta tenuta, la Prefettura ha evidenziato, fra l’altro, che:

- «i fatti oggetto di contestazione s[o]no maturati nell’ambito delle attività correlate alle verifiche antimafia di competenza della Prefettura»;

- «[dalla relazione del dirigente competente] si evince che il XX, per mero errore materiale, un file ad esclusivo uso interno riepilogativo delle cariche sociali [delle società indicate in atti] e predisposto in merito ad una richiesta di certificazione antimafia, [è] stato reso accessibile sul sito istituzionale della Prefettura, nella sezione riservata alla pubblicazione delle white list, ossia l’elenco a cui devono iscriversi le imprese che intendono operare in settori considerati dalla normativa antimafia particolarmente esposti al pericolo di infiltrazione criminale»;

- «Come riportato nella predetta relazione […], acquisita contezza il successivo XX dell’erronea pubblicazione, [si è] provveduto in pari data – quindi a distanza di soli tre giorni - a far rimuovere il predetto file dal sito della Prefettura»;

- «Di tale rimozione, peraltro [si è] avuto modo di dare conferma diretta alla società […] la quale, avvedutasi nelle more della impropria pubblicazione, aveva provveduto a segnalarla a questo ufficio il XX, ossia quando era già stata disposta la rimozione del file dal sito web e ritenuta superata in via definitiva ogni criticità»;

- «Appreso dalla nota di codesto Garante – pervenuta il 2 luglio u.s. – che il file in argomento, seppure non più accessibile tramite link presenti sul sito della Prefettura, risultava di fatto ancora raggiungibile in rete, questo Ufficio ha provveduto a interessare il proprio settore informatico, nonché il webmaster del sito www.prefettura.it presso la sede centrale del Ministero dell’Interno per dar corso ad ogni opportuno intervento, idoneo a risolvere il problema»;

- «Tanto ha consentito di eliminare dal server sia la pagina del download del file, sia le singole risorse nonché di richiedere al gestore di Google la deindicizzazione dal motore di ricerca di ogni riferimento potenzialmente lesivo del diritto alla privacy dei soggetti coinvolti»;

- «A seguito della segnalazione di codesto Garante, ad ogni buon fine, lo scrivente ha provveduto a diramare a tutti i dirigenti della Prefettura una direttiva […] riguardo alle misure di cautela cui attenersi laddove il trattamento di dati personali possa discendere dalla pubblicazione di dati informativi sul sito web istituzionale, richiamando altresì le corrette procedure ove dovesse ricorrere la necessità di rimuovere contenuti impropriamente pubblicati on line».

Quanto affermato è confermato nella richiamata relazione allegata alle memorie difensive (nota prot. n. XX del XX) in cui, in ordine a quanto accaduto, è stato rappresentato altresì che:

- L'inconveniente derivante dalla pubblicazione del file oggetto di contestazione «si è verificato per un mero errore materiale di digitazione. L'operatore, infatti, nella fase di trasmissione ha erroneamente inviato al responsabile del sito internet di questa Prefettura il suddetto file in formato XLSX anziché il file PDF contenente l'elenco delle società iscritte in white list»;

- «In data XX, avendo ricevuto la segnalazione di tale irregolarità da una stazione appaltante interessata alla consultazione delle white list, [si sono] immediatamente impartit[e] disposizioni affinché venisse rimosso il file non pertinente e venisse contestualmente pubblicato il file PDF contenente le white list, operazione che è stata immediatamente effettuata»;

- «Successivamente, con nota del XX, indirizzata a questa Prefettura la società [indicata in atti] ha sollevato la problematica chiedendo la rimozione dei dati in questione. A tale richiesta [si è] risposto con nota [allegata]».

La Prefettura ha, inoltre, allegato alle proprie memorie difensive sia la segnalazione inviata dalla società a XX (prot. nn. XX del XX e n. XX del XX), sia il relativo riscontro in cui si scusava per l’inconveniente «dovuto ad un mero problema tecnico» e rappresentava di essere intervenuti per «eliminare il file in argomento nel quale […] non comparivano soggetti minorenni in quanto non sottoposti alle verifiche antimafia come previsto dalla normativa vigente» (nota prot. n. XX del XX).

5. Valutazioni del Garante

La questione oggetto del caso sottoposto all’attenzione del Garante riguarda la diffusione di dati e informazioni personali contenuti in un file riportante una tabella con l’elenco dei procuratori di due società identificate in atti e dei loro familiari maggiorenni conviventi (circa un centinaio di soggetti in tutto), pubblicato online dalla Prefettura - Ufficio Territoriale del Governo di Genova.

Nell’ambito dell’istruttoria aperta al riguardo da questa Autorità, la Prefettura ha confermato, nelle proprie memorie difensive, l’avvenuta diffusione online dei dati personali descritti, evidenziando che il file era stato prodotto «ad esclusivo uso interno riepilogativo delle cariche sociali [delle società indicate in atti] e predisposto in merito ad una richiesta di certificazione antimafia», e che, tuttavia, per un «per mero errore materiale» è «stato reso accessibile sul sito istituzionale della Prefettura, nella sezione riservata alla pubblicazione delle white list, ossia l’elenco a cui devono iscriversi le imprese che intendono operare in settori considerati dalla normativa antimafia particolarmente esposti al pericolo di infiltrazione criminale».

La Prefettura ha, inoltre, dato conto di avere ricevuto a XX, da una delle società coinvolte, la segnalazione dell’errore e di essere intervenuta rimuovendo il file dal sito web. In tal modo, l’amministrazione credeva di aver risolto la problematica senza, tuttavia, accorgersi – come dichiarato negli atti allegati dall’Ente – che il file era «di fatto ancora raggiungibile in rete», in quanto – come si evince dalla relazione del servizio informatico allegata alle memorie difensive (cfr. e-mail del XX) – la pagina di download dei file e delle singole risorse informative era «raggiungibile o da collegamento diretto conoscendone l’esatto url […] o da motore di ricerca Google».

Dagli atti dell’istruttoria allegati dalla Prefettura alle memorie difensive, risulta altresì che effettivamente la stessa ha ricevuto la segnalazione in data XX(prot. nn. XX del XX e n. XX del XX), in ordine alla pubblicazione del file oggetto di contestazione e di averla riscontrata con nota prot. n. XX del XX, adottando autonome iniziative prima dell’intervento dell’Ufficio che sono, tuttavia, risultate del tutto insufficienti e addebitabili, probabilmente, anche a una scarsa diligenza nei controlli effettuati sull’url oggetto di segnalazione.

Occorre, infatti, rilevare al riguardo che nella predetta segnalazione era espressamente indicato l’url dal quale poter liberamente scaricare il file contestato (http://...). Tale url è lo stesso indicato nella segnalazione ricevuta dal Garante, dal quale – in sede verifica preliminare effettuata da questo Ufficio in data XX– era ancora possibile rinvenire il file oggetto della segnalazione della società inviata alla Prefettura a XX, come del resto contestato alla Prefettura con la citata nota dell’Ufficio prot. n. XX dell’XX.

Quanto descritto conferma quindi l’insufficienza delle verifiche effettuate dalla Prefettura, che, come risulta dagli atti allegati alle memorie difensive, quanto ha ricevuto la segnalazione a XX, si è limitata a cancellare il link al file contestato dal sito web della Prefettura, ma non risulta essere intervenuta sull’url appartenente al dominio della Prefettura segnalato dalla società, dal quale il file era di fatto ancora raggiungibile in rete almeno fino alla verifica preliminare effettuata da questa Autorità a XX e che ne consentiva anche la reperibilità tramite i motori di ricerca come Google. Al contrario, una ordinaria verifica sull’url segnalato a XX (http://...) avrebbe consentito alla Prefettura di riscontrare autonomamente l’insufficienza delle misure adottate dall’amministrazione per la rimozione del file, e quindi dei dati personali ivi contenuti, dal sito web su cui erano stati pubblicati per errore, intervenendo (come fatto solo dopo la contestazione del Garante) risolutivamente sul proprio sistema informatico. In tal modo, si sarebbe altresì potuto evitare l’apertura della specifica istruttoria avviata dal Garante che ha portato al presente procedimento.

6. Esito dell’istruttoria relativa alla segnalazione presentata

Per tutto quanto sopra descritto, le circostanze evidenziate negli scritti difensivi esaminate nel loro complesso, sicuramente meritevoli di considerazione ai fini della valutazione della condotta, non risultano sufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo alcuna delle ipotesi previste dall’art. 11 del Regolamento del Garante n. 1/2019.

In tale quadro, si confermano le valutazioni preliminari dell’Ufficio contenute nella nota prot. n. XX dell'XX e si rileva che il trattamento di dati personali effettuato dalla Prefettura - Ufficio Territoriale del Governo di Genova non è conforme alla disciplina rilevante in materia di protezione dei dati personali, in quanto la pubblicazione del file contestato intitolato «XX» sul sito web istituzionale della predetta amministrazione ha comportato una diffusione di dati e informazioni personali:

a) non conforme al principio di «minimizzazione» dei dati in quanto gli stessi non sono «limitati a quanto necessario rispetto alle finalità per le quali sono trattati», in violazione dell’art. 5, par. 1, lett. c), del RGPD;

b) priva di idonei presupposti normativi, in violazione dell’art. 2-ter, commi 1 e 3, del Codice; nonché dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD.

Considerato, tuttavia, che la condotta ha esaurito i suoi effetti, in quanto il titolare del trattamento ha dichiarato di aver provveduto a rimuovere i dati personali oggetto di contestazione dell’Ufficio dal sito web istituzionale, fermo restando quanto si dirà sull’applicazione della sanzione amministrativa pecuniaria, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del RGPD.

7. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria (artt. 58, par. 2, lett. i; 83 del RGPD)

La Prefettura - Ufficio Territoriale del Governo di Genova risulta aver violato gli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD; nonché l’art. 2-ter, commi 1 e 3, del Codice.

Al riguardo, l’art. 83, par. 3, del RGPD, prevede che «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave».

Nel caso di specie, la violazione delle disposizioni citate – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del RGPD, che si applica pertanto al caso in esame.

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD, nonché dell’art. 166 del Codice, ha il potere correttivo di «infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso». In tale quadro, «il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice» (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del RGPD.

In tal senso, la rilevata condotta tenuta in violazione della disciplina in materia di protezione dei dati personali risulta di natura colposa, causata da un mero errore materiale, e ha avuto a oggetto la diffusione online di dati personali per sette mesi riferiti a circa un centinaio di soggetti interessati, non appartenenti a categorie particolari né a condanne penali o reati (artt. 9 e 10, del RGPD). Ai fini della valutazione della condotta rileva tuttavia anche che, come risulta dagli atti, il soggetto che ha effettuato la segnalazione si era già precedentemente rivolto al titolare del trattamento per lamentare l’inconveniente e che l’Ente abbia adottato autonome iniziative prima dell’intervento dell’Ufficio che sono tuttavia risultate del tutto insufficienti a causa, probabilmente, anche di una scarsa diligenza nei controlli effettuati sull’url oggetto di segnalazione. Si tiene in ogni caso conto del fatto che la Prefettura, a seguito della richiesta dell’Ufficio è intervenuta tempestivamente, collaborando con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alla violazione, attenuandone i possibili effetti negativi. Nel riscontro al Garante sono state, inoltre, descritte diverse misure tecniche e organizzative messe in atto ai sensi degli artt. 25-32 del RGPD e non risultano, in ogni caso, eventuali precedenti violazioni del RGPD pertinenti commesse dall’ente.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, parr. 2 e 3, del RGPD l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, del RGPD, nella misura di euro 11.000,00 (undicimila) per la violazione degli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD, nonché dell’art. 2-ter, commi 1 e 3, del Codice; quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo RGPD.

In relazione alle specifiche circostanze del presente caso, relative alla diffusione di dati personali online in assenza di una idonea base normativa e in violazione del principio di minimizzazione dei dati (art. 5, par. 1, lett. c, RGPD), si ritiene altresì che debba essere applicata la sanzione accessoria della pubblicazione del presente provvedimento sul sito Internet del Garante, prevista dall’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità del trattamento effettuato dalla Prefettura - Ufficio Territoriale del Governo di Genova nei termini indicati in motivazione ai sensi degli artt. 58, par. 2, lett. i), e 83 del RGPD

ORDINA

alla Prefettura - Ufficio Territoriale del Governo di Genova, Largo Eros Lanfranco, 1, 16122 Genova - Codice Fiscale: 80043490103 di pagare la somma di € 11.000,00 (undicimila) a titolo di sanzione amministrativa pecuniaria per le violazioni di cui in motivazione;

INGIUNGE

alla medesima Prefettura di pagare la somma di euro € 11.000,00 (undicimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.

Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1/9/2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice).

DISPONE

- la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019;

- l’annotazione nel registro interno dell’Autorità delle violazioni e delle misure adottate ai sensi dell’art. 58, par. 2, del RGPD con il presente provvedimento, come previsto dall’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 29 settembre 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei