g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Regione Lazio - 14 gennaio 2021 [9542113]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

VEDI ANCHE NEWSLETTER DELL'11 MARZO 2021

 

[doc. web n. 9542113]

Ordinanza ingiunzione nei confronti di Regione Lazio - 14 gennaio 2021

Registro dei provvedimenti
n. 9 del 14 gennaio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

Relatore l’avv. Guido Scorza;

PREMESSO

1.  La violazione dei dati personali e l’attività istruttoria

Questa Autorità ha ricevuto una segnalazione in relazione al trattamento di dati personali effettuato dalla Regione Lazio attraverso il portale “Salute Lazio”. Nell’ambito dell’attività istruttoria effettuata a seguito di tale segnalazione, l’Ufficio ha richiesto elementi in merito al trattamento di dati personali effettuato tramite il servizio ReCUP regionale, con particolare riferimento al ruolo della società Laziocrea S.p.a. e della Società Cooperativa sociale integrata Capodarco (di seguito Società Cooperativa) (note del 23.7.2018 - prot. n. 22072; del 1.10.2018 – prot. n. 28604; incontro del 5.11.2018).

La Regione Lazio (di seguito Regione) ha fornito gli elementi richiesti durante l’incontro svoltosi presso l’Autorità il 5 novembre 2018, nonché con le comunicazioni del 17.9.2018 (prot. n. 558679), del 9.11.2018 (prot. n. 93937), del 20.11.2018, dell’11.1.2019, del 2.4.2019 e del 27.5.2019.

Dalla documentazione acquisita dalla Regione, a seguito di tale attività istruttoria, è risultato che:

- dal 1999, il servizio di call center regionale (ReCUP) è stato affidato dalla Regione Lazio alla Società Cooperativa sociale integrata Capodarco, attraverso un contratto di affidamento a seguito di procedura ad evidenza pubblica (procedura avviata nel 1999 attraverso l’Azienda Farmasociosanitaria Capitolina FARMACAP e proseguita nel 2002 dalla stessa Regione);

- nel 2003, la Regione Lazio ha stipulato una convenzione con la società Laziomatica (poi Lait S.p.A., oggi Laziocrea S.p.a.) per la realizzazione, organizzazione e gestione del sistema informativo regionale (Reg. Cron n. 2692 del 4.3.2003, successivamente rinegoziata il 25.5.2006);

- nel 2005, la Regione Lazio ha affidato a Laziomatica S.p.A. l’organizzazione, il coordinamento e la gestione tecnologica del servizio di call center di prenotazioni delle prestazioni sanitarie (ReCUP) e ha ceduto alla società Laziomatica S.p.A. il contratto di affidamento stipulato con la Cooperativa Capodarco (D.G.R. n. 219/2005, determinazione del 21.4.2005, n. D1746);

- nel 2006, la società Laziomatica è stata designata, per la suddetta attività, responsabile del trattamento (nomine in atti, cfr., in particolare, decreto Presidente Regione Lazio 7.8.2006, n. T04223). Successivamente, la Regione ha aggiornato i compiti e le responsabilità di Laziocrea, fornendo le istruzioni di cui all’art. 28 del Regolamento (DGR n. 797 del 29.11.2017, DGR n. 891 del 19 dicembre 2017);

- nel 2018 gli operatori di call center, dipendenti della predetta Società Cooperativa, sono stati designati dalla società Laziocrea quali incaricati del trattamento, ai sensi dell’art. 30 del Codice all’epoca vigente (nota 6.4.2018, prot n. 5380);

- la Società Cooperativa Capodarco, “affidataria fin dalla sua istituzione del servizio di call center della Regione Lazio per la prenotazione delle prestazioni sanitarie (ReCup)”, in relazione alla “moltitudine di trattamenti effettuati”, ha designato un responsabile della protezione dei dati e ha censito i trattamenti di dati personali, anche relativi alla salute, raccolti in occasione della predetta attività di call center nel Registro delle attività di trattamento (in atti);

- il 7 gennaio 2019 la Società Laziocrea, in qualità di responsabile del trattamento della Regione Lazio, in conformità all’art. 11, p. 4, del contratto quadro di servizi con la Regione (DGR n. 891/2017), ha fatto ricorso, ai sensi dell’art. 28 del Regolamento, alla Società Cooperativa Capodarco a responsabile del trattamento dei dati personali effettuato attraverso il servizio ReCUP (contratto del 7.1.2019, prot. n. 79 in atti, revisionato, da ultimo, nel maggio 2019).

In relazione alle risultanze della predetta attività istruttoria, l’Ufficio, con atto n. 21813 del 24 giugno 2019, ha notificato alla Regione Lazio, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, paragrafo 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

In particolare, l’Ufficio, nel predetto atto, ha preliminarmente rappresentato che:

- il trattamento di dati personali effettuato dalla Società Cooperativa Capodarco attraverso l’erogazione del servizio di call center ReCUP è stato realizzato senza che il titolare (Regione Lazio), ovvero -a decorrere dalla data di piena applicazione del Regolamento- la società Laziocrea (già designata responsabile di tale trattamento dalla Regione Lazio) avessero fatto ricorso alla Società Cooperativa come responsabile del trattamento;

- la società Laziocrea, in qualità di responsabile del trattamento della Regione Lazio, in conformità all’art. 11, p. 4, del contratto quadro di servizi con la Regione del 2017, ha fatto ricorso alla Società Cooperativa Capodarco come responsabile del trattamento solo in data 7 gennaio 2019 (con successive modifiche trasmesse a questa Autorità il 2 maggio 2019);

- con specifico riferimento alla circostanza che nel 2008 la Società Cooperativa Capodarco sia stata designata responsabile del trattamento dalla Lait S.p.A. per i trattamenti di dati personali effettuati per la gestione ed erogazione del servizio di call center (sistema ReCUP), la predetta nomina deve considerarsi priva di effetti, in quanto, seppure la stessa risulta essere stata perfezionata dalla Lait S.p.A., in qualità di titolare, la titolarità di tale trattamento di dati personali, per espressa ammissione della Regione Lazio, è attribuibile esclusivamente alla Regione Lazio di cui la società Lait S.p.A. era stata designata responsabile (atto di designazione a responsabile della Cooperativa Capodarco da parte della Lait S.p.A. del 10.12.2008, prot. n. 12772; atto di designazione a responsabile della Lait S.p.A. da parte della Regione Lazio del decreto del 7.8.2006, n. T0423). Secondo quanto indicato nel predetto atto di designazione della Cooperativa Capodarco, infatti, “la titolarità dei trattamenti di dati effettuati nell’ambito del sistema ReCUP rimane attribuita alla Regione Lazio”;

- in merito all’avvenuta designazione (in data 6.4.2018) da parte della società Laziocrea S.p.A. del personale della Cooperativa Capodarco ad incaricato del trattamento (secondo la definizione vigente all’epoca dei fatti), tale adempimento deve ritenersi privo di effetti, in quanto, qualora il trattamento sia effettuato da persone fisiche che operano esclusivamente presso società esterne al titolare e al responsabile del trattamento, le stesse non possono essere designate quali incaricati del trattamento, poiché non sono soggette alla “diretta autorità” del titolare o del responsabile del trattamento (art. 30 del Codice, vigente all’epoca dei fatti).

Nel richiamato atto del 24 giugno 2019, l’Ufficio ha, inoltre, ritenuto che, seppure la condotta oggetto dell’istruttoria da parte di questa Autorità sia iniziata prima della data di piena applicazione del Regolamento, al fine della determinazione della norma applicabile sotto il profilo temporale deve essere richiamato il principio di legalità di cui all’art. 1, comma 2, della legge n. 689 del 24/11/1981 che, nel prevedere come «Le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in esse considerati», asserisce la ricorrenza del principio del tempus regit actum. L’applicazione di tale principio determina l’obbligo di prendere in considerazione le disposizioni vigenti al momento della commessa violazione. Nel caso di specie, tale momento - considerando la natura permanente della condotta contestata - deve essere individuato nel momento di cessazione della condotta illecita, che dagli atti dell’istruttoria risulta essersi protratta almeno fino 7 gennaio 2019, ossia in epoca successiva al 25/5/2018, data in cui il Regolamento è divenuto pienamente applicabile.

Ciò premesso, sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, con il predetto atto del 24 giugno 2019, l’Ufficio ha reputato che la Regione abbia effettuato un trattamento di dati personali degli interessati nell’ambito del servizio di prenotazioni sanitarie ReCUP in violazione della disciplina in materia di protezione dei dati personali e, in particolare, degli artt. 5 e 28 del Regolamento.

Con nota del 6 agosto 2019 (prot. n. 649803), l’Azienda ha fatto pervenire le proprie memorie difensive, in cui, in particolare, è stato rappresentato che:

a) “il progetto RECUP, affidato e gestito da Capodarco in regime di prorogatio, ha rivestito un carattere transitorio, in quanto già a partire dal 2012 con determina n. B00565(…) e successivamente nel 2016 e con determinazione a contrarre G07221 (…) l’intenzione della Regione era stata quella di reingegnerizzare il Recup con adeguate misure di sicurezza riportate nel capitolato tecnico del disciplinare di gara di cui alla determinazione del 2016. Tale procedura, che doveva concludersi nelle migliori prospettive entro un anno, è stata oggetto di contenziosi che ne hanno pregiudicato l’effettiva aggiudicazione, effettuata con determinazione n. G12641 del 19/09/2017”;

b) “ha provveduto tempestivamente a verificare le caratteristiche del servizio RECUP, di concerto con Lazio crea spa, e a modificarne le funzionalità”;

c) “nonostante la mancanza dell’atto di nomina, la cooperativa Capodarco ha comunque effettuato le attività nel rispetto della riservatezza degli interessati”;

d) “ha cooperato costantemente con l’Autorità nel periodo dal 24 maggio 2018 al 2 maggio 2019”;

e) “il nuovo servizio Recup è gestito in netta discontinuità con il precedete affidamento alla cooperativa Capodarco (…) in particolare, (…) [si è provveduto al]la designazione del responsabile della protezione dei dati del(nuovo) operatore economico”.

2. Esito dell’attività istruttoria.

L’attività istruttoria in esame concerne il tema della fornitura del servizio di call center da parte di un soggetto esterno al titolare del trattamento, che comporta il trattamento dei dati personali anche sulla salute raccolti in occasione dell’offerta del servizio di prenotazione di prestazioni sanitarie. Al riguardo, si precisa che l’Autorità –con riferimento al quadro giuridico anteriore al Regolamento- ha evidenziato che le società che prestano servizi ad altri soggetti e che, quindi, trattano i dati personali degli utenti, devono essere designate responsabili del trattamento (artt. 4, comma 1, lett. a) e 29 del Codice; cfr., a titolo non esaustivo, Provvedimento del 15 giugno 2011, doc. web n. 1821257; Provvedimento del 16 febbraio 2006, doc. web n. 1242592; Provvedimento del 29 aprile 2009, doc. web n. 1617709; Provvedimento del 12 maggio 2011, doc. web n. 1813953- cfr. anche, con specifico riferimento ai centri unici di prenotazione, Relazione annuale 2016, pp. 61-62 – doc web n. 6458231).

Il Garante, anche con specifico riferimento ai trattamenti dei dati personali effettuati mediante l’utilizzo di call center siti in Paesi al di fuori della Unione europea, ha dettato delle specifiche prescrizioni in materia di call center, partendo dal presupposto che i soggetti che prestano in outsourcing tali servizi effettuano un trattamento di dati personali per conto del titolare, in relazione al quale devono essere designati da quest’ultimo quali responsabili del trattamento (provvedimento del 10 ottobre del 2013, doc. web n. 2724806).

Con specifico riferimento ai trattamenti di dati personali effettuati da soggetti di cui si avvale il titolare del trattamento, in un recente provvedimento, il Garante ha rappresentato che il titolare è il soggetto sul quale ricadono le decisioni circa le finalità e le modalità del trattamento dei dati personali degli interessati nonché una “responsabilità generale” sui trattamenti posti in essere (v. art. 5, par. 2 c.d. “accountability” e 24 del Regolamento), anche quando questi siano effettuati da altri soggetti “per suo conto” (cons. 81, artt. 4, punto 8) e 28 del Regolamento) (provvedimento del 17 settembre 2020, doc. web n. 9461168).

Nel predetto provvedimento è stato precisato che il rapporto tra titolare e responsabile è regolato da un contratto o da altro atto giuridico, stipulato per iscritto che, oltre a vincolare reciprocamente le due figure, consente al titolare di impartire istruzioni al responsabile e prevede, in dettaglio, quale sia la materia disciplinata, la durata, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare. Il Responsabile del trattamento è, pertanto, legittimato a trattare i dati degli interessati “soltanto su istruzione documentata del titolare” (art. 28, par. 3, lett. a) del Regolamento).

Si evidenzia inoltre che, come recentemente evidenziato dal Comitato Europeo per la protezione dei dati, l’assenza di una chiara definizione del rapporto tra il titolare e il responsabile può sollevare il problema della mancanza di base giuridica su cui ogni trattamento dovrebbe basarsi, ad esempio, per quanto riguarda la comunicazione dei dati tra il titolare e il presunto responsabile (Guidelines 07/2020 on the concepts of controller and processor in the GDPR -Version 1.0- Adopted on 02 September 2020, punto 101, nota 35).

Dalla documentazione in atti emerge che la Regione Lazio ha affidato alla Società Capodarco società Cooperativa sociale integrata l’attività riguardante il trattamento dei dati sulla salute effettuato attraverso il servizio Recup. Ai fini del rispetto della normativa in materia di protezione dei dati personali, occorre identificare con precisione i soggetti che, a diverso titolo, possono trattare i dati personali e definire chiaramente le rispettive attribuzioni, in particolare quella di titolare e di responsabile del trattamento e dei soggetti che operano sotto la diretta responsabilità di questi (art. 4, par. 1, punto 7 del Regolamento e artt. 28 e 29 del Codice).

Ciò stante, preso atto di quanto rappresentato dalla Regione Lazio nella documentazione in atti e nelle memorie difensive, si osserva che:

1. la Regione non ha provveduto a designare responsabile del trattamento la Società Cooperativa Capodarco in relazione ai trattamenti di dati personali effettuati dalla stessa attraverso l’erogazione del servizio di call center ReCUP. La predetta designazione è stata effettuata dalla società Laziocrea, in qualità di responsabile del trattamento della Regione Lazio, in conformità all’art. 11, p. 4, del contratto quadro di servizi con la Regione del 2017, solo in data 7 gennaio 2019 (con successive modifiche trasmesse a questa Autorità il 2 maggio 2019);

2. la designazione a responsabile del trattamento della Società Cooperativa Capodarco per i trattamenti di dati personali relativi alla gestione ed erogazione del servizio di call center (sistema ReCUP) effettuata nel 2008 dalla Lait S.p.A., è da ritenersi priva di effetti, in quanto, seppure la stessa risulta essere stata perfezionata dalla Lait S.p.A., in qualità di titolare, è stato accertato che la titolarità di tale trattamento di dati personali è attribuibile esclusivamente alla Regione Lazio di cui la società Lait S.p.A. era stata designata responsabile (atto di designazione a responsabile della Cooperativa Capodarco da parte della Lait S.p.A. del 10.12.2008, prot. n. 12772; atto di designazione a responsabile della Lait S.p.A. da parte della Regione Lazio del decreto del 7.8.2006, n. T0423). Secondo quanto indicato nel predetto atto di designazione della Cooperativa Capodarco, infatti, “la titolarità dei trattamenti di dati effettuati nell’ambito del sistema ReCUP rimane attribuita alla Regione Lazio”. Ciò stante, ai sensi della normativa all’epoca vigente, solamente la Regione Lazio, in qualità di titolare del trattamento, poteva designare la Società Cooperativa Capodarco responsabile del trattamento, affidando alla stessa compiti specifici che dovevano essere analiticamente indicati per iscritto (art.29 del Codice all’epoca vigente);

3. l’avvenuta designazione -in data 6.4.2018- da parte della società Laziocrea S.p.A. del personale della Società Cooperativa Capodarco ad incaricato del trattamento (secondo la definizione vigente all’epoca dei fatti), è da ritenersi priva di effetti, in quanto, non è possibile designare le persone fisiche che operano esclusivamente presso società esterne al titolare e al responsabile del trattamento quali incaricati del trattamento, poiché le stesse non sono soggette alla “diretta autorità” del titolare o del responsabile del trattamento (art. 30 del Codice, all’epoca vigente);

4. il mancato ricorso da parte della Regione Lazio alla Società Cooperativa Capodarco quale responsabile del trattamento dei dati personali trattati attraverso il servizio ReCUP ha comportato un trattamento illecito di dati personali dal 1999 al gennaio 2019, in quanto la Regione Lazio ha consentito che la predetta Cooperativa effettuasse operazioni di trattamento dei dati raccolti nell’ambito del servizio ReCup di cui la Regione è titolare, in assenza di un idoneo presupposto di liceità.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare e dai responsabili del trattamento nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni si rileva l’illiceità del trattamento di dati personali effettuato dalla Regione Lazio, nei termini di cui in motivazione, per violazione degli artt. 5, par. 2, lett. a) e 28 del Regolamento.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che la Regione Lazio ha dichiarato che è stata effettuata la designazione a responsabile del trattamento del nuovo operatore che gestisce il servizio prenotazione delle prestazioni sanitarie, non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5 par. 2, lett. a) e 28 del Regolamento, causata dalla condotta posta in essere dalla Regione Lazio, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi, rispettivamente, dell’art. 83, par.5, lett. a) e par. 4, lett. a) del Regolamento.

Si consideri che il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 85, par. 2, del Regolamento in relazione ai quali si osserva che:

- l’Autorità è venuta a conoscenza della mancata designazione della Cooperativa Capodarco a responsabile del trattamento nell’ambito di un’attività istruttoria relativa ai trattamenti effettuati attraverso il portale “Salute Lazio” dalla Regione Lazio e non sono stati denunciati furti, perdite di dati o trattamenti illeciti da parte di dei diversi soggetti coinvolti nel trattamento dei dati (art. 83, par. 2, lett. a) e h) del Regolamento);

- il trattamento dei dati effettuato dalla Regione Lazio, attraverso il servizio di call center per la prenotazione delle prestazioni sanitarie a carico del servizio sanitario regionale, riguarda dati idonei a rilevare informazioni sulla salute di numerosi interessati (art. 4, par. 1, n. 15 del Regolamento e art. 83, par. 2, lett. a) e g) del Regolamento);

- la Regione, a prescindere dall’atto di designazione a responsabile della Società Cooperativa Capodarco, non ha impartito istruzioni a tale Società, astenendosi dall’indicare, in dettaglio, quale sia la materia disciplinata, la durata, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare adottato adeguate misure di sicurezza, (art. 5, par. 2 e art. 83, par. 2, lett. c) e d) del Regolamento);

- la durata del trattamento illecito si è protratta per un arco temporale particolarmente esteso, atteso che la Regione Lazio ha consentito che la Società Cooperativa Capodarco effettuasse operazioni di trattamento dei dati raccolti nell'ambito del servizio ReCup di cui la Regione è titolare, in assenza di un idoneo presupposto di liceità, dal 1999 al gennaio 2019.

In ragione dei suddetti elementi, valutati nel loro complesso, tenendo anche conto della fase di prima applicazione delle disposizioni sanzionatorie ai sensi dell’art. 22, comma 13, del d. lgs. 10/08/2018, n. 101, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 4, lett. a) e par. 5, lett. b) del Regolamento, nella misura di euro 75.000 (settantacinquemila) per la violazione degli artt. 5, par. 2, lett. a) e 28 del Regolamento quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della potenziale numerosità dei soggetti interessati e della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dalla regione Lazio, per la violazione degli artt. 5, par. 2, lett. a) e 28 del Regolamento nei termini di cui in motivazione.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, alla Regione Lazio, con sede legale in Roma, Via R. Raimondi Garibaldi 7- C.F./P. IVA 80143490581, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 75.000 (settantacinquemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento, secondo le modalità indicate in allegato, entro 30 giorni dalla notifica in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

alla predetta Regione, di pagare la somma di euro 75.000 (settantacinquemila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981. Al riguardo, si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro 30 giorni dalla data della notifica del presente provvedimento, ai sensi dell’art. 166, comma 8, del Codice (cfr. anche art. 10, comma 3, del d. lgs n. 150 dell’1/9/2011);

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 14 gennaio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei