Provvedimento del 4 luglio 2024
Provvedimento del 4 luglio 2024
Condividi[doc. web n. 10050707]
Provvedimento del 4 luglio 2024
Registro dei provvedimenti
n. 406 del 4 luglio 2024
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamentodel Garante n. 1/2019”);
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;
Relatore il dott. Agostino Ghiglia;
PREMESSO
1. Introduzione.
Da un articolo di stampa si è appreso che il Comune di Treviso (di seguito, il “Comune”) avrebbe messo a disposizione dei cittadini un’applicazione informatica, denominata “TrevisoSicura”, per consentire agli stessi di segnalare alla Polizia locale eventuali reati subiti.
Dall’attività istruttoria avviata dall’Ufficio nei confronti del Comune, all’esito della quale il Garante ha adottato il provv. 4 luglio 2024, n. 405 (in www.gpdp.it), a cui si rinvia integralmente per la complessiva ricostruzione della vicenda e delle caratteristiche tecniche dell’applicazione informatica “TrevisoSicura”, è emerso che il Comune medesimo, in qualità di titolare del trattamento, ha affidato alla Lapis s.a.s. (di seguito, la “Società”), quale responsabile del trattamento, ma in carenza di una formale stipula di un accordo sulla protezione dei dati, il trattamento dei dati personali degli utenti utilizzatori di tale applicazione.
2. L’attività istruttoria.
Sulla base delle risultanze istruttorie del procedimento avviato nei confronti del Comune, l’Ufficio, con nota del 6 aprile 2023 (prot. n. 0058167), ha notificato alla Società, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, per aver omesso di stipulare un accordo sulla protezione dei dati con il Comune, in violazione dell’art. 28, par. 3, del Regolamento.
Con la medesima nota, la Società è stata invitata a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).
Con nota del 5 maggio 2023, la Società ha presentato una memoria difensiva, dichiarando, in particolare, che:
- “a partire dall’anno 2020, su richiesta del Comune […], Lapis S.a.s. procedeva all’integrale sviluppo di un applicativo successivamente denominato “TrevisoSicura” le cui finalità e funzionalità [sono state] fin da principio identificate e pretese dal Comune di Treviso”;
- “dette funzionalità e pure la struttura stessa dell’app sono state create tecnicamente da Lapis S.a.s. nell’ambito di un rapporto di committenza (il quale per altro non trova alcuna regolazione se non in uno scarno disciplinare) nel quale, il Comune di Treviso
ha minuziosamente definito i confini e le esigenze cui lo strumento avrebbe dovuto attenersi”;
- “il Comune di Treviso solo nel 2022 si decise riluttantemente a regolare per mezzo di un semplice servizio di manutenzione […] incarico di manutenzione”;
- “detto contratto non veniva rinnovato sicché a far data dal 02.01.2023 l’app veniva disattivata”;
- con mail del 28 novembre 2022, la Società aveva fatto presente al Comune che lo stesso avrebbe dovuto “provved[ere] ad inviare una nomina come responsabile esterno [alla Società] per le attività di manutenzione dell’app Treviso Sicura”;
- “a detta comunicazioni alcun riscontro è mai stato fornito”.
3. Esito dell’attività istruttoria.
Ai sensi dell’art. 28, par. 3, del Regolamento, “i trattamenti da parte di un responsabile del trattamento devono essere disciplinati da un contratto o da altro atto giuridico a norma del 26 diritto dell'Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento, che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento”, e che preveda tutti gli impegni previsti dal medesimo art. 28, par. 3, del Regolamento (cfr. cons. 81 del Regolamento).
Il contratto o il diverso atto giuridico devono essere “stipulat[i] in forma scritta, anche in formato elettronico” (art. 28, par. 9, del Regolamento).
Come chiarito dal Comitato europeo per la protezione dei dati, “poiché il regolamento stabilisce con chiarezza l’obbligo di stipulare un contratto scritto, qualora non sia in vigore nessun altro atto giuridico pertinente si ha una violazione del [Regolamento], ovvero dell’“articolo 28, paragrafo 9, del [Regolamento]”. Considerato che “sia il titolare sia il responsabile del trattamento hanno la responsabilità di garantire l’esistenza di un contratto o di un altro atto giuridico che disciplini il trattamento”, l’autorità di controllo compente “potrà infliggere una sanzione amministrativa pecuniaria sia al titolare sia al responsabile del trattamento” (“Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”, adottate dal Comitato europeo per la protezione dei dati il 7 luglio 2021, par. 103).
Pertanto, laddove, come nel caso di specie, sussista “un rapporto titolare-responsabile del trattamento […] anche in assenza di un [valido] accordo di trattamento per iscritto” - in quanto il soggetto che tratta i dati effettua in concreto il trattamento non per proprie finalità ma per conto del soggetto committente, nell’ambito di un’attività da questi esternalizzata e nell’esecuzione di un contratto di servizi o di altro analogo rapporto giuridico in essere tra le parti (cfr. la definizione di “responsabile del trattamento” di cui all’art. 4, par. 1, n. 8, del Regolamento) - “ciò implic[a] […] una violazione dell’articolo 28, paragrafo 3, del [Regolamento]” (ibidem, par. 103 e nota n. 42).
Ciò premesso, deve rilevarsi che, come anche emerso nell’ambito del separato ma connesso procedimento avviato nei confronti del Comune, quest’ultimo ha affidato alla Società - peraltro sulla base di uno “scarno disciplinare” (v. memorie difensive) - il trattamento dei dati personali degli utenti utilizzatori dell’applicazione “TrevisoSicura”, nell’ambito delle operazioni di gestione e manutenzione della stessa. Ciò a partire dal 27 luglio 2020 e sino al 31 dicembre 2022.
Sebbene la Società, nell’ambito della fornitura dei propri servizi in favore del Comune, abbia trattato i dati personali degli utenti per conto e nell’interesse dello stesso, agendo, pertanto, in qualità di “responsabile del trattamento” (art. 4, par. 8, n. del Regolamento), la stessa ha, tuttavia, omesso di stipulare con il Comune un contratto sulla protezione dei dati personali, avendo così agito in violazione dell’art. 28, par. 3, del Regolamento.
4. Conclusioni.
Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dalla Società nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva la violazione da parte della Società dell’art. 28, par. 3, del Regolamento, per non aver stipulato un accordo sulla protezione dei dati con il Comune prima di iniziare il trattamento.
Tenuto conto che, nel caso di specie, la predetta violazione è soggetta alla sanzione amministrativa prevista dall’art. 83, par. 4, del Regolamento, l’importo totale della sanzione è da quantificarsi fino a euro 10.000.000, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore. Considerato che il fatturato totale annuo della Società nel 2019 (ultimo anno in cui risulta essere stato depositato un bilancio presso la Camera di Commercio) è pari a euro 103.729,00 l’importo totale della sanzione è da quantificarsi fino a euro 10.000.000. In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che il rapporto contrattuale con il Comune è cessato e le funzionalità di segnalazione dell’applicazione informatica sono state disattivate, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.
5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).
La violazione delle disposizioni citate è soggetta all’applicazione di una sanzione amministrativa pecuniaria ai sensi del combinato disposto di cui agli artt. 58, par. 2, lett. i), e 83, par. 5, del Regolamento.
La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.
Tenuto conto che:
- sebbene l’applicazione informatica “TrevisoSicura” sia stata messa a disposizione degli utenti per un esteso arco temporale (dal mese di luglio 2020 al mese di dicembre 2022), il Comune ha ricevuto un numero non elevato di segnalazioni (n. 414) e, pertanto, il trattamento, posto in essere dalla Società per conto del Comune, ha riguardato un numero limitato di interessati rispetto al numero totale dei residenti nel Comune (circa 85.000 abitanti) (cfr. art. 83, par. 2, lett. a), del Regolamento);
- il rapporto tra il Comune e la Società, oltre a non essere stato definitivo in un accordo sulla protezione dei dati stipulato ai sensi dell’art. 28, par. 3, del Regolamento, non è stato correttamente inquadrato, per i profili di protezione dei dati, nemmeno nell’ambito del contratto di fornitura dei servizi di manutenzione (v. l’email della Società del 5 maggio 2023, ove si afferma che il rapporto di committenza tra il Comune e la Società “non trova alcuna regolazione se non in uno scarno disciplinare” (cfr. art. 83, par. 2, lett. a), del Regolamento);
- la violazione ha carattere colposo (cfr. art. 83, par. 2, lett. b), del Regolamento);
- il trattamento non ha riguardato dati personali appartenenti a categorie particolari (v. art. 9 del Regolamento) o dati relativi a reati (v. art. 10 Regolamento), sebbene, come sopra illustrato, la circostanza che l’applicazione sia stata configurata in maniera tale da consentire agli utenti l’inserimento di testo libero ha esposto il Comune, e conseguentemente la Società, al rischio di trattare anche tali tipologie di dati (cfr. art. 83, par. 2, lett. g), del Regolamento),
si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal responsabile del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60).
Ciò premesso, si ritiene che, ai fini della quantificazione della sanzione, debbano essere prese in considerazione le seguenti circostanze:
- non risultano precedenti violazioni pertinenti commesse dalla Società (art. 83, par. 2, lett. e), del Regolamento);
- la Società si era comunque attivata presso il Comune al fine di far presente la necessità di stipulare un accordo sulla protezione dei dati (art. 83, par. 2, lett. k), del Regolamento).
In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 1.500 (millecinquecento) per la violazione dell’art. 28, par. 3, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.
Tenuto conto che il trattamento dei dati personali in questione ha avuto luogo in violazione della predetta disposizione del Regolamento per un esteso arco temporale (dal 27 luglio 2020 al 2 gennaio 2023) e che, come è emerso nella separata, ma connessa istruttoria avviata nei confronti del Comune, la Società, nel contesto dell’informativa resa agli interessati, si era erroneamente attribuito il ruolo di titolare del trattamento ingenerando confusione nella collettività; si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.
TUTTO CIÒ PREMESSO IL GARANTE
dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dalla Lapis s.a.s. per violazione dell’art. 28, par. 3, del Regolamento, nei termini di cui in motivazione;
ORDINA
alla Lapis Sas, in persona del legale rappresentante pro-tempore, con sede legale in Via Jacopo Bernardi, 13/A - 31100 Treviso (TV), C.F. e P.IVA. n. 03122190261, di pagare la somma di euro 1.500 (millecinquecento) a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;
INGIUNGE
alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 1.500 (millecinquecento) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;
DISPONE
- la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice (v. art. 16 del Regolamento del Garante n. 1/2019);
- l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento (v. art. 17 del Regolamento del Garante n. 1/2019).
Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 4 luglio 2024
IL PRESIDENTE
Stanzione
IL RELATORE
Ghiglia
IL SEGRETARIO GENERALE
Mattei
