[doc. web n. 10126141]

Provvedimento del 27 febbraio 2025

Registro dei provvedimenti
n. 116 del 27 febbraio 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. del 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. del 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento n. 1/2019”);

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. Introduzione.

Con reclamo presentato ai sensi dell’art. 77 del Regolamento, il Sig. XX, ha lamentato una violazione della disciplina in materia di protezione dei dati personali da parte del Ministero dell’Interno-Dipartimento per gli affari interni e territoriali, in relazione al trattamento di dati personali effettuato mediante il servizio denominato “CIE-Agenda Online”, disponibile sul sito istituzionale del Ministero (https://www.prenotazionicie.interno.gov.it/) al fine di effettuare la prenotazione dell’appuntamento presso un Comune per presentare la richiesta della carta di identità elettronica.

In particolare, in data XX il reclamante, utilizzando il servizio sopra indicato, fissava un appuntamento per il rinnovo della carta di identità in scadenza, confermando l’appuntamento tramite SPID. A fine processo riceveva un messaggio di riepilogo a video dal quale rilevava che i suoi dati sarebbero stati inviati ad un indirizzo email non riferibile a lui. Tale anomalia si sarebbe verificata “nonostante sul portale SPID le informazioni [fossero] corrette”. Nello specifico, in base a quanto lamentato nel reclamo, “il sistema [aveva] creato il profilo inserendo una mail non corretta”, XX (di seguito nome.cognome@xy.com) e “il risultato di questo errore del sistema ha fatto sì che il sig. XX”[di seguito “Nome Cognome”], il cui indirizzo email risultava riportato erroneamente nella scheda profilo personale del richiedente presente sulla piattaforma, “ha ricevuto una mail contenente i […] dati personali [del reclamante] riepilogati in un pdf”, relativi all’appuntamento del XX, per il rilascio della carta di identità elettronica.

2. L’istruttoria.

2.1. L’attività istruttoria

In riscontro alla richiesta di informazioni dell’Autorità, ai sensi dell’art. 157 del Codice, il Ministero dell’Interno, Dipartimento per gli affari interni e territoriali (di seguito “Ministero”), con nota del XX, ha dichiarato che:

- “Dalle verifiche tecniche effettuate dall’Istituto Poligrafico dello Stato, sul sistema “CIE-Agenda Online”, è emerso che, in data XX, è stata creata sul predetto sistema una utenza a nome [del reclamante], con indirizzo mail [nome.cognome@xy.com], e nello stesso giorno è stato fissato a nome dell’interessato […] un appuntamento per il giorno XX; [...]

- è stato riscontrato, altresì, che esiste una SCO (smart card in dotazione ai Comuni necessarie per il rilascio delle Carte di Identità Elettroniche) del Comune di XX, assegnata a [Nome Cognome], che dovrebbe, pertanto, essere un operatore comunale. Quest’ultimo potrebbe, verosimilmente, aver registrato l’appuntamento sull’Agenda, in nome e per conto del [reclamante], indicando il proprio indirizzo come mail di contatto […];

- “in data XX, risulta che il [reclamante] ha effettuato l’accesso al sistema Agenda, autenticandosi tramite le proprie credenziali SPID (il sistema permette l’accesso con CIE, SPID o con credenziali proprietarie) e ha proceduto a prenotare un nuovo appuntamento presso il [Comune], utilizzando i dati registrati nell’utenza creata in precedenza, a XX. Al termine della prenotazione, il sistema ha informato l’utente [..] che la ricevuta PDF dell’appuntamento [era] stata inviata, tramite mail, all’indirizzo inserito nel XX, [nome.cognome@xy.com]”;

- “l’interessato – leggendo un indirizzo mail diverso dal proprio (ovvero quello inserito in fase di creazione dell’utenza in data XX) – ha proceduto a contattare l’assistenza CIE, in data XX, richiedendo verifiche in merito all’accaduto”;

- “L’assistenza CIE ha contattato l’interessato, informandolo dei dati che risultavano registrati sul sistema Agenda e delle modalità per modificare i dati inseriti in fase di registrazione […]. La ricevuta PDF dell’appuntamento è stata generata nuovamente dal sistema ed inviata all’indirizzo XX, dopo la modifica dello stesso a seguito del contatto con l’assistenza CIE”;

- “Salvo attuazione della procedura di cancellazione dell'account da parte dell’utente […] i dati dei cittadini sono conservati nei limiti della prescrizione dei diritti azionabili”.
In riscontro all’ulteriore richiesta di elementi del XX, il predetto Ministero, con nota del XX, pervenuta in data XX, ha dichiarato che:

- “In merito alle modalità di associazione dei dati inseriti, tramite operatore di sportello, al profilo utente annesso successivamente ad una utenza spid, si precisa che, nel caso di specie, l’utenza è stata creata, presumibilmente dal[l’]operatore comunale […] utilizzando la procedura riservata ai cittadini. In caso di successivo accesso al sistema AgendaOnline mediante credenziali SPID, il profilo utente viene associato mediante codice fiscale all'utenza precedentemente creata”.

- “Esiste una specifica funzionalità dedicata all'operatore di sportello che consente di fissare l'appuntamento per conto dell'utente […]; la procedura attraverso la quale gli operatori di sportello possono prendere appuntamento in favore dei cittadini, prevede l’inserimento di un indirizzo e-mail liberamente scelto dal cittadino; non è pertanto possibile prevedere un controllo di appartenenza dell’indirizzo mail ad uno specifico dominio. Il solo sistema per modificare l’indirizzo mail memorizzato nel profilo del cittadino è che lo stesso acceda con le proprie credenziali al portale; gli operatori, infatti, non dispongono di una procedura che permetta loro di creare o modificare il profilo utente dei cittadini”;

- “in relazione al rischio di inviare comunicazioni ad un indirizzo precedentemente inserito […] non ritenuto più idoneo dall’interessato, è stato chiesto al Poligrafico di verificare una possibile implementazione […] di una notifica all’utente che gli consenta di visualizzare l’indirizzo email al quale si sta per inviare la conferma dell’appuntamento e di procedere all’eventuale correzione, nonostante - si sottolinea - l’utente abbia già la possibilità, […] di modificare l’indirizzo e-mail precedentemente inserito, attraverso la funzionalità di gestione del profilo utente”.

2.2. La notifica delle violazioni e le memorie difensive.

In relazione a quanto sopra descritto, con nota del XX, l’Ufficio, sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, ha notificato al Ministero dell’Interno, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, in quanto i dati personali degli utenti, acquisiti nel corso delle prenotazioni, venivano memorizzati sul sistema “CIE-Agenda Online” per un periodo di tempo superiore a quello necessario al conseguimento delle finalità per le quali sono stati raccolti (prenotazione di un appuntamento per presentare la richiesta di una CIE presso l’ufficio comunale prescelto). Infatti, i dati relativi alle prenotazioni degli utenti, incluse quelle cancellate o scadute, restavano registrati nel sistema anche successivamente alla data dell’appuntamento prenotato, finanche dopo il rilascio della CIE, in assenza di una base giuridica e in violazione degli artt. 5, par. 1, lett. a), b), e) ed f), e 6 del Regolamento.

In relazione a tali contestazioni, il Ministero è stato inviato a produrre scritti difensivi o documenti, chiedendo, se del caso, di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24 novembre 1981).

Con nota del XX, il Ministero ha trasmesso le proprie memorie difensive in relazione alle violazioni contestate, rappresentando, in particolare che:

- Dall’analisi dei dati registrati nel sistema CIE è emerso altresì che [Nome Cognome] risulta[va] titolare di una smart card operatore (SCO) assegnata al Comune […], [presso il quale] ha prestato servizio […] come ufficiale di anagrafe, fino al XX […]. [I]l suddetto dipendente, legato da un rapporto di amicizia con lo zio del reclamante, avrebbe prestato supporto ai fini della prenotazione del primo appuntamento registrato sul sistema CIE a nome [del reclamante], fornendo il proprio account di posta elettronica.

- […] il Decreto del 23 dicembre 2015, Allegato B, punto 4.4.5. (Acquisizione di indirizzi di contatto del richiedente) prevede che “All’atto della richiesta di rilascio della CIE presso il Comune o il Consolato, il cittadino può fornire indirizzi di contatto, quali numero di telefono, indirizzo di posta elettronica […] al fine di ricevere comunicazioni, da parte del CIEonLine, inerenti allo stato di avanzamento del processo di rilascio della CIE”. Tale disposizione legittima quindi la raccolta da parte del sistema CIE dell’indirizzo mail comunicato dal richiedente e la conservazione dello stesso per rendere possibili le comunicazioni inerenti al processo di rilascio del documento fino a quando non risulta concluso. Per tale motivo, il sistema CIE ha conservato i dati personali inseriti in data XX per l’appuntamento del XX e li ha riproposti [al reclamante] in data XX per la nuova prenotazione fissata per l’8 febbraio successivo, dal momento che il processo di emissione della CIE a favore del richiedente era ancora in itinere.

- […] in base all’informativa resa disponibile all’atto della registrazione al servizio CIE, la durata del trattamento dei dati personali raccolti è consentita per un periodo non superiore ai due anni dalla data della stessa registrazione ovvero […] dell’ultimo appuntamento, a seguito del quale i dati sono cancellati. Verificando le date del reclamo in esame […] non essendo trascorsi due anni né tra i due accessi al sistema Agenda CIE, né tra le due date degli appuntamenti fissati per il rilascio del documento, anche in relazione al rispetto dei tempi di conservazione, il trattamento dei dati personali [del reclamante], per finalità legate al rilascio della CIE, risulta coerente con le disposizioni suindicate”.

- “A seguito della modifica dell’indirizzo operata dall’interessato coadiuvato dal servizio di assistenza CIE, il sistema ha prontamente generato una nuova ricevuta dell’appuntamento, inviata al nuovo indirizzo registrato dall’utente”;

- “la vicenda sopradescritta ha interessato i dati di un solo cittadino e […] ad oggi non sono pervenute né al Ministero né al Poligrafico, tramite help desk, segnalazioni analoghe”.

Con riguardo, invece, a quanto rilevato dall’Autorità, più in generale, in merito al sistema “CIE-Agenda Online”, il Ministero ha dichiarato che, “avvalendosi del supporto tecnico del Poligrafico, in un’ottica di privacy by design e by default, ha previsto di apportare al sistema CIE le seguenti misure correttive:

- pubblicare sul Portale Agenda CIE uno specifico avviso che richiami l’attenzione del cittadino che la creazione dell’utenza è necessaria ai fini della gestione dell’appuntamento e che verrà automaticamente cancellata in assenza di appuntamenti attivi, provvedendo ad adeguare, altresì, l’informativa, entro il 15 dicembre p.v.;

- cancellare le utenze e i dati relativi agli appuntamenti fissati, a seguito del rilascio della CIE, qualora non vi siano ulteriori appuntamenti in corso;

- cancellare dal sistema lo storico di tutti gli appuntamenti fissati dagli interessati (numero appuntamento, data, ora, ufficio) e di tutte le utenze entro il 15 dicembre p.v..”

Il Ministero, infine, si è dichiarato “disponibile ad assumere ogni altra iniziativa ritenuta necessaria ad assicurare la protezione dei dati personali di cui trattasi”.

2.3. Ulteriori accertamenti.

Tenuto conto degli elementi acquisiti nell’ambito dell’istruttoria e delle misure che il Ministero dell’Interno ha dichiarato di adottare al fine di superare le criticità contestate dal Garante, l’Ufficio ha accertato che, a seguito dell’intervento del predetto Ministero, il sistema “CIE Agenda Online” consente l’accesso al servizio di prenotazione degli appuntamenti, non solo con CIE e SPID, ma anche sulla base di una semplice procedura di registrazione, che richiede l’inserimento del codice fiscale e di una password. Al riguardo nell’informativa resa agli utenti è precisato che “Nel caso in cui non siano disponibili credenziali SPID, Agenda CIE consente di registrarsi al servizio. La registrazione richiede che si forniscano i medesimi dati forniti da SPID al servizio” (cfr. https://www.prenotazionicie.interno.gov.it/informativa/privacy). L’Ufficio ha altresì accertato che, come riportato nella predetta informativa “La cancellazione degli appuntamenti avviene decorsi 30 giorni dalla data degli stessi, a prescindere dall'emissione della CIE. Le utenze sono cancellate quando non vi è alcun appuntamento associato alle stesse. Ne consegue che nel caso in cui ad una utenza sia associato un solo appuntamento, alla cancellazione di questo (dopo 30 giorni dalla scadenza) sia cancellata anche l'utenza, ma che nel caso in cui all'utenza sia associato un appuntamento non scaduto o scaduto da meno di 30 giorni prima, l'utenza non sia cancellata” e che è, in ogni caso, possibile procedere alla cancellazione “direttamente sul portale web accedendo alla funzionalità di 'Eliminazione Account'“).

3. Esito dell’attività istruttoria.

In via preliminare, si rappresenta che il trattamento di dati personali deve avvenire nel rispetto della normativa applicabile in materia di protezione dei dati personali e, in particolare, delle disposizioni del Regolamento (UE) 2016/679 e del Codice.

In particolare, il trattamento dei dati personali effettuato da soggetti pubblici è lecito solo se necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (artt. 6, par. 1, lett. c) ed e), del Regolamento, 2-ter del Codice) e deve avvenire, in ogni caso, nel rispetto dei principi in materia di protezione dei dati personali, in particolare dei principi di “liceità correttezza e trasparenza” e “limitazione delle finalità”, “limitazione della conservazione”, in base ai quali i dati sono “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato”, “raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità” e “conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati” (art. 5, par. 1, lett. a), b), e) e il titolare deve essere in grado di comprovare l’adozione delle predette misure e la conformità del trattamento al Regolamento (artt. 5, par. 2, e 24, par. 1, del Regolamento). Inoltre, in base al principio di “protezione dei dati fin dalla progettazione”, di cui all’art. 25, par. 1, del Regolamento, il titolare del trattamento, tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso, deve mettere in atto misure tecniche e organizzative adeguate, volte ad attuare in modo efficace i principi di protezione dei dati e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del Regolamento e tutelare i diritti degli interessati.

Dall’accertamento compiuto sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni di questo Dipartimento, risulta accertato che il reclamante in data XX, ha provveduto, utilizzando il sito https://www.prenotazionicie.interno.gov.it/, a fissare un appuntamento per il rinnovo della carta di identità in scadenza, confermando l’appuntamento tramite SPID. A fine processo il sistema presentava a video una schermata di riepilogo dalla quale si rilevava che i dati del reclamante sarebbero stati inviati ad un indirizzo mail a lui sconosciuto; ciò, nonostante sul portale SPID le informazioni risultassero corrette.

Il Ministero dell’Interno, con le note del XX e XX, e con le memorie difensive del XX, ha fornito i seguenti elementi, che si riassumono per gli aspetti, anche di natura tecnica, rilevanti:

- il sistema di prenotazione si serve di una base di dati in cui memorizza i dati inerenti alla gestione degli appuntamenti e dei calendari di disponibilità delle sedi comunali;

- in base alle verifiche tecniche effettuate dall’Istituto Poligrafico dello Stato per conto del Ministero sul sistema “CIE-Agenda Online”, è emerso che, in data XX, è stata creata un’utenza a nome del reclamante, con indirizzo mail [nome.cognome@xy.com], e nello stesso giorno è stato fissato un appuntamento per il giorno XX;

- è stato riscontrato che esisteva una SCO (smart card in dotazione ai dipendenti dei Comuni necessarie per il rilascio delle Carte di Identità Elettroniche) del Comune assegnata al Sig. [Nome Cognome];

- l’utenza creata sul sistema “CIE-Agenda Online” riportava l’indirizzo email indicato nel reclamo, riferito al predetto operatore comunale, in quanto il predetto ha presumibilmente utilizzato la procedura riservata ai cittadini;

- all’epoca dei fatti, la durata della conservazione dei dati personali era prevista “per un periodo non superiore ai due anni dalla data della stessa registrazione ovvero […] dell’ultimo appuntamento, a seguito del quale i dati sono cancellati”;

- verificando la tempistica dei fatti oggetto del reclamo “non essendo trascorsi due anni né tra i due accessi al sistema Agenda CIE, né tra le due date degli appuntamenti fissati per il rilascio del documento”, i dati del reclamante risultavano ancora conservati nel profilo utente;

- a XX, nel momento in cui l’interessato ha effettuato, l’accesso autenticandosi tramite le proprie credenziali SPID per prenotare un nuovo appuntamento, il sistema ha associato, tramite il codice fiscale del cittadino, i dati a suo tempo raccolti, proponendo l’indirizzo email inserito nel XX dall’operatore.

Nel caso in esame, l’inserimento di dati inesatti appare riconducibile alle peculiari circostanze dello stesso, e in particolare, all’intervento dell’operatore comunale che da un lato, nel fornire supporto al reclamante, ha erroneamente utilizzato la procedura utente (anziché quella prevista per gli operatori), e dall’altro, ha indicato, quale dato di contatto, il proprio indirizzo email, in luogo di quello dell’utente.

Cionondimeno, nella problematica sollevata dal reclamante, le impostazioni del sistema di prenotazione implementate dal Ministero hanno comunque svolto un ruolo rilevante. La previsione di tempi lunghi di conservazione dei dati e delle utenze, che restavano attive anche successivamente alla data degli appuntamenti, scaduti o cancellati, e anche successivamente al rilascio della CIE - anche in assenza di un errore umano (come nel caso in esame) - comportavano comunque il rischio, di riproporre dati ormai obsoleti (per esempio indirizzi di posta elettronica e numeri di telefono non più attivi o non più utilizzati dall’utente), pregiudicando il raggiungimento delle finalità sottese alla raccolta dei dati di contatto ed indicate nella base giuridica , che è quella di “ricevere comunicazioni, da parte del CIEonLine, inerenti allo stato di avanzamento del processo di rilascio della CIE” (d.m. 23 dicembre 2015, Allegato B).

Tanto premesso, dall’esame della documentazione acquisita nell’ambito dell’istruttoria, si osserva che ai fini della mera prenotazione di un appuntamento non è necessaria la creazione di un’utenza sul sistema “CIE-Agenda Online”, che non può, quindi, essere prevista di default e mantenuta attiva a prescindere dalla presenza di un appuntamento. Ciò, in quanto il documento di identità - in linea generale e salva l’ipotesi di furto o smarrimento - ha validità decennale e la richiesta di un nuovo documento, non è un evento così frequente per il cittadino.

La possibilità di creare un’utenza, dunque, dovrebbe essere lasciata facoltativamente all’interessato, qualora lo stesso intenda mantenerla per utilizzi successivi (per esempio, per effettuare la richiesta di un appuntamento per il rilascio della CIE a figli minorenni). Pertanto, l’accesso al sistema “CIE-Agenda Online” e la prenotazione di un appuntamento, non dovrebbero, di default comportare obbligatoriamente il mantenimento di un’utenza nel sistema, a meno di esplicita richiesta da parte dell’interessato.

Inoltre, sulla base dell’istruttoria svolta, risulta che, all’epoca dei fatti oggetto del reclamo, il sistema “CIE-Agenda Online”:

- conservava l’utenza creata in occasione della richiesta di un appuntamento per il rilascio della CIE anche successivamente alla spedizione o al ritiro del documento da parte del cittadino, quindi, a prescindere dalle dichiarate esigenze di fissazione o gestione dell’appuntamento presso l’ufficio comunale prescelto;

- il profilo utente, nella sezione “gestione appuntamento”, conservava lo storico di tutti gli appuntamenti fissati dall’interessato (numero appuntamento, data, ora, ufficio), compresi quelli con stato “cancellato dall’utente” o semplicemente “scaduto”, anche dopo la data prevista per l’appuntamento;

- come anche riportato nell’informativa resa disponibile all’atto della registrazione al servizio, la conservazione dei dati era stabilita in “due anni dalla data di registrazione al servizio o dalla data di registrazione dell’ultimo appuntamento. Successivamente i dati [venivano] cancellati”.

- il sistema consente di accedere al servizio di prenotazione mediante una semplice procedura di registrazione che richiedeva l’inserimento dei dati necessari alla prenotazione, compresa l’indicazione di user ID e password.

A tal proposito, l’Allegato 1 del decreto del Ministero dell’Interno del XX, in merito all’acquisizione degli indirizzi di contatto, prevede che “All'atto della richiesta di rilascio della CIE presso il Comune o il Consolato, il cittadino può fornire indirizzi di contatto, quali numero di telefono, indirizzo di posta elettronica o indirizzo di posta elettronica certificata, ovvero esprimere il consenso all'utilizzo del domicilio digitale eventualmente specificato in ANPR, al fine di ricevere comunicazioni, da parte del CIEonLine, inerenti allo stato di avanzamento del processo di rilascio della CIE” (cfr. allegato 1, par. 4.4.5). I dati raccolti all’atto della richiesta dell’appuntamento, in conformità al principio di “liceità, correttezza e trasparenza”, dovrebbero, quindi, essere utilizzati esclusivamente per le finalità di gestione dello stesso, o di eventuali contestazioni, e, in applicazione del principio di “limitazione della conservazione”, dovrebbero pertanto essere cancellati trascorso un tempo adeguato dalla data prevista per l’appuntamento. Inoltre, la conservazione dell’intero storico degli appuntamenti cancellati dall’utente, anche oltre i predetti termini, non risulta altresì conforme al principio di e “limitazione delle finalità”.

Ciò premesso, si ritiene che non sia proporzionata e adeguata alle finalità previste – e specificamene indicate dalla relativa base giuridica (cfr. d.m. XX) -  la scelta di prevedere obbligatoriamente la creazione di un account in assenza di appuntamenti o di una richiesta dell’interessato, nonché quella di memorizzare i dati personali raccolti nel corso delle prenotazioni anche successivamente alla gestione dell’appuntamento in corso; ciò, soprattutto per quanto riguarda la conservazione dei dati relativi alle precedenti prenotazioni, cancellate o scadute, financo successivamente al rilascio della CIE. Parimenti, il termine di conservazione di due anni dei predetti dati non appare proporzionato alle finalità perseguite.

Per tali motivi, il trattamento dei dati personali nei termini sopra descritti risulta essere stato effettuato dal Ministero dell’Interno in violazione degli artt. 5, par. 1, lett. a), b) ed e), e 6 del Regolamento.

4. Conclusioni.

Alla luce di quanto rilevato, si rileva che la documentazione fornita e le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria - della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentano di superare del tutto i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, ai sensi dell’art. 14, comma 1, del Regolamento del Garante n. 1/2019 non ricorrendo alcuno dei casi previsti dall’art. 11 ivi richiamato.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Ministero dell’Interno-Dipartimento per affari interni e territoriali per aver effettuato, nei termini su esposti, il trattamento dei dati personali in violazione degli artt. 5, par. 1, lett. a) e b) ed e), e 6 del Regolamento.

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 2, del Codice.

Per quanto concerne l’esercizio dei poteri correttivi di cui all’art. 58, par. 2, del Regolamento, preso atto delle misure adottate dal Ministero nel corso del procedimento per conformare il trattamento alla normativa in materia di protezione dei dati personali - cancellazione dell’utenza e riduzione dei tempi di conservazione dei dati a 30 giorni dalla data prevista per l’appuntamento - non ricorrono, allo stato, i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, par. 1, lett. a), b), ed e) e 6 del Regolamento comporta l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 5 del Regolamento.

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Tenuto conto che la violazione delle disposizioni sopra citate da parte del Ministero dell’Interno ha avuto luogo in conseguenza di una condotta che può essere considerata unitaria, (stesso trattamento o trattamenti tra loro collegati), trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, tutte le violazioni sono soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000 (ventimilioni/00).

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nell’ipotesi in esame, sono state tenute in considerazione le circostanze sotto riportate.

Con specifico riguardo alla particolare natura, gravità e durata della violazione, pur considerando che l’istruttoria non ha rilevato casi analoghi a quello oggetto del reclamo, il trattamento complessivamente effettuato sul sistema “CIE-Agenda Online” nei termini sopra descritti ha riguardato un numero molto elevato di interessati i cui dati sono stati memorizzati nel sistema per un periodo di due anni; di contro, il trattamento non appare connotato da una particolare delicatezza, considerate la finalità del trattamento (appuntamento per richiesta CIE e la natura dei dati richiesti (anagrafici e di contatto) (art. 83, par. 2, lett. a) del Regolamento).

Alla luce di tali circostanze, si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento possa essere considerato di grado basso (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023).

Ciò premesso, si ritiene che, ai fini della quantificazione della sanzione, debba essere presa in considerazione, in senso favorevole al Ministero, la tempestiva presa in carico della problematica sollevata dal reclamante – tramite l’help desk a disposizione dell’utenza - in relazione alla necessità di procedere alla rettifica dei dati inesatti registrati nel sistema (art. 83, par. 2, lett. c) del Regolamento); il grado di cooperazione manifestato dal titolare con l'autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi, avendo nel corso dell’istruttoria, adottato misure volte a rendere conformi al Regolamento il trattamento dei dati degli utenti effettuati sul sistema “CIE-Agenda Online” (art. 83, par. 2, lett. f) del Regolamento); l’assenza di precedenti violazioni pertinenti commesse dal titolare del trattamento (art. 83, par. 2, lett. e), del Regolamento).

Si ritiene inoltre che assumano rilevanza nell’ipotesi di specie, in ragione dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), la circostanza che il soggetto contravventore è un’amministrazione centrale di rilievo nazionale.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 3.000,00 (tremila) per la violazione degli artt. 5, par. 1, lett. a), b) ed e), e 6 e del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante.  

Ciò in considerazione della circostanza che il trattamento sanzionato ha riguardato un numero molto elevato di cittadini che hanno utilizzato il sistema “CIE-Agenda Online” del Ministero dell’Interno fini della prenotazione di un appuntamento per il rilascio del documento di identità.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi degli artt. 57, par. 1, lett. f) del Regolamento, rileva l’illiceità del trattamento effettuato dal Ministero dell’Interno-Dipartimento per gli affari interni e territoriali, per la violazione degli artt. 5, par. 1, lett. a), b) ed e) e 6 del Regolamento nei termini di cui in motivazione;

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, al Ministero dell’Interno-Dipartimento per gli affari interni e territoriali, con sede legale in Palazzo del Viminale, C.F. 97149560589, 00184, Roma, di pagare la complessiva somma di euro 3.000,00 (tremila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al Ministero dell’Interno-Dipartimento per gli affari interni e territoriali, di pagare la complessiva somma di 3.000,00 (tremila) in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

ai sensi dell'art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell'ordinanza ingiunzione sul sito internet del Garante;

ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione del presente provvedimento e delle misure adottato ai sensi dell’art. 58, par. 2, del Regolamento, nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 27 febbraio 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei