[doc. web n. 9207876]

Ordinanza ingiunzione nei confronti di Partito Democratico, Coordinamento Metropolitano di Firenze - 31 ottobre 2019

Registro dei provvedimenti
n. 204 del 31 ottobre 2019

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO l’art. 1, comma 2, della legge 24 novembre 1981, n. 689, ai sensi del quale le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e per i tempi in esse considerati;

RILEVATO che, a seguito di alcuni articoli di stampa che informavano di un attacco informatico al sito web del Partito Democratico di Firenze (www.partitodemocratico.fi.it) con conseguente violazione dei dati personali dei cittadini iscritti al suddetto partito, l’Ufficio avviava un’attività istruttoria, all’esito della quale è risultato che:

- i dati oggetto della violazione hanno riguardato una pluralità di nominativi di iscritti al PD Firenze, consistenti in nome, cognome, data di nascita e indirizzo (anche di posta elettronica);

- i dati personali degli iscritti, raccolti dai circoli territoriali e caricati sul database oggetto dell’attacco informatico, potevano essere visualizzati dai circoli stessi (limitatamente alla parte riferita ai propri iscritti) e dal dott. XX, responsabile della comunicazione del PD fiorentino e titolare dell’account admin;

- la gestione e la manutenzione del sito web era affidata esclusivamente al dott. XX, utilizzando l’infrastruttura della A.P. Software Informatica s.a.s. di cui lo stesso era rappresentante legale;

- la A.P. Software Informatica s.a.s. non è stata designata quale responsabile del trattamento dei dati personali, ai sensi dell’art. 29 del Codice in materia di protezione dei dati personali (d.lgs. 196/2003, di seguito “Codice”) nella formulazione antecedente alle modifiche introdotte dal d.lgs. n. 101/2018);

VISTO il provvedimento n. 3 del 10 gennaio 2019 (in www.garanteprivacy.it, doc. web n. 9082416), che qui integralmente si richiama, con cui l’Autorità ha accertato l’illiceità del trattamento posto in essere dal PD – Coordinamento cittadino di Firenze, che ha comunicato i dati personali degli iscritti al Partito a un terzo (A.P. Software Informatica s.a.s.) in assenza del consenso degli interessati in violazione dell’art. 26 del Codice, anch’esso nella formulazione antecedente alle modifiche introdotte dal d.lgs. n. 101/2018;

VISTO il verbale n. 9594/123911del 19 marzo 2019, con cui è stata contestata al Partito Democratico – Coordinamento metropolitano di Firenze, con sede in Firenze, Via XX, C.F. XX, in persona del legale rappresentante pro-tempore, la violazione amministrativa prevista dall’art. 162, comma 2-bis, del Codice, applicata in combinato disposto con l’art. 164-bis, comma 1, in relazione all’art. 26 del medesimo Codice, informandola della facoltà di effettuare il pagamento in misura ridotta;

RITENUTO che dal rapporto predisposto dall’Ufficio ai sensi dell’art. 17 della legge n. 689/1981 non risulta effettuato il pagamento in misura ridotta;

VISTI gli scritti difensivi presentati dal PD Coordinamento metropolitano in data 3 maggio 2019, inviati ai sensi dell’art. 18 della legge 24 novembre 1981, n. 689, con cui è stato rilevato come il verbale di contestazione contenga “una chiara discrepanza tra dispositivo e motivazione che, infatti, risultano difformi nell’individuazione del soggetto a cui si contesta la violazione”, laddove infatti il verbale di contestazione risulta redatto e notificato nei confronti del PD Coordinamento metropolitano (mentre l’istruttoria e il provvedimento dell’Autorità sono rivolti al PD Coordinamento cittadino). La parte ha, quindi, evidenziato come Coordinamento cittadino e Coordinamento metropolitano siano due articolazioni autonome e indipendenti del Partito a livello regionale. Pertanto, ha chiesto che il verbale di contestazione venga annullato;

CONSIDERATO che le argomentazioni addotte non sono idonee ad escludere la responsabilità della parte in relazione a quanto contestato. Nel corso delle indagini condotte dall’Ufficio, finalizzate ad ottenere ogni utile elemento di valutazione in ordine alla violazione dei dati personali occorso al sito web del Partito Democratico di Firenze (con particolare riferimento all’individuazione del titolare e di ogni altro soggetto coinvolto nella vicenda de quo) l’unico interlocutore delle richieste di informazioni è stato il Coordinamento cittadino che, in persona del proprio rappresentante legale pro-tempore nonché tesoriere e in nome del PD Firenze, ha dichiarato che la società A.P. Software Informatica s.a.s., incaricata della gestione e della manutenzione del suddetto sito web tramite la figura del proprio rappresentante legale, non era stata designata quale responsabile del trattamento dei dati personali degli iscritti al partito. Pertanto, con il citato provvedimento del 10 gennaio 2019, l’Autorità ha individuato nel Coordinamento cittadino il soggetto che ha comunicato i dati personali degli iscritti al Partito a un terzo soggetto, in assenza dei necessari presupposti di legittimità. Ciò posto, nella successiva fase di avvio del procedimento sanzionatorio, l’Ufficio ha proceduto a un ulteriore accertamento finalizzato a individuare il soggetto, dotato di autonomia organizzativa, decisionale e finanziaria, a cui notificare l’atto di contestazione. Sotto questo profilo, le verifiche condotte dall’Ufficio hanno portato a individuare nel Coordinamento Metropolitano il soggetto in possesso dei requisiti richiesti, a cui imputare la condotta illecita da un punto di vista sanzionatorio. Infatti, il codice fiscale, posto in calce al sito internet oggetto dell’indagine, nella banca dati di Anagrafe Tributaria risulta assegnato al Coordinamento metropolitano di Firenze. Pertanto, tenuto conto della struttura federale del PD a livello regionale, in base alla quale il Coordinamento Metropolitano del PD Firenze, in quanto federazione, comprende il Coordinamento cittadino, le Unioni comunali e i Circoli territoriali (artt. 7, 8 e 9 dello Statuto del PD Toscana del 28 giugno 2008), si ritiene che lo stesso sia, unitamente alle altre articolazioni territoriali, il centro di imputazione delle condotte oggetto del presente procedimento sanzionatorio;

CONSIDERATO che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”;

RILEVATO, pertanto, che il Partito Democratico – Coordinamento Metropolitano di Firenze, in qualità di titolare del trattamento, ha effettuato un trattamento di dati personali (art. 4 comma 1, lett. a) e b) del Codice) comunicando dati personali a un terzo in carenza del consenso degli interessati richiesto dall’art. 26 del Codice;

VISTO l’art. 162, comma 2-bis, del Codice che punisce la violazione delle disposizioni indicate nell’art. 167, tra cui l’art. 26 del Codice, con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

RITENUTO che ricorrono le condizioni per applicare l'art. 164-bis, comma 1, del Codice, secondo cui “se taluna delle violazioni di cui agli art. 161, 162, 162-ter, 163 e 164 è di minore gravità, i limiti minimi e massimi stabiliti negli stessi articoli sono applicati in misura pari a due quinti”;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge 24 novembre 1981 n. 689, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

RITENUTO di dover determinare, ai sensi dell’art. 11 della legge n. 689/1981, l’ammontare della sanzione pecuniaria per la violazione dell’art. 162, comma 2-bis, del Codice nella misura di euro 4.000,00 (quattromila), applicata in combinato disposto con l’art. 164-bis, comma 1, del Codice;

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni ed integrazioni;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Augusta Iannini;

ORDINA

al Partito Democratico, Coordinamento Metropolitano di Firenze, con sede in Firenze, Via XX, C.F. XX, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 4.000,00 (quattromila) a titolo di sanzione amministrativa pecuniaria per la violazione prevista dall’art. 162, comma 2-bis, del Codice indicata in motivazione;

INGIUNGE

al medesimo soggetto di pagare la somma di euro 4.000,00 (quattromila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 31 ottobre 2019

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia