Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Ordinanza di ingiunzione nei confronti di Arma dei carabinieri - 11 febbraio 2021 [9562866]

[doc. web n. 9562866]

Ordinanza di ingiunzione nei confronti di Arma dei carabinieri - 11 febbraio 2021

Registro dei provvedimenti
n. 50 dell'11 febbraio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. Il reclamo.

Con reclamo presentato in data 20 febbraio 2019 – e regolarizzato in data 12 maggio 2019 – un sottufficiale dell’Arma dei carabinieri ha lamentato una presunta violazione della disciplina in materia di protezione dei dati personali, con riguardo al trattamento di dati relativi al proprio stato di salute, effettuato con l’ausilio del sistema di protocollo informatico c.d. “DOCSPA” al tempo in uso presso l’Arma dei carabinieri.

In particolare, è stato rappresentato che il decreto n. 92/C4 del Comando generale dell’Arma dei carabinieri (Direzione di amministrazione – 2^ Sezione equo indennizzo) del 2 febbraio 2017 – con il quale è stato definito il procedimento avviato su istanza dell’interessato per il riconoscimento della dipendenza da causa di servizio dell’infermità – sarebbe stato inviato al Comando stazione di Vicenza, presso il quale all’epoca l’interessato era in servizio, tramite il predetto sistema di protocollo informatico, per poi essere notificato, in formato cartaceo, al reclamante dal Comandate dello stesso. Tale Decreto sarebbe pervenuto al Comando stazione di Vicenza tramite una serie di trasmissioni intermedie (dal Comando legione “Veneto” al Comando compagnia di Vicenza, e da qui al Comando stazione di Vicenza), effettuate mediante il citato sistema di protocollo informatico, che avrebbero consentito a numerosi militari dell’Arma di venire a conoscenza di dati relativi al rapporto di lavoro tra l’amministrazione e il reclamante, e anche allo stato di salute dell’interessato.

Nel corso di copiosi invii di documentazione il reclamante ha peraltro lamentato che nel citato sistema di protocollo informatico, ancorché non più utilizzato per le attività di protocollazione, sono tutt’ora presenti documenti contenenti dati personali relativi al proprio stato di salute.

2. L’attività istruttoria.

In riscontro alle diverse richieste di elementi dell’Ufficio, l’Arma ha fornito documentazione inviata dai vari Comandi coinvolti al fine di ricostruire la vicenda, peraltro assai risalente nel tempo, che ha interessato il reclamante e, per gli aspetti di carattere generale, ha fornito una relazione particolareggiata, da parte della Direzione di amministrazione del Comando generale, in merito a “l’iter amministrativo che conduce all’adozione dei provvedimenti in questione […] scandito da due distinte e successive fasi istruttorie”, che coinvolgono, rispettivamente, il Comando di corpo e la Direzione di amministrazione (cfr. nota del XX, prot. n. XX e documentazione allegata).
In particolare, è stato chiarito che:

la Direzione di amministrazione “avvia la notifica del provvedimento finale all’interessato, investendo dello specifico adempimento il Comando di Corpo […] presso i quali è in forza il personale al momento della presentazione della domanda” e provvede, se del caso, all’attivazione delle procedure connesse all’attribuzione dello scatto per invalidità di servizio D e “alla relativa trascrizione matricolare”;

con riferimento al trattamento dei dati personali dell’interessato, il procedimento “ha avuto inizio con istanza dell’oXX” e “trattandosi di militare nel grado di Maresciallo Capo, il relativo Comando di Corpo (Comando Carabinieri Tutela Lavoro) al termine della istruzione di competenza, ha inoltrato la documentazione a PREVIMIL per il prosieguo di trattazione che, nell’ambito della propria competenza, ha inoltrato richiesta di parere al C.V.C.S. nel XX”;

“il C.V.C.S. ha riscontrato tale richiesta con parere del XX, ovverosia in epoca successiva all’entrata in vigore del […] D.M. 22.06.2016 per effetto del quale questa Direzione di Amministrazione è subentrata a PREVIMIL, acquisendo il relativo fascicolo cartaceo da quella D.G. […che] ha adottato, in data XX il decreto in argomento XX; ha inviato, come di consueto, in busta chiusa, il provvedimento analogico (cartaceo) all’Ufficio Comando del Comando CC Tutela Lavoro il giorno XX successivo, per la notifica all’interessato”;

“risulta che il provvedimento è stato notificato il XX a cura del Comandante della Stazione CC di Vicenza, con restituzione di relazione di notificazione priva di dati sensibili”.

Con riguardo alle caratteristiche e alle modalità di funzionamento del sistema di protocollo informatico in uso presso l’Arma (all’epoca dei fatti, sistema denominato “DOCSPA” e, dal XX, sistema denominato “C-Prot”), dalla documentazione trasmessa, con nota del XX, prot. n. XX, è emerso quanto segue:

“il protocollo informatico dell’Arma consente di operare una precisa profilazione degli utenti, che si basa sulle funzioni svolte dal singolo in seno all’Unità Organizzativa di riferimento e che prevede una conseguente assegnazione e disponibilità di visualizzazione” (cfr. allegato 1);

“il sistema consente di verificare quali utenti e quando questi ultimi abbiano avuto accesso al singolo documento”;

“sia il sistema DOCSPA che il nuovo sistema C-Prot, consentono l’assegnazione dei ruoli e la creazione di specifici profili di abilitazione, entrambe gestiti a livello locale per il tramite del supporto dei referenti informatici competenti per territorio (cfr., in particolare, il referto dell’Ufficio Sistemi informativi, in atti);

“al protocollo informatico possono accedere esclusivamente, quali “gestori” o “protocollisti”, i militari, previamente abilitati […] e autorizzati al trattamento dei dati in esso contenuti (cfr., in particolare, il referto del Comando legione “Veneto”, in atti);

“con riguardo ai soggetti autorizzati a trattare i dati dell’interessato nell’ambito del procedimento relativo alla causa di servizio, tenuto conto delle mansioni svolte e dei relativi profili di abilitazione, questi sono stati individuati nel […] Comandante di Stazione (militari facenti funzioni/autorizzati)” (cfr., in particolare, il referto della Direzione di amministrazione del Comando generale, del Comando legione “Veneto” e del Comando compagnia di Vicenza);

“con riferimento all’utilizzo del protocollo informatico presso il Comando Stazione di Vicenza: ai militari abilitati ad accedere all’applicativo DOCSPA sono attribuiti i ruoli di “CAPO”, “OPERATORE” e “PROTOCOLLISTA”; sebbene il ruolo di “PROTOCOLLISTA” spetti a “tutto il personale” […] “per evitare che informazioni di carattere personale possano essere visualizzate dal personale abilitato al ruolo PROTOCOLLISTA, il militare abilitato al ruolo CAPO in caso di ricezione o trasmissione di documenti evita di mettere l’atto in CONDIVISIONE” e “gli atti che riportano dati personali dei militari dipendenti (es. sanzioni disciplinari, dati sensibili e giudiziari) vengono gestiti direttamente dal militare del ruolo CAPO, senza condivisione ai militari del ruolo PROTOCOLLISTI”;

tutto il personale autorizzato ad accedere al protocollo informatico ha ricevuto le istruzioni previste (cfr., in particolare, i referti dell’Ufficio Sistemi informativi nonché del Comando legione “Veneto”);

contrariamente a quanto asserito dal reclamante, “il Comandante di Stazione [di Vicenza] ha eseguito personalmente la notifica all’interessato e, dopo aver stampato il Decreto da consegnare, lo ha eliminato rimuovendolo dagli allegati, mettendo in condivisione nel sistema DocsPA solo i restanti documenti per il personale del ruolo “protocollisti””; “la successiva lettera di trasmissione (senza il Decreto in argomento e priva di dati personali sullo stato di salute del [interessato] è stata eseguita da un militare delegato dal C.te di Sta. per il successivo inoltro alla Cp. di Vicenza della sola relata di notifica (si ripete priva di dati inerenti allo stato di salute del militare)” (cfr., in particolare, il referto del Comando compagnia di Vicenza, in atti)”;

“nell’ambito della Stazione di Vicenza gli atti che riportano dati personali dei militari dipendenti (es. sanzioni disciplinari, dati sensibili e giudiziari) vengono gestiti direttamente dal militare del ruolo CAPO, senza condivisione ai militari del ruolo PROTOCOLLISTI” (cfr., in particolare, il referto del Comando compagnia di Vicenza e la procedura di trattazione da parte del Nucleo comando del Comando legione “Veneto” – SM – Ufficio Personale, all. nn. 1-22).
 

Successivamente, a seguito di ulteriori approfondimenti richiesti dall’Ufficio, l’Arma ha fatto pervenire ulteriori elementi con nota del XX (vs. prot. n. XX), chiarendo che:

“il decreto è stato rimosso in data XX, all’atto della notifica all’interessato eseguita personalmente dal Comandante di Stazione rendendolo non più visibile nel sistema”;

“la condivisione della lettera di trasmissione del documento […] a quel punto privo di ogni dato particolare inerente allo stato di salute del[l’interessato], è avvenuta nella medesima data solo dopo la rimozione dagli allegati del Decreto contenente i dati particolari, al fine di consentire le successive procedure di archiviazione ed inoltro della relata di notifica, ordinariamente svolte da tutti i militari della stazione (protocollisti)”.

Con nota del XX, l’Ufficio, sulla base degli elementi acquisiti, ha notificato all’Arma dei carabinieri, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge 24 novembre 1981, n. 689).

Con la nota sopra menzionata, l’Ufficio ha rilevato che, nel caso di specie, il trattamento, con le modalità sopra descritte, riguardante i dati personali del reclamante, è avvenuto in modo non conforme rispetto ai principi generali di protezione dei dati e – con riguardo all’avvenuta messa a disposizione dei dati dell’interessato, anche relativi alla salute, in favore di tutti i militari del Comando stazione e, quindi, anche di personale non autorizzato – in assenza di un idoneo presupposto di liceità del trattamento, in violazione degli artt. 5, par. 1, lett. a) e c), 6, par. 1, lett. c), e 9, par. 2, lett. b) e g), del Regolamento nonché artt. 2-ter e 2-sexies del Codice.

Con nota del XX, l’Arma ha fatto pervenire le proprie memorie difensive, rappresentando, tra l’altro, che:

la dicitura “'DCS/EI' non può essere ritenuta uniforme e di comune patrimonio conoscitivo dei militari dell'Arma, soprattutto in ragione dell'assenza di una pubblicazione che l'abbia codificata” (cfr. note della Direzione di amministrazione e della Direzione di sanità del Comando generale dell'Arma dei carabinieri - all. l e 2);

“pur considerando che è normativamente previsto che un numero, un simbolo o un elemento specifico possano essere attribuiti a una persona fisica per identificarla in modo univoco ai fini sanitari (considerando il 35 del Reg. UE in all.3, come avvenuto nel caso di specie, allorquando al nome del [sottufficiale] è stato associato e letto da alcuni militari della Sta. di Vicenza l'acronimo "DCS/EI'), non può essere direttamente desunto che il militare interessato abbia contratto una patologia sanitaria, dal momento che il decreto in argomento può anche certificare un esito negativo nel senso (circostanza, formalmente, rimasta sconosciuta all'indistinto personale della Stazione Carabinieri di Vicenza)”;

“l'acronimo "DCS/EI" è probabile che sia da ricondurre alla materia della "Dipendenza da Causa di Servizio/Equo Indennizzo” ma “non risulta che tale acronimo sia codificato ovvero previsto in seno a pubblicazioni ufficiali. Di contro, dall'esame dei dati desunti dalla comune e quotidiana esperienza, lo stesso, al pari di altri, sembrerebbe talvolta utilizzato dai Comandi di Corpo allo scopo di associare certo carteggio, alle pratiche di natura sanitaria allo scopo — presumibilmente — di agevolarne la consultazione da parte dei competenti Uffici del Personale” (cfr. nota della Direzione di amministrazione del Comando generale dell'Arma dei carabinieri - all. l);

“l'utilizzo di tale acronimo, quindi, non essendo previsto dalla vigenti Istruzioni per il Carteggio dell'Arma dei Carabinieri, non consente di ricondurre un atto necessariamente a documentazione avente contenuto sanitario o, comunque, di riferirlo alla materia delle cause di servizio” e “non può costituire elemento utile di valutazione certa ed univoca, attraverso cui il lettore possa giungere a qualsivoglia qualificazione dell'atto sotteso, cui l'acronimo stesso fosse eventualmente riferito”.

3. Esito dell’attività istruttoria.

In base alla disciplina in materia di protezione dei dati l’amministrazione che opera in qualità di datore di lavoro può trattare i dati personali dei dipendenti, anche relativi a categorie particolari di dati, se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti dalle norme dell’Unione o dello Stato membro (artt. 6, par. 1, lett. c), 9, parr. 2, lett. b), e 4, e 88 del Regolamento).

Con riguardo alle categorie particolari di dati personali, – tra i quali sono ricompresi anche i “dati relativi alla salute” (cfr. art. 9, par. 1, del Regolamento) in merito ai quali è previsto un generale divieto di trattamento, ad eccezione dei casi indicati all’art. 9, par. 2, del Regolamento e, comunque un regime di maggiore garanzia rispetto alle altre tipologie di dati, in particolare, per effetto dell’art. 9, par. 4, nonché dell’art. 2-septies del Codice –, il trattamento è consentito, altresì quando “necessario per motivi di interesse pubblico rilevante” (art. 9, par. 2, lett. g), del Regolamento e art. 2-sexies del Codice).

Il datore di lavoro, titolare del trattamento, è, in ogni caso, tenuto a rispettare i principi di generali in materia di protezione dei dati personali (art. 5 del Regolamento) e deve trattare i dati mediante il personale “autorizzato” e “istruito” in merito all’accesso ai dati (artt. 4, punto 10), 29, e 32, par. 4, del Regolamento).

Alla luce dell’esame della copiosa documentazione fornita e tenuto conto delle dichiarazioni rese nel corso dell’istruttoria, ai sensi dell’art. 168 del Codice, l’Arma ha documentato di aver implementato specifiche procedure per il trattamento dei dati personali contenuti negli atti oggetto di protocollazione e ha dichiarato di aver adottato misure tecniche e organizzative per assicurare l’accesso selettivo agli stessi al fine di evitare la consultabilità dei documenti da parte di personale non autorizzato. Nel caso di specie, con specifico riguardo al trattamento dei dati dell’interessato, effettuato presso il Comando stazione di Vicenza, risultano, tuttavia, essere state compiute talune operazioni di trattamento non conformi alle predette misure organizzative.

4. Il trattamento dei dati personali del reclamante mediante il sistema di protocollo informatico.

Come risulta in atti, l’allegato “XX”, denominato “decreto 92”, alla nota prot. XX, con segnatura “XX”, avente ad oggetto “notifica del decreto XX relativo al Maresciallo [nome e cognome e classe]”, sarebbe stato rimosso dal sistema di protocollazione in data XX, a cura del Comandante di stazione all’epoca in carica, per poi essere notificato direttamente dallo stesso all’interessato.

Dalle schermate dell’applicativo prodotte nel corso dell’istruttoria, risulta altresì che, in pari data, è stata inizialmente operata “la condivisione della lettera di trasmissione del documento” mediante “assegnazione” del documento a un solo soggetto “destinatario”, con l’incarico di procedere all’archiviazione e all’inoltro della relata di notifica. Ciò risulta dalle specifiche “note individuali”, che riportano l’indicazione “classificare e trasmettere atti” (cfr. fig. 2, screenshot dell’XX, allegata a nota del Comando stazione di Vicenza del XX).

Tuttavia, con separata e distinta operazione la medesima nota è stata “messa in visibilità” anche di “tutti i militari della stazione” (a cui era attribuito il ruolo di “PROTOCOLLISTA”).

Nel corso dell’istruttoria l’Arma ha dichiarato che la nota di trasmissione del decreto, messa in visibilità di tutti i militari in servizio fosse “priv[a] di ogni dato particolare inerente allo stato di salute del[l’interessato]”, essendo la condivisione avvenuta “solo dopo la rimozione dagli allegati del Decreto contenente i dati particolari”. 

Sul punto, si ritiene però che, ancorché priva dell’allegato, dalla stessa fossero desumibili informazioni relative anche allo stato di salute dell’interessato. La nota recava infatti in oggetto l’acronimo “DCS/EI” (riconducibile ai procedimenti relativi alle cause di servizio e alla liquidazione dell’equo indennizzo), in relazione  a tale profilo nelle memorie difensive è stato dichiarato, da un lato che tale acronimo non sia stato “codificato ovvero previsto in seno a pubblicazioni ufficiali”, dall’altro che esso viene comunque  “talvolta utilizzato dai Comandi di Corpo allo scopo di associare certo carteggio, alle pratiche di natura sanitaria allo scopo - presumibilmente - di agevolarne la consultazione da parte dei competenti Uffici del Personale”.

Ai fini della valutazione della condotta non rileva peraltro quanto da ultimo sostenuto nelle memorie difensive circa il fatto che tale acronimo, di per sé, non consenta di desumere “direttamente […] che il militare interessato abbia contratto una patologia sanitaria, dal momento che il decreto in argomento può anche certificare un esito negativo”. Si osserva infatti che la circostanza per la quale un dipendente avanzi un’istanza per l’avvio del procedimento per il riconoscimento della dipendenza da causa di servizio dell’infermità – che trova la propria disciplina nel d.P.R. 29 ottobre 2001, n. 461 (Regolamento recante semplificazione dei procedimenti per il riconoscimento della dipendenza da causa di servizio, per la concessione della pensione privilegiata ordinaria e dell’equo indennizzo, nonché per il funzionamento e la composizione del comitato per le pensioni privilegiate ordinarie; v, anche d.m. Economia e Finanze del 12 febbraio 2004; d.m. Difesa del 24 novembre 2015) -, presuppone inevitabilmente uno stato morboso del dipendente, limitandosi il procedimento in questione ad accertarne la dipendenza da una causa di servizio (cfr. art. 2 del d.P.R. n. 461/2001, in base al quale, il procedimento a istanza di parte può essere avviato dal “dipendente che abbia subito lesioni o contratto infermità o subito aggravamenti di infermità o lesioni preesistenti […] per fare accertare l'eventuale dipendenza da causa di servizio”).

Per tali ragioni, si ritiene che l’informazione relativa alla proposizione dell’istanza e alla pendenza del relativo procedimento, indipendentemente dall’esito dello stesso, costituisce un dato relativo alla salute dell’interessato (cfr., art. 4, punto 15), e considerando 35 del Regolamento).

Considerato che i dati personali dei dipendenti, trattati per finalità di gestione del rapporto di lavoro, non possono, di regola, essere messi a conoscenza di soggetti diversi dall’interessato e all’interno dell’amministrazione devono essere trattati solo da alcuni soggetti specificamente autorizzati (cfr. punti 2, 4, 5.1 e 5.3 delle Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico, del 14 giugno 2007, pubblicate in G.U. 13 luglio 2007, n. 161, e in www.garanteprivacy.it, doc. web n. 1417809), anche nell’ambito dei trattamenti di dati personali effettuati mediante i sistemi di gestione documentale è necessario, adottare procedure differenziate e/o riservate con riguardo, in particolare, a tutti i documenti contenenti dati personali dei dipendenti, soprattutto quando siano relativi allo stato di salute o a vicende relative allo specifico rapporto di lavoro (sul punto, v. anche alcune decisioni, i cui principi possono ritenersi tutt’ora validi, con le quali il Garante ha dichiarato l’illecito trattamento dei dati personali dei dipendenti da parte di colleghi in ragione della scorretta configurazione del protocollo informatico, provv.ti 11 ottobre 2012, n. 280, doc. web n. 2097560, e 12 giugno 2014, n. 298, doc. web n. 3318492).

Pertanto, anche in presenza di prassi interne o scelte organizzative che prevedano che tutto il personale in servizio sia abilitato ad accedere al sistema di protocollazione con il medesimo ruolo di “protocollista”, non può essere ritenuta conforme al quadro normativo in materia di protezione dei dati la messa a disposizione di dati personali – specie se relativi alla salute o relativi a vicende legate al rapporto individuale di lavoro – di tutto il personale in servizio in modo generalizzato e indistinto.

Ciò trova peraltro conferma nelle dichiarazioni rese nel corso dell’istruttoria dalla stessa Direzione di amministrazione secondo cui “i soggetti autorizzati a trattare i dati dell’interessato nell’ambito del procedimento relativo alla causa di servizio” fossero, da disposizioni interne, solamente il Comandante e i “militari facenti funzioni/autorizzati”. Questi tuttavia non possono lecitamente, né ragionevolmente, coincidere con tutto il personale in servizio, come pure stabilito dalle misure organizzative adottate dall’Arma che correttamente prevedono che “nell’ambito della Stazione di Vicenza gli atti che riportano dati personali dei militari dipendenti (es. sanzioni disciplinari, dati sensibili e giudiziari) vengono gestiti direttamente dal militare del ruolo di CAPO, senza condivisione ai militari del ruolo PROTOCOLLISTI” (cfr. il referto del Comando Compagnia di Vicenza).

Alla luce delle considerazioni che precedono si ritiene che, sebbene con riguardo allo specifico caso di specie, la condivisione nel sistema di protocollazione in favore di tutto il personale operante presso il Comando Stazione di Vicenza, della nota prot. XX con segnatura “XX”, avente ad oggetto “notifica del decreto DCS/EI relativo al Maresciallo [nome e cognome e classe]”, relativa alla trasmissione del provvedimento che aveva definito la procedura per il riconoscimento della causa di servizio del reclamante, abbia comportato la “messa a disposizione” dei dati anche relativi alla salute dell’interessato (cfr. definizione di “comunicazione” di cui all’art. 2-ter, comma 4, lett. a), del Codice), in favore di tutti i militari del Comando stazione e, quindi, anche di personale non autorizzato, in violazione degli artt. 5, 6 e 9 del Regolamento nonché artt. 2-ter e 2-sexies del Codice.

5. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento negli scritti difensivi ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Sebbene il trattamento sia stato intrapreso dall’Arma nel periodo precedente all’entrata in vigore del Regolamento, ai fini della individuazione della normativa applicabile, sotto il profilo temporale, occorre tener presente che, in base al principio di legalità di cui all’art. 1, comma 2, della l. n. 689/1981, “le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in esse considerati”. Da ciò consegue la necessità di prendere in considerazione le disposizioni vigenti al momento della commessa violazione: nel caso in esame, data la natura permanente dell’illecito contestato – considerato che, come risulta dagli atti, il sistema “DOCSPA” è stato utilizzato per le attività di protocollazione fino al 4 dicembre 2019 e che, peraltro, non risulta che siano state adottate misure volte a inibire l’accesso da parte di personale non autorizzato alla citata nota prot. XXdel XX, tutt’ora consultabile tramite il sistema “DOCSPA” (cfr. screenshot allegati alla citata nota del XX) –, si fa riferimento alle disposizioni del Regolamento e del Codice (come modificato dal d.lgs. n. 101/2018).

Si confermano pertanto le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Arma è avvenuto in violazione dei principi generali del trattamento e in assenza di un’idonea base giuridica, in violazione degli artt. 5, 6 e 9 del Regolamento nonché artt. 2-ter e 2-sexies del Codice.

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 5, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 2, del Codice.

6. Misure correttive (art. 58, par. 2, lett. d), del Regolamento).

In tale quadro, tenuto conto che, come risulta dagli atti, tramite il sistema “DOCSPA” – non più utilizzato per le attività di protocollazione, ma comunque accessibile per l’eventuale consultazione di atti – è possibile accedere alla citata nota prot. XX del XX (cfr. screenshot allegati alla citata nota del XX), e che il titolare del trattamento, nel corso dell’istruttoria, non ha indicato le misure adottate al fine di inibire l’accesso da parte di personale non autorizzato alla citata nota, contenente dati personali dell’interessato, si ritiene necessario ingiungere di conformare il trattamento alle disposizioni del Regolamento e del Codice. In particolare, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, si dispone che vengano adottate, entro 30 giorni dalla notifica del presente provvedimento, misure tecniche e organizzative idonee a evitare che la nota contenente i dati relativi all’interessato non sia più visualizzabile da personale non autorizzato, e che ne venga data comunicazione a questa Autorità, ai sensi dell’art. 157 del Codice, entro 30 giorni dalla notifica del presente provvedimento.

7. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i), e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Ai fini dell’applicazione della sanzione è stata considerata la natura dei dati personali trattati. Di contro è stato considerato che il trattamento ha riguardato un solo interessato e che il trattamento, nel quadro di idonee misure tecniche e organizzative adottate dall’Arma per la gestione delle attività di protocollazione degli atti e l’accesso selettivo ai dati, è stato il frutto di un’iniziativa isolata consistente nella condivisione della nota contenete dati personali. Non risultano, inoltre, precedenti violazioni commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria, nella misura di euro 10.000 (diecimila) per la violazione degli artt. 5, 6 e 9 del Regolamento nonché 2-ter e 2-sexies del Codice.

Tenuto conto della particolare delicatezza dei dati illecitamente trattati, si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e dall’art. 16 del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

rileva l’illiceità del trattamento effettuato dall’Arma dei carabinieri per violazione degli artt. 5, 6 e 9 del Regolamento nonché 2-ter e 2-sexies del Codice, nei termini di cui in motivazione,

ORDINA

all’Arma dei carabinieri, in persona del legale rappresentante pro-tempore, con sede legale in Roma, viale Romania n. 45, C.F. 80236190585, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 5, del Regolamento e 166, comma 2, del Codice, di pagare la somma di euro 10.000,00 (diecimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

a) all’Arma dei carabinieri di pagare la somma di euro 10.000,00 (diecimila), in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

b) all’Arma dei carabinieri, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, di adottare, entro 30 giorni dalla notifica del presente provvedimento, misure tecniche e organizzative idonee a evitare che la nota contenente i dati relativi all’interessato non sia più visualizzabile da personale non autorizzato; l’inosservanza di un ordine formulato ai sensi dell'art. 58, par. 2, del Regolamento, è punita con la sanzione amministrativa di cui all’art. 83, par. 6, del Regolamento;

c) all’Arma dei carabinieri, ai sensi dell’art. 58, par. 1, lett. a), del Regolamento, e dell’art. 157 del Codice, di comunicare, fornendo un riscontro adeguatamente documentato, entro 30 giorni dalla notifica del presente provvedimento, le iniziative intraprese in relazione a quanto disposto alla precedente lettera b) e al paragrafo 6; il mancato riscontro a una richiesta formulata ai sensi dell’art. 157 del Codice è punito con la sanzione amministrativa, ai sensi del combinato disposto di cui agli artt. 83, par. 5, del Regolamento e 166 del Codice;

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice;

l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro 30 giorni dalla data di comunicazione del provvedimento stesso ovvero entro 60 giorni se il ricorrente risiede all’estero.

Roma, 11 febbraio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei