Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Comando generale del Corpo delle Capitanerie di porto-Guardia Costiera - 11 febbraio 2021 [9574117]

[doc. web n. 9574117]

Ordinanza ingiunzione nei confronti di  Comando generale del Corpo delle Capitanerie di porto-Guardia Costiera - 11 febbraio 2021

Registro dei provvedimenti
n. 55 dell'11 febbraio 2021

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO il d. lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida in materia di trasparenza”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore l’avv. Guido Scorza;

PREMESSO

1. Introduzione

Questa Autorità ha ricevuto una segnalazione con la quale è stata contestata una violazione della normativa in materia di protezione dei dati personali.

Nello specifico, è stato rappresentato che «sul sito del Comando Generale della Guardia Costiera, [era] possibile visualizzare i dati personali relativi agli accessi civici», in cui «con un visualizzatore PDF embedded ad un browser, ad esempio di Firefox, [era] possibile ottenere una visione momentanea dei campi oscurati con rettangoli bordati di rosso» e «una volta scaricato il file PDF localmente», si poteva «sbloccare i blocchi di sicurezza anche tramite procedure online, ad esempio tramite il sito [identificato in atti]. [Inoltre, il] file ottenuto po[eva] essere facilmente modificato, rimuovendo le maschere (rettangoli bordati di rosso), con una applicazione [dotata di] funzione di editing dei PDF […]».

2. Normativa applicabile.

Ai sensi della disciplina in materia, «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)» e «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).

Il trattamento dei dati personali deve avvenire nel rispetto dei principi indicati nell’art. 5 del RGPD, fra cui quelli di «limitazione della finalità» nonché di «minimizzazione dei dati», secondo i quali i dati personali devono essere – rispettivamente – «raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità», nonché «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (par. 1, lett. b e c).

In tale quadro, il titolare del trattamento è tenuto a mettere in atto «fin dalla progettazione», ossia sia al momento di determinare i mezzi del trattamento che all’atto del trattamento stesso, «misure tecniche e organizzative adeguate, […] volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati» (privacy by design), garantendo «che siano trattati, per impostazione predefinita» (privacy by default) «solo i dati personali necessari per ogni specifica finalità del trattamento» (art. 25, parr. 1 e 2, RGPD).

3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato.

Con la nota prot. n. XX del XX il Comando generale del Corpo delle Capitanerie di porto - Guardia Costiera ha fornito riscontro alla richiesta d’informazioni dell’Ufficio (nota prot. n. XX del XX).

A seguito dalle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX del XX ha accertato che la predetta amministrazione – non avendo adottato «misure tecniche e organizzative adeguate», per garantire l’effettivo oscuramento dei dati personali contenuti nei documenti inerenti agli accessi civici presentati oggetto di pubblicazione online – ha effettuato un trattamento di dati personali non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD. Pertanto, con la medesima nota sono state notificate al Comando generale del Corpo delle Capitanerie di porto - Guardia Costiera le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD e invitando il predetto ente a far pervenire al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentito da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

4. Memorie difensive e audizione.

Con la nota prot. n. XX del XX il Comando Generale del Corpo delle Capitanerie di porto - Guardia Costiera ha inviato al Garante i propri scritti difensivi in relazione alle violazioni notificate.

Al riguardo, si ricorda che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, intitolato «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante».

Nello specifico, è stato evidenziato, fra l’altro che:

- «l’attività di cui trattasi – come meglio si dirà in prosieguo – non è consistita, in sé e per sé, nella deliberata “pubblicazione di dati personali”, bensì nella pubblicazione di documenti nei quali erano contenuti dati personali, previo oscuramento degli stessi»;

- in ogni caso, «alcuni dei dati personali, dei quali è contestata la pubblicazione, appartengono alla categoria dei c.d. “dati di contatto” di persone giuridiche e, come tali, non rientranti nel campo di applicazione del Regolamento UE 679/2016, secondo quanto previsto dal considerando 14 del medesimo regolamento. Si trattava, come rappresentato nella nota in prosecuzione, di dati riguardanti la denominazione e la sottoscrizione del soggetto istante, le sedi, i recapiti telefonici, e-mail, per lo più relativi a persone giuridiche (società, organizzazioni o compagini assimilate, operanti per conto delle stesse, quali studi legali. Nei restanti casi si trattava di istanze presentate da giornalisti-pubblicisti o per conto di ordini professionali, società mediatiche, soggetti gestori di blog). Questi stessi dati risultavano inoltre già pubblici, verosimilmente ad opera degli stessi interessati, in quanto facilmente reperibili attraverso una mera attività di consultazione, su siti aperti/liberi (Social, siti istituzionali o relativi all’ambito lavorativo) […]»;

- «l’avvenuto oscuramento dei dati personali contenuti nei documenti destinati alla pubblicazione evidenzia una specifica e mirata attività di minimizzazione degli stessi posta in essere da questo Comando Generale in ossequio al principio di cui all’articolo 5, comma 1, lettera c) del Regolamento UE 679/2016. Infatti, il file pubblicato, visualizzabile in “.pdf”, riportava il completo oscuramento dei dati personali suddetti, cosicché un utente in possesso di comune conoscenza informatica non avrebbe potuto leggerli»;

- i dati «sono stati disvelati per effetto di una mirata attività di “alterazione” del documento così pubblicato, svolta da parte di un terzo. In altri termini, non è stato il documento pubblicato (con i campi oscurati) da questa Amministrazione a svelare i dati personali suddetti, bensì l’azione preordinata di un terzo che, in base ad una conoscenza informatica di livello superiore a quello medio, attraverso un apposito programma informatico ha scientemente e dolosamente rimosso “le coperture” poste da questo Comando generale sui dati personali di cui trattasi. In tal senso, […] appare evidente come la presunta violazione – ossia il disvelamento dei dati personali […], avvenuto per fatto altrui – non potrebbe essere imputata alla scrivente neanche a titolo di colpa»;

- «Il livello di protezione adottato per i dati personali era coerente con il livello di minaccia effettivo conosciuto fino a quel momento; infatti, prima dell’episodio contestato, lo Scrivente non aveva ricevuto alcun reclamo o segnalazione né era a conoscenza di elementi di rischio che potessero far prevedere la necessità di elevare il livello della protezione adottata per garantire la sicurezza del trattamento. Tenuto conto del livello minimo di minaccia noto (valutazione della probabilità e gravità), come sopra evidenziato, e la mancanza di normative che prevedano nel dettaglio le misure tecniche da utilizzare per l’attività di oscuramento dei dati personali, questo Comando generale ha posto in essere quelle procedure standard […] all’uopo suggerite dall’opportuna diligenza e dalla ritenuta ragionevolezza della soluzione scelta, valutata in termini di costi/beneficio e competenze informatiche necessarie»;

- «In particolare, né – da un lato – l’art. 5, par. 1. lett. c) del RGPD, né – dall’altro lato – l’art. 52 del codice di protezione dei dati personali, dopo aver disposto, rispettivamente, il “principio di minimizzazione” e il “principio di anonimizzazione” dei dati personali (relativamente alla pubblicazione di sentenze), danno indicazione alcuna su come debba materialmente essere fatta tale attività da parte del soggetto obbligato»;

- «la presenza dei medesimi dati personali di cui trattasi su siti aperti/liberi (Social, siti istituzionali o relativi all’ambito lavorativo), p[uò] essere considerata quale specifica circostanza da valutare al fine di ritenere del tutto minimo il danno eventualmente invocato dagli interessati, se non completamente nullo, poiché i loro dati personali erano già conoscibili attraverso – come già sopra menzionato – una mera attività di consultazione di siti web, ovvero attraverso i comuni motori di ricerca che utilizzano strumenti di indicizzazione»;

- «La reazione di questo Comando Generale alla segnalazione ricevuta è stata tempestiva e sono state immediatamente poste in essere tutte le azioni correttive del caso, con il risultato di avere ulteriormente ridotto il potenziale danno arrecato agli interessati. In relazione, infatti, a quanto previsto dall’art. 83, par. 2, lett. c), nell’arco di 24 ore dalla ricezione della segnalazione di cui sopra, i documenti sono stati rimossi, e pubblicati nuovamente con una più forte misura tecnica di protezione (adozione di un file immagine), idonea a non riproporre il disvelamento illecito. Lo scrivente, alla luce del verificarsi dell’inaspettato fatto discusso, ha responsabilmente dettato mirate raccomandazioni ai propri elementi di organizzazione centrale e territoriale affinché, qualora dovesse insorgere, per cogente obbligo di legge, l’esigenza della pubblicazione di documenti, vengano adottate misure più conservative sull’immodificabilità degli accorgimenti idonei all’oscuramento. Infine, con riguardo ad una più ampia implementazione organizzativa e tecnica, riconnessa ai programmi di progressiva digitalizzazione delle linee di attività del Corpo, lo Scrivente, all’epoca dei fatti contestati – e per l’esattezza dallo scorso anno – aveva già avviato un procedimento di gara volto all’individuazione di apposito provider con il quale, più di recente, ha già stipulato apposito contratto di fornitura di servizi (avente scadenza 21 luglio 2021), per la conduzione di dedicati assessment, di gap-risk analisys, di formazione ed assistenza di spinto livello tecnico. Le attività di cui sopra prevedono l’avvio di specifiche e necessarie iniziative in materia di sicurezza informatica per assicurare a questo Comando generale il necessario supporto per il miglioramento della sicurezza del proprio spazio cibernetico, sia in riferimento alla sicurezza di nuovi servizi fin dalle prime fasi progettuali (by design) che alla correzione di problematiche presenti nei servizi già attivi».

5. Esito dell’istruttoria relativa alla segnalazione presentata

Oggetto dello specifico caso sottoposto all’attenzione del Garante è l’adozione di tecniche di oscuramento dei dati personali contenuti in documenti pubblicati online non risultate efficaci e agevolmente eludibili.

Nello specifico, dall’istruttoria è emerso che sul sito web istituzionale del Comando Generale del Corpo delle Capitanerie di porto erano state pubblicate le copie integrali dei documenti relativi agli accessi civici presentati all’amministrazione (istanza ed esito), previo oscuramento dei dati personali ivi contenuti, in quanto la relativa diffusione sarebbe stata non conforme alla disciplina in materia di protezione dei dati personali.

Ciò nonostante – come rilevato anche dal titolare del trattamento, a seguito delle verifiche effettuate dopo l’intervento del Garante – tramite l’utilizzo di programmi che consentono la modifica di file pdf (editor pdf) si potevano eliminare le “etichette oscuranti” e riportare i file alla forma originaria, visualizzando i campi contenenti i dati e le informazioni (anche personali) oscurati. Inoltre, la tecnica di oscuramento adottata non impediva l’indicizzazione, e la conseguente ricerca, delle informazioni contenute nei file da parte dei motori di ricerca web (es.: Google).

Al riguardo – pur concordando con quanto rappresentato dal Comando generale laddove è stato evidenziato che, nel caso in esame, la condotta posta in essere dal titolare del trattamento era intenzionata a evitare la diffusione dei dati personali, i quali erano stati tutti previamente oscurati – è necessario ribadire che il titolare del trattamento dei dati personali, è tenuto in ogni caso a mettere in atto, fin dalla progettazione (by design), le «misure tecniche e organizzative adeguate, […] volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione», integrando «nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del [RGPD] e tutelare i diritti degli interessati» tenendo conto, fra l’altro, dei rischi, del contesto e dell'ambito di applicazione del trattamento, garantendo «che siano trattati, per impostazione predefinita» (privacy by default) «solo i dati personali necessari per ogni specifica finalità del trattamento» (art. 25, parr. 1 e 2, RGPD).

Inoltre, in base al principio di «responsabilizzazione» (accountability) il titolare del trattamento non solo è tenuto a rispettare i predetti principi e mettere in atto le citate misure tecniche e organizzative, ma deve essere anche in grado di dimostrare di averlo fatto (artt. 5, par. 2, e 24 RGPD).

Per tale motivo, pur prendendo atto dell’avvenuta volontà di adottare tecniche di minimizzazione dei dati tramite il relativo oscuramento, si ritiene che il titolare del trattamento abbia sottovalutato i rischi del trattamento, non utilizzando tecniche di oscuramento adeguate – e non avendo dimostrato di averlo fatto –, potendo le stesse essere agevolmente superate con l’utilizzo di editor pdf da parte di un utente anche non particolarmente esperto, contrariamente a quanto ritenuto dal Comando generale.

Sotto tale profilo, la circostanza che il RGPD o il Codice – come sostenuto dal Comando generale – non descrivano le tecniche di minimizzazione o di oscuramento dei dati, non può essere considerata come un esimente o un elemento attenuante rispetto alla condotta tenuta, in quanto la valutazione circa l’adozione delle misurate tecniche e organizzative più adeguate per rispettare il RGPD è totalmente rimessa alla scelta del titolare del trattamento, che deve fare un’adeguata valutazione tenendo conto – soprattutto in ambiente Internet – dello stato dell’arte delle tecnologie esistenti, delle finalità del trattamento, dei rischi di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, ai sensi della richiamata principio di accountability.

Quanto alla natura delle informazioni pubblicate, dagli atti risulta chiaramente che i dati trattati erano riferibili non solo a persone giuridiche (escluse, come correttamente evidenziato dal Comando generale, dall’applicazione della normativa in materia di protezione dei dati personali), ma anche a persone fisiche seppure, secondo quanto dichiarato, in molti casi legati a contesti lavorativi e non appartenenti a «categorie particolari di dati personali» di cui all’art. 9 del RGPD. Per i dati personali trattati (e non efficacemente oscurati), non è tuttavia accoglibile l’eccezione per la quale, in alcune situazioni, si trattava di dati già pubblici perché presenti «su siti aperti/liberi (Social, siti istituzionali o relativi all’ambito lavorativo)» e quindi «conoscibili attraverso […] una mera attività di consultazione di siti web, ovvero attraverso i comuni motori di ricerca che utilizzano strumenti di indicizzazione». Ciò in quanto, tale condizione non avrebbe comunque autorizzato il Comando generale a rendere pubblica la circostanza che i predetti soggetti cui i dati si riferiscono (con i relativi recapiti) abbiano effettuato istanze di accesso civico alla predetta amministrazione (con indicazione dei documenti richiesti e dell’esito della richiesta), potendo rivelare – in molti casi – anche l’attività di inchiesta giornalistica (o di altro genere) svolta dai soggetti interessati, il quali potevano avere ogni interesse a tenere riservata, e fuori dalla conoscenza di terzi non autorizzati, tale tipo di occupazione.

Per tutto quanto sopra descritto, le circostanze evidenziate negli scritti difensivi considerate nel loro complesso, sicuramente meritevoli di considerazione ai fini della valutazione della condotta, non risultano sufficienti a consentire l’archiviazione del presente procedimento ai sensi dell’art. 11 del Regolamento del Garante n. 1/2019.

In tale quadro, si confermano i rilievi notificati dall’Ufficio con la nota prot. n. XX del XX e si rileva la non conformità del trattamento di dati personali oggetto della segnalazione alla disciplina rilevante in materia di protezione dei dati personali, in quanto il Comando generale del Corpo delle Capitanerie di porto - Guardia Costiera ha effettuato un trattamento di dati personali:

-  non «limitati a quanto necessario rispetto alle finalità per le quali sono trattati» e non rispettando, quindi, il principio di «minimizzazione dei dati», in violazione dell’art. 5, par. 1, lett. b) e c), del RGPD;

- non adottando «misure tecniche e organizzative» adeguate «ad attuare in modo efficace i principi di protezione dei dati» fin dalla progettazione e per garantire che siano trattati per «impostazione predefinita» solo «i dati personali necessari per ogni specifica finalità del trattamento», in violazione dell’art. 25, parr. 1 e 2, del RGPD.

Considerato, tuttavia, che la condotta ha esaurito i suoi effetti, in quanto il titolare del trattamento ha dichiarato di aver provveduto a rimuovere i documenti dal sito web istituzionale e a ripubblicarli «con una più forte misura tecnica di protezione (adozione di un file immagine), idonea a non riproporre il disvelamento illecito», fermo restando quanto si dirà sull’applicazione della sanzione amministrativa pecuniaria, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del RGPD.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria (artt. 58, par. 2, lett. i; 83 RGPD)

Il Comando generale del Corpo delle Capitanerie di porto - Guardia Costiera risulta aver violato gli artt. 5, par. 1, lett. b) e c); 25, parr. 1 e 2, del RGPD. Per la violazione delle predette disposizioni è prevista l’applicazione delle sanzioni amministrative di cui all’art. 83, parr. 4 e 5, del RGPD.

Al riguardo, l’art. 83, par. 3, del RGPD, prevede che «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave».

In ordine alla condotta in esame, pertanto, la violazione delle disposizioni citate è soggetta alla sanzione amministrativa pecuniaria più grave prevista dall’art. 83, par. 5, del RGPD, che si applica pertanto al caso di specie.

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD, nonché dell’art. 166 del Codice, ha il potere correttivo di «infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso». In tale quadro, «il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice» (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del RGPD.

In tal senso, la rilevata condotta tenuta in violazione della disciplina in materia di protezione dei dati personali è stata causata dall’adozione di tecniche di oscuramento di dati personali non efficaci in quanto aggirabili mediante l’ausilio di programmi informatici che consentono la modifica di file pdf (editor pdf) facilmente accessibili a qualsiasi utente. I dati personali trattati non appartengono a categorie particolari né a condanne penali o reati (artt. 9 e 10, del RGPD). La condotta tenuta è di natura colposa. Vanno considerati, come ulteriori elementi attenuanti, la circostanza che il titolare del trattamento, pur sottovalutando, in buona fede, i rischi del trattamento, non ha comunque ricevuto alcun reclamo o segnalazione da parte dei soggetti interessati. Inoltre, il Comando Generale, a seguito della segnalazione ricevuta, è intervenuto tempestivamente e ha posto immediatamente «in essere tutte le azioni correttive del caso, con il risultato di avere ulteriormente ridotto il potenziale danno arrecato agli interessati [rimuovendo] i documenti […] e pubblica[ndoli] nuovamente con una più forte misura tecnica di protezione (adozione di un file immagine), idonea a non riproporre il disvelamento illecito», collaborando con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alla violazione attenuandone i possibili effetti negativi. Nel riscontro al Garante sono state, inoltre descritte diverse misure tecniche e organizzative messe in atto ai sensi degli artt. 25-32 del RGPD e non risultano eventuali precedenti violazioni del RGPD pertinenti commesse dalla citata amministrazione.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, parr. 2 e 3, del RGPD l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, del RGPD, nella misura di euro 5.000,00 (cinquemila) per la violazione degli artt. 5, par. 1, lett. b) e c); 25, parr. 1 e 2, del RGPD, quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo RGPD.

In relazione alle specifiche circostanze del presente caso, relative all’adozione di tecniche di oscuramento dei dati personali non efficaci, si ritiene altresì che debba essere applicata la sanzione accessoria della pubblicazione del presente provvedimento sul sito Internet del Garante, prevista dall’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità del trattamento effettuato dal Comando generale del Corpo delle Capitanerie di porto - Guardia Costiera nei termini indicati in motivazione ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD

ORDINA

al Comando generale del Corpo delle Capitanerie di porto – Guardia Costiera, in persona del legale rappresentante pro-tempore, con sede legale in Via dell'Arte, 16 - 00144 Roma di pagare la somma di euro 5.000,00 (cinquemila) a titolo di sanzione amministrativa pecuniaria per le violazioni di cui in motivazione;

INGIUNGE

al medesimo Comando generale di pagare la somma di euro 5.000,00 (cinquemila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.

Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1/9/2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice).

DISPONE

- la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019;

- l'annotazione nel registro interno dell'Autorità delle violazioni e delle misure adottate ai sensi dell'art. 58, par. 2, del RGPD con il presente provvedimento, come previsto dall’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 11 febbraio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei