g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di K-city srl - 29 settembre 2021 [9713902]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9713902]

Ordinanza ingiunzione nei confronti di K-city srl - 29 settembre 2021

Registro dei provvedimenti
n. 352 del 29 settembre 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196, “Codice in materia di protezione dei dati personali”, come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l’adeguamento dell'ordinamento nazionale al Regolamento (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni dell’Ufficio formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

1. Premessa

Da un reclamo presentato all’Autorità nel mese di XX è emerso che, al fine di sottoscrivere l’abbonamento al servizio di “sosta autorizzata” nel territorio del Comune di Formia (di seguito, il Comune), è richiesta la compilazione di alcuni moduli, contenenti “dati eccedenti” rispetto alla finalità asserita.

In risposta alla richiesta di informazioni di questa Autorità, con nota prot. n. XX del XX, il Comune ha dichiarato che il servizio di sosta a pagamento nel territorio comunale è stata affidato alla società K-city s.r.l. (di seguito, la società).

2. L’attività istruttoria

In particolare, con nota prot. n. XX del XX, il Comune ha dichiarato che “in data XX alla società K-city s.r.l. veniva consegnato il servizio di gestione della sosta a pagamento mediante verbale di consegna del Servizio sotto riserva di legge e contestualmente veniva nominata “Responsabile esterno del trattamento” sino alla stipula del contratto all'atto del quale si procederà con apposito Decreto Sindacale alla nomina formale di Responsabile Esterno del Trattamento dei Dati”.

Dagli atti è emerso che tale decreto sindacale di nomina della società, quale “responsabile del trattamento”, contenente le apposite istruzioni del titolare, è stato emesso solamente in data XX, mentre la società gestisce il servizio in esame dal XX.

In risposta ad una richiesta di informazioni dell’Autorità, la società, con nota del XX ha precisato che “è concessionaria di pubblico servizio; […] tale circostanza fa sì che gli atti di regolazione delle modalità in cui si svolge lo stesso possano essere adottati dal solo Ente concedente e non dal concessionario; […] tale aspetto elide ogni responsabilità da parte della concessionaria, che d’altra parte non poteva certo rifiutarsi di espletare un servizio pubblico in assenza di definizione del suo ruolo quale responsabile esterno del trattamento; […] l’avvio del servizio a Formia è stato contrassegnato da una serie di criticità operative, che sono state di volta in volta definite dall’Ente concedente secondo una scala di priorità da quest’ultimo definita; […] per tale ragione solo nell’XX è stato possibile adottare un decreto sindacale di definizione del ruolo del trattamento esterno, ciò anche ai causa dei ritardi dovuti ai pensionamenti ed alle conseguenti carenze di personale interne al Comune; […] un eventuale rifiuto all’esecuzione della concessione in assenza ed in attesa di definizione del ruolo del trattamento esterno avrebbe avuto conseguenze di natura sia civile che penale ai danni dell’odierna esponente, oltre a costituire un elemento di concreto pregiudizio per la cittadinanza e l’utenza di Formia”.

Con nota del XX (prot. n. XX), l’Ufficio, sulla base degli elementi acquisiti, ha notificato alla società, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitando la società a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981). Con la nota sopra menzionata, l’Ufficio ha rilevato che la società ha effettuato il trattamento dei dati personali, senza che il suo ruolo, quale “responsabile del trattamento” fosse stato precedentemente definito dal Comune, titolare del trattamento e, dunque, in assenza di una condizione di liceità (artt. 5 e 6 del Regolamento).

Con nota del XX, la società ha dichiarato, tra l’altro, che:

- “ricopriva il ruolo di concessionario. Pertanto spettava al solo Ente comunale l’adozione degli atti utili alla disciplina del rapporto e non era possibile per la ditta interrompere il servizio, pena l’adozione di sanzioni civili e penali ai suoi danni;

- la ditta ha posto in luce che la violazione astrattamente riscontrabile non solo non le era imputabile, ma era definita ed intervenuta in un momento in cui soprattutto le P.A. non avevano ancora metabolizzato la nuova disciplina curopea in tema di trattamento dei dati personali;

- K City — soggetto genuinamente privato — viene trattato alla stregua di una realtà pubblica, quale la società non è […] la circostanza di essere concessionari di pubblico servizio non cambia la natura di un soggetto di diritto. A K City deve essere applicata la disciplina prevista per i soggetti privati e non pubblici. Il frainteso alla base del procedimento ne mina in radice la correttezza: solo l’improprio accostamento di K City ad una “realtà pubblica” consente di dimenticare che la regolazione del trattamento dei dati relativi ad una concessione non spettava alla concessionaria, ma al concedente. E’ solo quest’ultimo a poter essere solo astrattamente. sanzionato per eventuali omissioni o mancanze. Non evidentemente il concessionario, che si è limitato ad agire quale nudus minister del primo senza aver alcun potere di disciplina delle modalità di trattamento dei dati;

- la regolazione della sosta compete agli enti locali e mai ai loro concessionari. Sarebbe stato, quindi, onere del Comune effettuare una tempestiva disciplina del rapporto: se ciò è mancato, non può essere K City a pagarne le conseguenze;

- Ancora prima che iniziasse il servizio, il Comune di Formia con atti giuntali aveva disciplinato le modalità di gestione della sosta e — tra le altre prescrizioni - aveva introdotto anche il dettaglio dei documenti necessari per sottoscrivere l’abbonamento. Di conseguenza, la modalità di trattamento del dato era stata, seppur in nuce, già predeterminata dall'Ente concedente e K City ne ha dato puntuale esecuzione; anche questo elemento elide ogni responsabilità dell’azienda. Infine, si deve evidenziare che vi era un atto giuridico, che regolava il trattamento — in aggiunta ai deliberati di Giunta Comunale, alla disciplina di settore ed ai protocolli interni all’azienda - costituito dal verbale di consegna del servizio;

- l'acquisizione e la gestione di dati relativi ai soggetti, che hanno sottoscritto l'abbonamento, è di conseguenza avvenuta in presenza di più di un presupposto normativo ed è stata improntata ai criteri di liceità, proporzionalità e trasparenza. In conclusione, si evidenzia come il comportamento o l’omissione del Comune di Formia non può avere conseguenze in danno di K City, del tutto estranea ai decorsi causali della vicenda che qui occupa”.

3.  Esito dell’attività istruttoria

Ai sensi della disciplina in materia di protezione dei dati personali, il trattamento di dati personali effettuato da soggetti pubblici che agiscono in qualità di titolari (come il Comune di Formia) è lecito solo se necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” [art. 6, par. 1, lett. c) ed e)]. La regolazione delle soste e dei parcheggi sul territorio rientra tra le attività istituzionali affidate agli enti locali.

Pur in presenza di tale presupposto di liceità, il titolare del trattamento è tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quelli di “liceità, correttezza e trasparenza”, in base al quale i dati  devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell'interessato”, di “minimizzazione” dei dati, in base al quale i dati devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” e “limitazione della conservazione”, secondo cui i dati devono essere “conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c) ed e) del Regolamento).

3.1 il trattamento effettuato dalla società

Ai sensi dell’art. 28 del Regolamento, il titolare può affidare un trattamento anche a terzi soggetti che presentino garanzie adeguate in merito all’adozione di misure tecniche e organizzative idonee a garantire che il trattamento sia conforme alla disciplina in materia di protezione dei dati personali (“responsabili del trattamento”).

Il rapporto tra titolare e responsabile deve essere regolato da un contratto o da altro atto giuridico, stipulato per iscritto che, oltre a vincolare reciprocamente le due figure, consente al titolare di impartire istruzioni al responsabile e prevede, in dettaglio, quale sia la materia disciplinata, la durata, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare. Il Responsabile del trattamento è, pertanto, legittimato a trattare i dati degli interessati “soltanto su istruzione documentata del titolare” (art. 28, par. 1 e 3 del Regolamento).

Come emerso nel corso dell’istruttoria il trattamento dei dati in esame, svolto dalla società per conto del Comune, è stato avviato senza che il ruolo fosse disciplinato ai sensi dell’art. 28 del Regolamento, in quanto il verbale di consegna della gestione del servizio di sosta a pagamento del XX non soddisfa le caratteristiche dell’atto giuridico volto a regolamentare il rapporto con il Responsabile, non contenendo gli elementi previsti dall’art. 28 del Regolamento.

Non essendo stata individuata come responsabile del trattamento e non essendo stati indicati da parte della società specifici presupposti che abbiano legittimato il trattamento dei dati personali, si deve concludere che lo stesso è stato effettuato in assenza delle condizioni di liceità e quindi in violazione degli artt. 5, par. 1, lett. a) e 6 del Regolamento come già in precedenza chiarito dal Garante con riguardo ad analoghe fattispecie (cfr. provvedimento n. 161 del 17 settembre 2020, doc. web. 9461321; provvedimento n. 281 del 17 dicembre 2020, doc. web 9525315; provvedimento n. 292 del 22 luglio 2021, doc. web. 9698558; provvedimento n. 293 del 22 luglio 2021, doc. web. 9698597; Linee guida “sui concetti di titolare e responsabile del trattamento nel GDPR” n. 07/2020, in particolare nota 35).

4.  Conclusioni

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dalla società negli scritti difensivi ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Dalle verifiche compiute sulla base degli elementi acquisiti, anche attraverso la documentazione inviata dalla società, nonché dalle successive valutazioni, è stata accertata la non conformità dei trattamenti svolti per conto del Comune di Formia aventi ad oggetto la regolazione del servizio di sosta dei veicoli a pagamento.

La violazione dei dati personali, oggetto dell’istruttoria, è avvenuta nella piena vigenza delle disposizioni del Regolamento e del Codice, come modificato dal d.lg.n.101/2018, e dunque, al fine della determinazione del quadro normativo applicabile sotto il profilo temporale (art. 1, comma 2, della l. 24 novembre 1981, n. 689), queste costituiscono le disposizioni vigenti al momento della commessa violazione, avvenuta a partire dal mese di XX.

Si confermano pertanto le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dalla società a partire dal mese di XX, in quanto esso è avvenuto in assenza di una condizione di liceità in violazione degli artt. 5 e 6 del Regolamento.

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa ai sensi degli artt. 58, par. 2, lett. i), e 83, parr. 4 e 5, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 3, del Codice.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i), e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Ai fini dell’applicazione della sanzione è stato considerato che il trattamento iniziato dal mese di XX e protratto fino al mese di XX, ha avuto a oggetto i dati di circa 256 interessati al servizio di abbonamento per la sosta a pagamento sul territorio del Comune di Formia, in violazione del principio di “liceità, correttezza e trasparenza” cui all’art. 5, par. 1 lett. a) del Regolamento e in assenza di una condizione di liceità in violazione dell’art. 6 del Regolamento.

Tale violazione è stata portata a conoscenza dall’Autorità mediante un reclamo.

Di contro, è stata considerata favorevolmente la collaborazione che la società ha manifestato e si rappresenta il comportamento non doloso della violazione nonché l’assenza di precedenti violazioni a carico della società.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, par. 2 e 3, del Regolamento l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, lett. a) del Regolamento, nella misura di euro 5.000 per la violazione degli artt. 5 e 6 del Regolamento quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo Regolamento.

Si ritiene che debba applicarsi la sanzione accessoria della pubblicazione sul sito web del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. a) ed f) del Regolamento, rileva l’illiceità del trattamento effettuato dalla società Kcity srl, per la violazione degli artt. 5 e 6 del Regolamento, nei termini di cui in motivazione

ORDINA

Alla società K-city srl, in persona del legale rappresentante pro-tempore, con sede legale in Portici (NA), via Gravina n. 16, CF 08445211215– di pagare la somma di euro 5.000 a titolo di sanzione amministrativa pecuniaria per le violazioni di cui in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla società K.city srl di pagare la somma di euro 5.000 – in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019;

l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 29 settembre 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
9713902
Data
29/09/21

Argomenti


Tipologie

Ordinanza ingiunzione o revoca