g-docweb-display Portlet

Provvedimento del 23 febbraio 2023 [9868646]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9868646]

Provvedimento del 23 febbraio 2023

Registro dei provvedimenti
n. 47 del 23 febbraio 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Introduzione.

Con segnalazione del XX è stato rappresentato che dal Team Selezioni e reclutamento di Banca d’Italia (di seguito “Istituto”), nell’ambito dell’espletamento del concorso pubblico indetto dall’Istituto “per 19 Esperti con orientamento nelle discipline giuridiche (bando dell'XX)”, è stata inviata agli indirizzi di posta elettronica di circa “500 partecipanti”, una e-mail con la quale si rammentava ai candidati in indirizzo la data e l’orario per lo svolgimento della prova preselettiva, presso i locali della Fiera di Roma, e che il concorso si sarebbe svolto nel rispetto delle misure di contenimento del contagio da COVID-19, fornendo altresì indicazioni di dettaglio per assicurare la correttezza e lo svolgimento in sicurezza della prova.

L’invio della mail in questione risulta essere stato effettuato dall’indirizzo noreply.Concorsi@bancaditalia.it, riconducibile al dominio di posta elettronica dell’Istituto (“Team Selezioni e reclutamento”).

2. L’attività istruttoria.

In riscontro a una richiesta d’informazioni (nota prot. n. XX del XX) l’Istituto, con nota prot. n. XX, del XX ha dichiarato, in particolare, che:

- “il XX, nella conduzione delle attività preliminari allo svolgimento di una prova preselettiva di un concorso pubblico, dall’indirizzo noreply.concorsi@bancaditalia.it , facente capo all’unità dedicata alla selezione del personale, è stata inviata una email contenente il piano operativo sulle misure di prevenzione dei contagi da Covid-19 adottate in occasione della prova e recante gli indirizzi di posta elettronica in chiaro dei destinatari”;

- “in particolare, allo scopo di trasmettere il suddetto piano, sono state inviate in rapida sequenza 8 email massive suddividendo in gruppi di destinatari i complessivi 5.528 partecipanti alla selezione. In una sola delle suddette mail massive, per mero errore materiale, i relativi indirizzi sono stati inseriti visibili in chiaro nel campo dei “destinatari” anziché in “conoscenza per copia nascosta”, come invece correntemente effettuato dagli addetti per l’invio di mail di carattere generale inviate ai candidati sulla base delle indicazioni fornite in seno all’unità dedicata alla selezione del personale”;

- “in base alle suddette indicazioni, infatti, il processo di gestione delle comunicazioni trasmesse via mail ai concorrenti è organizzato come segue: (i) gli indirizzi dei destinatari delle email vengono estratti direttamente dalla base dati informatica del concorso, limitando così possibili errori nell’individuazione dei destinatari; (ii) tali indirizzi vengono riportati nel campo “conoscenza per copia nascosta” della email; (iii) il testo dell’email deve contenere, in ogni caso, solo informazioni di carattere generale e di comune interesse relative al concorso, preventivamente vagliate dal responsabile dell’unità, con esclusione di informazioni o comunicazioni individuali”;

- “nel caso di specie, l’operatore incaricato della trasmissione dell’email oggetto della richiesta in riscontro ha inviato due volte la medesima comunicazione, inserendo erroneamente nel primo invio gli indirizzi estratti dalla base dati informatica del concorso nel campo dei destinatari piuttosto che nel campo conoscenza per copia nascosta, senza segnalare l’accaduto ai responsabili dell’ufficio di appartenenza […]. Di conseguenza, nell’immediatezza dell’evento la Banca non ha potuto procedere all’attivazione della procedura prevista dalle disposizioni interne (circolare n. 257/04 e s.m.i) per la gestione di episodi di data breach conformemente alla normativa in materia di protezione dei dati personali, che prevedono il coinvolgimento del Servizio Organizzazione - incaricato di curare i compiti del Titolare del trattamento - e del RPD”;

- “si precisa che il predetto errore materiale ha riguardato esclusivamente l’email oggetto della richiesta di informazioni in riscontro e non anche le omologhe comunicazioni destinate agli altri gruppi di partecipanti alla medesima prova selettiva. Si fa inoltre presente che nessuna notizia o reclamo in ordine all’accaduto è pervenuta direttamente alla Banca d’Italia. Pertanto, solo in seguito alla richiesta di informazioni di codesta Autorità si è potuta attivare la prevista procedura di gestione e analisi dei data breach”;

- “si fa presente che la Banca d’Italia, nello svolgimento di procedure concorsuali prodromiche all’instaurazione del rapporto di lavoro, raccoglie una serie di dati necessari per la finalità di svolgimento del concorso, tra i quali rientra l’indirizzo email del candidato, utilizzato esclusivamente per l’invio di comunicazioni strettamente connesse ai profili organizzativi e gestionali della prova, nel rispetto dei principi di cui all’art. 5 del GDPR”;

- “a seguito della richiesta di informazioni di codesta Autorità, la Banca ha avuto contezza dei fatti riportati nella nota in riscontro e acquisito gli elementi utili a effettuare una valutazione sulla rilevanza dell’evento e sui possibili effetti negativi sui destinatari dell’email. Ai sensi della Circ. 257/04, il RPD ha quindi rilasciato il previsto parere sul livello di rischio delle violazioni per i diritti e le libertà degli interessati”;

- “per quanto sopra evidenziato, l’evento oggetto della richiesta in riscontro rappresenta la conseguenza di un errore materiale, di carattere del tutto occasionale e sporadico, che ha riguardato esclusivamente una tra le 8 email massive trasmesse in relazione alla predetta prova preselettiva”;

- “tenuto conto del significativo numero di procedure concorsuali svolto dalla Banca d’Italia, le indicazioni fornite agli addetti per la gestione delle comunicazioni ai candidati, salvo che nell’unico caso oggetto della richiesta in riscontro, sono risultate idonee a evitare il verificarsi di eventi della specie. In ogni caso, alla luce di quanto accaduto, sono state adottate rilevanti misure organizzative volte a rafforzare ulteriormente il suddetto processo operativo”;

- “ai fini della valutazione del livello di rischio correlato all’evento, merita evidenziare che l’email oggetto della richiesta di informazioni conteneva esclusivamente una comunicazione di carattere generale rivolta indistintamente a una pluralità di candidati, concernente unicamente profili organizzativi della prova preselettiva e non anche indicazioni o informazioni a carattere individuale”;

- va poi tenuto presente che gli indirizzi email utilizzati a fini comunicativi non consentono necessariamente l’identificazione univoca del titolare o dell’utilizzatore, giacché come noto la scelta dell’indirizzo è assolutamente libera e può includere, ad esempio, nomi di fantasia o riferibili ad altre persone, sigle o simboli. In ogni caso, poi, l’inserimento nella lista dei destinatari della comunicazione sulla prova preselettiva non attesta l’effettiva partecipazione alla prova medesima, come risulta dalle statistiche sulla partecipazione”;

- “dopo la ricezione della richiesta di informazioni in riscontro, si è provveduto a inviare a tutti gli interessati coinvolti una email […] con cui è stato chiesto, a chi non avesse già provveduto, di cancellare la comunicazione del 22 aprile contenente gli indirizzi in chiaro e, in ogni caso, di non divulgarla a terzi e di non utilizzare gli indirizzi degli altri destinatari erroneamente visibili;

- “si è poi proceduto a richiamare nuovamente tutti gli operatori alla massima attenzione nell’esecuzione di questa specifica attività di trattamento (e, più in generale, di tutte le attività di trattamento di dati personali), ricordando anche l’importanza di segnalare debitamente al responsabile dell’ufficio in maniera tempestiva e completa qualunque episodio possa comportare una violazione dei dati personali, in linea con quanto stabilito dalle disposizioni interne”.

Con nota del XX (prot. n. XX), l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato all’Istituto, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto le presunte violazioni degli artt. 5, 6 del Regolamento, nonché 2-ter del Codice, invitando il predetto Istituto a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).

Con nota del XX (prot. n. XX) l’Istituto ha presentato una memoria difensiva, dichiarando, in particolare, che:

- “da un punto di vista organizzativo, si evidenzia che la Banca d’Italia è dotata di un robusto e strutturato apparato in materia di data protection. L’Istituto ha emanato disposizioni interne […] che disciplinano le modalità con le quali la Banca, nel rispetto del GDPR e della normativa nazionale in materia, gestisce i dati personali”;

- “in particolare, le disposizioni interne dettano regole che: impongono il censimento di tutti i trattamenti di dati personali effettuati dalla Banca in apposito registro (cd. “Registro dei trattamenti”); (ii) richiedono, prima di avviare un nuovo trattamento ovvero in caso di modifiche rilevanti su un trattamento esistente, di effettuare una valutazione preliminare, nonché individuano i casi in cui effettuare una valutazione di impatto sui dati personali (cd. “DPIA”); (iii) definiscono i ruoli e le responsabilità nell’organizzazione interna in materia di trattamento di dati personali; (iv) delineano il processo per le segnalazioni di eventuali violazioni di dati personali (cd. “data breach”). Inoltre, è costante l’interlocuzione della struttura che svolge i compiti del titolare del trattamento con il Responsabile per la protezione dei dati (RPD), a supporto del quale è stata costituita nel XX un’unità organizzativa dedicata”;

- “con riferimento ai trattamenti dei dati personali effettuati nell’ambito dell’attività di gestione dei concorsi pubblici, […] si è provveduto a censire nel Registro dei trattamenti il relativo trattamento di dati personali In data XX è stata effettuata una DPIA), raccogliendo anche il parere del RPD […], avente a oggetto il trattamento dei dati personali condotto nell’ambito della più generale attività di organizzazione e gestione dei concorsi pubblici, che indica inter alia le finalità del trattamento, la base giuridica, le categorie di interessati e di dati trattati, i tempi di conservazione previsti e le misure di sicurezza esistenti”;

- “le attività di trattamento dei dati sono effettuate unicamente da personale autorizzato, […], in conformità con quanto previsto dagli artt. 4, punto 10), 29, e 32, par. 4, del GDPR che, come previsto dalle medesime disposizioni interne, sono tenuti a effettuare l’apposito corso di formazione on line […], al fine di fornire loro una competenza specifica in materia. I soggetti autorizzati all’interno dell’unità di selezione del personale sono inoltre tenuti a rispettare la comunicazione di servizio sul trattamento dei dati personali […], in cui si richiama l’attenzione degli addetti sull’importanza di rispettare la normativa in materia di privacy e applicare tutte le misure necessarie alla tutela dei dati trattati nei processi di lavoro”;

- “in particolare, in relazione alle comunicazioni via e-mail indirizzate ai partecipanti ai concorsi indetti dalla Banca sono state richiamate le seguenti indicazioni: (i) gli indirizzi e-mail dei destinatari vengono estratti direttamente dalla base dati informatica del concorso, limitando così possibili errori nell’individuazione dei destinatari medesimi; (ii) tali indirizzi vengono riportati nel campo “conoscenza per copia nascosta” (di seguito anche “Ccn”) della e-mail; (iii) il testo dell’e-mail deve contenere, in ogni caso, solo informazioni di carattere generale e di comune interesse relative al concorso, preventivamente vagliate dal responsabile dell’unità o dal suo vice, con esclusione di informazioni o comunicazioni individuali e di dati personali”;

- “il corretto uso delle e-mail è peraltro oggetto di diverse comunicazioni destinate a tutto il personale della Banca. In particolare, in data 2 agosto 2019, è stato inviato a tutti i dipendenti un messaggio in cui, con riferimento ai destinatari delle e-mail, si invita a utilizzare il campo Ccn laddove sia necessario tutelarne la privacy […]; una policy analoga è contenuta anche nella Circolare 184/93 […] adottata dalla Banca d’Italia in tema di sicurezza informatica, la quale all’Allegato II si occupa dell’utilizzo della posta elettronica e specificamente vieta l’invio di messaggi di posta a destinatari non interessati al contenuto o sconosciuti, a tal fine raccomandando di controllare la correttezza degli indirizzi prima dell’invio e di non includere nei messaggi informazioni di carattere privato e personale, confidenziale o che possano avere ripercussioni legali per l’Istituto”;

- “peraltro, nelle e-mail trasmesse dalla Banca d’Italia è presente un apposito disclaimer in cui si evidenzia che le stesse sono di carattere confidenziale, informando il ricevente che, qualora le riceva per errore, è pregato di comunicarne via e-mail la ricezione al mittente e di distruggerne il contenuto”;

- “sono state adottate e diffuse in tutta la Banca le Linee guida per la gestione dei data breach […] che recepiscono quanto stabilito dalle Guidelines dell’European Data Protection Board (EDPB) […che] esplicitamente individuano tra gli esempi di data breach l’invio a mailing list di uno o più messaggi con gli indirizzi e-mail dei destinatari in chiaro nel campo ‘A’ o nel campo ‘CC’, e identificano, tra le misure consigliate per prevenire violazioni, l’utilizzo del campo Ccn per le e-mail destinate a più persone fisiche esterne qualora non sia necessario rendere gli indirizzi e-mail visibili a tutti”;

- “le disposizioni sopra indicate sono state comunicate a tutti i dipendenti, ivi inclusi i dipendenti dell’unità dedicata alla selezione del personale, attraverso il sistema di corrispondenza interna e rese accessibili tramite il portale in cui è pubblicata la normativa interna della Banca”;

- “dopo la ricezione della richiesta di informazioni del 20 luglio u.s., inoltrata [dall’] Autorità, sono state adottate ulteriori misure organizzative e tecniche, funzionali al corretto trattamento delle e-mail in questione e, in generale, delle informazioni e dei provvedimenti trasmessi all’esterno”;

- “all’interno dell’unità di selezione del personale, sono state altresì ribadite le istruzioni operative per la trasmissione delle comunicazioni via e-mail ai partecipanti ai concorsi sopracitate, attraverso apposita guida per la gestione della casella funzionale noreply.Concorsi@bancaditalia.it”;

- “dal punto di vista tecnico, si è poi intervenuti sul sistema di abilitazioni all’utilizzo della casella “noreply.Concorsi@bancaditalia.it”, inibendo agli incaricati della predisposizione delle e-mail di poterne effettuare in autonomia l’invio. Oltre all’ordinario controllo “four eyes”, da parte del responsabile dell’unità o dal suo vice, sul contenuto della e-mail da trasmettere, è stato introdotto un controllo analogo sull’operazione materiale di invio della stessa: all’invio sono ora abilitati tre soli addetti, distinti da coloro che curano la fase di predisposizione delle e-mail”;

- “si è poi proceduto, con apposita comunicazione interna destinata a tutte le strutture della Banca […], a richiamare nuovamente tutto il personale a prestare una specifica attenzione nella gestione dei dati personali, con particolare riferimento alla trasmissione all’esterno di informazioni e di provvedimenti della Banca che contengono dati di persone fisiche”;

- “per quanto sopra evidenziato, appare chiaro che l’evento contestato rappresenta la conseguenza di un mero errore materiale, del tutto isolato, che ha riguardato tra l’altro esclusivamente una tra le 8 e-mail massive trasmesse in relazione alla medesima prova preselettiva. In altri termini, si tratta di un unico episodio determinato da un comportamento attribuibile a un singolo dipendente dell’Istituto, che si palesa distonico rispetto alle direttive impartite nell’ambito dell’unità addetta alla selezione del personale e al processo organizzativo applicato dalla Banca in materia di protezione dei dati personali”;

- “la circostanza che il suddetto dipendente abbia inviato correttamente le altre 7 e-mail e, con riferimento a quella erroneamente indirizzata, abbia provveduto, a distanza di pochi minuti, all’invio di una e-mail massiva conforme alle istruzioni ricevute - ossia con l’inserimento degli indirizzi e-mail in Ccn - dimostra la sua conoscenza di tali istruzioni, impartite con il fine di assicurare la protezione dei dati personali dei partecipanti ai concorsi, e che l’invio della precedente unica comunicazione con gli indirizzi in chiaro è riconducibile a una mera disattenzione”;

- “le misure adottate dalla Banca d'Italia e le circostanze di fatto dinanzi richiamate, in particolare il significativo numero di procedure concorsuali svolte dalla Banca d’Italia e di comunicazioni massive inviate correttamente, anche in relazione alla medesima prova preselettiva, dimostrano che il processo organizzativo applicato dall’Istituto è idoneo a prevenire il verificarsi di eventi della specie, fatto salvo il rischio correlato all’errore materiale in cui eccezionalmente incorra il singolo operatore”;

- “la Banca è consapevole dell’interpretazione nel tempo fornita [dall’Autorità], secondo cui gli indirizzi e-mail sono riconducibili alla nozione di dato personale […]. Per tale motivo, nello svolgimento di procedure concorsuali prodromiche all’instaurazione del rapporto di lavoro, l’indirizzo e-mail – utilizzato esclusivamente per l’invio di comunicazioni strettamente connesse ai profili organizzativi e gestionali della prova, nel rispetto dei principi di cui all’art. 5 del GDPR – è fornito dal candidato al momento della presentazione della domanda di partecipazione attraverso la relativa procedura online, nel cui contesto è raccolto il consenso al trattamento dei dati personali e viene rilasciata la relativa informativa agli interessati, in ossequio ai principi di liceità, correttezza e trasparenza del trattamento”.

3. Esito dell’attività istruttoria.

3.1 La comunicazione di dati personali dei partecipanti al concorso.

La disciplina di protezione dei dati personali prevede che i soggetti pubblici, anche quando operino nello svolgimento di procedure concorsuali, selettive o comunque valutative, prodromiche all’instaurazione del rapporto di lavoro, possono trattare i dati personali degli interessati (art. 4, n. 1, del Regolamento) se il trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” (si pensi a specifici obblighi previsti dalla normativa nazionale “per finalità di assunzione”, artt. 6, par. 1, lett. c), 9, parr. 2, lett. b) e 4; 88 del Regolamento) oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e) del Regolamento e art. 2-ter del Codice). Il titolare del trattamento è tenuto, in ogni caso, a rispettare i principi in materia di protezione dei dati (art. 5, par. 1 del Regolamento).

Sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria risulta accertato che l’Istituto ha inviato in data XX in rapida successione, dall’indirizzo noreply.Concorsi@bancaditalia.it, riconducibile al dominio di posta elettronica “Team Selezioni e reclutamento”, otto e-mail massive suddividendo in gruppi di destinatari gli oltre cinquemila partecipanti al concorso pubblico “per 19 Esperti con orientamento nelle discipline giuridiche”, indetto dallo stesso Istituto.

Il contenuto dei messaggi riportava informazioni sulle modalità per espletare la prova concorsuale ed era volto a fornire indicazioni di dettaglio per lo svolgimento in sicurezza della procedura mediante misure per il contenimento del contagio da Covid-19 nel rispetto delle norme emergenziali all’epoca vigenti (artt. 5 e 6 d.l. n. 24 del 24 marzo 2022; v. anche protocollo per lo svolgimento dei concorsi pubblici emanato dal Dipartimento della Funzione pubblica il 15 aprile 2021) in ragione della persistente circolazione del virus, nonostante la cessazione per legge dello stato d’emergenza.

Risulta accertato altresì che solo una di tali e-mail indirizzata a un gruppo di partecipanti avrebbe riportato per errore anche gli indirizzi degli altri destinatari in copia “cc” anziché in copia nascosta “ccn”.

Nel prendere atto del fatto che la mancata comunicazione di quanto accaduto ai responsabili dell’ufficio di appartenenza da parte dell’operatore che aveva materialmente commesso l’errore non ha permesso all’Istituto di attivare tempestivamente “la procedura prevista dalle disposizioni interne […] per la gestione di episodi di data breach”, si osserva tuttavia quanto segue.

L’invio del messaggio di posta elettronica in questione con le predette modalità – che, come confermato dall’Istituto, è stato effettuato in conseguenza di un errore commesso da un dipendente – ha determinato la messa a disposizione degli indirizzi di posta elettronica di ciascuno dei destinatari in favore degli altri, ossia soggetti determinati che - anche tenuto conto della definizione di “terzo”, contenuta nell’art. 4, par. 1, n. 10, del Regolamento – non avevano titolo per conoscere i predetti recapiti. La trasmissione del messaggio con le descritte modalità ha reso, altresì, vicendevolmente edotti tutti gli interessati, a cui è stata indirizzata la predetta e-mail, della partecipazione al concorso (circostanza evidenziata anche dal segnalante che avrebbe appreso la partecipazione di un proprio conoscente alla medesima procedura).

Quanto accidentalmente verificatosi configura, per i profili di protezione dei dati, una comunicazione di dati personali in assenza di uno specifico presupposto giuridico, non potendo, comunque, ritenersi configurabile un valido consenso prestato al riguardo dal candidato all’atto della presentazione della domanda di partecipazione alla procedura selettiva (cons. 43 del Regolamento e, tra gli altri, provv. n. 160 del 17 settembre 2020 doc. web n. 9461168 che precisa che i trattamenti di dati legati allo svolgimento delle procedure concorsuali trovano “la propria base giuridica nella specifica disciplina di settore che regola l’accesso agli impieghi nelle pubbliche amministrazioni e le modalità di svolgimento dei pubblici concorsi […] non nel consenso degli interessati”).

Nonostante quanto dichiarato in merito al fatto che “gli indirizzi email utilizzati a fini comunicativi non consentono necessariamente l’identificazione univoca del titolare o dell’utilizzatore” e che “l’inserimento nella lista dei destinatari della comunicazione sulla prova preselettiva non attesta l’effettiva partecipazione alla prova medesima”, si deve rilevare che in numerosi casi, tra quelli oggetto della segnalazione, gli indirizzi di posta elettronica recano i dati anagrafici degli interessati, riportando in chiaro il nome e/o il cognome degli interessati, ovvero le iniziali, sigle o acronimi idonei a rendere comunque identificabili gli interessati, anche in presenza di altre informazioni eventualmente disponibili.

Inoltre, come avvenuto anche in casi analoghi, per effetto della predetta comunicazione ognuno dei destinatari della predetta comunicazione è stato messo a conoscenza (come nel caso oggetto della segnalazione), oltre che dell’indirizzo di posta elettronica degli altri candidati, anche dell’intenzione di ognuno di partecipare alla procedura concorsuale stessa (cfr. definizioni di “dato personale” e “interessato”, art. 4, par. 1, n. 1, del Regolamento; cfr. provv. 15 dicembre 2022, n. 419, doc web n. 9843741).

Pur prendendo atto delle misure attuate sul piano tecnico e organizzativo per prevenire il rischio di errori in tali circostanze di invio massivo di email e delle misure ulteriormente introdotte al fine di migliorare i processi esistenti, la comunicazione di dati personali a terzi, ancorché per mero errore in tale isolata circostanza, risulta comunque avvenuta in violazione degli artt. 5, par. 1, lett. a), e 6 del Regolamento, nonché 2-ter del Codice.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dalla Banca d’Italia nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Istituto, per aver comunicato a terzi i dati personali di partecipanti alla predetta procedura concorsuale, in violazione degli artt. 5 e 6 del Regolamento, nonché 2-ter del Codice.

Ciò premesso, tenuto conto che:

- l’episodio, sebbene abbia riguardato numerosi interessati, risulta essere stato isolato e determinato da un mero errore umano, commesso da un dipendente che ha materialmente proceduto all’invio del messaggio di posta elettronica in questione;

- il messaggio consisteva in una comunicazione di carattere generale rivolta indistintamente a una pluralità di candidati;

- il trattamento non ha avuto ad oggetto particolari categorie di dati (cfr. art. 9 del Regolamento) e non ha comportato la conoscenza di altre specifiche circostanze riferite alle condizioni familiari o personali degli interessati;

- la condotta è stata posta in essere nel contesto del riavvio delle procedure concorsuali in un periodo caratterizzato ancora da un’ampia circolazione del virus SARS-CoV-2, e comunque in una fase ancora particolarmente concitata e critica anche sul piano dell’organizzazione e gestione delle attività istituzionali;

- l’Istituto ha provveduto a mitigare gli effetti della comunicazione invitando i destinatari della comunicazione a cancellare, ove non già effettuato, il messaggio in questione, ovvero a non divulgarlo o a non utilizzare gli indirizzi degli altri destinatari erroneamente visibili;

- l’Istituto, in conseguenza dell’episodio verificatosi, ha rafforzato ulteriormente le procedure già esistenti (“controllo “four eyes”, da parte del responsabile dell’unità o dal suo vice, sul contenuto della e-mail da trasmettere”);

- l’Istituto ha provveduto a introdurre misure tecniche e organizzative ulteriori per prevenire il verificarsi di simili accadimenti in futuro (in particolare, inibizione della funzione di invio autonomo per gli incaricati che predispongono le e-mail; invio ritardato del messaggio previo ulteriore controllo; campagna di sensibilizzazione interna per assicurare una maggiore attenzione nella fase di trasmissione all’esterno di informazioni e di provvedimenti della Banca che contengono dati di persone fisiche...);

- il numero degli interessati coinvolti (circa 500) deve essere considerato in relazione al numero complessivo dei partecipanti al concorso in questione (oltre 5000 candidati);

- non risultano precedenti violazioni commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento;

- le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi del cons. 148 del Regolamento e delle “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal Gruppo di Lavoro Art. 29 il 3 ottobre 2017, WP 253, e fatte proprie dal Comitato europeo per la protezione dei dati con l’”Endorsement 1/2018” del 25 maggio 2018.

Alla luce di tutto quanto sopra rappresentato, e dei termini complessivi della vicenda in esame, si ritiene, pertanto, sufficiente ammonire il titolare del trattamento per la violazione delle disposizioni sopraindicate, ai sensi dell’art. 58, par. 2, lett. b), del Regolamento (cfr. anche cons. 148 del Regolamento).

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

a) dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento dei dati personali effettuato dalla Banca D'Italia in persona del legale rappresentante pro tempore, con sede legale in Via Nazionale, 91 - 00184 Roma (RM) Codice Fiscale: 00997670583, per violazione degli artt. 5, par. 1, lett. a) e 6 del Regolamento, nonché 2-ter del Codice nei termini di cui in motivazione;

b) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce la Banca D'Italia, quale titolare del trattamento in questione, per aver violato gli artt. 5, par. 1, lett. a) e 6 del Regolamento, nonché 2-ter del Codice, come sopra descritto;

c) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 23 febbraio 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei