Provvedimento del 17 maggio 2023 [9907862]
Provvedimento del 17 maggio 2023 [9907862]
Condividi[doc. web n. 9907862]
Provvedimento del 17 maggio 2023
Registro dei provvedimenti
n. 193 del 17 maggio 2023
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, vice segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27/4/2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);
VISTO il d. lgs. 30/6/2003, n. 196 recante “Codice in materia di protezione dei dati personali” (di seguito “Codice”);
VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida in materia di trasparenza”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal vice segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;
Relatore l’avv. Guido Scorza;
PREMESSO
1. Introduzione
Questa Autorità ha ricevuto alcune segnalazioni, con le quali è stata lamentata una violazione della normativa in materia di protezione dei dati personali da parte del Ministero delle infrastrutture e dei trasporti (“MIT”), che ha reso disponibili online documenti di riconoscimento contenenti dati personali.
Al riguardo, dalla verifica preliminare effettuata da questo Dipartimento è emerso che all’url indicato nella segnalazione https://... era effettivamente possibile rinvenire diversi documenti – contenenti dati e informazioni personali, fra cui anche copie di documenti di riconoscimento e tessere sanitarie – presenti su indirizzi web riferibili al dominio del Ministero delle Infrastrutture e della mobilità sostenibili (XX).
Nello specifico, facendo una selezione a campione, è stato verificato che:
- all’url https://... era accessibile e direttamente scaricabile il file con le informazioni riguardanti una società di ingegneria, che comprendeva anche il curriculum vitae dettagliato di due soggetti identificati in atti e la copia integrale a colori delle rispettive carte d’identità;
- all’url https://... era accessibile e direttamente scaricabile il file relativo alla nota del MIT prot. n. XX del XX, con tutti i relativi allegati dove erano riportati dati e informazioni personali, compresa la copia integrale di due documenti d’identità e di una tessera sanitaria di due soggetti identificati in atti.
- all’url https://... era accessibile e direttamente scaricabile il documento prot. n. XX del XX del MIT, contenente – fra l’altro – la copia integrale di due documenti di identità e di una tessera sanitaria di due soggetti identificati in atti.
2. La normativa in materia di protezione dei dati personali
Ai sensi della disciplina in materia, «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)» e «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).
In tale quadro, si ricorda che i soggetti pubblici (come il Ministero) possono diffondere «dati personali» nei limiti previsti dall’art. 2-ter, commi 1 e 3, del Codice, nel rispetto dei principi in materia di protezione dei dati, fra cui quello di «minimizzazione», in base al quale i dati personali devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. c, del RGPD).
Inoltre, il titolare del trattamento dei dati personali è tenuto a mettere in atto «fin dalla progettazione», ossia sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso, «misure tecniche e organizzative adeguate, […] volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati», garantendo «che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento» (art. 25, parr. 1 e 2, RGPD). Il RGPD richiede, alla luce del principio di responsabilizzazione (accountability), che il titolare del trattamento non solo deve rispettare, ma anche «essere in grado di dimostrare, che il trattamento è effettuato conformemente al […] regolamento [europeo]» (artt. 5, par. 2; 24).
3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato
Con la nota prot. n. XX del XX, il MIT ha fornito riscontro alla richiesta d’informazioni dell’Ufficio (nota prot. n. XX del XX).
Rispetto a quanto rappresentato, a seguito dalle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX del XX ha accertato che il Ministero delle infrastrutture e dei trasporti – diffondendo online dati personali tramite la pubblicazione della copia integrale di documenti di riconoscimento e tessere sanitarie – ha effettuato un trattamento di dati personali non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD. Pertanto, con la medesima nota sono state notificate al predetto Ministero le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD e invitando la predetta amministrazione a far pervenire al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentita da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).
4. Memorie difensive e audizione
Il Ministero delle infrastrutture e dei trasporti, con le note prot. n. XX del XX e prot. n. XX del XX, ha inviato al Garante i propri scritti difensivi in relazione alle violazioni notificate.
Al riguardo, si ricorda che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, intitolato «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante».
In particolare, nella nota prot. n. XX è stato rappresentato, fra l’altro, che:
- «le pubblicazioni contestate […] hanno riguardato 81 documenti su più di 90.000 documenti pubblicati in PAT [i.e. il “Portale Amministrazione Trasparente”], vale a dire una percentuale pari a circa lo 0,09 % e un numero esiguo di interessati»;
- «Al di là delle segnalazioni all’Autorità garante, […] allo stato non risultano azioni legali intraprese da parte degli interessati nei confronti dei Ministero per impropria diffusione di dati online»;
- «la presunta violazione risulta limitata nel tempo e, soprattutto, episodica e non sistematica, avendo riguardato, come anticipato, una minima percentuale di pubblicazioni per lo più relative a un periodo precedente all’impiego della piattaforma di e-procurement (documenti prevalentemente risalenti agli anni 2017-2020; residuano poche violazioni relative agli anni 2021 e 2022)»;
- «Relativamente al caso in oggetto, le violazioni contestate non sono ascrivibili a condotte dolose, non vertendosi in fattispecie di autorizzazione ad un illecito trattamento di dati espressamente fornita da dirigenti apicali né in ipotesi di trattamento avvenute nonostante l’avviso contrario del responsabile della protezione dei dati. Le condotte in questione non sarebbero riconducibili neanche a colpa, tenuto conto della scusabilità della condotta, che è stata indotta dai seguenti fattori:
- dalla incertezza del contesto normativo in materia di obblighi di pubblicazione per finalità di trasparenza, derivante dalla coesistenza di numerose fonti, anche di rango diverso, succedutesi nel tempo,
- dal timore dei dirigenti di incorrere in violazioni o sanzioni per mancato rispetto degli obblighi di pubblicazione»;
- «Il Ministero si è subito attivato al fine di rimuovere tutti i dati erroneamente pubblicati, che sono, del resto, stati tutti immediatamente eliminati, ad eccezione di quelli risultanti alla query disponibile al link:https://.... In quest’ultimo caso la mancata cancellazione non è stata il risultato di un’inerzia dell’Amministrazione, ma è dovuta ad un problema di tipo informatico, concernente l’indicizzazione sul motore di ricerca generalista, che si è provveduto a risolvere nei tempi più rapidi possibil[i]. Con riferimento a quest’ultimo file, è [stato] contattato direttamente per le vie brevi il Provveditorato [competente responsabile della pubblicazione] per chiedere l’immediata rimozione del file citato. Dato che il file, nonostante la rimozione dal PAT, risultava ancora disponibile sul motore di ricerca, veniva contattato anche Google per chiedere l’immediata rimozione dell’indicizzazione del contenuto […]»;
- «Oltre alle azioni riferite alla specifica violazione contestata, per evitare eventuali errori futuri e invitare alla massima attenzione le strutture periferiche, sono state intraprese le seguenti ulteriori azioni:
● sono state trasmesse circolari del Gabinetto, del Responsabile per la trasparenza, del Direttore generale per la digitalizzazione, sistemi informatici e statistici, nonché del DPO a tutte le strutture dell’Amministrazione sulle cautele da adottare in fase di pubblicazione dei dati, sul richiamo all’osservanza della normativa vigente e sul principio di responsabilizzazione […];
● a seguito della stipula di apposita convenzione con la Scuola Nazionale dell’Amministrazione, a partire dal mese di aprile 2021, l’Amministrazione ha reso disponibile sulla propria piattaforma di e-learning uno specifico percorso formativo sull’argomento […].
● con DM n. XX del XX, è stata istituita una Commissione di verifica e monitoraggio del rispetto della normativa in materia di trattamento di dati personali, effettuato per finalità di pubblicità e trasparenza sul sito web istituzionale del Ministero con il compito di verificare il rispetto della normativa in materia di protezione dei dati personali, in relazione al trattamento effettuato per finalità di pubblicità e trasparenza sul sito web istituzionale del Ministero, nell’ambito delle attività legate all’adempimento degli obblighi di pubblicazione sanciti dalle norme sulla trasparenza e, in particolare, dal decreto legislativo 14 marzo 2013, n. 33»;
- «relativamente al principio di privacy by design si osserva, come emerso anche dalla corrispondenza con la società manutentrice del PAT, che “il software PAT è conforme ed offre una serie di caratteristiche volte a supportare il titolare per un corretto inserimento dati nella piattaforme” […]»;
Inoltre, in data XX si è svolta, mediante videoconferenza a distanza, l’audizione richiesta dal MIT ai sensi dell’art. 166, comma 6, del Codice, in occasione della quale sono stati forniti chiarimenti aggiuntivi.
Nello specifico, precisando con ulteriori dettagli quanto già descritto nelle memorie difensive, quanto alla condotta tenuta, è stato evidenziato, fra l’altro, che:
- «l’amministrazione si è subito attivata per risolvere le criticità in materia di protezione dei dati personali rappresentate dal Garante»;
- «In relazione all’organizzazione interna del Ministero, [è] presente [una] complessità della struttura amministrativa che comprende moltissime articolazioni centrali e periferiche, con competenze molto diverse su tutto il territorio nazionale (sei Centri di responsabilità amministrativa, circa 40 tra Direzioni generali e Organismi, comprensivi di Provveditorati interregionali per le opere pubbliche – con sedi principali e coordinate in ogni Regione – e Direzioni generali territoriali – con Uffici della motorizzazione e Centri prove autoveicoli a livello provinciale – per un totale di più di 360 Uffici oltre il Corpo delle Capitanerie di Porto). Si precisa che tutti i referenti sul territorio nazionale (ca. 530) sono stati formati e abilitati per la pubblicazione sul portale istituzionale. Per dare evidenza della complessità del sistema, si fa presente che attualmente i documenti pubblicati sul portale amministrazione trasparente sono ca. 120.000. […] La redazione internet si occupa del supporto ai referenti, ma chiaramente possono residuare rischi in relazione a eventuali errori di tipo umano»;
- «In relazione alle attività della Commissione, sono stati effettuati dei controlli a campione sui documenti pubblicati da cui è emerso che le non conformità individuate, in ogni caso minime rispetto alla mole di documenti pubblicati online sul sito web istituzionale, sono state – al tempo – tutte prontamente segnalate ai capi delle strutture interessate che hanno confermato la relativa risoluzione. Attualmente, si sta lavorando non solo per sensibilizzare ma anche per incrementare la consapevolezza delle strutture sul rispetto delle regole privacy e si precisa che le maggiori problematiche sono state registrate con riferimento ai Provveditorati per gli obblighi di pubblicazione relativi alle procedure di appalto e alla nomina di consulenti e collaboratori coinvolti nelle predette procedure. Si precisa che, per tale motivo, è stata programmata una specifica formazione per i R.U.P. in ordine al rispetto delle regole privacy nell’attività di pubblicazione online dei documenti di relativa competenza».
- «il Ministero, oltre ad attivarsi prontamente per risolvere le criticità rilevate, ha chiesto al motore di ricerca Google di rimuovere anche le “miniature” (ovvero le anteprime a bassa risoluzione) dei documenti di riconoscimento dei soggetti interessati, mantenute in automatico dal motore di ricerca anche a seguito di rimozione del file. Tale azione è stata condotta al fine di minimizzare ulteriormente la permanenza sul motore di ricerca delle predette “miniature”. Tuttavia, alcuni documenti di riconoscimento risultavano online a causa di un errore umano nelle modalità utilizzate per la rimozione del file attraverso lo strumento informatico».
- «nel caso di dati personali non oggetto di pubblicazione obbligatoria, gli stessi vengono oscurati anche nel Portale amministrazione trasparente e non solamente deindicizzati (come del resto specificato in tutte istruzioni fornite ai referenti). In ogni caso, si ribadisce che ogni pubblicazione online è oggetto di verifica in relazione alla conformità con la disciplina in materia di protezione dei dati personali e alle Linee guida del Garante in materia, come indicato anche nei Piani triennali per la prevenzione della corruzione e della trasparenza (PTPCT), adottati annualmente, e nell’attuale Piano integrato di attività e organizzazione (PIAO) 2023-2025, in cui sono confluiti i contenuti dei PTPCT. La problematica della pubblicazione dei documenti di riconoscimento oggetto di segnalazione fa riferimento a procedimenti risalenti, strettamente connessi a procedure di appalto riferibili a 2 strutture territoriali, che sono state attenzionate della problematica (come del resto tutte le strutture ministeriali centrali e periferiche), per cui si ritiene che le misure tecniche e organizzative messe in atto siano idonee a evitare il verificarsi in futuro del medesimo problema. D’altronde va tenuto in considerazione che, anche nel caso di specie, la condotta è stata dettata da un mero e involontario errore umano conseguente all’urgenza di pubblicare gli atti di gara per finalità di trasparenza che non ha consentito di selezionare con cura i documenti da pubblicare. Va inoltre ricordato, proprio fra le misure messe in atto, che lo stesso PAT è stato dotato di apposito Alert, avente la funzione di avvisare coloro che stanno caricando i documenti online di verificare anche il rispetto delle regole in materia di protezione dei dati personali (gli Alert avvisano, in particolare, che non devono essere pubblicate, in ogni caso, copie di documenti di riconoscimento). Si precisa, altresì che il Ministero, rispetto al caso segnalato, si impegna a effettuare ulteriori verifiche (tecniche e organizzative) in modo da evitare anche per il futuro che si possa ripresentare la medesima criticità segnalata dal Garante in ordine al reperimento online di documenti di riconoscimento».
5. Valutazioni del Garante ed esito dell’istruttoria relativa alle segnalazioni presentate
La questione oggetto del caso sottoposto all’attenzione del Garante riguarda la pubblicazione online di diversi documenti – contenenti dati e informazioni personali, fra cui anche copie di documenti di riconoscimento e tessere sanitarie – presenti su indirizzi web riferibili al dominio del MIT (trasparenza.mit.gov.it).
Al riguardo, il Ministero, sia nelle memorie difensive che nel corso dell’audizione, ha confermato di avere tenuto la condotta accertata e contestata dall’Ufficio, descrivendo gli adempimenti effettuati per porre fine alle violazioni della normativa in materia di protezione dei dati personali contestate.
Nello specifico, è stato – fra l’altro rappresentato – che «la condotta è stata dettata da un mero e involontario errore umano conseguente all’urgenza di pubblicare gli atti di gara per finalità di trasparenza che non ha consentito di selezionare con cura i documenti da pubblicare». L’errore sarebbe derivato anche «dalla incertezza del contesto normativo in materia di obblighi di pubblicazione per finalità di trasparenza, derivante dalla coesistenza di numerose fonti, anche di rango diverso, succedutesi nel tempo» e «dal timore dei dirigenti di incorrere in violazioni o sanzioni per mancato rispetto degli obblighi di pubblicazione».
L’Ente ha inoltre dichiarato che a seguito della comunicazione del Garante si è in ogni caso prontamente «attivato per effettuare tutte le verifiche e attività necessarie per eliminare le criticità riscontrate dal Garante», rimuovendo «tutti i dati erroneamente pubblicati» e intraprendendo «tutte le azioni necessarie per scongiurare il rischio che episodi simili possano verificarsi nel futuro».
Tali circostanze e tutti gli elementi evidenziati negli scritti difensivi sopra riportati, esaminati nel loro complesso e sicuramente meritevoli di considerazione ai fini della valutazione della condotta (cfr. paragrafo successivo), non risultano tuttavia sufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo alcuna delle ipotesi previste dall’art. 11 del Regolamento del Garante n. 1/2019.
Per tale motivo – pur tenendo conto delle misure indicate dall’amministrazione per evitare il ripetersi nel futuro dei trattamenti di dati personali oggetto di contestazione – si confermano le valutazioni preliminari dell’Ufficio effettuate con la nota prot. XX del XX e si rileva la non conformità al RGPD della condotta tenuta dal Ministero delle infrastrutture e dei trasporti. Ciò in quanto i dati personali contenuti nei documenti di riconoscimento e nelle tessere sanitarie pubblicati online – su url appartenenti al dominio del Ministero (trasparenza.mit.gov.it) – sono stati diffusi:
a) in assenza di idonei presupposti normativi, in violazione dell’art. 2-ter, commi 1 e 3, del Codice, nonché dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD;
b) senza rispettare i principi di «limitazione della finalità» e di «minimizzazione», secondo i quali i dati personali devono essere necessari e proporzionati, in violazione dell’art. 5, par. 1, lett. b) e c), del RGPD;
c) senza adottare, al momento della condotta, «misure tecniche e organizzative» adeguate «ad attuare in modo efficace i principi di protezione dei dati» fin dalla progettazione e per garantire che siano trattati per «impostazione predefinita» solo «i dati personali necessari per ogni specifica finalità del trattamento», in violazione dell’art. 25, parr. 1 e 2, del RGPD;
Considerato, tuttavia, che la condotta ha esaurito i suoi effetti – in quanto il titolare del trattamento ha dichiarato di aver provveduto a rimuovere i dati personali oggetto di contestazione dagli url indicati nelle note dell’Ufficio (prot. nn. XX e la nota prot. XX), effettuando ulteriori controlli e attivandosi anche per evitare l’indicizzazione sul motore di ricerca Google – fermo restando quanto si dirà sull’applicazione della sanzione amministrativa pecuniaria, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del RGPD.
6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria (artt. 58, par. 2, lett. i; 83 del RGPD)
Il Ministero delle infrastrutture e dei trasporti risulta aver violato gli artt. 5, par. 1, lett. a) - c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b); 25, parr. 1 e 2, del RGPD; nonché l’art. 2-ter, commi 1 e 3, del Codice.
La violazione delle disposizioni citate – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 4 e 5, del RGPD.
Al riguardo, tenuto conto di quanto previsto dall’art. 83, par. 3, del RGPD, laddove è sancito che «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave», nel caso in esame si applica la sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del RGPD.
Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD, nonché dell’art. 166 del Codice, ha il potere correttivo di «infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso». In tale quadro, «il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice» (art. 16, comma 1, del Regolamento del Garante n. 1/2019).
La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del RGPD.
In proposito, risulta che il trattamento effettuato in violazione della disciplina in materia di protezione dei dati personali ha avuto a oggetto la diffusione online di dati personali non appartenenti a categorie particolari né a condanne penali o reati (artt. 9 e 10, del RGPD), contenuti – secondo quanto dichiarato – in circa 81 documenti. La violazione accertata è di carattere evidentemente colposo, in quanto derivante – come riportato nelle memorie difensive e in sede di audizione – da «un mero e involontario errore umano». La condotta risulta, in ogni caso, «limitata nel tempo […], episodica e non sistematica, avendo riguardato […] una minima percentuale di pubblicazioni per lo più relative a un periodo precedente all’impiego della piattaforma di e-procurement», la maggior parte delle quali «risalenti agli anni 2017-2020» con «poche violazioni relative agli anni 2021 e 2022». Il Ministero «Al di là delle segnalazioni all’Autorità garante» non avrebbe ricevuto, allo stato, «azioni legali [..]. da parte degli interessati nei [suoi] confronti […] per impropria diffusione di dati online». In ogni caso, l’ente, a seguito della richiesta dell’Ufficio, si è attivato per rimuovere i dati personali dei soggetti interessati ed ha collaborato con questa Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alla violazione, attenuandone i possibili effetti negativi. Al riguardo, è stato inoltre rappresentato che «il Ministero, oltre ad attivarsi prontamente per risolvere le criticità rilevate, ha chiesto al motore di ricerca Google di rimuovere anche le “miniature” (ovvero le anteprime a bassa risoluzione) dei documenti di riconoscimento dei soggetti interessati, mantenute in automatico dal motore di ricerca anche a seguito di rimozione del file. Tale azione è stata condotta al fine di minimizzare ulteriormente la permanenza sul motore di ricerca delle predette “miniature”».
L’amministrazione ha chiesto, inoltre, di tenere conto, ai fini della valutazione della condotta, della complessità dell’organizzazione interna del Ministero che comprende moltissime articolazioni centrali e periferiche (descritte in atti) e della circostanza che le maggiori problematiche sarebbero state limitate a singole strutture territoriali con particolare riferimento agli «obblighi di pubblicazione relativi alle procedure di appalto e alla nomina di consulenti e collaboratori coinvolti nelle predette procedure». In particolare, la «problematica della pubblicazione dei documenti di riconoscimento oggetto di segnalazione fa riferimento a procedimenti risalenti, strettamente connessi a procedure di appalto riferibili a 2 strutture territoriali» e l’errore sarebbe «conseguente all’urgenza di pubblicare gli atti di gara per finalità di trasparenza che non [avrebbe] consentito di selezionare con cura i documenti da pubblicare». Le predette strutture sono però «state attenzionate della problematica (come del resto tutte le strutture ministeriali centrali e periferiche)» ed «è stata programmata una specifica formazione per i R.U.P. in ordine al rispetto delle regole privacy nell’attività di pubblicazione online dei documenti di relativa competenza».
Inoltre, relativamente alle misure messe in atto dal Ministero per evitare il ripetersi in futuro della medesima condotta segnalata al Garante, è stato rappresentato che «ogni pubblicazione online è oggetto di verifica in relazione alla conformità con la disciplina in materia di protezione dei dati personali e alle Linee guida del Garante in materia, come indicato anche nei Piani triennali per la prevenzione della corruzione e della trasparenza (PTPCT), adottati annualmente, e nell’attuale Piano integrato di attività e organizzazione (PIAO) 2023-2025, in cui sono confluiti i contenuti dei PTPCT» e che «lo stesso PAT è stato dotato di apposito Alert, avente la funzione di avvisare coloro che stanno caricando i documenti online di verificare anche il rispetto delle regole in materia di protezione dei dati personali (gli Alert avvisano, in particolare, che non devono essere pubblicate, in ogni caso, copie di documenti di riconoscimento)».
Va tenuto in considerazione, altresì, che nel riscontro al Garante sono state, descritte diverse misure tecniche e organizzative messe in atto ai sensi degli artt. 25-32 del RGPD (fra cui anche l’adozione di specifiche circolari del Gabinetto, del Responsabile per la trasparenza, del Direttore generale per la digitalizzazione, sistemi informatici e statistici, del DPO rivolte a tutte le strutture dell’Amministrazione sulle cautele da adottare in fase di pubblicazione dei dati; l’organizzazione di specifici corsi di formazione per il personale; l’istituzione di una Commissione ad hoc per la verifica e monitoraggio del rispetto della normativa in materia di trattamento di dati personali, effettuato per finalità di pubblicità e trasparenza sul sito web istituzionale del Ministero).
Non risultano, in ogni caso, eventuali precedenti violazioni del RGPD pertinenti commesse dal Ministero.
In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, parr. 2 e 3, del RGPD l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, del RGPD, nella misura di euro 24.000,00 (ventiquattromila) per la violazione degli artt. 5, par. 1, lett. a)-c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b); 25, parr. 1 e 2, del RGPD; nonché dell’art. 2-ter, commi 1 e 3, del Codice, quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo RGPD.
In relazione alle specifiche circostanze del presente caso, relative alla diffusione di dati personali online in assenza di una idonea base normativa e in violazione dei principi di minimizzazione dei dati e di limitazione della finalità (art. 2-ter, commi 1 e 3, del Codice; art. 5, par. 1, lett. b e c, del RGPD), si ritiene altresì che debba essere applicata la sanzione accessoria della pubblicazione del presente provvedimento sul sito Internet del Garante, prevista dall’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019.
Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.
TUTTO CIÒ PREMESSO IL GARANTE
rilevata l’illiceità del trattamento effettuato dal Ministero delle infrastrutture e dei trasporti nei termini indicati in motivazione ai sensi degli artt. 58, par. 2, lett. i), e 83 del RGPD
ORDINA
al Ministero delle infrastrutture e dei trasporti, in persona del legale rappresentante pro-tempore, con sede legale in Via Nomentana n. 2 - 00161 Roma, C.F. 97532760580, di pagare la somma di € 24.000,00 (ventiquattromila) a titolo di sanzione amministrativa pecuniaria per le violazioni di cui in motivazione;
INGIUNGE
al medesimo Ministero di pagare la somma di euro € 24.000,00 (ventiquattromila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.
Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1/9/2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice).
DISPONE
- la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019;
- l’annotazione nel registro interno dell’Autorità delle violazioni e delle misure adottate ai sensi dell’art. 58, par. 2, del RGPD con il presente provvedimento, come previsto dall’art. 17 del Regolamento del Garante n. 1/2019.
Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 17 maggio 2023
IL PRESIDENTE
Stanzione
IL RELATORE
Scorza
IL VICE SEGRETARIO GENERALE
Filippi
