Premessa
il garante per la protezione dei dati personali, nel marzo del 2019, aveva adottato un provvedimento nei confronti di Roma capitale con il quale aveva dichiarato l’illecita del trattamento dei dati personali compiuta da quest’ultima attraverso l’uso del sistema “Tu passi”.
In particolare, il garante aveva effettuato una complessa attività istruttoria all’esito della quale era emerso che il sistema utilizzato fin dal 2015 da Roma capitale per effettuare la prenotazione degli appuntamenti nonché per erogare i servizi di sportello, risultava in contrasto con i principi di liceità, correttezza e trasparenza del trattamento e con l’obbligo gravante sul titolare di fornire agli utenti e ai dipendenti l’informativa prevista dalla codice della privacy e dal regolamento europeo per la protezione dei dati personali.
In secondo luogo, era emerso che il trattamento dati effettuato attraverso il richiamato servizio “Tu passi”, era in contrasto con l’obbligo di regolamentare i trattamenti di dati personali affidati alla società che gestiva il servizio di assistenza e manutenzione del sistema “Tu passi”.
Infine, il garante aveva accertato la violazione dell’obbligo da parte di Roma capitale di adottare misure tecniche ed organizzative idonee a garantire un livello di sicurezza dei dati, adeguato rispetto al rischio connaturato al trattamento effettuato attraverso il sistema “Tu passi”, tenendo conto della natura, dell’oggetto, del contesto, delle finalità e dei rischi legati al trattamento medesimo, rispetto dei diritti e alle libertà delle persone fisiche coinvolte.
In considerazione di tali violazioni, il garante per la protezione dei dati personali, nell’accertare le suddette violazioni, aveva altresì indicato a Roma capitale le azioni correttive da adottare al fine di eliminare le criticità che l’ autorità aveva riscontrato, ed aveva altresì concesso a Roma capitale il termine di 90 giorni per adeguarsi alle indicazioni fornite.
Durante l’ istruttoria, l’ ente pubblico aveva inviato al garante i propri scritti difensivi in ordine alle contestazioni sollevate dall’autorità ed aveva previsto una serie di interventi volti ad adempiere alle prescrizioni indicate dal garante, fornendo al contempo a quest’ultimo la dimostrazione documentata dei propri adempimenti.
Volume consigliato
Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali
Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder. Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.
Monica Mandico | 2019 Maggioli Editore
32.00 € 30.40 €
La decisione del Garante
Con il provvedimento oggetto di esame, il garante ha concluso l’iter sanzionatorio avviato con il procedimento del 2019 nei confronti di Roma capitale, sanzionando quest’ultima, per le violazioni già accertate, con l’ ingiunzione al pagamento di un importo pari ad euro 500.000.
In particolare, il garante ha confermato le proprie valutazioni effettuate nel 2019, all’ inizio del procedimento, in ordine al fatto che il trattamento dei dati personali, degli utenti e dei dipendenti di Roma capitale, effettuato dall’ente pubblico attraverso il sistema “Tu passi” per la prenotazione e l’ erogazione dei servizi allo sportello, risulta illecito per violazione dei principi in materia di protezione dei dati personali.
Preliminarmente, il garante ha chiarito che, nonostante i fatti di cui si discute fossero iniziati nel 2015, (momento in cui era stato adottato il sistema “Tu passi”), la normativa applicabile al caso di specie, dal punto di vista temporale, è comunque quella di cui al Regolamento europeo per la protezione dei dati personali (GDPR). Infatti, sostiene il garante, il principio di legalità vigente nel nostro ordinamento, secondo cui le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in essere considerati, impone di applicare la normativa vigente nel momento in cui la violazione stata commessa. Tuttavia, precisa il garante, nel caso oggetto di esame, l’ illecito contestato a Roma capitale ha carattere permanente e pertanto il momento di commissione della violazione deve essere individuato in quello in cui la condotta illecita è cessata. Ebbene, tale condotta è cessata soltanto dopo che Roma capitale ha attuato, nel 2019, il provvedimento che era stato emesso dal garante privacy. Ciò significa, che, in tale momento, era pienamente vigente il regolamento europeo per la protezione dei dati personali.
In considerazione di quanto sopra, il garante ha ritenuto applicabile la sanzione amministrativa pecuniaria prevista, appunto, dal regolamento europeo; mentre, non ha ritenuto applicabile una misura correttiva, in considerazione del fatto che la condotta illecita era ormai cessata poiché Roma capitale aveva adottato le misure necessarie indicate dallo stesso garante privacy nel proprio provvedimento del 2019. Conseguentemente, ha chiarito il Garante, il trattamento risulta, allo stato, già conforme alla disciplina in materia di protezione dei dati personali.
In conclusione, il garante è passato a valutare l’ammontare della sanzione amministrativa pecuniaria da infliggere all’ente pubblico.
A tal proposito, da un lato, il garante ha preso in considerazione l’ ingente numero dei soggetti interessati dal trattamento (in particolare, gli utenti e i dipendenti di Roma capitale), i quali hanno utilizzato nel tempo il sistema di prenotazione e gestione degli appuntamenti, nonché la durata del complessivo trattamento illecito, iniziato nel 2015 e concluso nel 2019 (dopo l’adozione delle misure correttive da parte di Roma capitale). Inoltre, il garante ha valutato il comportamento tenuto da Roma capitale durante l’istruttoria, avendo la stessa fornito gli elementi richiesti dall’ufficio attraverso l’invio di numerosa documentazione anche non pertinente rispetto alle richieste dell’autorità, rendendo così più lunga la definizione del procedimento.
Dall’altro lato, tuttavia, il garante ha altresì tenuto in considerazione il fatto che alcune delle violazioni contestate dipendevano dalle specifiche caratteristiche che aveva il sistema che era stato impiegato da Roma capitale per il servizio in questione, il quale, per come era stato progettato dalla società fornitrice del servizio, non permetteva di rispettare alcuni dei principi violati nel caso di specie. In secondo luogo, il garante ha tenuto in considerazione l’impegno che l’ente pubblico ha profuso per conformare alla disciplina in materia di protezione dei dati personali i trattamenti oggetto di contestazione da parte dell’autorità.
Nel bilanciamento di di tutti gli aspetti di cui sopra, il garante è quindi pervenuto alla decisione di sanzionare Roma capitale con l’ingiunzione a carico della stessa di pagare l’importo di euro 500.000.
Volume consigliato
Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali
Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder. Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.
Monica Mandico | 2019 Maggioli Editore
32.00 € 30.40 €
Scrivi un commento
Accedi per poter inserire un commento