Ordinanza di ingiunzione nei confronti di Regione Calabria – 2 aprile 2015
Registro dei provvedimenti
n. 199 del 2 aprile 2015
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;
RILEVATO che la Regione Calabria C.F. 02205340793, con sede in Catanzaro, via Molè n. 79, a fronte della richiesta di informazioni n. 15753/69261 del 28 luglio 2011 formulata dall’Ufficio del Garante ai sensi dell’art. 157 del d. lgs. 30 giugno 2003 n. 196, recante il Codice in materia di protezione dei dati personali (di seguito “Codice”) e ritualmente notificata, non ha fornito alcun elemento idoneo a riscontrare le specifiche richieste formulate, così come accertato nella nota n. 4383/69261 del 20 febbraio 2012;
RILEVATO, altresì, che nel prosieguo dell’attività istruttoria resosi necessario a causa del mancato riscontro della Regione Calabria alla citata richiesta di informazioni ai sensi dell’art. 157 del Codice, l’Ufficio del Garante ha svolto accertamenti presso la Regione, come riportato nei verbali di operazioni compiute del 28-30 gennaio 2013, da cui, successivamente, è risultato che la medesima, in qualità di titolare del trattamento: 1) non ha provveduto, con particolare riferimento al Settore Organizzazione e giuridico del Dipartimento Organizzazione e personale, a designare gli incaricati del trattamento ai sensi dell’art. 30 del Codice; 2) nel “Disciplinare per l’utilizzo delle risorse informatiche, di rete e software della Regione Calabria” viene data parziale attuazione solamente ad alcune delle regole sull’autenticazione informatica previste dal disciplinare tecnico in materia di misure minime di sicurezza – Allegato B) al Codice; 3) le postazioni di lavoro affidate al personale possono essere utilizzate a fronte di una generale disapplicazione delle regole previste dal citato Allegato B) al Codice, in violazione degli artt. 33 e 34 del Codice;
VISTO il verbale n. 4511/69261 del 21 febbraio 2012 redatto dall’Ufficio del Garante, con cui è stata contestata alla Regione Calabria, in qualità di titolare del trattamento, la violazione amministrativa prevista dall’art. 164, in relazione all’art. 157 del Codice, informandola della facoltà di effettuare il pagamento in misura ridotta ai sensi dell’art. 16 della legge 24 novembre 1981, n. 689;
ESAMINATO il rapporto predisposto ai sensi dell’art. 17 della legge 24 novembre 1981, n. 689, dal quale risulta che non è stato effettuato il pagamento in misura ridotta;
VISTO il verbale n. 9141/69261 dell’11 aprile 2013 redatto dall’Ufficio del Garante, con cui è stata contestata alla Regione Calabria, in qualità di titolare del trattamento, la violazione amministrativa prevista dall’art. 162, comma 2-bis, in relazione all’art. 33 del Codice, per la quale non è prevista la definizione in via breve ai sensi dell’art. 16 della legge n. 689/1981;
VISTI gli scritti difensivi datati 22 aprile 2013 e 9 maggio 2013 afferenti la sola contestazione di cui all’art. 162, comma 2-bis del Codice, redatti ai sensi dell’art. 18 della legge n. 689/1981 nei quali la Regione, rilevando come “(…) al Settore Organizzazione e Giuridico del Dipartimento Organizzazione e Personale, viene (…) contestata la violazione delle disposizioni di cui all’art. 27 e 28 del sopracitato disciplinare (Allegato B) al Codice) relative al solo trattamento di dati senza l’ausilio di strumenti elettronici”, indica come il Regolamento approvato dal Consiglio Regionale con Delibera n. 93 dell’11 ottobre 2006 garantisca la “(…) massima tutela (…) in riferimento ai dati sensibili e giudiziari oggetto del regolamento (…)” illustrando le relative procedure;
RITENUTO che le argomentazioni addotte non risultano idonee in relazione a quanto contestato. Quanto dedotto dalla Regione è inconferente, atteso che le argomentazioni prodotte non hanno attinenza con le specifiche condotte omissive costituenti inosservanza delle regole puntualmente individuate e descritte nel verbale di contestazione;
RILEVATO, quindi, che la Regione Calabria, in qualità di titolare del trattamento, non ha fornito alcun riscontro alla richiesta di informazioni formulata dal Garante ai sensi dell’art. 157 del Codice e non ha provveduto, con particolare riferimento al Settore Organizzazione e giuridico del Dipartimento Organizzazione e personale, a designare gli incaricati del trattamento ai sensi dell’art. 30 del Codice; 2) nel “Disciplinare per l’utilizzo delle risorse informatiche, di rete e software della Regione Calabria” viene data parziale attuazione solamente ad alcune delle regole sull’autenticazione informatica previste dal disciplinare tecnico in materia di misure minime di sicurezza – Allegato B) al Codice; 3) le postazioni di lavoro affidate al personale possono essere utilizzate a fronte di una generale disapplicazione delle regole previste dal citato Allegato B) al Codice, omettendo, quindi, di adottare le misure minime di sicurezza di cui all’art. 33 del Codice;
VISTO l’art. 162, comma 2-bis, del Codice che punisce la violazione delle disposizioni indicate nell’art. 33 del Codice con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;
VISTO l’art. 164 del Codice che punisce la violazione delle disposizioni di cui all’art. 157 del medesimo Codice con la sanzione amministrativa del pagamento di una somma da diecimila euro fino a sessantamila euro;
CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge 24 novembre 1981 n. 689, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;
RITENUTO, pertanto, di dover determinare, ai sensi dell’art. 11 della legge 24 novembre 1981, n. 689, l’ammontare della sanzione pecuniaria per la violazione di cui all’art. 162, comma 2-bis, del Codice, nella misura di euro 60.000,00 (sessantamila) in ragione del fatto che l’ampia disapplicazione delle misure minime di sicurezza da parte di un ente pubblico di tale livello deve essere considerata oggettivamente grave, mentre, l’ammontare della sanzione pecuniaria per la violazione di cui all’art. 164 del Codice, nella misura di euro 20.000,00 (ventimila), poiché la mancata risposta alla richiesta di informazioni ha reso necessario un aggravio della fase istruttoria consistente anche in un accertamento ispettivo in loco, per un importo complessivo delle due sanzioni pari a euro 80.000,00 (ottantamila);
VISTA la documentazione in atti;
VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;
VISTE le osservazioni dell’Ufficio, formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE la dott.ssa Augusta Iannini;
ORDINA
alla Regione Calabria C.F. 02205340793, con sede in Catanzaro, via Molè n. 79, in persona del legale rappresentante pro-tempore di pagare la somma di euro 80.000,00 (ottantamila) a titolo di sanzione amministrativa pecuniaria per le violazioni di cui all’art. 162, comma 2-bis, come indicato in motivazione;
INGIUNGE
alla medesima Regione di pagare la somma di euro 80.000,00 (ottantamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689.
Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.
Roma, 2 aprile 2015