SOLO PRO - Sanzione 12000 euro - Contratti via email, mansioni e trattamento noti, amministratori di sistema

Classica situazione semplice: tutti sanno cosa fare, ve ne e’ traccia ma non nei documenti formalmente cercati dal Garante.

• gli accordi via email non bastano

• i trattamenti vanno mansionati, non basta l’informativa

• l’amministratore di sistema tratta anche quando non vede i dati

Provvedimento

Sintesi Gen AI:

Il Garante per la Protezione dei Dati Personali ha elencato i seguenti motivi per sanzionare la Grafiche E. Gaspari S.r.l.:

1. Mancata regolamentazione del rapporto con il Comune di Nepi: La Società non ha regolamentato il rapporto con il Comune di Nepi ai sensi dell’art. 28 del Regolamento (GDPR), nonostante abbia fornito servizi per la gestione del sito web istituzionale del Comune per molti anni.

2. Trattamento dei dati personali senza base giuridica: La Società ha effettuato il trattamento dei dati personali degli utenti del sito web e di altri interessati senza una base giuridica adeguata, in violazione degli artt. 5, par. 1, lett. a), e 6 del Regolamento e dell’art. 2-ter del Codice.

3. Assenza di un contratto o altro atto giuridico: La Società ha sostenuto che la corrispondenza intercorsa con il Comune potesse essere considerata come un contratto ai sensi dell’art. 28 del Regolamento, ma il Garante ha stabilito che il contratto deve presentare forma scritta e recare tutti i contenuti essenziali previsti dalla disposizione.

4. Natura permanente dell’illecito: La violazione è stata considerata permanente fino alla stipula dell’accordo ai sensi dell’art. 28 del Regolamento, avvenuta il 3 novembre 2022, quindi durante la piena vigenza delle disposizioni del Regolamento e del Codice.

5. Obbligo di regolamentazione del rapporto: L’obbligo di regolamentare il rapporto con soggetti che agiscono per conto e nell’interesse del titolare era già previsto dal quadro normativo precedente al Regolamento, e la violazione di tale obbligo comporta trattamenti non conformi alla disciplina di protezione dei dati.

6. Assenza di presupposti di liceità: Non essendo stata individuata la Società come responsabile del trattamento e non essendo stati rinvenuti specifici e autonomi presupposti di liceità, il trattamento dei dati personali è stato effettuato in assenza delle condizioni di liceità previste dal Regolamento e dal Codice.

7. Durata della violazione: La Società ha addivenuto alla stipula di un accordo con il Comune ai sensi dell’art. 28 del Regolamento soltanto in data 3 novembre 2022, pur avendo iniziato a fornire i propri servizi al Comune numerosi anni addietro.

8. Natura e gravità della violazione: La violazione ha riguardato dati personali di tutti gli utenti del sito web istituzionale del Comune nonché degli altri interessati i cui dati personali risultavano ivi pubblicati.

9. Cooperazione con l’Autorità: La Società ha offerto una buona cooperazione con l’Autorità nel corso dell’istruttoria, avendo stipulato un accordo ai sensi dell’art. 28 del Regolamento con il Comune di Nepi.

10. Assenza di precedenti violazioni: Non risultano precedenti violazioni pertinenti commesse dalla Società.

11. Supporto al titolare del trattamento: La Società ha dimostrato un fattivo supporto in favore del titolare del trattamento, attivando specifiche procedure finalizzate a porre rimedio alla violazione imputata al Comune in merito alla diffusione online dei dati contenuti nella graduatoria della procedura concorsuale.

Questi motivi hanno portato il Garante a dichiarare l’illiceità del trattamento effettuato dalla Grafiche E. Gaspari S.r.l. e a ordinare il pagamento di una sanzione amministrativa pecuniaria di euro 12.000, oltre alla pubblicazione del provvedimento sul sito web del Garante.

Le parti rilevanti:

Con un lungo iter argomentativo il Garante afferma che:

• lo scambio di email non e' un contratto sufficiente per la privacy, perche' riguarda terzi che lo devono poter conoscer

• la policy sul sito indica le mansioni concrete, ripeterle sarebbe un formalismo inutile.

• il sysadmin tratta i dati anche quando non li vede

• sanzione 12.000 euro

Quindi la ricostruzione dei rapporti dalle email non basta. Ci vuole un documento con data certa. E ripeterne il contenuto inserendo il nome del documento (mansioni, incarico, ...) relativo in alto.

"A fronte delle contestazioni formulate dal Garante, la Società ha ritenuto che la corrispondenza intercorsa con il Comune dovesse considerarsi “come contratto e, dunque, come uno dei documenti di cui all’art. 28 del Regolamento UE atti a formalizzare la nomina di un responsabile del trattamento […]” sul presupposto dell’applicabilità dell’art. 17 del R.D. 18 novembre 1923, n. 2440 (cfr. nota del 13 novembre 2023) e che “la policy di gestione degli spazi web dei fornitori […dei quali la stessa a sua volta si avvale] renderebbe pleonastica ogni regolamentazione diversa” (cfr. nota del 13 novembre 2023). Al riguardo, il Regolamento stabilisce che il contratto di cui all’art. 28 deve presentare forma scritta e recare tutti i contenuti essenziali espressamente previsti dalla predetta disposizione. Ciò in quanto solo in tal modo l’accordo in questione può garantire un’adeguata regolazione del rapporto tra il titolare e il responsabile del trattamento e, conseguentemente, il soddisfacimento di tutte le garanzie sostanziali connesse (v. cons. n. 81 del Regolamento; v. anche le “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”, adottate dal Comitato europeo per la protezione dei dati il 7 luglio 2021, spec. punto 102).

Tali principi trovavano applicazione anche con riguardo al quadro giuridico antecedente al Regolamento, come precisato dalla Corte di Cassazione (v. Cass., Sez. I Civ., ordinanza n. 21234 del 23 luglio 2021 cit., ancorché in relazione a trattamenti di dati personali in un diverso contesto). Nel confermare un provvedimento del Garante, la Corte, per i profili che rilevano nel caso di specie, ha precisato che “l'accordo intercorrente tra il "titolare" ed il "responsabile" è legislativamente previsto e non è destinato solo a regolare i rapporti inter partes, con valenza meramente interna, sotto il profilo dell'eventuale inadempimento contrattuale - come erroneamente sostiene la ricorrente -, perché la disciplina ivi dettata dal "titolare", in merito alle finalità e alle modalità del trattamento, assurge ad elemento necessario per la qualificazione di "responsabile" nel caso concreto”.

...

"tuttavia lo svolgimento della funzione di “superamministratore” dei profili di accesso al sito web, come confermato dalla stessa Società (cfr. nota del 13 novembre 2013), comporta inevitabilmente, stante la definizione di “trattamento” (art. 4, punto 2), del Regolamento), il coinvolgimento della stessa nel trattamento dei dati personali degli utenti del predetto sito nonché degli altri dati personali ivi pubblicati"