[doc. web n. 4261166]
Ordinanza di ingiunzione nei confronti di San Bartolo s.r.l. – 25 giugno 2015
Registro dei provvedimenti
n. 381 del 25 giugno 2015
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;
RILEVATO che, a fronte di una segnalazione inviata al Garante, il Nucleo speciale privacy della Guardia di finanza, in esecuzione di una richiesta di informazioni ai sensi dell’art. 157 del Codice (prot. nr. 30138/83031 del 29 novembre 2012) formulata da questa Autorità, ha svolto gli accertamenti di cui al verbale di operazioni compiute datato 20 e 21 febbraio 2013, dai quali è risultato che la San Bartolo s.r.l. P.I.: 02113190785, con sede in Cosenza, piazza F. Crispi n. 6, ha effettuato un trattamento di dati biometrici per la rilevazione delle presenze dei propri dipendenti senza aver presentato la notificazione al Garante ai sensi dell’art. 37, comma 1, lett. a), del Codice, omettendo altresì di richiedere, sulla base di quanto previsto nelle “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati” (adottate dal Garante il 23 novembre 2006 e pubblicate in G.U. n. 285 del 7 dicembre 2006, nonché in www.garanteprivacy.it, doc. web n. 1364099) una verifica preliminare al Garante ai sensi dell’art. 17 del Codice;
VISTO il verbale nr. 11/2013 del 28 febbraio 2013 (che qui si intende integralmente richiamato) con cui sono state contestate alla predetta società le violazioni amministrative previste dagli artt. 162, comma 2-bis, nonché dall’art. 163 del Codice, in relazione, rispettivamente, agli artt. 17 e 37, informandola della facoltà di effettuare il pagamento in misura ridotta ai sensi dell’art. 16 della legge n. 689/1981;
ESAMINATO il rapporto del Nucleo speciale privacy della Guardia di finanza predisposto ai sensi dell’art. 17 della legge 24 novembre 1981, n. 689 dal quale non risulta essere stato effettuato il pagamento in misura ridotta per i due rilievi contestati;
VISTO lo scritto difensivo, datato 9 aprile 2013, inviato ai sensi dell’art. 18 della legge n. 689/1981 nel quale la società, relativamente alla contestazione concernente l’omessa notificazione, ha osservato come “(…) i relativi dati raccolti (template) sono risultati conservati su apposite smart card anonime (…) nell’esclusiva disponibilità dei dipendenti stessi e che nessun dato biometrico rimaneva ed è mai rimasto nella disponibilità della società”. Riguardo la contestazione inerente il mancato adempimento all’obbligo di verifica preliminare, “(…) la società ha ritenuto la necessità di utilizzare un sistema di rilevazione biometrica delle presenze, essendo presenti nelle due strutture (…) locali di conservazione di medicinali a base di oppiacei (…)”;
VISTO il verbale dell’audizione delle parti redatto in data 9 settembre 2013, ai sensi dell’art. 18 della legge n. 689/1981, nel quale la società, nel ribadire quanto argomentato nella memoria difensiva, ha evidenziato come, a fronte di una situazione analoga a quella in trattazione, l’Autorità, con il provvedimento n. 4 del 10 gennaio 2013 nei confronti di un distinto titolare del trattamento, “(…) ha ritenuto lecito il trattamento di dati biometrici nell’ambito del rapporto di lavoro (…)”;
RITENUTO che le argomentazioni addotte non risultano idonee ad escludere la responsabilità della società in relazione a quanto contestato. Relativamente all’obbligo di notificazione al Garante di cui all’art. 37, comma 1, lett. a), del Codice, si evidenzia come, diversamente da quanto ritenuto, il sistema utilizzato dalla società, che rileva parte dell’impronta digitale dell’interessato e la trasforma in un codice alfanumerico tramite il c.d. enrollment, convertendola in un template, effettua un trattamento di dati personali di cui all’art. 4, comma 1 lett.b) del Codice. Di conseguenza sussiste, ai sensi dell’art. 37, comma 1 lett. a) del Codice, l’obbligo di notificazione al Garante. Riguardo il mancato adempimento all’obbligo di verifica preliminare, si evidenzia come, per effetto di quanto stabilito al punto 4.1 (ultimo capoverso) delle “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati”, l’utilizzo di dati biometrici è giustificato solo in casi particolari e, con specifico riferimento ai luoghi di lavoro, solo a presidio di accessi ad aree sensibili, in ragione della natura delle attività svolte dal titolare del trattamento. Nel caso di specie tale previsione non è stata attuata, atteso che la società non ha utilizzato il sistema di rilevazione delle presenze in argomento limitatamente ad “aree sensibili” distinte rispetto agli altri locali nei quali le maggiori esigenze di sicurezza non sono giustificate. Si evidenzia, inoltre, l’inconferenza del richiamato provvedimento dell’Autorità n. 4 del 10 gennaio 2013, atteso che il dato biometrico oggetto del provvedimento non è, come nel caso che ci occupa, l’impronta digitale, bensì la geometria della mano, riguardo la quale, così come esplicitato nel medesimo provvedimento citato, “(…) questa Autorità ha già avuto modo di affermare che le caratteristiche geometriche della mano, a differenza delle impronte digitali (utilizzabili anche in altri contesti con effetti sugli interessati), non sono descrittive al punto tale da garantire l’identificazione univoca e certa di una persona, ma sono, comunque, sufficientemente descrittive per essere impiegate in circoscritti ambiti ai fini della verifica di identità (cfr. Provv. Garante 8 novembre 2007, doc. web n. 1461908)”;
RILEVATO, quindi, che la società ha effettuato un trattamento di dati biometrici per la rilevazione delle presenze dei dipendenti senza presentare la notificazione di cui all’art. 37, comma 1, lett. a) del Codice, omettendo altresì di richiedere una verifica preliminare al Garante ai sensi dell’art. 17 del Codice;
VISTO l’art. 162, comma 2-bis, del Codice, che punisce la violazione delle disposizioni indicate nell’art. 167 del Codice, tra le quali quelle di cui all’art. 17 del medesimo Codice, con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;
VISTO l’art. 163 del Codice che punisce la violazione delle disposizioni di cui agli art. 37 e 38 con la sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro;
RITENUTO, in ogni caso, che, per la sola sanzione di cui all’art. 162, comma 2-bis del Codice, sussistono gli elementi che consentono di applicare la previsione di cui all’art. 164-bis, comma 1, del Codice;
CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge 24 novembre 1981 n. 689, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore e che pertanto l’ammontare della sanzione pecuniaria di cui all’art. 162, comma 2-bis del Codice, in combinato disposto con l’art. 164-bis, comma 1 del Codice, deve essere quantificata nella misura di euro 4.000,00 (quattromila), mentre l’ammontare della sanzione pecuniaria di cui all’art. 163 del Codice deve essere quantificata nella misura di euro 20.000,00 (ventimila), per un importo complessivo pari a euro 24.000,00 (ventiquattromila);
VISTA la documentazione in atti;
VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;
VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;
RELATORE la dott.ssa Augusta Iannini;
ORDINA
alla San Bartolo s.r.l. P.I.: 02113190785, con sede in Cosenza, piazza F. Crispi n. 6, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 24.000,00 (ventiquattromila) a titolo di sanzione amministrativa pecuniaria per le due violazioni previste dagli artt. 162, comma 2-bis e 163 del Codice;
INGIUNGE
al medesimo soggetto di pagare la somma di euro 24.000,00 (ventiquattromila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689.
Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.