Provvedimento del 26 febbraio 2026 [10233224]
Provvedimento del 26 febbraio 2026 [10233224]
Condividi[doc. web n. 10233224]
Provvedimento del 26 febbraio 2026
Registro dei provvedimenti
n. 122 del 26 febbraio 2026
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente e il dott. Agostino Ghiglia, componente e il dott. Luigi Montuori, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);
VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);
VISTA la segnalazione, presentata dalla Polizia locale del Comune di XX nei confronti di Depac Società Cooperativa Sociale a r.l.;
ESAMINATA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE la prof.ssa Ginevra Cerrina Feroni;
PREMESSO
1. La segnalazione nei confronti della Società e l’attività istruttoria.
In data 18 dicembre 2024, la Polizia locale del Comune di XX ha presentato una segnalazione dinanzi all’Autorità, relativamente al trattamento di dati biometrici di lavoratori che sarebbe effettuato da Depac Società Cooperativa Sociale a r.l. (di seguito, la Società).
Nella segnalazione, è stato rappresentato che, controllando “sia dentro il deposito comunale […] che nel palazzo del Comune […] riscontrava la presenza di due dispositivi elettronici al cui interno vi era la rilevanza delle impronte digitali. I due dispositivi sopra descritti erano collegati all’impianto di fornitura elettrica del Comune e quello del deposito comunale era stato collocato sul bancone da lavoro, mentre quello all’interno del Comune era stato posizionato adiacente al sistema di timbratura elettronico dei dipendenti comunali”.
L’Ufficio ha avviato un’istruttoria preliminare, con nota del 5 febbraio 2025, con cui la Società è stata invitata a fornire informazioni ai sensi dell’art. 157 del Codice sui fatti oggetto di segnalazione a questa Autorità.
La Società non ha fornito riscontro alla richiesta di informazioni predetta.
Per tale ragione, l’Autorità ha delegato il Nucleo speciale privacy e frodi tecnologiche della Guardia di finanza a effettuare la notifica delle violazioni per la violazione dell’art. 157 del Codice e di svolgere accertamenti ispettivi ai sensi degli artt. 157 (Richiesta di informazioni e di esibizione di documenti) e 158 (Accertamenti) del Codice in merito ai fatti oggetto di segnalazione.
In data 4 e 5 giugno 2025, il Nucleo speciale privacy e frodi tecnologiche della Guardia di finanza si è recato presso la sede legale della Società […] per poi spostarsi presso la sede del Comune di XX (PV), luogo in cui sono risultati installati i dispositivi elettronici biometrici, dove è stata effettuata una ricognizione sia negli spazi del Comune sia nel deposito/rimessa del comune.
In proposito, è stato verbalizzato che “negli spazi del comune in argomento e nel deposito/rimessa dello stesso comune, siti rispettivamente in via Roma n. 70 e via Lanzone snc” sono stati rinvenuti “installati due dispositivi elettronici per la rilevazione di impronte digitali posti: il primo immediatamente dopo l’ingresso del comune sulla sinistra, e il secondo all’interno del deposito/rimessa dove vengono parcheggiati i mezzi di lavoro degli operai. I dispositivi risultano, allo stato, funzionanti. La pattuglia estrae copia dei dati contenuti all’interno degli stessi riguardanti i rilevamenti biometrici ottenuti, per il periodo da aprile 2025 ad oggi nei confronti di quattro operai per il dispositivo posto all’interno del deposito/rimessa e di due operai per ciò che concerne quello posto all’ingresso del comune per i mesi da settembre 2024 ad oggi” (v. verbale op. compiute 4/06/2025, p. 3).
Durante l’attività ispettiva, sono state acquisito a verbale le seguenti dichiarazioni (fornite dal responsabile area Lombardia per la Società):
“nel palazzo sede del comune di XX e nel deposito/rimessa dello stesso comune sono installati due dispositivi elettronici di rilevamento delle impronte digitali” (v. verbale op. compiute, 4/06/2025, p. 3);
“la Società ha ad oggi circa 100 dipendenti. Di questi dipendenti sei sono impiegati presso il comune di XX e precisamente: due […] nel palazzo sede del comune di XX e quattro […] nel deposito/rimessa dello stesso comune. I sei dipendenti sono impiegati presso il comune di XX dal 01.08.2024 ad oggi” (v. verbale op. compiute cit., p. 3);
“la nostra Società svolge per il comune di XX servizi di manutenzione e di pulizie. Abbiamo un contratto che ci lega al comune per questi servizi a far data dal 01.08.2024” (v. verbale op. compiute cit., p. 4);
“i nostri dipendenti che prestano servizio presso il comune di XX, nelle due diverse sedi, non prestano la loro opera quotidiana in aree [sensibili, aree dove ci sono processi produttivi pericolosi, luoghi dove vengono custoditi oggetti di valore o documenti segreti o riservati]” (v. verbale op. compiute cit., p. 4);
“la Società per quanto riguarda i dati trattati dagli apparecchi elettronici di rilevamento biometrico riveste il ruolo di Titolare del trattamento” (v. verbale op. compiute 5/06/2025, p. 5);
“gli apparecchi elettronici di rilevamento biometrico risultano funzionanti e attivi a far data dal 01.09.2024. La Società effettua un trattamento di dati biometrici, ma […] solo per il riscontro degli orari di entrata e di uscita dei dipendenti. Non ci interessano come Società altre finalità. Lo abbiamo fatto esclusivamente per una questione di praticità nella rilevazione degli orari e per la precisione del riscontro degli stessi, più volte sollecitato dal comune di XX che provvede ai pagamenti delle ore prestate per loro dai nostri dipendenti. A tal proposito vi fornisco copia della mail attraverso la quale il comune di XX ci chiede una rilevazione precisa e quanto più certa degli orari. Questa richiesta ci ha spinto all’acquisto degli apparecchi elettronici di rilevamento, pensando di fornire al comune un dato più certo possibile. Per quanto attiene alla raccolta dati iniziale, effettuata dalla Società nei confronti dei sei dipendenti interessati dal rilevamento biometrico, la stessa si è configurata esclusivamente con una memorizzazione all’interno dell’apparecchio elettronico dell’impronta digitale di ognuno di loro valutando la corrispondenza del dato biometrico. Tutti i dati raccolti sono esclusivamente all’interno degli apparecchi elettronici e non abbiamo trasferito quei dati in altri database presenti in Società” (v. verbale op. compiute cit., pp. 5, 6);
“le attività di trattamento di dati biometrici, in entrambe le postazioni da voi individuate, sono iniziate a far data dal 01.09.2024” (v. verbale op. compiute cit., p. 6);
“la finalità del trattamento è esclusivamente quella di rilevare gli orari di entrata e di uscita dei sei dipendenti. Non ci sono da parte della nostra Società altre finalità. Capisco che solo per la rilevazione degli orari potevamo usare anche altri strumenti, ma abbiamo optato per la rilevazione biometrica per avere contezza di un dato più certo possibile” (v. verbale op. compiute cit., p. 6);
“i nostri dipendenti interessati al trattamento biometrico presso la sede del comune, nelle due diverse postazioni, sono complessivamente sei. Quattro dipendenti, gli operatori ecologici, si sottopongono al rilevamento all’interno del deposito/rimessa del comune. Le due […] addette alle pulizie interne, si sottopongono al rilevamento biometrico nell’apparecchio appena a sinistra dopo l’entrata nel comune” (v. verbale op. compiute cit., p. 6);
“il sistema di acquisizione di rilevamento delle impronte è un sistema non collegato in rete. Le informazioni immesse nel sistema rimangono solo all’interno dello stesso. […] l’acquisizione iniziale dell’impronta dei sei dipendenti interessati al trattamento è avvenuta con la memorizzazione del dato biometrico di ognuno all’interno dell’apparecchio elettronico per il successivo confronto quotidiano con l’apposizione del dito sullo stesso di ogni dipendente” (v. verbale op. compiute cit., p. 6);
“il comune di XX non ha mai trattato dati biometrici dei nostri dipendenti. Noi non abbiamo mai trasferito al comune i dati biometrici rilevati. Il comune ha continuato a basarsi per la corresponsione dei compensi ai nostri dipendenti sulla scorta di un timbratore che il comune stesso ha lasciato installato a fianco dei rilevatori biometrici da noi successivamente installati. […] Loro si basano ancora su quello. La nostra precisione per il riscontro degli orari forniti al comune ci ha spinto all’installazione anche del rilevatore biometrico per un eccesso di precisione e di riscontro da parte nostra” (v. verbale op. compiute cit., p. 6);
in merito a un’eventuale consegna dell’informativa relativamente al trattamento dei dati biometrici è stato precisato che “non l’ho mai comunicato. Mi sono limitato ad avvertire in via orale del trattamento biometrico al quale avevamo deciso di sottoporre i sei dipendenti, ma da loro, ufficialmente, non ho mai acquisito nessun consenso” (v. verbale op. compiute cit., p. 7);
“vi fornisco l’ordine di acquisto e il relativo manuale delle istruzioni dell’apparecchio [elettronico di rilevamento dei dati biometrici]. Per quanto attiene alla procedura: no, non sono a conoscenza della procedura di memorizzazione interna del dato biometrico e in che modo lo stesso è stato associato al dipendente. Di questa procedura se ne è occupato il tecnico della Società […] che comunque non ricorda precisamente la procedura effettuata” (v. verbale op. compiute cit., p. 7);
con riferimento alla predisposizione di un registro dei trattamenti e alla effettuazione di una valutazione d’impatto per i dati particolari trattati è stato precisato che “stiamo cercando di organizzarci all’interno della nostra società con un consulente privacy che possa darci degli indirizzi precisi in merito. Ma, allo stato, essendo una società di giovane costituzione ancora non abbiamo previsto l’inserimento di questa figura, che ci ripromettiamo di fare quanto prima. Per rispondere in maniera precisa alla vostra domanda, non siamo in grado oggi di fornire i documenti richiesti” (v. verbale op. compiute cit., p. 7).
2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi.
Il 29 settembre 2025, l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione delle presunte violazioni del Regolamento nei confronti di Depac Società Cooperativa Sociale a r.l. con riferimento agli artt. 5, par. 1, lett. a), c), 9, 13, 30, 35, del Regolamento per avere: trattato dati biometrici di dipendenti in assenza di idonea base giuridica, in violazione del principio di minimizzazione, senza avere fornito adeguata informativa sul predetto trattamento, senza avere effettuato una valutazione di impatto e per non avere predisposto un registro delle attività di trattamento. A seguito di ciò, la Società non ha inviato scritti difensivi.
3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.
All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, risulta che la Società, in qualità di titolare, ha effettuato alcune operazioni di trattamento che risultano non conformi alla disciplina in materia di protezione dei dati personali per i motivi di seguito indicati.
In proposito, si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.
3.1 Il quadro normativo di riferimento.
L’art. 4, n. 14, del Regolamento definisce “dati biometrici” i “dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici”.
L’art. 9, par. 2, del Regolamento in materia di trattamento di categorie particolari di dati elenca in modo tassativo le deroghe al divieto di trattamento dei dati personali appartenenti alle categorie particolari (nelle quali rientra anche il dato biometrico) enunciato al paragrafo 1. In particolare il divieto non opera quando “il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. b), del Regolamento).
Il quadro normativo vigente prevede, inoltre, che il trattamento di dati biometrici, per poter essere lecitamente posto in essere, avvenga nel rispetto di “ulteriori condizioni, comprese limitazioni” (cfr. art. 9, par. 4, del Regolamento); a tale disposizione è stata data attuazione, nell’ordinamento nazionale, con l’art. 2-septies (Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute) del Codice (come modificato dal decreto legislativo 10 agosto 2018 n. 101 di adeguamento della normativa nazionale alle disposizioni del Regolamento). La norma prevede che è lecito il trattamento di tali categorie di dati al ricorrere di una delle condizioni di cui all’art. 9, par. 2, del Regolamento “ed in conformità alle misure di garanzia disposte dal Garante”, in relazione a ciascuna categoria dei dati.
Il datore di lavoro, titolare del trattamento, quando effettua un trattamento di dati, è, in ogni caso, tenuto a rispettare i principi di “liceità, correttezza e trasparenza”, “limitazione delle finalità”, “minimizzazione” nonché “integrità e riservatezza” dei dati e “responsabilizzazione” (art. 5 del Regolamento).
L’art. 13 del Regolamento prevede che il titolare è tenuto a fornire all’interessato tutte le informazioni relative alle caratteristiche essenziali del trattamento prima che questo abbia inizio. Nell’ambito del rapporto di lavoro l’obbligo di informare il lavoratore è altresì espressione del principio generale di correttezza dei trattamenti (art. 5, par. 1, lett. a) del Regolamento).
In base all’art. 30 del Regolamento il titolare del trattamento è obbligato a tenere un registro delle attività di trattamento svolte sotto la propria responsabilità, comprendente anche le categorie dei dati personali trattati.
L’art. 35 del Regolamento prevede che “quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali”.
L’art. 157 del Codice dispone che “nell'ambito dei poteri di cui all'articolo 58 del Regolamento, e per l'espletamento dei propri compiti, il Garante può richiedere al titolare, al responsabile, al rappresentante del titolare o del responsabile, all'interessato o anche a terzi di fornire informazioni e di esibire documenti anche con riferimento al contenuto di banche di dati”.
3.2 Violazione dell’art. 157 del Codice.
A seguito della richiesta di informazioni, avanzata dall’Ufficio ai sensi dell’art. 157 del Codice in data 5 febbraio 2025, regolarmente consegnata, la Società non ha inviato alcun riscontro.
Ciò ha reso necessario delegare il Nucleo speciale privacy e frodi tecnologiche della Guardia di finanza a effettuare la notifica delle violazioni per la violazione dell’art. 157 del Codice e di svolgere accertamenti ispettivi ai sensi degli artt. 157 (Richiesta di informazioni e di esibizione di documenti) e 158 (Accertamenti) del Codice in merito ai fatti oggetto di segnalazione.
L’assenza di riscontro alla richiesta, inviata dall’Ufficio ai sensi dell’art. 157 del Codice, comporta la violazione della norma stessa.
3.3 Violazione degli artt. 5, par. 1, lett. a), c) e 9 del Regolamento.
Nel merito, è emerso che la Società ha utilizzato un sistema biometrico, basato sull’impronta digitale, a partire dal 1° settembre 2024 (data in cui è stato attivato il sistema, secondo quanto dichiarato dalla Società, costituito da due dispositivi elettronici, rispettivamente installati presso il palazzo della sede del comune di XX e nel deposito/rimessa dello stesso comune), finalizzato alla rilevazione della presenza in servizio dei dipendenti. Non vi è evidenza del fatto che il sistema sia stato dismesso, neanche a seguito dell’accertamento ispettivo.
In proposito, la Società ha dichiarato che “effettua un trattamento di dati biometrici, ma […] solo per il riscontro degli orari di entrata e di uscita dei dipendenti. Non ci interessano come Società altre finalità. Lo abbiamo fatto esclusivamente per una questione di praticità nella rilevazione degli orari e per la precisione del riscontro degli stessi, più volte sollecitato dal comune di XX che provvede ai pagamenti delle ore prestate per loro dai nostri dipendenti. […] Questa richiesta ci ha spinto all’acquisto degli apparecchi elettronici di rilevamento, pensando di fornire al comune un dato più certo possibile” (v. verbale op. compiute 5/06/2025, pp. 5,6). Il trattamento ha riguardato 6 interessati, lavoratori della Società.
Tale trattamento si pone in contrasto con quanto previsto dagli artt. 5, par. 1, lett. a), e 9 del Regolamento, per i motivi di seguito indicati.
Come chiarito dall’Autorità, vi è trattamento di dati biometrici sia nella fase di registrazione (c.d. enrolment), consistente nella acquisizione delle caratteristiche biometriche dell’interessato (v. punti 6.1 e 6.2 dell’allegato A al provvedimento del Garante del 12 novembre 2014, n. 513, in www.garanteprivacy.it, doc. web n. 3556992), sia nella fase di riconoscimento biometrico, all’atto della rilevazione delle presenze (v. anche punto 6.3 dell’allegato A al citato provvedimento).
In base alla disciplina posta in materia di protezione dei dati personali, il trattamento di dati biometrici (di regola vietato ai sensi dell’art. 9, par. 1 del Regolamento) è consentito esclusivamente qualora ricorra una delle condizioni indicate dall’art. 9, par. 2 del Regolamento e, con riguardo ai trattamenti effettuati in ambito lavorativo, solo quando il trattamento sia “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. b), del Regolamento; v. pure, art. 88, par. 1 e cons. 51-53 del Regolamento).
Pertanto, sebbene nel contesto lavorativo le finalità di rilevazione delle presenze dei dipendenti e di verifica dell’osservanza dell’orario di lavoro possano rientrare nell’ambito di applicazione dell’art. 9, par. 2, lett. b) del Regolamento, tuttavia il trattamento dei dati biometrici sarà consentito solo “nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri […] in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. b), e cons. nn. 51-53 del Regolamento).
Tenuto anche conto di quanto previsto dall’art. 2-septies del Codice, l’ordinamento vigente non consente il trattamento di dati biometrici dei dipendenti per finalità di rilevazione della presenza in servizio.
Ciò è stato ribadito dal Garante, tra l’altro, con i provvedimenti n. 109 del 22 febbraio 2024 (doc. web n. 9995785), n. 106 del 22 febbraio 2024 (doc. web n. 9995701), n. 369 del 10 novembre 2022 (doc. web n. 9832838) e n. 16 del 14 gennaio 2021 (doc. web n. 9542071).
Inoltre, si osserva che l’utilizzo del dato biometrico nel contesto dell’ordinaria gestione del rapporto di lavoro (quale è l’attività di rilevazione delle presenze), al dichiarato fine di riscontrare gli orari di entrata e di uscita dei dipendenti dal luogo di lavoro non è conforme ai principi di minimizzazione e proporzionalità del trattamento (art. 5 del Regolamento), tenuto conto che i medesimi obiettivi possono essere utilmente perseguiti con strumenti meno invasivi per i diritti degli interessati.
La stessa Società ha affermato che, per perseguire la finalità di rilevazione dell’orario di lavoro, avrebbe potuto utilizzare altri strumenti (v. verbale op. compiute 5/06/2025, p. 6).
Si sottolinea, in proposito, altresì, che la Società ha anche dichiarato che per la corresponsione dei compensi ai dipendenti di quest’ultima, il Comune stesso ha fatto riferimento ai dati del timbratore installato di fianco ai rilevatori biometrici (v. verbale op. compiute 5/06/2025, p. 6).
Il trattamento di dati biometrici dei propri dipendenti effettuato dalla Società risulta pertanto essere stato effettuato in assenza di un’idonea base giuridica, in violazione degli artt. 5, par. 1, lett. a) e 9 del Regolamento, e in violazione del principio di minimizzazione dei dati di cui all’art. 5, par. 1, lett. c), del Regolamento.
3.4 Violazione dell’art. 13 del Regolamento.
Il trattamento predetto è avvenuto anche in assenza di un’informativa idonea a rappresentare agli interessati le principali caratteristiche del trattamento, in violazione dell’art. 13 del Regolamento (v. verbale 5/06/2025 dove la Società, in merito a un’eventuale consegna dell’informativa relativamente al trattamento dei dati biometrici, ha precisato che “non l’ho mai comunicato. Mi sono limitato ad avvertire in via orale del trattamento biometrico al quale avevamo deciso di sottoporre i sei dipendenti, ma da loro, ufficialmente, non ho mai acquisito nessun consenso” (v. verbale op. compiute cit., p. 7);
Ciò anche considerando che, nell’ambito del rapporto di lavoro, l’obbligo di informare il dipendente è altresì espressione del dovere di correttezza ex art. 5, par. 1, lett. a) del Regolamento.
In proposito si osserva, comunque e in ogni caso, che i documenti contenenti l’informativa devono rappresentare operazioni di trattamento conformi alla disciplina di protezione dei dati personali.
La Società ha dunque violato gli artt. 5, par. 1, lett. a), e 13 del Regolamento.
3.5 Violazione dell’art. 35 del Regolamento.
Pur avendo adottato un sistema di autenticazione biometrica, per finalità di rilevazione delle presenze dei propri dipendenti che svolgono l’attività lavorativa presso la sede del comune di XX, quindi un sistema che tratta dati appartenenti a categorie particolari di dati di interessati quali i lavoratori, la Società non ha provveduto ad effettuare una valutazione di impatto prima dell’inizio dei trattamenti stessi.
In proposito, si rileva che, in base al Regolamento, quando un trattamento “allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali” (art. 35, par. 1 del Regolamento).
La Società ha pertanto violato l’art. 35 del Regolamento.
3.6 Violazione dell’art. 30 del Regolamento.
È emerso, altresì, che la Società, pur effettuando trattamenti di dati, tra l’altro anche di dati appartenenti categorie particolari di dati, non ha predisposto un registro delle attività di trattamento.
Tale adempimento è richiesto sia nel caso di trattamento di dati c.d. comuni sia nel caso di trattamento di dati c.d. particolari.
L’assenza della predisposizione di un registro delle attività di trattamento, da parte della Società, risulta in contrasto con quanto stabilito dall’art. 30 del Regolamento in base al quale “ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità”.
4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.
Per i suesposti motivi, l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento, nel corso dell’istruttoria, non consentano di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Il trattamento dei dati personali effettuato dalla Società e, segnatamente, il trattamento dei dati biometrici (impronte digitali) di sei dipendenti per la rilevazione della presenza in servizio, risulta infatti illecito in relazione agli artt. 5, par. 1, lett. a), c), 9, 13, 30 e 35 del Regolamento. È inoltre stato accertato che la Società ha violato l’art. 157 del Codice.
La violazione accertata nei termini di cui in motivazione non può essere considerata “minore”, tenuto conto della natura delle plurime violazioni accertate, che hanno riguardato i principi generali del trattamento dei dati con riferimento al trattamento di dati appartenenti a categorie particolari di dati, l’obbligo di fornire un’adeguata informativa agli interessati, la predisposizione del registro delle attività di trattamento e la effettuazione di una valutazione d’impatto ai sensi dell’art. 35 del Regolamento con riferimento al trattamento in esame nonché la violazione dell’art. 157 del Codice.
Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento si dispone il divieto del trattamento dei dati raccolti illecitamente (art. 58, par. 2, lett. f, del Regolamento), la cancellazione dei dati biometrici raccolti (art. 58, par. 2, lett. g, del Regolamento), l’irrogazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) Regolamento).
5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).
All’esito del procedimento, risulta pertanto accertato che Depac Società Cooperativa Sociale a r.l. ha violato gli artt. 5, par. 1, lett. a), c), 9, 13, 30, 35 del Regolamento e 157 del Codice.
Per la violazione delle predette disposizioni, è prevista l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 4, lett. a), par. 5, lett. a) e b) del Regolamento, mediante adozione di un’ordinanza ingiunzione (art. 18, l. 24.11.1981, n. 689).
Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83 del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. L. 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali posto in essere dalla Società, di cui è stata accertata l’illiceità, nei termini sopra esposti.
Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.
L’Autorità, alla luce delle Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR adottate in data 24 maggio 2023, alle quali sono state apportate lievi modifiche in data 29 giugno 2023, ha altresì tenuto conto del livello elevato di gravità della violazione alla luce di tutti i fattori rilevanti nel caso concreto, e in particolare la natura, la gravità e la durata della violazione, tenendo in considerazione la natura, l'oggetto o la finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito.
L’Autorità ha altresì preso in considerazione i criteri relativi al carattere doloso o colposo della violazione e le categorie di dati personali interessate dalla violazione nonché la maniera in cui l'autorità di controllo ha preso conoscenza della violazione (v. art. 83, par. 2 e Considerando 148 del Regolamento).
Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, ritenuto che il livello di gravità della violazione sia elevato, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:
a) in relazione alla natura della violazione, questa ha riguardato fattispecie punite più severamente ai sensi dell’art. 83, par. 5 del Regolamento (principi generali del trattamento relativamente a dati appartenenti a categorie particolari di dati, obbligo di informativa, violazione dell’art. 157 del Codice); in relazione alla gravità della violazione è stata presa in considerazione la natura del trattamento che ha riguardato dati appartenenti a categorie particolari di dati (impronte digitali) relativi a lavoratori;
b) con riguardo alla durata della violazione, è stata considerata la durata della violazione, a partire dal 1° settembre 2024, trattamento non interrotto; è stato altresì considerato il numero di interessati coinvolti pari a 6;
c) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare, è stata presa in considerazione la condotta negligente della Società e il grado di responsabilità della stessa che non si è conformata alla disciplina in materia di protezione dei dati relativamente a una pluralità di disposizioni;
d) si è tenuto conto del fatto che il titolare sia una società cooperativa.
Si ritiene inoltre che assumano rilevanza, nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base al valore della produzione conseguito dalla Società con riferimento al bilancio abbreviato d’esercizio per l’anno 2024, ultimo disponibile.
Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Depac Società Cooperativa Sociale a r.l. la sanzione amministrativa del pagamento di una somma pari a euro 15.000 (quindicimila).
In tale quadro si ritiene che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l’ordinanza ingiunzione sul sito Internet del Garante.
Ciò in considerazione della tipologia delle violazioni accertate che hanno riguardato il trattamento di dati appartenenti a categorie particolari di dati di dipendenti in assenza di idonea condizione di liceità e di adeguata informativa, nonché in violazione del principio di minimizzazione, in assenza di una valutazione di impatto e senza che sia stato redatto un registro delle attività di trattamento. è stato inoltre violato l’art. 157 del Codice.
TUTTO CIÒ PREMESSO, IL GARANTE
ai sensi dell’art. 57, par. 1, lett. f) e 83 del Regolamento, rileva l’illiceità del trattamento effettuato da Depac Società Cooperativa Sociale a r.l., in persona del legale rappresentante, con sede legale in Via Ciro Menotti, 19, Arcore (MB), C.F. 03533220129, nei termini di cui in motivazione, per la violazione degli artt. 5, par. 1, lett. a), c), 9, 13, 30, 35 del Regolamento e 157 del Codice;
ORDINA
a Depac Società Cooperativa Sociale a r.l.:
- ai sensi dell’art. 58, par. 2, lett. f), del Regolamento, il divieto dell’ulteriore trattamento dei dati biometrici dei dipendenti raccolti e conservati;
- ai sensi dell’art. 58, par. 2, lett. g), del Regolamento la cancellazione dei dati biometrici dei dipendenti raccolti e conservati entro 60 giorni dalla notifica del presente provvedimento; si chiede a Depac Società Cooperativa Sociale a r.l. di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto disposto con il presente provvedimento e di fornire comunque riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice, entro il termine di 60 giorni dalla notifica del presente provvedimento; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 5, lett. e), del Regolamento;
- ai sensi dell’art. 58, par. 2, lett. i) del Regolamento, di pagare la somma di euro 15.000 (quindicimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;
INGIUNGE
quindi alla medesima Depac Società Cooperativa Sociale a r.l. di pagare la predetta somma di euro 15.000 (quindicimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);
DISPONE
- ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito Internet del Garante;
- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del garante n. 1/2019, la pubblicazione del presente provvedimento sul sito Internet del Garante;
- ai sensi dell’art. 17 del Regolamento n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.
Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.
Roma, 26 febbraio 2026
IL PRESIDENTE
Stanzione
IL RELATORE
Cerrina Feroni
IL SEGRETARIO GENERALE
Montuori
