g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Riacetech S.r.l.  - 8 marzo 2018 [9003000]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9003000]

Ordinanza ingiunzione nei confronti di Riacetech S.r.l.  - 8 marzo 2018

Registro dei provvedimenti
n. 147 dell'8 marzo 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale; 

VISTA la nota dell’Unità Lavoro Pubblico e Privato di questa Autorità (prot. n. 17725 del 17 maggio 2017), conclusiva di un procedimento avviato su segnalazione della Direzione Territoriale del Lavoro relativo all’installazione da parte della Riacetech s.r.l. (di seguito “Società”), con sede legale in Civitella in Val di Chiana (AR), Via Pescaiola, 85/G Frazione Viciomaggio, C.F. 01896610514, di un sistema volto al trattamento di dati biometrici dei dipendenti, in cui si è accertato che la Società non ha provveduto ad effettuare “per il periodo in cui il sistema è rimasto in funzione (da luglio 2015 ad aprile 2016)” la dovuta notificazione al Garante prevista dall'articolo 37, comma 1, lettera a) del Codice. Con la suddetta nota il Garante, constatando che il sistema biometrico in questione non era più attivo, ha concluso l’istruttoria preliminare ai sensi dell’art. 11, comma 1, lett. d) del Regolamento n. 1/2007, riservandosi, per quanto riguarda i trattamenti di dati biometrici comunque effettuati in precedenza, “di avviare un autonomo procedimento in relazione all'eventuale sussistenza di violazioni amministrative concernenti l'obbligo di effettuare la notificazione al Garante (art. 37, comma I, lettera a) del Codice)”;

VISTO il verbale nr. 21171 del 13 giugno 2017, che qui si intende integralmente richiamato, con cui è stata contestata alla Società la violazione amministrativa prevista dall’art. 163 del Codice, in relazione all’art. 37 del Codice, informandola della facoltà di effettuare il pagamento in misura ridotta ai sensi dell’art. 16 della legge n. 689/1981;

LETTO il rapporto redatto dall’Ufficio ai sensi dell’art. 17 della legge n. 689/1981, dal quale risulta che il contravventore non ha provveduto al pagamento in misura ridotta per le violazioni contestate; 

VISTA la memoria difensiva del 28 giugno 2017 con cui la parte ha richiamato il Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione dei dati, in vigore da maggio 2016, secondo cui l’istituto della notificazione ha comportato oneri amministrativi e finanziari che non sempre hanno contribuito a migliorare la protezione dei dati personali, “per cui, in osservanza del Considerando 89, è risultato opportuno abolire gli obblighi generali e indiscriminati di notifica e sostituirli con meccanismi e procedure più efficaci” (pag. 2). Inoltre, la parte ha evidenziato l’esigenza sottesa al sistema in esame, per la protezione da accessi non autorizzati ed in considerazione della delicatezza del settore in cui è impegnata (che è quello della “realizzazione di macchinari per il mondo della oreficeria di microfusione” di cui “detiene importanti brevetti”) e che il sistema di accesso in questione era facoltativo e non aveva carattere definitivo “in quanto serviva unicamente, nei confronti dei soli lavoratori che accettavano di utilizzarlo, ad elevare il livello di sicurezza fisica di accesso nella struttura aziendale, in attesa che si completassero i lavori di ristrutturazione della nuova sede” (pag. 3);

RILEVATO che la parte ha prestato acquiescenza alla citata nota dell’Ufficio del 17 maggio 2017 che rappresenta, a tutti gli effetti, un provvedimento amministrativo conclusivo di un procedimento amministrativo a mezzo del quale l’Ufficio del Garante ha compiuto una valutazione di illegittimità del trattamento dei dati oggetto del procedimento medesimo, avendo riscontrato nella fattispecie una condotta non conforme alla disciplina applicabile (art. 11 del citato Regolamento 1/2007). La natura provvedimentale dell’atto in parola, i cui effetti vanno eliminati con impugnazione, è stata confermata peraltro da due sentenze del Tribunale di Roma n. 20867/2013 e n. 9228/2016, che hanno riguardato opposizioni a provvedimenti dirigenziali adottati ex art. 11 del Regolamento n. 1/2007 del Garante, come quello in esame. Posto, quindi, che la nota in questione era soggetta a impugnazione ex art. 152 del Codice nel termine decadenziale di 30 giorni dalla sua comunicazione e che la stessa non è stata impugnata dalla parte, l’accertamento della violazione non poteva essere rimesso in discussione dal titolare del trattamento per aver prestato acquiescenza alla suddetta decisione del 17 maggio 2017 (cfr. anche Trib. Arezzo n. 607/2016 e Trib. Taranto n. 2384/2017);  

RILEVATO che con la predetta nota dell’Ufficio del 17 maggio 2017 su cui la parte ha prestato acquiescenza, è stato accertato che la Società non ha provveduto ad effettuare, per il periodo in cui il sistema è rimasto in funzione (“da luglio 2015 ad aprile 2016”), la dovuta notificazione al Garante prevista dall’art. 37, comma 1, lettera a) del Codice (pag. 2);

RILEVATO che, fatta salva l’acquiescenza prestata dalla parte, anche le argomentazioni addotte dalla parte nel corso del procedimento sanzionatorio non risultano idonee ad escludere la responsabilità della Società in relazione a quanto contestato, si rileva quanto segue.

- Con particolare riferimento all’assunto della parte per cui “i  fatti accaduti sotto la vigenza del nuovo Regolamento (UE) 2016/679 potessero beneficiare degli effetti abrogativi contemplati dalla normativa europea” (pag. 4 della memoria difensiva), si rappresenta, in primo luogo, che l’applicazione del suddetto Regolamento è prevista per il 25 maggio 2018 e che, pertanto, il Regolamento suddetto non può essere preso in considerazione con riferimento alla vicenda in esame. Peraltro, ai sensi dell’art. 1 della legge n. 689/1981 “nessuno può essere assoggettato a sanzioni amministrative se non in forza di una legge che sia entrata in vigore prima della commissione della violazione”. Il sistema biometrico in questione è stato attivo dal luglio 2015 all’aprile 2016, precedentemente quindi all’entrata in vigore del suddetto Regolamento, avvenuta il 24 maggio 2016. Pertanto, il titolare del trattamento era tenuto a provvedere “tempestivamente” alla notificazione ai sensi degli artt. 37 e 38, per non incorrere nella sanzione amministrativa prevista dall’art. 163 del Codice. 

- Con riguardo al carattere non definitivo del sistema in esame, evidenziato dalla Società nel corso del procedimento sanzionatorio per giustificare l’assenza di responsabilità della stessa (a pag. 4 della memoria difensiva si legge che “considerata la natura provvisoria del sistema biometrico necessario, in attesa che terminassero i lavori di ristrutturazione della nuova sede, per garantire ed aumentare il livello di sicurezza della ditta, la compagine aziendale ha ritenuto sussistente quel fumus necessario ad installare il sistema senza procedere a notifica” – pag. 4), deve rilevarsi che la temporaneità del sistema in questione non esonerava comunque il titolare del trattamento dall’obbligo di effettuare la notificazione prescritta dall’art. 37 del Codice e dalla possibilità di incorrere nella sanzione di cui all’art. 163 del Codice, se non avesse provveduto tempestivamente alla stessa, circostanza che si è verificata nella vicenda in esame;

- Con riguardo, poi, alla lamentata “sproporzionalità” dell’entità della sanzione contestata rispetto alla gravità della vicenda tenuto conto della rappresentata buona fede e correttezza da parte della Società nella gestione del trattamento dei dati personali dei propri lavoratori e della circostanza che “il sistema biometrico era comunque facoltativo, in quanto il lavoratore dissenziente a fornire il proprio dato biometrico poteva accedere in azienda da altro ingresso” (pag. 4), va evidenziato che l’importo della sanzione contestata corrisponde a quello ridotto previsto dalla legge (doppio del minimo edittale), in relazione al quale era ammessa l’oblazione ai sensi dell’art. 16 della legge n. 689/1981, che la parte non ha esercitato. Quanto all’evidenziata buona fede della parte, l’art. 3 comma 2 della legge n. 689/1981 pone, peraltro, una presunzione di colpa in ordine al fatto vietato a carico di colui che lo abbia commesso, riservando poi a quest’ultimo l’onere di provare di aver agito incolpevolmente, circostanza che nella fattispecie non si è verificata (tra le tante, Cass. Civ. sez. I n. 2406 dell’8/2/2016, Cass. Civ. sez. II n. 27432 del 9/12/2013, Cass. Civ. sez. lav., n. 19242 del 7/9/2006, Trib. Bergamo, n. 2339 del 14/9/2017). Infine, anche l’aspetto della facoltatività del sistema in questione, come quello della sua non definitività, non esonerava comunque il titolare del trattamento dall’obbligo di effettuare la notificazione prescritta dal Codice;

RILEVATO, pertanto, che la Società in qualità di titolare del trattamento, ai sensi dell’art. 28 del Codice, ha effettuato un trattamento di dati personali omettendo di effettuare la notificazione al Garante, in violazione dell’art. 37 del Codice;

VISTO l’art. 163 del Codice che punisce la violazione della disposizione di cui agli artt. 37 e 38, con la sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge n. 689/1981, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a) in ordine all’aspetto della gravità con riferimento agli elementi dell’entità del pregiudizio o del pericolo e dell’intensità dell’elemento psicologico, la violazione non risulta connotata da elementi specifici;

b) ai fini della valutazione dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, deve considerarsi che il sistema non è più attivo da aprile 2016;

c) circa la personalità dell’autore della violazione, la Società non è stata destinataria di precedenti procedimenti sanzionatori; 

d) in merito alle condizioni economiche dell’agente, il valore della produzione risultante dal bilancio di esercizio della Società al 31 dicembre 2016 è di € 3.274.157  mentre il risultato di esercizio è di € 271.764;

RITENUTO, quindi, di dover determinare, ai sensi dell’art. 11 della legge n. 689/1981, l’ammontare della sanzione pecuniaria,  in ragione dei suddetti elementi valutati nel loro complesso, nella misura di euro 20.000,00 per la violazione di cui all’art. 163 del Codice;

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

ORDINA

alla Riacetech S.r.l. (C.F. 01896610514) con sede legale in Civitella in Val di Chiana (AR) – Frazione Viciomaggio - Via Pescaiola, 85/G, di pagare la somma di euro 20.000,00 (ventimila) a titolo di sanzione amministrativa pecuniaria per la violazione prevista dall’art. 163 del Codice;

INGIUNGE

alla medesima Società di pagare la somma di euro 20.000,00 (ventimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689. 

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 8 marzo 2018

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia

Scheda

Doc-Web
9003000
Data
08/03/18

Argomenti


Tipologie

Ordinanza ingiunzione o revoca