[doc. web n. 10109794]

Provvedimento del 19 dicembre 2024

Registro dei provvedimenti
n. 835 del 19 dicembre 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il Prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Claudio Filippi vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTA la nota del 18 gennaio 2024 con cui il Comando dei Carabinieri per la tutela della Salute - N.A.S. di Treviso segnalava la presenza di un impianto di videosorveglianza non conforme alla normativa in materia di protezione dei dati personali;

VISTO il verbale del controllo effettuato in data 16 gennaio 2024 dai Carabinieri del N.A.S., presso il Centro Medico Green Life S.r.l.;  

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. La segnalazione.

Con la nota del 18 gennaio 2024 il Comando dei Carabinieri per la tutela della Salute - N.A.S. di Treviso informava questa Autorità che presso il poliambulatorio Centro Medico Green Life S.r.l (di seguito “la Società”), era funzionante un impianto di videosorveglianza, costituito da quattro telecamere esterne e una interna.

Secondo quanto riportato nell’allegato verbale relativo all’accertamento effettuato in data 16 gennaio 2024, l’impianto non era segnalato da cartelli informativi e inoltre non era stata richiesta la autorizzazione dell’Ispettorato del Lavoro, a fronte della presenza di un lavoratore dipendente.

2. La notifica delle violazioni e le memorie difensive.

Con la nota del 23 aprile 2024, l’Ufficio inviava al titolare del trattamento la comunicazione di avvio del procedimento per la violazione degli artt. 5, par. 1, lett. a) e 13 del Regolamento, invitandolo a produrre eventuali memorie difensive.

La società, con la comunicazione del 23 maggio 2024, dichiarava che “All’atto dell’ispezione 16/01/2024, ad opera dei N.A.S. di Treviso, il sistema delle telecamere era attivo da qualche settimana e gestito dall’ App in possesso del solo installatore, Michelin Walter della ELETTRO2000 S.n.c. Le telecamere esterne avevano il relativo puntamento limitato al confine di proprietà del pedaggio e non erano puntate all’esterno di esso. (fotografie allegate). Come risulta dal verbale di controllo dei N.A.S. il Michelin Walter ha provveduto alla rimozione della telecamera interna e allo spegnimento di tutto il sistema in contesto”.

La Società precisava, inoltre, di aver provveduto in data 29 aprile 2024 a richiedere l’autorizzazione all’ispettorato del lavoro e di aver installato i cartelli informativi della presenza delle telecamere, “non funzionanti sino al ricevimento dell’autorizzazione”, di cui ha prodotto documentazione fotografica, evidenziando che all’interno del centro medico non sarebbe stato installato alcun dispositivo audiovisivo.

3. L’esito dell’istruttoria.

Dal verbale di accertamento redatto dai carabinieri del N.A.S. di Treviso è emerso che, al momento del controllo, l’impianto di videosorveglianza installato presso la Società era funzionante e sprovvisto delle informative circa la presenza delle telecamere, richieste dall’art. 13 del Regolamento.

Tale condotta si pone in contrasto con quanto stabilito dall’art. 13 del Regolamento, in base al quale il titolare del trattamento è tenuto a fornire all’interessato tutte le informazioni relative alle caratteristiche essenziali del trattamento, nonché in violazione del principio generale di liceità e trasparenza del trattamento, di cui all’art. 5, par. 1, lett. a) del medesimo Regolamento.

L’utilizzo di sistemi di videosorveglianza determina un trattamento di dati personali ai sensi dell’art. 4, par. 1, n. 2, del Regolamento, che deve essere effettuato nel rispetto dei principi generali contenuti nell’art. 5 del Regolamento e, in particolare del principio di trasparenza che presuppone che “gli interessati devono essere sempre informati che stanno per accedere in una zona videosorvegliata”.

A tale scopo, quindi, occorre che il titolare del trattamento predisponga idonei cartelli informativi secondo le indicazioni contenute al punto 3.1. del provvedimento in materia di videosorveglianza - 8 aprile 2010 [1712680] (in tal senso anche le Faq in materia di videosorveglianza, pubblicate sul sito web dell’Autorità) affinché gli interessati siano resi “consapevoli del fatto che è in funzione un sistema di videosorveglianza”.

Analogamente le Linee Guida n. 3/2019 del Comitato europeo per la protezione dei dati sul trattamento dei dati personali attraverso dispositivi video, al punto 7), specifica che “le informazioni più importanti devono essere indicate [dal titolare] sul segnale di avvertimento stesso (primo livello) mentre gli ulteriori dettagli obbligatori possono essere forniti con altri mezzi (secondo livello)”. Nelle linee guida si prevede inoltre che “Tali informazioni possono essere fornite in combinazione con un’icona per dare, in modo ben visibile, intelligibile e chiaramente leggibile, un quadro d’insieme del trattamento previsto (articolo 12, paragrafo 7, del RGPD). Il formato delle informazioni dovrà adeguarsi alle varie ubicazioni”. Le informazioni dovrebbero essere posizionate in modo da permettere all’interessato di riconoscere facilmente le circostanze della sorveglianza, prima di entrare nella zona sorvegliata (approssimativamente all’altezza degli occhi) “per consentire all’interessato di stimare quale zona sia coperta da una telecamera in modo da evitare la sorveglianza o adeguare il proprio comportamento, ove necessario”.

È, inoltre, emerso che la Società ha installato il sistema di videosorveglianza in assenza di accordo con le rappresentanze sindacali o di autorizzazione rilasciata dall’Ispettorato del lavoro ex art. 4 della l. n. 300 del 1970.

Tale condotta si pone in violazione del principio generale di liceità del trattamento, di cui all’art. 5, par. 1, lett. a) del Regolamento.

Se l’impianto di videosorveglianza è idoneo a riprendere anche lavoratori dipendenti durante l’attività lavorativa, il trattamento è lecito se è conforme alle discipline di settore applicabili (art. 5, par. 1, lett. a) del Regolamento). In merito a ciò, l’art. 88 del Regolamento ha fatto salve le norme nazionali di maggior tutela (“norme più specifiche”) volte ad assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei lavoratori.

L’art. 114 del Codice, quale disposizione più specifica, in materia di controllo a distanza dei lavoratori richiama, tra le condizioni di liceità del trattamento, l’osservanza di quanto prescritto dall’art. 4, legge 20 maggio 1970, n. 300.

In base a quest’ultima disposizione normativa, in caso di apparati di videosorveglianza da cui derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti, la relativa installazione deve, in ogni caso, essere eseguita previa stipulazione di un accordo sindacale con la rappresentanza sindacale unitaria o con le rappresentanze sindacali aziendali oppure, ove non sia stato possibile raggiungere tale accordo, o in caso di assenza delle rappresentanze, solo se preceduta dal rilascio di apposita autorizzazione da parte dell’Ispettorato del lavoro. L’attivazione e la conclusione di tale procedura di garanzia è perciò condizione indefettibile per l’installazione di sistemi di videosorveglianza.

4. Conclusioni: dichiarazione di illiceità del trattamento.

Alla luce di quanto complessivamente rilevato, l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria, non consentano di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultino pertanto inidonee a disporre l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati personali effettuato dalla Società attraverso i sistemi di videosorveglianza risulta infatti illecito, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a) e 13 del Regolamento.

5. Ordinanza di ingiunzione.

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. legge 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali effettuato dalla Società, per mezzo dell’impianto di videosorveglianza, in violazione del principio generale di liceità e trasparenza del trattamento, di cui all’art. 5, par. 1, lett. a) del Regolamento, senza aver fornito l’informativa di cui all’art. 13 del Regolamento e in assenza di accordo con le rappresentanze sindacali o di autorizzazione rilasciata dall’Ispettorato del Lavoro, in violazione dell’art. 4 della l. n. 300 del 1970.

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state tenute in considerazione le circostanze sotto riportate:

con riguardo alla natura, gravità e durata della violazione, è stata presa in considerazione la natura della violazione che ha riguardato i principi generali del trattamento e, in particolare, i principi di liceità e di trasparenza;

con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare è stata presa in considerazione la condotta della Società e il grado di responsabilità della stessa che si è conformata alla disciplina in materia di protezione dei dati solo a seguito dell’accertamento da parte dei Carabinieri e dell’attività dell’Autorità;

si è tenuto conto della cooperazione con l’Autorità e dell’assenza di precedenti specifici relativi a violazioni della disciplina in materia di protezione dei dati personali;

Si ritiene inoltre che assumano rilevanza nell’ipotesi di specie, in ragione dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), le condizioni economiche del contravventore, determinate in base al volume d’affari della Società, di cui al bilancio d’esercizio per l’anno 2023.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti della Società la sanzione amministrativa del pagamento di una somma pari ad euro cinquemila (5.000,00).

In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante.

Ciò in considerazione della tipologia delle violazioni accertate che hanno riguardato i principi generali del trattamento, anche con riguardo alla necessità di osservare le disposizioni di settore applicabili ai trattamenti in ambito lavorativo.

TUTTO CIÒ PREMESSO, IL GARANTE

dichiara, ai sensi degli artt. 57, par. 1, lett. f) e 83 del Regolamento, l’illiceità del trattamento effettuato dal Centro Medico Green Life srl (P.I.05144370266), attraverso l’utilizzo del sistema di videosorveglianza, nei termini di cui in motivazione, per la violazione degli artt. 5, par. 1, lett. a) e 13 del Regolamento;

ORDINA

alla medesima Società di pagare la somma di euro 5.000,00 (cinquemila), a titolo di sanzione amministrativa pecuniaria, per la violazione indicata in motivazione;

INGIUNGE

alla medesima Società di pagare la somma di euro 5.000,00 (cinquemila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;

ai sensi dell’art. 154-bis, comma 3, del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet del Garante;

ai sensi dell’art. 17 del regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2, del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u), del Regolamento.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 19 dicembre 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL VICE SEGRETARIO GENERALE
Filippi