[doc. web n. 9038550]

Ordinanza ingiunzione nei confronti di Osimo Servizi s.p.a. - 14 giugno 2018

Registro dei provvedimenti
n. 385 del 14 giugno 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale; 

VISTO l’art. 1, comma 2, della legge 24 novembre 1981, n. 689, ai sensi del quale le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e per i tempi in esse considerati;

VISTO il procedimento avviato a seguito di una segnalazione, pervenuta in Autorità in data 23 febbraio 2016, con cui si chiedeva all’Autorità di verificare la conformità alla normativa in materia di protezione dei dati personali di un sistema di rilevazione delle presenze di tipo biometrico utilizzato dalla società PARK.O S.p.a. (oggi denominata Osimo Servizi S.p.a.), nonché di una richiesta di parere presentata dalla stessa società in data 9 marzo 2016, volta ad ottenere informazioni in merito al corretto utilizzo del lettore di rilevamento biometrico “al fine di evitare di incorrere in azioni di responsabilità”;

RILEVATO che il Nucleo speciale privacy della Guardia di finanza, in esecuzione della richiesta di informazioni n. 17204 del 12 maggio 2017 formulata ai sensi dell’art. 157 del Codice in materia di protezione dei dati personali – d.lgs. 30 giugno 2003 n. 196 (di seguito denominato “Codice”), ha svolto gli accertamenti di cui ai verbali di operazioni compiute del 26 e 27 giugno 2017 presso Osimo Servizi S.p.a., con sede in Osimo (AN), Piazza del Comune n. 1, C.F. 02071990424 (di seguito la “Società”). Nel corso di tali accertamenti, con riferimento alla “rilevazione delle presenze del personale dipendente”, è emerso che:

a. la Società ha acquistato in data 4 febbraio 2016 “n. 3 terminali, installati in tre sedi differenti, ovvero il primo all’interno degli uffici della sede amministrativa della società; il secondo presso il deposito degli automezzi (…) e il terzo presso il maxi parcheggio (…). I predetti tre terminali sono tutti collegati ad un unico server (…). Allo stato, i dispositivi di rilevazione in parola sono attivi e funzionanti. In particolare, attraverso gli stessi, è possibile rilevare le presenze del personale in modo duplice e alternativo, ovvero tramite badge magnetico o con la rilevazione dell'impronta digitale” (cfr. verbale del 26 giugno 2017, pag. 2);

b. il sistema di rilevazione delle presenze basato sul trattamento di dati biometrici è stato installato per “aumentare il grado di sicurezza (…) anche allo scopo di preservare l'intero patrimonio di interesse pubblico e privato. In considerazione della struttura hardware del sistema di rilevazione utilizzato, la Osimo Servizi S.p.a. ha ritenuto di rientrare verosimilmente nella casistica di cui al provvedimento del 12 novembre 2014 ove non si ritiene obbligatoria la presentazione dell’istanza di verifica al Garante ” (cfr. verbale cit., pag. 3);

c. allo stato, il sistema di rilevazione delle presenze “è interamente e integralmente funzionante. Esso, di fatto, è attivo limitatamente all'utilizzo del solo badge magnetico”, mentre con riferimento all’uso della rilevazione biometrica, questo viene attualmente utilizzato, a fini sperimentali, solo da due dipendenti (cfr. verbale cit., pag. 4);

d. il sistema biometrico utilizzato è preordinato ad estrarre il c.d. template dall'impronta senza alcuna memorizzazione dell’immagine. I terminali biometrici associano il template al codice del badge personale del dipendente e “nel caso di acquisizione della presenza con la procedura biometrica, i terminali inviano il solo codice del badge magnetico e non anche il template” (cfr. verbale del 27 giugno 2017, pag. 7); 

e. con riferimento all’obbligo della notificazione di cui all’art. 37, comma 1, lett. a), del Codice, “non è stata effettuata alcuna notificazione al Garante, in quanto, in data 7 marzo 2016 era stata formulata al Garante stesso apposita richiesta di parere riguardante la liceità o meno dell’utilizzo degli impianti installati. In merito, l’Autorità adita formulava, in data 25 maggio 2016, una richiesta di ulteriori informazioni a cui non abbiamo risposto. L’Autorità ha fatto pervenire, via pec, ulteriore richiesta di informazioni in data 26 gennaio 2017, alla quale è stato fornito riscontro in data 23 marzo 2017. In tale arco temporale e sino a tutt’oggi, sono state effettuate le sperimentazioni di cui si è parlato, non ritenendo l’utilizzo dei dati temporaneamente acquisiti meritevoli di attenzione sotto il profilo del trattamento dei dati biometrici” (verbale cit., pag. 8);

VISTO il verbale nr. 54/2017 del 10 luglio 2017, notificato alla Società il 12 agosto 2017, che qui si intende integralmente richiamato, con cui è stato contestato a Osimo Servizi S.p.a., in persona del legale rappresentante pro-tempore, la violazione amministrativa prevista dall’art. 163 del Codice in relazione all’art. 37, comma 1, lett. a), del Codice, relativo all’obbligo di notificazione al Garante per il trattamento di dati biometrici, informandola della facoltà di effettuare il pagamento in misura ridotta ai sensi dell’art. 16 della legge n. 689/1981;

RILEVATO dal rapporto predisposto dal Nucleo speciale privacy della Guardia di finanza, ai sensi dell’art. 17 della legge n. 689/1981, che non risulta effettuato il pagamento in misura ridotta;

VISTO lo scritto difensivo presentato l’8 settembre 2017, ai sensi dell’art. 18 della legge n. 689/1981, con cui la Società ha osservato come una “approfondita valutazione delle caratteristiche tecniche dell’impianto in oggetto, consentono di escluderlo dall’ambito di operatività della norma richiamata nella contestazione della Guardia di finanza, cioè dell’art. 37, comma 1, lett. a), d.lgs. 196/2003”. Secondo la parte, il tipo di impianto installato non utilizza il dato biometrico dell’utente, bensì “esclusivamente un codice numerico di riferimento, elaborato da un algoritmo matematico”. Pertanto, nessuna violazione dell’art. 37 del Codice può esserle imputata. E’ stato, inoltre, ribadito che detto sistema era “solo in fase di sperimentazione e collaudo da parte di alcuni dipendenti” e che “l'obbligo previsto dalla normativa sarebbe sorto esclusivamente quando detto utilizzo fosse stato applicato a tutti i dipendenti”. Considerato, poi, che la notificazione prevista dalla norma consiste “in una dichiarazione con la quale un soggetto pubblico o privato rende nota al Garante per la protezione dei dati personali l’esistenza di un’attività di raccolta e di utilizzazione dei dati personali (definizione tratta dal sito www.garanteprivacy.it), senza dubbio la Osimo Servizi ha effettivamente reso tale dichiarazione nel momento in cui ha spontaneamente contattato l'Autorità, richiedendo uno specifico parere riguardo alla corretta utilizzazione del lettore con rilevamento biometrico”, rispettando in tal modo la ratio della norma. La Società ha, infine, chiesto l’archiviazione del procedimento sanzionatorio e, in subordine, l’applicazione dell’attenuante di cui all’art. 164-bis, comma 1, in considerazione dello scarsissimo numero di soggetti coinvolti (solo 2 su 38 dipendenti), nonché della buona fede e della circostanza che, ancor prima della notifica del verbale di contestazione, è stata decisa l’interruzione della fase di collaudo e la cancellazione di ogni eventuale dato raccolto;

RILEVATO che le argomentazioni addotte non risultano idonee ad escludere la responsabilità della parte in relazione a quanto contestato. Va fatta una prima e preliminare osservazione in merito alle caratteristiche tecniche del sistema di rilevamento delle presenze utilizzato dalla società che, esaminate nel loro complesso, non permettono di escluderlo dall’ambito di applicazione dell’art. 37 del Codice. Infatti, come è stato più volte sottolineato dal Garante nei propri provvedimenti (ordinanza n. 554 del 22 ottobre 2015, doc. web. 4630919, ordinanza n. 65 del 16 febbraio 2017, doc. web n. 6460781), nel momento in cui l’impronta digitale dell’interessato viene acquisita per essere poi trasformata in un codice alfanumerico, tramite una procedura detta enrolment, e convertita in un template, si realizza un trattamento di dati personali di cui all’art. 4, comma 1, lett. b), del Codice, anche se poi il dato non viene conservato né memorizzato.  

Contrariamente a quanto ritenuto dalla parte, si osserva che l’istanza di verifica preliminare attiene a un obbligo diverso da quello della notificazione, come chiarito nel citato “Provvedimento generale prescrittivo in tema di biometria” n. 513 del 12 novembre 2014 (pubblicato in G.U. n. 280 del 2.12.2014, in www.garanteprivacy.it, doc. web n. 3556992). Qui, infatti, il Garante ha individuato le tipologie di trattamento di dati personali (nella forma biometrica) rispetto alle quali non è necessario presentare l’istanza di verifica preliminare di cui all’art. 17 del Codice e ha fatto salvi gli ulteriori obblighi, a carico del titolare del trattamento, di “adottare le misure e gli accorgimenti tecnici, organizzativi e procedurali (…), nonché di rispettare i presupposti di legittimità e le indicazioni contenute nelle allegate linee-guida (…)”, in cui si stabilisce l’obbligo per il titolare del trattamento di effettuare la notificazione al Garante, ai sensi degli artt. 37, comma 1, lett. a), e 38 del Codice (punto 4.5.2 dell’Allegato a) al citato provvedimento). Pertanto, si rileva che il sistema utilizzato dalla società, consistente nel rilevamento dell’impronta digitale e nella trasformazione dello stesso in un codice numerico, elaborato da un algoritmo matematico, realizza un trattamento di dati di tipo biometrico per i quali è necessario presentare la notificazione al Garante. Inoltre, a prescindere dalla circostanza che l’utilizzo dei dati biometrici fosse ancora in una fase sperimentale e che riguardasse un numero esiguo di dipendenti, si osserva che il trattamento risulta comunque iniziato nel momento dell’acquisizione dei dati biometrici da parte del personale dipendente (cd. enrolment) e, pertanto, il titolare avrebbe dovuto già procedere con la notificazione al Garante, in base alla disposizione di cui all’art. 38 del Codice. Infine, deve rigettarsi l’osservazione secondo cui la richiesta di parere formulata dalla società in data 9 marzo 2016 debba essere valutata come notificazione. Quest’ultimo, infatti, è un adempimento che impone al titolare del trattamento di comunicare al Garante una serie di informazioni relative alla tipologia di trattamento che si intende iniziare nonché relative al titolare stesso. Tali informazioni confluiscono nel cd. Registro dei trattamenti che è liberamente accessibile e consultabile, al fine di fornire ogni garanzia a tutela degli interessati;

RILEVATO, pertanto, che la Osimo Servizi S.p.a. in qualità di titolare del trattamento, ai sensi degli artt. 4 e 28 del Codice, ha omesso di effettuare la notificazione al Garante, ai sensi degli artt. 37 comma 1, lett. a), e 38 del Codice, prima dell’inizio del trattamento;

VISTO l’art. 163 del Codice che punisce la violazione delle disposizioni di cui agli artt. 37 e 38, con la sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro;

RITENUTO che ricorrono le condizioni per applicare l'art. 164-bis, comma 1, del Codice secondo cui “se taluna delle violazioni di cui agli art. 161, 162, 162-ter, 163 e 164 è di minore gravità, i limiti minimi e massimi stabiliti negli stessi articoli sono applicati in misura pari a due quinti”;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge n. 689/1981, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

RITENUTO, quindi, di dover determinare, ai sensi dell’art. 11 della legge n. 689/1981, l’ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura di euro 8.000,00 (ottomila) per la violazione di cui all’art. 163;

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la prof.ssa Licia Califano;  

ORDINA

a Osimo Servizi s.p.a. con sede in Osimo (AN), Piazza del Comune n. 1, C.F. 02071990424, di pagare la somma complessiva di euro 8.000,00 (ottomila) a titolo di sanzione amministrativa pecuniaria per la violazione prevista dall’art. 163 del Codice come indicato in motivazione;

INGIUNGE

alla medesima Società di pagare la somma di euro 8.000,00 (ottomila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale o in copia autentica, quietanza dell’avvenuto versamento. 

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero. 

Roma, 14 giugno 2018

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia