[doc. web n. 9433080]

Ordinanza ingiunzione nei confronti di Azienda Sanitaria Locale di Ciriè, Chivasso e Ivrea (ASL TO4) - 5 marzo 2020 [9433080]

Registro dei provvedimenti
n. 53 del 5 marzo 2020

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante il “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE” (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019, in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore la prof.ssa Licia Califano;

PREMESSO

1. La segnalazione.

È stata segnalata da un’organizzazione sindacale l’installazione di sistemi di videosorveglianza presso alcune strutture sanitarie della Azienda Sanitaria Locale di Ciriè, Chivasso e Ivrea (ASL TO4), in violazione della disciplina di protezione dei dati e, in particolare, dell’art. 4 della l. 20 maggio 1970, n. 300.

2. L’attività istruttoria.

In riscontro alle specifiche richieste dell’Ufficio, l’Azienda ha fornito riscontro, rappresentando (cfr. nota del XX, prot. n. XX) fra l’altro, che:

- il bacino d’utenza concerne “178 Comuni ed è costituito da 5 presidi ospedalieri, 5 distretti e numerose sedi operative”;

- di avere adottato, “a seguito del verificarsi di episodi di vandalismo e microcriminalità”, alcune misure, aventi la finalità di tutelare le persone, il patrimonio aziendale e l’incolumità dei pazienti, avvalendosi di sistemi di videosorveglianza, installati, in alcuni casi, da oltre dieci anni;

- di avere intrapreso, con l’entrata in vigore della normativa europea, un percorso di adeguamento al Regolamento, al fine di verificare la compatibilità dei trattamenti in essere, anche relativi ai sistemi di videosorveglianza installati presso le proprie strutture, ambito quest’ultimo rispetto al quale “è emerso che non risultava agli atti aziendali un formale accordo sindacale previsto in materia dall’art. 4, della Legge n. 300/1970”;

- in ragione di quanto sopra, sono state convocate le organizzazioni sindacali “che hanno richiesto di poter fisicamente verificare il posizionamento delle telecamere, anche al fine di escludere un controllo a distanza dell’attività dei lavoratori”; all’esito delle verifiche, le stesse organizzazioni sindacali “hanno richiesto un incremento del numero […delle telecamere] a tutela della sicurezza degli operatori” e, in data 18 luglio 2018 è stato sottoscritto il relativo accordo;

- i videoregistratori, situati in appositi locali chiusi a chiave o presidiati dal personale di portineria, sono protetti da una sistema di autenticazione e l’accesso avviene su indicazione dell’autorità giudiziaria;

- la durata della conservazione dei dati registrati è limitata a ventiquattro ore, fatta salva la presenza di “eventuali esigenze tecniche o la particolare rischiosità dell’attività svolta [in presenza delle quali] è ammesso un tempo più ampio di conservazione dei dati, che non può comunque superare la settimana” (cfr. Regolamento per la disciplina della videosorveglianza all’interno dell’Azienda Sanitaria Locale TO4, all. agli atti).

Con nota del XX (prot. n. XX), l’Ufficio, sulla base degli elementi acquisiti dalle verifiche compiute e della documentazione inviata dall’Azienda, nonché dei fatti emersi a seguito dell’attività istruttoria, ha notificato all’Azienda, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, paragrafo 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla l. 24 novembre 1982, n. 689). Tanto, in relazione all’accertata illiceità del trattamento posto in essere attraverso i sistemi di videosorveglianza installati, da oltre dieci anni, presso alcune strutture dell’Azienda in assenza di accordi con le rappresentanze sindacali o di autorizzazioni rilasciate dall’Ispettorato Nazionale del Lavoro, in violazione dell’art. 4 della l. 20 maggio 1970, n. 300, nonché degli artt. 5, comma 1, lett. a); 6, comma 1, lett. c); 88 del Regolamento e 114 del Codice (cfr. nota del XX, prot. n. XX).

Con la nota del XX (prot. n. XX), l’Azienda ha inviato al Garante i propri scritti difensivi in relazione alla violazione notificata, fornendo precisazioni con riguardo, in particolare, a:

- la circostanza che alle “organizzazioni sindacali era noto il posizionamento delle telecamere ben prima del luglio 2018, data in cui l’accordo è stato siglato”;

- il posizionamento delle telecamere “in luoghi comuni (corridoi, ingressi, sale di attesa) e non su postazioni di lavoro dei dipendenti, al solo scopo di tutelare la sicurezza sia del personale e degli utenti/pazienti, sia del patrimonio aziendale”;

- la assenza di un reale danno per gli interessati “in quanto nessun operatore è stato controllato né è stato mai adottato alcun provvedimento disciplinare o sanzionatorio basandosi sulle registrazioni, alle quali né il datore di lavoro né il direttore del personale hanno mai avuto direttamente accesso”.

3. Esito dell’attività istruttoria.

In base alla disciplina in materia di protezione dei dati personali, l’amministrazione, che opera in qualità di datore di lavoro può trattare i dati personali (art. 4, n. 1, del Regolamento) dei dipendenti se il trattamento è necessario per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti da leggi, dalla normativa dell’Unione europea, da regolamenti o da contratti collettivi (artt. 6, par. 1, lett. b) e c), 9, par. 2, lett. b) e 4; 88 del Regolamento). Il trattamento è, inoltre, lecito quando sia “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. e) e par. 2 e 3, 9, par. 2, lett. g) del Regolamento; 2-ter e 2-sexies del Codice).

Il datore di lavoro deve, inoltre, rispettare le norme nazionali, preesistenti o di futura emanazione, che “includono misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati in particolare per quanto riguarda la trasparenza del trattamento […] e i sistemi di monitoraggio sul posto di lavoro” (artt. 6, par. 2 e 88, par. 2 del Regolamento, considerando 155).

Sul punto, il Codice, confermando l’impianto anteriore alle modifiche apportate dal d.lgs. 10 agosto 2018, n. 101, fa espresso rinvio alle disposizioni nazionali di settore che tutelano la dignità delle persone sul luogo di lavoro, con particolare riferimento ai possibili controlli da parte del datore di lavoro (artt. 113 “Raccolta dati e pertinenza” e 114 “Garanzie in materia di controllo a distanza”). Per effetto di tale rinvio e, tenuto conto dell’art. 88, par. 2, del Regolamento, l’osservanza degli artt. 4 e 8 della l. 20 maggio 1970, n. 300 e dell’art. 10 del d.lgs. 19 dicembre 2002, n. 297 (nei casi in cui ne ricorrono i presupposti) costituisce condizione di liceità del trattamento.

L’art. 4, comma 1, della l. 20 maggio 1970, n. 300 consente infatti l’impiego di “impianti audiovisivi” e di altri strumenti, dal cui utilizzo possa derivare anche una forma di controllo indiretta del lavoratore, “esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale”, nel rispetto di specifiche condizioni, quali il previo accordo con la rappresentanza sindacale unitaria o le rappresentanze sindacali aziendali, ovvero, in alternativa, previa autorizzazione delle sedi territoriali dell’Ispettorato nazionale del lavoro.

Anche in presenza di uno specifico presupposto di liceità del trattamento, il titolare del trattamento è tenuto, in ogni caso, a rispettare i principi di “liceità, correttezza e trasparenza”, “limitazione delle finalità”, “minimizzazione”, nonché “integrità e riservatezza” dei dati e “responsabilizzazione” (art. 5 del Regolamento).

Tanto premesso, dagli elementi in atti, e come confermato dall’Azienda, i sistemi di videosorveglianza, installati da oltre dieci anni in diverse strutture di competenza dell’Azienda, sono dotati di telecamere dislocate in aree (corridoi, ingressi, sale di attesa, pronto soccorso), nelle quali transitano o sostano anche i dipendenti, con conseguente possibilità di controllarne indirettamente l’attività. L’installazione dei citati sistemi, pur funzionale, secondo quanto rappresentato dal titolare del trattamento, a esigenze di sicurezza e di tutela del patrimonio aziendale, è stata effettuata in assenza di un previo accordo con le organizzazioni sindacali e in assenza dell’autorizzazione pubblica e, dunque, in contrasto con quanto prescritto dall’art. 4, comma 1, della l. 20 maggio 1970, n. 300.

Le esigenze di sicurezza e di tutela del patrimonio, pure invocate dall’Azienda, non sono, infatti, di per sé sole, sufficienti a legittimare la presenza di tali dispositivi in luoghi ove si svolge anche l’attività lavorativa, dando luogo a un trattamento di dati personali che può essere giustificato solo nel rispetto delle garanzie previste dalla legge nazionale applicabile (v. Corte europea dei diritti dell’Uomo, sent. n. 70838/13 del 28 novembre 2017; in tema di utilizzo di sistemi di videosorveglianza in luoghi ove si svolge anche l’attività lavorativa, v. da ultimo, EDPB Guidelines 3/2019 on processing of personal data through video devices, 10.06.2019). Pertanto, il rispetto del citato art. 4, comma 1, anche per effetto del rinvio ad essa contenuto nell’art. 114 del Codice, costituisce condizione di liceità del trattamento dei dati personali (in tal senso, da ultimo, Provv. n. 167 del 19 settembre 2019, spec. punto 4.2, doc. web n. 9147290).

Per tali ragioni, come emerso dalle risultanze istruttorie, l’Azienda, mediante i citati sistemi di videosorveglianza, ha effettuato - fino alla conclusione della procedura concertativa con sottoscrizione dell’accordo del 18 luglio 2018 - trattamenti di dati personali in assenza di un idoneo presupposto di liceità del trattamento, in violazione dell’art. 4 della l. 20 maggio 1970, n. 300, nonché degli artt. 5, comma 1, lett. a); 6, comma 1, lett. c); 88 del Regolamento e 114 del Codice.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria e negli scritti difensivi ˗ della cui veridicità può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si rappresenta, altresì, che, seppure la violazione dei dati personali oggetto dell’istruttoria da parte di questa Autorità sia iniziata in data anteriore all’applicazione del Regolamento, al fine della determinazione del quadro normativo applicabile sotto il profilo temporale, deve essere richiamato il principio di legalità di cui all’art. 1, comma 2, della l. 24 novembre 1981, n. 689, in base al quale “le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in esse considerati” (principio del tempus regit actum). L’applicazione di tale principio determina, quindi, l’obbligo di prendere in considerazione le disposizioni vigenti al momento della commessa violazione. Considerata la natura permanente dell’illecito, nel caso di specie, la disciplina applicabile va individuata con riferimento a quella vigente alla data di perfezionamento della fattispecie, da ravvisarsi nel momento della cessazione della condotta, ossia, la conclusione della procedura codeterminativa mediante sottoscrizione dell’accordo con le organizzazioni sindacali in data 18 luglio 2018, successivamente alla data di applicazione del citato Regolamento.

Si confermano pertanto le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Azienda sanitaria locale di Ciriè, Chivasso e Ivrea (ASL TO4), in assenza di un idoneo presupposto di liceità, per aver installato sistemi di videosorveglianza, omettendo di adottare le garanzie prescritte dalla disciplina nazionale di settore, in violazione degli artt. 5, comma 1, lett. a); 6, comma 1, lett. c); 88 del Regolamento e 114 del Codice, in relazione all’art. 4 della l. 20 maggio 1970, n. 300.

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, lett. a) e d) del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice.

In tale quadro, considerando che la condotta ha esaurito i suoi effetti, in quanto l’Azienda, ancorché tardivamente, ha provveduto a sottoscrivere un apposito accordo con le organizzazioni sindacali in data 18 luglio 2018, e fermo restando quanto si dirà sull’applicazione della sanzione amministrativa pecuniaria, si ritiene che non ricorrono i presupposti per l’adozione di misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

In relazione ai predetti elementi, sono stati considerati l’ampio arco temporale durante il quale i trattamenti in questione sono stati posti in essere in assenza dei richiamati presupposti di liceità, nonché la circostanza che il rispetto delle garanzie previste dalla citata disciplina di settore, quale condizione di liceità dei conseguenti trattamenti, sia stata affermata in modo costante dal Garante in numerosi provvedimenti (v. “Provvedimento di carattere generale in materia di videosorveglianza” dell’8 aprile 2010, doc. web n. 1712680, punto 4.1, ma v. anche Provv. 9 maggio 2018, doc. web n. 8998303 e Provv.ti 18.04.2013, doc. web n. 2483269 e 2476068), nonché dalla giurisprudenza di legittimità (da ultimo, Cass. pen., Sez. 3, 17 dicembre 2019, n. 50919).

Si prende, comunque, favorevolmente atto che l’Azienda si è attivata per concludere la procedura concertativa con le organizzazioni sindacali, dando conto dell’adozione di misure tecniche e organizzative atte a garantire che il trattamento avvenga in conformità alla normativa vigente (cfr. artt. 24 e 25 del Regolamento), cooperando attivamente con l’Autorità nel corso della istruttoria e del presente procedimento, nonché che non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento in relazione ai medesimi fatti segnalati o precedenti provvedimenti di cui all’art. 58 del Regolamento.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria tenendo anche conto della fase di prima applicazione delle disposizioni sanzionatorie ai sensi dell’art. 22, comma 13, del d.lgs. 10 agosto 2018, n. 101, nella misura di euro 8.000,00 (ottomila) per la violazione degli artt. 5, comma 1, lett. a); 6, comma 1, lett. c); 88 del Regolamento e 114 del Codice, in relazione all’art. 4 della l. 20 maggio 1970, n. 300, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Tenuto conto dell’esteso lasso temporale durante il quale il trattamento illecito si è protratto, si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito web del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

rileva l’illiceità del trattamento effettuato dall’Azienda Sanitaria Locale di Ciriè, Chivasso e Ivrea (ASL TO4), per violazione degli artt. 5, comma 1, lett. a); 6, comma 1, lett. c); 88 del Regolamento e 114 del Codice, in relazione all’art. 4 della l. 20 maggio 1970, n. 300, nei termini di cui in motivazione;

ORDINA

all’Azienda Sanitaria Locale di Ciriè, Chivasso e Ivrea (ASL TO4), in persona del legale rappresentante pro-tempore, con sede legale in via Po n. 11, 10034 Chivasso (TO) - P.I. 09736160012 di pagare la somma di euro 8.000,00 (ottomila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla medesima Azienda di pagare la somma di euro 8.000,00 (ottomila), in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione del presente provvedimento sul sito web del Garante, ritenendo che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 5 marzo 2020

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia