Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Borgo Fonte Scura s.r.l. - 29 ottobre 2020 [9518849]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
9518849
Data:
29/10/20
Argomenti:
Videosorveglianza , Lavoro privato
Tipologia:
Ordinanza ingiunzione o revoca

[doc. web n. 9518849]

Ordinanza ingiunzione nei confronti di Borgo Fonte Scura s.r.l. - 29 ottobre 2020

Registro dei provvedimenti
n. 213 del 29 ottobre 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTI i reclami presentati al Garante ai sensi dell’articolo 77 del Regolamento da XX, XX e XX. concernenti il trattamento di dati personali effettuato attraverso un impianto di videosorveglianza installato presso la sede legale della società Borgo Fonte Scura s.r.l.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal vice segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. Il reclamo nei confronti della società e l’attività istruttoria.

1.1. I sig.ri XX, XX e XX hanno presentato tre reclami, rispettivamente il 21 maggio 2019 e il 22 maggio 2019, lamentando presunte violazioni del Regolamento da parte di Borgo Fonte Scura s.r.l. (di seguito, la società), con riferimento al trattamento dei dati effettuato attraverso l’impianto di videosorveglianza installato presso la sede legale della stessa, considerato che i reclamanti hanno svolto presso la società attività lavorativa sulla base di un contratto di catering e banqueting. In particolare sono stati lamentati l’assenza di informativa relativamente al predetto sistema di videosorveglianza, il controllo svolto attraverso il sistema di videosorveglianza sull’attività lavorativa, la possibilità di visualizzazione delle immagini registrate anche da remoto, il numero elevato di soggetti con possibilità di accedere alle immagini registrate.

Considerata la natura delle lamentate violazioni nonché il numero dei potenziali interessati coinvolti, l’Ufficio ha delegato al Nucleo Speciale Tutela Privacy e Frodi Tecnologiche lo svolgimento dell’accertamento ispettivo che si è svolto in data 15 e 16 ottobre 2019 presso la sede legale della società.

1.2. In occasione dell’accertamento ispettivo la società, attraverso il legale rappresentante, ha dichiarato (v. verbale di operazioni compiute del 15 e 16 ottobre 2019) che:

- “la società, che, ad oggi ha una persona alle proprie dipendenze, mentre un’altra ha cessato il proprio lavoro stagionale il 30 settembre 2019, esercita la propria attività economica […] affidandola a soggetti economici esterni con contratti di appalto che vengono di volta in volta redatti”;

- “l’impianto di videosorveglianza […] è ad uso esclusivo della società che è il titolare del trattamento dei dati”;

- l’impianto di videosorveglianza installato presso la sede legale della società è “composta da 11 telecamere”, la “posa in opera [è] del 26 aprile 2016” ed “è attualmente funzionante ed è stato installato nel 2016, previa autorizzazione della Direzione Territoriale del lavoro di Teramo, con provv. n. 52/16 del 27 maggio 2016”;

- “l’unica persona autorizzata ad accedere alle immagini, in qualità e con credenziali di amministratore, [è il rappresentante legale], utilizzando una password personale, mentre fino alla fine del 2016, poteva accedervi anche il dipendente […] con proprie credenziali, appositamente istruito e formato, oralmente dal [rappresentante legale]”;

- “il trattamento dei dati, mediante il sistema di videosorveglianza, è iniziato dal mese di giugno 2016, dopo aver ricevuto l’autorizzazione dalla DTL di Teramo […]”;

-  “l’impianto inizialmente era composto da 9 telecamere […] di cui 2 posizionate all’interno della struttura […], 7 ubicate all’esterno [e da] un monitor”;

- “le 7 telecamere esterne […] sono state posizionate per videosorvegliare le aree di parcheggio interne e le strade di accesso ad esse, gli ingressi principale e secondario, l’area di ingresso alla cucina e l’area di ingresso al magazzino. Le 2 telecamere interne […] sono invece posizionate nell’area cucina ed una nell’area reception. […] Nel mese di febbraio 2017 sono state installate ulteriori 2 telecamere all’interno della struttura […] una nella sala adiacente ai servizi igienici ed una nella sala adiacente alla terrazza esterna […] per tale modifica all’impianto [deve essere appurato se sia] stata fatta una integrazione alla Direzione Territoriale del lavoro”;

-  “l’intero impianto di videosorveglianza è attivo per 24 ore al giorno, senza interruzioni, e registra le ultime 96 ore, con sovrascrittura automatica delle registrazioni”;

- “l’unico che può accedere al sistema ad oggi, sia dal personal computer, presente alla reception della struttura, che da remoto con pc attraverso un indirizzo IP, che con smartphone [è il rappresentante legale]”;

- l’impianto di videosorveglianza “non ha la possibilità di acquisire le registrazioni audio”;

- “l’impianto di videosorveglianza in esame è stato installato per finalità di sicurezza e tutela del patrimonio aziendale ed è stato conseguentemente autorizzato dalla DTL per finalità di tutela del patrimonio aziendale”;

- “per mera dimenticanza non [sono stati] appost[i] i previsti cartelli informativi relativi alla presenza di un impianto di videosorveglianza nella proprietà […] al dipendente impiegato presso la struttura [sono state] fornit[e] verbalmente le previste informazioni a riguardo”;

- “per soddisfare i livelli di sicurezza previsti dalle norme, [è stato] limitato ad un unico account utente […] l’accesso al sistema di videosorveglianza, alla sua gestione e visualizzazione, che [il rappresentante legale] utilizz[a] ad oggi con credenziali dedicate”

- “al più presto [si] provveder[à] ad esporre le informative presso la struttura ricettiva di Borgo Fonte Scura s.r.l.”.

I verbalizzanti componenti del Nucleo Speciale Tutela Privacy e Frodi Tecnologiche hanno, inoltre, accertato nel predetto verbale che “all’interno ed all’esterno della struttura non è presente alcuna informativa del trattamento dei dati effettuati mediante l’impianto di videosorveglianza”; con riferimento alle telecamere interne, quella posizionata nella sala adiacente i servizi igienici e quella posizionata nella sala adiacente alla terrazza esterna “non [sono] presenti nella planimetria allegata all’istanza di autorizzazione pertanto [non sono state] autorizzate dalla Direzione Territoriale del Lavoro di Teramo”; “l’accesso da remoto […] può essere effettuato inserendo le credenziali composte da una user ID e la password”.

In data 25 ottobre 2019 la società, a scioglimento delle riserve formulate nel corso dell’accertamento ispettivo, ha fornito: alcune “foto dell’avvenuta apposizione delle informative sul trattamento dei dati mediante il sistema di videosorveglianza agli ingressi delle aree esterne in corrispondenza dei cancelli d’ingresso ed in corrispondenza degli ingressi del fabbricato”, copia dell’istanza di “integrazione presentata all’Ispettorato del lavoro per l’avvenuta installazione delle due telecamere presenti in sala” nonché copia del “Registro dei trattamenti”. La società stessa, nella medesima sede, ha, inoltre, precisato che “l’impianto di videosorveglianza è attivo per 24 ore al giorno, senza interruzioni, e registra le ultime 96 ore soltanto in occasione dei periodi di chiusura della struttura, con sovrascrittura automatica delle registrazioni così come era programmato in occasione dell’avvenuta ispezione. Durante il periodo di apertura invece il periodo di registrazione è pari a 24 ore con sovrascrittura automatica delle registrazioni”.

1.3. Il 9 gennaio 2020 l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione alla società delle presunte violazioni del Regolamento riscontrate, con riferimento agli artt. 5, par. 1, lett. a) e 13 del Regolamento, art. 114 del Codice e art. 88 del Regolamento. Il 21 gennaio 2020 la società ha inviato la richiesta di audizione che si è tenuta il 21 febbraio 2020 presso la sede dell’Autorità; nell’occasione il legale rappresentante ha dichiarato che:

la società “si è immediatamente attivata per conformarsi alla disciplina relativa al trattamento dei dati personali, con riferimento ai rilievi di illiceità evidenziati dal Nucleo Privacy al momento dell’accertamento ispettivo nonché nell’atto di avvio del procedimento sanzionatorio”;

è stata “ottenut[a] l’autorizzazione dell’Ispettorato del Lavoro in merito all’integrazione sull’installazione di ulteriori due telecamere e [si fa riserva] di presentare la relativa documentazione entro un breve termine”;

“la società ha ridotte dimensioni [ed è a] gestione familiare”.

In tale occasione la società ha depositato una memoria integrativa nella quale, con riferimento all’art. 83, par. 2, del Regolamento, ha dichiarato che:

il sig. Costantini ha adibito la struttura “a dimora di campagna, con ristorante e 7 camere, gestite direttamente [dallo stesso], socio unico e amministratore della società”;

“dall’esame del bilancio […] emerge chiaramente la dimensione piccola e familiare della società, nonché il modesto volume dei suoi affari”;

nella determinazione della sanzione si deve tenere conto “della lieve entità delle infrazioni rilevate, della tempestiva eliminazione dei profili di criticità emersi, nonché delle […] ragioni che avevano indotto l’incolpevole amministratore e socio unico della Borgo Fonte Scura ad operare determinate scelte (tra cui, ad esempio, la durata della videoregistrazione nei periodi di chiusura della struttura), [delle] dimensioni personali e familiari della società”.

In data 25 febbraio 2020 la società, a scioglimento delle riserve formulate nel corso dell’audizione, ha fornito copia dell’autorizzazione rilasciata dall’Ispettorato Territoriale del Lavoro in data 5 novembre 2019 in ordine all’istanza integrativa relativa all’impianto di videosorveglianza.

2. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice (“Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”), emerge che la società ha fatto installare ed ha utilizzato un impianto di videosorveglianza con specifiche caratteristiche non conformi a quanto prescritto nell’autorizzazione rilasciata dalla Direzione Territoriale del Lavoro di Teramo il 27 maggio 2016 né, più in generale, alla disciplina in materia di protezione dei dati personali. In particolare è emerso che la società ha installato nel mese di febbraio 2017 due telecamere in più rispetto a quelle per le quali era stata rilasciata la predetta autorizzazione; non è stato adempiuto l’obbligo di informativa nei confronti degli interessati (tra i quali anche lavoratori) considerato che non sono stati apposti cartelli informativi in proposito “per mera dimenticanza” e che “al dipendente impiegato presso la struttura videosorvegliata [l’informativa è stata fornita] verbalmente”; è previsto l’accesso da remoto alle immagini da parte del titolare del trattamento (come dichiarato dallo stesso in sede di accertamento ispettivo) nonostante nella relazione tecnica presentata per ottenere l’autorizzazione del 27.05.2016 fosse in proposito specificato che “non sarà previsto alcun collegamento internet e/o diretto con le forze dell’ordine e pertanto non sarà possibile la visione in tempo reale di immagini da postazione remota”.

Ciò risulta in contrasto con quanto prescritto dall’art. 114 del Codice (che richiama l’art. 4 della L. 20.5.1970, n. 300 che disciplina i c.d. controlli a distanza), considerato che, nel caso di installazione di un impianto di videosorveglianza dal quale derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, è necessario il rispetto della specifica procedura descritta normativamente volta ad ottenere, in caso di assenza di rappresentanze sindacali aziendali, il rilascio di una apposita autorizzazione da parte dell’Ispettorato del lavoro.

Tale disciplina lavoristica costituisce una delle norme del diritto nazionale “più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro” individuate dall’art. 88 del Regolamento.

La condotta tenuta configura pertanto la violazione del principio di liceità del trattamento (art. 5, par. 1, lett. a) del Regolamento in relazione all’art. 114 del Codice) e dell’art. 88 del Regolamento quanto alla disciplina applicabile in materia.

Il non avere, inoltre, rispettato l’obbligo di fornire un’adeguata informativa agli interessati in merito al trattamento effettuato attraverso l’impianto di videosorveglianza costituisce violazione di quanto disposto dall’art. 13 del Regolamento: in base a tale norma il titolare è tenuto a fornire preventivamente all’interessato tutte le informazioni relative alle caratteristiche essenziali del trattamento. In particolare, per quanto riguarda l’installazione di un impianto di videosorveglianza il Garante ha indicato le condizioni di liceità dei trattamenti di dati personali effettuati mediante sistemi di videosorveglianza con il provvedimento di carattere generale dell’8 aprile 2010 (pubblicato in G.U. n. 99 del 29 aprile 2010, disponibile in www.garanteprivacy.it, doc. web n. 1712680).

Nell’ambito del rapporto di lavoro l’obbligo di informare il dipendente è, altresì, espressione del principio generale di correttezza (v. art. 5, par. 1, lett. a) del Regolamento).

All’esito dell’accertamento ispettivo e del procedimento amministrativo la società si è conformata a quanto prescritto dalla disciplina di protezione dei dati personali.

3. Conclusioni: illiceità del trattamento. Provvedimento sanzionatorio ex art. 58, par. 2, Regolamento.

Per i suesposti motivi, il trattamento dei dati personali effettuato dalla società attraverso il sistema di videosorveglianza risulta illecito, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a), 13, 88 del Regolamento e 114 del Codice.

Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento, alla luce delle circostanze del caso concreto:
-  si dispone una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) Regolamento).

4. Ordinanza ingiunzione.

Ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166, commi 3 e 7 del Codice, il Garante dispone l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento, mediante adozione di un’ordinanza ingiunzione (art. 18, l. 24.11.1981, n. 689), in relazione al trattamento dei dati personali effettuato dalla società attraverso il predetto sistema di videosorveglianza, in relazione agli artt. 5, par. 1, lett. a), 13 e 88 del Regolamento e art. 114 del Codice, all’esito del procedimento di cui all’art. 166, comma 5.

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5, fissato nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore.

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

a) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare è stata presa in considerazione la negligente condotta della società e il grado di responsabilità della stessa che non si è conformata alla disciplina in materia di protezione dei dati relativamente ad una pluralità di disposizioni;

b) l’assenza di precedenti specifici (relativi alla stessa tipologia di trattamento) a carico della società;

c) la cooperazione della società con l’Autorità al fine di porre rimedio alla violazione e attenuarne gli effetti negativi.

Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate con riferimento al bilancio di esercizio per l’anno 2018 rispetto al quale la società ha registrato una perdita d’esercizio.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Borgo Fonte Scura s.r.l. la sanzione amministrativa del pagamento di una somma pari ad euro 4.000,00 (quattromila).

In tale quadro si ritiene, altresì, in considerazione della natura e della gravità delle violazioni accertate, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante.

Si ritiene, altresì, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

dichiara ai sensi degli artt. 57, par. 1, lett. f) e 83 del Regolamento l’illiceità del trattamento effettuato nei termini di cui in motivazione da Borgo Fonte Scura s.r.l., per la violazione degli artt. 5, par. 1, lett. a) in relazione all’art. 114 del Codice, 88 del Regolamento, 13 e 5, par. 1, lett. a) (principio di correttezza) del Regolamento;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i), del Regolamento a Borgo Fonte Scura s.r.l., in persona del legale rappresentante, con sede legale a Silvi (TE), Contrada Vallescura, 11/C, c.f. 01875510677, di pagare la somma di euro 4.000,00 (quattromila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

quindi alla medesima Società di pagare la predetta somma di euro 4.000,00 (quattromila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1/9/2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019, e ritiene che ricorrano i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 29 ottobre 2020

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL VICE SEGRETARIO GENERALE
Filippi