g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Tecnomed Trento s.r.l. - 7 aprile 2022 [9823195]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9823195]

Ordinanza ingiunzione nei confronti di Tecnomed Trento s.r.l. - 7 aprile 2022

Registro dei provvedimenti
n. 132 del 7 aprile 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il Prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO l’atto di accertamento redatto dalla Guardia di finanza – Nucleo tutela privacy e frodi tecnologiche-, con cui è stata rilevata la presenza di un impianto di videosorveglianza presso la sede della Tecnomed Trento s.r.l., non conforme alle disposizioni di cui all’art. 13 del Regolamento e dell’art. 114 del Codice;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Segnalazione di un impianto di videosorveglianza e avvio del procedimento sanzionatorio.

Con nota del 19.6.2020 è stata segnalata l’installazione di un impianto di videosorveglianza presso la Tecnomed Trento s.r.l. con sede in Trento, via Paolo Borsellino 3, situata all’interno del complesso condominiale “Residenza le Corti Fiorite”.

Il Dipartimento, con nota del 27.10.2021, ha delegato il Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza ad acquisire le informazioni relative al sistema di videosorveglianza suddetto.

Con nota del 15.12.2021, il Nucleo speciale tutela privacy e frodi tecnologiche ha trasmesso il verbale dell’ispezione effettuata, in data 23.11.21, presso la sede operativa di Tecnomed Trento s.r.l., con cui verificata la presenza di 15 telecamere funzionanti, poste all’interno e all’esterno della sede operativa suddetta, è stata accertata l’assenza dei cartelli informativi della presenza delle telecamere poste all’ingresso della Società, nella zona dell’autorimessa e nella zona di accesso dei dipendenti, la circostanza che l’istallazione delle telecamere era stata effettuata senza l’autorizzazione da parte della Direzione territoriale del lavoro o dell’accordo sindacale e in assenza di adeguate misure di sicurezza e senza che i soggetti deputati alla visione delle immagini fossero opportunamente istruiti al riguardo.

Sulla base di quanto emerso dagli accertamenti effettuati, l’Ufficio provvedeva a notificare alla predetta Società l’atto di avvio del procedimento sanzionatorio, ai sensi dell’art. 166, comma 5, del Codice (prot. n. 939 del 7.1.22), in relazione alla violazione degli artt. 5, par. 1, lett. a) (principio di liceità del trattamento), 13 (informativa), 29 (trattamento sotto l’autorità del titolare del trattamento o del responsabile del trattamento) e 32 (sicurezza del trattamento) del Regolamento nonché dell’art. 114 del Codice in materia di protezione dei dati personali (garanzie in materia di controllo a distanza).

2. Contenuto della memoria difensiva della società.

Con nota del 7.2.22, la Società inviava una memoria difensiva con la quale ha rappresentato che:

al momento del controllo, solo due telecamere installate dalla società presso il condominio “Residenza le Corti Fiorite” erano sprovviste della cartellonistica informativa;

solo una telecamera era sprovvista di autorizzazione da parte del Servizio lavoro della Provincia autonoma di Trento in quanto installata successivamente alla richiesta di autorizzazione rilasciata il 3.5.2018;

tutti i dipendenti erano informati della presenza delle telecamere, avendo accettato e sottoscritto il Regolamento aziendale ove è indicata la presenza delle telecamere installate all’interno dei locali;

in data 12.1.22, la Società ha provveduto ad inoltrare al Servizio lavoro Provincia autonoma di Trento (PAT) la documentazione richiesta al fine di ottenere l’autorizzazione dell’impianto;

è stata attivata la funzione di oscuramento per le telecamere idonee a riprendere un vialetto comune e per la telecamera idonea a riprendere i lavoratori all’interno dell’area ove è posizionata la cassaforte;

sono stati posizionati cartelli informativi della presenza delle telecamere presso ogni area videosorvegliata;

sono state completate le informative privacy inserendo le informazioni relative alla videosorveglianza;

sono state regolarmente effettuate le nomine ai soggetti autorizzati a visionare le immagini.

3. L’esito dell’istruttoria e del procedimento sanzionatorio. Violazioni accertate.

All’esito dell’esame della documentazione prodotta è emerso che l’impianto di videosorveglianza, installato presso la sede di Tecnomed Trento s.r.l., pur risultando attivo e funzionante, non era adeguatamente segnalato in tutti gli spazi in cui erano installate le telecamere, mediante apposti i cartelli recanti l’informativa di cui all’art. 13 del Regolamento ed era stato istallato in modo non conforme rispetto alla dislocazione indicata nella richiesta di autorizzazione della Provincia Autonoma di Trento, Sezione Lavoro (risultavano installate due telecamere in più rispetto a quelle autorizzate), peraltro l’autorizzazione risulta richiesta solo nell’anno 2018, a fronte del fatto che l’istallazione era invece avvenuta nel 2013.

Risulta inoltre accertato che le tre persone abilitate all’accesso alle immagini registrate dal sistema di videosorveglianza utilizzassero credenziali condivise per accedere alla visualizzazione delle immagini. Tale circostanza, in assenza di altre misure tecniche e organizzative, è inidonea a garantire la riservatezza delle informazioni trattate attraverso il sistema di videosorveglianza utilizzato dalla società, in particolare non consente di verificare chi abbia effettuato determinate operazione di trattamento quali la visualizzazione, la copia o la cancellazione dei dati. Ciò, tenuto in particolare conto anche del fatto, come è stato accertato in sede di ispezione, che solo una delle persone abilitate all’accesso era stata istruita al riguardo.

Le circostanze di cui sopra si pongono in contrasto con gli obblighi del titolare del trattamento previsti dal Regolamento dall’art. 29 che prevede che “il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento” e dall’art. 32 che prevede che “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischi” e che “Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento”.

Nel caso di specie, risulta evidente come la parte abbia quindi effettuato un trattamento di dati personali, per mezzo di un impianto di videosorveglianza, in assenza (con riferimento agli spazi sopra richiamati) di informativa e in violazione degli obblighi previsti all’art. 29 e 32 del Regolamento. Tale condotta si pone in contrasto con quanto stabilito dall’art. 13 del Regolamento, in base al quale il titolare del trattamento – prima dell’inizio del trattamento - è tenuto a fornire all’interessato tutte le informazioni relative alle caratteristiche essenziali del trattamento. Nell’ambito del rapporto di lavoro, l’obbligo di informare il dipendente è altresì espressione del principio generale di correttezza dei trattamenti, contenuto nell’art. art. 5, par. 1, lett. a) del Regolamento.

Inoltre, avendo la società proceduto all’installazione dell’impianto nel 2013 e richiesto l’autorizzazione alla Provincia Autonoma di Trento, Sezione Lavoro, solo in data 3 maggio 2018e avendo successivamente installato anche due telecamere aggiuntive, non previste dall’autorizzazione rilasciata, il trattamento è stato effettuato in violazione dell’art. 114 del Codice in materia di protezione dei dati personali.

AL riguardo occorre evidenziare che i trattamenti di dati personali effettuati nell’ambito del rapporto di lavoro, se necessari per la finalità di gestione del rapporto stesso (v. artt. 6, par. 1, lett. c); 9, par. 2, lett. b) del Regolamento), devono svolgersi nel rispetto dei principi generali indicati dall’art. 5 del Regolamento, ed in particolare del principio di liceità, in base al quale il trattamento è lecito se è conforme alle discipline di settore applicabili (art. 5, par. 1, lett. a) del Regolamento). Coerentemente con tale impostazione, l’art. 88 del Regolamento ha fatto salve le norme nazionali di maggior tutela (“norme più specifiche”) volte ad assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei lavoratori. Il legislatore nazionale ha approvato, quale disposizione più specifica, l’art. 114 del Codice che tra le condizioni di liceità del trattamento ha stabilito l’osservanza di quanto prescritto dall’art. 4, legge 20 maggio 1970, n. 300. La violazione dell’art. 88 del Regolamento è soggetta, ricorrendone i requisiti, all’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, lett. d) del Regolamento.

In base al richiamato art. 4, l. n. 300 del 1970 gli apparati di videosorveglianza, qualora dagli stessi derivi “anche la possibilità di controllo a distanza” dell'attività dei dipendenti, “possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale” e la relativa installazione deve, in ogni caso, essere eseguita previa stipulazione di un accordo collettivo con la rappresentanza sindacale unitaria o con le rappresentanze sindacali aziendali o, ove non sia stato possibile raggiungere tale accordo o in caso di assenza delle rappresentanze, solo in quanto preceduta dal rilascio di apposita autorizzazione da parte dell'Ispettorato del lavoro. L’attivazione e la conclusione di tale procedura di garanzia è dunque condizione indefettibile per l’installazione di sistemi di videosorveglianza. La violazione di tale disposizione è penalmente sanzionata (v. art. 171 del Codice). Il trattamento dei dati personali effettuato dalla società attraverso il sistema di videosorveglianza risulta, quindi, illecito, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a), 13 e 114 del Codice.

Né è idonea a far venir meno l’obbligo di conformarsi alla richiamata disciplina la circostanza, rappresentata dalla società, che i lavoratori avessero prestato il consenso al trattamento dei dati personali attraverso il sistema di videosorveglianza.

Infatti, sul punto, la giurisprudenza di legittimità ha più volte ritenuto che l’art. 4, l. n. 300 del 1970 cit., “tutela interessi di carattere collettivo e superindividuale”, pertanto anche il consenso, eventualmente prestato dai singoli lavoratori all’installazione di impianti, non è equivalente alla necessaria attivazione della procedura con le rappresentanze dei dipendenti o, in mancanza, sotto il controllo dell’autorità pubblica (v., tra le altre, Cass., sez. III pen., 8 maggio 2017, n. 22148 e 17.12.2019, n. 50919 cit.). In proposito, inoltre, si rappresenta che il Garante ha più volte ribadito che in ambito lavorativo il consenso non costituisce base giuridica idonea per il trattamento dei dati personali dei dipendenti (v., tra gli altri, provv. 13.12.2018, n. 500, doc. web n. 9068983, punto 3.1.; con specifico riferimento alla videosorveglianza v. provvedimenti 4 luglio 2013, n. 336, doc. web n. 2578071 e 18 luglio 2013, n. 361, doc. web n. 2605290)

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Per i suesposti motivi l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati personali effettuato dalla società risulta infatti illecito, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a) (principio di liceità) 29 (trattamento sotto l’autorità del titolare del trattamento o del responsabile del trattamento) e 32 (sicurezza del trattamento) del Regolamento nonché dell’art. 114 del Codice (garanzie in materia di controllo a distanza).

Visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento, si dispone quindi l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) del Regolamento).

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

Ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166, commi 3 e 7 del Codice, il Garante dispone l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, mediante adozione di un’ordinanza ingiunzione (art. 18, l. 24.11.1981, n. 689), in relazione ai trattamenti dei dati personali effettuati dalla società, di cui è risultata accertata l’illiceità, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a), 13, 29, 32 del Regolamento e all’art. 114 del Codice.

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, considerato che le accertate violazioni dell’art. 5 del Regolamento sono da considerarsi più gravi, in quanto relative alla inosservanza di una pluralità di principi di carattere generale applicabili al trattamento di dati personali, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto per la predetta violazione. Conseguentemente si applica la sanzione prevista dall’art. 83, par. 5, lett. a), del Regolamento, che fissa il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore.

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze emerse nel corso dell’istruttoria a completamento di quanto segnalato:

in relazione alla natura, gravità e durata della violazione è stata considerata la natura della violazione che ha riguardato i principi generali del trattamento; le violazioni hanno anche riguardato le condizioni di liceità del trattamento (sia quelle generali che le disposizioni più specifiche riguardo ai trattamenti nell’ambito dei rapporti di lavoro), le disposizioni sull’informativa.

con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare è stata presa in considerazione la circostanza che il titolare aveva posizionato alcune informative, anche se non in tutte le aree riprese, e aveva richiesto, seppure tardivamente ma prima degli accertamenti, l’autorizzazione alla Provincia Autonoma di Trento, Sezione Lavoro, ad eccezione di due telecamere, non contemplate nell’autorizzazione e istallate successivamente;

la società ha cooperato con l’Autorità nel corso del procedimento provvedendo a effettuare alcuni interventi correttivi all’impianto di videosorveglianza, conformandosi alle norme in materia di protezione dei dati personali;

l’assenza di precedenti specifici a carico della società.

Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla società con riferimento al bilancio d’esercizio per l’anno 2020.

5.4. Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Tecnomed Trento s.r.l. la sanzione amministrativa del pagamento di una somma pari a 10.000 (diecimila).

In tale quadro si ritiene, altresì, in considerazione della tipologia delle violazioni accertate che hanno riguardato le condizioni di liceità del trattamento, l’obbligo di fornire un’idonea informativa agli interessati, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante.

Si ritiene, altresì, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Si ricorda che, ricorrendone i presupposti, può essere applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e) del Regolamento.

TUTTO CIÒ PREMESSO, IL GARANTE

rileva l’illiceità del trattamento effettuato da Tecnomed Trento s.r.l., in persona del legale rappresentante, con sede legale ed operativa in sita in Trento, via Paolo Borsellino 3, nei termini di cui in motivazione, per la violazione degli artt. 5, par. 1, lett. a) e c), 13, 29, 32 del Regolamento e 114 del d.lgs. 196/2003;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento, a Tecnomed Trento s.r.l., di pagare la somma di euro 10.000,00 (diecimila) a titolo di sanzione amministrativa pecuniaria per la violazione indicata nel presente provvedimento;

INGIUNGE

quindi alla stessa Tecnomed Trento s.r.l., di pagare la predetta somma di euro 10.000,00 (diecimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981. Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del regolamento n. 1/2019.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 7 aprile 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei