[doc. web n. 10043025]

Provvedimento del 9 maggio 2024

Registro dei provvedimenti
n. 272 del 9 maggio2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il Prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il verbale di ispezione redatto dal Comando di Polizia municipale e protezione civile del Comune di Reggio Emilia, in data 14.03.2023, presso l’esercente denominato “Caffetteria 77 Torrcaffé”, sito presso viale Umberto I n.28/c, Reggio Emilia, dell’impresa individuale “Caffetteria 77” di Dughetti Barbara, con cui è stata accertata la presenza di un impianto di videosorveglianza, attivo e funzionante, composto da due telecamere idonee a riprendere sia i clienti, sia il personale dipendente, in questo caso però in assenza degli adempimenti previsti ai sensi dell’art. 4 della L. 300/1970.

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE: il dott. Agostino Ghiglia;

PREMESSO

1. L’accertamento della violazione e l’avvio del procedimento.

Con nota pervenuta il 30.06.2023 e protocollata in data 03.07.2023, il Comando di Polizia municipale e protezione civile del Comune di Reggio Emilia – ha trasmesso a questa Autorità il verbale del controllo effettuato, in data 14/03/2023 da personale dello stesso Comando, presso l’esercente denominato “Caffetteria 77 Torrcaffé”, sito presso viale Umberto I n.28/c, Reggio Emilia, dell’impresa individuale “Caffetteria 77” (di seguito “Impresa”) di Dughetti Barbara, con sede legale presso il medesimo indirizzo.

Nel verbale risulta accertata, presso i suddetti locali, la presenza di un impianto di videosorveglianza, costituito da 2 telecamere regolarmente funzionanti, che sarebbero idonee a riprendere sia i clienti, sia il personale dipendente, in questo caso però in assenza degli adempimenti previsti ai sensi dell’art. 4 della L. 300/1970 (Statuto dei lavoratori) e quindi in violazione delle disposizioni in materia di trattamento di dati personali.

Si rileva che il verbale redatto dalla Polizia municipale è stato sottoscritto dalla titolare dell’esercizio, che la stessa ha confermato l’esistenza di un lavoratore dipendente e che, nel corso dell’istruttoria.

Sulla base degli accertamenti di cui al predetto verbale, si provvedeva a notificare all’Impresa, l’avvio del procedimento per l’adozione dei provvedimenti di cui agli artt. 58, par. 2, e 83 del Regolamento (UE) 2016/679 (di seguito “Regolamento”), in conformità a quanto previsto dall’art. 166, comma 5, del d.lgs. n. 196 del 30 giugno 2003 (di seguito “Codice”), in relazione la violazione del principio di liceità del trattamento (art. 5, par. 1, lett. a) del Regolamento in relazione all’art. 114 del Codice) e dell’art. 88 del Regolamento quanto alla disciplina applicabile in materia. Alla prima notifica non andata a buon fine in quanto la PEC ufficiale dell’Impresa non risultava attiva, è seguita una seconda nota via raccomandata protocollata in data 26.10.2023 (protocollo u. 0146048/23) e trasmessa in data del 02.11.2023, regolarmente consegnata.

2. Il quadro giuridico del trattamento effettuato.

L’utilizzo di sistemi di videosorveglianza può determinare, in relazione al posizionamento delle telecamere e alla qualità delle immagini riprese, un trattamento di dati personali.

Tale trattamento, avvenuto nel caso di specie, deve essere effettuato nel rispetto dei principi generali contenuti nell’art. 5 del Regolamento. Il titolare del trattamento, deve seguire anche le indicazioni contenute nel provvedimento in materia di videosorveglianza - 8 aprile 2010 [1712680] (in tal senso anche le Faq in materia di videosorveglianza, pubblicate sul sito web dell’Autorità), e nelle Linee Guida n. 3/2019 del Comitato europeo per la protezione dei dati sul trattamento dei dati personali attraverso dispositivi video.

Inoltre, se l’impianto di videosorveglianza è idoneo a riprendere anche lavoratori dipendenti durante l’attività lavorativa, il connesso trattamento dei dati personali è lecito solo se è conforme alla disciplina prevista dall’art. 4, legge 20 maggio 1970, n. 300.

Difatti, i trattamenti di dati personali effettuati nell’ambito del rapporto di lavoro, se necessari per la finalità di gestione del rapporto stesso (v. artt. 6, par. 1, lett. b) e c); 9, par. 2, lett. b) del Regolamento), devono svolgersi nel rispetto dei principi generali indicati dall’art. 5 del Regolamento, ed in particolare del principio di liceità, in base al quale il trattamento è lecito se è conforme alle discipline di settore applicabili (art. 5, par. 1, lett. a), del Regolamento).

Coerentemente con tale impostazione, l’art. 88 del Regolamento ha fatto salve le norme nazionali di maggior tutela (“norme più specifiche”) volte ad assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei lavoratori.

Il legislatore nazionale ha approvato, quale disposizione più specifica, l’art. 114 del d.lgs. n. 196 del 30 giugno 2003 (di seguito “Codice”) che tra le condizioni di liceità del trattamento ha stabilito l’osservanza di quanto prescritto dall’art. 4, legge 20 maggio 1970, n. 300. La violazione del richiamato art. 88 del Regolamento è soggetta, ricorrendone i requisiti, all’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, lett. d) del Regolamento.

In base al richiamato art. 4, l. n. 300 del 1970 gli apparati di videosorveglianza, qualora dagli stessi derivi “anche la possibilità di controllo a distanza” dell'attività dei dipendenti, “possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale” e la relativa installazione deve, in ogni caso, essere eseguita previa stipulazione di un accordo collettivo con la rappresentanza sindacale unitaria o con le rappresentanze sindacali aziendali o, ove non sia stato possibile raggiungere tale accordo o in caso di assenza delle rappresentanze, solo in quanto preceduta dal rilascio di apposita autorizzazione da parte dell'Ispettorato del lavoro.

L’attivazione e la conclusione di tale procedura di garanzia è dunque condizione indefettibile per l’installazione di sistemi di videosorveglianza. La violazione di tale disposizione è penalmente sanzionata (v. art. 171 del Codice).

3. L’esito dell’istruttoria e del procedimento sanzionatorio.

Sulla base dell’accertamento effettuato dalla Polizia municipale è emerso che l’impianto di videosorveglianza installato presso l’esercizio commerciale, composto da due telecamere idonee a riprendere sia i clienti, sia il personale dipendente, e che il relativo trattamento di dati personali è stato effettuato in assenza delle misure di garanzia previste ai sensi dell’art. 4 della L. 300/1970, richiamato dall’art. 114 del Codice, in relazione alla presenza, nei locali videosorvegliati di personale dipendente.

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Il trattamento dei dati personali effettuato dall’Impresa risulta illecito, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a) (principio di liceità), 88 del Regolamento e dell’art. 114 del Codice in materia di protezione dei dati personali.

La violazione accertata nei termini di cui in motivazione non può essere considerata “minore”, tenuto conto della natura, della gravità e della durata della violazione, del grado di responsabilità e della maniera in cui l'autorità di controllo ha preso conoscenza della violazione (v. cons. 148 del Regolamento).

All’esito dell’istruttoria e accertata l’illiceità delle condotte come sopra descritte, deve adottarsi un’ordinanza ingiunzione ai sensi dell’art. 58, par. 2, lett. i) del Regolamento per l’applicazione di una sanzione amministrativa pecuniaria

Non avendo la parte fornito riscontro all’Autorità o trasmesso dimostrazione di aver adempiuto a quanto previsto dall’art. 4 della L. 300/1970, occorre anche ingiungere ai sensi dell’art. 58, par. 2, lett. f) del Regolamento il divieto del trattamento effettuato mediante l’impianto di videosorveglianza, in quanto idoneo al controllo a distanza dei lavoratori, fino a che non abbia provveduto ad adeguarsi alle disposizioni del Regolamento, in particolare all’art. 88 del Regolamento e 114 del Codice.

5. Ordinanza di ingiunzione.

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lettere a) e d), del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. legge 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali effettuato dall’Impresa per mezzo dell’impianto di videosorveglianza, di cui è risultata accertata l’illiceità, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a) e 88 del Regolamento, e all’art. 114 del Codice.

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state tenute in considerazione le circostanze sotto riportate:

con riguardo alla natura e gravità della violazione, rileva che la stessa riguarda i principi applicabili al trattamento di cui all’art. 5 del Regolamento nonché il rispetto della disciplina di settore richiamata dall’art.88 del Regolamento e la responsabilità connessa all’inadempimento dell’obbligo di attuare la procedura di garanzia prevista dall’art. 114 del Codice;

l’assenza di precedenti specifici a carico dell’Impresa relativi a violazioni della disciplina in materia di protezione dei dati personali;

la circostanza che l’Impresa non ha collaborato nel corso del procedimento, non avendo fornito alcun elemento a propria difesa e non avendo fornito dimostrazione al Garante di aver provveduto a conformarsi alle procedure di garanzia previste dalla L.300/1970 (c.d. Statuto dei Lavoratori);

con riferimento alla durata della violazione, assume particolare rilievo la circostanza che l’Impresa non ha fornito alcuna comunicazione in merito alla cessazione del trattamento illecito, che dunque si considera ancora in corso.

Si ritiene inoltre che assumano rilevanza, nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), le condizioni economiche del contravventore, determinate con riferimento alla dichiarazione dei redditi per l’anno d’imposta 2022.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 3.000,00 (tremila) per la violazione degli artt. 5, par. 1, lett. a), 88 del Regolamento e 114 del Codice.

In tale quadro, anche in considerazione della tipologia di violazione accertata, si ritiene che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito internet del Garante.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

dichiara, ai sensi degli artt. 57, par. 1, lettere a) e h) e 83 del Regolamento, l’illiceità del trattamento effettuato da “Caffetteria 77” (Partita IVA 02965830355), attraverso l’utilizzo del sistema di videosorveglianza installato presso l’esercente “Caffetteria 77 Torrcaffé”, sito presso via Alcide De Gasperi 7, Caponago (MB), nei termini di cui in motivazione, per la violazione dell’art. 5, par. 1, lett. a), 88 del Regolamento e dell’art. 114 del Codice;

DISPONE

ai sensi dell’art. 58, par. 2, lett. f) del Regolamento il divieto del trattamento effettuato mediante l’impianto di videosorveglianza, in quanto idoneo al controllo a distanza dei lavoratori, fino a che non abbia provveduto ad adeguarsi alle disposizioni del Regolamento, in particolare all’art. 88 del Regolamento e 114 del Codice, provvedendo all’attivazione delle misure di garanzia previste dall’art.4 L.300/1970;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento, all’impresa individuale “Caffetteria 77” di Dughetti Barbara (Partita IVA 02965830355), di pagare la somma di euro di euro 3.000,00 (tremila) a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione;

INGIUNGE

alla medesima Impresa di pagare la somma di euro di euro 3.000,00 (tremila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981. Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del regolamento n. 1/2019.

Si dispone, inoltre, che siano comunicate le iniziative intraprese al fine di dare attuazione a quanto disposto con il presente provvedimento e di fornire comunque riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice, entro il termine di 30 giorni dalla data di notifica del presente provvedimento; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 5, lett. e) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 9 maggio 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei