[doc. web n. 1901698]

Ordinanza di ingiunzione nei confronti di Banca popolare Sant´Angelo S.C.P.A. - 9 febbraio 2012

Registro dei provvedimenti
n. 53 del 9 febbraio 2012

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Daniele De Paoli, segretario generale;

ESAMINATI i rapporti amministrativi predisposti dal Nucleo privacy della Guardia di finanza ai sensi dell´art. 17 della legge 24 novembre 1981, n. 689, relativi ai verbali di contestazione per violazione amministrativa redatti in data 18 dicembre 2009, 29 gennaio 2010 e 11 febbraio 2010 nei confronti della Banca Popolare Sant´Angelo S.C.P.A., con sede in Licata (AG), Corso Vittorio Emanuele n. 10, in persona del legale rappresentante pro tempore, per la violazione degli articoli 13 e 37 del Codice in materia di protezione dei dati personali (di seguito denominato "Codice");

CONSIDERATO che, a seguito di una segnalazione con cui si lamentava l´installazione di un sistema di rilevamento di dati biometrici associato ad immagini presso la filiale di Gela della suddetta Banca, sita in Via Bresmes n. 1, il Nucleo privacy della Guardia di finanza effettuava gli accertamenti, in esecuzione delle richieste di informazioni formulate dall´Autorità ai sensi dell´art. 157 del Codice prot. n. 22433/U del 14 ottobre 2009 e prot. n. 915/U del 15 gennaio 2010, al fine di verificare il rispetto dei principi stabiliti dal Garante nel provvedimento adottato il 27 ottobre 2005 in materia di rilevazione delle impronte digitali associato ad immagini per l´accesso ad istituti di credito;

VISTI i verbali di operazioni compiute, redatti dal suddetto Nucleo in data 5 novembre 2009 e in data 27 e 29 gennaio 2010, con cui, a fronte del trasferimento di sede della filiale di via Bresmes n. 1 formalizzato con il verbale di operazioni compiute del 5 novembre 2009, è stato accertato che, presso la nuova sede dell´Agenzia n. 1 della Banca popolare Sant´Angelo, sita in Gela, Via Generale Cascino n. 30, erano presenti un sistema di rilevamento di dati biometrici associato ad immagini e un sistema di videosorveglianza, composto di 11 telecamere poste sia all´interno che all´esterno della filiale. Dagli accertamenti, è emerso che, in entrambi i casi, pur essendo state predisposte le informative di cui all´art. 13 del Codice, le stesse erano collocate solo all´interno dei locali della filiale. A fronte del trattamento dei dati biometrici, è stato inoltre rilevato che non è stata effettuata la notificazione di cui all´art. 37, comma 1, lett. a) del medesimo Codice;

VISTO il verbale n. 82 del 18 dicembre 2009, con cui sono state contestate le violazioni amministrative previste dall´art. 161 con riferimento all´omessa informativa rispetto al trattamento dei dati personali effettuato mediante il sistema di videosorveglianza, e dall´art. 161, in combinato disposto con l´art. 164-bis, comma 3, con riferimento all´omessa informativa rispetto al trattamento di dati biometrici;

VISTO il verbale n. 6/2010 del 29 gennaio 2010, con cui è stata contestata nuovamente la violazione amministrativa prevista dall´art. 161 del Codice relativamente all´omessa informativa rispetto al trattamento di dati personali effettuato per mezzo del sistema di videosorveglianza;

VISTO, inoltre, il verbale n. 17/2010 del 16 febbraio 2010, con cui è stata contestata la violazione amministrativa prevista dall´art. 163 in relazione all´omessa notificazione ai sensi degli artt. 37 e 38 del Codice;

RILEVATO dai predetti rapporti che non risultano essere stati effettuati i pagamenti in misura ridotta;

VISTI gli scritti difensivi inviati ai sensi dell´art. 18 della legge n. 689/1981 nei quali la parte ha dichiarato che:

- con riferimento al trattamento di dati personali effettuato per mezzo del sistema di videosorveglianza, l´informativa posta all´interno della Banca, sebbene recante il riferimento alla legge n. 675/1996, riporta gli stessi elementi previsti dall´art. 13 del Codice, cosicché "la contestazione della Guardia di finanza appare motivata su un piano esclusivamente formalistico", non potendosi, nel caso di specie, contestare il contenuto dell´informativa. Poiché la medesima violazione è stata accertata due volte dal Nucleo (la prima il 5 novembre 2009 e la seconda il 29 gennaio 2010), la parte ha invocato il principio del ne bis in idem, chiedendo che non venga irrogata nuovamente la sanzione amministrativa ex art. 161 del Codice. Nel merito, la parte ha fatto inoltre presente che, all´atto del secondo accertamento del 29 gennaio 2010, risultavano affisse, all´esterno della Banca, quattro informative che si riferivano sia alla presenza del sistema di videosorveglianza sia a quello di rilevamento di dati biometrici, poiché "entrambe le modalità di rilevazione sono espressamente indicate negli avvisi e rappresentate graficamente attraverso due distinte didascalie";

- con riferimento al trattamento di dati biometrici, posta la presenza di un avviso all´interno della Banca, nella bacheca recante gli avvisi al pubblico, come accertato nel corso delle operazioni del 5 novembre 2009, dal verbale non "si evince in alcun modo che tale avviso non sia adeguatamente visibile dall´esterno attraverso la porta a vetri". Tale avviso, tra l´altro, reca tutti gli elementi previsti dall´art. 13 del Codice. Pertanto, secondo la parte, ciò che è stato contestato attiene all´assenza di ulteriore cartellonistica, poiché l´informativa all´esterno della filiale era stata regolarmente collocata, ma probabilmente era stata sottratta da terzi sconosciuti; per quanto concerne, invece, la contestazione per omessa notificazione, la parte ha ritenuto di aver dato seguito correttamente a tutte le indicazioni del Garante procedendo, in primo luogo, alla presentazione dell´istanza di verifica preliminare, ai sensi dell´art. 17 del Codice e, conformemente alle indicazione del provvedimento del 27 ottobre 2005, comunicando la dismissione degli impianti, presso la sede poi chiusa, e la conseguente installazione degli stessi impianti presso la nuova sede. Pertanto, avendo ricevuto riscontro dall´Autorità in ordine alla corretta conclusione della procedura, ha ritenuto di aver adempiuto ad ogni obbligo di legge;

LETTI i verbali di audizione, redatti in data 9 febbraio e 7 novembre 2011 ai sensi dell´art. 18 della legge n. 689/1981, con cui la parte ha sostanzialmente ribadito quanto affermato negli scritti difensivi;

RITENUTO che le argomentazioni addotte non risultano idonee ad escludere la responsabilità della parte in ordine a quanto contestato. Con riferimento alle violazioni di cui all´art. 161 del Codice, si rileva che le contestazioni hanno riguardato l´assenza, all´esterno della Banca, di idonee informative ai sensi dell´art. 13 del medesimo Codice. Si deve osservare che i provvedimenti adottati dal Garante in materia di rilevazione di impronte digitali ed immagini del 27 ottobre 2005 [doc. web n. 1246675] e in materia di videosorveglianza dell´8 aprile 2010 [doc. web n. 1712680], forniscono indicazioni molto precise al riguardo, prescrivendo che gli interessati debbano essere previamente informati della presenza di sistemi di videosorveglianza e di rilevamento di dati biometrici, mediante l´affissione di un´informativa minima (prima del raggio d´azione della telecamera e comunque prima che i dati siano rilevati) da cui risultino chiaramente il titolare del trattamento e le finalità perseguite. In base a tale prescrizione, pertanto, non risulta sufficiente la mera predisposizione né l´esposizione di un´informativa esclusivamente all´interno dei locali della filiale quando, come nel caso di specie, le telecamere siano collocate anche all´esterno e l´acquisizione del dato biometrico avvenga prima di accedere all´interno della filiale. Con specifico riferimento al sistema di videosorveglianza, poi, si deve rilevare che l´omissione assume particolare rilievo in quanto, in assenza di informativa, le persone che entrano nel campo d´azione delle telecamere esterne alla filiale non sono in grado di risalire all´effettivo titolare del trattamento. Non è, inoltre, pertinente l´argomentazione per la quale, in assenza di specifica indicazione dell´organo accertatore, l´informativa sarebbe stata visibile anche dall´esterno. Infatti, la valutazione fatta dai pubblici ufficiali in sede di accertamento e riportata in atti appare pienamente documentata, né la parte ha fornito nel procedimento osservazioni tecniche idonee a dimostrare il contrario. Occorre inoltre rilevare che, anche successivamente alla contestazione della violazione avvenuta con il verbale n. 82 del 18 dicembre 2009, il titolare del trattamento non collocava all´esterno della filiale alcuna informativa relativamente alla videosorveglianza, tanto che i militari della Guardia di finanza, incaricati di acquisire ulteriori informazioni, in data 29 gennaio 2010 procedevano ad una nuova contestazione (verbale n. 6/2010). In ordine a quanto osservato con riferimento a tale ultima contestazione, circa il fatto che alla data del 29 gennaio 2010 risultavano affisse all´esterno dei locali della Banca n. 4 informative che soddisferebbero l´obbligo di cui all´art. 13 in ordine a entrambi i trattamenti di dati personali (videosorveglianza e biometria), si osserva che:

- le predette informative sono quelle di cui allo schema semplificato allegato al provvedimento del 27 ottobre 2005 e riguardano, pertanto, solo il trattamento di rilevamento delle immagini associato alle impronte digitali (non riguardano, invece, il distinto trattamento effettuato attraverso il sistema di videosorveglianza);

- diversamente da quanto ritenuto, le suddette informative non risultano idonee ad informare gli interessati rispetto al distinto trattamento effettuato attraverso il sistema di videosorveglianza. Ciò risulta peraltro confermato anche da quanto dichiarato nel verbale del 29 gennaio 2010 dall´ufficio tecnico della Banca Popolare Sant´Angelo e dall´allegato n. 10 al predetto verbale, da cui si rileva che l´istituto bancario ha espressamente previsto l´apposizione dell´informativa minima sulla videosorveglianza nel caso di utilizzo di tali sistemi. Su questo aspetto, inoltre, la parte ha chiesto che non venga applicata la sanzione amministrativa in riferimento all´accertamento della medesima violazione, in base al principio del ne bis in idem. Contrariamente a quanto sostenuto, tuttavia, nel caso di specie la condotta illecita commessa dalla parte configura un´ipotesi di concorso formale di illeciti, che soggiace alla disciplina dettata dall´art. 8 della legge n. 689/1981, avendo la parte commesso con una omissione più violazioni della stessa disposizione. Il protrarsi nel tempo della condotta omissiva (dal 5 novembre 2009 al 29 gennaio 2010) ha infatti determinato la reiterata violazione dei diritti di tutti gli interessati, le cui immagini sono state riprese dal sistema di videosorveglianza. Con riferimento al trattamento di dati biometrici, si precisa che l´argomentazione secondo cui il relativo avviso posizionato all´esterno della filiale sarebbe stato rimosso da terzi sconosciuti, non sostanzia i presupposti applicativi della disciplina dell´art. 3 della legge n. 689/1981, poiché la parte non ha fornito alcun elemento che dimostri che l´errore non è derivato da sua colpa. Infine, la parte si è resa responsabile anche della violazione dell´art. 37 del Codice, non avendo ottemperato all´obbligo della notificazione del trattamento di dati biometrici. Infatti, come risulta dagli atti, la parte si è limitata a proporre l´istanza di verifica preliminare con ciò ritenendo di aver provveduto a tutti gli adempimenti di legge. In realtà, la procedura attinente alla notificazione è un adempimento che deve essere effettuato dal titolare del trattamento, a prescindere dalla richiesta di verifica preliminare, posto che il provvedimento su citato fa salvo "l´obbligo di notificare al Garante il trattamento dei dati secondo le modalità previste (art. 37, comma 1, lett. a) del Codice)". Di questo adempimento la parte era ben consapevole, tanto che nella richiesta di verifica preliminare, ha compilato anche il campo in cui si chiede il numero di iscrizione al registro dei trattamenti, inserendo quello di iscrizione al registro delle imprese che non è tuttavia pertinente. Tra l´altro, l´omessa notificazione del trattamento sostanzia un illecito omissivo di natura permanente, per il quale il momento della consumazione coincide con la cessazione della condotta (effettuazione della notificazione) ovvero con il momento in cui la violazione viene accertata. Tale condotta omissiva, peraltro, non risulta essere cessata, poiché, anche successivamente all´avvio del procedimento sanzionatorio non è stata effettuata la notificazione secondo le modalità previste dall´art. 38 del Codice;

RILEVATO, quindi, che è stato effettuato un trattamento di dati personali mediante un sistema di videosorveglianza senza fornire agli interessati un´idonea informativa ai sensi dell´art. 13 del Codice e che la predetta violazione risulta accertata in data 5 novembre 2009 e 29 gennaio 2010, determinandosi, per effetto della predetta omissione, più violazioni dell´art. 13;

RILEVATO, inoltre, che è stato effettuato un trattamento di dati biometrici associato ad immagini senza rendere un´informativa idonea ai sensi dell´art. 13 del Codice e senza effettuare la notificazione di cui all´art. 37, comma 1, lett. a);

VISTO l´art. 161 del Codice che punisce la violazione dell´art. 13 con la sanzione amministrativa del pagamento di una somma da seimila a trentaseimila euro;

VISTO l´art. 163 del Codice che punisce la violazione delle disposizioni di cui agli artt. 37 e 38 con la sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge 24 novembre 1981 n. 689, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

RITENUTO che, nel caso in cui l´infrazione non abbia caratterizzazioni specifiche che possano portare a valutazioni di maggiore o minor rigore, nella determinazione della sanzione può ritenersi corretta l´individuazione di un importo pari al terzo del massimo o, se più favorevole, al doppio del minimo, in linea con quanto previsto dall´art. 16 della L. n. 689/1981, ferma restando la valutazione degli ulteriori elementi previsti dall´art. 11 della medesima legge [cfr. Cass. civ., sez. I, 4 novembre 1998, n. 11054];

CONSIDERATO che, nel caso in esame:

a) in ordine all´aspetto della gravità, le violazioni oggetto del procedimento sanzionatorio assumono una connotazione particolarmente rilevante se valutate in relazione agli elementi dell´entità del pregiudizio o del pericolo e delle modalità concrete della condotta in quanto il trattamento dei dati biometrici è stato effettuato in assenza degli adempimenti di cui agli artt. 37 e 38 del Codice e, con riferimento alla filiale di Gela, anche in assenza dell´informativa prevista dall´art. 13 del Codice; rileva, inoltre, nel caso di specie l´intensità dell´elemento soggettivo, in relazione alla presenza presso il titolare del trattamento di specifiche figure professionali dedicate agli adempimenti in materia di protezione dei dati personali;

b) ai fini della valutazione dell´opera svolta dall´agente, deve essere valutata negativamente la circostanza che la Banca, anche successivamente alla contestazione della violazione, non ha effettuato la notificazione del trattamento di dati biometrici, né ha fornito alcun riscontro, nell´ambito del procedimento, in relazione all´apposizione di un´informativa per il sistema di videosorveglianza;

c) circa la personalità dell´autore della violazione, deve essere positivamente considerata la circostanza che l´ente non risulti avere precedenti specifici in termini di violazioni alle disposizioni del Codice;

d) circa le condizioni economiche dell´agente, al fine di commisurare l´importo della sanzione alla reale capacità economica del trasgressore nel rispetto del principio di uguaglianza, si rileva che la parte ha conseguito un consistente utile nell´anno 2010;

RITENUTO di dover determinare, ai sensi dell´art. 11 della L. n. 689/1981, l´ammontare della sanzione pecuniaria nella misura di euro 20.000,00 (ventimila) per la violazione di cui all´art. 161 (in relazione al sistema di videosorveglianza), nella misura di euro 20.000,00 (ventimila) per la violazione dell´art. 161 (in relazione al trattamento di dati biometrici), nella misura di euro 40.000,00 (quarantamila) per la violazione dell´art. 163;

RITENUTO, inoltre, che, con riferimento alla violazione per omessa informativa in relazione al sistema di videosorveglianza, ai sensi dell´art. 8, comma 1, della legge n. 689/1981, in considerazione del fatto che, attraverso un´unica condotta omissiva, sono state commesse più violazioni della stessa disposizione di legge, la sanzione deve essere nel caso di specie aumentata sino a euro 40.000,00 (quarantamila);

CONSIDERATO, quindi, che l´importo complessivo delle sanzioni è pari a euro 100.000,00 (centomila);

VISTA la documentazione in atti;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE il dott. Giuseppe Fortunato;

ORDINA

alla Banca popolare Sant´Angelo S.C.P.A., con sede in Licata (AG), Corso Vittorio Emanuele n. 10, in persona del legale rappresentante pro tempore, per la violazione degli articoli 13 e 37 del Codice in materia di protezione dei dati personali, di pagare la somma di euro 100.000,00 (centomila) a titolo di sanzione amministrativa pecuniaria per le violazioni previste dagli artt. 161 e 163 del Codice;

INGIUNGE

alla medesima Banca di pagare la somma di euro 100.000,00 (centomila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale o in copia autentica, quietanza dell´avvenuto versamento.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 9 febbraio 2012

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE
De Paoli