g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Ordinanza ingiunzione o revoca
  4. Ordinanza di ingiunzione nei confronti di Dusty s.r.l.- 15 novembre 2012 [2284794]

Ordinanza di ingiunzione nei confronti di Dusty s.r.l.- 15 novembre 2012 [2284794]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 2284794]

Ordinanza di ingiunzione nei confronti di Dusty s.r.l. - 15 novembre 2012

Registro dei provvedimenti
n. 345 del 15 novembre 2012

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, e della prof.ssa Licia Califano, componente   e del dott. Giuseppe Busia, segretario generale;

CONSIDERATO che, a seguito della segnalazione del sindacato F.I.A.D.E.L. di Catania con cui è stata lamentata l´installazione da parte della Dusty S.r.l.(di seguito la "società"), P.I. 03386300879, con sede in Catania, zona industriale IX strada n. 12, di un sistema di raccolta di dati biometrici per la rilevazione delle presenze del personale dipendente della società, l´Ufficio ha avviato un´istruttoria e, in data 15 febbraio 2010, ha formulato nei confronti della società una richiesta di informazioni ai sensi dell´art. 157 del Codice in materia di protezione dei dati personali (di seguito denominato "Codice") prot. n. 3303/64374, delegando altresì il Nucleo speciale privacy della Guardia di finanza ad effettuare accertamenti presso la società al fine di verificare il rispetto della disciplina in materia di protezione dei dati personali;

VISTO il verbale di operazioni compiute, redatto dal suddetto Nucleo in data 22 aprile 2010, dal quale è emerso che il sistema di rilevamento del dato biometrico è utilizzato dalla Dusty s.r.l. "a far data circa dal mese di marzo 2009", che il dato biometrico viene memorizzato nella smart card  del dipendente e che la società non ha provveduto alla nomina di responsabili né di incaricati del trattamento dei dati biometrici. La parte, inoltre, precisando di aver ricevuto l´adesione del personale dipendente al predetto sistema di rilevazione delle presenze e di non aver ritenuto che attraverso il rilevamento posto in essere fosse effettuato un trattamento di dati personali, ha dichiarato di non aver adempiuto all´obbligo di presentare al Garante una richiesta di verifica preliminare ai sensi dell´art. 17 del Codice, di non aver provveduto alla notificazione di cui all´art. 37, di non aver predisposto un modello specifico di informativa per il rilascio dei dati biometrici ai sensi dell´art. 13 e di non aver richiesto il relativo consenso specifico al trattamento ai sensi dell´art. 23;

VISTO il verbale n. 40 del 14 maggio 2010, con cui sono state contestate alla società le violazioni amministrative di cui:

- all´art. 162, comma 2-bis, non definibile in via breve ai sensi dell´art. 16 della legge n. 689/198, con riferimento alla mancata nomina degli incaricati del trattamento e alla conseguente violazione degli artt. 33 e seguenti del Codice e del disciplinare tecnico di cui allegato B) al Codice;

- all´art. 163, con riferimento all´inadempimento dell´obbligo di notificazione del trattamento così come previsto dagli artt. 37, comma 1, lett. a), e 38 del Codice;

- all´art. 161, con riferimento al mancato rilascio di una specifica informativa ai sensi dell´art. 13 del Codice;

- all´art. 162, comma 2-bis, con riferimento al mancato adempimento dell´obbligo di richiedere una verifica preliminare ai sensi dell´art. 17 del Codice e alla mancata acquisizione del consenso specifico al trattamento da parte dell´interessato ai sensi dell´art. 23 del Codice;

ESAMINATO il rapporto amministrativo predisposto dal Nucleo privacy della Guardia di finanza ai sensi dell´art. 17 della legge 24 novembre 1981, n. 689 dal quale non risultano essere stati effettuati i pagamenti in misura ridotta ove previsti;

CONSIDERATO che le prescrizioni impartite con il provvedimento del 23 luglio 2010 ai sensi dell´art. 169, comma 2, del Codice non sono state adempiute;

VISTO il verbale dell´audizione delle parti tenutasi, ai sensi dell´art. 18 della legge n. 689/1981, in data 4 ottobre 2010 durante la quale la società ha riferito che "il sistema di rilevamento delle presenze sui luoghi di lavoro è stato costruito in modo che in nessun momento vi sia un trattamento del dato personale del lavoratore", precisando che il dato biometrico "si riferisce alla geometria della mano e non ad impronta digitale o palmare (…) la geometria della mano non consente di per sé l´identificazione di una persona, ma è solo sufficiente alla verifica descrittiva ai fini dell´identità". La parte ha anche affermato che non ritiene che nel caso di specie vi sia alcun trattamento di dati biometrici dei lavoratori "poiché non vi è registrazione o acquisizione di dati da parte della società". Per tali motivi la parte ha chiesto l´archiviazione del procedimento sanzionatorio;

RITENUTO che le argomentazioni addotte non risultano idonee ad escludere la responsabilità della parte in ordine a quanto contestato. Si precisa che con il provvedimento del 23 novembre 2006 [doc. web n. 1364099], Linee-guida per il trattamento di dati dei dipendenti privati, in merito alla nozione di dati biometrici l´Autorità ha chiarito (punto 4.1) che "si tratta di dati ricavati dalle caratteristiche fisiche o comportamentali della persona a seguito di un apposito procedimento (in parte automatizzato) e poi risultanti in un modello di riferimento. Quest´ultimo consiste in un insieme di valori numerici ricavati, attraverso funzioni matematiche, dalle caratteristiche individuali sopra indicate, preordinati all´identificazione personale attraverso opportune operazioni di confronto tra il codice numerico ricavato ad ogni accesso e quello originariamente raccolto": da tale definizione emerge con evidenza come il trattamento posto in essere da Dusty s.r.l. rappresenti una tipica ipotesi di trattamento di dato biometrico. Ciò, anche in considerazione dei numerosi provvedimenti dell´Autorità adottati a seguito di richieste di verifica preliminare, ove il Garante, dopo aver osservato che "il caso sottoposto alla verifica preliminare di questa Autorità integra un´ipotesi di trattamento di dati personali di tipo biometrico. Tali dati, ricavati dalla conformazione della mano, sono riconducibili ai singoli interessati e ad essi si applica la disciplina del Codice" (si veda, fra molti, il provvedimento dell´8 novembre 2007 – doc. web 1461908), ha prescritto al richiedente di adottare le misure previste dalla legge in tema di informativa, notificazione e misure minime di sicurezza. Nel caso in esame, pertanto, posta la riconducibilità della caratteristica fisica della conformazione della mano al dato biometrico, Dusty s.r.l. avrebbe dovuto conformarsi alle prescrizioni impartite dal Garante nel citato provvedimento generale del 23 novembre 2006, il quale al punto 4 precisa che "l´utilizzo di dati biometrici può essere giustificato solo in casi particolari, tenuto conto delle finalità e del contesto in cui essi sono trattati e, in relazione ai luoghi di lavoro, per presidiare accessi ad aree sensibili, considerata la natura delle attività ivi svolte": nel caso di specie, il trattamento posto in essere dalla società non si colloca fra quelli previsti dal punto 4.1 e, pertanto, discostandosi dalle prescrizioni ivi impartite, la medesima società, così come prescritto nel punto 4.4 del medesimo provvedimento, avrebbe dovuto presentare un apposito interpello al Garante ai sensi dell´art. 17 del Codice. Con riferimento all´obbligo di notificazione ai sensi degli artt. 37 e 38 del Codice, si evidenzia che l´omessa notificazione del trattamento configura un illecito omissivo di natura permanente, per il quale il momento della consumazione coincide con la cessazione della condotta (effettuazione della notificazione) ovvero con il momento in cui la violazione viene accertata, e che tale condotta omissiva non risultava essere cessata alla data dell´accertamento della violazione contestata. Si rileva, inoltre, che nessuna osservazione risulta formulata in ordine alle ulteriori violazioni contestate nel verbale in argomento;

RILEVATO, quindi, che è stato effettuato un trattamento di dati biometrici:

- senza aver reso un´informativa idonea agli interessati ai sensi dell´art. 13 del Codice;

- senza aver adempiuto all´obbligo di presentare una richiesta di verifica preliminare ai sensi dell´art. 17;

- in carenza del consenso specifico degli interessati ai sensi dell´art. 23 del Codice;

-  senza aver adottato le misure di sicurezza di cui all´art. 33, nello specifico per non aver designato gli incaricati del trattamento dei dati biometrici;

-  avendo omesso di effettuare la notificazione del trattamento al Garante ai sensi degli artt. 37 e 38 del Codice;

VISTO l´art. 161 del Codice che punisce la violazione dell´art. 13 con la sanzione amministrativa del pagamento di una somma da seimila a trentaseimila euro;

VISTO l´art. 162, comma 2-bis, del Codice che punisce la violazione delle disposizioni indicate nell´art. 167, tra le quali l´art. 17, con la sanzione amministrativa del pagamento di una somma da diecimila a centoventimila euro;

VISTO l´art. 162, comma 2-bis, del Codice che punisce la violazione delle disposizioni indicate nell´art. 167, tra le quali l´art. 23, con la sanzione amministrativa del pagamento di una somma da diecimila a centoventimila euro;

VISTO l´art. 162, comma 2-bis, del Codice che punisce la violazione dell´art. 33 con la sanzione amministrativa del pagamento di una somma da diecimila a centoventimila euro;

VISTO l´art. 163 del Codice che punisce la violazione delle disposizioni di cui agli artt. 37 e 38 con la sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro;

CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge 24 novembre 1981 n. 689, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

RITENUTO che, nel caso in cui l´infrazione non abbia caratterizzazioni specifiche che possano portare a valutazioni di maggiore o minor rigore, nella determinazione della sanzione può ritenersi corretta l´individuazione di un importo pari al terzo del massimo o, se più favorevole, al doppio del minimo, in linea con quanto previsto dall´art. 16 della L. n. 689/1981, ferma restando la valutazione degli ulteriori elementi previsti dall´art. 11 della medesima legge [cfr. Cass. civ., sez. I, 4 novembre 1998, n. 11054];

RITENUTO di dover determinare, ai sensi dell´art. 11 della L. n. 689/1981, l´ammontare della sanzione pecuniaria nella misura di euro 66.000,00 (sessantaseimila) così calcolata:

- 8.000,00 (ottomila) per la violazione dell´art. 13 del Codice sanzionata dall´art. 161;

- 12.000,00 (dodicimila) per la violazione dell´art. 17 del Codice sanzionata dall´art. 162, comma 2-bis;

- 12.000,00 (dodicimila) per la violazione dell´art. 23 del Codice sanzionata dall´art. 162, comma 2-bis;

- 12.000,00 (dodicimila) per la violazione dell´art. 33 del Codice sanzionata dall´art. 162, comma 2-bis;

-  22.000,00 (ventiduemila) per la violazione degli artt. 37, lett. a), e 38 del Codice sanzionate dall´art. 163;

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la dott.ssa Augusta Iannini;

ORDINA

alla Dusty s.r.l., con sede in Catania, zona industriale IX strada n. 12, P. I. 03386300879, in persona del legale rappresentante pro tempore, per la violazione degli articoli 13, 17, 23, 33, 37, lett. a) e 38, del Codice in materia di protezione dei dati personali, di pagare la somma di euro 66.000,00 (sessantaseimila) a titolo di sanzione amministrativa pecuniaria;

INGIUNGE

alla medesima società di pagare la somma di euro 66.000,00 (sessantaseimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale o in copia autentica, quietanza dell´avvenuto versamento.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 15 novembre 2012

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia

Scheda

Doc-Web
2284794
Data
15/11/12

Tipologie

Ordinanza ingiunzione o revoca

Documenti citati