[doc. web n. 2422233]

Ordinanza di ingiunzione nei confronti di Bagno sport 70 s.a.s. - 17 gennaio 2013

Registro dei provvedimenti
n. 17 del 17 gennaio 2013

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

RILEVATO che la Tenenza della Guardia di finanza di Cesenatico, in esecuzione della richiesta di informazioni ai sensi dell´art. 157 del Codice in materia di protezione dei dati personali (di seguito denominato "Codice") nr. 14717 del 21 giugno 2010 formulata da questa Autorità, ha svolto un´attività di controllo nei confronti di Bagno sport 70 s.a.s. di Sanulli & C., con sede in Cesenatico (Fc), spiaggia levante, via Piave n. 70, in persona del legale rappresentante pro tempore, e formalizzata nel verbale di operazioni compiute redatto in data 23 luglio 2010 a fronte della quale, anche a seguito di ulteriori comunicazioni intercorse con il Nucleo privacy della Guardia di finanza, è stato accertato che la società, tramite un sistema denominato "fingerpay", ha effettuato un trattamento di dati biometrici di alcuni dei propri clienti per consentire dei pagamenti, senza effettuare la prescritta notificazione al Garante ai sensi dell´art. 37, comma 1, lett. a), del Codice;

VISTO il verbale n. 1/2010 del 18 agosto 2010 con cui è stata contestata alla società la violazione amministrativa prevista dall´art. 163 del Codice, applicando, ai sensi dell´art. 164-bis, comma 1, del Codice, il limite minimo della sanzione in misura pari a due quinti, e informandola della facoltà di effettuare il pagamento in misura ridotta ai sensi dell´art. 16 della legge n. 689/1981;

ESAMINATO il rapporto amministrativo predisposto dal Comando Tenenza della Guardia di finanza di Cesenatico ai sensi dell´art. 17 della legge 24 novembre 1981, n. 689, relativo al predetto verbale di contestazione per violazione amministrativa, dal quale non risulta essere stato effettuato il pagamento in misura ridotta;

VISTO lo scritto difensivo inviato ai sensi dell´art. 18 della legge n. 689/1981, nel quale la società ha evidenziato che "Il sistema di autorizzazione biometrico adottato dal sig. Sanulli nel proprio stabilimento (…) non consente di risalire all´identità dell´interessato né di individuare in modo continuativo l´ubicazione sul territorio", pertanto "(…) il fatto che il sistema utilizzato dal sig. Sanulli (…) non consenta l´identificazione della persona lo esclude dall´ambito applicativo del Codice stesso", precisando, peraltro, che "(…) non devono essere notificati i trattamenti di dati effettuati al solo fine di fornire all´interessato beni, prestazioni o servizi, con l´ausilio di strumenti elettronici finalizzati alla gestione del relativo rapporto e dei connessi adempimenti contabili o fiscali". Inoltre, ha rilevato la propria buona fede a fronte di "(…) un´annotazione di conformità al Codice della Privacy rilasciata dal produttore del software (Biometric solutions s.r.l.) nel quale la società venditrice del programma dichiarava la conformità del proprio prodotto a tutti i dettami previsti da suddetto Codice", considerando altresì che "(…) gli stessi Ufficiali della Guardia di finanza di Cesenatico che hanno proceduto alla verifica, non hanno rilevato violazioni al Codice della privacy";

VISTO il verbale di audizione delle parti del 19 marzo 2012 nel quale la società, nel ribadire quanto argomentato negli scritti difensivi, ha chiesto l´applicazione del minimo edittale con riduzione a 2/5 per effetto dell´art. 164-bis, comma 1 del Codice;

RITENUTO che le argomentazioni addotte non risultano idonee ad escludere la responsabilità della parte in ordine a quanto contestato. Diversamente da quanto ritenuto, il sistema utilizzato da Bagno sport 70 s.a.s., che conserva parte dell´impronta digitale dell´interessato e la trasforma in un codice alfanumerico tramite il c.d. enrollment, convertendola in un template, effettua un trattamento di dati personali ai sensi dell´art. 4, comma 1, lett.b), del Codice. Ciò, in quanto il dato biometrico (in questo caso l´impronta digitale) è per sua natura "identificativo", posto che consente di riconoscere in maniera univoca la persona dalla quale è stato generato. Di conseguenza, sussiste, ai sensi dell´art. 37, comma 1 lett. a), del Codice, l´obbligo di notificazione al Garante. Sul punto, si evidenzia come il Provvedimento del Garante del 23 novembre 2006 [doc. web n. 1364099], Linee-guida per il trattamento di dati dei dipendenti privati, circa la nozione di dato biometrico afferma che "si tratta di dati ricavati dalle caratteristiche fisiche o comportamentali della persona a seguito di un apposito procedimento (in parte automatizzato) e poi risultanti in un modello di riferimento. Quest´ultimo consiste in un insieme di valori numerici ricavati, attraverso funzioni matematiche, dalle caratteristiche individuali sopra indicate, preordinati all´identificazione personale attraverso opportune operazioni di confronto tra il codice numerico ricavato ad ogni accesso e quello originariamente raccolto": da tale definizione emerge con evidenza come il trattamento posto in essere da Bagno sport 70 s.a.s. rappresenti una tipica ipotesi di trattamento di dato biometrico. Peraltro, si rileva l´inconferenza sia di quanto dedotto in ordine ai dati che indicano la posizione geografica, atteso che, nel caso di specie, nessuna osservazione è stata formulata in ordine a quella particolare tipologia di trattamento di dati personali, sia di quanto asserito circa i casi di presunta esenzione dall´obbligo di notificazione al Garante, posto che la specifica disciplina, prevista dal provvedimento del 31 marzo 2004 (in www.garanteprivacy.it, doc. web n. 852561), nonché dai chiarimenti dell´Autorità del 23 aprile 2004 (in www.garanteprivacy.it, doc. web n. 993385), non contempla i trattamenti menzionati. Riguardo a quanto dedotto circa la buona fede del trasgressore, si osserva che questa può rilevare come causa di esclusione di responsabilità solo in presenza di un elemento positivo, estraneo all´autore dell´infrazione, idoneo ad ingenerare in lui la convinzione di liceità del suo agire, oltre alla condizione che da parte dell´autore sia stato effettuato tutto il possibile per osservare la legge e che nessun rimprovero possa essergli mosso (Cass. civ. sez. lav., n. 16320 del 12 luglio 2010). Nel caso di specie, tali requisiti non si ravvisano, atteso che il citato attestato di conformità redatto da Biometric solutions s.r.l., afferisce alle caratteristiche del sistema fornito e non agli adempimenti in materia di tutela dei dati personali che sono prerogativa del titolare del trattamento. Sul punto, poi, si osserva come il trasgressore, all´atto della sottoscrizione del citato attestato di conformità, dichiara di essere a conoscenza  "(…) di dover informare i propri clienti circa le modalità e finalità del trattamento dei dati biometrici (…) impegnandosi in prima persona all´acquisizione del consenso", nella consapevolezza, quindi, di trattare dati biometrici evidentemente sottoposti anche all´obbligo di notificazione. Inoltre, si osserva come quanto dichiarato nel verbale di operazioni compiute del 24 luglio 2010 dagli "(…)Ufficiali della Guardia di finanza di Cesenatico che hanno proceduto alla verifica (…)" non qualifichi gli elementi costitutivi dell´errore scusabile di cui all´art. 3 della legge n. 689/1981. In effetti, nel rispetto di quanto stabilito dall´art. 13 della legge n. 689/1981, l´organo incaricato dell´attività di controllo pur non ritenendo di non rilevare violazioni al Codice, ha implementato l´attività istruttoria  attraverso comunicazioni intercorse con il Nucleo privacy della Guardia di finanza in data 12 agosto 2010, a fronte delle quali è stato accertato l´illecito contestato, senza che tale approfondimento integri i requisiti per applicare la già richiamata disciplina dell´errore scusabile;

RILEVATO, quindi, che è stato effettuato un trattamento di dati biometrici senza aver adempiuto all´obbligo di effettuare la notificazione del trattamento al Garante ai sensi degli artt. 37, comma 1, lett. a), e 38 del Codice;

VISTO l´art. 163 del Codice che punisce la violazione delle disposizioni di cui agli artt. 37 e 38 con la sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro, il cui importo, già in sede di contestazione, è stato diminuito, per effetto dell´art. 164-bis, comma 1, del Codice, a 2/5;

RITENUTO che, nel caso di specie, persistono i presupposti applicativi dell´art.164-bis, comma 1, del Codice;

CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge 24 novembre 1981 n. 689, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore e che, pertanto, l´ammontare della sanzione pecuniaria per la violazione degli artt. 37, lett. a), e 38 del Codice sanzionate dall´art. 163 viene determinato nella misura di euro 8.000,00 (ottomila);

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici.

ORDINA

a Bagno sport 70 s.a.s. di Sanulli & C., con sede in Cesenatico (Fc), spiaggia levante, via Piave n. 70, di pagare la somma di euro 8.000,00 (ottomila) a titolo di sanzione amministrativa pecuniaria per la violazione prevista dall´art. 163 del Codice;

INGIUNGE

alla medesima società di pagare la somma di euro 8.000,00 (ottomila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale o in copia autentica, quietanza dell´avvenuto versamento.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 17 gennaio 2013

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia