Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Trattamento di dati personali raccolti a seguito della pubblicazione di annunci di lavoro e con l'installazione di un sistema di videosorveglianza presso una struttura alberghiera - 9 gennaio 2014 [2927804]

[doc. web n. 2927804]

Trattamento di dati personali raccolti a seguito della pubblicazione di annunci di lavoro e con l´installazione di un sistema di videosorveglianza presso una struttura alberghiera - 9 gennaio 2014

Registro dei provvedimenti
n. 13 del 9 gennaio 2014

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito "Codice");

VISTO il provvedimento generale del Garante dell´8 aprile 2010, in materia di trattamento di dati personali effettuato tramite sistemi di videosorveglianza (G.U. n. 99 del 29 aprile 2010 e in www.garanteprivacy.it, doc. web n. 1712680) nonché il provvedimento generale del 10 gennaio 2002, concernente le modalità per rendere l´informativa negli annunci relativi ad offerte di lavoro (doc. web n. 1064553);

VISTO il verbale di accertamento ispettivo del 26 aprile 2012, redatto dal "Nucleo Speciale Privacy" della Guardia di finanza, concernente i trattamenti di dati personali effettuati da Grand hotel via Veneto s.p.a. (di seguito, la società), con particolare riferimento ai profili concernenti la pubblicazione di annunci di lavoro e l´installazione di un sistema di videosorveglianza presso la struttura alberghiera in Roma;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Augusta Iannini;

PREMESSO

1.1. Dagli accertamenti effettuati dalla Guardia di finanza è emerso che Grand hotel via Veneto s.p.a. – società che gestisce in Roma l´omonimo albergo e che ha alle proprie dipendenze "poco meno di cinquanta dipendenti, ai quali vanno ad aggiungersi quelli in outsourcing" (cfr. verbale 26 aprile 2012, p. 2) – ha affidato a Job in Tourism s.r.l. la pubblicazione di "offerte di lavoro […] sul sito web www.jobintourism.it e sull´omonimo giornale" (cfr. verbale cit., p. 2). I curricula (unitamente ad eventuale ulteriore documentazione) "inoltrati via mail all´indirizzo di posta elettronica indicato personale@hgvv.it", dopo essere stati analizzati e selezionati dai responsabili delle diverse aree, risultano essere "conservati […] al massimo per un anno, in un archivio cartaceo" (cfr. verbale cit., p. 3).

Ai candidati convocati per il colloquio di lavoro e la compilazione di questionari viene fornita verbalmente "l´informativa privacy [da parte della c.d. Operation manager della società con riferimento alle] finalità e modalità del trattamento dei dati ed i tempi di conservazione, nonché la rassicurazione che i dati non saranno comunicati a terzi" (cfr. verbale cit., p. 3) e, in tale occasione, viene acquisito altresì il loro consenso al trattamento (cfr. verbale cit., p. 6). Ai candidati che non vengono convocati per il colloquio ed il cui curriculum viene comunque conservato nell´archivio cartaceo "non viene [invece] resa alcuna informativa privacy" (cfr. verbale cit., p. 4).

Infine, i "dati trattati dalla società per la gestione dei curricula, non vengono comunicati a terzi" (cfr. verbale cit., p. 6).

1.2. Nelle comunicazioni inviate dalla società al "Nucleo Speciale Privacy" (in data 11 maggio e 22 giugno 2012) ad integrazione delle dichiarazioni rese a verbale nel corso dell´accertamento del 26 aprile 2012, è stato dichiarato, a parziale rettifica di quanto affermato in sede di ispezione, di aver richiesto l´inserzione di annunci "sul solo sito internet [www.jobintourism.it] e non sull´omonimo quotidiano cartaceo", sì che la pubblicazione dell´annuncio all´interno del quotidiano "Italia Oggi" sarebbe quindi avvenuta "senza ricevere alcuna richiesta ed autorizzazione da «Grand hotel»" (cfr. nota 11.5.2013, pp. 2-3). Tale assunto, del quale la società può essere chiamata a rispondere ai sensi dell´art. 168 del Codice, è stato ribadito anche nella comunicazione del 2 agosto 2012 (cfr. in particolare, p. 3 e ivi nota 2, p. 7, p. 9 ss., p. 11, p. 14 ss.)

A detta della società, peraltro, sulla base di quanto disposto dall´art. 9, commi 2 e 3, d.lg. n. 276/2003, "la rubrica «Job in Tourism» avrebbe dovuto contemplare l´invito ai candidati a leggere nel sito www.jobintourism.it la informativa sulla privacy" (cfr. nota cit., p. 4). In ogni caso, alla società sarebbe applicabile la "previsione di cui all´art. 13, comma 5-bis [del Codice], secondo cui «l´informativa […] non è dovuta in caso di ricezione di curricula spontaneamente trasmessi dagli interessati ai fini dell´eventuale instaurazione di un rapporto di lavoro»" (cfr. nota cit., p. 4).

2.1. Sotto un diverso profilo, nell´ambito delle verifiche effettuate in loco, è stata altresì accertata la presenza di un sistema di videosorveglianza – consistente, in base ad una ricognizione effettuata su una parte della struttura alberghiera, nella installazione di numerose telecamere situate in prossimità degli ingressi e all´interno di locali quali, ad esempio, la galleria attraverso la quale si accede al bar, la hall e in particolare la zona ove si trova la postazione degli addetti alle informazioni per i clienti, il locale ove sono collocate le casseforti, l´area prospiciente gli ascensori. A tale proposito è stata riscontrata l´assenza di informative agli interessati, anche in forma semplificata, "lungo il perimetro esterno dell´edificio", […] nella galleria di ingresso [e] nelle varie aree della hall"; cartelli recanti un´informativa semplificata sono stati rilevati solo "accanto alle porte di sbarco degli ascensori, ai quali si accede solo dopo aver superato l´ingresso e la hall e, in ogni caso, altre aree videosorvegliate" (cfr. verbale cit., p. 5).

Secondo quanto dichiarato dal responsabile IT della società, "le telecamere installate e funzionanti sono n. 143. Le registrazioni effettuate confluiscono su n. 9 server dedicati, ove sono conservate per un tempo medio di 5-6 giorni, che al massimo possono diventare sette per quelle telecamere che non riprendono immagini in movimento. Le password per accedere alle registrazioni sono detenute dall´amministratore unico, che è l´unico a poter autorizzare l´accesso e l´estrazione, e dal sottoscritto" (cfr. verbale cit., p. 5).

Nella struttura è stata altresì accertata la presenza di una c.d. "control room" al cui interno sono stati rinvenuti "n. 9 monitor LCD, dei quali n. 5 dedicati alla visualizzazione delle immagini riprese da tutte le telecamere del sistema di videosorveglianza"; all´interno della sala "prestano servizio addetti alla vigilanza […] le cui mansioni consistono precipuamente nell´effettuazione di ronde in tutte le aree pubbliche dell´hotel e nella saltuaria visione del monitor" (cfr. verbale cit., p. 5).

In base agli elementi acquisiti in atti non risulta che la società di vigilanza sia stata designata responsabile del trattamento ai sensi dell´art. 29 del Codice (cfr. contratto di appalto di servizi di sicurezza, all. 10 alla comunicazione dell´11 maggio 2012), né il proprio personale è risultato essere stato designato incaricato del trattamento ai sensi dell´art. 30 del Codice, né che alla società di vigilanza e ai propri dipendenti siano state impartite le necessarie istruzioni in relazione ai trattamenti effettuati mediante il sistema di videosorveglianza.

2.2. Anche con riguardo a questi ultimi trattamenti, nelle menzionate comunicazioni dell´11 maggio e del 22 giugno 2012, la società ha precisato che i "supporti con la dicitura completa, collocati nell´area di ingresso da via Veneto (c.d. "Galleria via Veneto"), all´ingresso del portone ed all´ingresso del bar, erano stati rimossi in occasione di lavori di tinteggiatura e sono stati già riposizionati", allegando in proposito documentazione fotografica (cfr. nota cit., p. 9).

All´interno della "control room" ("composta da alcuni monitor che ripetono le immagini live riprese dalle telecamere") "prende e cessa il suo servizio la guardia giurata preposta dalla società [di vigilanza] verificando altresì il corretto funzionamento dei monitor e delle telecamere in funzione"; tuttavia le registrazioni possono essere visionate solo dal rappresentante legale della società e dal responsabile della sicurezza, pertanto "la società di vigilanza […] non tratta […] e comunque non ha […] modo di trattare, alcun dato" (cfr. nota cit., p. 11).

I più ampi tempi di conservazione delle immagini adottati ("5-6 al massimo 7 giorni") si rendono necessari in ragione della "continua presenza di cariche istituzionali che richiedono un elevatissimo standard di sicurezza" (cfr. nota cit., p. 12).

Con riferimento, infine, all´osservanza della procedura prevista dall´art. 4 della legge n. 300/1970, la società ha dichiarato che "l´intero sistema di videosorveglianza non è in alcun modo finalizzato al controllo dei dipendenti" bensì all´unico scopo di proteggere l´incolumità di cose e persone anche in considerazione del verificarsi di fatti di reato soprattutto in alcune zone della struttura alberghiera che appartiene alla categoria "5 stelle lusso" ed ospita al proprio interno opere d´arte e negozi di preziosi (cfr. nota cit., pp. 13-17). Inoltre, i dipendenti della società, "sin dal momento dell´assunzione, con la sottoscrizione del contratto di lavoro, sono resi edotti della presenza di telecamere" nella struttura alberghiera (cfr. nota cit., pp. 13-17).

3. A seguito degli accertamenti svolti, la Guardia di finanza ha provveduto a contestare, sotto più profili, la violazione dell´art. 13 del Codice nei confronti della società. Tali aspetti, oggetto del procedimento avviato con verbale di contestazione di violazione amministrativa n. 43 del 20 giugno 2012, non formano oggetto di valutazione nell´abito del presente provvedimento e verranno definiti dall´Autorità separatamente.

4.1. Con riferimento ai trattamenti effettuati dalla società mediante il sistema di videosorveglianza installato presso la struttura alberghiera, risulta che lo stesso è in grado di riprendere e registrare l´attività di quanti, ivi compresi i lavoratori nello svolgimento della propria attività, transitano o operano nelle aree interessate (quali ingressi, hall, terrazzo, corridoi di accesso alle camere, locali tecnici e gallerie).

L´installazione di sistemi di rilevazione delle immagini deve avvenire nel rispetto, oltre che della disciplina in materia di protezione dei dati personali, anche delle altre disposizioni dell´ordinamento civile e penale applicabili, comprese le vigenti norme in materia di controllo a distanza dei lavoratori. A quest´ultimo riguardo, il divieto di controllo a distanza dell´attività lavorativa – e con esso le garanzie previste dall´art. 4, comma 2, l. n. 300/1970 – non viene meno in ragione della circostanza che lo stesso possa essere discontinuo (cfr. Cass. 6 marzo 1986, n. 1490), né per il fatto che i lavoratori, come dichiarato nel caso in esame, siano al corrente dell´esistenza del sistema di videosorveglianza e del suo funzionamento (cfr. Cass., 18 febbraio 1983, n. 1236).

Dagli accertamenti effettuati non risulta che siano state attivate le garanzie previste dalla disciplina in materia di controllo a distanza dei lavoratori, come richiesto dall´art. 4, comma 2, l. n. 300/1970 (v. in merito Cass., sez. lav., 16 settembre 1997, n. 9211; Cass., sez. lav., 1° ottobre 2012, n. 16622), richiamato dall´art. 114 del Codice, nonché in conformità con quanto stabilito dal Garante nel menzionato provvedimento generale in materia di videosorveglianza dell´8 aprile 2010, con particolare riferimento al par. 4.1 (cfr., con particolare riferimento all´installazione di sistemi di videosorveglianza presso strutture alberghiere, v. altresì Provv.ti 14 aprile 2011, n. 142, doc. web n. 1810223; 25 ottobre 2012, n. 313, doc. web n. 2212826).

4.2. Non risulta, inoltre, che il titolare del trattamento abbia effettuato, ai sensi dell´art. 29 del Codice, la designazione a responsabile del trattamento della società di vigilanza i cui dipendenti – i quali pure non risultano essere stati designati incaricati del trattamento ai sensi dell´art. 30 del Codice – hanno accesso alla c.d. control room ove vengono visualizzate in tempo reale le immagini ricavate dalle telecamere installate presso la struttura alberghiera, con conseguente trattamento delle immagini delle persone (dipendenti, clienti e fornitori) ritratte ). Invero, ancorché, in base a quanto dichiarato, il personale di vigilanza non abbia accesso alle immagini registrate dal sistema di videosorveglianza, lo stesso può comunque visualizzare le immagini sui monitor nell´espletamento delle proprie mansioni e tale operazione integra un´operazione di trattamento ai sensi dell´art. 4, comma 1, lett. a), del Codice).

4.3. Alla luce di tali elementi deve pertanto ritenersi che i trattamenti di dati personali effettuati mediante il sistema di videosorveglianza sono effettuati dalla società in violazione della disciplina di protezione dei dati personali nonché della rilevante disciplina di settore (art. 114 del Codice in relazione all´art. 4, comma 2, l. n. 300/1970, nonché artt. 29 e 30 del Codice).

Considerato che, ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice, il Garante può – impregiudicati gli esiti del procedimento avviato con verbale di contestazione di violazione amministrativa n. 43 del 20 giugno 2012 – prescrivere anche d´ufficio le misure necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti, deve prescriversi alla società, quali misure necessarie al fine di conformare i trattamenti di dati personali alla disciplina vigente, senza ritardo, e comunque entro e non oltre 30 giorni dal ricevimento del presente provvedimento, di:

a. attivare le procedure previste dal richiamato art. 4, comma 2, l. n. 300/1970, fatti salvi nel frattempo i diritti dei lavoratori (art. 11, comma 2, del Codice);

b. curare che il personale deputato a visualizzare le immagini sia designato incaricato del trattamento ai sensi dell´art. 30 del Codice, se del caso anche tramite la società cui può essere rimessa l´attività di vigilanza, debitamente designata quale responsabile del trattamento ai sensi dell´art. 29 del Codice, impartendo le necessarie istruzioni.

5. Riservata la valutazione da parte dell´Autorità, con separato procedimento, della sussistenza di violazioni amministrative in capo al titolare del trattamento in relazione alla violazione degli obblighi stabiliti dagli artt. 29 e 30 del Codice, si fa presente che, in caso di inosservanza del presente provvedimento, si renderà applicabile la sanzione di cui all´art. 162, comma 2-ter del Codice.

TUTTO CIÒ PREMESSO, IL GARANTE

nei confronti di Grand hotel via Veneto s.p.a., per il trattamento dei dati personali descritti in premessa:

1. dichiara illeciti i trattamenti effettuati nei termini di cui in motivazione;

2. prescrive, ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice, senza ritardo, e comunque entro e non oltre 30 giorni dal ricevimento del presente provvedimento, di:

a. attivare le procedure previste dall´art. 4, comma 2, della legge n. 300/1970, impregiudicati nel frattempo i diritti dei lavoratori;

b. curare che il personale deputato a visualizzare le immagini sia designato incaricato del trattamento ai sensi dell´art. 30 del Codice, se del caso anche tramite la società cui può essere rimessa l´attività di vigilanza, debitamente designata quale responsabile del trattamento ai sensi dell´art. 29 del Codice, impartendo le necessarie istruzioni;

3. ai sensi dell´art. 157 del Codice, invita la società a dare comunicazione al Garante delle misure adottate entro 30 giorni dalla data di ricezione del presente provvedimento.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 9 gennaio 2014

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia