Diritti interna

Doveri interna

ricerca avanzata

Ordinanza ingiunzione nei confronti di S.T.E.A.T. S.p.a. - 16 novembre 2017 [7908268]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
7908268
Data:
16/11/17
Argomenti:
Geolocalizzazione , Trasporti pubblici
Tipologia:
Ordinanza ingiunzione o revoca

[doc. web n. 7908268]

Ordinanza ingiunzione nei confronti di S.T.E.A.T. S.p.a. - 16 novembre 2017

Registro dei provvedimenti
n. 482 del 16 novembre 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

RILEVATO che il Nucleo privacy della Guardia di finanza, in esecuzione della richiesta di informazioni n. 12745/97157 del 29 aprile 2015, formulata ai sensi dell´art. 157 del d.lgs. 30 giugno 2003 n. 196, recante il Codice in materia di protezione dei dati personali (di seguito "Codice"), ha svolto gli accertamenti presso S.T.E.A.T. S.p.a. (di seguito "la Società"), società a partecipazione pubblica che gestisce il trasporto pubblico locale, con sede in Fermo (FM), Via Giovanni da Palestrina  n. 63, P.I. 01090950443, formalizzati nel verbale di operazioni compiute del 26 agosto 2015, diretti a verificare la liceità dei trattamenti di dati personali effettuati dalla società e volti a rilevare la posizione geografica di persone o oggetti mediante una rete di comunicazione elettronica, con particolare riferimento alle modalità con cui si è dato adempimento all´obbligo della notificazione di cui agli artt. 37 e 38 del Codice;

VISTI gli atti dell´accertamento ispettivo;

CONSIDERATO che, sulla base delle dichiarazioni rese nel corso degli accertamenti ispettivi, nonché della nota prot. n. 1400/10-L del 10 settembre 2015 e della documentazione inviata dalla società a scioglimento delle riserve formulate nel corso dell´accertamento ispettivo, è risultato che:

- la Società ha installato, sugli autobus adibiti al servizio di trasporto pubblico locale, dispositivi elettronici di controllo e di localizzazione, denominati AVM (Automatic Vehicle Monitoring, di seguito denominato "sistema AVM"). L´installazione dei dispositivi, promossa dalla Regione Marche, è stata effettuata nel corso del 2012, dalla società fornitrice e manutentrice Swarco Mizar S.p.a, con sede in Torino ed è stata resa operativa dal 1 dicembre 2014;

- la finalità di tale tipologia di trattamenti è quella di "migliorare i servizi erogati, (la) tutela del patrimonio aziendale e (l´) incolumità degli addetti" (pag. 3 del verbale di operazioni compiute del 26 agosto 2015). I dati raccolti mediante tali dispositivi sono archiviati in un server dedicato posto presso una server farm in Torino di proprietà della Swarco Mizar S.p.a.;

- a fronte di tale trattamento di dati personali, posto in essere mediante il sistema di geolocalizzazione, la Società ha omesso di effettuare la notificazione al Garante, ai sensi degli artt. 37 e 38 del Codice, prima dell´inizio del trattamento (1 dicembre 2014), adempiendo a tale obbligo solo successivamente, in data 17 giugno 2015, come risulta dal registro dei trattamenti;

VISTO il verbale n. 70/2015 del 26 agosto 2015 con cui è stata contestata alla Società, in persona del legale rappresentante pro-tempore, la violazione amministrativa prevista dall´art. 163 del Codice, per aver effettuato il trattamento di dati personali di cui all´art. 37, comma 1, lett. a), (trattamenti di dati che indicano la posizione geografica di persone o di oggetti mediante una rete di comunicazione elettronica), omettendo di presentare la notificazione al Garante nelle modalità indicate dall´art. 38 del Codice;

RILEVATO che dal rapporto predisposto dal predetto Nucleo ai sensi dell´art. 17 della legge 24 novembre 1981 n. 689, non risulta essere stato effettuato il pagamento in misura ridotta;

VISTI gli scritti difensivi presentati dal legale di Parte in data 25 settembre 2015, inviati ai sensi dell´art. 18 della legge n. 689/1981, con cui la parte ha invocato, ai sensi dell´art. 3 della legge 689/1981, " (…) la buona fede della società e l´errore sul fatto (…)" in quanto "né la Regione Marche, né la ditta fornitrice hanno fornito indicazioni relativamente all´obbligo di notificazione al Garante per la protezione dei dati personali, per cui nessun rilievo deve essere mosso alla S.T.E.A.T. S.p.a. (…) La società ha provveduto alla notificazione al Garante per la protezione dei dati personali in data 17 giugno 2015, poiché, dopo attenta valutazione, nonostante la mancanza di indicazioni specifiche da parte della regione Marche e della ditta che ha provveduto alla fornitura degli apparati e del sistema informativo (SWARCO Mizar) (…), ha ritenuto opportuno dover provvedere alla notificazione, ai sensi dell´art. 37 del codice privacy". In considerazione di tali argomentazioni, la Società ha richiesto; 1) in via principale, l´archiviazione degli atti, ai sensi dell´art. 3 della legge 689/1981; 2) in via subordinata, l´applicazione della sanzione nella misura dei due quinti del minimo edittale, considerato sia l´adempimento - sebbene tardivo - della notificazione di cui all´art. 37 sia la rilevanza sociale del servizio svolto dalla Società; 3) in via ulteriormente subordinata, la sanzione amministrativa di cui all´art. 163 nella misura non eccedente il minimo ai sensi dell´art. 11 della legge 689/1981;

LETTO il verbale di audizione dell´11 gennaio 2016, svoltasi ai sensi dell´art. 18 della legge n. 689/1981 in cui la parte:

- ha confermato quanto già in precedenza invocato e cioè la carenza dell´elemento soggettivo e la sussistenza della buona fede, posto che l´installazione dei dispositivi in argomento è stata decisa dalla Regione Marche e che né quest´ultima, né la Swarco Mizar S.p.a., hanno fornito alla Società indicazioni sull´obbligo di notificazione al Garante;

- ha evidenziato la carenza di pregiudizio per gli interessati e della lesività della condotta, dal momento che il sistema AVM è stato istallato per esigenze di efficacia e di efficienza del servizio di trasporto pubblico. Secondo la parte, al caso di specie sarebbe applicabile la disposizione di cui all´art. 37, comma 2, del Codice che esclude dall´obbligo della notificazione quei trattamenti di dati che non sono suscettibili di recare pregiudizio ai diritti degli interessati;

- ha ribadito quanto già richiesto in ordine alla eventuale archiviazione o all´eventuale ingiunzione delle somme dovute per la violazione;

LETTO l´ulteriore scritto difensivo, nonché la documentazione a corredo, prodotti dal legale di parte in data 2 febbraio 2016 - a scioglimento della riserva in sede di audizione - con cui la Società ha evidenziato come le scelte in ordine alla promozione dell´utilizzo del sistema AVM, alle finalità, alle modalità del trattamento, agli strumenti e alle misure di sicurezza, sarebbero riconducibili alla Regione Marche, la quale, pertanto, in tale circostanza rivestirebbe, il ruolo di titolare del trattamento e sarebbe stata tenuta, quindi, all´assolvimento dell´obbligo di notificazione al Garante ai sensi degli artt. 37 e 38 del Codice, con la conseguenza di esonerare la Società dal porre in essere tale adempimento;

TENUTO CONTO della richiesta formulata dalla Parte a seguito di tale ulteriore scritto difensivo, consistente nell´annullamento/revoca del verbale di contestazione e nella conseguente archiviazione del procedimento in questione;

RITENUTO che le argomentazioni addotte non risultano idonee a determinare  l´annullamento/revoca del verbale di contestazione e l´archiviazione del procedimento sanzionatorio avviato con la contestazione di cui sopra. In base al disposto dell´art. 4, lett. f) del Codice, titolare del trattamento deve intendersi "la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza". Dagli atti prodotti dalla Società si evince come la Regione Marche, promotrice dell´adozione del sistema AVM nella rete del TPL territoriale, abbia fornito indicazioni alle province in ordine alle modalità e ai ruoli per l´espletamento della gara ad evidenza pubblica per l´attuazione del progetto di infomobilità "Gestione informata della mobilità" (nota prot. 0456274 del 13 luglio 2010). Dagli atti si evince, inoltre, che la Società, facendo proprie le scelte operate dalla Regione Marche e dalla Provincia di Macerata, ha quindi autonomamente stipulato, in qualità di committente, un contratto con la Swarco Mizar S.p.a., assumendo determinazioni autonome con riferimento ai profili riguardanti l´osservanza della normativa in materia di protezione dei dati personali. Agli atti, risultano, infatti, le nomine di alcuni dipendenti a responsabili e a incaricati del trattamento e la fornitura delle relative istruzioni, nonché la designazione della Swarco Mizar S.p.a., a responsabile esterno del trattamento dei dati personali (note del 10 settembre 2014 riferite alle nomine a incaricato del trattamento dei dati relativi, fra altri, alla geolocalizzazione e nota del 18 settembre 2012 di nomina della Swarco Mizar a responsabile esterno del trattamento).

Più precisamente, la Società, quale committente nel contratto sottoscritto in data 16 marzo 2012 con la Swarco Mizar S.p.a., ha assunto la piena disponibilità dei dati il cui trattamento è connesso all´utilizzo del sistema AVM e, quindi, la titolarità degli stessi - anche avvalendosi della Swarco Mizar S.p.a. quale responsabile esterno del trattamento ed impartendo ad essa precise e dettagliate istruzioni - come si evince dalla documentazione prodotta.  Sulla base degli elementi sopra scritti, pertanto, il trattamento dei dati connesso all´utilizzo del sistema AVM di geolocalizzazione su mezzi di trasporto della Società è riconducibile, univocamente, alla Società stessa; quest´ultima, decidendo anche le modalità del trattamento, assume, quindi, inconfutabilmente, il ruolo di titolare del trattamento. Nel confermato ruolo di titolare del trattamento si rileva che, inoltre, in data 17 giugno 2015, sebbene con ritardo rispetto all´inizio del trattamento, la Società ha provveduto alla notificazione al Garante ai sensi degli artt. 37 e 38 del Codice. Alla luce di tutto ciò, alla Società è riconducibile, in tale circostanza, l´imputazione della violazione degli artt. 37 e 38 del Codice.

Quanto alla buona fede e all´invocata carenza dell´elemento soggettivo, sulla base dell´art. 3 della legge 689/1981, non è rilevante l´argomentazione addotta in base alla quale la Società non è stata informata, né dalla Regione Marche né dalla società fornitrice del sistema, circa l´obbligo di effettuare la notificazione al Garante. E´ infatti, necessario – secondo consolidata giurisprudenza -  che l´errore, affinché sia scusabile, si fondi su un elemento positivo, estraneo all´agente e idoneo a determinare in lui la convinzione della liceità del suo comportamento. Tale elemento positivo deve risultare non ovviabile dall´interessato con l´uso dell´ordinaria diligenza, mentre in tal caso, proprio il successivo comportamento diligente della società ha determinato l´adempimento, sebbene tardivo, dell´obbligo previsto dagli artt. 37 e 38 del Codice ("la società ha provveduto alla notificazione al Garante per la protezione dei dati personali in data 17 giugno 2015, poiché, dopo attenta valutazione, nonostante la mancanza di indicazioni specifiche da parte della Regione Marche e della ditta che ha provveduto alla fornitura degli apparati e del sistema informativo (SWARCO Mizar) (…) ha ritenuto opportuno dover provvedere alla notificazione, ai sensi dell´art. 37 del codice privacy" – pag. 3 della memoria difensiva presentata il 25 settembre 2015).

In relazione, infine, all´ultima argomentazione riguardante l´assenza della lesività della condotta con conseguente esclusione dall´obbligo della notificazione ai sensi dell´art. 37, comma 2, del Codice (trattamenti di dati non suscettibili di recare pregiudizio ai diritti degli interessati), si fa presente che il Garante, in virtù di quanto stabilito dall´art. 37, comma 2, del Codice, ha adottato la delibera n. 1 del 31 marzo 2004, con la quale ha indicato, fra i trattamenti di dati sottratti all´obbligo della notificazione, poiché non suscettibili di recare pregiudizio ai diritti e alle libertà dell´interessato, quei "trattamenti di dati che indicano la posizione geografica di mezzi di trasporto aereo, navale e terrestre, effettuati esclusivamente a fini di sicurezza del trasporto".

Nel caso di specie, l´esenzione dall´obbligo della notificazione non può essere riconosciuta in quanto non è risultato che la Società persegua, mediante l´installazione dei dispositivi di controllo e di localizzazione in esame, esclusivamente finalità di sicurezza del trasporto.

RILEVATO, quindi, che S.T.E.A.T. S.p.a., sulla base delle considerazioni sopra richiamate, risulta aver commesso, in qualità di titolare del trattamento, ai sensi dell´art. 4, comma 1, lett. f), e 28 del Codice, la violazione di cui agli artt. 37, comma 1, lett. a), e 38 del Codice, per aver effettuato trattamenti di dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica senza aver preventivamente presentato la notificazione al Garante;

VISTO l´art. 163 del Codice che punisce la violazione delle disposizioni di cui agli artt. 37 e 38 con la sanzione da ventimila a centoventimila euro;

CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge n. 689/1981, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a) in ordine all´aspetto della gravità con riferimento agli elementi dell´entità del pregiudizio o del pericolo e dell´intensità dell´elemento psicologico, la violazione non risulta connotata da elementi specifici, avuto anche riguardo alle concrete modalità di utilizzo da parte della società del sistema di geolocalizzazione;

b) ai fini della valutazione dell´opera svolta dall´agente, deve evidenziarsi che la Società, dall´interrogazione del registro generale dei trattamenti, risulta aver presentato la notificazione al Garante, in data  17 giugno 2015 e, quindi, successivamente all´inizio del trattamento;

c) circa la personalità dell´autore della violazione, deve essere considerata la circostanza che la società non risulta gravata da precedenti procedimenti sanzionatori;

d) in merito alle condizioni economiche dell´agente, sono stati presi in considerazione i dati reddituali per l´anno 2016;

RITENUTO, quindi, di dover determinare, ai sensi dell´art. 11 della legge n. 689/1981, l´ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura di euro 20.000,00 (ventimila) per la violazione di cui all´art. 163 del Codice;

VISTA la documentazione in atti;

VISTA la legge n. 689/1981 e successive modificazioni e integrazioni;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

ORDINA

a  S.T.E.A.T. S.p.a., con sede in Fermo (FM), Via Giovanni da Palestrina n.63, P.I. 01090950443, di pagare la somma di euro 20.000,00 (ventimila) a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione;

INGIUNGE

alla medesima società di pagare la somma di euro 20.000,00 (ventimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 16 novembre 2017

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia