Diritti interna

Doveri interna

ricerca avanzata

Ordinanza ingiunzione nei confronti di APS Holding S.p.a. - 15 febbraio 2018 [8990799]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
8990799
Data:
15/02/18
Argomenti:
Geolocalizzazione
Tipologia:
Ordinanza ingiunzione o revoca

[doc. web n. 8990799]

Ordinanza ingiunzione nei confronti di APS Holding S.p.a. - 15 febbraio- 2018

Registro dei provvedimenti
n. 89 del 15 febbraio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale; 

RILEVATO che il Nucleo privacy della Guardia di Finanza, in esecuzione della richiesta di informazioni n. 125/102969 del 7 gennaio 2016, formulata ai sensi dell’art. 157 del d.lgs. 30 giugno 2003 n. 196, recante il Codice in materia di protezione dei dati personali (di seguito “Codice”), ha svolto accertamenti presso APS Opere e Servizi di Comunità s.r.l. (di seguito “APS”), società che dal 31 dicembre 2016 è stata fusa per incorporazione in APS Holding S.p.a., con sede in Padova, Via Salboro n. 22/B, P.I. 03860240286, formalizzati nei verbali di operazioni compiute del 16 e 17 febbraio 2016, al fine di verificare la liceità dei trattamenti di dati personali effettuati dalla società per mezzo di un sistema di geolocalizzazione volto a rilevare la posizione geografica dei propri veicoli mediante una rete di comunicazione elettronica, con particolare riferimento alle modalità con cui si è dato adempimento all’obbligo di effettuare la notificazione di cui agli artt. 37 e 38 del Codice;

CONSIDERATO che, sulla base delle dichiarazioni rese nel corso degli accertamenti ispettivi e della documentazione pervenuta in data 2 marzo 2016, a scioglimento delle riserve formulate nel corso dell’accertamento ispettivo, è risultato che:

-  la società APS, in qualità di titolare del trattamento ai sensi degli artt. 4 e 28 del Codice, effettua un trattamento di dati personali dei clienti che usufruiscono del servizio di car sharing mediante stipula di un contratto di noleggio;

-  per lo svolgimento del suddetto servizio, che ha avuto inizio nel 2011, la società APS ha dotato tutte le autovetture di un sistema di geolocalizzazione, “consistente in un board computer munito di sim dati e voce. Le funzioni del computer di bordo, oltre che di geolocalizzatore, sono quelle di contatore di km percorsi per ogni utilizzo, di contatore delle ore di utilizzo e di memorizzatore di eventuali danni e/o segnalazioni dell’utente. Il dispositivo di geolocalizzazione non invia segnali continui circa la posizione del veicolo ma, in caso di rilascio fuori dallo stallo previsto, e comunque nel raggio di 500 m, il sistema invia una email contenente l’indicazione del luogo in cui il veicolo viene consegnato. La società ha la possibilità di rilevare in ogni momento la posizione statica del veicolo geolocalizzato, ma non ha la possibilità di visualizzare il percorso live o in remoto del veicolo” (verbale di operazioni compiute del 17 febbraio);

-  con riferimento all’obbligo della notificazione al Garante, di cui agli artt. 37 e 38 del Codice, la società ha dichiarato di non aver provveduto a tale adempimento, sul presupposto che “l’utilizzo dei dati è limitato al recupero del mezzo in caso di necessità senza che ciò consenta di visualizzare il percorso ma solo la localizzazione del mezzo affinché venga garantito il corretto rilascio dello stesso. Esso, infatti, esula dall’ipotesi disciplinata dal provvedimento del Garante n. 370 del 4 ottobre 2011 e relativo ai sistemi di localizzazione dei veicoli nell’ambito del rapporto di lavoro. Infatti, solo in questo caso si rende necessario contemperare gli interessi dei dipendenti a non subire un controllo a distanza, come previsto dallo Statuto dei lavoratori. Nel caso di specie, la localizzazione è condizione necessaria per l’utilizzo del servizio di car sharing e l’utente ne è pienamente informato all’atto della sottoscrizione del contratto nonché dall’informativa all’interno dell’automezzo” (nota del 2 marzo 2016);

VISTO il verbale n. 31 del 17 marzo 2016 con cui è stata contestata a APS, in persona del legale rappresentante pro-tempore, la violazione amministrativa prevista dall’art. 163 del Codice, per aver effettuato il trattamento di dati personali di cui all’art. 37, comma 1, lett. a), (trattamenti di dati che indicano la posizione geografica di persone o di oggetti mediante una rete di comunicazione elettronica), omettendo di effettuare la notificazione al Garante, secondo le modalità indicate dall’art. 38 del Codice;

RILEVATO che dal rapporto predisposto dal predetto Nucleo ai sensi dell’art. 17 della legge n. 689/1981 non risulta essere stato effettuato il pagamento in misura ridotta; 

VISTA la memoria difensiva, datata 2 maggio 2016, inviata ai sensi dell’art. 18 della legge n. 689/1981, con cui la parte ha giudicato “errata e fuorviante la descrizione del trattamento dei dati in esame e, pertanto, infondata la contestazione della violazione dell’art. 37 del Codice”. La società ha, quindi, rilevato come il servizio di car sharing realizzato nel Comune di Padova si avvale di un numero limitato di auto (solo 11) ed è stato fruito solo da 163 utenti. Tale servizio, tra l’altro, rientra nell’ambito di un progetto proposto da Iniziativa Car Sharing (ICS) in collaborazione con il Ministero dell’Ambiente, finalizzato a promuovere l’introduzione di servizi idonei a contrastare l’incidenza negativa del traffico sull’ambiente. In particolare, “ICS fornisce agli enti aderenti o ai soggetti da essi individuati, fin dalla fase di preparazione del servizio la consulenza tecnico legale, la progettazione dei sistemi e del servizio di car sharing e servizi di comunicazione e promozione a livello nazionale. Mai alcuna indicazione di procedere alla notificazione è pervenuta dal soggetto coordinatore”. Quanto al funzionamento del sistema di geolocalizzazione installato sui propri veicoli, la società ha rappresentato che questa avviene tramite un sistema M2M (machine to machine), “rilevando le coordinate geografiche del sistema GPS di bordo. La SIM si collega con la centrale operativa della società TRS, fornitore di tutti i gestori di car sharing del circuito ICS”. La parte ha, poi, fatto presente che, nel corso dell’accertamento ispettivo, il Nucleo privacy della Guardia di finanza ha potuto verificare, tramite l’accesso all’applicativo “Car Sharing Supervisory”, come il sistema di geolocalizzazione fosse in grado di rilevare solo la posizione del veicolo risultante al momento dell’interrogazione, e non anche il tracciato relativo al percorso della vettura. Tale situazione, pertanto, esclude che possa trattarsi di un trattamento per il quale debba procedersi alla notificazione, tenuto conto di quanto previsto nel provvedimento del 23 aprile 2004, recante “Chiarimenti sui trattamenti da notificare al Garante” (in www.garanteprivacy.it, doc. web n. 993385), in cui il Garante stesso stabilisce che “non devono essere notificati al Garante i trattamenti di dati personali che consentono solo una rilevazione non continuativa del passaggio o presenza di persone o oggetti”. Tra l’altro, considerato che la rilevazione del mezzo viene effettuata solo nel caso di allarme generato dal veicolo o nel caso di richiesta di supporto inviata dal cliente, deve tenersi conto, secondo la parte, anche di quanto previsto nella delibera n. 1 del 31 marzo 2004 (“Provvedimento relativo ai casi da sottrarre all’obbligo della notificazione”, in www.garanteprivacy.it, doc. web n. 852561) in cui vengono esclusi dall’obbligo della notificazione quei trattamenti di dati che indicano la posizione geografica di mezzi di trasporto effettuati per fini di sicurezza. Inoltre, la parte ha osservato che dall’informativa fornita ai propri clienti e resa disponibile sul sito internet www.carsharingpadova.it, si rileva che “gli operatori incaricati potranno verificare la posizione del veicolo per garantire l’assistenza richiesta dal cliente o il recupero del veicolo”, cosicché la “presenza del geolocalizzatore all’interno dei mezzi destinati a fornire un servizio come il car sharing è condizione essenziale, rectius, indispensabile per la realizzazione del servizio stesso”. Infine, la parte ha precisato che il sistema di geolocalizzazione, finalizzato solo a fornire il servizio richiesto dall’utente, “non comporta, in alcun modo, che venga rilevata l’identità del conducente, se non per il pagamento del servizio e, comunque, essendo, questo, soggetto privato e terzo, in quanto tale non gode di tutele specifiche come quelle dei lavoratori”. A tal proposito, la parte ha richiamato il provvedimento del Garante datato 5 giugno 2008 (in www.garanteprivacy.it, doc. web n. 1531604, recante “Trasporto pubblico: geolocalizzazione e sicurezza dei passeggeri”), in cui l’obbligo della notificazione è subordinato all’adempimento degli obblighi di cui all’art. 4 della legge n. 300/1970;

TENUTO CONTO che la società, per i motivi sopra esposti, ha richiesto, in via principale, l’archiviazione del procedimento sanzionatorio o, in via subordinata, l’applicazione del minimo edittale ulteriormente ridotto ai sensi dell’art. 164-bis, comma 1, del Codice;

RITENUTO che le argomentazioni addotte nello scritto difensivo non consentono di escludere la responsabilità della parte in ordine a quanto contestato. Tra i principali provvedimenti adottati dall’Autorità in materia di geolocalizzazione si richiamano quello del 23 aprile 2004 recante “Chiarimenti sui trattamenti da notificare al Garante” e quello del 31 marzo 2004, relativo ai casi da sottrarre all’obbligo della notificazione (già correttamente individuati dalla parte), utili a fornire il quadro normativo esaustivo entro cui collocare il trattamento dei dati personali posto in essere da APS. Con il primo dei provvedimenti citati, il Garante ha chiarito che “la localizzazione va notificata quando permette di individuare in maniera continuativa ¬ anche con eventuali intervalli ¬ l'ubicazione sul territorio o in determinate aree geografiche, in base ad apparecchiature o dispositivi elettronici detenuti dal titolare o dalla persona oppure collocati sugli oggetti”. Il requisito della “continuità” è, senz’altro, l’elemento caratterizzante il trattamento che deve essere notificato, tanto che la parte lo ha invocato per motivare la propria inadempienza rispetto all’obbligo della notificazione al Garante. E’ stato, infatti, evidenziato come il sistema utilizzato impedisca di rilevare il percorso della vettura e, invece, consenta unicamente una rilevazione “statica” della stessa. In realtà, va chiarito che tale requisito della “continuità” di cui al citato provvedimento ricorre in tutte le ipotesi in cui il titolare del trattamento sia in grado di conoscere la posizione del veicolo geolocalizzato, potendo effettuare tale ricerca in qualsiasi momento, automaticamente o meno (anche attraverso un meccanismo conoscitivo come una telefonata o l'invio di un sms), e ciò prescindendo dalla staticità o dinamicità del sistema di localizzazione, e dalla possibilità o meno di effettuare una tracciatura costante di tutto il percorso effettuato dal veicolo geolocalizzato. Considerato che, nel caso di specie, è stato accertato che la parte, in qualità di titolare del trattamento, era in grado di rilevare, a sua discrezione e ogniqualvolta interrogasse l’applicativo, la posizione del mezzo geolocalizzato, è evidente che il trattamento così effettuato permette la localizzazione continuativa del veicolo (e l’identificabilità del conducente che ha noleggiato il mezzo) e, come tale, rientra tra i casi da sottoporre alla notificazione. Non rileva, pertanto, la circostanza, richiamata dalla parte, in base alla quale l’operatore incaricato verifica la posizione del veicolo solo in caso di allarme o di richiesta di aiuto da parte del conducente. Tra l’altro, tale caratteristica non è elemento utile a far ricomprendere tale tipologia di trattamento tra quelli “esonerati” dall’obbligo della notificazione, secondo la previsione contenuta nel provvedimento del 31 marzo 2004, laddove il Garante ha escluso dall’obbligo della notificazione quei trattamenti di dati che indicano la posizione geografica di mezzi di trasporto aereo, navale e terrestre effettuati esclusivamente ai fini di sicurezza del trasporto. Pur considerando la geolocalizzazione come condizione indispensabile per la realizzazione del servizio di car sharing e per una sua gestione efficiente, gli elementi caratterizzanti tale tipologia di trattamento non permettono di esonerare il titolare del trattamento dall’obbligo della notificazione, dal momento che non ricorre nessuna delle ipotesi di esonero previste dal Garante. D’altra parte, la società ha ritenuto erroneamente che debbano essere notificati solo quei trattamenti di dati che indicano la posizione geografica dei mezzi effettuati nell’ambito di un rapporto di lavoro. Come sopra descritto, la notificazione è un adempimento che investe tutti i trattamenti di dati idonei a rilevare la posizione geografica di oggetti e/o persone, mediante una rete di comunicazione elettronica (art. 37, comma 1, lett. a), del Codice). Pertanto, devono essere rigettate le argomentazioni addotte con riferimento alle prescrizioni impartite dal Garante con il provvedimento del 5 giugno 2008, relativo ai sistemi di geolocalizzazione nell’ambito del rapporto di lavoro, in quanto non pertinenti rispetto al caso in esame. In ultimo, si osserva che la società APS, in qualità di titolare del trattamento, ha l’obbligo di provvedere a tutti gli adempimenti richiesti dalla normativa di settore e che, pertanto, non può attribuirsi alcuna responsabilità in capo a ICS riguardo alla circostanza che “mai alcuna indicazione di procedere alla notificazione è pervenuta dal soggetto coordinatore”;

RILEVATO, quindi, che, sulla base delle considerazioni sopra esposte, la società risulta aver commesso, in qualità di titolare del trattamento, ai sensi dell’art. 4, comma 1, lett. f), e 28 del Codice, la violazione di cui agli artt. 37, comma 1, lett. a), e 38 del Codice, per aver effettuato trattamenti di dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica senza aver presentato la notificazione al Garante;

CONSIDERATO che la APS Opere e servizi di comunità risulta cancellata dal Registro delle imprese in data 31 dicembre 2016, in quanto fusa per incorporazione in APS Holding S.p.a., e che quest’ultima, in base all’art. 2504 – bis c.c., assume i diritti e gli obblighi della società partecipante alla fusione proseguendo in tutti i rapporti antecedenti alla fusione stessa;

VISTO l’art. 163 del Codice che punisce la violazione delle disposizioni di cui agli artt. 37 e 38 del Codice con la sanzione da ventimila a centoventimila euro;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge n. 689/1981, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a) in ordine all’aspetto della gravità con riferimento agli elementi dell’entità del pregiudizio o del pericolo e dell’intensità dell’elemento psicologico, la violazione non risulta connotata da elementi specifici, avuto anche riguardo alle concrete modalità di utilizzo da parte della società del sistema di geolocalizzazione;

b) ai fini della valutazione dell’opera svolta dall’agente, deve evidenziarsi che la società, dall’interrogazione del Registro generale dei trattamenti, non risulta aver presentato la notificazione al Garante in relazione al trattamento in questione;

c) circa la personalità dell’autore della violazione, deve essere considerata la circostanza che la società non risulta gravata da precedenti procedimenti sanzionatori;

d) in merito alle condizioni economiche dell’agente, sono stati presi in considerazione gli elementi del bilancio ordinario d’esercizio per l’anno 2016;

RITENUTO, quindi, di dover determinare, ai sensi dell’art. 11 della legge n. 689/1981, l’ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura di euro 40.000,00 (quarantamila) per la violazione di cui all’art. 163, del Codice;

VISTA la documentazione in atti;

VISTA la legge n. 689/1981 e successive modificazioni e integrazioni;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

ORDINA

a APS Holding S.p.a., società incorporante la APS Opere e Servizi di Comunità s.r.l., con sede in Padova, Via Salboro n. 22/B, P.I. 03860240286, di pagare la somma di euro 40.000,00 (quarantamila) a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione;

INGIUNGE

alla medesima società di pagare la somma di euro 40.000,00 (quarantamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689. 

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 15 febbraio 2018

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia