Diritti interna

Doveri interna

ricerca avanzata

Ordinanza ingiunzione nei confronti di FAMAS S.R.L. - 22 febbraio 2018 [8995033]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
8995033
Data:
22/02/18
Argomenti:
Biometria , Rilevazione orari di lavoro
Tipologia:
Ordinanza ingiunzione o revoca

[doc. web n. 8995033]

Ordinanza ingiunzione nei confronti di FAMAS S.R.L. - 22 febbraio 2018

Registro dei provvedimenti
n. 106 del 22 febbraio 2018 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale; 

VISTI gli artt. 37, comma 1, lett. a) e 38 del D.lgs. 196/2003 (di seguito “Codice”); 

VISTO l’art. 17 del Codice; 

VISTO il documento “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati” (Deliberazione n. 53 del 23 novembre 2006, doc web. 1364939); 

VISTO il “Provvedimento generale prescrittivo in tema di biometria” n. 513 del 12 novembre 2014 (doc. web. n. 3556992), nonché il documento “Linee guida in materia di riconoscimento biometrico e firma grafometrica” allegato a quest’ultimo e parte integrante dello stesso; 

VISTA la nota prot. n. 020/3520 del 12 marzo 2015 - indirizzata alla scrivente Autorità - con la quale il Ministero del Lavoro e delle Politiche Sociali - Direzione Territoriale del Lavoro di Biella-Vercelli ha segnalato di aver rilevato, nel corso di un accertamento ispettivo presso la ditta FAMAS S.R.L. (di seguito “Società”) con sede in Trivero (BI), Frazione ORO n.145 A, C.F. 00300410024, l’installazione di un sistema biometrico basato sulla rilevazione delle impronte digitali per la registrazione della presenza dei dipendenti; 

VISTA la nota prot. 25337/98431 del 14 settembre 2015 con cui l’Ufficio Unità Lavoro Pubblico e Privato del Garante ha richiesto informazioni alla suddetta Società - da fornire entro il termine di 40 giorni – relative alle concrete caratteristiche del sistema biometrico installato;

VISTO la risposta fornita dalla Società al Garante con nota del 5 ottobre 2015; 

VISTA la nota prot.12888/98431 del 4 maggio 2016, indirizzata alla Società, con cui il sopra citato Ufficio del Garante, effettuata la valutazione degli elementi nel complesso acquisiti e in considerazione di quanto dichiarato dalla Società - nella nota del 5 ottobre 2015 - in merito all’uso del sistema biometrico suddetto e, cioè, di aver adottato un diverso sistema al fine di effettuare la rilevazione delle presenze dei dipendenti e che “le impronte sono state del tutto rimosse dall’apparecchiatura”, all’esito dell’istruttoria ha ritenuto di non adottare nei confronti della Società provvedimenti prescrittivi o inibitori ai sensi dell’art. 154 del Codice; 

VISTA la nota prot. n. 14426 del 17 maggio 2016 con cui il predetto Ufficio ha trasmesso gli atti al Dipartimento Attività Ispettive, Sanzioni e Registro dei Trattamenti per il seguito di competenza in ordine all’avvio di un eventuale procedimento sanzionatorio in relazione alla sussistenza di violazioni amministrative per i trattamenti biometrici effettuati;

VISTO il Verbale prot. n.25655/98431 del 5 settembre 2016 con cui il citato Dipartimento ha contestato alla Società FAMAS S.R.L. con sede in Trivero (BI), Frazione ORO n.145 A, C.F. 00300410024, in persona del legale rappresentante pro-tempore, le seguenti violazioni amministrative:

- ai sensi dell’art. 162, comma 2-bis del Codice, la violazione delle disposizioni indicate nell’art.167 del Codice medesimo e, specificamente, dell’art. 17, per mancato assolvimento dell’obbligo di presentazione di apposita istanza di verifica preliminare per il trattamento dei dati biometrici effettuato;

- ai sensi dell’art. 163 del Codice, la violazione delle disposizioni contenute negli artt. 37, comma 1, lettera a) e 38, commi 1 e 2, del medesimo Codice per mancato assolvimento dell’obbligo di notificazione al Garante in relazione al trattamento dei dati biometrici effettuato; 

Ciò sulla base delle seguenti valutazioni per cui: 

- la Società ha utilizzato il sistema biometrico di rilevamento delle impronte digitali dei propri dipendenti effettuando trattamenti di dati personali di natura biometrica degli stessi al fine di registrarne la presenza in servizio; 

- la Società, ai sensi dell’art. 4, comma 1, lett. f), e 28 del Codice, in qualità di datore di lavoro è titolare del trattamento dei dati personali dei propri dipendenti effettuato nell’esecuzione della attività suindicata;

- la Società, prima della chiusura del procedimento amministrativo avviato dall’Ufficio Lavoro Pubblico e Privato della scrivente Autorità, ha cessato l’utilizzazione del sistema

- di registrazione della presenza in servizio dei dipendenti basata sulla rilevazione del dato biometrico dell’impronta digitale degli stessi, servendosi di altra apparecchiatura (cfr. nota di riscontro del 5 ottobre 2015 della Società alla richiesta di informazioni del Garante);

- il caso in esame, dall’analisi degli elementi istruttori, non rientra fra le ipotesi indicate dal “Provvedimento generale prescrittivo in tema di biometria” n. 513 del 2014 (doc. web. n. 3556992), per le quali il titolare del trattamento è esonerato dall’obbligo di presentare istanza di verifica preliminare ai sensi dell’art. 17 del Codice a condizione che vengano adottate tutte le misure e gli accorgimenti tecnici, organizzativi e procedurali idonei a raggiungere gli obiettivi di sicurezza individuati con il sopra indicato provvedimento prescrittivo e siano rispettati i presupposti di legittimità e le indicazioni contenuti nel Codice e richiamati nelle “Linee guida in materia di riconoscimento biometrico e firma grafometrica” sopra citate, con riferimento al capitolo 4 “Principi generali e adempimenti giuridici”. Più specificamente, i trattamenti di dati biometrici che, alle suindicate condizioni, possono essere effettuati senza presentare istanza di verifica preliminare si riferiscono alle ipotesi di: 1) autenticazione informatica per accesso a banche dati e sistemi informatici; 2) controllo di accesso fisico ad aree sensibili dei soggetti addetti all’utilizzo di apparati e macchinari pericolosi; 3) sottoscrizione di documenti informatici, 4) uso delle impronte digitali e della topografia della mano a scopi facilitativi. Con il suddetto Provvedimento generale il Garante ha, altresì, prescritto ai titolari, per  i casi di trattamento di dati biometrici in corso di svolgimento e nell’ipotesi in cui non avessero già presentato istanza di verifica preliminare, di adottare entro 180 giorni dalla pubblicazione del provvedimento stesso le misure e gli accorgimenti ivi previsti qualora i trattamenti fossero compresi nei casi di esonero dall'obbligo di verifica preliminare ovvero, in caso contrario, di sospendere entro il medesimo termine i trattamenti e di sottoporre gli stessi a verifica preliminare con interpello al Garante ai sensi dell'articolo 17 del Codice (cfr. punto 4, lettera b), parte dispositiva del Provvedimento generale n. 513 del 2014);

- la Società, con riferimento a quanto disposto dagli artt. 37, comma 1, lett. a) e 38 del Codice per il trattamento di dati biometrici, non ha adempiuto all’obbligo di notificazione al Garante;

RILEVATO che dal rapporto amministrativo prot. n. 14372/98431 del 14 aprile 2017, predisposto dall’Ufficio del Garante ai sensi dell’art. 17 della legge 24 novembre 1981 n. 689 e riferito al sopra menzionato Verbale di contestazione di violazione amministrativa del Garante n. 25655/98431 del 5 settembre 2016, non risulta essere stato effettuato il pagamento in misura ridotta di cui all’art. 16 della legge 689/81;

CONSIDERATO che la parte non ha presentato alcuna memoria difensiva, né istanza di audizione all’Autorità scrivente ai sensi dell’art. 18 della legge 24 novembre 1981 n. 689;

RILEVATO, che, sulla base di tutto quanto sopra richiamato, la Società FAMAS S.R.L. con sede in Trivero (BI), Frazione ORO n.145 A, C.F. 00300410024, risulta aver commesso due distinte violazioni:

- la prima in relazione all’art.162, comma 2-bis del Codice, per violazione delle disposizioni indicate nell’art.167 dello stesso e, specificamente, dell’art. 17 del medesimo Codice per mancato assolvimento dell’obbligo di presentazione di apposita istanza di verifica preliminare per il trattamento dei dati biometrici dell’impronta digitale dei dipendenti della Società al fine di rilevare la presenza degli stessi nel luogo di lavoro;

- la seconda, relativa all’art. 163 del Codice per violazione delle disposizioni degli artt. 37, comma 1, lettera a) e 38, commi 1 e 2, del medesimo Codice per mancato assolvimento dell’obbligo di notificazione al Garante in relazione al trattamento dei dati biometrici suddetti; 

VISTO l’art. 162, comma 2-bis, del Codice che punisce, fra altro, la violazione della disposizione di cui all’art. 17 con la sanzione amministrativa del pagamento di una somma da diecimila fino a centoventimila euro; 

VISTO l’art. 163 del Codice che punisce la violazione delle disposizioni di cui agli artt. 37, comma 1, lett. a), e 38 con la sanzione da ventimila a centoventimila euro;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge n. 689/1981, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a) in ordine all’aspetto della gravità con riferimento agli elementi dell’entità del pregiudizio o del pericolo e dell’intensità dell’elemento psicologico, la violazione non risulta connotata da elementi specifici;

b) ai fini della valutazione dell’opera svolta dall’agente, si rileva il fatto che la Società, prima della chiusura del procedimento amministrativo avviato dall’Ufficio Lavoro Pubblico e Privato della scrivente Autorità, ha cessato l’utilizzazione del sistema di rilevazione dei dati biometrici dei dipendenti in questione, servendosi di altra apparecchiatura per rilevare la presenza in servizio degli stessi; 

c) circa la personalità dell’autore della violazione, deve essere considerata la circostanza che la parte non risulta gravata da precedenti procedimenti sanzionatori definiti in via breve o a seguito di ordinanza ingiunzione;

d) in merito alle condizioni economiche dell’agente, sono stati presi in considerazione gli elementi di interesse risultanti dal bilancio per l’anno d’imposta 2016;

RITENUTO di dover determinare, ai sensi dell’art. 11 della legge n. 689/1981, l’ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura di euro 10.000,00 (diecimila) per la violazione di cui all’art. 162, comma 2-bis del Codice per violazione delle disposizioni indicate nell’art.167 dello stesso e, specificamente, dell’art. 17 del Codice per mancato assolvimento dell’obbligo di presentazione di apposita istanza di verifica preliminare per il trattamento dei dati biometrici, nonché, nella misura di euro 20.000,00 (ventimila) per la violazione di cui all’art. 163 in relazione agli artt. 37, comma 1, lettera a) e 38, commi 1 e 2, per non aver adempiuto l’obbligo di notificazione al Garante prima dell’inizio del sopra indicato trattamento, per un ammontare complessivo pari a euro 30.000,00 (trentamila);

VISTA la documentazione in atti;

VISTA la legge n. 689/1981, e successive modificazioni e integrazioni;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la prof.ssa Licia Califano;

ORDINA

a FAMAS S.R.L. con sede in Trivero (BI), Frazione ORO n.145 A, C.F. 00300410024 di pagare la somma di euro 30.000,00 (trentamila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione;

INGIUNGE

alla medesima società di pagare la somma di euro 30.000,00 (trentamila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689. 

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 22 febbraio 2018

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia