Diritti interna

Doveri interna

ricerca avanzata

Ordinanza ingiunzione nei confronti di Priolo Servizi S.c.p.A. - 1° marzo 2018 [8998661]

[doc. web n. 8998661]

Ordinanza ingiunzione nei confronti di Priolo Servizi S.c.p.A. - 1° marzo 2018

Registro dei provvedimenti
n. 129 del 1° marzo 2018 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale; 

RILEVATO che, a seguito di una segnalazione pervenuta in Autorità in data 9 luglio 2014, con cui veniva lamentato un illecito trattamento di dati personali di tipo biometrico riferito ai lavoratori in servizio presso lo stabilimento petrolchimico di Priolo, posto in essere da Priolo Servizi S.c.p.A. (di seguito “la società”), con sede in Melilli (SR), ex s.s. 114, Litoranea Priolese km. 9,5 km, P.I. 01567660897, l’Ufficio ha svolto un’articolata istruttoria all’esito della quale ha accertato, con nota del 25 maggio 2016, che:

- la società, in qualità di titolare del trattamento ai sensi degli artt. 4, comma 1, lett. b) e 28 del Codice, dal mese di aprile al mese di agosto 2014 ha effettuato operazioni di trattamento dei dati personali biometrici riferiti a circa 6.700 lavoratori, dipendenti delle imprese terze contrattiste incaricate di svolgere attività all’interno del polo industriale, avvalendosi per la raccolta delle impronte digitali e per la predisposizione del badge della società G.I.S., Global Industries Services s.r.l., designata responsabile del trattamento ai sensi dell’art. 29 del Codice;

- a fronte del trattamento dei dati personali così effettuato, la società ha reso una informativa agli interessati, ai sensi dell’art. 13 del Codice, che è risultata inidonea in quanto “tra le finalità del trattamento risulta eterogeneo, rispetto a quanto rappresentato, il dichiarato scopo di gestione (…) a fini statistici e di ricerca da parte delle società coinsediate” (nota dell’Ufficio del 25 maggio 2016); inoltre, reca evidenti contrasti tra la dichiarata natura obbligatoria ovvero facoltativa del conferimento dei dati. Tra l’altro, non risulta indicata la designazione della società G.I.S. quale responsabile del trattamento (sebbene tale società fosse stata delegata ad effettuare materialmente le operazioni di raccolta e consegna dei badge e nonostante la stessa fosse stata già formalmente designata, per quanto dichiarato dal Priolo Servizi, quale responsabile del trattamento); infine, non è stato indicato il carattere sperimentale della raccolta di dati biometrici, né sono state fornite indicazioni relativamente ai sistemi alternativi di accesso per coloro che non avessero prestato il consenso;

- è risultato che la società non ha provveduto a effettuare la notificazione al Garante dei trattamenti di dati biometrici, ai sensi degli artt. 37, comma 1, lett. a) e 38 del Codice;

VISTO il verbale n. 24360/94470 del 17 agosto 2016 con cui sono state contestate a Priolo Servizi S.c.p.A, in persona del legale rappresentante pro-tempore, le violazioni amministrative previste dagli artt. 161 e 163 del Codice, applicate in combinato disposto con l’art. 164-bis, comma 3 (in considerazione dell’elevato numero di interessati coinvolti e della particolare natura dei dati trattati), per aver effettuato il trattamento di dati personali di cui all’art. 37, comma 1, lett. a), (trattamenti di dati biometrici), rendendo una informativa inidonea e omettendo di effettuare la notificazione al Garante, secondo le modalità indicate dall’art. 38 del Codice;

RILEVATO che dal rapporto predisposto dall’Ufficio ai sensi dell’art. 17 della legge n. 689/1981 non risulta essere stato effettuato il pagamento in misura ridotta;

VISTA la memoria difensiva, datata 14 settembre 2016, inviata ai sensi dell’art. 18 della legge n. 689/1981, con cui la parte ha giudicato esorbitante e non giustificata l’applicazione della sanzione pecuniaria di cui all’art. 163 del Codice, per la omessa notificazione al Garante del trattamento dei dati biometrici, individuata nella somma di euro 240.000,00. Secondo la parte, “tale importo si desume dalla menzionata facoltà della società di procedere al pagamento in misura ridotta, nei termini previsti, di una somma pari a euro 80.000,00, pari alla terza parte del massimo della sanzione prevista per la violazione commessa (euro 120.000,00 ai sensi dell’art. 163 del Codice) aumentato del doppio (euro 240.000,00 ai sensi dell’art. 164-bis, comma 3, del Codice)”. La parte ha osservato che, nella determinazione di tale importo, sono stati automaticamente applicati i massimi edittali aggravati, senza prendere in considerazione gli elementi di fatto, risultanti dalle istruttorie svolte, e i criteri di cui all’art. 11 della legge n. 689/1981 che, laddove considerati, avrebbero portato alla valutazione della omissione contestata come caso di minore gravità. Infatti, “il trattamento per il quale è stata contestata alla società l’omessa notificazione ha avuto luogo per una durata assai limitata nel tempo (…); ha riguardato una fase preliminare volta alla mera valutazione e non alla diretta implementazione (…) del progetto badge unico, non essendosi mai verificata l’attivazione vera e propria del sistema biometrico (…); non ha perseguito in alcun modo scopi di verifica dell’attività lavorativa; non ha previsto neanche nella fase di valutazione preliminare alcuna centralizzazione o registrazione in qualsivoglia database dei dati biometrici acquisiti dal titolare né alcuna memorizzazione (…); non ha previsto (…) alcuna conservazione dei dati biometrici (…) e nessuna associazione di informazioni o dati personali ulteriori(…)”. Quanto all’applicazione dell’aggravante di cui all’art. 164-bis, comma 3, del Codice, osserva la parte che “alcuna rilevanza (né minore né maggiore) del pregiudizio può riscontrarsi nei confronti degli interessati per l’omessa notifica, stante la considerazione che tale adempimento amministrativo non è rivolto agli interessati ma all’autorità di supervisione e controllo ai fini della trasparenza e della creazione del Registro dei trattamenti (…). Neanche il mero dato numerico dichiarato dalla società in merito agli interessati coinvolti nella fase valutativa del progetto badge unico può fondare l’applicazione dei massimi edittali aggravati”. La parte ha quindi lamentato che, nell’applicazione dell’art. 11 della legge n. 689/1981, si sia erroneamente applicato il criterio della “gravità della violazione” e non si sia tenuto conto della condotta dell’agente; e che, nella determinazione della misura ridotta di cui all’art. 16 della legge n. 689/1981, “è stato applicato immotivatamente il criterio di computo più sfavorevole”, che è in contrasto con il principio di proporzionalità che impone all’amministrazione di adottare un provvedimento non eccedente e basato su una doverosa e adeguata ponderazione delle contrapposte esigenze.

Con riferimento alla violazione di cui all’art. 161 del Codice, la parte ha osservato che la sanzione amministrativa comminata è stata applicata nella misura del massimo edittale (pari a euro 72.000,00). nonostante tale contestazione debba ritenersi del tutto infondata. Nel verbale di contestazione, infatti, l’informativa, consegnata ai lavoratori in occasione della raccolta dei dati biometrici, viene giudicata inidonea in considerazione di quattro aspetti: il primo riguarda la circostanza che tale informativa “presenta finalità eterogenee rispetto a quelle dichiarate al Garante nel corso del procedimento”. A tal proposito, la parte ha evidenziato che trattasi di un elemento non previsto dall’art. 13 del Codice e che, comunque, le finalità di “gestione ai fini statistici e di ricerca” “rappresentavano un preciso obbligo nei confronti [degli interessati]”; il secondo aspetto attiene alla circostanza che il modello di informativa presenta “evidenti contrasti tra la dichiarata natura obbligatoria (…) e la successiva raccolta dei consensi per le diverse tipologie di dati, con la conseguente impossibilità di determinare la natura obbligatoria o facoltativa del conferimento dei dati”. Rispetto a tale circostanza, la parte ha osservato che nell’informativa è chiarita la natura obbligatoria del conferimento dei dati e le conseguenze di un eventuale rifiuto a rispondere in base a quanto disposto dall’art. 13, comma 1, lett. b) del Codice, mentre la raccolta del consenso è finalizzata a “documentare a fini lavoristici e del proprio contratto di appalto con le società contrattiste anche l’eventuale rifiuto dei lavoratori (…) a sottoporsi alla procedura prevista per il rilascio del badge”; un altro aspetto attiene alla mancata indicazione, nel testo dell’informativa, del responsabile del trattamento, rispetto alla quale la parte ha osservato come si tratti di una informazione già nota agli interessati e che, pertanto, poteva non essere inclusa nell’informativa in base a quanto previsto dall’art. 13, comma 2, che infatti prevede che “l’informativa può non comprendere gli elementi già noti alla persona che fornisce i dati”; infine, nel verbale di contestazione, viene rilevata l’inidoneità dell’informativa anche rispetto alla mancata indicazione del carattere sperimentale della raccolta dei dati biometrici e di sistemi alternativi di accesso per coloro che non avessero prestato il consenso. Rispetto a tale omissione, la parte ha rilevato come anche in tal caso si tratta di un elemento non richiesto dall’art. 13 del Codice né dal provvedimento n. 513 del 12 novembre 2014, recante “Linee guida sulla biometria” che, comunque, alla data dei fatti non era stato ancora adottato dal Garante. La parte ha, quindi, evidenziato come il verbale di contestazione sia viziato ai sensi dell’art. 21-octies della legge n. 241/1990 da eccesso di potere, con particolare riferimento alla falsità del presupposto, all’erronea valutazione dei fatti, alla violazione del principio di proporzionalità e alla disparità di trattamento;

RITENUTO che le argomentazioni addotte nello scritto difensivo non consentono di escludere la responsabilità della parte in ordine a quanto contestato. La parte ha fondato le proprie osservazioni difensive sull’erroneo presupposto che gli importi delle sanzioni, comminate per le due violazioni degli artt. 13 e 37 del Codice, siano stati applicati nella misura massima prevista e con l’aggravante di cui all’art. 164-bis, comma 3, senza tenere in considerazione i criteri di cui all’art. 11 della legge n. 689/1981 e quello del maggior favor previsto dall’art. 16 della medesima legge. In realtà, nel verbale di contestazione n. 24360, datato 17 agosto 2016 e notificato alla società in pari data, l’Ufficio, dopo aver individuato le condotte illecite e le relative norme sanzionatorie (con i relativi importi minimo e massimo), ha effettuato una valutazione circa l’applicabilità dell’aggravante di cui all’art. 164-bis, comma 3, del Codice. Per effetto di tale disposizione, i limiti minimo e massimo delle sanzioni previste dagli artt. 163 e 161 sono stati aumentati in misura pari al doppio, e cioè da un minimo di euro 40.000,00 a un massimo di euro 240.000,00 per la sanzione prevista dall’art. 163, e da un minimo di euro 12.000,00 a un massimo di euro 72.000,00 per la sanzione prevista dall’art. 161. Ciò posto, ai sensi dell’art. 16 della legge n. 689/1981, il trasgressore è stato ammesso a definire in via breve il procedimento sanzionatorio, effettuando il pagamento in misura ridotta di un importo pari a euro 80.000,00 (ottantamila) per la violazione dell’art. 37 e di un importo pari a euro 24.000,00 (ventiquattromila) per la violazione dell’art. 13. Nessun errore è stato commesso dall’Ufficio nella determinazione dei suddetti importi che sono il risultato di un mero calcolo matematico (il doppio del minimo aumentato del doppio). Pertanto, non si comprende come la parte abbia desunto il pagamento di una somma diversa e maggiore rispetto a quelle chiaramente indicate nel suddetto verbale di contestazione. Considerato che dal rapporto predisposto dall’Ufficio ai sensi dell’art. 17 della legge n. 689/1981 non risulta che siano stati effettuati i pagamenti in misura ridotta per le violazioni contestate, il procedimento sanzionatorio è proseguito fino alla sua definizione con la presente ordinanza, in cui ai fini dell’applicazione delle sanzioni si terrà conto dei criteri fissato dall’art. 11 della legge n. 689/1981. Pertanto, contrariamente a quanto ritenuto, l’Ufficio non ha affatto applicato “immotivatamente” il criterio più sfavorevole, ma ha seguito l’iter procedimentale dettato da specifiche diposizioni legislative.

Con specifico riferimento all’applicazione dell’aggravante di cui all’art. 164-bis, comma 3, del Codice si osserva che la valutazione in ordine alla sua applicabilità è stata fatta tenendo conto non della omissione del titolare di procedere alla notificazione al Garante, ma della particolare natura dei dati oggetto di trattamento (e quindi del pregiudizio che deriva dall’inosservanza delle norme di settore) e del rilevante numero di interessati coinvolti nelle operazioni di raccolta dei dati (circa 6.500 lavoratori). Infatti, i dati biometrici attengono a una sfera particolare di informazioni personali, perché collegati all’individuo “direttamente, univocamente e in modo tendenzialmente stabile nel tempo” e perché “denotano la profonda relazione tra corpo, comportamento e identità della persona”, tanto che sono richieste particolari cautele per il loro trattamento, tra cui appunto l’obbligo della notificazione (Provvedimento n. 513 del 12 novembre 2014).

Quanto alla violazione dell’art. 13 del Codice per inidoneità dell’informativa, si osserva che l’informativa, per assolvere alla sua funzione, deve fornire all’interessato una rappresentazione chiara, e quanto più dettagliata, del trattamento dei dati che lo riguardano. In quest’ottica, il modello di informativa reso dalla società, e prodotto agli atti nell’ambito dell’istruttoria, è risultato inidoneo in quanto non indica il responsabile del trattamento e, rispetto alle pertinenti operazioni di raccolta dei dati biometrici, finalizzate alla contestuale consegna del dispositivo biometrico, la finalità di “gestione dei dati a fini statistici e di ricerca” è risultata ulteriore e non pertinente rispetto alle specifiche finalità perseguite con il trattamento in esame. L’inidoneità dell’informativa emerge anche in considerazione del fatto che, mentre è stabilito che il conferimento dei dati è obbligatorio, vengono acquisiti distinti consensi degli interessati in ordine alle diverse tipologie di dati da trattare (quali l’utilizzo della foto o la memorizzazione sul badge dei dati biometrici), impedendo di conoscere quali dati siano obbligatori e quali non lo siano. Pertanto, l’osservazione formulata dalla parte secondo cui la richiesta del consenso è finalizzata a “documentare a fini lavoristici (…) l’eventuale rifiuto dei lavoratori (…) a sottoporsi alla procedura prevista per il rilascio del badge” non può considerarsi corretta perché il consenso richiesto attiene alla realizzazione di una procedura (quale il rilascio del badge) che è essa stessa trattamento di dati personali. Si osserva, invece, che l’indicazione dell’esistenza di una procedura di identificazione alternativa non può formare oggetto di valutazione ai fini dell’accertamento della violazione de qua, perché, come chiarito dall’Ufficio nella nota del 25 maggio 2016, essa dovrà essere indicata nell’informativa che la società dovrà predisporre rispetto ai trattamenti che intende effettuare (punto 3.2 della citata nota); 

RILEVATO, quindi, che, sulla base delle considerazioni sopra esposte, la società risulta aver commesso, in qualità di titolare del trattamento, ai sensi dell’art. 4, comma 1, lett. f), e 28 del Codice, la violazione di cui agli artt. 37, comma 1, lett. a), e 38 del Codice, per aver effettuato trattamenti di dati biometrici senza aver presentato la notificazione al Garante, e la violazione dell’art. 13, per aver fornito agli interessati una informativa inidonea;

VISTO l’art. 163 del Codice che punisce la violazione delle disposizioni di cui agli artt. 37 e 38 del Codice con il pagamento di una sanzione da ventimila a centoventimila euro;

VISTO l’art. 161 del Codice che punisce la violazione delle disposizioni dell’art. 13del Codice con il pagamento di una sanzione da seimila a trentaseimila euro;

VISTO l’art. 164-bis, comma 3, del Codice che prevede che in casi di maggiore gravità e, in particolare, di maggiore rilevanza del pregiudizio per uno o più interessati che, nel caso di specie, è dato dalla particolare natura dei dati trattati riferiti a un rilevante numero di interessati (circa 6.500 lavoratori), i limiti minimo e massimo delle sanzioni sono applicate in misura pari al doppio;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge n. 689/1981, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a) in ordine all’aspetto della gravità con riferimento agli elementi dell’entità del pregiudizio o del pericolo e dell’intensità dell’elemento psicologico, il trattamento dei dati biometrici realizzato dalla società, ancorché in una fase preliminare, ha coinvolto un numero rilevante di interessati;

b) ai fini della valutazione dell’opera svolta dall’agente, deve evidenziarsi che la società, dall’interrogazione del Registro generale dei trattamenti, non risulta aver presentato la notificazione al Garante in relazione al trattamento in questione;

c) circa la personalità dell’autore della violazione, deve essere considerata la circostanza che la società non risulta gravata da precedenti procedimenti sanzionatori;

d) in merito alle condizioni economiche dell’agente, sono stati presi in considerazione gli elementi del bilancio ordinario d’esercizio per l’anno 2016;

RITENUTO, quindi, di dover determinare, ai sensi dell’art. 11 della legge n. 689/1981, l’ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura di euro 40.000,00 (quarantamila) per la violazione di cui all’art. 163 e nella misura di euro 12.000,00 (dodicimila) per la violazione di cui all’art. 161, entrambe applicate in combinato disposto con l’art. 164-bis, comma 3, del Codice, per un ammontare complessivo pari a euro 52.000,00 (cinquantaduemila);

VISTA la documentazione in atti;

VISTA la legge n. 689/1981 e successive modificazioni e integrazioni;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la dott.ssa Augusta Iannini;

ORDINA

a Priolo Servizi S.c.p.A., con sede in Melilli (SR), ex s.s. 114, Litoranea Priolese km. 9,5 km, P.I. 01567660897, di pagare la somma di euro 52.000,00 (cinquantaduemila) per le violazioni indicate in motivazione;

INGIUNGE

alla medesima società di pagare la somma di euro 52.000,00 (cinquantaduemila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689. 

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 1° marzo 2018

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia