Diritti interna

Doveri interna

ricerca avanzata

Ordinanza di ingiunzione nei confronti di SIS Scabini Investigations Security s.r.l. - 1° marzo 2018 [8999305]

[doc. web n. 8999305]

Ordinanza di ingiunzione nei confronti di SIS Scabini Investigations Security s.r.l. - 1° marzo 2018

Registro dei provvedimenti
n. 130 del 1° marzo 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale; 

VISTA la nota del Dipartimento affari legali e di giustizia, prot. n. 32299 del 18 novembre 2015, con cui è stata accertata, al termine di un procedimento avviato su segnalazione di due interessati del 17 agosto 2015 e dell’istruttoria svolta, la violazione dell’art. 37 del Codice da parte dell’Agenzia di investigazioni “Scabini Investigazioni di Scabini Fabrizio” (di seguito “Agenzia”) per l’assenza di notificazione al Garante in relazione ad un trattamento di dati mediante l’uso di sistemi di pedinamento elettronico tramite impianto GPS posizionato su un’autovettura intestata alla segnalante e monitorata dal 15/3/2015 al 27/3/2015 (cfr. nota dell’Agenzia del 16 ottobre 2015 in riscontro alla richiesta di informazioni del Garante del 12 ottobre 2015). Con la suddetta nota il Garante ha concluso l’istruttoria preliminare ai sensi dell’art. 11, comma 1, lett. d) del Regolamento n. 1/2007 del 14 dicembre 2007, riservandosi di verificare con autonomo procedimento la sussistenza dei presupposti per contestare eventuali violazioni amministrative in merito al trattamento dei dati personali precedentemente effettuato;

VISTO il verbale nr. 35339 del 16 dicembre 2015 (che qui si intende integralmente richiamato) con cui è stata contestata all’Agenzia la violazione amministrativa prevista dall’art. 163 del Codice, in relazione all’art. 37, informandola della facoltà di effettuare il pagamento in misura ridotta ai sensi dell’art. 16 della legge n. 689/1981;

LETTO il rapporto redatto dall’Ufficio ai sensi dell’art. 17 della legge n. 689/1981, dal quale risulta che il contravventore non ha provveduto al pagamento in misura ridotta, per la violazione contestata; 

PRESO ATTO che, a seguito della contestazione suddetta, la parte ha effettuato in data 29 dicembre 2015 la notificazione ai sensi dell’art. 37 del Codice (iscritta nel registro dei trattamenti tenuto dal Garante con il n. 2015122300218058) con la nuova denominazione SIS Scabini Investigations Security s.r.l. (di seguito “Società”);

VISTA la memoria difensiva del 7 gennaio 2016, a mezzo della quale la parte ha dichiarato che il Garante, con la contestazione suddetta, ha mutato il precedente orientamento assunto con la sopra citata nota del 18 novembre 2015 dove aveva dichiarato il non luogo a procedere all’adozione di un provvedimento prescrittivo o inibitorio ai sensi dell’art. 143 comma 1 del Codice “tenuto conto che il titolare ha assicurato che procederà alla notifica al Garante del trattamento dei dati indicati” (pag. 5). La parte ha evidenziato, inoltre, che il Garante avrebbe dovuto conformarsi al principio di economicità dell’azione amministrativa, evitando di notificare la contestazione de quo che potrebbe comportare la chiusura della Società del deducente (pag. 7) nonché la propria buona fede dal momento che nel corso del procedimento amministrativo la parte aveva dichiarato che “salvo contrario avviso la notificazione al Garante si eseguirà con la nuova denominazione” (nota del 16 ottobre 2015);

VISTA la successiva memoria difensiva del 13 gennaio 2016 con cui la parte ha eccepito il proprio errore scusabile, configurabile in caso di “difficoltà interpretative” o di “formulazione incerta di norme” ed operante anche nel settore dell’illecito amministrativo in analogia all’art. 5 c.p. (pag. 2). In particolare, la parte ha lamentato che se, da un lato, l’art. 38 afferma che la notificazione del trattamento è presentata al Garante “prima” dell’inizio del trattamento, dall’altro, “ad ingarbugliare ancor di più il lettore” l’art. 163 del Codice sanziona chiunque essendovi tenuto non provvede “tempestivamente” alla notificazione ai sensi degli artt. 37 e 38 del Codice (pag. 3). Dichiara, inoltre, che la formulazione della norma (art. 37 del Codice) “è tutt’altro che tassativa e lasciava un ampio spazio all’interpretazione del suo contenuto. L’indicazione di dati genetici, biometrici indirizzò l’attenzione verso materie sanitarie e/o antropologiche più che investigative. Men che meno riferibile a sistemi GPS” (pag. 4). Ribadisce ancora che “i dati (rilevati dall’apparato) sono trasmessi con scheda “SIM dati” del gestore Vodafone protetta da codice di sicurezza e con licenza annuale per il device. I dati sono inviati telefonicamente a un server di una ditta a ciò specializzata. (…) La consultazione avviene anch’essa con connessione telefonica e i dati storici sonon consultati da pc con una rete LAN della ditta o Wi-Fi aziendale privata.” Secondo la parte, quindi, “dalla lettura anche superficiale della norma appare non ravvisabile alcun obbligo di notificazione poiché l’uso di GPS non appare ricompreso nel concetto di «comunicazione elettronica»” (pag. 5). Ancora, secondo la parte, l’abbinamento del veicolo alla persona che la conduce può avvenire solo con un’osservazione diretta della persona medesima e “non per il solo posizionamento di un’autovettura che può essere utilizzata da diverse persone non solo del nucleo familiare, ma anche da amici e/o conoscenti” in quanto “la posizione di un «oggetto» non rientra nella tutela del dato personale previsto dal nostro ordinamento” (pag. 6). Infine, la parte ha affermato la liceità dell’utilizzo del GPS da parte degli investigatori privati, che si desume non solo dalla giurisprudenza della Corte di Cassazione, che lo inquadra come una sorta di pedinamento elettronico non certamente assimilabile all’intercettazione, ma anche dal decreto del Ministero dell’Interno 1 dicembre 2010 n. 269 che all’art. 5 comma 2 prevede che “i soggetti autorizzati possono, tra l’altro, svolgere … attività di osservazione statica e dinamica (c.d. pedinamento) anche a mezzo di strumenti elettronici” (pag. 6).

Peraltro, secondo la parte, la propria buona fede si desume anche dal fatto che nessun riferimento alla necessità della notificazione è riportato nel provvedimento generale del Garante n. 60/2008 recante il Codice di deontologia e di buona condotta per i trattamenti di dati personali effettuati per svolgere investigazioni difensive (pag. 8);

VISTO il verbale di audizione del 23 gennaio 2018 con cui la parte ha segnalato di non essere a conoscenza della necessità di effettuare notificazione al Garante per l’attività suddetta e che, appena appreso dell’obbligo in questione, si è immediatamente provveduto ad inviare la richiesta di notificazione. Inoltre, la parte ha ribadito che “l’art. 37 comma 1 lett. a) del Codice parrebbe doversi applicare alle professioni sanitarie” ed anche per questo motivo è caduta in errore pensando che l’obbligo di notificazione non fosse applicabile ai trattamenti dalla stessa posti in essere con l’utilizzo del GPS, ritenendo applicabile l’ipotesi di cui all’art. 3 comma 2 della legge n. 689/1981;

RILEVATO che la parte ha prestato acquiescenza alla decisione del 18 novembre 2015 che rappresenta, a tutti gli effetti, un provvedimento amministrativo conclusivo di un procedimento amministrativo a mezzo del quale l’Ufficio del Garante ha compiuto nei confronti della Società una valutazione di illegittimità del trattamento dei dati oggetto del procedimento medesimo, avendo riscontrato nella fattispecie una condotta non conforme alla disciplina applicabile (art. 11 del citato Regolamento 1/2007). La natura provvedimentale dell’atto in parola, i cui effetti vanno eliminati con impugnazione, è stata confermata peraltro da due sentenze del Tribunale di Roma n. 20867/2013 e n. 9228/2016, che hanno riguardato opposizioni a provvedimenti dirigenziali adottati ex art. 11 del Regolamento n. 1/2007 del Garante, come quello in esame. Posto, quindi, che la nota in questione era soggetta a impugnazione ex art. 152 del Codice nel termine decadenziale di 30 giorni dalla sua comunicazione e che la stessa non è stata impugnata dalla parte, l’accertamento della violazione non poteva essere rimesso in discussione dal titolare del trattamento per aver prestato acquiescenza alla suddetta decisione del 18 novembre 2015 (cfr. anche Trib. Arezzo n. 607/2016 e Trib. Taranto n. 2384/2017);

RILEVATO che, con il provvedimento del 18 novembre 2015 su cui, si ribadisce, la parte ha prestato acquiescenza, è stato accertato che il “trattamento in oggetto risulta effettuato in violazione di quanto disposto dall’art. 37 del Codice, per non avere il titolare notificato al Garante (…) l’effettuazione di operazioni di trattamento di dati personali che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica” ed stato altresì evidenziato che “la circostanza che la detta disposizione disponga l’obbligo di notifica al Garante anche per i trattamenti riguardanti dati genetici o biometrici non è idonea a ingenerare confusione o a confutare il chiaro dato testuale della medesima, che assoggetta al predetto obbligo di notificazione i trattamenti riguardanti la geolocalizzazione di persone o cose tramite rete elettronica. Né può sostenersi che l’applicazione del rilevatore GPS, in quanto applicato su una autovettura, non avrebbe alcuna attinenza alla tutela di dati personali, indicando solo la localizzazione di un bene mobile, così come fa un antifurto satellitare, e che l’abbinamento del veicolo alla persona che la conduce può avvenire solo con un’osservazione diretta”. Ha precisato, infine, che il GPS rientra pienamente nel concetto di sistemi che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica mentre la trasmissione dei dati al server mediante una rete telefonica attiene “al sistema attraverso cui i dati tracciati dal GPS (attraverso la rete elettronica satellitare) vengono trasferiti su server remoto e resi consultabili dal titolare del trattamento”, non consentendo quindi di escludere la necessaria notificazione del trattamento medesimo;

RILEVATO che, fatta salva l’acquiescenza prestata dalla parte, anche le argomentazioni addotte dalla parte nel corso del procedimento sanzionatorio non risultano idonee ad escludere la responsabilità della Società in relazione a quanto contestato, si rappresenta quanto segue.

•  Con riferimento a quanto sostenuto nella memoria difensiva del 7 gennaio 2016, deve rilevarsi che con la contestazione di violazione del 16 dicembre 2015 il Garante non ha di certo mutato l’orientamento precedentemente assunto, ma ha contestato alla parte una violazione che era stata già accertata con il provvedimento del 18 novembre 2015 e su cui tra l’altro la parte ha prestato acquiescenza. Con tale provvedimento del 18 novembre 2015 il Garante ha correttamente dichiarato, infatti, il non luogo a procedere all’adozione di un provvedimento prescrittivo o inibitorio ex art. 143 del Codice, tenuto conto che “il titolare ha assicurato che procederà alla notifica al Garante del trattamento dei dati indicati” (pag. 4 del citato provvedimento), ma ha altresì accertato che il trattamento in oggetto era stato effettuato dalla Società senza aver preventivamente effettuato la notificazione al Garante e pertanto in violazione di quanto disposto dall’art. 37 del Codice. Il Garante si è riservato poi di “verificare, con autonomo procedimento, la sussistenza dei presupposti per contestare eventuali violazioni amministrative in merito al trattamento dei dati personali precedentemente effettuato” (pag. 4 del citato provvedimento). Neanche può condividersi la censura della parte secondo cui i principi di cui all’art. 97 Cost. sono stati violati dal comportamento del Garante che, dovendo conformarsi anche al principio di economicità dell’azione amministrativa, avrebbe dovuto evitare “accuratamente di notificare al deducente la contestazione de quo la quale come detto potrebbe comportare addirittura la chiusura della Società del deducente” (pag. 7 della memoria difensiva citata). Le condizioni economiche dell’agente possono rilevare, invero, sotto il profilo della quantificazione della sanzione applicabile (art. 11 legge n. 689/1981), ma non inficiano la validità di un atto di contestazione di violazione amministrativa. Del resto, anche la circostanza che nel corso del procedimento amministrativo la parte abbia dichiarato che “salvo contrario avviso, la notificazione al Garante si eseguirà con la nuova denominazione” (nota del 16 ottobre 2015), come poi si è verificato con la notificazione del 29 dicembre 2015, non può rilevare sotto il profilo della buona fede della parte, ma semmai, in sede di quantificazione della sanzione applicabile, con riguardo all’opera svolta dall’agente per la eliminazione o attenuazione delle conseguenze della violazione (art. 11 legge n. 689/1981);

• Con riferimento a quanto sostenuto nella memoria difensiva del 13 gennaio 2016, si evidenzia in primo luogo che la diversa formulazione dell’art. 38 del Codice, per cui la notificazione del trattamento è presentata al Garante “prima” dell’inizio del trattamento, rispetto all’art. 163 del Codice, che sanziona chiunque, essendovi tenuto, non provvede “tempestivamente” alla notificazione ai sensi degli artt. 37 e 38 del Codice, lungi da ingenerare confusione su chi deve adempiere ad obblighi di legge, è frutto di una scelta legislativa volta a delimitare l’ambito di applicazione della sanzione amministrativa, a favore peraltro del titolare del trattamento medesimo. Né può ritenersi che l’associazione tra i “dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica” e i “dati genetici e biometrici” (oggetto di notificazione ai sensi dell’art. 37 comma 1 lett. a) del Codice) possa indirizzare l’attenzione verso “materie sanitarie e/o antropologiche più che investigative. Men che meno riferibile a sistemi GPS” (pag. 4 degli scritti difensivi), come già precisato nel provvedimento del Garante del 23 aprile 2004 (www.gpdp.it doc. web n. 993385). La necessità della notificazione del trattamento in esame permane anche se la trasmissione dei dati al server avviene mediante una rete telefonica, tenuto conto che tale aspetto riguarda le modalità con cui i dati tracciati dal GPS sono trasferiti su server remoto e sono resi consultabili dal titolare, ma non esclude la necessità della notificazione per il trattamento di dati che indicano la posizione geografica di persone od oggetti mediante una “rete di comunicazione elettronica”, che sussiste anche in questa circostanza (artt. 37 comma 1 lett. a) e 4 comma 2 lett. a) del Codice). Deve escludersi, infine, l’assunto per cui l’acquisizione di dati di posizionamento di un oggetto non sembra avere alcuna attinenza con la protezione dei dati in quanto “l’abbinamento del veicolo alla persona che la conduce può avvenire solo con un’osservazione diretta della persona medesima” (pag. 5 della memoria difensiva). La stessa parte nel corso di procedimento amministrativo ha dichiarato che l’indagine ha avuto quale unico soggetto d’interesse la segnalante che “è stata pedinata in luogo pubblico e monitorata con GPS una delle due autovetture che avrebbe potuto utilizzare” (nota del 16 ottobre 2015), riconoscendo che il trattamento dei dati in questione era riferibile alla segnalante. Come già evidenziato nel provvedimento del 18 novembre 2015, peraltro, gli spostamenti geografici e le frequentazioni di un soggetto sono inequivocabilmente informazioni relative a persona fisica; la sua identificazione o identificabilità  ben può avvenire, come prevede il Codice, “mediante riferimento a qualsiasi altra informazione” (art. 4), come quella derivante dall’osservazione diretta del soggetto che effettua spostamenti e si reca ad appuntamenti con terzi tramite una autovettura, così come ha operato la parte. Lo stesso Codice di deontologia per il trattamento dei dati personali effettuato per svolgere investigazioni difensive (provv.to n. 60 del 6 novembre 2008) menzionato dalla parte nella memoria difensiva prevede, infatti, che l’investigatore privato conformi ai principi di liceità e correttezza del trattamento sanciti dal Codice “il ricorso ad attività lecite di rilevamento, specie a distanza” (art. 9 comma 1), a dimostrazione del fatto che anche tale attività realizza un vero e proprio trattamento di dati personali, soggetto alle regole del Codice;

• Con riferimento, infine, a quanto sostenuto dalla parte nel verbale di audizione del 23 gennaio 2018, deve rilevarsi che non può ritenersi sussistente alcuna carenza di coscienza e volontarietà della condotta da parte dell’agente né tantomeno l’errore scusabile dello stesso. Nella fattispecie, la doverosità della notificazione al Garante ex art. 37 comma 1 lett. a) del Codice deriva da una corretta interpretazione letterale della norma, fondata sul significato proprio della stessa, come prescritto dall’articolo 12 delle preleggi (cfr. Cass. Civ. n. 188 del 9 gennaio 2017). Non ricorre peraltro alcun errore incolpevole della parte, tenuto conto che l’art. 3 comma 2 della legge n. 689/1981, nel sancire che “nel caso in cui la violazione è commessa per errore sul fatto, l’agente non è responsabile quando l’errore non è determinato da sua colpa”, pone una presunzione di colpa in ordine al fatto vietato a carico di colui che lo abbia commesso, riservando poi a quest’ultimo l’onere di provare di aver agito incolpevolmente, circostanza che nella fattispecie non si è verificata (tra le tante, Cass. Civ. sez. I n. 2406 dell’8/2/2016, Cass. Civ. sez. II n. 27432 del 9/12/2013, Cass. Civ. sez. lav., n. 19242 del 7/9/2006, Trib. Bergamo, n. 2339 del 14/9/2017). Peraltro, l'errore incolpevole sul fatto che verta sui presupposti della violazione può rilevare soltanto in presenza di un elemento positivo, estraneo all'autore dell'infrazione, idoneo ad ingenerare nello stesso “inesperto autore” l’incolpevole opinione di liceità del proprio agire e soltanto se lo stesso agente abbia fatto tutto il possibile per osservare la legge e nessun rimprovero possa essergli mosso, così che l'errore sia incolpevole, non suscettibile cioè di essere impedito dall'interessato con l'ordinaria diligenza (ex multis, Cass. civ. 11 maggio 2017, n. 11584, Cass. civ. 18 ottobre 2016, n. 21052, Cass. civ. 2 ottobre 2015, n. 19759). Del resto, anche il c.d. “errore di diritto”, quale causa di esclusione della responsabilità in riferimento alla violazione di norme amministrative, viene in rilievo “soltanto a fronte dell'inevitabilità dell'ignoranza del precetto violato, da apprezzarsi alla luce della conoscenza e dell'obbligo di conoscenza delle leggi che grava sull'agente in relazione anche alle sue qualità professionali e al suo dovere di informazione sulle norme e sulla relativa interpretazione” (cfr. Trib. Roma n. 10821 del 26 maggio 2017 che ha dichiarato dovuto l’importo di cui all’ordinanza ingiunzione del Garante n. 61 dell’8.11.2007). Tenuto conto pertanto della qualifica professionale dell’agente, non può ritenersi applicabile l’esimente dell’errore scusabile, non potendo i dubbi interpretativi sull’obbligo di notificazione al Garante dei dati tradursi in una buona fede e in una ipotesi di ignorantia legis (cfr. Trib. Roma n. 10821 del 26 maggio 2017, Cass. civ. Sez. VI - 2, 01-09-2014, n. 18471, Cass. civ. del 18 luglio 2008, n. 19995);

RILEVATO, pertanto, che la Società in qualità di titolare del trattamento, ai sensi dell’art. 28 del Codice, ha effettuato un trattamento di dati personali omettendo di effettuare la notificazione al Garante, in violazione dell’art. 37 del Codice;

VISTO l’art. 163 del Codice che punisce la violazione della disposizione di cui agli artt. 37 e 38, con la sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge n. 689/1981, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a) in ordine all’aspetto della gravità con riferimento agli elementi dell’entità del pregiudizio o del pericolo e dell’intensità dell’elemento psicologico, la violazione non risulta connotata da elementi specifici;

b) ai fini della valutazione dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, deve considerarsi positivamente la circostanza che la Società abbia effettuato, pur se tardivamente, la prevista notificazione al Garante;

c) circa la personalità dell’autore della violazione, la Società non è stata destinataria di precedenti procedimenti sanzionatori; 

d) in merito alle condizioni economiche dell’agente, sono stati considerati il valore della produzione risultante dal bilancio e il risultato di esercizio della Società al 31 dicembre 2015;

RITENUTO, quindi, di dover determinare, ai sensi dell’art. 11 della legge n. 689/1981, l’ammontare della sanzione pecuniaria,  in ragione dei suddetti elementi valutati nel loro complesso, nella misura minima di euro 20.000,00 (ventimila) per la violazione di cui all’art. 163 del Codice;

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la prof.ssa Licia Califano;

ORDINA

alla “SIS Scabini Investigations Security s.r.l.” con sede legale in Voghera (PV), Via Andrea Costa 5, C.F. 02606140180 di pagare la somma di euro 20.000,00 (ventimila) a titolo di sanzione amministrativa pecuniaria per la violazione prevista dall’art. 163 del Codice;

INGIUNGE

alla medesima Società di pagare la somma di euro 20.000,00 (ventimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689. 

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 1° marzo 2018

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia