Diritti interna

Doveri interna

ricerca avanzata

Ordinanza ingiunzione nei confronti di C.R.M. S.r.l. - 22 maggio 2018 [9023973]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
9023973
Data:
22/05/18
Argomenti:
Biometria , Impronte digitali , Lavoro privato , Rilevazione orari di lavoro
Tipologia:
Ordinanza ingiunzione o revoca

[doc. web n. 9023973]

Ordinanza ingiunzione nei confronti di C.R.M. S.r.l. - 22 maggio 2018

Registro dei provvedimenti
n. 331 del 22 maggio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale; 

VISTI gli artt. 37, comma 1, lett. a) e 38 del d.lgs. 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali” (di seguito “Codice”); 

VISTO l’art. 17 del Codice in relazione a quanto prescritto dal Garante nel “Provvedimento generale prescrittivo in tema di biometria” n. 513 del 12 novembre 2014 (doc. web. n. 3556992 rintracciabile in www.gpdp.it), nonché nelle allegate “Linee guida in materia di riconoscimento biometrico e firma grafometrica” parte integrante dello stesso;

VISTA la segnalazione datata 23 febbraio 2016 e indirizzata alla scrivente Autorità con la quale alcune dipendenti della C.R.M. S.r.l. (d’ora in avanti la “Società”), attualmente in stato di liquidazione, con sede legale in Roma, Via Paraguay n. 5 e sede operativa/unità locale in Roma, via Vallelunga n. 40, P.I. 134333910003, hanno lamentato che dal primo giorno dell’assunzione, in data 1 novembre 2015, la loro presenza in servizio è stata rilevata attraverso un “badge biometrico con rilevazione delle (…) impronte digitali, sia in orario di arrivo, sia in orario di rientro nella sede lavorativa”;

VISTA la nota prot. 14928/105003 del 20 maggio 2016 con cui l’Ufficio Unità Lavoro Pubblico e Privato del Garante ha richiesto informazioni alla suddetta Società - da fornire entro il termine di 40 giorni – in relazione al sistema biometrico utilizzato;

VISTA la nota del 18 giugno 2016 con cui la Società ha fornito riscontro alla richiesta dell’Ufficio del Garante;

VISTA la nota prot. 1934/100053 del 19 gennaio 2017 con cui l’Ufficio sopra citato ha trasmesso il fascicolo relativo alla vicenda in questione al Dipartimento Attività Ispettive e Sanzioni per accertamenti circa l’eventuale sussistenza di violazioni amministrative in ordine ai trattamenti biometrici effettuati;

VISTA la richiesta di informazioni ai sensi dell’art. 157 del Decreto legislativo n. 196/2003 recante il “Codice in materia di protezione dei dati personali” (d’ora in avanti il “Codice”) prot. n. 3866/105003 del 3 febbraio 2017 formulata dal Dipartimento Attività Ispettive e Sanzioni e indirizzata alla Società;

VISTA la nota prot. n. 3872/105003 del 3 febbraio 2017 con cui quest’ultimo Dipartimento ha incaricato il Nucleo Speciale Privacy della Guardia di Finanza di notificare alla Società la suddetta richiesta di informazioni, nonché di acquisire le stesse mediante la redazione di un verbale di operazioni compiute;

RILEVATO che il Nucleo Speciale Privacy della Guardia di Finanza, in esecuzione della richiesta di informazioni del Garante prot. n. 3866/105003 del 3 febbraio 2017 formulata ai sensi dell’art. 157 del Codice, ha svolto accertamenti presso la Società, ai sensi dell’art. 13 della legge 689/1981, formalizzati nel verbale di operazioni compiute dei giorni 8 e 14 febbraio 2017 e diretti a verificare la liceità dei trattamenti di dati biometrici effettuati dalla Società;

CONSIDERATO che, sulla base delle dichiarazioni rese nel corso degli accertamenti ispettivi e della documentazione acquisita è risultato che:

- la Società è stata costituita il 1 ottobre 2015 e dal 29 gennaio 2016 è in liquidazione volontaria. Si occupava di pulizie condominiali e aveva n. 6 dipendenti;

- la Società, al fine di evitare “ (…) contestazioni in merito alla veridicità degli orari effettivi di lavoro” (cfr. punto n. 3 del verbale di operazioni compiute de 8 febbraio 2017) ha istallato e messo in funzione, a metà dicembre 2015, un sistema di rilevamento della presenza in servizio dei propri dipendenti basato su un dispositivo di lettura dell’impronta digitale; tale sistema è stato dismesso dopo circa 15 giorni, in considerazione del cattivo funzionamento “(…) in quanto le dipendenti non riuscivano a far leggere la propria impronta digitale dal confrontare con quella memorizzata all’interno del dispositivo (…)” per cui la Società provvedeva “(…) a eliminare le impronte digitali memorizzate mediante la funzione di cancellazione prevista dal menù e ad utilizzare il sistema con un codice numerico assegnato ad ogni dipendente (…) (cfr. punto n. 2 del verbale di operazioni compiute dell’8 febbraio 2017);

- la Società, ai sensi dell’art. 4, comma 1, lett. f), e 28 del Codice, in qualità di datore di lavoro, è titolare del trattamento dei dati personali dei propri dipendenti effettuato nell’esecuzione della attività di rilevamento suindicata;

- la Società, con riferimento agli adempimenti cui è tenuto il titolare del trattamento sulla base di quanto disposto dagli artt. 37, comma 1, lett. a) e 38 del Codice per il trattamento di dati biometrici, non ha adempiuto all’obbligo di notificazione al Garante;

- la Società, con riferimento all’adempimento cui è tenuto il titolare del trattamento sulla base di quanto disposto dall’art. 17 del Codice, non ha assolto all’obbligo di presentazione di apposita istanza di verifica preliminare per il trattamento dei dati biometrici effettuato al fine di rilevare la presenza in servizio dei propri dipendenti attraverso un dispositivo lettore dell’impronta digitale; 
VISTO il verbale prot. n. 21177/105003 del 13 giugno 2017 con cui il Garante ha contestato alla Società C.R.M. S.r.l., con sede legale in Roma, Via Paraguay n. 5 e sede operativa/unità locale in Roma, via Vallelunga n. 40, P.I. 134333910003, in persona del legale rappresentante pro-tempore, le seguenti violazioni amministrative:

- ai sensi dell’art. 162, comma 2-bis del Codice, la violazione delle disposizioni indicate nell’art. 167 del Codice medesimo e, specificamente, dell’art. 17 in relazione a quanto prescritto dal Garante nel “Provvedimento generale prescrittivo in tema di biometria” n. 513 del 12 novembre 2014 (doc. web. n. 3556992 rintracciabile in www.gpdp.it), per il mancato assolvimento dell’obbligo di presentazione di apposita istanza di verifica preliminare per il trattamento dei dati biometrici dei propri dipendenti al fine di rilevarne la presenza in servizio a mezzo di un lettore dell’impronta digitale;

- ai sensi dell’art. 163 del Codice, la violazione delle disposizioni contenute negli artt. 37, comma 1, lettera a) e 38, commi 1 e 2, del medesimo Codice per mancato assolvimento dell’obbligo di notificazione al Garante in relazione al trattamento dei dati biometrici effettuato;

RILEVATO che dal rapporto amministrativo prot. n. 34899/105003 del 6 novembre 2017, predisposto dall’Ufficio del Garante ai sensi dell’art. 17 della legge 24 novembre 1981 n. 689 e riferito al sopra menzionato verbale di contestazione di violazione amministrativa del Garante prot. n. 21177/105003 del 13 giugno 2017, non risulta essere stato effettuato il pagamento in misura ridotta di cui all’art. 16 della legge 689/81;

VISTO lo scritto difensivo datato 12 luglio 2017 con il quale il legale della Società ha inteso evidenziare che il sistema, “(…) è stato in funzione per un numero esiguo di giorni (…)” ed ha manifestato “ (…) sin da subito malfunzionamenti tecnici tali da rendere difficile se non a volte impossibile procedere al rilevamento dell'inizio e/o della fine dcl lavoro (…)” tanto che “(…) i dati biometrici non sono stati effettivamente utilizzati dalla C.R.M. e sono stati immediatamente cancellati dal dispositivo, in favore della definitiva adozione di una password personale”.

Inoltre “(…) a) nel dispositivo di rilevamento delle presenze ciascuna impronta inserita dalle dipendenti è stata associata ad un codice numerico personale assegnato dallo stesso dispositivo; b) in nessun caso il dato biometrico è stato estratto dal dispositivo e trasferito nella pendrive o nel pc, né singolarmente né in associazione al nominativo della dipendente o al codice numerico a questa assegnato dal dispositivo o agli orari di ingresso/uscita acquisiti dal dispositivo stesso; c) al momento della stampa da pc, quindi, l'impronta digitale non era associabile al nominativo; d) i dati "biometrici' delle dipendenti sono stati immediatamente cancellati/rimossi dal dispositivo, non residuandone alcuna traccia e/o copia e/o memorizzazione in capo alla C.R.M (…)”.  Pertanto, alla luce di ciò, secondo il legale di parte “(…) si può legittimamente ritenere che nel caso specifico, nonostante sia stato "tecnicamente" effettuato un inserimento nel dispositivo di rilevamento del dato biometrico (nella specie, raccolta di una sola impronta)) non vi sia stato un vero e proprio trattamento dei c.d. dati biometrici dei dipendenti (…)”. 

Per le circostanze suddette, il legale della Società, fa presente che “(…) devono ritenersi esclusi in radice quei rischi specifici per i diritti, le libertà fondamentali e la dignità degli interessati in relazione ai quali il Garante ha ritenuto necessaria la verifica preliminare ex art. 17 del Codice”. A ciò aggiunge che “ (…) del resto, anche le ipotesi, già indicate, di esonero dagli adempimenti di cui al richiamato art. 17 non sono tassative, essendosi riservato il Garante di prevedere ulteriori ipotesi di esonero (rientrando in tale facoltà, evidentemente, anche la valutazione dci casi specifici”.

Quanto alla contestata inosservanza dell’obbligo di notificazione al Garante la parte osserva che “ (…) può ritenersi che nella fattispecie de qua non sia sorto l'obbligo di notificazione di cui all’art. 37 dcl Codice, in quanto, richiamando le precedenti considerazioni, l'inserimento dell'impronta digitale nel dispositivo per effettuarne un test ed il numero esiguo di giorni in cui la prova ha avuto luogo (con esito, si ribadisce, negativo con immediata rimozione di tutti i dati c.d. biometrici) senza utilizzo dei dati orari raccolti, evidenziano che non vi sia stato un vero e proprio trattamento di dati personali biometrici, con conseguente inapplicabilità degli obblighi di cui all'art. 37 (…)”.

Alla luce di quanto esposto la Società ha chiesto l’archiviazione del procedimento sanzionatorio per entrambe le violazioni contestate (art. 17 e art. 37 del Codice) o, in subordine, l'archiviazione parziale del procedimento, con riguardo, in particolare, alla violazione dell’art. 17 del Codice; nell’ipotesi dell’irrogazione di una o più sanzioni, che le stesse siano quantificate in via equitativa o ex art. 164-bis, comma 1, del Codice in una somma inferiore ai minimi edittali, considerata la particolarità del caso specifico o, in ulteriore subordine, in un importo non superiore ai minimi edittali;

LETTO il verbale di audizione del 7 novembre 2017, svoltasi ai sensi dell’art. 18 della legge n. 689/1981, con cui la parte, ribadendo quanto già rappresentato e richiesto nelle memorie difensive, ha nuovamente evidenziato che “(…) l’apparecchio di rilevamento è rimasto in funzione solo per pochi giorni ed in ogni caso, nell'esiguo periodo di funzionamento, era consentito a ciascuna  dipendente la facoltà di utilizzare, per registrare ingresso ed uscita, o l 'impronta digitale o in alternativa l'inserimento di un codice numerico personale” e, in tutto ciò, l'assoluta buona fede della società;

RITENUTO che le argomentazioni addotte dalla Società per dimostrare l’infondatezza di quanto contestato non risultano idonee a determinare l’archiviazione, totale o parziale, del procedimento sanzionatorio.

Infatti, secondo quanto rappresentato circa la struttura del sistema di rilevamento dei dati biometrici del personale dipendente, non ha rilevanza che il dato biometrico non sia stato “ (…) estratto dal dispositivo e trasferito nella pendrive o nel pc, né singolarmente né in associazione al nominativo della dipendente o al codice numerico a questa assegnato dal dispositivo o agli orari di ingresso/uscita acquisiti dal dispositivo stesso (…)”, né che “(…) al momento della stampa da pc, (…) l'impronta digitale non era associabile al nominativo”, in quanto proprio attraverso i menzionati codici numerici riferibili ai nominativi dei dipendenti era comunque possibile risalire indirettamente all’identità di questi ultimi. Come previsto, infatti, dall’art. 4, lett. b), del Codice l’identificazione o l’identificabilità dei soggetti interessati può avvenire anche “ (…) mediante riferimento a qualsiasi altra informazione (…)”. 

Anche il fatto che il sistema sia stato utilizzato per pochi giorni e in fase di “test” (come rappresentato dalla parte sia nella memoria difensiva sia in fase di audizione innanzi al Garante) ed, inoltre, che i dati siano stati, in fase successiva, immediatamente cancellati, non esclude l’applicazione della normativa a protezione dei dati personali, in quanto anche la sperimentazione sostanzia, ai sensi dell'art. 4, comma 1, lett. a) del Codice, un trattamento di dati personali.

Ciò, vale anche in riferimento a quanto sostenuto dal legale di parte per il quale nella vicenda in questione “(…) devono ritenersi esclusi in radice quei rischi specifici per i diritti, le libertà fondamentali e la dignità degli interessati in relazione ai quali il Garante ha ritenuto necessaria la verifica preliminare ex art. 17 del Codice” considerate, inoltre, proprio le richiamate ipotesi di esonero previste dal “Provvedimento generale prescrittivo in tema di biometria” n. 513 del 12 novembre 2014 (doc. web n. 3556992 rintracciabile nel sito istituzionale www.gpdp.it). In riferimento a queste ultime il titolare del trattamento è esonerato dall’obbligo di presentare istanza di verifica preliminare ai sensi dell’art. 17 del Codice, a condizione che vengano adottate tutte le misure e gli accorgimenti tecnici, organizzativi e procedurali idonei a raggiungere gli obiettivi di sicurezza individuati con il sopra indicato provvedimento prescrittivo e siano rispettati i presupposti di legittimità e le indicazioni contenuti nel Codice e richiamati nelle “Linee guida in materia di riconoscimento biometrico e firma grafometrica” sopra citate, al capitolo 4 “Principi generali e adempimenti giuridici”. Più specificamente, i trattamenti di dati biometrici che, alle suindicate condizioni, possono essere effettuati senza presentare istanza di verifica preliminare si riferiscono alle ipotesi di: 1) autenticazione informatica per accesso a banche dati e sistemi informatici; 2) controllo di accesso fisico ad aree sensibili dei soggetti addetti all’utilizzo di apparati e macchinari pericolosi; 3) sottoscrizione di documenti informatici, 4) uso delle impronte digitali e della topografia della mano a scopi facilitativi. E’ di tutta evidenza che, in tali ipotesi, non rientra nil caso in questione.

Con riferimento, poi, a quanto asserito dalla parte circa la ricorrenza della buona fede, da intendersi come errore incolpevole, l’art. 3, comma 2, della legge n. 689/1981, nel sancire che “nel caso in cui la violazione è commessa per errore sul fatto, l’agente non è responsabile quando l’errore non è determinato da sua colpa”, pone una presunzione di colpa in ordine al fatto vietato a carico di colui che lo abbia commesso, riservando poi a quest’ultimo l’onere di provare di aver agito incolpevolmente. L'errore incolpevole sul fatto che verta sui presupposti della violazione può rilevare soltanto in presenza di un elemento positivo, estraneo all'autore dell'infrazione, idoneo ad ingenerare nello stesso “inesperto autore” l’incolpevole opinione di liceità del proprio agire e soltanto se lo stesso agente abbia fatto tutto il possibile per osservare la legge e nessun rimprovero possa essergli mosso, così che l'errore sia incolpevole, non suscettibile cioè di essere impedito dall'interessato con l'ordinaria diligenza (ex multis, Cass. civ. 11 maggio 2017, n. 11584, Cass. civ. 18 ottobre 2016, n. 21052, Cass. civ. 2 ottobre 2015, n. 19759).

Alla luce di ciò, non può ritenersi applicabile l’esimente dell’errore scusabile tenuto conto della qualifica professionale dell’agente.

RILEVATO, che, sulla base di tutto quanto sopra richiamato, la Società C.R.M. S.r.l., attualmente in stato di liquidazione, con sede legale in Roma, Via Paraguay n. 5 e sede operativa/unità locale in Roma, via Vallelunga n. 40, P.I. 134333910003, risulta aver commesso due distinte violazioni:

- la prima in relazione all’art. 162, comma 2-bis del Codice, per violazione delle disposizioni indicate nell’art. 167 dello stesso e, specificamente, dell’art. 17 in relazione a quanto prescritto dal Garante nel “Provvedimento generale prescrittivo in tema di biometria” n. 513 del 12 novembre 2014 (doc. web. n. 3556992 rintracciabile in www.gpdp.it), per mancato assolvimento dell’obbligo di presentazione di apposita istanza di verifica preliminare per il trattamento dei dati biometrici dell’impronta digitale dei dipendenti della Società al fine di rilevare la presenza degli stessi nel luogo di lavoro;

- la seconda, relativa all’art. 163 del Codice per violazione delle disposizioni degli artt. 37, comma 1, lettera a) e 38, commi 1 e 2, del medesimo Codice per mancato assolvimento dell’obbligo di notificazione al Garante in relazione al trattamento dei dati biometrici suddetti;

VISTO l’art. 162, comma 2-bis, del Codice che punisce la violazione delle disposizioni annoverate dall’art. 167 del medesimo Codice, fra le quali è indicato l’art. 17 del Codice - violato, in tale circostanza, in relazione alle prescrizioni del Garante contenute nel “Provvedimento generale prescrittivo in tema di biometria” n. 513 del 12 novembre 2014 (doc. web. n. 3556992 rintracciabile in www.gpdp.it) - con la sanzione amministrativa del pagamento di una somma da diecimila fino a centoventimila euro;

VISTO l’art. 163 del Codice che punisce la violazione delle disposizioni di cui agli artt. 37, comma 1, lett. a), e 38 con la sanzione da ventimila a centoventimila euro;

RITENUTO che in riferimento alla violazione delle disposizioni di cui agli artt. 37, comma 1, lett. a), e 38 del Codice, punita dall’art. 163 del medesimo Codice, ricorrono le condizioni per applicare l'art. 164-bis, comma 1, del Codice stesso secondo cui “se taluna delle violazioni di cui agli art. 161, 162, 162-ter, 163 e 164 è di minore gravità, i limiti minimi e massimi stabiliti negli stessi articoli sono applicati in misura pari a due quinti”; 

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge n. 689/1981, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

RITENUTO di dover determinare, ai sensi dell’art. 11 della legge n. 689/1981, l’ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura di euro 20.000,00 (ventimila) in riferimento alla violazione di cui all’art. 162, comma 2-bis del Codice in relazione alle disposizioni indicate nell’art.167 dello stesso e, specificamente, dell’art. 17 del Codice per mancato assolvimento dell’obbligo di presentazione di apposita istanza di verifica preliminare per il trattamento dei dati biometrici, nonché nella misura di euro 20.000,00 (ventimila) per la violazione di cui all’art. 163 del Codice in relazione agli artt. 37, comma 1, lettera a) e 38, commi 1 e 2, per non aver adempiuto l’obbligo di notificazione al Garante prima dell’inizio del sopra indicato trattamento e di ridurre la seconda sanzione dei due quinti, secondo quanto previsto dall’art. 164-bis, comma 1, del Codice in considerazione di quanto sopra illustrato per la ricorrenza del requisito della minore gravità, per un importo pari a euro 8.000,00 (ottomila); tutto quanto precede per un ammontare complessivo pari a euro 28.000,00 (ventottomila);

VISTA la documentazione in atti;

VISTA la legge n. 689/1981, e successive modificazioni e integrazioni;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la prof.ssa Licia Califano;

ORDINA

a C.R.M. S.r.l., attualmente in stato di liquidazione, con sede legale in Roma, Via Paraguay n. 5 e sede operativa/unità locale in Roma, via Vallelunga n. 40, P.I. 134333910003, di pagare la somma di euro 28.000,00 (ventottomila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione;

INGIUNGE

alla medesima società di pagare la somma di euro 28.000,00 (ventottomila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689. 

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 22 maggio 2018

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia