Diritti interna

Doveri interna

ricerca avanzata

Ordinanza ingiunzione nei confronti di BUSITALIA VENETO S.p.A. - 11 luglio 2018 [9039423]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
9039423
Data:
11/07/18
Argomenti:
Lavoro , Misure di sicurezza , Geolocalizzazione
Tipologia:
Ordinanza ingiunzione o revoca

[doc. web n. 9039423]

Ordinanza ingiunzione nei confronti di BUSITALIA VENETO S.p.A. - 11 luglio 2018

Registro dei provvedimenti 
n. 419 dell'11 luglio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale; 

VISTA la segnalazione pervenuta a questa Autorità Garante da parte del “Sindacato Lavoro Società” relativa all’illecito trattamento dei dati personali, effettuato dalla società “Busitalia Veneto S.p.A.”, società operante nel trasporto pubblico (d’ora in avanti la “Società”) con sede legale in Padova, via del Pescarotto25/27, P.I. 04874020284, nei confronti dei propri dipendenti tramite l’istallazione sui propri veicoli aziendali di un sistema di geolocalizzazione volto a rilevare la posizione geografica dei mezzi di trasporto pubblico locale (bus-tram), gestiti dalla Società, nella città di Padova; 

RILEVATO che il Nucleo Privacy della Guardia di Finanza, in esecuzione della richiesta di informazioni n. 38479/100671 del 21 dicembre 2016, formulata ai sensi dell’art. 157 del d.lgs. 30 giugno 2003 n. 196, recante il Codice in materia di protezione dei dati personali (di seguito “Codice”), ha svolto accertamenti presso la Società formalizzati nel verbale di operazioni compiute del 1 febbraio 2017 al fine di verificare la liceità del trattamento di dati personali a mezzo del sistema sopra citato; 

CONSIDERATO che, sulla base delle dichiarazioni rese nel corso degli accertamenti ispettivi e della documentazione prodotta dalla Società a scioglimento delle riserve formulate nel corso dell’accertamento ispettivo, è risultato che:

- la Società, costituita nel 2015 dall’integrazione dei rami di azienda, conferiti da Busitalia Sita Nord S.r.l e APS Holding S.p.A., è cessionaria del servizio di trasporto urbano per le città di Padova e Rovigo, effettuato a mezzo di bus e tram; 

- dal mese di marzo 2007, quando il servizio della linea del tram era gestita da APS Holding S.p.A., a bordo dei tram e, a seguire, anche dei bus, è stato istallato un sistema di geolocalizzazione; 

- “ (…) il sistema installato sui pullman non è pienamente operativo e non è stata attivata come avviene per i tram, la visualizzazione della posizione dei mezzi presso la Centrale Operativa ma solo le informazioni visualizzabili dagli utenti (…)” (cfr. verbale di operazioni compiute del 1 febbraio 2017, punto n. 2, pag. 3); 

- “ (…) il sistema installato a bordo dei tram, oltre alla posizione del mezzo, indica anche il nominativo dell'autista che ad inizio turno si logga al sistema mediante inserimento della propria matricola (…)” (ibidem, come sopra);  

- la visualizzazione dei tram geolocalizzati è continua ed è “(…) necessaria affinché ci possa essere il tempestivo intervento per la corretta gestione del servizio (…)” (ibidem, come sopra);  

-  “(…) i dati relativi alla geolocalizzazione vengono trattati da 6 persone, dipendenti della Società, addetti alla Centrale Operativa (…)”(cfr. verbale di operazioni compiute del 1 febbraio 2017, punto n. 5, pag. 4); 

- la Società, ai sensi dell’art. 4, comma 1, lett. f), e 28 del Codice, è titolare del trattamento dei dati personali effettuato nell’esecuzione della sopra citata attività;

- la Società non ha provveduto a nominare incaricati al trattamento i dipendenti che trattano gli specifici dati personali inerenti al sistema geolocalizzazione e a fornire loro le relative istruzioni secondo quanto previsto dall'art 30 del Codice (cfr. nota inviata dalla Società al Nucleo Speciale Privacy della Guardia di Finanza del 16 febbraio 2017 prot. 3138/2017, punto n. 5, pag. 4); 

VISTA la nota prot. 3138/17 del 16 febbraio 2017, inviata via PEC al Garante e alla Guardia di Finanza successivamente all’accertamento del 1 febbraio 2017, nella quale la società ha sostenuto che “(…) non sono stati, invece, rinvenuti, negli archivi della Società, né in quelli di APS Holding, i documenti attestanti la formale designazione degli incaricati del trattamento. A Tal riguardo (…) significhiamo che la Società si è attivata immediatamente per regolarizzare la designazione e si impegna a perfezionarla entro brevi termini (…)”;

VISTO il verbale n. 21 del 27 febbraio 2017 con cui il Nucleo Speciale Privacy della Guardia di Finanza ha contestato alla Società la violazione dell’art. 33, sanzionata dall’art. 162, comma 2-bis, del Codice, per la mancata adozione delle misure minime di sicurezza avendo omesso di nominare “incaricato del trattamento”, nonché di istruire puntualmente, il personale addetto all’accesso e alla gestione del sistema di geolocalizzazione utilizzato sui mezzi di trasporto pubblico gestiti dalla Società per il trasporto urbano nella città di Padova;

VISTA la memoria difensiva datata 13 aprile 2017 con cui la Società ha rappresentato che il "Regolamento di Esercizio - SIR 1" redatto dalla APS Holding S.p.A. - tuttora in vigore in Busitalia Veneto S.p.A. e divulgato capillarmente a tutto il personale, ai paragrafi 3.2 e 3.4, stabilisce espressamente che alla gestione del sistema SAE ("Sistema di Ausilio all’ Esercizio'', che comprende il sistema di localizzazione) sono delegati i DCO - Dirigenti Centrale Operativi - corrispondenti agli addetti alla Centrale Operativa citati sul Verbale di Operazioni Compiute del 1/2/2017; fatto che, anche se in forma minimale e sicuramente migliorabile, identifica per iscritto e "per categoria omogenea" gli incaricati al trattamento dei dati di geolocalizzazione”. La Società ha inteso, inoltre, evidenziare che i sopra citati punti di tale Regolamento, contengono istruzioni e indicazione di misure di sicurezza. In considerazione di ciò, la Società ha chiesto, in ordine a tale rilievo, in via principale, di archiviare il procedimento sanzionatorio e, in via subordinata, di ridurre alla misura minima l'ammontare della sanzione amministrativa applicabile. 

RITENUTO che le argomentazioni addotte non risultano idonee a determinare  l’archiviazione del procedimento sanzionatorio in ordine alla violazione di cui all’art. 33 del Codice. La specifica disposizione contenuta nel Codice (art. 30, comma 2) prevede che la designazione degli incaricati del trattamento “è effettuata per iscritto e individua puntualmente l´ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l´ambito del trattamento consentito agli addetti all´unità medesima”.

A tale proposito, in relazione a quanto rappresentato dalla Società nella sopra citata memoria difensiva, datata 13 aprile 2017, in ordine alla divulgazione capillare a tutto il personale del "Regolamento di Esercizio - SIR 1" redatto dalla APS Holding S.p.A., si evidenzia che nei citati paragrafi 3.2 e 3.4. di tale Regolamento sono fornite indicazioni relative all’inizio e alla fine del servizio giornaliero dei dirigenti centrali operativi, senza individuare l’ambito del trattamento dei dati personali a  questi ultimi consentito, come richiede il sopra citato art. 30, comma 2, del Codice.

Infatti, l’art. 3.2 del documento dispone soltanto che “All’ora fissata per l’inizio del turno di servizio, il DCO si deve presentare presso la Centrale Operativa, ove deve:

- Abilitare la postazione e verificare l’avvenuta corretta attivazione di tutte le tecnologie e contestualmente l’assenza di segnalazioni diagnostiche o di allarme; 

- Verificare la presenza di eventuali Ordini o Comunicazioni di Servizio. 

E’ ammesso l’accesso alla Centrale Operativa esclusivamente al personale autorizzato”. 

E, l’art. 3.4: “Al termine del servizio giornaliero, il DCO deve: 

- Chiudere la sessione di lavoro in modo tale che nessuna operazione possa essere effettuata, se non da persone autorizzate; 

- Compilare diligentemente il Rapporto giornaliero di Centrale Operativa che dovrà essere inoltrato giornalmente alla Direzione di esercizio; 

- Assicurarsi della chiusura degli ingressi alla Centrale Operativa”.

RILEVATO, quindi, che la Società sulla base degli elementi sopra esposti, risulta aver commesso la violazione dell’art. 33, sanzionata dall’art. per la mancata adozione delle misure minime di sicurezza non avendo provveduto a nominare gli incaricati del trattamento e ad istruire puntualmente tale personale per l’accesso e la gestione del sistema di geolocalizzazione;

VISTO l’art. 162, comma 2-bis, del Codice, che punisce la violazione dell’art. 33 del medesimo Codice con la sanzione amministrativa del pagamento di una somma da diecimila a centoventimila euro; 

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge n. 689/1981, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a) in ordine all’aspetto della gravità con riferimento agli elementi dell’entità del pregiudizio o del pericolo e dell’intensità dell’elemento psicologico, la violazione non risulta connotata da elementi specifici, avuto anche riguardo alle concrete modalità di utilizzo da parte della società del sistema di geolocalizzazione; 

b) circa la personalità dell’autore della violazione, deve essere considerata la circostanza che la società nell’ambito del medesimo accertamento, è stata destinataria di un’altra sanzione nei confronti della quale si è avvalsa della facoltà del pagamento in misura ridotta, prevista dall’art. 16 della Legge 689/81; 

c) in merito alle condizioni economiche dell’agente, sono stati presi in considerazione gli elementi del bilancio ordinario d’esercizio per l’anno 2017;

RITENUTO, quindi, di dover determinare, ai sensi dell’art. 11 della legge n. 689/1981, l’ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura minima di euro 10.000,00 (diecimila) per la violazione di cui all’art. 33, sanzionata dall’art. 162, comma 2-bis, del Codice;

VISTO l’art. 1, comma 2, della legge sopra citata, ai sensi del quale le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e per i tempi in esse considerati;

VISTA la documentazione in atti;

VISTA la legge n. 689/1981 e successive modificazioni e integrazioni;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la prof.ssa Licia Califano;

ORDINA

a BUSITALIA VENETO S.p.A. con sede legale in Padova, via del Pescarotto25/27, P.I. 04874020284, di pagare la somma di euro 10.000,00 (diecimila) a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione;

INGIUNGE

alla medesima società di pagare la somma di euro 10.000,00 (diecimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689. 

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’Autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero. 

Roma, 11 luglio 2018

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia