Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Charly Mike s.r.l. - 26 novembre 2020 [9533587]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
9533587
Data:
26/11/20
Argomenti:
Videosorveglianza , Lavoro privato
Tipologia:
Ordinanza ingiunzione o revoca

[doc. web n. 9533587]

Ordinanza ingiunzione nei confronti di Charly Mike s.r.l. - 26 novembre 2020

Registro dei provvedimenti
n. 256 del 26 novembre 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, l’avv. Guido Scorza e il dott. Agostino Ghiglia, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTA la segnalazione presentata al Garante da XX, concernente il trattamento di dati personali effettuato attraverso un impianto di videosorveglianza installato presso l’Hotel Olimpo di Charly Mike s.r.l.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. La segnalazione nei confronti della società e l’attività istruttoria.

1.1. Il signor XX ha presentato all’Autorità una segnalazione, in data 19 febbraio 2019, lamentando presunte violazioni della disciplina in materia di protezione dei dati personali da parte dell’Hotel Olimpo di Charly Mike s.r.l. (di seguito, la società), situato ad Alberobello, con riferimento al trattamento dei dati effettuato attraverso l’impianto di videosorveglianza installato presso l’hotel. In particolare con la segnalazione si è lamentato che attraverso attività di videosorveglianza “continua” l’impianto fosse utilizzato anche per finalità di controllo dei dipendenti attraverso la visione da remoto delle immagini raccolte da parte del titolare.

Considerata la natura delle lamentate violazioni nonché il numero dei potenziali interessati coinvolti (dipendenti, clienti e altri soggetti), l’Ufficio ha delegato al Nucleo Speciale Tutela Privacy e Frodi Tecnologiche lo svolgimento dell’accertamento ispettivo che si è svolto in data 8 e 9 ottobre 2019 presso la struttura alberghiera e sede legale della società.

1.2. In occasione dell’accertamento ispettivo è stato accertato che presso la struttura alberghiera erano presenti 17 telecamere fisse e una con ripresa a 360°, collocate all’interno e all’esterno della struttura. Il sistema è risultato funzionante, con visualizzazione delle immagini raccolte su un monitor collegato all’impianto di videosorveglianza posizionato presso la reception. I verbalizzanti hanno accertato che presso la struttura non era presente alcun cartello informativo relativo all’impianto di videosorveglianza (v. verbale di operazioni compiute 8-9.10.2019, p. 2-3).

In sede di verifica sono risultate funzionanti 16 telecamere, mentre la diciassettesima (collocata nel corridoio del 2° piano), seppure installata, non era funzionante. È altresì stato accertato che il sistema “è configurato per la sola ripresa delle immagini e non anche per la loro registrazione”; a tale ultimo proposito, anche all’esito dell’accesso al pannello di controllo del sistema di videosorveglianza, dal server di gestione dei sistemi dell’hotel, collocato in un armadio chiuso a chiave all’interno dell’ufficio del direttore, non è risultata alcuna registrazione (v. verbale ispettivo cit., p. 4). All’esito dell’attività di accertamento, infine, non è stata riscontrata la rilevazione dell’audio da parte del sistema (v. verbale ispettivo cit., p. 3-4).

Il direttore dell’hotel, sig. XX, ha dichiarato ai verbalizzanti che:

- “i cartelli segnalanti il sistema di videosorveglianza erano affissi sia all’interno che all’esterno, fino a prima dell’ultima tinteggiatura avvenuta nella primavera del 2019; a comprova di quanto vi sto dichiarando vi esibisco i cartelli che ho riposto qui nell’armadietto e che, per dimenticanza, non abbiamo riposizionato; mi adopererò per riposizionare il tutto il prima possibile” (v. verbale ispettivo cit., p. 4);

- “al pannello di controllo si accede solo dalla postazione fissa […] e non da app o da collegamenti esterni” (v. verbale ispettivo cit., p. 4);

- “l’installazione della telecamera in cucina risale al 31 luglio 2019, data coincidente con la sostituzione di altre telecamere e dell’hard disk del DVR” (v. verbale ispettivo cit., p. 6);

- la stima mensile degli ospiti della struttura è pari a circa 1.100 unità per il 2017; circa 1.200 unità per il 2018 e circa 1250 unità fino al 30 settembre 2019 (v. verbale ispettivo cit., p. 7);

- “l’impianto è stato installato circa dieci anni fa ed è tutt’oggi attivo e funzionante; […] per difetto di impostazioni l’impianto è settato per la sola visualizzazione delle immagini e non anche per la registrazione” (v. verbale ispettivo cit., p. 8);

- quanto alle finalità del trattamento “l’impianto di videosorveglianza è stato installato al fine di monitorare gli ospiti della struttura che, sovente, accedevano ad aree a loro non consentite; […] nonostante [la struttura non abbia] mai subito furti o rapine, l’installazione delle telecamere è avvenuta anche per ragioni di sicurezza; […] l’unica telecamera installata per criticità legate al comportamento dei dipendenti è quella posizionata in cucina, in quanto, in un periodo particolare, ci siamo accorti di alcuni ammanchi di generi alimentari; […] ad oggi non c’è stato nessun licenziamento di dipendenti causato da episodi rilevati tramite l’impianto in parola” (v. verbale ispettivo cit., p. 8).

Nel corso dell’accertamento ispettivo il direttore dell’hotel ha provveduto ad apporre 11 cartelli recanti l’informativa minima circa l’esistenza e le finalità del sistema di videosorveglianza, dopo essersi “assentato […] per acquistare i predetti cartelli” (v. verbale ispettivo cit., p. 7).

I verbalizzanti hanno esaminato la documentazione fornita relativamente ai contratti dei dipendenti della società, rilevando che risultano allo stato 6 dipendenti a tempo indeterminato (v. verbale ispettivo cit., p. 4).

1.3. A scioglimento delle riserve avanzate nel corso degli accertamenti, con nota ricevuta il 23 ottobre 2019, il legale rappresentante della società ha dichiarato che “parte dell’impianto di videosorveglianza […] è stato installato nell’anno 2009 (n. 14 telecamere)” ed ha inviato, tra l’altro, la seguente documentazione: 1. Copia di un’informativa relativa al sistema di videosorveglianza, recante la data del 2.10.2009 e la sottoscrizione di undici lavoratori (v. nota 23.10.2019 cit., All. 5); 2. Copia di due informative relative al sistema di videosorveglianza, recanti la data del 5.11.2018 e del 1°.4.2019 e la sottoscrizione di due dipendenti, rese, rispettivamente, “all’unico dipendente assunto nel 2018” e “all’unico dipendente assunto nel 2019” (v. nota cit., All. 6 e 7); 3. La relazione tecnica sulla gestione e l’utilizzo dell’impianto di videosorveglianza, datata 21.10.2019 (v. nota cit., All. 2); 4. Il “Verbale di accordo sull’uso degli impianti e delle apparecchiature audiovisive e per gli effetti di cui all’art. 4 della legge 300/70” datato 18.9.2009 (v. nota cit., All. 4); 5. La copia della fattura di acquisto e installazione del 31.7.2019, delle n. 3 telecamere tra cui – secondo quanto dichiarato − quella collocata nell’area cucina.

1.4. Il 19 dicembre 2019 (prot. n. 44708/135492)  l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione alla società delle presunte violazioni del Regolamento riscontrate, con riferimento agli artt. 5, par. 1, lett. a) e 13 del Regolamento, art. 114 del Codice e art. 88 del Regolamento.

Il 18 gennaio 2020 la società ha inviato i propri scritti difensivi dichiarando che:

come già dichiarato nel corso degli accertamenti ispettivi la società aveva affisso i cartelli informativi al momento della installazione dell’impianto, e tuttavia “per mera dimenticanza, a causa dei lavori di tinteggiatura risalenti alla primavera dell’anno 2019 e stante la successiva installazione di nuove telecamere (fine luglio 2019), i cartelli in questione venivano rimossi e riposti nell’armadio – così come peraltro dimostrato in sede di sopralluogo”;

con riferimento alle informative estese fornite ai dipendenti, è stata allegata copia delle informative consegnate a tre dipendenti che in precedenza non erano state fornite all’Autorità;

il sistema di videosorveglianza, sin dal 2009, è stato installato al solo scopo di “tutelare i propri beni patrimoniali ed eventuali atti vandalici” e in relazione alla “protezione della salute e per la sicurezza dei lavoratori”, ciò anche in relazione all’installazione della ulteriore telecamera presso la cucina in data 31.7.2019; “l’installazione di detta telecamera […] non ha nessuna finalità differente dalle altre, né tantomeno quella di controllare il lavoro dei dipendenti”; “nel corso degli anni 2018 e 2019 [la società] aveva […] subito numerosi furti di derrate alimentari e tali avvenimenti hanno spinto […] a procedere all’installazione della telecamera secondo le modalità prescritte nell’autorizzazione comunque acquisita nell’anno 2009”; inoltre è stato in proposito precisato che “la cucina ubicata all’interno della struttura alberghiera […] ha un ulteriore varco […] che permette anche agli ospiti e/o personale esterno di accedere al suo interno e, pertanto, tale installazione si è resa necessaria al fine di tutelare il patrimonio della società”.

2. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

2.1. All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice (“Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”), emerge che la società ha installato ed ha utilizzato un impianto di videosorveglianza fin dal 2009, all’interno e all’esterno della struttura ricettiva di cui cura la gestione in qualità di titolare del trattamento, omettendo di apporre, prima del raggio di azione delle telecamere, cartelli informativi idonei ad avvisare clienti, dipendenti e fornitori della esistenza e delle caratteristiche essenziali dell’attività di videoripresa. Nonostante quanto dichiarato, infatti, la società non ha fornito alcun elemento idoneo a comprovare che i cartelli informativi fossero stati regolarmente apposti, rimossi in occasione della tinteggiatura della struttura nell’aprile del 2019 e poi non più ricollocati “per mera dimenticanza” (ad es. documentazione fotografica; fatture di acquisto dei cartelli; anzi, a tale ultimo proposito si osserva che nel corso dell’ispezione il direttore ha dovuto provvedere ad acquistare i cartelli informativi prima di affiggerli in prossimità delle telecamere). In ogni caso è emerso – e la circostanza non è contestata dal titolare – che l’area sottoposta a videocontrollo è stata sprovvista di informativa agli interessati quantomeno dal mese di aprile del 2019 (data in cui sarebbero avvenute le operazioni di pulitura) all’8 ottobre 2019 (data dell’accesso alla struttura da parte del personale del Nucleo). Quanto alle informative estese consegnate ai dipendenti, si prende atto che, in allegato alle memorie difensive, la società ha fornito la documentazione relativa alle informative fornite a tre dipendenti che in precedenza risultavano mancanti.

Il trattamento di dati personali effettuato mediante il sistema di videosorveglianza è stato, dunque, effettuato nei termini su esposti in assenza della prescritta informativa a partire dal 2009 (in data non meglio precisata) fino al 9 ottobre 2019, data in cui il titolare ha provveduto − in occasione della attività di controllo effettuata dal Garante − ad adempiere all’obbligo di apporre l’informativa semplificata.

Ciò risulta in contrasto con quanto stabilito dall’art. 13 del Regolamento (UE) 2016/679, in base al quale il titolare è tenuto a fornire all’interessato - prima dell’inizio dei trattamenti - tutte le informazioni relative alle caratteristiche essenziali del trattamento. Nell’ambito del rapporto di lavoro l’obbligo di informare il dipendente è altresì espressione del principio generale di correttezza dei trattamenti, contenuto nell’art. art. 5, par. 1, lett. a) del Regolamento.

2.2. Con riguardo alla prospettata violazione dell’art. 114 del d. lgs. 30.6.2003, n. 196 e dell’art. 88 del Regolamento, con le memorie difensive la società ha chiarito che, nonostante quanto dichiarato dal direttore dell’hotel nel corso degli accertamenti ispettivi relativamente alle specifiche finalità per le quali era stata installata una ulteriore telecamera nei locali della cucina, anche quest’ultima è finalizzata a tutelare i “beni patrimoniali” e ad assicurare la “protezione della salute e […] la sicurezza dei lavoratori” (v. “Verbale di accordo sull’uso degli impianti e delle apparecchiature audiovisive e per gli effetti di cui all’art. 4 della legge 300/70”, del 18.9.2009). Il menzionato accordo prevede espressamente che l’impianto “non è finalizzato” al controllo e “non potrà portare all’instaurazione di procedure disciplinari e alla misurazione della produttività individuale”. Anche le informative estese consegnate ai dipendenti indicano che l’impianto di videosorveglianza è installato per “motivi di sicurezza e monitoraggio dell’integrità della struttura aziendale”. In proposito la società ha anche rappresentato che nella cucina si apre una porta esterna, con possibilità di accesso ai beni ivi conservati.

Non sussistono, pertanto, gli estremi per adottare provvedimenti sanzionatori in relazione alla violazione degli artt. 114 del d. lgs. 30.6.2003, n. 196 e 88 del Regolamento, contenuta nella notifica di violazione del 19 dicembre 2019 che si ritiene, dunque, di archiviare nella parte riguardante tale specifico profilo oggetto di contestazione.

2.3. Con riferimento alle modalità del trattamento effettuato con il sistema di videosorveglianza è altresì emerso che il sistema non effettua alcuna registrazione, né delle immagini né dell’audio. Non è inoltre emerso che le immagini possano essere visionate anche da remoto tramite applicativo, come prospettato con il reclamo.

3. Conclusioni: illiceità del trattamento. Provvedimento sanzionatorio ex art. 58, par. 2, Regolamento.

Per i suesposti motivi, il trattamento dei dati personali effettuato dalla società attraverso il sistema di videosorveglianza risulta illecito, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a) e 13 del Regolamento.

Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento, alla luce delle circostanze del caso concreto:
-    si dispone una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) Regolamento).

4. Ordinanza ingiunzione.

Ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166, commi 3 e 7 del Codice, il Garante dispone l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento, mediante adozione di un’ordinanza ingiunzione (art. 18, l. 24.11.1981, n. 689), in relazione al trattamento dei dati personali effettuato dalla società attraverso il predetto sistema di videosorveglianza, in relazione agli artt. 5, par. 1, lett. a) e 13 del Regolamento, all’esito del procedimento di cui all’art. 166, comma 5.

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5, fissato nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore.

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

a) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare è stata presa in considerazione la negligente condotta della società e il grado di responsabilità della stessa che non si è conformata alla disciplina in materia di protezione dei dati relativamente ad una pluralità di disposizioni;

b) il numero di interessati coinvolti, tenuto conto del flusso dei clienti ospitati dalla struttura (tra 1.100 e 1.250 nell’ultimo triennio) e dei dipendenti della società;

b) l’assenza di precedenti specifici (relativi alla stessa tipologia di trattamento) a carico della società;

c) la cooperazione della società con l’Autorità al fine di porre rimedio alla violazione e attenuarne gli effetti negativi.

Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate con riferimento al bilancio di esercizio per l’anno 2019 rispetto al quale la società ha registrato una perdita d’esercizio.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Charly Mike s.r.l. la sanzione amministrativa del pagamento di una somma pari ad euro 3.000,00 (tremila).

In tale quadro si ritiene, altresì, in considerazione della tipologia delle violazioni accertate che hanno riguardato i principi generali del trattamento e l’obbligo di fornire un’idonea informativa all’interessato, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante.

Si ritiene, altresì, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

dichiara ai sensi degli artt. 57, par. 1, lett. f) e 83 del Regolamento l’illiceità del trattamento effettuato nei termini di cui in motivazione da Charly Mike s.r.l., per la violazione degli artt. 5, par. 1, lett. a) (principio di correttezza) e 13 del Regolamento;

DETERMINA

di archiviare la contestazione adottata nei confronti di Charly Mike s.r.l., in persona del legale rappresentante pro-tempore, con atto del 19 dicembre 2019, limitatamente alla violazione degli artt. 114 del Codice e 88 del Regolamento;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i), del Regolamento a Charly Mike s.r.l., in persona del legale rappresentante, con sede legale in Alberobello (BA), Via Liberatori della Selva 4b, c.f. 04753890724, di pagare la somma di euro 3.000,00 (tremila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

quindi alla medesima Società di pagare la predetta somma di euro 3.000,00 (tremila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1/9/2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019, e ritiene che ricorrano i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 26 novembre 2020

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei