g-docweb-display Portlet

Provvedimento del 2 marzo 2023 [9880398]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

VEDI ANCHE Newsletter del 26 maggio 2023

 

[doc. web n. 9880398]

Provvedimento del 2 marzo 2023

Registro dei provvedimenti
n. 58 del 2 marzo 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTA la segnalazione presentata ai sensi dell’art. 144 del Codice in data 29 marzo 2019 da Filcams CGIL Roma-Lazio nei confronti di H&M Hennes & Mauritz s.r.l.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. L’attività istruttoria a seguito di segnalazione.

In data 28, 29 aprile e 17, 18 maggio 2022, a seguito della cessazione dello stato d’emergenza ricollegato alla pandemia da Covid-19, è stato effettuato un accertamento in loco presso la sede legale della società H&M Hennes & Mauritz s.r.l. (di seguito, la Società), avente ad oggetto, in particolare, il trattamento dei dati effettuato attraverso sistemi di videosorveglianza, durante il quale è stato accertato che:

“attualmente la società è presente in Italia con 4 brand e 166 negozi […] ed ha 4.317 dipendenti” (v. verbale di operazioni compiute 28.4.2022, p. 2);

“la parte ha mostrato la piattaforma ROPA – registration of processing activities, attraverso cui la società gestisce, per tutte le sedi mondiali in cui è presente, il registro dei trattamenti” (v. verbale cit., p. 2);

“con riferimento ai dati dei lavoratori la società è titolare del trattamento” (v. verbale cit., p. 3);

"in ROPA è presente l’indicazione dello svolgimento della DPIA” (v. verbale cit., p. 3); “la società, che riveste il ruolo di titolare del trattamento, una volta raggiunto l’accordo con l’RSA ove presente o, in mancanza della rappresentanza sindacale, una volta ottenuta l’autorizzazione dallo specifico Ispettorato Territoriale del Lavoro (ITL), provvede ad inviare la documentazione relativa all’informativa al direttore del negozio, specificando altresì le caratteristiche del trattamento, il direttore, a sua volta, provvede alla stampa delle singole copie da consegnare a ciascun dipendente, acquisendo prova dell’avvenuta visione. Inoltre, ogni negozio ha creato una «bacheca privacy», nell’area riservata ai dipendenti, in cui viene esposta l’informativa” (v. verbale cit., p. 3);

“per quanto riguarda l’informativa alla clientela, la parte ha precisato che in diversi punti dei negozi sono poste informative brevi […] prima del raggio di azione della telecamera, e che, a richiesta dei clienti, il responsabile del negozio è tenuto a mostrare l’informativa completa, conservata negli armadi retrostanti alle casse” (v. verbale cit., p. 4);

“in tutti i negozi sono presenti almeno 3 videocamere, nella back-area del negozio a cui hanno accesso solo i dipendenti o i fornitori autorizzati, che riprendono: il corridoio che porta all’ufficio dell’amministrazione, l’ufficio dell’amministrazione in cui è posta la cassaforte, l’ingresso riservato ai dipendenti. L’informativa breve è posta in prossimità della telecamera e prima del raggio di azione di essa. In alcuni negozi, posti in particolari zone ritenute a rischio furti, sono presenti telecamere anche nell’area-vendita, collocazione e in numero dipendente dalla tipologia del negozio. Anche in tal caso, l’informativa breve è posta in prossimità della telecamera e prima del raggio di azione di essa” (v. verbale cit., p. 4);

“nei negozi di maggiori dimensioni le telecamere nella back-area possono essere in numero maggiore, anche fino a 27 come nel negozio di Milano Duomo” (v. verbale cit., p. 4);

“la società ritiene che tutti i dipendenti siano coinvolti nel trattamento [tramite sistemi di videosorveglianza], in ragione della collocazione delle telecamere nell’area riservata ai dipendenti, in zone nelle quali tutti i dipendenti sono tenuti a passare” (v. verbale cit., p. 5);

“nell’inviare l’informativa ai dipendenti, la società invia altresì allo store manager le nomine di coloro che sono autorizzati all’accesso alle immagini live. Tali immagini sono accessibili tramite un monitor presente nell’ufficio amministrativo, cui si accede tramite badge o codice. A tale ufficio può accedere solo lo store manager, il responsabile di reparto e il responsabile amministrativo – laddove presenti. L’accesso alle immagini registrate in apposito DVR è consentito solo allo store manager e ad un rappresentante sindacale o, in assenza di esso, ad un rappresentante del personale di vendita. A tali soggetti autorizzati viene fornita una password personale” (v. verbale cit., p. 5);

“il sistema di videosorveglianza è attivo h24, 7/7 e le immagini sono conservate per 24 ore, al termine delle quali sono sovrascritte. Il DVR adibito alla registrazione delle immagini è situato in un locale tecnico, nella back-area del punto vendita, chiuso a chiave o con accesso tramite codice, esclusivamente da parte dei manager. Ove non sia previsto il codice manuale di accesso al locale tecnico, la chiave viene conservata in cassaforte e controllata mensilmente” (v. verbale cit., p. 5);

“la società accede alle immagini registrate solo in caso di richiesta da parte delle forze di polizia o dell’autorità giudiziaria” (v. verbale cit., p. 5);

“nella back-area ci sono al massimo 3 telecamere e […] le eventuali ulteriori telecamere sono posizionate in area vendita” (v. verbale di operazioni compiute 29.4.2022, p. 1, 2);

“le telecamere in area vendita non sono utilizzate in tutti gli store. Laddove sono utilizzate, generalmente sono poste in prossimità delle uscite e delle scale. In alcuni casi le telecamere possono riprendere le casse con l’indicazione di riprendere solo le mani dei dipendenti” (v. verbale cit., p. 2);

“non è possibile l’accesso da remoto alle immagini live o registrate, poiché il DVR non è collegato alla rete aziendale. Le password per l’accesso locale alle immagini registrate vengono create dall’installatore e fornite, in busta chiusa, allo store manager e al rappresentante sindacale o al rappresentante degli addetti alla vendita” (v. verbale cit., p. 2);

“per lo store di Viterbo […] l’ITL ha rilasciato l’autorizzazione il 19 luglio 2019” (v. verbale cit., p. 2);

negli ultimi 12 mesi “sono avvenuti […] accessi [ai dati registrati nei sistemi di videosorveglianza] a seguito di denuncia all’autorità preposta anche se, visto l’esiguo numero di negozi che hanno le telecamere in area vendita, spesso alle richieste dell’autorità non può essere dato seguito. Tali accessi sono sempre comunicati per email al security department aziendale” (v. verbale cit., p. 3);

“il security department ha una squadra di internal auditor […] che opera in base a un programma trimestrale […]. I negozi a rischio sicurezza elevato […] ricevono un audit ogni trimestre mentre i negozi a rischio sicurezza medio […] ricevono un audit ogni semestre. […] Oltre a ciò, gli store manager o persone a ciò delegate, effettuano mensilmente un self audit, il cui esito viene inviato all’auditor di area” (v. verbale cit., p. 3).

Dal verbale del 17 maggio 2022 emerge che “relativamente […] al negozio di Stezzano […] la parte ha precisato che per tale negozio sono presenti due autorizzazioni dell’ITL, poiché la prima richiesta riguardava la collocazione della telecamera presso la porta esterna dell’ingresso dei dipendenti. Per questioni condominiali la telecamera è stata installata, a settembre 2021, all’interno del negozio, presso la medesima porta, da cui la seconda richiesta. Questa seconda autorizzazione però ha limitato il funzionamento nelle ore notturne e, di tale limitazione, la società ha preso contezza nel predisporre la documentazione richiesta dall’Autorità, provvedendo immediatamente a spegnere le telecamere e a notiziare l’Ispettorato del lavoro competente. La parte ha comunque precisato che, nell’informativa resa ai dipendenti, era specificato che l’orario di funzionamento delle telecamere era 0-24“. Presso lo store di Piazza del Duomo è stato constatato che “relativamente alla zona «back area» sono presenti due telecamere all’interno della struttura e una all’esterno, sulla porta d’ingresso dei dipendenti; le due telecamere all’interno del back area sono fisse e riprendono rispettivamente la porta del cash office e la cassaforte, all’interno del cash office; nel cash office è presente il monitor che trasmette le immagini live a colori e il DVR dedicato alla registrazione delle immagini riprese dalle telecamere; […] è stato verificato che le telecamere delle casse sono parzialmente oscurate al fine di non riprendere i cassieri; è stato verificato che la telecamera nel cash office, posta verso la cassaforte, è parzialmente oscurata per non riprendere i dipendenti”.

Accedendo alle immagini registrate nel DVR è stato accertato che “con riguardo ad un’unica telecamera D4 relativa alla cassaforte sono presenti immagini risalenti al 4 maggio 2022, dalle ore 00:23, nonché alle date del 5, 6, 13, 14 e 15 maggio (0-24); le registrazioni relative alle altre telecamere risultano in linea con la policy aziendale che prevede la cancellazione dopo 24 ore, mediante sovrascrittura”. La Società ha precisato che “alle immagini live possono accedere lo store manager, il responsabile amministrativo, i responsabili dei reparti (4 dipendenti), i magazzinieri (3 dipendenti), gli apprendisti store manager (3 dipendenti)”.

In data 30 maggio 2022, la Società, a scioglimento delle riserve formulate in sede di accertamento ispettivo, ha inviato, tra l’altro, un “file Excel […] con l’elenco dei punti vendita sul territorio italiano, suddivisi per Regione, con l’indicazione delle date degli Accordi sindacali/Autorizzazioni ITL, data attivazione impianti e collocazione delle videocamere” quindi “le dichiarazioni del nostro fornitore/installatore degli impianti CCTV relativi alla riserva formulata nel verbale del 18 Maggio 2022 a Pag 2 e precisamente: […] Dichiarazione relativa all’anomalia riscontrata alla telecamera D4 nel negozio Milano Duomo IT0444, oggetto del sopralluogo del 17 Maggio 2022”.

L’accertamento in loco presso la sede della Società è stato posto in essere nell’ambito dell’istruttoria instaurata a seguito della presentazione a questa Autorità, in data 29 marzo 2019 da parte della Filcams CGIL Roma-Lazio, di una segnalazione ai sensi dell’art. 144 del Codice con cui è stata rappresentata l’attivazione di sistemi di videosorveglianza in dieci unità locali della Società in modo non conforme a quanto previsto dalla legge.

Infatti, a seguito di richiesta di questo Dipartimento, il 16 luglio 2019 la Società nel fornire riscontro aveva dichiarato che:

“la […] Società ha attivato sistemi di videosorveglianza presso 12 dei propri 13 punti vendita complessivamente oggi attivi a Roma e nel Lazio e più precisamente: -1. Roma, Centro Commerciale Euroma 2, Viale dell’Oceano Pacifico 83, dal 23/06/08 – 2. Roma Centro Commerciale Porta di Roma, Via Alberto Lionello, dal 25/07/07 – 3. Roma, Centro Commerciale Roma est, Via Collatina, dal 31/03/07 – 4. Roma, Via del Corso 422, dal 24/10/13 – 5. Roma, Centro Commerciale La Romanina, Via Enrico Ferri 8, 12/11/2015 – 6. Roma, Via di Valle Aurelia 1, dal 19/04/18 – 7. Roma, Via Tuscolana 785, dal 31/10/13 – 8. Roma, Centro Commerciale Appio, Via Appia Nuova 450, dal 16/04/15 – 9. Roma, Shopping Village Castel Romano, Via Ponte di Piscina Cupa 64, dal 25/10/12 – 10. Fiumicino, Centro Commerciale Market Central Da Vinci, Via Geminiano Montanari, dal 19/10/2007 – 11. Viterbo, Via Giacomo Matteotti 40, dal 17/11/2016 – 12. Latina, Corso della Repubblica 165, dal 02/12/2009” (v. nota 16.7.2019 cit., p. 1);

“presso il tredicesimo punto vendita del Lazio sito in Roma, Centro Commerciale Gran Roma, via Prenestina bis snc, recentemente aperto (16/05/2019) non sono ancora stati installati impianti di videosorveglianza ed è oggi in corso la procedura di richiesta di autorizzazione presso l’ITL di Roma” (v. nota cit., p. 1);

“in data 31 maggio 2019 è stato siglato con la Filcams CGIL di Roma e del Lazio nella persona del Funzionario territoriale […] un accordo quadro relativo all’installazione ed utilizzo di impianti di videosorveglianza in tutto il territorio del Lazio, da riprodurre in successivi singoli accordi per ogni punto vendita ove sono presenti le rappresentanze sindacali” (v. nota cit., p. 2);

“successivamente, in data 3 giugno 2019, sono stati conclusi i singoli accordi con le RSA dei punti vendita ove queste sono presenti e cioè in tutti i 12 negozi sopra descritti ad eccezione di quello di Roma, Via Ponte di Piscina Cupa 64 (Shopping Center Castel Romano), per il quale è stata ottenuta in data 20 maggio 2019 l’autorizzazione ai sensi dell’art. 4 Legge 20/5/70 n. 300 da parte dell’Ispettorato del Lavoro di Roma e di quello di Viterbo per il quale è stata inviata in data 18 giugno 2019 istanza di autorizzazione al competente Ispettorato Territoriale del Lavoro di Viterbo” (v. nota cit., p. 2);

“tutti gli impianti sopra indicati sono attivi 24 ore al giorno” (v. nota cit., p. 2);

“tutti gli impianti in questione hanno l’unica specifica finalità di tutela della sicurezza dei luoghi di lavoro, dei lavoratori e dei clienti e di tutela del patrimonio aziendale” (v. nota cit., p. 2);

“per tutti i 12 punti vendita sopra citati i soggetti autorizzati tramite specifiche nomine scritte ad accedere alle immagini (solo live) proiettate tramite monitor presente nell’ufficio cassaforte sono esclusivamente i c.d. Manager del Punto Vendita e cioè: il direttore, l’impiegato amministrativo, il magazziniere, il capo reparto ed il visual. L’accesso è consentito solo tramite varchi controllati attraverso badge apriporta con specifici livelli di autorizzazione” (v. nota cit., p. 2);

“per tutti i 12 punti vendita sopra citati l’accesso alle immagini registrate (conservate […] per 24 ore) può avvenire solo alla presenza necessaria sia del direttore (o, qualora non sia previsto un direttore, del capo reparto), entrambi delegati per iscritto a tale attività, sia della RSA (oppure, ove non presente, di un rappresentante dei lavoratori dagli stessi designato) mediante l’utilizzo di una doppia password in abbinata ed esclusivamente in presenza di un verbale di acquisizione delle immagini delle Forze dell’ordine. Tutti i soggetti autorizzati ad accedere ed a scaricare le immagini registrate sono stati appositamente incaricati con specifica nomina scritta” (v. nota cit., p. 2, 3);

“in tutti i 12 punti vendita sopra indicati è presente, prima del raggio di azione di ogni telecamera, un’informativa in forma semplificata ai sensi del Provvedimento di questo Garante dell’8 aprile 2010 in materia di videosorveglianza con un esplicito rinvio all’informativa completa disponibile per clienti e lavoratori presso i responsabili del punto vendita” (v. nota cit., p. 3).

2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e le deduzioni della Società.

Il 30 settembre 2022 l’Ufficio, sulla base degli accertamenti effettuati, ai sensi dell’art. 166, comma 5, del Codice, ha proceduto alla notificazione alla Società delle presunte violazioni del Regolamento riscontrate, con riferimento agli artt. 5, par. 1, lett. a), 88 del Regolamento e art. 114 del Codice.

Con memorie difensive inviate in data 28 ottobre 2022, la Società ha rappresentato che:

- “investe molte risorse per lo sviluppo e la gestione di un sistema di compliance normativa ad hoc, al fine di garantire un rigoroso e scrupoloso rispetto, all’interno della propria organizzazione, di tutte le norme finalizzate alla tutela dei dati personali dei propri clienti, fornitori, dipendenti e stakeholders in generale” (v. nota 28.10.2022 cit., p. 1);

-“alla luce di quanto emerso nel corso delle operazioni di ispezione, risulta dalla documentazione trasmessa che, su un totale di 166 negozi, le violazioni del presente procedimento sono realmente limitate ad un numero esiguo di punti vendita che […] non hanno inciso sui diritti e le libertà dei singoli interessati” (v. nota cit., p. 3);

- “le violazioni oggetto di segnalazione (per lo più sanzionate dalle competenti ITL) hanno riguardato esclusivamente la carenza del provvedimento autorizzativo all’installazione dell’impianto ma, in tutti i casi il dipendente era stato informato da parte della Società della presenza degli impianti stessi ed aveva contezza di chi fosse il titolare del trattamento e di come esercitare i propri diritti, se necessario. Inoltre le immagini venivano sovrascritte ogni 24 ore come indicato dalle policy aziendali, erano protette da un sistema a doppia password (custodia in cassaforte) e, comunque, l’area oggetto di ripresa era strettamente limitata agli accessi di transito destinati al personale dei punti vendita (salvo un unico caso) per esclusive finalità anti-rapina e, quindi, con lo scopo di tutelare il personale dipendente da possibili rischi alla propria incolumità fisica, trattandosi di aree dove viene custodito il denaro contante dei negozi” (v. nota cit., p. 3);

- “le violazioni evidenziate devono, inoltre, essere valutate all’interno di un contesto temporale molto particolare, durante il quale la Società era in rapida espansione e le aperture di negozi si susseguivano a ritmo incalzante” (v. nota cit., p. 3);

- “tale situazione ha prodotto, purtroppo, alcune inefficienze e, in particolare, ha avuto l’effetto – nei pochi punti vendita di cui si tratta – di non risultare perfettamente aderente alle procedure di apertura stabilite dalla Società: gli uffici competenti, cioè, non si sono avveduti della mancanza di alcuni aspetti documentali (le autorizzazioni per la videosorveglianza […]) che, pure, sono indicate e previste dalla Società come parte della documentazione indispensabile che deve essere presente all’apertura dei punti vendita” (v. nota cit., p. 3);

- “le violazioni di cui si discute sono, quindi, semplicemente frutto di una imperfetta applicazione delle procedure aziendali di verifica del processo di installazione dell’impianto di videosorveglianza in alcuni punti vendita specifici ma non rappresentano certamente il modus operandi della […] Società, come dimostrato dal fatto che tutti gli altri punti vendita (la stragrande maggioranza) sono risultati conformi alle prescrizioni di legge in materia di tutela dei dati personali (si richiama il file Excel riassuntivo della situazione di tutti i punti vendita, con i relativi documenti allegati, prodotto dalla Società a scioglimento delle riserve […])” (v. nota cit., p. 3, 4);

- “si è trattato, quindi, di un «incidente di percorso» che ha, peraltro, rappresentato un’occasione per migliorare e perfezionare il sistema di controllo aziendale che, come documentato dalla Società […] è oggi efficacemente procedimentalizzato, presidiato e monitorato dai singoli responsabili delle funzioni interne, da un data privacy coordinator locale coadiuvato da un DPO esterno, oltre che da una struttura di Gruppo dedicata specificatamente alla compliance normativa in materia di trattamento dei dati personali” (v. nota cit., p. 4);

- “in merito ai 13 punti vendita del Lazio […] le non conformità dei 10 punti vendita dell’area metropolitana di Roma (oggetto di segnalazione del Sindacato) sono già state oggetto di procedimento sanzionatorio da parte della ITL [Ispettorato territoriale del lavoro], con pagamento delle relative sanzioni da parte della Società […]: i punti vendita di Viterbo (IT0495) e Latina (IT0357) non sono stati oggetto di sanzione da parte della ITL; presso il tredicesimo punto vendita del Lazio, sito in Roma, Centro Commerciale Gran Roma (IT0526), al momento dell’ispezione dell’ITL non risultava installato alcun impianto di videosorveglianza” (v. nota cit., p. 4);

- “ai fini della valutazione di tutti gli elementi utili ai sensi e per gli effetti di cui all’art. 83, par. 2, GDPR, si fa presente che: I) il numero di interessati coinvolti complessivamente nei 12 punti vendita dove erano installati gli impianti di cui trattasi è molto esiguo in relazione al totale dei dipendenti in forza alla Società nei complessivi 166 negozi (si tratta di non più di 543 dipendenti su un totale di circa 4300 dipendenti); II) i dipendenti dei negozi interessati erano, comunque, a conoscenza della presenza dell’impianto di videosorveglianza e del suo funzionamento e posizionamento anche attraverso la presenza di informative brevi nelle zone antistanti le aree sottoposte a videosorveglianza. Inoltre, i manager di negozio inviavano periodicamente alla Società comunicazioni di intervento tecnico in caso di anomalie dell’impianto e lo stesso era soggetto a verifiche periodiche relative al suo funzionamento, come previsto dalle procedure di audit allora in essere (le quali, oggi, sono state integrate anche con la verifica della conformità alle norme sulla protezione dei dati […]); III) la carenza della documentazione autorizzativa è derivata, quindi, da una imperfetta applicazione delle procedure aziendali di verifica del processo di installazione dell’impianto di videosorveglianza, con esclusione di qualsiasi intenzionalità e atteggiamento doloso; […] IV) appena venuta a conoscenza del problema autorizzativo, la Società ha immediatamente adottato tutte le misure opportune per mitigare gli effetti della violazione riscontrata e, in particolare, ha immediatamente spento e/o disinstallato gli impianti fino a quando non è stata in possesso delle autorizzazioni; V) in ogni caso, il limite temporale di conservazione delle immagini è sempre stato limitato alle 24 ore come da global policy aziendale” (v. nota cit. p. 4, 5);

- “le telecamere erano posizionate esclusivamente nella back area dei negozi (senza, cioè, ripresa di clienti, in 11 punti vendita su 12) con mera finalità anti-rapina, a tutela dell’incolumità dei dipendenti stessi. Nello specifico, le suddette telecamere poste nella back area erano (e ancora sono) prevalentemente in numero di 3 (tre) così posizionate: - la prima, sopra l’ingresso riservato ai dipendenti, esclusivamente in una zona di passaggio e non di attività lavorativa; - la seconda, nel corridoio di accesso all’ufficio amministrativo (c.d. «cash office») che, per ragioni di sicurezza, è accessibile solo previa identificazione del personale tramite monitor che visualizza esclusivamente l’area antistante la porta di ingresso, trattandosi dell’ufficio dove è custodito il denaro contante e i documenti riservati dei dipendenti. Anche in questo caso si tratta di una zona di transito e non di attività lavorativa; - la terza, posizionata all’interno dell’ufficio amministrativo, che riprende esclusivamente la cassaforte e, quindi, un esiguo numero di persone dato che a tale ufficio hanno accesso solo i manager dei punti vendita (mediamente 5 responsabili per punto vendita)” (v. nota cit., p. 6);

-“in merito alle misure tecniche ed organizzative adottate dalla Società in relazione a tutti i punti vendita dove sono installate le telecamere (art. 83, par. 2, lett. d, GDPR), a dimostrazione dell’adozione di un livello di sicurezza adeguato al rischio, si richiamano i documenti […]: - policy in materia di videosorveglianza; - audit program (pianificazione sistematica annuale di internal audit presso tutti i punti vendita sul territorio italiano, comprensivo di una sezione di information security e di protezione dei dati anche in relazione all’impianto di videosorveglianza);  - checklist per la verifica della conformità degli impianti di videosorveglianza e delle procedure interne di gestione a seguito dell’invio documentale agli store manager, per accertare l’effettiva adozione nei singoli punti vendita delle misure previste; - informative ai dipendenti con descrizione dettagliata del numero e della posizione delle singole videocamere; - designazioni specifiche al personale autorizzato alla gestione delle immagini; - email di istruzioni specifiche che viene inviata ai negozi prima dell’attivazione delle videocamere; - sistema di protezione delle immagini mediante DVR protetti da doppia password (una in possesso dello store manager  del negozio e l’altra in possesso di un rappresentante dei lavoratori) e collocati in locale tecnico con accesso controllato e autorizzato solo ai manager dei punti di vendita; - lo scarico delle immagini, […] avviene solo a  seguito di ricezione di verbale di acquisizione delle immagini da parte delle Forze dell’Ordine; - assenza di accesso da remoto alle immagini; - periodica survey sugli impianti di videosorveglianza; adozione di informative agli interessati, sia brevi sia lunghe, sempre a disposizione del personale dipendente (esposta in bacheca) nonché dei clienti (dove le telecamere sono presenti anche in area vendita): VII) da parte della Società c’è sempre stata la massima disponibilità verso gli Ispettori durante le operazioni dei mesi di aprile e di maggio 2022 […]; VIII) le categorie di dati personali coinvolti nella violazione sono limitate alle immagini delle ultime 24 ore, prevalentemente su aree di transito del personale; IX) [l’]Autorità è venuta a conoscenza della violazione su segnalazione del Sindacato territoriale del Lazio; X) successivamente alla segnalazione del 2019 ed alla contestazione della ITL, la Società si è prontamente attivata per regolarizzare la situazione in ogni punto vendita segnalato, con rilascio delle autorizzazioni necessarie in poco più di un mese; XI) gli interessati non hanno subito alcun danno” (v. nota cit. p. 6, 7);

- “in merito al punto vendita Le Fontane, Catanzaro (IT335) […] si fa presente che la violazione è stata oggetto di procedimento sanzionatorio da parte della ITL, con pagamento delle relative sanzioni da parte della Società […]. Ai fini della valutazione di tutti gli elementi utili ai sensi e per gli effetti di cui all’art. 83, par. 2, GDPR, si fa presente che: I) la violazione rientra nei pochi casi in cui vi è stata una imperfetta applicazione delle procedure aziendali di verifica del processo di installazione dell’impianto di videosorveglianza al momento dell’apertura del punto vendita; II) la violazione è stata rilevata, incidentalmente, in occasione di un’ispezione dell’ITL legata ad una richiesta di maternità anticipata e non per segnalazioni derivanti da violazione dei diritti dipendenti; III) si richiamano, inoltre, tutti gli elementi già espressi sopra in relazione ai punti vendita del Lazio” ( v. nota cit., p. 8);

- “in merito al punto vendita Centro del Molise, Campobasso, Molise (IT484) […] si fa presente che la violazione è già stata oggetto di procedimento sanzionatorio da parte della ITL, con pagamento delle relative sanzioni da parte della Società […]. Ai fini della valutazione di tutti gli elementi utili ai sensi e per gli effetti di cui all’art. 83, par. 2, GDPR, si fa presente che: I) la violazione rientra nei pochi casi in cui vi è stata una imperfetta applicazione delle procedure aziendali di verifica del processo di installazione dell’impianto di videosorveglianza al momento dell’apertura del punto vendita; II) la violazione è stata rilevata, incidentalmente, in occasione di un’ispezione dell’ITL legata ad una richiesta di maternità anticipata e non per segnalazioni derivanti da violazione dei diritti dei dipendenti; III) si richiamano, inoltre, tutti gli elementi già espressi sopra in relazione ai punti vendita del Lazio” (v. nota cit., p. 8);

- “in merito al punto vendita Costaverde, Molise (IT516) […] si fa presente che la violazione è già stata oggetto di procedimento sanzionatorio da parte della ITL, con pagamento delle relative sanzioni da parte della Società […]. Ai fini della valutazione di tutti gli elementi utili ai sensi e per gli effetti di cui all’art. 83, par. 2, GDPR, si fa presente che: i) la violazione rientra nei casi in cui vi è stata una imperfetta applicazione delle procedure aziendali di verifica del processo di installazione dell’impianto di videosorveglianza al momento dell’apertura del punto vendita; II) la violazione è stata rilevata, incidentalmente, in occasione di un’ispezione dell’ITL legata ad una richiesta di maternità anticipata e non per segnalazioni derivanti da violazione dei diritti dei dipendenti; III) si richiamano, inoltre, tutti gli elementi già espressi sopra in relazione ai punti vendita del Lazio” (v. nota cit., p. 9);

- “in merito al punto vendita di Gravina, Toscana (IT545) si fa presente che non vi è stata alcuna violazione. L’Autorità ha erroneamente rilevato le date di attivazione dell’impianto di videosorveglianza. Nel file excel depositato dalla […] Società il 25 maggio 2022, risulta che: - la data di attivazione dell’impianto è l’8 novembre 2018 (non l’11 agosto 2018); - l’accordo sindacale sottoscritto è il 25 ottobre 2018, quindi precedente all’attivazione dell’impianto” (v. nota cit., p. 9);

- “in merito al punto vendita Lecce Mongolfiera, Puglia (IT447) […] si fa presente che non vi è stata alcuna violazione. L’Autorità ha erroneamente rilevato le date di attivazione dell’impianto di videosorveglianza. Nel file Excel depositato dalla […] Società il 25 maggio 2022 risulta che: - la data di attivazione dell’impianto è il 5 dicembre 2019 (non il 12 maggio 2019); - l’accordo sindacale sottoscritto è il 25 giugno 2019, quindi precedente all’attivazione dell’impianto” (v. nota cit., p. 9, 10);

- “in merito al punto vendita CC Due Valli, Torino Pinerolo, Piemonte (IT520) […] si fa presente non vi è stata alcuna violazione. L’Autorità ha erroneamente rilevato le date di attivazione dell’impianto di videosorveglianza. Nel file Excel depositato dalla […] Società il 25 maggio 2022 risulta che: - la data di attivazione dell’impianto è l’8 novembre 2019 (non l’11 agosto 2019); - l’autorizzazione della ITL è del 4 settembre 2019 e, pertanto, precedente all’attivazione dell’impianto” (v. nota cit. p. 10);

- “in merito al punto vendita di Milano Duomo (IT444) […]. Con riferimento all’anomalia tecnica della telecamera D4, ai fini della valutazione di tutti gli elementi utili ai sensi e per gli effetti di cui all’art. 83, par. 2, GDPR, si fa presente che : a) si è trattato di un’anomalia tecnica ignota, del tutto imprevedibile ed occulta del sistema di registrazione del DVR, come dimostrato anche dal fatto che la registrazione non è avvenuta in modo continuo, ma si è limitata ad alcuni periodi di tempo casuali all’interno delle giornate […]; b) si è trattato di un’unica telecamera su di un totale di 27, che riprendevano, oltretutto, l’area a ridosso della cassaforte e cioè […] un’area circoscritta, dove il transito delle persone è estremamente limitato e sporadico e riguarda solo i manager del punto vendita (unico personale autorizzato ad accedere all’area); c) non si ritiene corretta l’affermazione che la telecamera D4 avrebbe malfunzionato “dall’installazione della predetta telecamera e fino al 23 maggio 2022” (pag. 8 Vs comunicazione): dalle verifiche in loco effettuate personalmente dagli Ispettori è emerso che l’anomalia non si è verificata prima del 4 maggio 2022 alle ore 00:23. Gli Ispettori hanno infatti verificato che, prima di tale data, non vi erano altre registrazioni salvate, quindi il tempo di esposizione oltre le 24 ore è stato assai limitato (meno di 15 giorni e per frazioni di tempo non continuativi)” (v. nota cit., p. 10, 11);

- “in merito al punto vendita di Stezzano, Bergamo (IT412) […] ai fini della valutazione di tutti gli elementi utili ai sensi e per gli effetti di cui all’art. 83, par. 2, GDPR, si fa presente che : a) la circostanza rilevata da[ll’]Autorità è evidentemente frutto di una erronea redazione della seconda autorizzazione da parte della ITL, considerato che la prima autorizzazione rilasciata dalla stessa ITL era esattamente conforme a quanto richiesto dalla Società ed alla situazione di fatto nel punto vendita (registrazione per 24 ore), come anche riportato nell’informativa ex art. 13 GDPR consegnata ai dipendenti; b) la Società ha, in buona fede, dato per scontato che la seconda autorizzazione fosse identica nel contenuto alla prima e, cioè, consentisse la registrazione delle immagini per 24 ore di registrazione e non si è avveduta della discrepanza e, cioè, che l’ITL avesse modificato tale prescrizione, limitandola al solo periodo notturno, in cui era assente il personale; c) alla […] Società preme sottolineare e ribadire che i dipendenti hanno ricevuto un’informativa conforme alla effettiva registrazione per tutte le 24 ore e, quindi, gli interessati non hanno subito alcuna violazione dei loro diritti né hanno subito alcun danno; d) non appena la Società ha preso atto dell’errore nella seconda autorizzazione della ITL, ha provveduto a disattivare l’impianto per conformarsi al provvedimento autorizzativo erroneamente redatto dalla ITL stessa; e) si aggiunga, comunque, che la ITL si è avveduta dell’errore e, in data 14 ottobre 2022 ha provveduto a correggere il proprio provvedimento, autorizzando la registrazione per 24 ore, come richiesto dalla Società fin dall’inizio […] f) si fa in ogni caso presente che il periodo della violazione è stato limitato nel tempo; si è trattato, anche in questo caso, delle sole tre telecamere in back area, di cui 2 a presidio degli ingressi del personale (zona di transito e non in area vendita) e una sopra la cassaforte con coinvolgimento di un numero davvero contenuto di dipendenti (presso il punto vendita di Stezzano sono in forze n. 14 dipendenti in tutto), sempre ed esclusivamente con finalità puramente anti-rapina” (v. nota cit., p. 11, 12);

- “in ottemperanza […] alla richiesta d[ell’]Autorità […] si produce: - documentazione del punto vendita di Conegliano Veneto (IT0396): autorizzazione ITL del 23 ottobre 2019, attivazione impianto in data 2 settembre 2022 […] – documentazione del punto vendita di Forlì (IT0398): autorizzazione ITL del 18 febbraio 2020, attivazione impianto in data 12 ottobre 2022” (v. nota cit., p. 12).

3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, risulta che la Società, in qualità di titolare, ha effettuato alcune operazioni di trattamento che risultano non conformi alla disciplina in materia di protezione dei dati personali.
In proposito si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

3.1.Trattamenti effettuati, attraverso sistemi di videosorveglianza, in assenza di accordo con le rappresentanze sindacali o autorizzazione da parte dell’Ispettorato del lavoro.

Nel merito è emerso che la Società, anche in base a quanto dalla stessa dichiarato, ha installato ed utilizzato sistemi di videosorveglianza presso una molteplicità di punti vendita, idonei a riprendere i lavoratori durante l’attività lavorativa, in assenza di accordo con le rappresentanze sindacali o di autorizzazione rilasciata dall’Ispettorato del lavoro ex art. 4 della l. n. 300 del 1970.

In particolare è risultato che la Società ha installato e attivato sistemi di videosorveglianza, nei seguenti punti vendita, alle date specificamente riportate:

Punto vendita  Data attivazione
Roma Centro Commerciale Euroma 2, Viale dell’Oceano Pacifico 83 23/06/08

 

Roma Centro Commerciale Porta di Roma, Via Alberto Lionello  25/07/07
Roma Centro Commerciale Roma est, Via Collatina 31/03/07
Roma Via del Corso 422 24/10/13
Roma Centro Commerciale La Romanina, Via Enrico Ferri 8 12/11/15
Roma Via di Valle Aurelia 1 19/04/18
Roma Via Tuscolana 785 31/10/13
Roma Centro Commerciale Appio, Via Appia Nuova 450 16/04/15
Roma Shopping Village Castel Romano, Via Ponte di Piscina Cupa 64 25/10/12
Fiumicino Centro Commerciale Da Vinci, Via Geminiano Montanari 19/10/07
Viterbo Via Giacomo Matteotti 40 17/11/16
Latina Corso della Repubblica 165 02/12/09

 

Con riferimento a tali sistemi, solo in data 31 maggio 2019 è stato siglato con la Filcams CGIL di Roma e del Lazio un accordo quadro relativo all’installazione ed utilizzo di impianti di videosorveglianza in tutto il territorio del Lazio, da riprodurre, in successivi singoli accordi, per ogni punto vendita ove sono presenti le rappresentanze sindacali.

In conseguenza di ciò, con riferimento ai punti vendita sopra indicati, gli accordi con le rappresentanze sindacali sono stati stipulati successivamente al 31 maggio 2019 (precisamente il 3 giugno 2019) e, quindi, solo dopo significativi periodi di tempo dalla loro installazione e attivazione.

Per quanto riguarda il negozio di Roma, via Ponte di Piscina Cupa 64, l’autorizzazione dall’Ispettorato del lavoro è stata rilasciata il 20 maggio 2019 e per quanto riguarda il negozio di Viterbo il 19 luglio 2019.

È stato, inoltre, accertato che la Società ha fatto ricorso a impianti di videosorveglianza, prima di stipulare un accordo con le rappresentanze sindacali o di ottenere il rilascio dell’autorizzazione da parte dell’Ispettorato del lavoro ex art. 4 della l. n. 300 del 1970 (v. file Excel fornito dalla Società), anche presso i negozi:

Punto vendita Data attivazione
Le Fontane, Catanzaro (IT0335) 26/8/17
Centro del Molise, Campobasso, Molise (IT0484)     11/10/16
Costaverde, Molise (IT0516) 17/11/16
Centro Gavinana, Toscana (IT0545)  11/8/18
Lecce Mongolfiera, Puglia (IT0447)  12/5/19
Centro Commerciale Due Valli, Torino Pinerolo, Piemonte (IT0520)  11/8/19

  

Con riferimento a tali punti vendita, infatti, proprio dall’esame del file Excel consegnato dalla Società il 25 maggio 2022, a scioglimento delle riserve formulate durante l’accertamento ispettivo, è emerso che: solo in data 18/10/2018, è stata rilasciata l’autorizzazione dall’Ispettorato del lavoro per il negozio Le Fontane, Catanzaro (IT0335); solo in data 13/5/2019, è stata rilasciata l’autorizzazione dall’Ispettorato del lavoro per il negozio Centro del Molise, Campobasso, Molise (IT0484); solo in data 21/12/2018, è stata rilasciata l’autorizzazione per il negozio Costaverde, Molise (IT0516); solo in data 25/10/2018, è stato sottoscritto il primo accordo con le rappresentanze sindacali per il negozio Centro Gavinana, Toscana (IT0545); solo in data 25/6/2019, è stato sottoscritto l’accordo con le rappresentanze sindacali per il negozio Lecce Mongolfiera, Puglia (IT0447); solo in data 4/9/2019, è stata rilasciata l’autorizzazione dall’Ispettorato del lavoro per il negozio Centro Commerciale Due Valli, Torino Pinerolo, Piemonte (IT0520).

Con riferimento a quanto sopra accertato circa l’utilizzo di sistemi di videosorveglianza nel contesto degli esercizi commerciali della Società, si rammenta che i trattamenti di dati personali effettuati nell’ambito del rapporto di lavoro, se necessari per la finalità di gestione del rapporto stesso (v., per quanto riguarda i dati c.d. comuni, l’art. 6, par. 1, lett. b) e c) del Regolamento), devono svolgersi nel rispetto dei principi generali indicati dall’art. 5 del Regolamento, ed, in particolare, del principio di liceità, in base al quale il trattamento è lecito se è conforme alle discipline di settore applicabili (art. 5, par. 1, lett. a) del Regolamento).

Coerentemente con tale impostazione, l’art. 88 del Regolamento ha fatto salve le norme nazionali di maggior tutela (“norme più specifiche”) volte ad assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei lavoratori. Il legislatore nazionale ha approvato, quale disposizione più specifica, l’art. 114 del Codice che, tra le condizioni di liceità del trattamento, ha stabilito l’osservanza di quanto prescritto dall’art. 4, l. n. 300 del 1970. La violazione del richiamato art. 88 del Regolamento è soggetta, ricorrendone i requisiti, all’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, lett. d) del Regolamento.

In base al richiamato art. 4, l. n. 300 del 1970 gli apparati di videosorveglianza, qualora dagli stessi derivi “anche la possibilità di controllo a distanza” dell'attività dei dipendenti, “possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale” e la relativa installazione deve, in ogni caso, essere eseguita previa stipulazione di un accordo collettivo con la rappresentanza sindacale unitaria o con le rappresentanze sindacali aziendali o, ove non sia stato possibile raggiungere tale accordo o in caso di assenza delle rappresentanze, solo in quanto preceduta dal rilascio di apposita autorizzazione da parte dell'Ispettorato del lavoro.

L’attivazione e la conclusione di tale procedura di garanzia è dunque condizione indefettibile per l’installazione di sistemi di videosorveglianza. La violazione di tale disposizione è penalmente sanzionata (v. art. 171 del Codice).

Ciò considerato, risulta dunque accertato che la Società ha effettuato trattamenti di dati personali attraverso sistemi di videosorveglianza atti a riprendere i lavoratori durante lo svolgimento dell’attività lavorativa (la Società stessa ha precisato che “tutti i dipendenti [sono] coinvolti nel trattamento [tramite sistemi di videosorveglianza], in ragione della collocazione delle telecamere nell’area riservata ai dipendenti, in zone nelle quali tutti i dipendenti sono tenuti a passare”, verbale di operazioni compiute 28.4.2022, p. 5) in modo difforme da quanto previsto dall’ordinamento, in particolare, senza avere attivato la procedura di garanzia prevista dall’art. 4 della l. n. 300 del 1970, procedura di garanzia che, secondo quanto dichiarato dalla Società, è gestita da quest’ultima, quindi in modo centralizzato (in proposito è stato dichiarato, infatti, che “la società, che riveste il ruolo di titolare del trattamento, una volta raggiunto l’accordo con l’RSA ove presente o, in mancanza della rappresentanza sindacale, una volta ottenuta l’autorizzazione dallo specifico Ispettorato Territoriale del Lavoro (ITL), provvede ad inviare la documentazione relativa all’informativa al direttore del negozio, specificando altresì le caratteristiche del trattamento”, verbale di operazioni compiute 28.4.2022, p. 3, e “la gestione dei rapporti con le rappresentanze sindacali o con l’ITL, ai fini dell’installazione degli impianti di videosorveglianza, viene svolta centralmente e in modo unitario per tutti i negozi, così come il rapporto con la società che cura l’installazione e l’attivazione degli impianti”, verbale di operazioni compiute 29.4.2022, p. 2).

L’attivazione della predetta procedura di garanzia non integra una mera formalità né può qualificarsi, come invece sostenuto dalla Società, quale semplice “mancanza di alcuni aspetti documentali”.

La predetta procedura di garanzia, come più volte sottolineato anche dalla giurisprudenza di legittimità, “tutela interessi di carattere collettivo e superindividuale”, per cui, nel caso in cui il datore di lavoro non la attivi la sua condotta lederà gli interessi collettivi a presidio dei quali è posta (v., tra le altre, Cass., sez. III pen., 17.12.2019, n. 50919).

Solo attraverso tale procedura, quindi, attraverso le rappresentanze sindacali o l’Ispettorato del lavoro, potrà essere correttamente valutata l’idoneità a ledere la dignità dei lavoratori di strumenti tecnologici dai quali possa derivare un controllo a distanza dei lavoratori e potrà essere verificata l'effettiva rispondenza di detti impianti alle esigenze tecnico-produttive o di sicurezza. L’inderogabilità della citata procedura risponde anche alla situazione di sproporzione esistente tra la posizione datoriale e quella dei lavoratori.

Tra l’altro, e in ogni caso, la stessa Società ha ammesso che la situazione derivante dalle “violazioni oggetto di segnalazione” “ha prodotto, purtroppo, alcune inefficienze e, in particolare, ha avuto l’effetto […] di non risultare perfettamente aderente alle procedure di apertura stabilite dalla Società”.

Dalla documentazione prodotta è emerso, quindi, che per un significativo periodo di tempo la gestione, a livello nazionale, della Società con riferimento ai trattamenti derivanti dall’uso di sistemi di videosorveglianza, in molteplici punti vendita, sia stata quantomeno confusa, non rigorosa e non puntuale, nonostante l’importanza dell’attivazione della procedura di garanzia predetta.

I trattamenti in esame sono risultati illeciti, in alcuni casi, fino alla disattivazione delle telecamere a seguito dell’intervento dell’Ispettorato del lavoro per i negozi oggetto di ispezione da parte di quest’ultimo e, per gli altri, fino alla stipulazione dell’accordo o al rilascio dell’autorizzazione.

Si consideri, inoltre, che, come dichiarato dalla stessa Società, il trattamento ha riguardato non più di 543 dipendenti: un numero, quindi, molto significativo di interessati.

Non è, inoltre, idonea a far venir meno l’obbligo di conformarsi alla richiamata disciplina la circostanza, rappresentata dalla Società, che i dipendenti fossero stati informati della presenza dell’impianto e del suo funzionamento e posizionamento anche attraverso informative brevi affisse nelle zone antistanti le zone oggetto di ripresa.

Non è, infatti, elemento sufficiente (seppur necessario) informare ai sensi dell’art. 13 del Regolamento i dipendenti in merito alle caratteristiche del trattamento effettuato attraverso sistemi di videosorveglianza, proprio considerata la già evidenziata inderogabilità della procedura. 

In merito, poi, alla obiezione della Società secondo la quale le telecamere , nella maggior parte dei casi, riprenderebbero “una zona di passaggio e non di attività lavorativa” si rammenta che il Garante ha costantemente ritenuto che anche le aree nelle quali transitano o sostano - talora continuativamente - i dipendenti (ad es. accessi alla struttura e ai garages, zone di carico/scarico merci, ingressi carrai e pedonali), qualora sottoposte a videosorveglianza, sono soggette alla piena applicazione della disciplina in materia di protezione dei dati personali (v., tra gli altri, provv.ti 16 settembre 2021, n. 331, doc. web n. 9719768; 30 luglio 2015, n. 455, doc. web n. 4261028; 4 luglio 2013, n. 334, doc. web n. 2577203; 18 aprile 2013, n. 199 e 200, doc. web n. 2483269; 9 febbraio 2012, n. 56, doc. web n. 188699; 17 novembre 2011, n. 434, doc. web n. 1859558; 26 febbraio 2009, doc. web n. 1601522).

Ciò peraltro conformemente a quanto stabilito dalla giurisprudenza di legittimità (v. Cass. 6 marzo 1986, n. 1490; v. anche, con riferimento a strumento diverso dalla videosorveglianza, Cass. 13 marzo 2007, n. 15892).

Nel caso di specie i sistemi di videoripresa sono posizionati in modo da riprendere zone ove, per l’appunto, necessariamente transitano i dipendenti per lo svolgimento dell’attività lavorativa o anche per recarsi all’interno di aree dove si svolge l’attività lavorativa (ingressi riservati ai dipendenti, corridoi di accesso all’ufficio amministrativo, ufficio amministrativo).

La condotta tenuta dalla Società configura pertanto la violazione del principio di liceità del trattamento (art. 5, par. 1, lett. a) del Regolamento in relazione all’art. 114 del Codice) e dell’art. 88 del Regolamento quanto alla disciplina applicabile in materia.

Per quanto riguarda i predetti punti vendita del Lazio, in relazione ai quali la Società ha precisato che 10 sono stati “oggetto di sanzione da parte della ITL” e che “i punti vendita di Viterbo (IT0495) e Latina (IT0357) non sono stati oggetto di sanzione da parte della ITL”, si rammenta che i poteri che l’ordinamento riconosce al Garante per la protezione dei dati personali, che riguardano il trattamento dei dati personali, con riferimento all’art. 114 del Codice, si aggiungono (e non sostituiscono né vengono meno rispetto) ai poteri propri dell’Ispettorato del lavoro.

Pertanto, laddove l’Autorità ravvisi la violazione dell’art. 114 del Codice, deve accertare la stessa, disponendo le misure correttive e sanzionatorie necessarie, sia nel caso in cui l’Ispettorato abbia provveduto, per i profili di propria competenza, a sanzionare il soggetto che ha tenuto una condotta in violazione dell’art. 4 della l. 300 del 1970, sia nel caso in cui lo stesso non abbia proceduto in tal senso.

L’art. 4 della l. n. 300 del 1970 prevede la competenza dell’INL al rilascio della autorizzazione amministrativa necessaria ai fini dell’installazione di impianti audiovisivi e altri strumenti dai quali derivi anche la possibilità di controllo a distanza dei lavoratori per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale, dunque con riferimento a profili prettamente lavoristici.

L’art. 114 del Codice incardina la competenza del Garante relativamente alla verifica del rispetto della disciplina di protezione dei dati personali anche ai fini della disciplina sui controlli a distanza, attribuendo poteri sia sanzionatori sia correttivi, prevedendo, tra l’altro, una propria cornice edittale completamente differente da quella prevista per il lato lavoristico.

Gli ambiti di operatività delle due discipline, seppure collegati, sono quindi autonomi. Nell’ambito delle valutazioni relative alla commisurazione della sanzione applicabile al caso concreto l’Autorità potrà comunque tenere conto delle sanzioni amministrative applicate dall’Ispettorato e pagate dalla Società.

3.2. Trattamenti di dati personali effettuati in violazione di quanto autorizzato dall’Ispettorato del lavoro.

É altresì stato accertato che la Società, presso il negozio di Milano (Duomo) ha, attraverso la telecamera D4 relativa alla cassaforte, registrato e conservato le immagini per un tempo superiore al termine stabilito nell’accordo stipulato ai sensi dell’art. 4 della L. n. 300 del 1970 pari a 24 ore (il giorno 17.5.2022, durante l’accertamento ispettivo, sono state infatti rinvenute immagini risalenti al 4 maggio 2022, dalle ore 00:23, nonché alle date del 5, 6, 13, 14 e 15 maggio, 0-24).

In proposito la Società, a scioglimento delle riserve formulate in sede ispettiva, ha presentato una dichiarazione dell’installatore Project Impianti s.r.l. secondo la quale “le anomale registrazioni conservate oltre le 24 ore dalla predetta videocamera sono dipese da un problema tecnico. Nello specifico, abbiamo verificato che la telecamera risultava non settata correttamente rispetto alle altre molto probabilmente a causa di un errore tecnico in fase di programmazione della stessa dato che ogni apparato deve essere configurato singolarmente sia a livello di impostazioni che a livello di indirizzamento”.

È stato, in proposito, dichiarato inoltre che “tale anomalia è stata risolta dai nostri tecnici in data [23.5.2022] e che il sistema è oggi nuovo perfettamente funzionante e conserva le immagini solo per 24 ore”.

Negli scritti difensivi la Società ha precisato che “l’anomalia [della predetta telecamera] non si è verificata prima del 4 maggio 2022 alle ore 00:23”, considerato che durante l’ispezione sono state ritrovate esclusivamente immagini risalenti fino a quella data.

Ciò posto, nonostante nella dichiarazione dell’installatore presentata dalla Società sia stato precisato che l’anomalia della telecamera in oggetto dipendesse dal settaggio della medesima, visto che in sede di ispezione sono state rinvenute immagini registrate attraverso la telecamera in esame risalenti al 4 maggio 2022, risulta accertato che la Società ha, attraverso la telecamera D4 relativa alla cassaforte presso il negozio di Milano (Duomo), effettuato un trattamento di dati personali in violazione di quanto esplicitamente previsto dall’accordo stipulato in data 1 aprile 2015 con le rappresentanze sindacali (l’accordo prevede, in proposito, che “le immagini non saranno conservate per un periodo superiore alle 24 ore dopo tale periodo saranno cancellate automaticamente”) quantomeno dal 4 maggio 2022 (e non dalla data di installazione della medesima, come indicato nella contestazione del 30.9.2022) fino al 23 maggio 2022.

È stato inoltre accertato che, nel negozio di Stezzano (BG), la Società, da settembre 2021 (data, secondo quanto dichiarato dalla Società, di installazione di una telecamera che in precedenza era posizionata fuori, all’interno del negozio e, quindi, di modifica dell’impianto, rispetto a quanto autorizzato dall’Ispettorato) e fino all’accertamento ispettivo effettuato dal Garante, come riportato nel verbale dell’accertamento del 17 maggio 2022, ha mantenuto attivate le telecamere anche durante l’orario lavorativo, nonostante l’Ispettorato del lavoro avesse precisato, nell’autorizzazione del 4.3.2020 (autorizzazione che ha sostituito quella del 13.1.2020), che “Le due telecamere interne collocate nell’Area Staff […] devono rimanere spente durante l’orario di apertura della sede operativa ai clienti”.

La Società ha, in proposito, dichiarato di avere preso contezza della limitazione oraria del funzionamento delle telecamere solo nel predisporre la documentazione richiesta dall’Autorità e di avere, di conseguenza, proceduto a spegnerle (v. verbale di operazioni compiute 17.5.2022).

La Società ha, inoltre, dichiarato, limitandosi ad allegare, oltre alle prime due autorizzazioni rilasciate dall’Ispettorato del lavoro, anche la nuova autorizzazione rilasciata in data 14 ottobre 2022 dall’Ispettorato del lavoro, che la limitazione dell’attivazione del sistema di videosorveglianza deriverebbe da un’“erronea redazione della seconda autorizzazione da parte dell’ITL”.

Al riguardo ci limita a osservare che è onere della Società che ha richiesto l’autorizzazione all’Ispettorato verificarne il contenuto al momento del rilascio e adeguare di conseguenza il trattamento ovvero chiedere se del caso chiarimenti o correzioni all’Ispettorato, visto anche il principio di responsabilizzazione (art. 5, par. 2, del Regolamento).

Per quanto sopra quindi la condotta tenuta dalla Società configura la violazione del principio di liceità del trattamento (art. 5, par. 1, lett. a) del Regolamento in relazione all’art. 114 del Codice) e dell’art. 88 del Regolamento quanto alla disciplina applicabile in materia.

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Per i suesposti motivi, l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati personali effettuato dalla Società attraverso i sistemi di videosorveglianza risulta infatti illecito, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a), 88 del Regolamento e 114 del Codice.

La violazione accertata nei termini di cui in motivazione non può essere considerata “minore”, tenuto conto della natura, della gravità e della durata della violazione stessa, del grado di responsabilità, della maniera in cui l'autorità di controllo ha preso conoscenza della violazione (cons. 148 del Regolamento).

Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento si dispone l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) Regolamento).

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

All’esito del procedimento risulta che H&M Hennes & Mauritz s.r.l. ha violato gli artt. 5, par. 1, lett. a), 88 del Regolamento e 114 del Codice. Per la violazione delle predette disposizioni è prevista l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. a), d) del Regolamento, mediante adozione di un’ordinanza ingiunzione (art. 18, l. 24.11.1981, n. 689).

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

a) in relazione alla natura, gravità e durata della violazione, è stata considerata rilevante la natura della violazione che ha riguardato i principi generali del trattamento, e, in particolare, il principio di liceità (con riferimento alle disposizioni specifiche relative ai trattamenti nell’ambito del rapporto di lavoro); sono stati valutati, altresì, i considerevoli periodi di tempo nei quali la Società ha utilizzato sistemi di videosorveglianza senza avere attivato la procedura di garanzia di cui all’art. 4 della l. n. 300 del 1970 e il numero rilevanti di interessati coinvolti e la circostanza che la violazione ha riguardato diverse sedi e diversi profili (assenza di autorizzazione e trattamenti effettuati in violazione delle autorizzazioni rilasciate) a dimostrazione di una gestione complessivamente non adeguata del processo di attuazione della disciplina nel contesto del rapporto di lavoro;

b) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare è stata presa in considerazione la condotta della Società e il grado di responsabilità della stessa che si è conformata alla disciplina in materia di protezione dei dati solo a seguito dell’attività dell’Autorità e dell’Ispettorato del lavoro;

c) a favore della Società si è tenuto conto della cooperazione con l’Autorità al fine di porre rimedio alle violazioni e l’assenza di precedenti violazioni pertinenti a carico della Società.

Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla Società con riferimento al bilancio ordinario d’esercizio per l’anno 2021.

Per la commisurazione della sanzione, è stato anche tenuto in considerazione che, in relazione ad alcuni dei punti vendita interessati dalle violazioni accertate dall’Autorità, la Società, a seguito di ispezione dell’Ispettorato del lavoro, ha provveduto al pagamento della somma prevista per la condotta relativamente ai profili integranti la contravvenzione derivante dalla violazione del combinato disposto degli artt. 4 e 38 della l. n. 300 del 1970.

Da ultimo si tiene conto dell’entità delle sanzioni irrogate in casi analoghi.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di H&M Hennes & Mauritz s.r.l. la sanzione amministrativa del pagamento di una somma pari ad euro 50.000 (cinquantamila).

In tale quadro si ritiene, altresì, in considerazione della tipologia delle violazioni accertate che hanno riguardato i principi generali del trattamento, in particolare il principio di liceità, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante.

Si ritiene, altresì, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO, IL GARANTE

rileva l’illiceità del trattamento effettuato da H&M Hennes & Mauritz s.r.l., in persona del legale rappresentante, con sede legale in Via Turati, Milano, 9, 20121, C.F. 03269110965, ai sensi dell’art. 143 del Codice, per la violazione degli artt. 5, par. 1, lett. a), 88 del Regolamento e 114 del Codice;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento a H&M Hennes & Mauritz s.r.l., di pagare la somma di euro 50.000 (cinquantamila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

quindi alla medesima Società di pagare la predetta somma di euro 50.000 (cinquantamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 2 marzo 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL VICE SEGRETARIO GENERALE
Filippi


Vedi anche (9)