VEDI ANCHE Newsletter del 28 marzo 2024

[doc. web n. 9995785]

Provvedimento del 22 febbraio 2024

Registro dei provvedimenti
n. 109 del 22 febbraio 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

PREMESSO

1. I reclami presentati.

In data 24 ottobre 2022, alcuni dipendenti di L’Igiene Urbana Evolution s.r.l. e Airone società consortile a r.l. hanno presentato reclamo all’Autorità lamentando che, a partire dal mese di febbraio 2022, al fine di accedere al cantiere situato in Ardea, ove si svolge l’attività lavorativa dei dipendenti, e di accertare la presenza degli stessi sul luogo di lavoro, era necessario utilizzare un rilevatore biometrico, basato sul riconoscimento facciale, del tipo “Face Deep 3 – Smart Face Recognition System”, prodotto da Anviz Global.

2. L’attività istruttoria.

L’Autorità ha delegato il Nucleo speciale privacy e frodi tecnologiche della Guardia di finanza ad effettuare accertamenti ispettivi ai sensi degli artt. 157 (Richiesta di informazioni e di esibizione di documenti) e 158 (Accertamenti) del Codice. Nel corso di tale attività delegata, sono state effettuate ispezioni, tra l’altro, presso il cantiere di Ardea (19 gennaio 2023), nei confronti di L’Igiene Urbana Evolution s.r.l. (26 e 27 gennaio 2023) e nei confronti di Unica s.r.l.s. (30 maggio 2023).

In data 19 gennaio 2023, il Nucleo, unitamente al personale dell’Autorità, si è recato presso il cantiere sito in Ardea, dove ha acquisito a verbale le seguenti dichiarazioni:

“all’interno del sito industriale di rimessaggio operano le seguenti società: L’Igiene Urbana Evolution s.r.l., Airone società consortile a r.l., Blue Work s.r.l., che operano come ATI per la gestione dei rifiuti del Comune di Ardea” (verbale ispettivo 19/1/2023, p. 2);

“all’interno di un locale adiacente al parco automezzi è presente un dispositivo di riconoscimento dei dipendenti basato sulla biometria del volto” (verbale cit., p. 3);

è stato altresì effettuato l’accesso all’applicativo JuniorWeb, “tramite cui vengono gestite le presenze dei dipendenti, così come registrate tramite il dispositivo di riconoscimento facciale. Sono stati effettuati gli export delle anagrafiche, comprendenti anche i dipendenti licenziati, ed è stato verificato che il sistema riporta l’indicazione di 3 ulteriori società (DMT, IGNEVO, UNICA srl) e di 17 ulteriori centri di costo. È stato verificato che ai dati di tali ulteriori soggetti non è possibile accedere con le credenziali in possesso della parte” (verbale cit., p. 3).

In data 26 gennaio 2023, nel corso dell’accertamento ispettivo effettuato presso la sede amministrativa di L’igiene Urbana Evolution s.r.l., quest’ultima ha dichiarato che:

“la società, sulla base della dichiarazione e certificazione di conformità dell’apparato biometrico fornita dal produttore «Anviz Global Inc.», allegata al prodotto fornito dalla società di servizi UNICA srls, in cui veniva dichiarato che il dispositivo era pienamente conforme al GDPR, riteneva di potere utilizzare lo stesso ai sensi dell’art. 9 c.2, par. b. del Regolamento” (verbale cit., p. 4);

“la società ha formalizzato nel mese di marzo 2021, con la società Unica srls, l’acquisto dei dispositivi di rilevazione delle presenze” (verbale cit., p. 4).

Il 27 gennaio 2023, sono proseguite le attività ispettive presso la sede amministrativa di L’Igiene Urbana Evolution s.r.l. In tale occasione quest’ultima ha ulteriormente dichiarato che:

“UNICA srls è la società che fornisce attività di consulenza amministrativa, organizzativa e tecnica” per la Società (verbale ispettivo 27/1/2023, p. 2);

nel corso dell’accesso al sistema Junior Web, con profilo Admin è “stato visualizzato il prospetto di timbrature del mese di dicembre 2022, comprendente i dipendenti di diversi siti (indicati come CDC, centri di costo). […] di tutti i centri di costo visualizzati solo 10 fanno riferimento alla società. I restanti CDC fanno riferimento ad altre società, per le quali la DM Technology fornisce assistenza sui dispositivi di rilevazione biometrica” (verbale cit., p. 3);

Visti i risultati degli accertamenti effettuati presso il cantiere di Ardea e presso la sede di L’Igiene Urbana Evolution s.r.l., l’Autorità ha ritenuto necessario effettuare accertamenti ispettivi presso la sede legale di Unica s.r.l.s. (di seguito, la Società) al fine di verificare l’eventuale trattamento di dati personali da parte della Società.

Nel corso dell’ispezione, svolta in data 30 maggio 2023, la Società ha dichiarato che:

“la società, nata a gennaio 2020, presta attività di consulenza […] su diversi aspetti (area legale, tecnica, gare di appalto, rapporti di lavoro). Su tali tematiche, a partire da fine 2020 sono iniziati i rapporti con Igiene Urbana Evolution e DM Technology, mediante sottoscrizione di apposite convenzioni” (verbale ispettivo 30/5/2023, p. 2 e All. 1 “Convenzione di consulenza/assistenza professionale” con DM Technology, del 20/10/2020 e All. 2 “Convenzione consulenza in materia di lavoro/assistenza professionale” con L’Igiene Urbana Evolution, del 28/12/2020);

le due società sopra menzionate (L’Igiene Urbana Evolution e DM Technology) “hanno rappresentato la necessità di sottoporre ad un maggiore controllo i lavoratori operanti presso alcuni siti di raccolta rifiuti, in particolare il sito di Ardea. Dopo un’analisi di mercato comprensiva anche di una verifica di adeguatezza rispetto alla normativa privacy, la società ha avviato la fornitura, a titolo gratuito, degli apparati FD3, acquisiti a sua volta [dal fornitore], mediante apposito contratto comprensivo anche di 3 licenze di utilizzo del software JuniorWeb. In particolare sono stati forniti 10 apparati a Igiene Urbana e 4 a DM. DM Tech è stato inoltre il soggetto delegato alla gestione e installazione del software Junior Web, in quanto la società DM fornisce attività di consulenza informatica e supporto tecnico ad Unica” (verbale cit., p. 3);

la Società “ha installato un ulteriore dispositivo FD3 per prova presso i propri uffici […] tale dispositivo attualmente risulta dismesso […]. L’apparato FD3 dismesso è conservato, non connesso alla rete, e i dati relativi alle timbrature non sono stati cancellati”; in proposito i verbalizzanti “hanno acquisito i dati presenti nel dispositivo, relativi agli utenti registrati e alle timbrature effettuate” (verbale cit., p. 3 e All. 7).

3. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e le deduzioni della Società.

Il 13 settembre 2023, l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione alla Società delle presunte violazioni del Regolamento riscontrate, con riferimento agli artt. 5, par. 1, lett. a), 9 e 28 del Regolamento.

La Società non ha fatto pervenire scritti difensivi.

4. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

4.1 Violazione dell’art. 5, par. 1, lett. a) e 9 del Regolamento.

All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, risulta che la Società, in qualità di titolare, ha effettuato alcune operazioni di trattamento, riferite ai dipendenti, che risultano non conformi alla disciplina in materia di protezione dei dati personali.

In proposito si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

Nel merito, all’esito dell’attività istruttoria, è stato accertato che la Società ha utilizzato un sistema biometrico, basato sul riconoscimento facciale, che al momento dell’ispezione risultava non attivo (v. verbale ispettivo 30/5/2023 p. 3).

Nonostante il fatto che, in base a quanto dichiarato dalla Società, il dispositivo biometrico fosse stato installato “per prova”, risulta in atti che sono stati effettuati trattamenti di dati biometrici dei dipendenti.

In particolare, all’esito dell’esame dei dati estratti dal sistema, è emerso che i trattamenti di dati biometrici avevano riguardato 5 utenti, erano iniziati tra il mese di dicembre del 2021 e il mese di gennaio del 2022 ed erano cessati nel mese di gennaio 2023 (v. All. 7 verbale cit.; inoltre lo stesso registro dei trattamenti aggiornato al 28/9/2021, acquisito in atti, menziona il trattamento dei dati biometrici dei dipendenti: All. 6; verbale cit., punto 3.1.).

Preliminarmente si osserva che, come chiarito dall’Autorità, vi è trattamento di dati biometrici sia nella fase di registrazione (c.d. enrolment), consistente nella acquisizione delle caratteristiche biometriche dell’interessato (caratteristiche del volto, nel caso di specie; v. punti 6.1 e 6.2 dell’allegato A al provvedimento del Garante del 12 novembre 2014, n. 513, in www.garanteprivacy.it, doc. web n. 3556992), sia nella fase di riconoscimento biometrico, all’atto della rilevazione delle presenze (v. anche punto 6.3 dell’allegato A al citato provvedimento).

Pertanto, anche in caso di estrazione del c.d. template vi è trattamento di dati biometrici, con conseguente applicazione della specifica disciplina prevista dall’ordinamento.

In proposito, in base alla normativa posta in materia di protezione dei dati personali, il trattamento di dati biometrici (di regola vietato ai sensi dell’art. 9, par. 1 del Regolamento) è consentito esclusivamente qualora ricorra una delle condizioni indicate dall’art. 9, par. 2 del Regolamento e, con riguardo ai trattamenti effettuati in ambito lavorativo, solo quando il trattamento sia “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. b), del Regolamento; v. anche: art. 88, par. 1 e cons. 51-53 del Regolamento).

Il datore di lavoro, inoltre, è tenuto ad applicare i principi generali del trattamento, in particolare quelli di liceità, correttezza e trasparenza, minimizzazione, integrità e riservatezza dei dati (art. 5, par. 1, lett. a), c) e f) del Regolamento).

In applicazione di tali disposizioni, sebbene nel contesto lavorativo le finalità di rilevazione delle presenze dei dipendenti e di verifica dell’osservanza dell’orario di lavoro possano rientrare nell’ambito di applicazione dell’art. 9, par. 2, lett. b) del Regolamento, tuttavia il trattamento dei dati biometrici è consentito solo “nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri […] in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. b), e cons. nn. 51-53 del Regolamento).

Tenuto anche conto di quanto previsto dall’art. 2-septies del Codice (Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute), in base al quale i predetti trattamenti possono essere effettuati conformemente alle misure di garanzia disposte dal Garante (ai sensi dell’art. 9, par. 4, del Regolamento), allo stato l’ordinamento vigente non consente il trattamento di dati biometrici dei dipendenti per finalità di rilevazione della presenza in servizio.

Ciò è stato ribadito dal Garante con i provvedimenti n. 369 del 10 novembre 2022 (doc. web n. 9832838) e n. 16 del 14 gennaio 2021 (doc. web n. 9542071).

L’utilizzo del dato biometrico nel contesto dell’ordinaria gestione del rapporto di lavoro (quale è l’attività di rilevazione delle presenze) non è pertanto conforme ai principi di minimizzazione e proporzionalità del trattamento (art. 5, par. 1, lett. c) del Regolamento).

Inoltre, si rileva che al fine di poter contabilizzare le effettive ore di lavoro prestate e di accertare la presenza dei lavoratori sul luogo di lavoro avrebbero potuto essere adottate misure utili allo scopo ma meno invasive per i diritti degli interessati (es. controlli automatici mediante badge, verifiche dirette, etc.).

La valutazione di proporzionalità del trattamento di dati biometrici consistenti nel riconoscimento facciale avrebbe dovuto tener conto, inoltre, dei rischi per i diritti e le libertà degli interessati connessi all’uso di tale particolare tecnologia biometrica così come è stato riconosciuto sia dall’ordinamento nazionale che in ambito europeo (v. d.l. 10/5/2023, n. 51, conv. in l. 3/7/2023, n. 87, che con l’art. 8-ter ha prorogato al 31 dicembre 2025 la sospensione dell’installazione e utilizzazione di impianti di videosorveglianza con sistemi di riconoscimento facciale “in luoghi pubblici o aperti al pubblico, da parte delle autorità pubbliche o di soggetti privati”, ciò al fine di “disciplinare conformemente i requisiti di ammissibilità, le condizioni e le garanzie relativi all'impiego di sistemi di riconoscimento facciale nel rispetto del principio di proporzionalità previsto dall'articolo 52 della Carta dei diritti fondamentali dell'Unione europea”; si veda inoltre: European data Protection Board, Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement, adottate il 26/7/2023, spec. punti 17, 34 e 35 sui rischi del riconoscimento facciale; Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video, adottate il 29 gennaio 2020, spec. punti 4 e 73; si veda altresì il Provv. del 10 febbraio 2022, n. 50, doc. web n. 9751362, adottato, seppure in un diverso contesto, in materia di riconoscimento facciale).

In base ai suesposti motivi il trattamento di dati biometrici dei propri dipendenti effettuato dalla Società risulta pertanto essere stato effettuato in assenza di un’idonea base giuridica, in violazione degli artt. 5, par. 1, lett. a) e 9 del Regolamento.

4.2 Violazione dell’art. 28 del Regolamento.

È altresì emerso che la Società ha effettuato attività di “consulenza, assistenza e adempimenti in materia di diritto del lavoro”, per conto di L’Igiene Urbana Evolution s.r.l., attività che comporta necessariamente il trattamento di dati dei dipendenti di quest’ultima (in particolare per quanto riguarda lo svolgimento di “adempimenti” per conto della predetta società, ad esempio l’elaborazione di prospetti di liquidazione di malattia, maternità, ferie e l’elaborazione di tabulati per le trattenute sindacali, attività espressamente indicate nella convenzione del 28/12/2020: v. verbale 30/5/2023, All. 2).

Posto che le scelte relative a finalità e mezzi del trattamento stesso sono state definite da L’Igiene Urbana Evolution s.r.l., in qualità di titolare/datore di lavoro, la Società ha effettuato un trattamento, per conto dei titolari del trattamento, senza che ciò fosse stato preventivamente disciplinato da un contratto o altro atto giuridico, secondo quanto previsto dall’art. 28 del Regolamento e in assenza di specifiche istruzioni predisposte da questi ultimi.

Non risulta infatti che l’Igiene Urbana Evolution s.r.l. abbia, in relazione ai trattamenti effettuati, provveduto a designare la Società quale responsabile del trattamento, come previsto dall’art. 28 del Regolamento.

D’altra parte, neppure la convenzione stipulata tra le parti, acquisita in atti, contiene gli elementi espressamente indicati dall’art. 28, par. 3 del Regolamento (v. verbale 30/5/2023, All. 2).

Il titolare del trattamento nell’ambito della predisposizione delle misure tecniche e organizzative che soddisfino i requisiti stabiliti dal Regolamento, anche sotto il profilo della sicurezza (artt. 24 e 32 del Regolamento), può avvalersi di un responsabile per lo svolgimento di alcune attività di trattamento, cui impartisce specifiche istruzioni (cfr. considerando 81 del Regolamento).

In tal caso il titolare “ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto [le predette misure] adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti degli interessati” (art. 28, par. 1, del Regolamento).

Ai sensi dell’art. 28 del Regolamento, il titolare può quindi affidare un trattamento anche a soggetti esterni, disciplinandone il rapporto con un contratto o un altro atto giuridico e impartendo le istruzioni in merito alle caratteristiche principali del trattamento. Il responsabile del trattamento è, pertanto, legittimato a trattare i dati degli interessati “soltanto su istruzione documentata del titolare” (art. 28, par. 3, lett. a), del Regolamento), ciò anche al fine di impedire l’effettuazione di trattamenti di dati in assenza di un idoneo presupposto di liceità (v. la definizione di “terzo” ex art. 4, n. 10 del Regolamento).

In proposito si rappresenta che, diversamente da quanto sostenuto dalla Società, il Garante ha più volte stabilito con proprie decisioni che la violazione dell’art. 28 del Regolamento deve essere imputata anche al responsabile, in quanto, in assenza del contratto o di altro atto giuridico, le attività di trattamento di dati da lui effettuati avverrebbero in assenza di idonea base giuridica (v., tra gli altri, provv. 15/12/2022, n. 427, doc. web n. doc. web n. 9856694; provv. 11/2/2021, n. 49, doc. web n. 9562852; provv. 17/9/2020, n. 160 e 161, doc. web nn. 9461168 e 9461321). In senso conforme si è anche espressa la Corte di Cassazione (v. ord. 35256/2023, spec. punto 2.4.).
Per i suesposti motivi la Società ha violato l’art. 28 del Regolamento.

5. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Per i suesposti motivi, l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati personali effettuato dalla Società e segnatamente il trattamento di dati biometrici (riconoscimento facciale) riferiti ai propri dipendenti per finalità di rilevazione delle presenze, nonché il trattamento effettuato per conto di L’Igiene Urbana Evolution s.r.l. relativamente ai dipendenti di quest’ultima, risulta infatti illecito, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a), 9 e 28 del Regolamento.

La violazione accertata nei termini di cui in motivazione non può essere considerata “minore”, tenuto conto della natura della violazione che ha riguardato i principi generali e le condizioni di liceità del trattamento di dati particolari nonché della gravità della violazione stessa, del grado di responsabilità e della maniera in cui l'autorità di controllo ha preso conoscenza della violazione (v. Considerando 148 del Regolamento).

L’Autorità prende atto del fatto che il dispositivo biometrico installato dalla Società, al tempo delle attività ispettive risultava dismesso e che i dati relativi alle timbrature non sono stati cancellati.

Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento, si ordina di cancellare i dati biometrici raccolti (art. 58, par. 2, lett. g) del Regolamento) e si dispone una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) Regolamento).

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

All’esito del procedimento, risulta che Unica s.r.l.s. ha violato gli artt. 5, par. 1, lett. a), 9 e 28 del Regolamento. Per la violazione delle predette disposizioni è prevista l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 4, lett. a) e par. 5, lett. a) del Regolamento, mediante adozione di un’ordinanza ingiunzione (art. 18, l. 24.11.1981, n. 689).

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni singolo caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

a) in relazione alla natura, gravità e durata della violazione, è stata considerata, a sfavore della Società, la natura della violazione che ha riguardato i principi generali e le condizioni di liceità del trattamento e il trattamento di dati particolari biometrici utilizzando la tecnologia del riconoscimento facciale;

b) è stata altresì considerata, a sfavore della Società, la durata della violazione che si è protratta per circa un anno;

c) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare, è stata presa in considerazione la condotta della Società e il grado di responsabilità della stessa che non si è conformata alla disciplina in materia di protezione dei dati relativamente a una pluralità di disposizioni;

d) a favore della Società, si è tenuto conto della cooperazione con l’Autorità di controllo.

Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla Società con riferimento al bilancio abbreviato d’esercizio per l’anno 2021. Da ultimo si tiene conto dell’entità delle sanzioni irrogate in casi analoghi.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Unica s.r.l.s. la sanzione amministrativa del pagamento di una somma pari ad euro 2.000 (duemila).

In tale quadro si ritiene, altresì, in considerazione della tipologia delle violazioni accertate che hanno riguardato i principi generali e le condizioni di liceità del trattamento, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante.

Si ritiene, altresì, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO, IL GARANTE

rileva l’illiceità del trattamento effettuato da Unica s.r.l.s., in persona del legale rappresentante, con sede legale in Via dei Goti, 118, Angri (SA), C.F. 05879920659, ai sensi dell’art. 143 del Codice, per la violazione degli artt. 5, par. 1, lett. a), 9, 28 e 32 del Regolamento;

ORDINA

ai sensi dell’art. 58, par. 2, lett. g) del Regolamento a Unica s.r.l.s., di cancellare i dati biometrici raccolti;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento a Unica s.r.l.s., di pagare la somma di euro 2.000 (duemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

quindi alla medesima Società di pagare la predetta somma di euro 2.000 (duemila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/20129, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

Richiede a Unica s.r.l.s. di comunicare quali iniziative siano state intraprese al fine di cancellare i dati biometrici oggetto di conservazione sul dispositivo, e di fornire comunque riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice, entro il termine di 90 giorni dalla data di notifica del presente provvedimento; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 5, lett. e) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 22 febbraio 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei