Provvedimento del 22 febbraio 2024 [9995741]
Provvedimento del 22 febbraio 2024 [9995741]
Condividi
VEDI ANCHE Newsletter del 28 marzo 2024
[doc. web n. 9995741]
Provvedimento del 22 febbraio 2024
Registro dei provvedimenti
n. 107 del 22 febbraio 2024
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);
VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);
ESAMINATA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE la prof.ssa Ginevra Cerrina Feroni;
PREMESSO
1. I reclami presentati.
In data 24 ottobre 2022, alcuni dipendenti di Airone società consortile a r.l., hanno presentato reclamo all’Autorità lamentando che, a partire dal mese di febbraio 2022, al fine di accedere al cantiere situato in Ardea, ove si svolge l’attività lavorativa dei dipendenti, e di accertare la presenza degli stessi sul luogo di lavoro, era necessario utilizzare un rilevatore biometrico, basato sul riconoscimento facciale.
In base alla documentazione anche fotografica allegata ai reclami, il trattamento sarebbe stato effettuato mediante il dispositivo “Face Deep 3 – Smart Face Recognition System”, prodotto da Anviz Global. Secondo quanto lamentato i trattamenti di dati personali biometrici sarebbero “illegittimi”, tenuto anche conto che la finalità degli stessi “potrebbe essere egualmente raggiunta con mezzi meno invasivi della sfera personale del lavoratore”.
2. L’attività istruttoria effettuata.
L’Autorità ha delegato il Nucleo speciale privacy e frodi tecnologiche della Guardia di finanza ad effettuare accertamenti ispettivi ai sensi degli artt. 157 (Richiesta di informazioni e di esibizione di documenti) e 158 (Accertamenti) del Codice. Nel corso di tale attività delegata, sono state effettuate ispezioni, tra l’altro, presso il cantiere di Ardea (19 gennaio 2023), nei confronti di L’Igiene Urbana Evolution s.r.l. (26 e 27 gennaio 2023), nei confronti di Airone società consortile a r.l. (16 febbraio 2023), di DM Technology s.r.l. (30 maggio 2023) e di Unica s.r.l.s. (30 maggio 2023).
In data 19 gennaio 2023, il Nucleo, unitamente al personale dell’Autorità, si è recato presso il cantiere sito in Ardea, dove ha acquisito a verbale le seguenti dichiarazioni:
“all’interno del sito industriale di rimessaggio operano le seguenti società: L’Igiene Urbana Evolution s.r.l., Airone società consortile a r.l., Blue Work s.r.l., che operano come ATI per la gestione dei rifiuti del Comune di Ardea” (verbale ispettivo 19/1/2023, p. 2);
“all’interno di un locale adiacente al parco automezzi è presente un dispositivo di riconoscimento dei dipendenti basato sulla biometria del volto […]. Il sistema viene utilizzato per la rilevazione delle presenze, dai circa 63 dipendenti delle società [che operano nel cantiere] più eventuali stagionali o sostituti temporanei” (verbale cit., p. 3);
“la fase di registrazione dei dipendenti, svolta in un periodo di qualche mese, è stata effettuata mediante l’inserimento del codice dipendente (ID) associato al nominativo, sulla base di un elenco fornito dalla società stessa. Una volta inserito tale ID avveniva il riconoscimento del volto del dipendente […] e il sistema convalidava la registrazione” (verbale cit., p. 3);
“nel locale in cui è presente il dispositivo sono sempre presenti anche i fogli firma che vengono utilizzati in alternativa al riconoscimento facciale, in caso di malfunzionamento dell’apparato” (verbale cit., p. 3);
nel corso dell’attività di accertamento i verbalizzanti hanno verificato che “il dispositivo è funzionante e connesso in rete […]. Accedendo con le credenziali di Admin, così come riportate nel manuale di utilizzo e non modificate nell’installazione, sono stati esportati i dati relativi alle timbrature e all’anagrafica degli utenti ed è stato effettuato il back up del db interno” (verbale cit., p. 3);
è stato altresì effettuato l’accesso all’applicativo JuniorWeb, “tramite cui vengono gestite le presenze dei dipendenti, così come registrate tramite il dispositivo di riconoscimento facciale. Sono stati effettuati gli export delle anagrafiche, comprendenti anche i dipendenti licenziati, ed è stato verificato che il sistema riporta l’indicazione di 3 ulteriori società (DMT, IGNEVO, UNICA srl) e di 17 ulteriori centri di costo” (verbale cit., p. 3);
“le società che gestiscono il sistema sono le tre indicate in precedenza, facenti parte dell’ATI e […] il sistema è stato installato da Igiene Urbana Evolution” (verbale cit., p. 4).
Il 16 febbraio 2023, nel corso degli accertamenti ispettivi effettuati presso la sede legale di Airone società consortile a r.l., la predetta società ha dichiarato che:
la Società “è stata creata a marzo 2021 da Blu Work e Igiene Urbana Evolution […] per la gestione del cantiere di Ardea” (verbale ispettivo 16/2/2023, p. 2-3);
considerato che l’amministratore unico della Società ha rappresentato di essere amministratore anche di Blu Work, “gli elementi forniti […] con riguardo ad Airone valgono anche per quanto riguarda Blu Work” (verbale cit., p. 3);
allo stato “Blu Work utilizza 13 unità di personale presso il sito di Ardea e 4 unità di personale impiegato in altre funzioni” (verbale cit., p. 3);
“Igiene Urbana Evolution […] ha provveduto a predisporre il sistema e ad avviare i trattamenti necessari alla gestione del personale, in via esclusiva. Tramite i sistemi installati e la collaborazione con la società Unica, viene quindi predisposto il foglio presenze per tutti i dipendenti delle società operanti nel cantiere, riportante gli orari del personale, da cui vengono calcolate le corresponsioni, anche per quanto riguarda i lavoratori di Airone e Blu Work” (verbale cit., p. 3);
“Airone e Blu Work non si ritengono titolari […] del trattamento e [non sono] in grado di dire con precisione la data di attivazione del sistema e di descrivere le caratteristiche tecniche e il dettaglio del funzionamento” (verbale cit., p. 3);
le società Airone e Blu Work “operano solo sul sito di Ardea e non hanno installato in altri siti apparecchi di rilevazione biometrica” (verbale cit., p. 3);
“attualmente l’apparecchio di rilevazione biometrica non è in funzione […]. Pertanto la società unitamente a Blu Work ha provveduto di ripristinare la rilevazione presenze attraverso […] fogli firme” (verbale cit., p. 4);
gli aspetti relativi alla installazione dei dispositivi, alla designazione di responsabili del trattamento, alla predisposizione di una valutazione di impatto ai sensi dell’art. 35 del Regolamento “sono stati curati da Igiene Urbana Evolution” (verbale cit., p. 4);
con riguardo all’informativa da rendere agli interessati ai sensi dell’art. 13 del Regolamento questa è stata resa in forma orale, posto che entrambe le Società non hanno fornito l’informativa per iscritto relativamente al trattamento dei dati biometrici (verbale cit., p. 4);
la designazione di un responsabile della protezione dei dati “è in procinto di [essere] formalizza[ta]” (verbale cit., p. 4-5);
il registro dei trattamenti non è stato istituito (verbale cit., p. 5);
“la gestione delle paghe del personale è svolta, […] per i dipendenti della Blu Work [dallo studio associato Marzella e Puccianti]”; in relazione ai relativi trattamenti non è stata effettuata la designazione a responsabile del trattamento in capo allo studio associato Marzella e Puccianti (verbale cit., p. 5).
In data 26 gennaio 2023, nel corso dell’accertamento ispettivo effettuato presso la sede amministrativa di L’igiene Urbana Evolution s.r.l., quest’ultima ha dichiarato che:
il sistema biometrico è stato attivato “nel dicembre 2021 (prima timbratura il 27 dicembre 2021” (verbale cit., p. 3);
“all’interno del sito sono presenti altri dipendenti della Blu Work e della Airone” (verbale cit., p. 3);
“la società ha formalizzato nel mese di marzo 2021, con la società Unica srls, l’acquisto dei dispositivi di rilevazione delle presenze, i quali sono stati materialmente installati dalla DM Technology srl in virtù di un pregresso contratto di servizio e di manutenzione” (verbale cit., p. 4).
Il 27 gennaio 2023, sono proseguite le attività ispettive presso la sede amministrativa di L’Igiene Urbana Evolution s.r.l. In tale occasione quest’ultima ha ulteriormente dichiarato che:
“gli apparati sono installati al fine di effettuare la rilevazione delle presenze tramite confronto uno a molti dell’impronta biometrica del volto dei dipendenti e […] Unica srls ha fornito il manuale di utilizzo degli stessi. Successivamente il tecnico di DM Technology effettuava la formazione sull’utilizzo del dispositivo al capocantiere” (verbale ispettivo 27/1/2023, p. 2);
nel corso dell’accesso al sistema Junior Web, con profilo Admin è “stato visualizzato il prospetto di timbrature del mese di dicembre 2022, comprendente i dipendenti di diversi siti (indicati come CDC, centri di costo). […] di tutti i centri di costo visualizzati solo 10 fanno riferimento alla società. I restanti CDC fanno riferimento ad altre società, per le quali la DM Technology fornisce assistenza sui dispositivi di rilevazione biometrica” (verbale cit., p. 3);
“i dati biometrici degli interessati risiedono esclusivamente nel dispositivo e non sono accessibili da remoto, né in locale, se non per la cancellazione, che può essere effettuata solo direttamente sul dispositivo” (verbale cit., p. 3);
“probabilmente su molti dispositivi installati è stata mantenuta la password di default, presente sul dispositivo posto ad Ardea. Per tale tipo di credenziale non è prevista la scadenza della validità, cosa che è invece prevista per gli account Junior Web” (verbale cit., p. 3);
“il dispositivo è dotato di uno speciale algoritmo “Bionano” per criptare i dati biometrici in modo non reversibile” (verbale cit., p. 4).
In data 30 maggio 2023, sono stati effettuati accertamenti ispettivi anche presso Unica s.r.l.s. e DM Technology s.r.l..
3. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e le deduzioni della Società.
Il 13 settembre 2023, l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione a Blue Work s.r.l. delle presunte violazioni del Regolamento riscontrate, con riferimento agli artt. 5, par. 1, lett. a), 9, 13, 28, 30, 32 e 35 del Regolamento.
La Società non ha fatto pervenire scritti difensivi.
4. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.
4.1 Esito dell’istruttoria. Violazione dell’art. 5, par. 1, lett. a) e 9 del Regolamento in relazione ai trattamenti di dati dei propri dipendenti.
All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, risulta che Blue Work s.r.l. (di seguito, la Società), in qualità di titolare, ha effettuato alcune operazioni di trattamento, riferite ai propri dipendenti, che risultano non conformi alla disciplina in materia di protezione dei dati personali.
In proposito si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.
Nel merito, all’esito dell’attività istruttoria, è stato accertato che la Società ha utilizzato un sistema biometrico, basato sul riconoscimento facciale, finalizzato alla rilevazione della presenza in servizio dei dipendenti, a partire dal mese di dicembre 2021 (data in cui è stato attivato il sistema, secondo quanto dichiarato da L’Igiene Urbana Evolution s.r.l., senza tuttavia aver specificato il periodo nel corso del quale è stata effettuata la registrazione dei dipendenti nel sistema stesso, con conseguente trattamento di dati) fino al mese di gennaio 2023, data in cui il sistema è stato disattivato a seguito dell’avvio dell’attività di accertamento da parte dell’Autorità.
La Società, diversamente da quanto dichiarato, risulta aver effettuato trattamenti di dati dei propri dipendenti in qualità di titolare posto che ha fornito l’elenco dei lavoratori per effettuare la rilevazione delle presenze di questi ultimi presso il cantiere di Ardea e ha avuto accesso al data base Junior Web per il controllo presenze mediante la rilevazione biometrica.
Ciò tenuto conto della definizione di titolare del trattamento nel sistema di protezione dei dati personali (art. 4, n. 7) del Regolamento: “la persona […] giuridica […] che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”).
Il trattamento ha riguardato i 13 dipendenti che operano presso il cantiere di Ardea (v. verbale 16/2/2023, p. 3 e All. 3).
La Società, in proposito, non ha chiarito le specifiche ragioni per le quali è stato adottato un sistema basato su una tecnologia biometrica per la rilevazione delle presenze dei dipendenti.
Preliminarmente, si osserva che, come chiarito dall’Autorità, vi è trattamento di dati biometrici sia nella fase di registrazione (c.d. enrolment), consistente nella acquisizione delle caratteristiche biometriche dell’interessato (caratteristiche del volto, nel caso di specie; v. punti 6.1 e 6.2 dell’allegato A al provvedimento del Garante del 12 novembre 2014, n. 513, in www.garanteprivacy.it, doc. web n. 3556992), sia nella fase di riconoscimento biometrico, all’atto della rilevazione delle presenze (v. anche punto 6.3 dell’allegato A al citato provvedimento).
Pertanto anche in caso di estrazione del c.d. template vi è trattamento di dati biometrici, con conseguente applicazione della specifica disciplina prevista dall’ordinamento.
In proposito, in base alla normativa posta in materia di protezione dei dati personali, il trattamento di dati biometrici (di regola vietato ai sensi dell’art. 9, par. 1 del Regolamento) è consentito esclusivamente qualora ricorra una delle condizioni indicate dall’art. 9, par. 2 del Regolamento e, con riguardo ai trattamenti effettuati in ambito lavorativo, solo quando il trattamento sia “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. b), del Regolamento; v. anche: art. 88, par. 1 e cons. 51-53 del Regolamento).
Il datore di lavoro, inoltre, è tenuto ad applicare i principi generali del trattamento, in particolare quelli di liceità, correttezza e trasparenza, minimizzazione, integrità e riservatezza dei dati (art. 5, par. 1, lett. a), c) e f) del Regolamento).
In applicazione di tali disposizioni, sebbene nel contesto lavorativo le finalità di rilevazione delle presenze dei dipendenti e di verifica dell’osservanza dell’orario di lavoro possano rientrare nell’ambito di applicazione dell’art. 9, par. 2, lett. b) del Regolamento, tuttavia il trattamento dei dati biometrici è consentito solo “nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri […] in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. b), e cons. nn. 51-53 del Regolamento). Tenuto anche conto di quanto previsto dall’art. 2-septies del Codice (Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute), in base al quale i predetti trattamenti possono essere effettuati conformemente alle misure di garanzia disposte dal Garante (ai sensi dell’art. 9, par. 4, del Regolamento), allo stato l’ordinamento vigente non consente il trattamento di dati biometrici dei dipendenti per finalità di rilevazione della presenza in servizio. Ciò è stato ribadito dal Garante con i provvedimenti n. 369 del 10 novembre 2022 (doc. web n. 9832838) e n. 16 del 14 gennaio 2021 (doc. web n. 9542071).
L’utilizzo del dato biometrico nel contesto dell’ordinaria gestione del rapporto di lavoro (quale è l’attività di rilevazione delle presenze), non è conforme ai principi di minimizzazione e proporzionalità del trattamento (art. 5, par. 1, lett. c) del Regolamento).
La Società, al fine di poter contabilizzare le effettive ore di lavoro prestate e di accertare la presenza dei lavoratori sul luogo di lavoro, avrebbe potuto adottate misure utili allo scopo ma meno invasive per i diritti degli interessati (es. controlli automatici mediante badge, verifiche dirette, etc.).
La valutazione di proporzionalità del trattamento di dati biometrici consistenti nel riconoscimento facciale avrebbe dovuto tener conto, inoltre, dei rischi per i diritti e le libertà degli interessati connessi all’uso di tale particolare tecnologia biometrica così come è stato riconosciuto sia dall’ordinamento nazionale che in ambito europeo (v. d.l. 10/5/2023, n. 51, conv. in l. 3/7/2023, n. 87, che con l’art. 8-ter ha prorogato al 31 dicembre 2025 la sospensione dell’installazione e utilizzazione di impianti di videosorveglianza con sistemi di riconoscimento facciale “in luoghi pubblici o aperti al pubblico, da parte delle autorità pubbliche o di soggetti privati”, ciò al fine di “disciplinare conformemente i requisiti di ammissibilità, le condizioni e le garanzie relativi all'impiego di sistemi di riconoscimento facciale nel rispetto del principio di proporzionalità previsto dall'articolo 52 della Carta dei diritti fondamentali dell'Unione europea”; si veda inoltre: European data Protection Board, Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement, adottate il 26/7/2023, spec. punti 17, 34 e 35 sui rischi del riconoscimento facciale; Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video, adottate il 29 gennaio 2020, spec. punti 4 e 73; si veda altresì il Provv. del 10 febbraio 2022, n. 50, doc. web n. 9751362, adottato, seppure in un diverso contesto, in materia di riconoscimento facciale).
In base ai suesposti motivi il trattamento di dati biometrici dei propri dipendenti effettuato dalla Società risulta pertanto essere stato effettuato in assenza di un’idonea base giuridica, in violazione degli artt. 5, par. 1, lett. a) e 9 del Regolamento.
4.2 Violazione degli artt. 5, par. 1, lett. a) e 9 del Regolamento in relazione ai trattamenti di dati di dipendenti di altre società.
All’esito dell’accesso al sistema e dell’esame della documentazione acquisita in atti, è altresì emerso che l’elenco dei dipendenti da sottoporre a verifica della presenza tramite il sistema di rilevazione biometrica è unico per le tre società che operano presso il cantiere di Ardea (oltre alla Società, anche l’Igiene Urbana Evolution s.r.l. e Airone società consortile a r.l.), le quali hanno fornito l’elenco dei rispettivi dipendenti da sottoporre a verifica.
Infatti, sia il foglio firma cartaceo che il giornale presenze estratto dall’applicativo Junior Web che i dati esportati dal dispositivo Anviz acquisiti in atti presentano un elenco condiviso tra le tre società dove a fianco di ciascun nominativo è indicata la società di appartenenza (v. verbale ispettivo 19/1/2023, All. 1 [Giornale Presenze Gennaio 2023-report generato da Junior Web e fogli firma del 19/1/2023], 2 [tabelle con esportazione dati estratti dal dispositivo] e 3 [screenshot accesso a dati contenuti nel dispositivo]).
Dalla documentazione acquisita nel corso dell’ispezione, è altresì emerso che i trattamenti complessivamente effettuati dal sistema hanno riguardato anche i dipendenti di Unica s.r.l.s. e DM Technology s.r.l. (v. verbale ispettivo 27.1.2023, All. 6, “Table export totali dipendenti”, contenente l’elenco delle timbrature effettuate al 27/1/2023 relativo ai dipendenti di L’Igiene Urbana Evolution s.r.l., Airone società consortile a r.l., Blue Work s.r.l., Unica s.r.l.s. e DM technology).
Pertanto, la Società ha trattato anche i dati relativi alla presenza in servizio dei dipendenti di L’Igiene Urbana Evolution s.r.l., Airone società consortile a r.l., Unica s.r.l.s. e DM Technology s.r.l., tratti dal sistema biometrico di rilevazione delle presenze, parimenti in assenza di alcuna base giuridica applicabile tra quelle previste dall’art. 9, paragrafo 2 del Regolamento.
I descritti trattamenti sono pertanto avvenuti in violazione degli artt. 5, par. 1, lett. a) e 9 del Regolamento.
4.3 Violazione degli artt. 5, par. 1, lett. a) e 13 del Regolamento.
Il Garante ha più volte ribadito che datore di lavoro, in applicazione del principio di trasparenza, ha l’obbligo di indicare ai propri dipendenti e collaboratori, in ogni caso, quali siano le caratteristiche essenziali dei trattamenti di dati effettuati in occasione del rapporto di lavoro nonché degli strumenti attraverso i quali i trattamenti sono effettuati conformemente a quanto specificamente indicato dall’art. 13 del Regolamento.
Ciò anche considerando che, nell’ambito del rapporto di lavoro, l’obbligo di informare il dipendente è altresì espressione del dovere di correttezza (art. 5, par. 1, lett. a) del Regolamento).
Nel caso di specie è invece emerso che la Società ha omesso di fornire alcuna informativa sulle caratteristiche del trattamento di dati biometrici mediante riconoscimento facciale (v. verbale 16/2/2023, p. 4, dove la Società ha dichiarato di aver fornito una informativa in forma orale).
La Società non ha infatti fornito alcuna evidenza del rilascio dell’informativa agli interessati, tenuto conto che in base all’art. 12, par. 1 del Regolamento “le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall'interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l'identità dell'interessato”.
Ciò ha comportato la violazione degli artt. 5, par. 1, lett. a) e 13 del Regolamento.
4.4 Violazione dell’art. 28 del Regolamento.
In base a quanto stabilito dal Regolamento, il titolare del trattamento, nell’ambito della predisposizione delle misure tecniche e organizzative che gli competono, anche sotto il profilo della sicurezza (artt. 24 e 32 del Regolamento), può avvalersi di un responsabile per lo svolgimento di alcune attività di trattamento, cui impartisce specifiche istruzioni (cfr. cons. 81 del Regolamento).
In tal caso il titolare “ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto [le predette misure] adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti degli interessati” (art. 28, par. 1, del Regolamento).
Ai sensi del richiamato art. 28 del Regolamento il titolare può affidare un trattamento anche a soggetti esterni, disciplinandone però adeguatamente il rapporto con un contratto (o un altro atto giuridico) e impartendo le istruzioni in merito alle caratteristiche principali del trattamento. Il responsabile del trattamento è, pertanto, legittimato a trattare i dati degli interessati “soltanto su istruzione documentata del titolare” (art. 28, par. 3, lett. a), del Regolamento) ed entro gli specifici limiti definiti dal titolare del trattamento.
La Società, pur avvalendosi dei servizi forniti da studio associato Marzella e Puccianti per la gestione delle buste paga dei dipendenti (v. verbale ispettivo 16/2/2023, p. 5) e di DM Technology s.r.l. relativamente alla gestione dell’applicativo Junior Web, effettuati con modalità che consentivano l’accesso ai dati dei dipendenti relativi alla rilevazione delle presenze e il relativo trattamento (v. verbale ispettivo del 30/5/2023 presso DM Technology s.r.l., p. 3), non ha provveduto a designare i predetti soggetti quali responsabili del trattamento, come invece previsto dall’art. 28 del Regolamento (v. verbale 16/2/2023, p. 5).
Per i suesposti motivi la Società ha violato l’art. 28 del Regolamento.
4.5 Violazione dell’art. 35 del Regolamento.
In base all’art. 35 del Regolamento, in relazione a trattamenti che prevedono “l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, [tali da] presentare un rischio elevato per i diritti e le libertà delle persone fisiche”, il titolare è tenuto ad effettuare una valutazione dell'impatto sulla protezione dei dati personali prima dell’inizio dei trattamenti previsti.
In proposito le Linee guida WP 248rev.01 del 4.4.2017 (“Linee guida in materia di valutazione d'impatto sulla protezione dei dati e determinazione della possibilità che il trattamento "possa presentare un rischio elevato" ai fini del regolamento (UE) 2016/679”) individuano, tra i criteri in presenza dei quali il titolare del trattamento è tenuto ad effettuare una valutazione di impatto, rilevanti nel caso di specie, il trattamento di “dati sensibili”, tra i quali sono compresi i dati biometrici (v. cap. III, B, n. 4), il trattamento effettuato nei confronti di interessati “vulnerabili” (ad es. in quanto parti di un rapporto di lavoro; v. cap. III, B, n. 7) nonché i trattamenti che realizzano un “uso innovativo o [l’]applicazione di nuove soluzioni tecnologiche od organizzative” (v. cap. III, B, n. 8).
Ulteriori indicazioni sono state fornite in proposito con il provvedimento del Garante dell’11 ottobre 2018, n. 467 (“Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d'impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679”, in G.U., S. G. n. 269 del 19.11.2018, spec. n 6 e 7), sebbene riferito a trattamenti transfrontalieri.
Pur avendo adottato un sistema di autenticazione biometrica per finalità di rilevazione delle presenze dei propri dipendenti, la Società non ha provveduto ad effettuare una valutazione di impatto prima dell’inizio dei trattamenti stessi, in violazione pertanto, nei termini su esposti, dell’art. 35, par. 1 del Regolamento.
4.6 Violazione degli artt. 30 e 32 del Regolamento.
In base a quanto stabilito dall’art. 30 del Regolamento, all’interno del registro delle attività di trattamento svolte dal titolare quest’ultimo, sotto la propria responsabilità, è tenuto a indicare le categorie di dati personali oggetto di trattamento (art. 30, par. 1, lett. c) del Regolamento).
Come chiarito dall’Autorità il registro costituisce uno dei principali elementi di accountability del titolare, in quanto strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio e dunque preliminare rispetto a tali attività.
Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante (si vedano in proposito le FAQ sul registro delle attività di trattamento, messe a disposizione dal Garante sul proprio sito istituzionale nell’ottobre 2018, doc. web n. 9047529).
Nel caso concreto è altresì emerso, invece, che la Società non ha predisposto il registro delle operazioni di trattamento e dunque non ha ivi registrato il trattamento dei dati biometrici (v. verbale 16/2/2023, p. 5).
Ciò risulta in violazione di quanto stabilito dall’art. 30 del Regolamento.
In occasione dell’accesso effettuato nel corso dell’attività ispettiva al terminale Anviz utilizzato per la timbratura previo riconoscimento facciale è emerso che le credenziali di autenticazione con profilo Admin erano le stesse riportate nel manuale di utilizzo (userID, cosiddetto default ID, “0”, password “12345”) e non erano mai state modificate nel corso dell’utilizzo del sistema, dunque a partire da dicembre 2021.
Ciò ha reso possibile l’accesso alle informazioni memorizzate nel terminale sulla base della semplice consultazione del manuale di utilizzo del dispositivo, agevolmente reperibile anche in internet, e comunque in base alla digitazione dei primi cinque numeri cardinali posti in ordine crescente (v. All. 2, verbale ispettivo 19/1/2023, contenente la documentazione fotografica degli accessi effettuati, spec. IMG_20230119_103040943.jpg).
Tale condotta non è conforme a quanto previsto dall’art. 32 del Regolamento, in base al quale il titolare del trattamento è tenuto ad approntare “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”, assicurando “su base permanente la riservatezza” dei dati personali trattati, alla luce “dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”.
La Società ha pertanto violato anche l’art. 32 del Regolamento.
5. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.
Per i suesposti motivi l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Il trattamento dei dati personali effettuato dalla Società e segnatamente il trattamento di dati biometrici (riconoscimento facciale) riferiti ai propri dipendenti per finalità di rilevazione delle presenze, risulta infatti illecito, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a), 9, 13, 28, 30, 32 e 35 del Regolamento.
La violazione accertata nei termini di cui in motivazione non può essere considerata “minore”, tenuto conto della natura della violazione che ha riguardato i principi generali e le condizioni di liceità del trattamento di dati particolari nonché della gravità della violazione stessa, del grado di responsabilità e della maniera in cui l'autorità di controllo ha preso conoscenza della violazione (v. Considerando 148 del Regolamento).
L’Autorità prende atto che, secondo quanto dichiarato sotto propria responsabilità, la Società ha provveduto a sospendere le operazioni di trattamento dei dati biometrici dopo l’avvio dell’attività ispettiva (v. verbale ispettivo 16/2/2023).
Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento, si ordina di cancellare i dati biometrici raccolti (art. 58, par. 2, lett. g) del Regolamento) e si dispone una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) del Regolamento).
6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).
All’esito del procedimento risulta che Blue Work s.r.l. ha violato gli artt. 5, par. 1, lett. a), 9, 13, 28, 30, 32 e 35 del Regolamento. Per la violazione delle predette disposizioni è prevista l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 4, lett. a) e par. 5, lett. a) e b) del Regolamento, mediante adozione di un’ordinanza ingiunzione (art. 18, l. 24/11/1981, n. 689).
Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.
Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni singolo caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:
a) in relazione alla natura, gravità e durata della violazione, è stata considerata, a sfavore della Società, la natura della violazione che ha riguardato i principi generali e le condizioni di liceità del trattamento e il trattamento di dati particolari biometrici utilizzando la tecnologia del riconoscimento facciale;
b) è stata altresì considerata, a sfavore della Società, la durata della violazione che si è protratta per più di un anno;
c) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare, è stata presa in considerazione la condotta della Società e il grado di responsabilità della stessa che non si è conformata alla disciplina in materia di protezione dei dati relativamente a una pluralità di disposizioni;
d) a favore della Società, si è tenuto conto della cooperazione con l’Autorità di controllo e della decisione di sospendere le attività di trattamento dopo l’inizio delle attività ispettive.
Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla Società con riferimento al bilancio abbreviato d’esercizio per l’anno 2022. Da ultimo si tiene conto dell’entità delle sanzioni irrogate in casi analoghi.
Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Blue Work s.r.l. la sanzione amministrativa del pagamento di una somma pari ad euro 6.000 (seimila).
In tale quadro si ritiene, altresì, in considerazione della tipologia delle violazioni accertate che hanno riguardato i principi generali e le condizioni di liceità del trattamento, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante.
Si ritiene, altresì, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.
TUTTO CIÒ PREMESSO, IL GARANTE
rileva l’illiceità del trattamento effettuato da Blue Work s.r.l., in persona del legale rappresentante, con sede legale in Via Giustiniano, 30 Latina (LT), C.F. 02678320595, ai sensi dell’art. 143 del Codice, per la violazione degli artt. 5, par. 1, lett. a), 9, 13, 28, 30, 32 e 35 del Regolamento;
ORDINA
ai sensi dell’art. 58, par. 2, lett. g) del Regolamento a Blue Work s.r.l., di cancellare i dati biometrici raccolti;
ORDINA
ai sensi dell’art. 58, par. 2, lett. i) del Regolamento a Blue Work s.r.l., di pagare la somma di euro 6.000 (seimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;
INGIUNGE
quindi alla medesima Società di pagare la predetta somma di 6.000 (seimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);
DISPONE
la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/20129, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.
Richiede a Blue Work s.r.l. di comunicare quali iniziative siano state intraprese al fine di cancellare i dati biometrici raccolti, e di fornire comunque riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice, entro il termine di 90 giorni dalla data di notifica del presente provvedimento; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 5, lett. e) del Regolamento.
Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.
Roma, 22 febbraio 2024
IL PRESIDENTE
Stanzione
IL RELATORE
Cerrina Feroni
IL SEGRETARIO GENERALE
Mattei
