Garante per la protezione
    dei dati personali


Ordinanza diingiunzione nei confronti di Banca popolare Sant'Angelo S.C.P.A.

PROVVEDIMENTO DEL 9FEBBRAIO 2012

Registro dei provvedimenti
n. 53 del 9febbraio 2012

IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del prof. Francesco Pizzetti,presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. MauroPaissan e del dott. Giuseppe Fortunato, componenti e del dott. Daniele DePaoli, segretario generale;

ESAMINATI i rapporti amministrativi predisposti dal Nucleo privacydella Guardia di finanza ai sensi dell'art. 17 della legge 24 novembre 1981, n.689, relativi ai verbali di contestazione per violazione amministrativa redattiin data 18 dicembre 2009, 29 gennaio 2010 e 11 febbraio 2010 nei confrontidella Banca Popolare Sant'Angelo S.C.P.A., con sede in Licata (AG), CorsoVittorio Emanuele n. 10, in persona del legale rappresentante pro tempore, perla violazione degli articoli 13 e 37 del Codice in materia di protezione deidati personali (di seguito denominato "Codice");

CONSIDERATO che, a seguito di una segnalazione con cui si lamentaval'installazione di un sistema di rilevamento di dati biometrici associato adimmagini presso la filiale di Gela della suddetta Banca, sita in Via Bresmes n.1, il Nucleo privacy della Guardia di finanza effettuava gli accertamenti, inesecuzione delle richieste di informazioni formulate dall'Autorità ai sensidell'art. 157 del Codice prot. n. 22433/U del 14 ottobre 2009 e prot. n. 915/Udel 15 gennaio 2010, al fine di verificare il rispetto dei principi stabilitidal Garante nel provvedimento adottato il 27 ottobre 2005 in materia dirilevazione delle impronte digitali associato ad immagini per l'accesso adistituti di credito;

VISTI i verbali di operazioni compiute, redatti dal suddetto Nucleo indata 5 novembre 2009 e in data 27 e 29 gennaio 2010, con cui, a fronte deltrasferimento di sede della filiale di via Bresmes n. 1 formalizzato con ilverbale di operazioni compiute del 5 novembre 2009, è stato accertato che,presso la nuova sede dell'Agenzia n. 1 della Banca popolare Sant'Angelo, sitain Gela, Via Generale Cascino n. 30, erano presenti un sistema di rilevamentodi dati biometrici associato ad immagini e un sistema di videosorveglianza,composto di 11 telecamere poste sia all'interno che all'esterno della filiale.Dagli accertamenti, è emerso che, in entrambi i casi, pur essendo statepredisposte le informative di cui all'art. 13 del Codice, le stesse eranocollocate solo all'interno dei locali della filiale. A fronte del trattamentodei dati biometrici, è stato inoltre rilevato che non è stata effettuata lanotificazione di cui all'art. 37, comma 1, lett. a) del medesimo Codice;

VISTO il verbale n. 82 del 18 dicembre 2009, con cui sono statecontestate le violazioni amministrative previste dall'art. 161 con riferimentoall'omessa informativa rispetto al trattamento dei dati personali effettuatomediante il sistema di videosorveglianza, e dall'art. 161, in combinatodisposto con l'art. 164-bis, comma 3, con riferimento all'omessa informativarispetto al trattamento di dati biometrici;

VISTO il verbale n. 6/2010 del 29 gennaio 2010, con cui è statacontestata nuovamente la violazione amministrativa prevista dall'art. 161 delCodice relativamente all'omessa informativa rispetto al trattamento di datipersonali effettuato per mezzo del sistema di videosorveglianza;

VISTO, inoltre, il verbale n. 17/2010 del 16 febbraio 2010, con cui èstata contestata la violazione amministrativa prevista dall'art. 163 inrelazione all'omessa notificazione ai sensi degli artt. 37 e 38 del Codice;

RILEVATO dai predetti rapporti che non risultano essere statieffettuati i pagamenti in misura ridotta;

VISTI gli scritti difensivi inviati ai sensi dell'art. 18 della leggen. 689/1981 nei quali la parte ha dichiarato che:

- con riferimento al trattamento di dati personali effettuato permezzo del sistema di videosorveglianza, l'informativa posta all'interno dellaBanca, sebbene recante il riferimento alla legge n. 675/1996, riporta glistessi elementi previsti dall'art. 13 del Codice, cosicché "lacontestazione della Guardia di finanza appare motivata su un pianoesclusivamente formalistico", non potendosi, nel caso di specie,contestare il contenuto dell'informativa. Poiché la medesima violazione è stataaccertata due volte dal Nucleo (la prima il 5 novembre 2009 e la seconda il 29gennaio 2010), la parte ha invocato il principio del ne bis in idem,chiedendo che non venga irrogata nuovamente la sanzione amministrativa ex art.161 del Codice. Nel merito, la parte ha fatto inoltre presente che, all'attodel secondo accertamento del 29 gennaio 2010, risultavano affisse, all'esternodella Banca, quattro informative che si riferivano sia alla presenza del sistemadi videosorveglianza sia a quello di rilevamento di dati biometrici, poiché"entrambe le modalità di rilevazione sono espressamente indicate negliavvisi e rappresentate graficamente attraverso due distinte didascalie";

- con riferimento al trattamento di dati biometrici, posta la presenzadi un avviso all'interno della Banca, nella bacheca recante gli avvisi alpubblico, come accertato nel corso delle operazioni del 5 novembre 2009, dalverbale non "si evince in alcun modo che tale avviso non sia adeguatamentevisibile dall'esterno attraverso la porta a vetri". Tale avviso, tral'altro, reca tutti gli elementi previsti dall'art. 13 del Codice. Pertanto,secondo la parte, ciò che è stato contestato attiene all'assenza di ulteriorecartellonistica, poiché l'informativa all'esterno della filiale era stataregolarmente collocata, ma probabilmente era stata sottratta da terzisconosciuti; per quanto concerne, invece, la contestazione per omessanotificazione, la parte ha ritenuto di aver dato seguito correttamente a tuttele indicazioni del Garante procedendo, in primo luogo, alla presentazionedell'istanza di verifica preliminare, ai sensi dell'art. 17 del Codice e,conformemente alle indicazione del provvedimento del 27 ottobre 2005,comunicando la dismissione degli impianti, presso la sede poi chiusa, e laconseguente installazione degli stessi impianti presso la nuova sede. Pertanto,avendo ricevuto riscontro dall'Autorità in ordine alla corretta conclusionedella procedura, ha ritenuto di aver adempiuto ad ogni obbligo di legge;

LETTI i verbali di audizione, redatti in data 9 febbraio e 7 novembre2011 ai sensi dell'art. 18 della legge n. 689/1981, con cui la parte hasostanzialmente ribadito quanto affermato negli scritti difensivi;

RITENUTO che le argomentazioni addotte non risultano idonee adescludere la responsabilità della parte in ordine a quanto contestato. Conriferimento alle violazioni di cui all'art. 161 del Codice, si rileva che lecontestazioni hanno riguardato l'assenza, all'esterno della Banca, di idoneeinformative ai sensi dell'art. 13 del medesimo Codice. Si deve osservare che iprovvedimenti adottati dal Garante in materia di rilevazione di improntedigitali ed immagini del 27 ottobre 2005 [doc. web n. 1246675] e in materia di videosorveglianzadell'8 aprile 2010 [doc. web n. 1712680], forniscono indicazioni molto preciseal riguardo, prescrivendo che gli interessati debbano essere previamenteinformati della presenza di sistemi di videosorveglianza e di rilevamento didati biometrici, mediante l'affissione di un'informativa minima (prima delraggio d'azione della telecamera e comunque prima che i dati siano rilevati) dacui risultino chiaramente il titolare del trattamento e le finalità perseguite.In base a tale prescrizione, pertanto, non risulta sufficiente la merapredisposizione né l'esposizione di un'informativa esclusivamente all'internodei locali della filiale quando, come nel caso di specie, le telecamere sianocollocate anche all'esterno e l'acquisizione del dato biometrico avvenga primadi accedere all'interno della filiale. Con specifico riferimento al sistema divideosorveglianza, poi, si deve rilevare che l'omissione assume particolarerilievo in quanto, in assenza di informativa, le persone che entrano nel campod'azione delle telecamere esterne alla filiale non sono in grado di risalireall'effettivo titolare del trattamento. Non è, inoltre, pertinentel'argomentazione per la quale, in assenza di specifica indicazione dell'organoaccertatore, l'informativa sarebbe stata visibile anche dall'esterno. Infatti,la valutazione fatta dai pubblici ufficiali in sede di accertamento e riportatain atti appare pienamente documentata, né la parte ha fornito nel procedimentoosservazioni tecniche idonee a dimostrare il contrario. Occorre inoltrerilevare che, anche successivamente alla contestazione della violazioneavvenuta con il verbale n. 82 del 18 dicembre 2009, il titolare del trattamentonon collocava all'esterno della filiale alcuna informativa relativamente allavideosorveglianza, tanto che i militari della Guardia di finanza, incaricati diacquisire ulteriori informazioni, in data 29 gennaio 2010 procedevano ad unanuova contestazione (verbale n. 6/2010). In ordine a quanto osservato conriferimento a tale ultima contestazione, circa il fatto che alla data del 29gennaio 2010 risultavano affisse all'esterno dei locali della Banca n. 4informative che soddisferebbero l'obbligo di cui all'art. 13 in ordine aentrambi i trattamenti di dati personali (videosorveglianza e biometria), siosserva che:

- le predette informative sono quelle di cui allo schema semplificatoallegato al provvedimento del 27 ottobre 2005 e riguardano, pertanto, solo iltrattamento di rilevamento delle immagini associato alle impronte digitali (nonriguardano, invece, il distinto trattamento effettuato attraverso il sistema divideosorveglianza);

- diversamente da quanto ritenuto, le suddette informative nonrisultano idonee ad informare gli interessati rispetto al distinto trattamentoeffettuato attraverso il sistema di videosorveglianza. Ciò risulta peraltroconfermato anche da quanto dichiarato nel verbale del 29 gennaio 2010dall'ufficio tecnico della Banca Popolare Sant'Angelo e dall'allegato n. 10 alpredetto verbale, da cui si rileva che l'istituto bancario ha espressamenteprevisto l'apposizione dell'informativa minima sulla videosorveglianza nel casodi utilizzo di tali sistemi. Su questo aspetto, inoltre, la parte ha chiestoche non venga applicata la sanzione amministrativa in riferimentoall'accertamento della medesima violazione, in base al principio del ne bis inidem. Contrariamente a quanto sostenuto, tuttavia, nel caso di specie lacondotta illecita commessa dalla parte configura un'ipotesi di concorso formaledi illeciti, che soggiace alla disciplina dettata dall'art. 8 della legge n.689/1981, avendo la parte commesso con una omissione più violazioni dellastessa disposizione. Il protrarsi nel tempo della condotta omissiva (dal 5novembre 2009 al 29 gennaio 2010) ha infatti determinato la reiterataviolazione dei diritti di tutti gli interessati, le cui immagini sono stateriprese dal sistema di videosorveglianza. Con riferimento al trattamento didati biometrici, si precisa che l'argomentazione secondo cui il relativo avvisoposizionato all'esterno della filiale sarebbe stato rimosso da terzisconosciuti, non sostanzia i presupposti applicativi della disciplina dell'art.3 della legge n. 689/1981, poiché la parte non ha fornito alcun elemento chedimostri che l'errore non è derivato da sua colpa. Infine, la parte si è resaresponsabile anche della violazione dell'art. 37 del Codice, non avendo ottemperatoall'obbligo della notificazione del trattamento di dati biometrici. Infatti,come risulta dagli atti, la parte si è limitata a proporre l'istanza diverifica preliminare con ciò ritenendo di aver provveduto a tutti gliadempimenti di legge. In realtà, la procedura attinente alla notificazione è unadempimento che deve essere effettuato dal titolare del trattamento, aprescindere dalla richiesta di verifica preliminare, posto che il provvedimentosu citato fa salvo "l'obbligo di notificare al Garante il trattamentodei dati secondo le modalità previste (art. 37, comma 1, lett. a) delCodice)". Di questo adempimento la parte era ben consapevole, tantoche nella richiesta di verifica preliminare, ha compilato anche il campo in cuisi chiede il numero di iscrizione al registro dei trattamenti, inserendo quellodi iscrizione al registro delle imprese che non è tuttavia pertinente. Tral'altro, l'omessa notificazione del trattamento sostanzia un illecito omissivodi natura permanente, per il quale il momento della consumazione coincide conla cessazione della condotta (effettuazione della notificazione) ovvero con ilmomento in cui la violazione viene accertata. Tale condotta omissiva, peraltro,non risulta essere cessata, poiché, anche successivamente all'avvio delprocedimento sanzionatorio non è stata effettuata la notificazione secondo lemodalità previste dall'art. 38 del Codice;

RILEVATO, quindi, che è stato effettuato un trattamento di datipersonali mediante un sistema di videosorveglianza senza fornire agliinteressati un'idonea informativa ai sensi dell'art. 13 del Codice e che lapredetta violazione risulta accertata in data 5 novembre 2009 e 29 gennaio2010, determinandosi, per effetto della predetta omissione, più violazionidell'art. 13;

RILEVATO, inoltre, che è stato effettuato un trattamento di datibiometrici associato ad immagini senza rendere un'informativa idonea ai sensidell'art. 13 del Codice e senza effettuare la notificazione di cui all'art. 37,comma 1, lett. a);

VISTO l'art. 161 del Codice che punisce la violazione dell'art. 13 conla sanzione amministrativa del pagamento di una somma da seimila atrentaseimila euro;

VISTO l'art. 163 del Codice che punisce la violazione delledisposizioni di cui agli artt. 37 e 38 con la sanzione amministrativa delpagamento di una somma da ventimila euro a centoventimila euro;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni eintegrazioni;

CONSIDERATO che, ai fini della determinazione dell'ammontare dellasanzione pecuniaria, occorre tenere conto, ai sensi dell'art. 11 della legge 24novembre 1981 n. 689, dell'opera svolta dall'agente per eliminare o attenuarele conseguenze della violazione, della gravità della violazione, dellapersonalità e delle condizioni economiche del contravventore;

RITENUTO che, nel caso in cui l'infrazione non abbia caratterizzazionispecifiche che possano portare a valutazioni di maggiore o minor rigore, nelladeterminazione della sanzione può ritenersi corretta l'individuazione di unimporto pari al terzo del massimo o, se più favorevole, al doppio del minimo,in linea con quanto previsto dall'art. 16 della L. n. 689/1981, ferma restandola valutazione degli ulteriori elementi previsti dall'art. 11 della medesimalegge [cfr. Cass. civ., sez. I, 4 novembre 1998, n. 11054];

CONSIDERATO che, nel caso in esame:

a) in ordine all'aspetto della gravità, le violazioni oggetto delprocedimento sanzionatorio assumono una connotazione particolarmente rilevantese valutate in relazione agli elementi dell'entità del pregiudizio o delpericolo e delle modalità concrete della condotta in quanto il trattamento deidati biometrici è stato effettuato in assenza degli adempimenti di cui agliartt. 37 e 38 del Codice e, con riferimento alla filiale di Gela, anche in assenzadell'informativa prevista dall'art. 13 del Codice; rileva, inoltre, nel caso dispecie l'intensità dell'elemento soggettivo, in relazione alla presenza pressoil titolare del trattamento di specifiche figure professionali dedicate agliadempimenti in materia di protezione dei dati personali;

b) ai fini della valutazione dell'opera svolta dall'agente, deveessere valutata negativamente la circostanza che la Banca, anchesuccessivamente alla contestazione della violazione, non ha effettuato lanotificazione del trattamento di dati biometrici, né ha fornito alcunriscontro, nell'ambito del procedimento, in relazione all'apposizione diun'informativa per il sistema di videosorveglianza;

c) circa la personalità dell'autore della violazione, deve esserepositivamente considerata la circostanza che l'ente non risulti avereprecedenti specifici in termini di violazioni alle disposizioni del Codice;

d) circa le condizioni economiche dell'agente, al fine dicommisurare l'importo della sanzione alla reale capacità economica deltrasgressore nel rispetto del principio di uguaglianza, si rileva che la parteha conseguito un consistente utile nell'anno 2010;

RITENUTO di dover determinare, ai sensi dell'art. 11 della L. n.689/1981, l'ammontare della sanzione pecuniaria nella misura di euro 20.000,00(ventimila) per la violazione di cui all'art. 161 (in relazione al sistema divideosorveglianza), nella misura di euro 20.000,00 (ventimila) per laviolazione dell'art. 161 (in relazione al trattamento di dati biometrici),nella misura di euro 40.000,00 (quarantamila) per la violazione dell'art. 163;

RITENUTO, inoltre, che, con riferimento alla violazione per omessainformativa in relazione al sistema di videosorveglianza, ai sensi dell'art. 8,comma 1, della legge n. 689/1981, in considerazione del fatto che, attraversoun'unica condotta omissiva, sono state commesse più violazioni della stessadisposizione di legge, la sanzione deve essere nel caso di specie aumentatasino a euro 40.000,00 (quarantamila);

CONSIDERATO, quindi, che l'importo complessivo delle sanzioni è pari aeuro 100.000,00 (centomila);

VISTA la documentazione in atti;

VISTE le osservazioni dell'Ufficio, formulate dal segretario generaleai sensi dell'art. 15 del regolamento del Garante n. 1/2000, adottato condeliberazione del 28 giugno 2000;

RELATORE il dott. Giuseppe Fortunato;

ORDINA

alla Banca popolare Sant'Angelo S.C.P.A., con sede in Licata (AG),Corso Vittorio Emanuele n. 10, in persona del legale rappresentante protempore, per la violazione degli articoli 13 e 37 del Codice in materia diprotezione dei dati personali, di pagare la somma di euro 100.000,00(centomila) a titolo di sanzione amministrativa pecuniaria per le violazionipreviste dagli artt. 161 e 163 del Codice;

INGIUNGE

alla medesima Banca di pagare la somma di euro 100.000,00 (centomila)secondo le modalità indicate in allegato, entro 30 giorni dalla notificazionedel presente provvedimento, pena l'adozione dei conseguenti atti esecutivi anorma dall'art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che,entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questaAutorità, in originale o in copia autentica, quietanza dell'avvenutoversamento.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011,avverso il presente provvedimento può essere proposta opposizione all'autoritàgiudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogoove ha la residenza il titolare del trattamento dei dati, entro il termine ditrenta giorni dalla data di comunicazione del provvedimento stesso, ovvero disessanta giorni se il ricorrente risiede all'estero.

Roma, 9 febbraio 2012

Il presidente
Pizzetti

Il relatore
Fortunato

Il segretario generale reggente
De Paoli