Garante per la protezione
    dei dati personali


Ordinanza di ingiunzione nei confrontidi Dusty s.r.l.

PROVVEDIMENTO DEL 15 NOVEMBRE 2012

Registro dei provvedimenti
n. 345 del 15 novembre 2012

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, alla presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vicepresidente, e della prof.ssa Licia Califano,componente   e del dott. Giuseppe Busia, segretario generale;

CONSIDERATOche, a seguito della segnalazione del sindacato F.I.A.D.E.L. di Catania con cuià stata lamentata l'installazione da parte della Dusty S.r.l.(di seguito la"società"), P.I. 03386300879, con sede in Catania, zona industrialeIX strada n. 12, di un sistema di raccolta di dati biometrici per larilevazione delle presenze del personale dipendente della società, l'Ufficio haavviato un'istruttoria e, in data 15 febbraio 2010, ha formulato nei confrontidella società una richiesta di informazioni ai sensi dell'art. 157 del Codicein materia di protezione dei dati personali (di seguito denominato"Codice") prot. n. 3303/64374, delegando altresì il Nucleo specialeprivacy della Guardia di finanza ad effettuare accertamenti presso la societàal fine di verificare il rispetto della disciplina in materia di protezione deidati personali;

VISTOil verbale di operazioni compiute, redatto dal suddetto Nucleo in data 22aprile 2010, dal quale à emerso che il sistema di rilevamento del datobiometrico à utilizzato dalla Dusty s.r.l. "a far data circa dal mese dimarzo 2009", che il dato biometrico viene memorizzato nella smart card del dipendente e che la società non ha provveduto alla nomina di responsabili nédi incaricati del trattamento dei dati biometrici. La parte, inoltre,precisando di aver ricevuto l'adesione del personale dipendente al predettosistema di rilevazione delle presenze e di non aver ritenuto che attraverso ilrilevamento posto in essere fosse effettuato un trattamento di dati personali,ha dichiarato di non aver adempiuto all'obbligo di presentare al Garante unarichiesta di verifica preliminare ai sensi dell'art. 17 del Codice, di non averprovveduto alla notificazione di cui all'art. 37, di non aver predisposto unmodello specifico di informativa per il rilascio dei dati biometrici ai sensidell'art. 13 e di non aver richiesto il relativo consenso specifico altrattamento ai sensi dell'art. 23;

VISTOil verbale n. 40 del 14 maggio 2010, con cui sono state contestate alla societàle violazioni amministrative di cui:

-all'art. 162, comma 2-bis, non definibile in via breve ai sensi dell'art. 16della legge n. 689/198, con riferimento alla mancata nomina degli incaricatidel trattamento e alla conseguente violazione degli artt. 33 e seguenti delCodice e del disciplinare tecnico di cui allegato B) al Codice;

-all'art. 163, con riferimento all'inadempimento dell'obbligo di notificazionedel trattamento così come previsto dagli artt. 37, comma 1, lett. a), e 38 delCodice;

-all'art. 161, con riferimento al mancato rilascio di una specifica informativaai sensi dell'art. 13 del Codice;

-all'art. 162, comma 2-bis, con riferimento al mancato adempimento dell'obbligodi richiedere una verifica preliminare ai sensi dell'art. 17 del Codice e allamancata acquisizione del consenso specifico al trattamento da partedell'interessato ai sensi dell'art. 23 del Codice;

ESAMINATOil rapporto amministrativo predisposto dal Nucleo privacy della Guardia difinanza ai sensi dell'art. 17 della legge 24 novembre 1981, n. 689 dal qualenon risultano essere stati effettuati i pagamenti in misura ridotta oveprevisti;

CONSIDERATOche le prescrizioni impartite con il provvedimento del 23 luglio 2010 ai sensidell'art. 169, comma 2, del Codice non sono state adempiute;

VISTOil verbale dell'audizione delle parti tenutasi, ai sensi dell'art. 18 della leggen. 689/1981, in data 4 ottobre 2010 durante la quale la società ha riferito che"il sistema di rilevamento delle presenze sui luoghi di lavoro à statocostruito in modo che in nessun momento vi sia un trattamento del datopersonale del lavoratore", precisando che il dato biometrico "siriferisce alla geometria della mano e non ad impronta digitale o palmare () lageometria della mano non consente di per sé l'identificazione di una persona,ma à solo sufficiente alla verifica descrittiva ai fini dell'identità". Laparte ha anche affermato che non ritiene che nel caso di specie vi sia alcuntrattamento di dati biometrici dei lavoratori "poiché non vi àregistrazione o acquisizione di dati da parte della società". Per talimotivi la parte ha chiesto l'archiviazione del procedimento sanzionatorio;

RITENUTOche le argomentazioni addotte non risultano idonee ad escludere laresponsabilità della parte in ordine a quanto contestato. Si precisa che con ilprovvedimento del 23 novembre 2006 [doc. web n. 1364099], Linee-guida per iltrattamento di dati dei dipendenti privati, in merito alla nozione di datibiometrici l'Autorità ha chiarito (punto 4.1) che "si tratta di datiricavati dalle caratteristiche fisiche o comportamentali della persona aseguito di un apposito procedimento (in parte automatizzato) e poi risultantiin un modello di riferimento. Quest'ultimo consiste in un insieme di valorinumerici ricavati, attraverso funzioni matematiche, dalle caratteristicheindividuali sopra indicate, preordinati all'identificazione personaleattraverso opportune operazioni di confronto tra il codice numerico ricavato adogni accesso e quello originariamente raccolto": da tale definizioneemerge con evidenza come il trattamento posto in essere da Dusty s.r.l. rappresentiuna tipica ipotesi di trattamento di dato biometrico. Ciò, anche inconsiderazione dei numerosi provvedimenti dell'Autorità adottati a seguito dirichieste di verifica preliminare, ove il Garante, dopo aver osservato che"il caso sottoposto alla verifica preliminare di questa Autorità integraun'ipotesi di trattamento di dati personali di tipo biometrico. Tali dati,ricavati dalla conformazione della mano, sono riconducibili ai singoliinteressati e ad essi si applica la disciplina del Codice" (si veda, fra molti,il provvedimento dell'8 novembre 2007), ha prescritto al richiedente di adottare le misurepreviste dalla legge in tema di informativa, notificazione e misure minime disicurezza. Nel caso in esame, pertanto, posta la riconducibilità dellacaratteristica fisica della conformazione della mano al dato biometrico, Dustys.r.l. avrebbe dovuto conformarsi alle prescrizioni impartite dal Garante nelcitato provvedimento generale del 23 novembre 2006, il quale al punto 4 precisache "l'utilizzo di dati biometrici può essere giustificato solo in casiparticolari, tenuto conto delle finalità e del contesto in cui essi sonotrattati e, in relazione ai luoghi di lavoro, per presidiare accessi ad areesensibili, considerata la natura delle attività ivi svolte": nel caso dispecie, il trattamento posto in essere dalla società non si colloca fra quelliprevisti dal punto 4.1 e, pertanto, discostandosi dalle prescrizioni iviimpartite, la medesima società, così come prescritto nel punto 4.4 del medesimoprovvedimento, avrebbe dovuto presentare un apposito interpello al Garante aisensi dell'art. 17 del Codice. Con riferimento all'obbligo di notificazione aisensi degli artt. 37 e 38 del Codice, si evidenzia che l'omessa notificazionedel trattamento configura un illecito omissivo di natura permanente, per ilquale il momento della consumazione coincide con la cessazione della condotta(effettuazione della notificazione) ovvero con il momento in cui la violazioneviene accertata, e che tale condotta omissiva non risultava essere cessata alladata dell'accertamento della violazione contestata. Si rileva, inoltre, chenessuna osservazione risulta formulata in ordine alle ulteriori violazionicontestate nel verbale in argomento;

RILEVATO,quindi, che à stato effettuato un trattamento di dati biometrici:

- senzaaver reso un'informativa idonea agli interessati ai sensi dell'art. 13 delCodice;

- senzaaver adempiuto all'obbligo di presentare una richiesta di verifica preliminareai sensi dell'art. 17;

- incarenza del consenso specifico degli interessati ai sensi dell'art. 23 delCodice;

- senza aver adottato le misure di sicurezza di cui all'art. 33, nello specificoper non aver designato gli incaricati del trattamento dei dati biometrici;

- avendo omesso di effettuare la notificazione del trattamento al Garante aisensi degli artt. 37 e 38 del Codice;

VISTOl'art. 161 del Codice che punisce la violazione dell'art. 13 con la sanzioneamministrativa del pagamento di una somma da seimila a trentaseimila euro;

VISTOl'art. 162, comma 2-bis, del Codice che punisce la violazione delledisposizioni indicate nell'art. 167, tra le quali l'art. 17, con la sanzioneamministrativa del pagamento di una somma da diecimila a centoventimila euro;

VISTOl'art. 162, comma 2-bis, del Codice che punisce la violazione delledisposizioni indicate nell'art. 167, tra le quali l'art. 23, con la sanzioneamministrativa del pagamento di una somma da diecimila a centoventimila euro;

VISTOl'art. 162, comma 2-bis, del Codice che punisce la violazione dell'art. 33 conla sanzione amministrativa del pagamento di una somma da diecimila acentoventimila euro;

VISTOl'art. 163 del Codice che punisce la violazione delle disposizioni di cui agliartt. 37 e 38 con la sanzione amministrativa del pagamento di una somma daventimila euro a centoventimila euro;

CONSIDERATOche, ai fini della determinazione dell'ammontare della sanzione pecuniaria,occorre tenere conto, ai sensi dell'art. 11 della legge 24 novembre 1981 n.689, dell'opera svolta dall'agente per eliminare o attenuare le conseguenzedella violazione, della gravità della violazione, della personalità e dellecondizioni economiche del contravventore;

RITENUTOche, nel caso in cui l'infrazione non abbia caratterizzazioni specifiche chepossano portare a valutazioni di maggiore o minor rigore, nella determinazionedella sanzione può ritenersi corretta l'individuazione di un importo pari alterzo del massimo o, se più favorevole, al doppio del minimo, in linea conquanto previsto dall'art. 16 della L. n. 689/1981, ferma restando lavalutazione degli ulteriori elementi previsti dall'art. 11 della medesima legge[cfr. Cass. civ., sez. I, 4 novembre 1998, n. 11054];

RITENUTOdi dover determinare, ai sensi dell'art. 11 della L. n. 689/1981, l'ammontaredella sanzione pecuniaria nella misura di euro 66.000,00 (sessantaseimila) cosìcalcolata:

-8.000,00 (ottomila) per la violazione dell'art. 13 del Codice sanzionatadall'art. 161;

-12.000,00 (dodicimila) per la violazione dell'art. 17 del Codice sanzionatadall'art. 162, comma 2-bis;

-12.000,00 (dodicimila) per la violazione dell'art. 23 del Codice sanzionatadall'art. 162, comma 2-bis;

-12.000,00 (dodicimila) per la violazione dell'art. 33 del Codice sanzionatadall'art. 162, comma 2-bis;

- 22.000,00 (ventiduemila) per la violazione degli artt. 37, lett. a), e 38 delCodice sanzionate dall'art. 163;

VISTAla documentazione in atti;

VISTAla legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTEle osservazioni dell'Ufficio, formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazionedel 28 giugno 2000;

RELATOREla dott.ssa Augusta Iannini;

ORDINA

allaDusty s.r.l., con sede in Catania, zona industriale IX strada n. 12, P. I.03386300879, in persona del legale rappresentante pro tempore, per laviolazione degli articoli 13, 17, 23, 33, 37, lett. a) e 38, del Codice inmateria di protezione dei dati personali, di pagare la somma di euro 66.000,00(sessantaseimila) a titolo di sanzione amministrativa pecuniaria;

INGIUNGE

allamedesima società di pagare la somma di euro 66.000,00 (sessantaseimila) secondole modalità indicate in allegato, entro 30 giorni dalla notificazione delpresente provvedimento, pena l'adozione dei conseguenti atti esecutivi a normadall'art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro iltermine di giorni 10 (dieci) dal versamento, sia inviata a questa Autorità, inoriginale o in copia autentica, quietanza dell'avvenuto versamento.

Aisensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso ilpresente provvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 15 novembre 2012

Il presidente
Soro

Il relatore
Iannini

Il segretario generale
Busia