Garante per la protezione
    dei dati personali


Ordinanza di ingiunzione nei confrontidi a Bagno sport 70 s.a.s.

PROVVEDIMENTO DEL 17 GENNAIO 2103

Registro dei provvedimenti
n. 17 del 17 gennaio 2013

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, alla presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia,segretario generale;

RILEVATOche la Tenenza della Guardia di finanza di Cesenatico, in esecuzione dellarichiesta di informazioni ai sensi dell'art. 157 del Codice in materia diprotezione dei dati personali (di seguito denominato "Codice") nr.14717 del 21 giugno 2010 formulata da questa Autorità, ha svolto un'attività dicontrollo nei confronti di Bagno sport 70 s.a.s. di Sanulli & C., con sedein Cesenatico (Fc), spiaggia levante, via Piave n. 70, in persona del legalerappresentante pro tempore, e formalizzata nel verbale di operazioni compiuteredatto in data 23 luglio 2010 a fronte della quale, anche a seguito diulteriori comunicazioni intercorse con il Nucleo privacy della Guardia difinanza, è stato accertato che la società, tramite un sistema denominato"fingerpay", ha effettuato un trattamento di dati biometrici dialcuni dei propri clienti per consentire dei pagamenti, senza effettuare laprescritta notificazione al Garante ai sensi dell'art. 37, comma 1, lett. a),del Codice;

VISTOil verbale n. 1/2010 del 18 agosto 2010 con cui è stata contestata alla societàla violazione amministrativa prevista dall'art. 163 del Codice, applicando, aisensi dell'art. 164-bis, comma 1, del Codice, il limite minimo della sanzionein misura pari a due quinti, e informandola della facoltà di effettuare ilpagamento in misura ridotta ai sensi dell'art. 16 della legge n. 689/1981;

ESAMINATOil rapporto amministrativo predisposto dal Comando Tenenza della Guardia difinanza di Cesenatico ai sensi dell'art. 17 della legge 24 novembre 1981, n.689, relativo al predetto verbale di contestazione per violazioneamministrativa, dal quale non risulta essere stato effettuato il pagamento inmisura ridotta;

VISTOlo scritto difensivo inviato ai sensi dell'art. 18 della legge n. 689/1981, nelquale la società ha evidenziato che "Il sistema di autorizzazionebiometrico adottato dal sig. Sanulli nel proprio stabilimento () non consentedi risalire all'identità dell'interessato né di individuare in modocontinuativo l'ubicazione sul territorio", pertanto "() il fatto cheil sistema utilizzato dal sig. Sanulli () non consenta l'identificazione dellapersona lo esclude dall'ambito applicativo del Codice stesso", precisando,peraltro, che "() non devono essere notificati i trattamenti di datieffettuati al solo fine di fornire all'interessato beni, prestazioni o servizi,con l'ausilio di strumenti elettronici finalizzati alla gestione del relativorapporto e dei connessi adempimenti contabili o fiscali". Inoltre, harilevato la propria buona fede a fronte di "() un'annotazione diconformità al Codice della Privacy rilasciata dal produttore del software(Biometric solutions s.r.l.) nel quale la società venditrice del programmadichiarava la conformità del proprio prodotto a tutti i dettami previsti dasuddetto Codice", considerando altresì che "() gli stessi Ufficialidella Guardia di finanza di Cesenatico che hanno proceduto alla verifica, nonhanno rilevato violazioni al Codice della privacy";

VISTOil verbale di audizione delle parti del 19 marzo 2012 nel quale la società, nelribadire quanto argomentato negli scritti difensivi, ha chiesto l'applicazionedel minimo edittale con riduzione a 2/5 per effetto dell'art. 164-bis, comma 1del Codice;

RITENUTOche le argomentazioni addotte non risultano idonee ad escludere laresponsabilità della parte in ordine a quanto contestato. Diversamente daquanto ritenuto, il sistema utilizzato da Bagno sport 70 s.a.s., che conservaparte dell'impronta digitale dell'interessato e la trasforma in un codicealfanumerico tramite il c.d. enrollment, convertendola in un template, effettuaun trattamento di dati personali ai sensi dell'art. 4, comma 1, lett.b), delCodice. Ciì, in quanto il dato biometrico (in questo caso l'impronta digitale) èper sua natura "identificativo", posto che consente di riconoscere inmaniera univoca la persona dalla quale è stato generato. Di conseguenza,sussiste, ai sensi dell'art. 37, comma 1 lett. a), del Codice, l'obbligo dinotificazione al Garante. Sul punto, si evidenzia come il Provvedimento delGarante del 23 novembre 2006 [doc. web n. 1364099], Linee-guida per iltrattamento di dati dei dipendenti privati, circa la nozione di dato biometricoafferma che "si tratta di dati ricavati dalle caratteristiche fisiche ocomportamentali della persona a seguito di un apposito procedimento (in parteautomatizzato) e poi risultanti in un modello di riferimento. Quest'ultimoconsiste in un insieme di valori numerici ricavati, attraverso funzionimatematiche, dalle caratteristiche individuali sopra indicate, preordinatiall'identificazione personale attraverso opportune operazioni di confronto trail codice numerico ricavato ad ogni accesso e quello originariamenteraccolto": da tale definizione emerge con evidenza come il trattamentoposto in essere da Bagno sport 70 s.a.s. rappresenti una tipica ipotesi ditrattamento di dato biometrico. Peraltro, si rileva l'inconferenza sia diquanto dedotto in ordine ai dati che indicano la posizione geografica, attesoche, nel caso di specie, nessuna osservazione è stata formulata in ordine aquella particolare tipologia di trattamento di dati personali, sia di quantoasserito circa i casi di presunta esenzione dall'obbligo di notificazione alGarante, posto che la specifica disciplina, prevista dal provvedimento del 31marzo 2004, nonché dai chiarimenti dell'Autorità del 23 aprile2004, non contempla i trattamenti menzionati. Riguardo aquanto dedotto circa la buona fede del trasgressore, si osserva che questa puìrilevare come causa di esclusione di responsabilità solo in presenza di unelemento positivo, estraneo all'autore dell'infrazione, idoneo ad ingenerare inlui la convinzione di liceità del suo agire, oltre alla condizione che da partedell'autore sia stato effettuato tutto il possibile per osservare la legge eche nessun rimprovero possa essergli mosso (Cass. civ. sez. lav., n. 16320 del12 luglio 2010). Nel caso di specie, tali requisiti non si ravvisano, attesoche il citato attestato di conformità redatto da Biometric solutions s.r.l.,afferisce alle caratteristiche del sistema fornito e non agli adempimenti inmateria di tutela dei dati personali che sono prerogativa del titolare deltrattamento. Sul punto, poi, si osserva come il trasgressore, all'atto dellasottoscrizione del citato attestato di conformità, dichiara di essere aconoscenza  "() di dover informare i propri clienti circa le modalitàe finalità del trattamento dei dati biometrici () impegnandosi in primapersona all'acquisizione del consenso", nella consapevolezza, quindi, ditrattare dati biometrici evidentemente sottoposti anche all'obbligo dinotificazione. Inoltre, si osserva come quanto dichiarato nel verbale dioperazioni compiute del 24 luglio 2010 dagli "()Ufficiali della Guardiadi finanza di Cesenatico che hanno proceduto alla verifica ()" nonqualifichi gli elementi costitutivi dell'errore scusabile di cui all'art. 3della legge n. 689/1981. In effetti, nel rispetto di quanto stabilito dall'art.13 della legge n. 689/1981, l'organo incaricato dell'attività di controllo purnon ritenendo di non rilevare violazioni al Codice, ha implementato l'attivitàistruttoria  attraverso comunicazioni intercorse con il Nucleo privacydella Guardia di finanza in data 12 agosto 2010, a fronte delle quali è statoaccertato l'illecito contestato, senza che tale approfondimento integri i requisitiper applicare la già richiamata disciplina dell'errore scusabile;

RILEVATO,quindi, che è stato effettuato un trattamento di dati biometrici senza averadempiuto all'obbligo di effettuare la notificazione del trattamento al Garanteai sensi degli artt. 37, comma 1, lett. a), e 38 del Codice;

VISTOl'art. 163 del Codice che punisce la violazione delle disposizioni di cui agliartt. 37 e 38 con la sanzione amministrativa del pagamento di una somma daventimila euro a centoventimila euro, il cui importo, già in sede dicontestazione, è stato diminuito, per effetto dell'art. 164-bis, comma 1, delCodice, a 2/5;

RITENUTOche, nel caso di specie, persistono i presupposti applicativi dell'art.164-bis,comma 1, del Codice;

CONSIDERATOche, ai fini della determinazione dell'ammontare della sanzione pecuniaria,occorre tenere conto, ai sensi dell'art. 11 della legge 24 novembre 1981 n.689, dell'opera svolta dall'agente per eliminare o attenuare le conseguenzedella violazione, della gravità della violazione, della personalità e dellecondizioni economiche del contravventore e che, pertanto, l'ammontare dellasanzione pecuniaria per la violazione degli artt. 37, lett. a), e 38 del Codicesanzionate dall'art. 163 viene determinato nella misura di euro 8.000,00(ottomila);

VISTAla documentazione in atti;

VISTAla legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTEle osservazioni dell'Ufficio, formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazionedel 28 giugno 2000;

RELATOREla dott.ssa Giovanna Bianchi Clerici.

ORDINA

aBagno sport 70 s.a.s. di Sanulli & C., con sede in Cesenatico (Fc),spiaggia levante, via Piave n. 70, di pagare la somma di euro 8.000,00(ottomila) a titolo di sanzione amministrativa pecuniaria per la violazioneprevista dall'art. 163 del Codice;

INGIUNGE

allamedesima società di pagare la somma di euro 8.000,00 (ottomila) secondo lemodalità indicate in allegato, entro 30 giorni dalla notificazione del presenteprovvedimento, pena l'adozione dei conseguenti atti esecutivi a norma dall'art.27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine digiorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale oin copia autentica, quietanza dell'avvenuto versamento.

Aisensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso ilpresente provvedimento puì essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trenta giornidalla data di comunicazione del provvedimento stesso, ovvero di sessanta giornise il ricorrente risiede all'estero.

Roma, 17 gennaio 2013

Il presidente
Soro

Il relatore
Bianchi Clerici

Il segretario generale
Busia