[doc. web n. 10063622]

Provvedimento dell'11 aprile 2024

Registro dei provvedimenti
n. 267 dell'11 aprile 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il Prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il verbale di ispezione redatto dalla Guardia di finanza – Gruppo Monza, in data 01/06/2023, presso l’esercente denominato BAR DEL PORTICO, sito in via Alcide De Gasperi 7, Caponago (MB), della società “BAR DEL PORTICO S.A.S.” di Selmo Fiammetta e Viscardi Ronnie, con cui è stata accertata la presenza di un impianto di videosorveglianza, attivo e funzionante, composto da due telecamere idonee a riprendere sia i clienti, sia il personale dipendente;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. L’accertamento della Guardia di finanza e l’avvio del procedimento.

Con nota pervenuta il 14/07/2023 e protocollata in data 17/07/2023, la Guardia di finanza – Nucleo speciale tutela privacy e frodi tecnologiche – ha trasmesso a questa Autorità il verbale del controllo effettuato, in data 01/06/2023, dal Gruppo della Guardia di finanza di Monza, presso l’esercente denominato BAR DEL PORTICO, sito in via Alcide De Gasperi 7, Caponago (MB), della società “BAR DEL PORTICO S.A.S.” (di seguito “Società”) di Selmo Fiammetta e Viscardi Ronnie, con sede legale presso il medesimo indirizzo.

Nel verbale risulta accertata, presso i suddetti locali, la presenza di un impianto di videosorveglianza, installato per finalità di sicurezza e tutela del patrimonio, costituito da 2 telecamere interne, regolarmente funzionanti, senza sistema di registrazione, ma che sarebbero idonee a riprendere sia i clienti, sia il personale dipendente.

Dal verbale risulta inoltre che le immagini delle telecamere sarebbero visionabili tramite applicativo dallo smartphone del titolare, che tali immagini consentono il riconoscimento delle persone, e che al momento dell’accertamento era presente un dipendente.

A fronte del trattamento dei dati personali realizzato per mezzo del suddetto impianto, è stato accertato che le telecamere sono state installate senza preventivamente provvedere agli adempimenti previsti ai sensi dell’art. 4 della L. 300/1970 (Statuto dei lavoratori) e con conseguente illiceità del trattamento dei dati del personale operante presso l’esercizio.

Sulla base degli accertamenti di cui al predetto verbale, si provvedeva a notificare alla Società, con nota del 13.10.2023 (protocollo. u. 140569/2023), l’avvio del procedimento per l’adozione dei provvedimenti di cui agli artt. 58, par. 2, e 83 del Regolamento (UE) 2016/679 (di seguito “Regolamento”), in conformità a quanto previsto dall’art. 166, comma 5, del d.lgs. n. 196 del 30 giugno 2003 (di seguito “Codice”), in relazione la violazione del principio di liceità del trattamento (art. 5, par. 1, lett. a) del Regolamento in relazione all’art. 114 del Codice) e dell’art. 88 del Regolamento quanto alla disciplina applicabile in materia.

Si rileva che, nel corso dell’istruttoria, la Società non ha presentato alcuno scritto difensivo in merito a quanto contestato.

2. Il quadro giuridico del trattamento effettuato.

L’utilizzo di sistemi di videosorveglianza può determinare, in relazione al posizionamento delle telecamere e alla qualità delle immagini riprese, un trattamento di dati personali. Tale trattamento, avvenuto nel caso di specie, deve essere effettuato nel rispetto dei principi generali contenuti nell’art. 5 del Regolamento. Il titolare del trattamento, deve seguire anche le indicazioni contenute nel provvedimento in materia di videosorveglianza - 8 aprile 2010 [1712680] (in tal senso anche le Faq in materia di videosorveglianza, pubblicate sul sito web dell’Autorità), e nelle Linee Guida n. 3/2019 del Comitato europeo per la protezione dei dati sul trattamento dei dati personali attraverso dispositivi video.

Inoltre, se l’impianto di videosorveglianza è idoneo a riprendere anche lavoratori dipendenti durante l’attività lavorativa, il connesso trattamento dei dati personali è lecito solo se è conforme alla disciplina prevista dall’art. 4, legge 20 maggio 1970, n. 300. Difatti, i trattamenti di dati personali effettuati nell’ambito del rapporto di lavoro, se necessari per la finalità di gestione del rapporto stesso (v. artt. 6, par. 1, lett. b) e c); 9, par. 2, lett. b) del Regolamento), devono svolgersi nel rispetto dei principi generali indicati dall’art. 5 del Regolamento, ed in particolare del principio di liceità, in base al quale il trattamento è lecito se è conforme alle discipline di settore applicabili (art. 5, par. 1, lett. a), del Regolamento).

Coerentemente con tale impostazione, l’art. 88 del Regolamento ha fatto salve le norme nazionali di maggior tutela (“norme più specifiche”) volte ad assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei lavoratori. Il legislatore nazionale ha approvato, quale disposizione più specifica, l’art. 114 del d.lgs. n. 196 del 30 giugno 2003 (di seguito “Codice”) che tra le condizioni di liceità del trattamento ha stabilito l’osservanza di quanto prescritto dall’art. 4, legge 20 maggio 1970, n. 300. La violazione del richiamato art. 88 del Regolamento è soggetta, ricorrendone i requisiti, all’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, lett. d) del Regolamento.

In base al richiamato art. 4, l. n. 300 del 1970 gli apparati di videosorveglianza, qualora dagli stessi derivi “anche la possibilità di controllo a distanza” dell'attività dei dipendenti, “possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale” e la relativa installazione deve, in ogni caso, essere eseguita previa stipulazione di un accordo collettivo con la rappresentanza sindacale unitaria o con le rappresentanze sindacali aziendali o, ove non sia stato possibile raggiungere tale accordo o in caso di assenza delle rappresentanze, solo in quanto preceduta dal rilascio di apposita autorizzazione da parte dell'Ispettorato del lavoro.

L’attivazione e la conclusione di tale procedura di garanzia è dunque condizione indefettibile per l’installazione di sistemi di videosorveglianza. La violazione di tale disposizione è penalmente sanzionata (v. art. 171 del Codice).

3. L’esito dell’istruttoria e del procedimento sanzionatorio.

Sulla base dell’esame degli atti acquisiti in sede di controllo da parte della Guardia di finanza è pertanto emerso che trattamento di dati personali, effettuato mediante l’impianto di videosorveglianza installato presso l’esercizio commerciale, è stato effettuato in modo illecito, in assenza delle misure di garanzia previste dall’art. 4 della L. 300/1970, richiamato dall’art. 114 del Codice, con riferimento all’attività del personale operante presso l’esercizio.

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Il trattamento dei dati personali effettuato dalla Società risulta pertanto illecito, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a) (principio di liceità), 88 del Regolamento e dell’art. 114 del Codice in materia di protezione dei dati personali.

La violazione accertata nei termini di cui in motivazione non può essere considerata “minore”, tenuto conto della natura, della gravità e della durata della violazione, del grado di responsabilità e della maniera in cui l'autorità di controllo ha preso conoscenza della violazione (v. cons. 148 del Regolamento).

La parte, come risulta nel verbale della Guardia di finanza, ha dichiarato che avrebbe provveduto ad adeguarsi a quanto previsto dall’art. 4 della L. 300/1970, senza però aver fornito al Garante, nel corso del procedimento, dimostrazione o comunicazione alcuna dell’avvenuto adempimento.

All’esito dell’istruttoria e accertata l’illiceità delle condotte come sopra descritte, deve adottarsi un’ordinanza ingiunzione ai sensi dell’art. 58, par. 2, lett. i) del Regolamento per l’applicazione di una sanzione amministrativa pecuniaria

5. Ordinanza di ingiunzione.

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lettere a) e d), del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. legge 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali effettuato dalla società per mezzo dell’impianto di videosorveglianza, di cui è risultata accertata l’illiceità, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a) e 88 del Regolamento, e all’art. 114 del Codice.

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state tenute in considerazione le circostanze sotto riportate:

con riguardo alla natura e gravità della violazione, rileva che la stessa riguarda i principi applicabili al trattamento di cui all’art. 5 del Regolamento nonché il rispetto della disciplina di settore richiamata dall’art. 88 del Regolamento e la responsabilità connessa all’inadempimento dell’obbligo di attuare la procedura di garanzia prevista dall’art. 114 del Codice;

l’assenza di precedenti specifici a carico della società relativi a violazioni della disciplina in materia di protezione dei dati personali;

la circostanza che la Società non ha collaborato nel corso del procedimento, non avendo fornito alcun elemento a propria difesa e non avendo fornito dimostrazione al Garante di aver provveduto a conformarsi alle procedure di garanzia previste dalla L.300/1970 (c.d. Statuto dei Lavoratori), secondo quanto dichiarato alla Guardia di finanza nel corso dell’accertamento.

Si ritiene inoltre che assumano rilevanza, nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), le condizioni economiche del contravventore, determinate con riferimento alla dichiarazione dei redditi per l’anno d’imposta 2022.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 1.000,00 (mille) per la violazione degli artt. 5, par. 1, lett. a), 88 del Regolamento e 114 del Codice.

In tale quadro, anche in considerazione della tipologia di violazione accertata, si ritiene che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito internet del Garante.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

dichiara, ai sensi degli artt. 57, par. 1, lettere a) e h) e 83 del Regolamento, l’illiceità del trattamento effettuato da “BAR DEL PORTICO S.A.S.”, partita iva 12220210962, attraverso l’utilizzo del sistema di videosorveglianza installato presso l’esercente “BAR DEL PORTICO”, sito presso via Alcide De Gasperi 7, Caponago (MB), nei termini di cui in motivazione, per la violazione dell’art. 5, par. 1, lett. a), 88 del Regolamento e dell’art. 114 del Codice;

DISPONE

ai sensi dell’art. 58, par. 2, lett. f) del Regolamento il divieto del trattamento effettuato mediante l’impianto di videosorveglianza, in quanto idoneo al controllo a distanza dei lavoratori, fino a che non abbia provveduto ad adeguarsi alle disposizioni del Regolamento, in particolare all’art. 88 del Regolamento e 114 del Codice, provvedendo all’attivazione delle misure di garanzia previste dall’art. 4 L.300/1970;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento, alla società “BAR DEL PORTICO S.A.S.”, partita iva 12220210962, di pagare la somma di euro di euro 1.000,00 (mille) a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione;

INGIUNGE

alla medesima Società di pagare la somma di euro di euro 1.000,00 (mille), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981. Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del regolamento n. 1/2019.

Si dispone, inoltre, che siano comunicate le iniziative intraprese al fine di dare attuazione a quanto disposto con il presente provvedimento e di fornire comunque riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice, entro il termine di 30 giorni dalla data di notifica del presente provvedimento; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 5, lett. e) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Messina, 11 aprile 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei