[doc. web n. 1781763]

Ordinanza di ingiunzione nei confronti di ICTS Italia s.r.l.  - 3 giugno 2010

Registro delle deliberazioni
Del. n. 36 del 3 giugno 2010

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Giuseppe Fortunato, componente e del dott. Daniele De Paoli, segretario generale;

ESAMINATO il rapporto del Comando Nucleo speciale funzione pubblica e privacy della Guardia di finanza predisposto ai sensi dell´art. 17 della legge 24 novembre 1981, n. 689, relativo al verbale di contestazione per violazione amministrativa redatto in data 20 aprile 2009 nei confronti di ICTS Italia s.r.l., con sede in Roma, piazza della Libertà, n. 10, in persona del legale rappresentante pro tempore, per la violazione degli articoli 13, 23, 33 e 37 del Codice in materia di protezione dei dati personali (di seguito denominato "Codice");

RILEVATO che in ordine all´utilizzo di un sistema di rilevazione dei dati biometrici dei lavoratori per finalità di accesso ad aree controllate e verifica delle presenze sul posto di lavoro, il predetto Comando, in attuazione della richiesta di informazioni ex art. 157 del Codice (n. 27469/58153 datata 12 dicembre 2008) e su specifica delega di questa Autorità (n. 27470/58153 del 12 dicembre 2008), ha svolto gli accertamenti di cui al verbale di operazioni compiute del 3 febbraio 2009 dai quali è risultato che la predetta società ha effettuato, in qualità di titolare, trattamenti di dati biometrici previsti dall´art. 37, comma 1, lett. a), del Codice, fornendo agli interessati un´informativa inidonea ai sensi dell´art. 13 del Codice, senza raccogliere il prescritto consenso ai sensi dell´art. 23 del Codice e violando le misure minime di sicurezza indicate nell´art. 33 del Codice, nonché omettendo di effettuare la notificazione al Garante ai sensi degli artt. 37 e 38 del Codice;

VISTO il provvedimento adottato dal Garante il 12 giugno 2009, che qui deve intendersi integralmente richiamato, con il quale è stato disposto il divieto del trattamento dei dati biometrici dei dipendenti di ICTS Italia s.r.l.;

VISTO il verbale n. 12 del 20 aprile 2009 con cui sono state contestate alla predetta società le violazioni amministrative previste dagli artt. 161, 162, comma 2-bis, e 163 del Codice, in relazione agli artt. 13, 23, 33 e 37, informandola della facoltà di effettuare il pagamento in misura ridotta ai sensi dell´art. 16 della legge n. 689/1981 con l´esclusione della fattispecie prevista dal citato art. 33 del Codice;

RILEVATO dal predetto rapporto che non risulta essere stato effettuato il pagamento in misura ridotta;

VISTO lo scritto difensivo inviato ai sensi dell´art. 18 della legge n. 689/1981 nel quale la società ha rilevato che: a) in ordine alla contestazione relativa all´omessa o incompleta notificazione al Garante, il sistema di rilevazione dei dati biometrici, facoltativo per i dipendenti, è stato utilizzato solo sperimentalmente, con il supporto della società di distribuzione Esa Software al solo fine di verificarne l´attendibilità e il funzionamento tecnico; ne discende che la sola sperimentazione del sistema non comporterebbe il trattamento dei dati in argomento. Sul punto, poi, la buona fede sarebbe provata dalla circostanza che, subito dopo l´avvio dell´accertamento ispettivo "(…) la società ha adottato tutte le misure necessarie per sospendere qualsiasi utilizzazione, seppur sperimentale e facoltativa, del macchinario (…)". Inoltre la società "(…) legittimamente riteneva di ricevere dal distributore (Esa Software) una formazione completa volta a garantire il corretto funzionamento del macchinario, sia sotto il profilo tecnico sia sotto il profilo giuridico (…)"; b) in ordine alla contestazione relativa all´omessa o inidonea informativa, "(…) l´assoluta ed insanabile genericità della contestazione mossa (…)", atteso che gli accertamenti non si sono soffermati "(…) sia pur succintamente, sui motivi della dedotta inidoneità (…)", avrebbe leso il diritto alla difesa. Invero l´informativa resa all´atto dell´assunzione dei propri dipendenti dovrebbe ritenersi idonea in quanto "(…) I trattamenti ai quali (…) fa riferimento sono trattamenti dei dati resi necessari in dipendenza del rapporto di lavoro subordinato intercorrente tra la società e i suoi dipendenti (…)"; inoltre, nella fase di avvio della sperimentazione del sistema biometrico sarebbe stata fornita oralmente un´ulteriore informativa con particolare riferimento al sistema sperimentale di rilevazione dei dati biometrici; c) in ordine alla contestazione relativa al trattamento dei dati senza il consenso specifico ed informato degli interessati, quest´ultimo sarebbe stato raccolto, a fronte dell´informativa resa ai sensi dell´art. 13 del Codice, dai dipendenti nel momento della loro assunzione. Tale consenso, nonostante "(…) non si riferisca specificamente al nuovo sistema di rilevamento dei dati biometrici (…)", deve ritenersi legittimo ai sensi dell´art. 23, comma 2, del Codice, considerato che i dipendenti che hanno aderito spontaneamente alla sperimentazione del sistema lo hanno manifestato "(…) anche verbalmente e per fatti concludenti (…)". Quanto sopra anche in ragione del fatto che, diversamente dal caso di specie, la manifestazione in forma scritta del consenso è obbligatoria solo quando il trattamento riguarda dati sensibili (art. 23, comma 4, del Codice); d) in ordine alla contestazione relativa all´omessa adozione delle misure minime di sicurezza, la semplice sperimentazione, peraltro facoltativa, non comporterebbe un trattamento di dati biometrici e, quindi, gli obblighi di cui all´art. 33 del Codice non sussistono"(…) fino a quando il trattamento dei dati attraverso la regolare utilizzazione del sistema non venga avviato (…)". A ciò si aggiunga che "(…) In considerazione dell´automatismo che caratterizza il funzionamento del sistema, non si ritiene applicabile al caso di specie l´obbligo di nominare una persona fisica quale incaricato del trattamento (…)";

VISTO il verbale di audizione delle parti redatto ai sensi dell´art. 18 della legge n. 689/1981 con cui la società, ribadendo quanto dedotto nello scritto difensivo, ha meglio specificato i rapporti intercorrenti con Esa Software S.p.a. (società distributrice del sistema) evidenziando che "(…) le contestazioni effettuate dalla Guardia di finanza sono quantomeno dipese da una non corretta informazione che Esa Software ha fornito a ICTS (…)", atteso che, in un primo momento, Esa Software ha garantito che l´utilizzo dei sistemi da loro forniti non comportava un trattamento di dati personali, mentre, successivamente, a seguito di una richiesta di chiarimenti da parte di ICTS, ha inviato il parere del Garante relativo ai dati biometrici trattati con i sistemi di Esa Software, senza, però, chiarirne la reale portata e confermando, peraltro, "(…) che i sistemi erano pienamente compatibili con le norme in materia di privacy (…);

TENUTO CONTO della richiesta di archiviazione, datata 21 settembre 2009, del procedimento penale a carico del legale rappresentante della società, formulata dalla Procura della Repubblica c/o il Tribunale di Roma;

RITENUTO che le argomentazioni addotte non risultano idonee ad escludere la responsabilità amministrativa in ordine a quanto contestato in quanto:

a) dall´accertamento è emerso che la società ha trattato dati personali biometrici di alcuni dipendenti ai sensi dell´art. 4, comma 1, lett. a), del Codice. Nel dettaglio, al fine di consentire la sperimentazione del sistema, le impronte digitali (dati biometrici) sono state raccolte, registrate e successivamente utilizzate per le verifiche e i raffronti nelle procedure di autenticazione e identificazione. Pertanto, nonostante il sistema di rilevazione delle presenze basato sul trattamento di dati biometrici non avesse ancora sostituito quello meccanico e l´attività fosse svolta ancora con carattere sperimentale, tale circostanza non esimeva la società dall´obbligo di notificazione al Garante ai sensi dell´art. 37, comma 1, lett. a), del Codice, nei modi e con i tempi previsti dall´art. 38 del Codice. Peraltro, la richiamata disciplina relativa all´errore incolpevole sul fatto rileva solo in presenza di un elemento positivo, estraneo all´autore, idoneo ad ingenerare nell´agente l´incolpevole opinione della liceità del suo agire (Cass. Civ. Sez. I n. 1151/1999). I documenti prodotti dalla società relativamente al punto in questione (relazione del 17 febbraio 2009, con particolare riferimento all´allegato B) nonché quanto illustrato nel verbale di audizione della parte, non sostanziano né il requisito della positività, né quello della idoneità, non ravvisandosi, quindi, l´applicabilità al caso di specie della disciplina di cui all´art. 3 della legge n. 689/1981;

b) l´inidoneità dell´informativa resa agli interessati risulta accertata, nel rispetto del diritto alla difesa, secondo quanto previsto dall´art. 14 della legge n. 689/1981, atteso che, durante gli interventi ispettivi compiuti il 3 febbraio 2009, sono stati raccolti gli elementi utili (ivi compresa l´informativa fornita ai dipendenti, allegato 5 del verbale di operazioni compiute) al successivo accertamento della violazione poi contestata con il verbale datato 20 aprile 2009. In particolare, sul punto occorre rilevare che, come risulta dal verbale del 3 febbraio 2009, i verbalizzanti hanno chiesto di indicare, con specifico riferimento al trattamento dei dati biometrici, le "modalità con le quali è stato dato adempimento a quanto disposto dal Codice in ordine all´obbligo di informativa di cui all´art. 13 ed all´acquisizione del consenso". La parte a tale domanda rispondeva testualmente:"(…)Riguardo l´informativa di cui all´art. 13 d.lgs. 196/2003, riteniamo di aver assolto a tale obbligo, consegnando ai dipendenti, al momento dell´assunzione, l´informativa in cui vengono riportati tutti i trattamenti effettuati da questa società, compreso anche il trattamento di dati biometrici, con in calce la raccolta del consenso al trattamento (…)". Nessun cenno veniva fatto in quella sede a presunte integrazioni orali della predetta informativa. Sulla questione dell´inidoneità dell´informativa (ribadito peraltro nel provvedimento di divieto adottato dal Garante il 12 giugno 2009 e non impugnato dalla società), occorre precisare che il trattamento dei dati biometrici sul luogo di lavoro rientra tra i trattamenti che presentano rischi specifici di cui all´art. 17 del Codice. L´Autorità con il provvedimento del 23 novembre 2006 [doc.web. 1364099], ha prescritto ai titolari che effettuano tale tipologia di trattamenti le misure da adottare per utilizzare lecitamente i dati. Tra queste, al punto 4.3 delle citate linee guida, si prevede che per l´utilizzo dei dati biometrici "il titolare del trattamento deve raccogliere il preventivo consenso informato degli interessati". Alla luce di quanto sopra, pertanto, il contenuto dell´informativa resa ai dipendenti i cui dati erano trattati attraverso il sistema biometrico doveva essere necessariamente integrato rispetto a quello fornito all´atto dell´assunzione a cui si è fatto riferimento nel corso dell´accertamento, specificando le modalità e le finalità di tale ulteriore trattamento;

c) in merito alla contestazione relativa all´omessa acquisizione del consenso si rileva che il richiamato provvedimento del 23 novembre 2006 prevede che il trattamento dei dati biometrici sul luogo di lavoro possa essere effettuato solo con il consenso informato dell´interessato. L´art. 23, comma 3, del Codice, prevede che "Il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all´interessato le informazioni di cui all´art. 13": ICTS non ha documentato, secondo le modalità di legge, l´acquisizione di un valido consenso con riferimento ai trattamenti di dati biometrici;

d) con riferimento alla violazione dell´art. 33 del Codice, risulta accertato in atti che, con riferimento ai trattamenti di dati biometrici, la società non ha provveduto alla designazione degli incaricati del trattamento ai sensi dell´art. 30 del Codice, con ciò determinando la mancata applicazione di tutte quelle misure minime di sicurezza che il disciplinare tecnico (allegato B al Codice) riconduce all´attività degli incaricati del trattamento medesimo (regole nr. 1-10; 12-14; 15 e 17 dell´allegato B). Al riguardo si evidenzia che la mancata designazione degli incaricati del trattamento non costituisce un mero inadempimento formale, in quanto la parte più significativa delle misure di sicurezza da adottarsi per il trattamento dei dati personali è strettamente correlata all´attività degli incaricati del trattamento (ovvero di coloro che ordinariamente operano sui dati personali) e mira a fornire agli stessi le istruzioni da seguire per il corretto trattamento dei dati. Sul punto, peraltro, il citato provvedimento del 26 novembre 2006, al punto 4.3, specifica ulteriormente, con riferimento al trattamento dei dati biometrici, la necessità di impartire istruzioni scritte agli incaricati del trattamento;

RILEVATO che l´attività svolta dalla società configura un trattamento di dati personali (art. 4, comma 1, lett. a) e b), del Codice) per il quale dovevano essere assolti tempestivamente gli obblighi di cui agli artt. 13, 23, 33 e 37 del Codice;

RILEVATO, altresì, che diversamente da quanto indicato nel verbale di contestazione, la violazione prevista dall´art. 37 e sanzionata all´art. 163 del Codice, deve essere punita in base alle modifiche introdotte con il D.L. n. 207 del 30 dicembre 2008, convertito con la legge n. 14 del 27 febbraio 2009, attesa la natura "permanente" della condotta omissiva costituente illecito amministrativo, determinandosi, così, l´applicazione del regime sanzionatorio vigente al momento dell´accertamento;

VISTO l´art. 161 del Codice, nella formulazione successiva alla modifica apportata con il D.L. n. 207 del 30 dicembre 2008, convertito, con modificazioni, nella legge n. 14 del 27 febbraio 2009, che punisce la violazione dell´art. 13 del medesimo Codice con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro;

VISTO l´art. 162, comma 2 bis, del Codice, nella formulazione antecedente alla modifica apportata con la legge 20 novembre 2009, n. 166, che punisce la violazione delle misure indicate nell´art. 33 o delle disposizioni indicate nell´art. 167 del Codice, tra le quali quella di cui all´art. 23 del Codice, con la sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro;

VISTO l´art. 163 del Codice, nella formulazione successiva alla modifica apportata con il D.L. n. 207 del 30 dicembre 2008, convertito, con modificazioni, nella legge n. 14 del 27 febbraio 2009, che punisce la violazione delle disposizioni di cui agli art. 37 e 38 con la sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro;

RILEVATO, tuttavia, che le predette violazioni risultano, allo stato e sulla base degli atti del procedimento, commesse in relazione a un trattamento di dati biometrici sperimentale e facoltativo e che, pertanto, tale circostanza è idonea a configurare uno dei casi di minore gravità previsto dall´art. 164-bis, comma 1, del Codice;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

RITENUTO di dover determinare l´ammontare della sanzione pecuniaria, avuto riguardo ai parametri indicati nell´art. 11 della legge 24 novembre 1981 n. 689, valutati anche in relazione all´opera svolta dall´agente, alla gravità della violazione e alle condizioni economiche del contravventore, nella misura del minimo, diminuita a due quinti per ciascuna sanzione, pari alla somma complessiva di diciottomilaquattrocento euro, così determinata: violazione dell´art. 161 del Codice, euro duemilaquattrocento; violazione dell´art. 162, comma 2-bis, del Codice, euro ottomila; violazione dell´art. 163 del Codice, euro ottomila;

VISTA la documentazione in atti;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE dott. Giuseppe Fortunato;

ORDINA

a ICTS s.r.l., con sede in Roma, piazza della Libertà, n. 10, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 18.400,00 (diciottomilaquattrocento) a titolo di sanzione amministrativa pecuniaria per la violazione degli artt. 161, 162, comma 2-bis  e 163, ridotta a 2/5 ai sensi dell´art. 164-bis, comma 1, del Codice, indicate in motivazione;

INGIUNGE

alla medesima società di pagare la somma di euro 18.400,00 (diciottomilaquattrocento) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale o in copia autentica, quietanza dell´avvenuto versamento;

DA´ ATTO CHE

avverso il presente provvedimento, ai sensi dell´art. 152 del Codice, può essere proposta opposizione davanti al tribunale ordinario del luogo ove ha sede il titolare del trattamento entro il termine di trenta giorni dalla notificazione del presente provvedimento.

Roma, 3 giugno 2010

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE
De Paoli