[doc. web n. 9967658]

Provvedimento del 16 novembre 2023

Registro dei provvedimenti
n. 532 del 16 novembre 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il Prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il verbale di ispezione redatto dalla Guardia di finanza – Gruppo Cosenza, in data 05/05/2023, presso il locale di commercio all’ingrosso di orologi e di gioielleria sito in via delle Medaglie d’Oro 6 – Cosenza (CS), della società “NEW BUY GOLD DI EMANUELE VITA & C. S.A.S.”, con cui è stata accertata la presenza di un impianto di videosorveglianza, attivo e funzionante, a fronte del quale non risultava presente l’informativa di cui all’art. 13 del Regolamento;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. L’accertamento della Guardia di finanza e l’avvio del procedimento.

Con nota pervenuta il 05.05.2023, il Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza ha trasmesso il verbale del controllo, effettuato dalla Guardia di Finanza – Gruppo Cosenza, in data 21.02.23, presso il locale/sede operativa di commercio all’ingrosso di orologi e di gioielleria “NEW BUY GOLD”, sito presso via delle Medaglie d’Oro 6 – Cosenza (CS).

Nel corso dell’accertamento, la Guardia di finanza verificava la presenza di un sistema di videosorveglianza, composto da XX telecamere, regolarmente funzionante, non dotato di idonei cartelli informativi segnalanti le telecamere stesse.

A fronte del trattamento dei dati personali realizzato per mezzo del suddetto impianto, la cui titolarità è stata individuata in capo alla società “NEW BUY GOLD DI EMANUELE VITA & C. S.A.S.” con sede legale in Sapri (SA), veniva accertata l’assenza dell’informativa di cui all’art. 13 del Regolamento UE 679/2016, in violazione delle disposizioni in materia di trattamento di dati personali.

Sulla base degli accertamenti di cui al predetto verbale, si provvedeva a notificare alla Società, con nota del 05.09.2023 (protocollo.u.0124312/2023), l’avvio del procedimento per l’adozione dei provvedimenti di cui agli artt. 58, par. 2, e 83 del Regolamento, in conformità a quanto previsto dall’art. 166, comma 5, del Codice, in relazione alla violazione dell’art. 13 e dell’art. 5, par. 1, lett. a), del Regolamento.

La Società, negli scritti difensivi inviati, ha sostenuto che “all’interno del punto vendita … è stata sempre presente cartellonistica indicante la presenza di telecamere di sicurezza” e che “al momento dell’accertamento del 21.02.2023, la cartellonistica risultava semplicemente essersi staccata dal muro”.

A supporto di tale tesi, ha inviato una dichiarazione sottoscritta da una dipendente, nonché una fotografia del punto del muro da cui si sarebbe staccato il cartello con l’informativa semplificata, evidenziando le tracce lasciate dal cartello (staccatosi) sulla vernice.

La Società ha poi rappresentato di aver comunque “prontamente provveduto a ripristinare i segnali di avviso della presenza di telecamere sia all’interno che all’esterno del punto vendita”, allegando relativa prova fotografica.

2. Il quadro giuridico del trattamento effettuato.

Posto che l’utilizzo di sistemi di videosorveglianza determina nel caso di specie un trattamento di dati personali ai sensi dell’art. 4, n. 2, del Regolamento, si rileva come tale trattamento debba essere effettuato nel rispetto dei principi generali contenuti nell’art. 5 del Regolamento e, in particolare del principio di trasparenza che presuppone, ad esempio, che “gli interessati devono essere sempre informati che stanno per accedere in una zona videosorvegliata”.

A tale scopo, quindi, con particolare riferimento ai trattamenti effettuati mediante impianti di videosorveglianza, occorre che il titolare del trattamento predisponga idonei cartelli informativi secondo le indicazioni contenute al punto 3.1. del provvedimento in materia di videosorveglianza - 8 aprile 2010 [1712680] (in tal senso anche le Faq in materia di videosorveglianza, pubblicate sul sito web dell’Autorità) affinché gli interessati siano resi “consapevoli del fatto che è in funzione un sistema di videosorveglianza”.

Analogamente le Linee Guida n. 3/2019 del Comitato europeo per la protezione dei dati sul trattamento dei dati personali attraverso dispositivi video, al punto 7), specifica che “le informazioni più importanti devono essere indicate [dal titolare] sul segnale di avvertimento stesso (primo livello) mentre gli ulteriori dettagli obbligatori possono essere forniti con altri mezzi (secondo livello)”.

Nelle linee guida si prevede inoltre che “Tali informazioni possono essere fornite in combinazione con un’icona per dare, in modo ben visibile, intelligibile e chiaramente leggibile, un quadro d’insieme del trattamento previsto (articolo 12, paragrafo 7, del RGPD). Il formato delle informazioni dovrà adeguarsi alle varie ubicazioni”.

Le informazioni dovrebbero essere posizionate in modo da permettere all’interessato di riconoscere facilmente le circostanze della sorveglianza, prima di entrare nella zona sorvegliata (approssimativamente all’altezza degli occhi) “per consentire all’interessato di stimare quale zona sia coperta da una telecamera in modo da evitare la sorveglianza o adeguare il proprio comportamento, ove necessario”.

3. L’esito dell’istruttoria e del procedimento sanzionatorio.

Sulla base del verbale di accertamento redatto dalla Guardia di finanza – Gruppo Cosenza, in data 21.02.23 è dunque emerso che, al momento dell’ispezione, l’impianto di videosorveglianza, installato presso il locale di commercio all’ingrosso di orologi e di gioielleria “NEW BUY GOLD”, sito presso via delle Medaglie d’Oro 6 – Cosenza (CS), era attivo e funzionante e che era sprovvisto delle informative richieste dall’art. 13 del Regolamento.

Tale condotta si pone in contrasto con quanto stabilito dall’art. 13 del Regolamento, in base al quale il titolare del trattamento è tenuto a fornire all’interessato tutte le informazioni relative alle caratteristiche essenziali del trattamento, nonché in violazione del principio generale di trasparenza del trattamento, di cui all’art. 5, par. 1, lett. a) del medesimo Regolamento.

Si evidenzia che il verbale di ispezione risulta essere stato sottoscritto senza che sia stata evidenziata, nel corso dell’accertamento, l’eventuale presenza in loco di cartelli informativi che si sarebbero staccati prima dell’accertamento.

Tale dichiarazione, formulata solo in sede di scritti difensivi, non risulta supportata da oggettivi riscontri in quanto, né le dichiarazioni della dipendente, né le fotografie delle tracce della pregressa presenza di un qualsiasi cartello sul muro, possono essere considerati tali. In ogni caso, resta comunque accertato che al momento del controllo nessun cartello era presente in loco.

Si prende comunque atto della circostanza comprovata in atti circa la successiva apposizione di cartelli informativi relativi al trattamento dei dati effettuato tramite l’impianto di videosorveglianza.

All’esito dell’istruttoria e accertata l’illiceità delle condotte come sopra descritte, deve adottarsi un’ordinanza ingiunzione ai sensi dell’art. 58, par. 2, lett. i) del Regolamento per l’applicazione di una sanzione amministrativa pecuniaria

4. Ordinanza di ingiunzione.

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lettere a) e b), del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. legge 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali effettuato dalla società per mezzo dell’impianto di videosorveglianza, in assenza dell’informativa di cui all’art. 13 del Regolamento. 

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state tenute in considerazione le circostanze sotto riportate:

con riguardo alla natura e gravità della violazione, rileva che la stessa riguarda i principi applicabili al trattamento di cui all’art. 5 Regolamento;

il carattere colposo della violazione, connessa all’inadempimento dell’obbligo di rendere l’informativa agli interessati;

la Società ha provveduto, dopo l’accertamento, all’applicazione di cartelli recanti le informazioni sul trattamento come indicato al punto 2 del presente provvedimento;

l’assenza di precedenti specifici a carico della ditta relativi a violazioni della disciplina in materia di protezione dei dati personali;

la circostanza che vi è stata cooperazione con l’Autorità nel corso del procedimento.

In ragione dei suddetti elementi, valutati nel loro complesso, incluse le condizioni economiche del contravventore determinate in base alla dichiarazione d’imposta riferita all’anno 2021, e alle sanzioni irrogate dall’Autorità in casi analoghi, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 1000,00 (mille) per la violazione degli artt. 5, par. 1, lett. a) e 13 del Regolamento.

In tale quadro, anche in considerazione della tipologia di violazione accertata, si ritiene che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito internet del Garante.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

dichiara, ai sensi degli artt. 57, par. 1, lett. a) e h) e 83 del Regolamento, l’illiceità del trattamento effettuato da “NEW BUY GOLD DI EMANUELE VITA & C. S.A.S”, partita iva 06045790653, attraverso l’utilizzo del sistema di videosorveglianza installato presso l’attività di commercio all’ingrosso di orologi e di gioielleria “NEW BUY GOLD”, sita presso via delle Medaglie d’Oro 6 – Cosenza (CS), nei termini di cui in motivazione, per la violazione degli artt. 5, par. 1, lett. a) e 13 del Regolamento;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento, alla società “NEW BUY GOLD DI EMANUELE VITA & C. S.A.S”, partita iva 06045790653, di pagare la somma di euro di euro 1000,00 (mille) a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione;

INGIUNGE

di pagare la somma di euro di euro 1000,00 (mille), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981. Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del regolamento n. 1/2019.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 16 novembre 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL VICE SEGRETARIO GENERALE
Filippi