IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presentato dal sig. XX ai sensi dell’art. 77 del Regolamento con cui è stato lamentato un illecito trattamento di dati personali da parte di Cappello Giovanni & figli s.r.l.

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

 

PREMESSO

1. Il reclamo presentato all’Autorità e l’attività istruttoria.

Con il reclamo presentato in data 05/10/2021 ai sensi dell’art. 77 del Regolamento, il sig. XX, tramite il proprio legale Avv. XX, ha lamentato una violazione della disciplina in materia di protezione dei dati personali, da parte della società C. G. & Figli s.r.l. (di seguito “la Società”), consistente in un illecito trattamento di dati personali dei dipendenti (operatori del reparto officina) realizzato per mezzo di un software denominato “Infinity DMS” e di un hardware denominato “X.-Face 380”.

In particolare, veniva rappresentato che, tramite l’utilizzo del software gestionale “Infinity DMS” (installato presso le unità produttive di M. e di R.), ciascun dipendente è tenuto, all’inizio della giornata lavorativa, a registrare le prestazioni lavorative e le manutenzioni da svolgere, ovvero i tempi e le modalità di intervento sui veicoli in riparazione assegnati e i tempi di inattività con le specifiche causali (“pause”, per indicare le soste lavorative, “attesa dei ricambi”, “attesa lavoro” per indicare le attese dovute alle commesse di lavoro, “prelievo ricambi esterni” per indicare i tempi di inattività dovuti all’attesa di ricambi non presenti in magazzino, e altri).

Veniva, inoltre, rappresentato che l’hardware X-Face 380, anch’esso presente in entrambe le unità produttive, era stato installato per regolare l’accesso sul luogo di lavoro attraverso un sistema di riconoscimento facciale.

L’Autorità, pertanto, delegava il Nucleo tutela privacy e frodi tecnologiche della Guardia di finanza ad effettuare accertamenti ispettivi ai sensi dell’art. 157 del Codice.

In data 1 e 2 marzo 2022, sono stati effettuati accertamenti ispettivi presso la sede legale della Società, sita in M. (RG), nel corso dei quali sono state acquisite informazioni inerenti all’utilizzo degli strumenti oggetto di segnalazione.

In particolare, dagli esiti degli accertamenti ispettivi, è emerso che:

- la Società, che svolge attività di commercio di autovetture, conta circa 40 dipendenti, impiegati presso le due unità operative di M. e di R.. Il trattamento svolto per mezzo degli strumenti Infinity DMS e X-Face 380 coinvolge, dunque, tutti i dipendenti impiegati presso le due unità produttive;

- sia il software Infinity DMS che l’hardware X-Face 380 sono stati messi in uso dalla Società “come strumenti di lavoro al fine di migliorare la qualità e l’efficienza dell’attività svolta”;

- la società ha redatto il Registro dei trattamenti ai sensi dell’art. 30 del Regolamento in cui sono riportate tutte le attività di trattamento svolte in relazione a ciascuna finalità

- con specifico riferimento all’hardware X-Face 380, si tratta di un sistema di riconoscimento facciale, la cui finalità “è riconducibile esclusivamente all’elaborazione delle presenze per la redazione delle buste paga di tutti i dipendenti, trasmettendo un report mensile al CDL” (p. 3 del verbale del 01/03/2022);

- il trattamento tramite l’hardware è iniziato in data 11/12/2018 e tutti i dipendenti sono stati informati prima della sua installazione mediante apposita informativa, predisposta ai sensi dell’art. 13 del Regolamento, e contestuale acquisizione del consenso;

- per quanto concerne le caratteristiche tecniche dell’hardware, esso consente “il riconoscimento facciale dei dipendenti quando entrano e escono dall’azienda (...) e ha le seguenti funzionalità: elenco delle persone presenti e stampa dei report delle ore di presenza per ciascun utente” (p. 3 del verbale del 02/03/2022);

- “il dipendente dopo aver letto l’informativa e sottoscritto il consenso, viene registrato al primo accesso con la foto. (…) L’immagine del dipendente può essere visibile solo dallo stesso al momento della rilevazione della presenza” (p. 3 del verbale cit.);

- “il dato biometrico riconducibile al mero riconoscimento facciale del sistema X face 380 viene cancellato quando un dipendente cessa la propria attività lavorativa presso la società” (p. 3 verbale cit.);

- “I dati personali vengono sovrascritti con una stringa di caratteri e una volta scaduto il periodo di retention definito vengono cancellati in modo permanente e irreversibile” (p. 4 verbale cit.);

- rispetto al trattamento così effettuato, è stata predisposta la valutazione d’impatto ai sensi dell’art. 35 del Regolamento che viene aggiornata periodicamente;

- con riferimento al gestionale denominato Infinity DMS, questo “è utilizzato per la gestione delle aree di contabilità, magazzino, officina, vendite veicoli nuovi e usati e CRM, non prevede il controllo a distanza dei lavoratori addetti al reparto officina ed è uno strumento di lavoro che utilizzano tutte le concessionarie” (p. 4 del verbale del 01/03/2022);

-  più precisamente, si tratta di un applicativo fornito dalla società V. software e messo a disposizioni di molte concessionarie italiane;

- il relativo trattamento è iniziato in data 01/05/2013 ed è profilato sul singolo dipendente, in relazione alla mansione specifica svolta in azienda;

- “ogni meccanico è fornito di un codice a barra che permette di effettuare le marcature sui lavori. L’inizio e la fine attività vengono eseguite in autonomia dai singoli dipendenti solo nelle aree officina e per le singole attività svolte, il sistema non fa nessun controllo sulle attività svolte, ma esegue un semplice conteggio del tempo impiegato”;

- “la richiesta di effettuare la marcatura anche per indicare pause, attesa ricambio o pulizia officina rientra in una mappatura parametrica e a discrezione della società che può chiedere o meno ai dipendenti di utilizzare tali causali per dichiarare la motivazione per cui si è interrotta una lavorazione (…) diversamente verrebbero addebitati ai clienti ore e quindi costi di lavorazione non conformi”;

- ogni mese viene inviata alla casa madre un report contenente dati aggregati sui tempi impiegati dalle officine per le lavorazioni effettuate;

- “queste informazioni consentono di analizzare l’andamento del reparto officina e capire quante delle attività saranno fatturate ai clienti, quante resteranno a carico delle aziende e, di conseguenza, consentono alla proprietà di adeguare le tariffe in funzione dei costi complessivi (…) oltre che seguire e monitorare l’efficienza economica della stessa”;

- l’informativa è stata predisposta in data 11/12/2018 e viene fornita ai dipendenti che la sottoscrivono per presa visione contestualmente alla stipula del contratto di lavoro.

Con successive note del 30/06/2022 e del 31/10/2022, la Società a fronte di specifiche richieste di informazioni formulate ai sensi dell’art. 157 del Codice (rispettivamente del 30/05/2022 e del 30/09/2022) forniva ulteriori elementi a integrazione di quanto dichiarato nel corso dell’accertamento ispettivo. In particolare, la Società rappresentava che:

- “Le telecamere per il confronto biometrico sono dislocate nelle sedi di M. e di R. e possono funzionare esclusivamente con la partecipazione attiva e consapevole degli interessati”;

- “il software non registra movimenti e, in ogni caso, le procedure di cancellazione vengono eseguite manualmente come indicato nella dichiarazione di conformità”. Tale documento, prodotto in atti, precisa che “i modelli creati per la registrazione devono essere conservati solo sino alla realizzazione delle finalità del trattamento e non devono essere memorizzati o archiviati”;

- con riguardo ai dati raccolti dal gestionale Infinity DMS, questi “sono conservati fino a 10 anni dalla data di cessazione del rapporto contrattuale. Si specifica che i dati raccolti non vengono utilizzati per finalità ulteriori e diverse rispetto a quella della rendicontazione delle ore lavorate. Si chiarisce, altresì, che i report consentiti da Infinity DMS possono essere personalizzati per operaio, squadra, qualifica e categoria statistica”.

2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e le deduzioni della Società.

A fronte degli elementi raccolti nel corso dell’attività istruttoria, l’Ufficio ha proceduto a notificare alla Società, in data 31/01/2023, l’atto di avvio del procedimento sanzionatorio ai sensi dell’art. 166, comma 5, del Codice.

In particolare, con riferimento al trattamento dei dati cd. particolari effettuato mediante l’hardware X-Face 380, è stata notificata la violazione degli artt. 5, par. 1, lett. a), b) ed f), 6, par. 1, lett. a), 9, par. 2, lett. b) e 13 del Regolamento.

Mentre, con riferimento al trattamento dei dati personali realizzato mediante il software Infinity DMS è stata contestata la violazione degli artt. 5, par. 1, lett. a), 6 e 13 del Regolamento.

Con le memorie difensive, presentate in data 02/03/2023, la Società ha dichiarato che:

- “l’utilizzo di tale hardware [Hardware x-face 380] si è reso necessario in conseguenza dei seguenti eventi. In primo luogo, l’epidemia da Covid-19 ha costretto quasi la totalità delle realtà economiche a dotarsi di termometri atti a misurare la temperatura corporea di chi entra nei locali. In secondo luogo, la Società C. & Figli, adeguandosi alle raccomandazioni della casa madre, ha adottato tali strumenti per il trattamento dei dati”;

- "la Società (…), in qualità di Titolare del Trattamento dei dati, ha sempre agito rispettando diligentemente le norme del Regolamento (UE) n. 2016/679; più specificatamente, il Titolare del Trattamento ha predisposto un’idonea informativa privacy rappresentando agli interessati le caratteristiche del trattamento. Conseguentemente, gli interessati hanno prestato il proprio consenso esplicito al trattamento dei dati personali a norma di quanto previsto dall’art. 9, par. 2, lett. a)” del Regolamento stesso;

- inoltre, “il trattamento dei dati cd. particolari effettuato mediante l’hardware X-Face 380 è avvenuto per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro in conformità della previsione di cui all’art. 9, par. 2, lett. b, del già menzionato Reg. (UE)”;

- “L’utilizzo del software Infinity DMS e dell’hardware X-FACE 380 è avvenuto nel rispetto dei principi di “liceità, correttezza e trasparenza”, “limitazione delle finalità”, “minimizzazione”; inoltre, i dati sono stati “trattati in maniera da garantire un’adeguata sicurezza” degli stessi”.

Nel chiedere l’archiviazione del procedimento, la Società ha riportato una pronuncia della Corte di Cassazione, in base alla quale “il danno da violazione del diritto alla protezione dei dati personali non sussiste in re ipsa, dacché il pregiudizio risarcibile non s’identifica con la mera lesione del diritto tutelato dall'ordinamento, bensì con le conseguenze pregiudizievoli causate dalla lesione stessa, le quali devono essere allegate e dimostrate dalla vittima dell'illecito, raggiungendo una soglia di lesività seria ed effettiva”.

3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, risulta che la Società, in qualità di titolare, ha effettuato alcune operazioni di trattamento, riferite ai propri dipendenti, che risultano non conformi alla disciplina in materia di protezione dei dati personali.

In proposito si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

3.1. Trattamento dei dati particolari effettuato mediante l’hardware X-face 380.

Nel merito, all’esito dell’attività istruttoria, è stato accertato che la Società ha utilizzato un sistema biometrico, basato sul riconoscimento facciale, a partire dal mese di dicembre 2018 e tuttora in corso.

Nel corso dell’istruttoria, non è stato invece chiarito il momento iniziale in cui sono cominciate le attività di registrazione dei dati dei dipendenti mediante acquisizione delle loro foto.

Il trattamento ha riguardato 40 interessati, tutti dipendenti della Società impiegati presso le due unità produttive di M. e di R., i quali hanno ricevuto l’informativa ai sensi dell’art. 13 del Regolamento e rilasciato il consenso al trattamento dei dati.

In base a quanto dichiarato dalla Società, l’utilizzo del sistema biometrico è finalizzato alla rilevazione delle presenze in servizio dei dipendenti ed è stato determinato dall’esigenza di migliorare la qualità e l’efficienza del servizio.

Ciò posto, si osserva come, nel provvedimento n. 513 del 12/11/2014 (reperibile sul sito dell’Autorità www.gpdp.it, doc web n. 3556992), il Garante abbia chiarito che il trattamento dei dati biometrici si realizza sia nella fase di registrazione (cd. enrolment), consistente nell’acquisizione delle caratteristiche biometriche dell’interessato (nel caso di specie, le caratteristiche del volto), sia nella fase di riconoscimento biometrico da effettuarsi all’atto della rilevazione delle presenze (v. punti 6.1, 6.2 e 6.3 dell’allegato A al citato provvedimento).

In base alla disciplina in materia di protezione dei dati personali, posto che i dati biometrici rientrano nel novero delle cd. categorie particolari di dati, si rileva che il relativo trattamento è di regola vietato ai sensi dell’art. 9, par. 1, del Regolamento, mentre è consentito esclusivamente al ricorrere di una delle condizioni indicate al paragrafo 2 del medesimo articolo.

In particolare, con riguardo ai trattamenti effettuati in ambito lavorativo, la norma dispone che tale trattamento sia consentito solo quando è “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. b), del Regolamento; v. anche: art. 88, par. 1) e cons. 51-53 del Regolamento).

Ciò significa che, affinché un trattamento avente a oggetto dati biometrici possa essere lecitamente realizzato, è necessario che lo stesso trovi il proprio fondamento in una disposizione normativa che abbia le caratteristiche richieste dalla disciplina di protezione dei dati, anche in termini di proporzionalità dell’intervento regolatorio rispetto alle finalità che si intendono perseguire.

Sotto questo profilo, l’art. 2-septies del Codice stabilisce che il trattamento dei dati biometrici può essere effettuato conformemente alle misure di garanzia disposte dal Garante in relazione a ciascuna categoria di dati, oltre che nel rispetto delle condizioni previste dal citato art. 9, par. 2, del Regolamento.

Pertanto, ad oggi, l’ordinamento vigente non consente il trattamento dei dati biometrici dei dipendenti, per finalità di rilevazione della presenza in servizio. Ciò è stato ribadito dal Garante con numerosi provvedimenti, gli ultimi dei quali adottati in data 22/02/2024 con i quali l’Autorità ha dichiarato l’illiceità dei trattamenti effettuati (provvedimenti n. 105, 106, 107 e 109, doc. web n. 9995785, 9995701, 9995680, 9995741).

Va, inoltre, tenuto conto che il datore di lavoro, in qualità di titolare del trattamento, è tenuto in ogni caso a osservare i principi generali in materia di trattamento dei dati personali, tra cui i principi di liceità, correttezza e trasparenza, il principio di minimizzazione e il principio di limitazione delle finalità (art. 5, par. 1, lett. a), b), c) del Regolamento).

Nel caso di specie, la dichiarazione di conformità, acquisita nel corso del procedimento e rilasciata dal fornitore del dispositivo di riconoscimento facciale, non può far venir meno la responsabilità della Società che, in qualità di titolare del trattamento, avrebbe dovuto verificare la liceità del trattamento da effettuare e la conformità ai principi applicabili, alla luce del principio di accountability in base al quale “il titolare del trattamento è competente per il rispetto [dei principi di cui al] paragrafo 1 e in grado di comprovarlo” (art. 5, par. 2, del Regolamento).

Pertanto alla luce dei suesposti motivi, si rileva che l’utilizzo del dato biometrico per la rilevazione delle presenze in servizio, senza tra l’altro che fosse stato previsto un sistema alternativo per la verifica dell’orario di lavoro, risulta contrario ai principi di minimizzazione e di proporzionalità di cui all’art. 5, par. 1, lett. c) del Regolamento. La norma, infatti, richiede che i dati siano “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”.

La Società nel corso del procedimento non ha prodotto alcuna documentazione che potesse dimostrare la necessità e la proporzionalità del trattamento posto in essere rispetto alle finalità da perseguire, limitandosi a richiamare in astratto i principi e le disposizioni del Regolamento.

Anche per quel che concerne la conservazione del dato raccolto, si osserva che dall’esame della documentazione prodotta (in particolare, la Dichiarazione di conformità resa dalla società XX, all. 3 alla nota del 30/06/2022) nonché delle dichiarazioni rese nel corso dell’accertamento ispettivo (verbale di operazioni del 02/03/2022, pag. 3) risulta che il dato biometrico riferito al dipendente viene cancellato dalla Società, solo a seguito della cessazione del rapporto lavorativo.

Ciò si pone in contrasto con quanto stabilito dal Garante nel citato provvedimento del 12/11/2014, che prevede che “i campioni biometrici impiegati nella realizzazione del modello biometrico possono essere trattati solo durante le fasi di registrazione e di acquisizione necessarie al confronto biometrico, e non devono essere memorizzati se non per il tempo strettamente necessario alla generazione del modello stesso” (v. punto 8.5 dell’allegato A).

Tale provvedimento, seppur approvato con riferimento al quadro giuridico previgente, è tuttora valido nelle sue linee generali e conforme ai principi e alle disposizioni di cui al Regolamento.

Pertanto, tale trattamento non è conforme al principio di limitazione della conservazione di cui all’art. 5, par. 1, lett. e), del Regolamento che, al contrario, impone che i dati siano conservati per un tempo non superiore al conseguimento delle finalità per le quali sono raccolti.

Tra l’altro, contrariamente a quanto ritenuto dalla Società, nell’ambito del rapporto di lavoro il consenso manifestato dai dipendenti non può essere considerato idoneo presupposto di liceità, ciò alla luce dell’asimmetria tra le rispettive parti del rapporto di lavoro e la conseguente, eventuale, necessità di accertare di volta in volta e in concreto l’effettiva libertà del consenso espresso (v. provvedimenti n. 16 del 14/01/2021 doc. web n. 9542071, n. 35 del 13/02/2020, doc. web n. 9285411, n. 500 del 13/12/2018, doc web n. 9068983).

Risulta, pertanto, accertato che il trattamento di dati biometrici dei dipendenti è stato effettuato dalla Società in assenza di un’idonea base giuridica, in violazione dell’art. 9, par. 2, lett. b), del Regolamento.

Dall’esame della documentazione acquisita, inoltre, è emerso che l’informativa predisposta dalla Società è carente e inidonea a rappresentare, in maniera completa, le caratteristiche principali del trattamento.

Nel documento prodotto in atti, infatti, manca qualsiasi riferimento non solo, come detto, alle caratteristiche principali del trattamento, ma anche alle cautele adottate, alla natura obbligatoria o facoltativa del conferimento del dato, rispetto alla finalità perseguita, e alla possibilità di utilizzare, in alternativa al sistema biometrico, il sistema tradizionale basato sul badge.

Sotto questo aspetto, si osserva che l’Autorità ha in più occasioni ribadito che il datore di lavoro, in applicazione del principio di trasparenza, ha l’obbligo di indicare ai propri dipendenti e collaboratori quali siano le caratteristiche essenziali dei trattamenti di dati effettuati in occasione del rapporto di lavoro nonché degli strumenti attraverso i quali i trattamenti sono effettuati, conformemente a quanto specificamente indicato dall’art. 13 del Regolamento. Ciò anche considerando che, nell’ambito del rapporto di lavoro, l’obbligo di informare il dipendente è altresì espressione del dovere di correttezza (art. 5, par. 1, lett. a) del Regolamento).

Alla luce di quanto sopra, risulta accertato che la Società ha effettuato un trattamento di dati biometrici in violazione degli artt. 5, par. 1, lett. a), c), e), 9, par. 2, lett. b) e 13 del Regolamento.

3.2. Trattamento di dati personali mediante il software Infinity DMS.

Dall’esame della documentazione acquisita, è emerso inoltre che la Società ha effettuato un trattamento di dati personali dei dipendenti per mezzo di un software gestionale sin da gennaio 2018.

Tale strumento, in base a quanto dichiarato, verrebbe “imposto” alla concessionaria dalla casa madre a cui è inviato mensilmente un report contenente dati aggregati sui tempi impiegati dalle officine per le lavorazioni effettuate.

In particolare, dagli accertamenti eseguiti nelle date del 1 e 2 marzo 2022, è risultato che i dipendenti, attraverso un codice a barra assegnato individualmente, sono tenuti a registrare nel gestionale le varie fasi dell’attività lavorativa comprese le pause, con l’indicazione della specifica causale (es. riposo, attesa ricambi, ecc.).

Il software consente anche di raccogliere e trattare dati personali riferiti ai clienti dell’officina (ai quali viene fornita l’informativa, acquisita in atti) e le informazioni relative alla tipologia di interventi effettuati sulle autovetture, queste ultime, come detto, inserite dai dipendenti.

La Società ha predisposto il registro dei trattamenti, ai sensi dell’art. 30 del Regolamento, dal cui esame è stato possibile evincere le principali finalità perseguite, tramite il gestionale Infinity DMS, consistenti in particolare nella gestione dei processi contabili e finanziari, nella predisposizione dei preventivi e nell’esecuzione dei contratti in generale.

Tuttavia, va rilevato che, a fronte di reiterate richieste dell’Autorità di conoscere nel dettaglio le caratteristiche essenziali del gestionale utilizzato (si vedano le richieste formulate in data 31/05/2022 e 30/09/2022), la Società ha fornito riscontri molto generici ed evasivi senza consentire all’Autorità di avere piena contezza del trattamento effettuato, di conoscere la natura e la tipologia dei dati trattati, le modalità e i tempi di conservazione dei dati, e di valutarne l’effettiva necessità e proporzionalità rispetto alle finalità da perseguire.

Tra l’altro, tali informazioni non sono state portate a conoscenza nemmeno dei dipendenti, ai quali è stata fornita un’informativa che risulta incompleta e inidonea a rappresentare compiutamente il trattamento effettuato.

Infatti, nell’informativa acquisita in atti, che si riferisce alla totalità dei trattamenti svolti dalla Società, la stessa si limita a dichiarare che “nello svolgimento delle attività di trattamento la Società si impegna ad assicurare l’esattezza e l’aggiornamento dei dati trattati (…); trattare i dati personali acquisiti nel completo rispetto del principio di correttezza, liceità e trasparenza” (all. 2 al verbale del 01/03/2022).

Ciò anche considerando che nell’ambito del rapporto di lavoro l’obbligo di informare il dipendente è espressione del dovere di correttezza (art. 5, par. 1, lett. a) del Regolamento).

Parimenti, non è rinvenibile nei documenti prodotti in atti, e in primis nell’informativa, una idonea base giuridica tra quelle elencate all’art. 6 del Regolamento.

La Società, infatti, anche nel corso dell’accertamento ispettivo si è limitata a dichiarare che “le valutazioni che hanno determinato l’acquisto del software Infinity DMS e dell’hardwrae X-face 380 sono riconducibili innanzitutto per elevare, così come vuole casa madre gli standard qualitativi dell’azienda (…)” (pag. 4 del verbale di operazioni compiute).

Pertanto, all’esito delle valutazioni effettuate sulla base delle dichiarazioni rese e della documentazione acquisita, emerge che il trattamento è stato posto in essere dalla Società in violazione dei principi di liceità, correttezza e trasparenza di cui agli artt. 5, par. 1, lett. a), 6 e 13 del Regolamento.

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Per i suesposti motivi l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati personali effettuato dalla Società e, segnatamente, il trattamento di dati personali e biometrici (riconoscimento facciale) riferiti ai propri dipendenti per finalità di rilevazione delle presenze, risulta illecito, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a), c), e), 9, par. 2, lett. b) e 13, del Regolamento.

Il trattamento dei dati personali dei dipendenti è altresì avvenuto in violazione degli artt. 5, par. 1, lett. a), 6 e 13 del Regolamento.

La violazione accertata nei termini di cui in motivazione non può essere considerata “minore”, tenuto conto della natura della violazione che ha riguardato i principi generali e le condizioni di liceità del trattamento di dati particolari nonché della gravità della violazione stessa, del grado di responsabilità e della maniera in cui l'autorità di controllo ha preso conoscenza della violazione (v. Considerando 148 del Regolamento).

Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento, alla luce delle circostanze del caso concreto:

- si dispone l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento;

- si impone il divieto del trattamento dei dati biometrici dei dipendenti, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento;

- si ingiunge alla Società di conformare il trattamento dei dati effettuato mediante il software gestionale Infinity DMS alle disposizioni e ai principi generali in materia di trattamento dei dati personali.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

All’esito del procedimento risulta che C. G. & Figli s.r.l. ha effettuato due distinti trattamenti di dati violando rispettivamente gli artt. 5, par. 1, lett. a), c), e), 9, par. 2, lett. b), 13 e gli artt. 5, par. 1, lett. a), 6, 13 del Regolamento.

Per la violazione delle predette disposizioni è prevista l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 4, lett. a) e par. 5, lett. a) e b) del Regolamento, mediante adozione di un’ordinanza ingiunzione (art. 18, l. 24.11.1981, n. 689).

Ritenuto di non dover applicare, al caso di specie, il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni singolo caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

a. in relazione alla natura, gravità e durata della violazione è stata considerata a sfavore della Società la natura della violazione che ha riguardato i principi generali e le condizioni di liceità del trattamento e il trattamento di dati particolari biometrici utilizzando la tecnologia del riconoscimento facciale; è stata altresì considerata a sfavore della Società la durata della violazione che è tuttora in corso;

b. con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare è stata presa in considerazione la condotta della Società e il grado di responsabilità della stessa che non si è conformata alla disciplina in materia di protezione dei dati relativamente a una pluralità di disposizioni;

c.  si è tenuto conto della scarsa collaborazione con l’Autorità di controllo e del perdurare del trattamento anche dopo l’avvio del procedimento.

Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla Società con riferimento al bilancio ordinario d’esercizio per l’anno 2022. Da ultimo si tiene conto dell’entità delle sanzioni irrogate in casi analoghi.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di C. G. e figli s.r.l. la sanzione amministrativa del pagamento di una somma pari ad euro 120.000,00 (centoventimila).

In tale quadro si ritiene, altresì, in considerazione della tipologia delle violazioni accertate che hanno riguardato i principi generali e le condizioni di liceità del trattamento, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante.

Si ritiene, altresì, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

 

TUTTO CIÒ PREMESSO, IL GARANTE

rileva l’illiceità del trattamento effettuato da C. G. & Figli s.r.l., in persona del legale rappresentante pro tempore, con sede in M. (RG), Via S. S. XX, C.F. omissis, per le violazioni degli artt. 5, par. 1, lett. a), c), e), 9, par. 2, lett. b), 13 (relativamente al trattamento dei dati biometrici) e degli artt. 5, par. 1, lett. a), 6, 13 del Regolamento;

 

ORDINA

ai sensi dell’art. 58, par. 2, lett. i), del Regolamento a C. G. & Figli s.r.l. di pagare la somma di euro 120.000,00 (centoventimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di conformare il trattamento dei dati effettuato mediante il software gestionale Infinity DMS alle disposizioni e ai principi generali in materia di trattamento dei dati personali nei termini esposti in motivazione entro 90 giorni dalla data di notifica del presente provvedimento;

ai sensi dell’art. 58, par. 2, lett. f), del Regolamento, il divieto di effettuare il trattamento dei dati biometrici dei dipendenti attraverso il sistema di riconoscimento facciale.

 

INGIUNGE

alla medesima Società di pagare la predetta somma di euro 120.000,00 (centoventimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981.

Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);

 

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/20129, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

Richiede alla Società di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto disposto con il presente provvedimento e di fornire comunque riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice, entro il termine di 90 giorni dalla data di notifica del presente provvedimento; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 5, lett. e) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.