Privacy: no alla rilevazione delle impronte digitali per accertare la presenza dei dipendenti
Provv. 10 novembre 2022, n. 369 (1).
Ordinanza ingiunzione nei confronti di Sportitalia, società sportiva dilettantistica a responsabilità limitata (2)
(1) Pubblicato nel sito internet del Garante per la protezione dei dati personali.
(2) Emanato dal Garante per la protezione dei dati personali.
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, "Regolamento");
VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito "Codice");
VISTA la segnalazione presentata in data 15 maggio 2019 da SLC CGIL nei confronti di Sportitalia società sportiva dilettantistica a responsabilità limitata;
ESAMINATA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
RELATORE la prof.ssa Ginevra Cerrina Feroni;
PREMESSO
1. La segnalazione nei confronti della Società e l'esito degli accertamenti ispettivi.
Con segnalazione del 15 maggio 2019 la SLC CGIL ha lamentato che, a partire dal mese di ottobre del 2018, presso i Club Get Fit di Milano gestiti dalla Società Sportitalia, società sportiva dilettantistica a responsabilità limitata (di seguito, la Società), "è stato introdotto un sistema di timbratura per rilevazione delle presenze, con terminale biometrico (rilevamento delle impronte digitali) per tutti i dipendenti e collaboratori al fine di registrare l'accesso e la presenza presso i Club".
L'introduzione del sistema biometrico, disposta nonostante la richiesta formulata alla Società dalla organizzazione segnalante, di adottare "mezzi meno invasivi - scegliendo procedimenti non biometrici", sarebbe avvenuta in violazione dei principi di liceità, necessità e proporzionalità.
L'Autorità, in data 5 settembre 2019, ha trasmesso alla Società un invito a fornire riscontro in ordine ai fatti oggetto di segnalazione e, in data 10 gennaio 2020, non essendo pervenuta alcuna riposta, una richiesta di informazioni ai sensi dell'art. 157 del Codice.
Poiché anche in questo caso la Società non ha fatto pervenire alcun riscontro, l'Autorità ha delegato il Nucleo speciale privacy e frodi tecnologiche della Guardia di finanza ad effettuare la notifica dell'atto di avvio del procedimento sanzionatorio, ai sensi dell'art. 166, comma 5, del Codice, in relazione alla prospettata violazione del medesimo art. 166, comma 2 (laddove stabilisce che la violazione dell'art. 157 del Codice è soggetta all'applicazione della sanzione amministrativa di cui all'art. 83, par. 5, del Regolamento). Il Nucleo è stato altresì delegato ad acquisire le informazioni già richieste alla Società in relazione ai fatti oggetto di segnalazione.
In data 28, 29 e 30 settembre 2021 sono stati effettuati accertamenti ispettivi presso la sede legale della società, nel corso dei quali, oltre alla notifica dell'atto di avvio del procedimento sanzionatorio per la violazione dell'art. 166, comma 2 del Codice, sono state acquisite a verbale le seguenti dichiarazioni:
a. presso la sede legale della società e presso le 7 unità locali ("club con insegna a marchio GET-FIT") "allo stato [... ] è stato installato ed è attivo [... ] un impianto di rilevazione biometrica delle presenze dei dipendenti" (v. verbale 28/9/2021, p. 3);
b. quanto all'atto di avvio del procedimento sanzionatorio oggetto di notifica, la nota di riscontro alla richiesta di informazioni del Garante era stata predisposta anche con l'ausilio del Responsabile della protezione dei dati il 16 ottobre 2019 ed affidata per la spedizione via Pec ad una impiegata della società "che ha cessato il rapporto di lavoro nel mese di marzo 2021"; solo a seguito della notifica dell'atto di avvio del procedimento sanzionatorio la Società ha appreso "che tale comunicazione non è mai stata inviata [ ... ]. L'ulteriore comunicazione del Garante, inviata a mezzo Pec il 10 gennaio 2020, seppur sia stata recapitata e ricevuta dall'impiegata addetta alla corrispondenza aziendale, risulta non essere stata inviata all'impiegata[...] incaricata di tale mansione (che avrebbe dovuto poi inoltrarla al DPO per il necessario confronto), per un errore di invio che non è stato rilevato né evidenziato" (v. verbale 29/9/2021, p. 5);
c. sono state fornite le date della installazione dei rilevatori biometrici presso le sede legale e le sedi dei 7 club GET-FIT di Milano (tra il 2-3 ottobre 2018 e, in un caso, il 4 settembre 2020); in proposito la Società ha precisato che "dopo la fase iniziale di test di funzionamento preliminari, avvenuti presso l'Head Office a partire dal 1 ottobre 2018, l'effettivo inizio del trattamento è avvenuto per tutti i club dall'8 ottobre 2018 con i primi rilevamenti, mentre per quello di via Pinerolo dall'8 settembre 2020" (v. verbale cit., p. 6);
d. il requisito di liceità dei trattamenti effettuati "si fonda sul consenso specifico e libero espresso da parte di ogni singolo dipendente" (v. verbale cit., p. 6);
e. in proposito la Società ha consegnato alcuni documenti recanti una "Informativa sulla privacy per i dipendenti", che reca altresì in calce una sottoscrizione per presa visione e consenso al trattamento dei dati biometrici da parte del dipendente, datati 8 settembre 2021 e 16 ottobre 2018, relativi a tre dipendenti (v. AII. 9, verbale cit., p. 6);
f. "la società, ad oggi, si avvale della collaborazione di 132 dipendenti, tutti interessati dal trattamento in esame"; inoltre "il sistema è stato predisposto, in ambito hardware e software, a funzionare con la modalità alternativa del badge senza l'uso del dato biometrico", sebbene nessun dipendente abbia richiesto di poter utilizzare il sistema alternativo (v. verbale cit., p. 7);
g. ai dati contenuti nel lettore biometrico possono accedere, mediante inserimento di una password, i dipendenti con mansione di "Club Manager" e, presso la sede amministrativa, l'addetto ai sistemi informatici (v. verbale 30 settembre 2021, p. 9);
h. il sistema biometrico prodotto da Kronotech s.r.l. e fornito da Cronos s.r.l., tratta "unicamente il modello biometrico (template) che viene creato a seguito di elaborazione all'atto della registrazione dell'account identificativo biometrico di ogni utente" (v. verbale cit., p. 9);
i. "il dipendente neo assunto viene inserito nell'anagrafica di KEROS, da parte dell'ufficio amministrazione, a cui vengono rilasciate credenziali di accesso personali [...] utile per la gestione del proprio account lavorativo (presenze, assenze, giustificativi, ore di lavoro svolte, richieste permessi, etc.)" (v. verbale cit., p. 9);
j. successivamente "si procede alla creazione dell'identità biometrica (enrollment), con l'associazione del predetto codice numerico al modello biometrico (template) che viene generato a seguito di registrazione tramite impronta digitale, di cui il relativo template resta unicamente memorizzato nel dispositivo fisico [... ] presente nel club di assegnazione"; inoltre "tutti i 9 dispositivi [... ] sono connessi, dai vari club, ad una rete tramite VPN aziendale con cavo ethernet, in quanto il server nella sede centrale [ ... ] interroga quotidianamente detti terminali biometrici nelle sedi remote per centralizzare i dati relativi alle presenze e poi inviarli, tramite protocollo FTP [...] ad un server della CRONOS srl con la finalità di abbinare tali dati alle anagrafiche dei dipendenti" (v. verbale cit., p. 10);
k. la modalità di confronto al momento della autenticazione da parte del dipendente è del tipo "uno a molti" (v. verbale cit., p. 10);
l. "non vi è alcuna registrazione di dati biometrici grezzi"; inoltre, in relazione ai tempi di conservazione, "quando un dipendente cessa il rapporto di lavoro con la società [si] procede a richiedere la cessazione, via email, della relativa utenza personale anagrafica a Cronos supporto, per la successiva incombenza" (v. verbale cit., p. 10).
In data 14 ottobre 2021, la Società ha inviato ulteriore documentazione a scioglimento delle riserve presentate al termine delle attività ispettive, in particolare copia del registro delle attività di trattamento effettuate dalla Società, sprovvisto di data e comunque, secondo quando indicato, "aggiornato al 31.07.21". La Società ha altresì rappresentato che "per la rilevazione delle presenze e degli accesi del personale, oltre [al] sistema biometrico è, comunque, attivo anche un sistema di rilevazione tramite l'utilizzo di un badge".
2. L'avvio del procedimento e le deduzioni della Società.
Premesso che, come già riportato nel precedente paragrafo, nel corso degli accertamenti ispettivi il Nucleo speciale privacy e frodi tecnologiche della Guardia di finanza ha notificato l'atto di avvio del procedimento sanzionatorio in relazione alla prospettata violazione del medesimo art. 166, comma 2 (con riguardo all'art. 157 del Codice), in data 3 marzo 2022 l'Ufficio ha effettuato, ai sensi dell'art. 166, comma 5, del Codice, una nuova notificazione alla Società delle presunte violazioni del Regolamento riscontrate, con riferimento agli artt. 5, par. 1, lett. a), 9, 13, 30, par. 1, lett. c) del Regolamento.
Con memorie difensive del 2 aprile 2022, la Società ha dichiarato che:
a. "il sistema di rilevazione dei dati biometrici dei dipendenti, [...] ha quale unica finalità quella di rilevare le presenze dei dipendenti al fine di agevolare la registrazione dell'orario di entrata e di uscita";
b. poiché "molto spesso in passato [...] i dipendenti dimenticavano di registrare, tramite l'utilizzo del badge, il loro arrivo o la loro uscita dal posto di lavoro, circostanza questa che costringeva il datore ad assumere iniziative disciplinari [... ] si è deciso di adottare tale sistema, molto più snello e veloce";
c. in relazione al sistema di rilevazione biometrica "tutti i dipendenti [...] hanno prestato il loro consenso libero, specifico e rilasciato per iscritto";
d. "i dipendenti vengono comunque informati della possibilità di non prestare il loro consenso al trattamento dei dati personali biometrici ovvero di poterlo revocare in qualsiasi momento";
e. la Società ha pertanto agito "in totale buona fede e trasparenza [e] se vi è stata violazione questa non può che ritenersi di natura colposa";
f. in ogni caso "in un'ottica di totale collaborazione con il Garante della Privacy si conferma [... ] che a far data dal prossimo 2 maggio 2022, verrà interrotto l'utilizzo del sistema di rilevazione dei dati biometrici per l'accesso dei dipendenti con contestuale cancellazione di tutti i dati eventualmente acquisiti e verrà utilizzato esclusivamente il sistema tradizionale della registrazione [...] mediante l'utilizzo del «badge»".
La Società, nel corso dell'audizione tenutasi il 6 giugno 2022 ha infine dichiarato che:
a. "non appena ricevuta la notifica delle violazioni da parte dell'Autorità [la società] ha deciso di interrompere l'utilizzo del sistema. In particolare si conferma che a partire dal 2 maggio scorso il sistema di rilevazione dell'impronta è stato disattivato";
b. "Cronos s.r.l., società che[...] ha fornito il sistema, non [...] ha comunicato alcun aspetto problematico relativo all'applicabilità di tale sistema [... ]. Si sottolinea pertanto la totale buona fede della società";
c. "contestualmente all'abbandono del sistema biometrico la società ha chiesto a Cronos s.r.l. di cancellare i dati raccolti posto che i template estratti erano conservati solo sul database della società fornitrice del servizio mentre all'ufficio del personale erano visibili solo i dati di ingresso e uscita dal luogo di lavoro";
d. "quando fu concluso il contratto con Cronos s.r.l. la società non aveva ancora nominato il DPO. Quando arrivò la prima richiesta di informazioni da parte del Garante, nel 2019, fu predisposta una risposta da parte della società inviata in visione anche al DPO che, nell'occasione, sollevò qualche obiezione sul sistema (in proposito si rinvia allo scambio di email di cui all'allegato 3 del verbale ispettivo). Tale risposta tuttavia non fu mai inviata al Garante a causa del mancato invio da parte di una dipendente a ciò incaricata, che poi si è dimessa. Per quanto riguarda la seconda richiesta di informazioni inviata dal Garante il mancato riscontro è addebitabile ad una mera svista";
e. "i dati biometrici non sono stati trattati continuativamente dall'introduzione del predetto sistema di rilevazione (circa quattro anni) considerato che le palestre sono rimaste chiuse per quasi un anno a causa della pandemia e che anche dopo la riapertura alcuni dipendenti sono rimasti in cassa integrazione, mentre altri si sono dimessi. Quindi il numero di dipendenti era inferiore rispetto a quelli in forza al momento dell'attivazione del sistema";
f. "usciamo da un periodo funesto soprattutto per le palestre e si chiede al Garante di tenerne conto nell'effettuare le proprie valutazioni dato che la situazione finanziaria del settore in generale e della società in particolare è tutt'ora particolarmente difficoltosa".
3. L'esito dell'istruttoria.
3.1. Il trattamento di dati biometrici effettuato dalla società.
All'esito dell'esame delle dichiarazioni rese all'Autorità nel corso del procedimento nonché della documentazione acquisita, risulta che la Società, in qualità di titolare, ha effettuato alcune operazioni di trattamento, riferite ai propri dipendenti, che risultano non conformi alla disciplina in materia di protezione dei dati personali.
In proposito si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice "Falsità nelle dichiarazioni al Garante e interruzione dell'esecuzione dei compiti o dell'esercizio dei poteri del Garante".
Nel merito è emerso che la Società ha effettuato, a partire dal mese di ottobre 2018, trattamenti di dati personali dei propri dipendenti mediante l'attivazione di un sistema biometrico, finalizzato all'accertamento della presenza in servizio, basato sulla rilevazione dell'impronta digitale e l'associazione dell'impronta ad un codice assegnato al dipendente, allo scopo di "agevolare i dipendenti nella registrazione dell'orario di entrata e di uscita" e adottare un sistema "più snello e veloce" rispetto a quello precedentemente in uso basato sul badge.
Il trattamento ha riguardato un numero significativo di interessati, pari a 132 dipendenti, sebbene in alcuni periodi di emergenza sanitaria il numero di lavoratori coinvolto dal trattamento biometrico sia stato sensibilmente inferiore.
Le uniche informazioni fornite ai dipendenti in merito al trattamento di dati biometrici sono contenute in un breve capoverso presente all'interno dell'informativa relativa alla generalità dei trattamenti effettuati nel contesto del rapporto di lavoro; inoltre il registro delle attività di trattamento datato 31 luglio 2021 non contempla i dati biometrici tra i tipi di dati trattati dal titolare.
Si prende atto che, secondo quanto dichiarato dalla Società, in data 2 maggio 2022 il sistema biometrico è stato sostituito da un sistema di rilevazione delle presenze non biometrico.
E' emerso, infine, che la Società non ha fornito riscontro alla richiesta di informazioni formulata dall'Autorità ai sensi dell'art. 157 del Codice.
I trattamenti di dati personali effettuati dalla Società, oggetto di accertamento, hanno riguardato i dati biometrici dei dipendenti, posto che, come chiarito dall'Autorità, vi è trattamento di tale tipologia di dati sia nella fase di registrazione (c.d. enrollment, consistente nella acquisizione delle caratteristiche biometriche - nella specie impronte digitali - dell'interessato (v. punti 6.1 e 6.2 dell 'allegato A al provvedimento del Garante del 12 novembre 2014, n. 513, in www.garanteprivacy.it, doc. web n. 3556992), sia nella fase di riconoscimento biometrico, all'atto della rilevazione delle presenze (v. anche punto 6.3 dell'allegato A al citato provvedimento).
Ciò anche alla luce della definizione di dati biometrici fornita dal Regolamento ("dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici", art. 4, n. 14, del Regolamento) che ha altresì inserito tale tipologia di dati tra i "dati particolari" (art. 9, par. 1 del Regolamento).
3.2. Violazione degli artt. 5, par. 1, lett. a) e 9 del Regolamento.
La Società ha consegnato copia di alcuni documenti, contenenti una "Informativa sulla privacy per i dipendenti", riferita alla generalità dei trattamenti effettuati nel contesto del rapporto di lavoro con la Società, che in fine, in calce alla sezione "Presa visione del dipendente - Consenso al trattamento", dove compare anche la seguente frase: "Per quanto riguarda il trattamento dei miei dati biometrici (impronta digitale) per il monitoraggio e registrazione degli accessi/uscite che il Titolare tratterà con la massima attenzione e con l'utilizzo di idonei sistemi informatici, con la presente sottoscrizione rilascio mio espresso consenso al trattamento suddetto per le finalità indicate", reca la data e la sottoscrizione del dipendente (le copie fornite si riferiscono a tre dipendenti; v. AII. 9, verbale di operazioni compiute).
In proposito si osserva che, in base alla disciplina posta in materia di protezione dei dati personali, il trattamento di dati biometrici (di regola vietato ai sensi del richiamato art. 9, par. 1 del Regolamento) è consentito esclusivamente qualora ricorra una delle condizioni indicate dall'art. 9, par. 2 del Regolamento e, con riguardo ai trattamenti effettuati in ambito lavorativo, solo quando il trattamento sia "necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell'Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell'interessato" (art. 9, par. 2, lett. b), del Regolamento; v. pure, art. 88, par. 1 e cons. 51-53 del Regolamento).
Pertanto, sebbene nel contesto lavorativo le finalità di rilevazione delle presenze dei dipendenti e di verifica dell'osservanza dell'orario di lavoro possano rientrare nell'ambito di applicazione dell'art. 9, par. 2, lett. b) del Regolamento in quanto implicano un trattamento "necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro [e della sicurezza sociale e protezione sociale]" (v. pure art. 88, par. 1, Regolamento), tuttavia il trattamento dei dati biometrici sarà consentito solo "nella misura in cui sia autorizzato dal diritto dell'Unione o degli Stati membri [...] in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell'interessato" (art. 9, par. 2, lett. b), e cons. nn. 51-53 del Regolamento).
In tale quadro, affinché uno specifico trattamento avente a oggetto dati biometrici possa essere lecitamente iniziato è pertanto necessario che lo stesso trovi il proprio fondamento in una disposizione normativa che abbia le caratteristiche richieste dalla disciplina di protezione dei dati, anche in termini di proporzionalità dell'intervento regolatorio rispetto alle finalità che si intendono perseguire.
Il quadro normativo vigente prevede, inoltre, che il trattamento di dati biometrici, per poter essere lecitamente posto in essere, avvenga nel rispetto di "ulteriori condizioni, comprese limitazioni" (cfr. art. 9, par. 4, del Regolamento).
A tale disposizione è stata data attuazione, nell'ordinamento nazionale, con l'art. 2-septies (Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute) del Codice.
La norma prevede che è lecito il trattamento di tali categorie di dati al ricorrere di una delle condizioni di cui all'art. 9, par. 2, del Regolamento "ed in conformità alle misure di garanzia disposte dal Garante", in relazione a ciascuna categoria dei dati.
Il datore di lavoro, titolare del trattamento, è, in ogni caso, tenuto a rispettare i principi di "liceità, correttezza e trasparenza", "limitazione delle finalità", "minimizzazione" nonché "integrità e riservatezza" dei dati e "responsabilizzazione" (art. 5 del Regolamento). I dati devono, inoltre, essere "trattati in maniera da garantire un'adeguata sicurezza" degli stessi, "compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali" (art. 5, par. 1, lett. f), e art. 32 del Regolamento).
A tale ultimo proposito si osserva inoltre che l'utilizzo del dato biometrico nel contesto dell'ordinaria gestione del rapporto di lavoro (quale è l'attività di rilevazione delle presenze), al dichiarato fine di garantire maggiore velocità e snellezza delle relative operazioni a fronte di ripetute dimenticanze nella timbratura tramite badge, non appare conforme ai principi di minimizzazione e proporzionalità del trattamento (art. 5 del Regolamento).
Alla luce del richiamato quadro normativo il trattamento di dati biometrici realizzato dalla Società risulta essere stato effettuato in assenza di un'idonea base giuridica posto che la raccolta del consenso degli interessati, nel contesto del rapporto di lavoro, non corrisponde a quanto stabilito dal richiamato art. 9, par. 2, lett. b) del Regolamento nei termini su esposti.
Si osserva, inoltre, che l'Autorità con propri provvedimenti ha ritenuto che, in termini generali, il consenso del lavoratore non costituisce, di regola, un valido presupposto di liceità per il trattamento dei dati personali in ambito lavorativo, indipendentemente dalla natura pubblica o privata del datore di lavoro, ciò alla luce della asimmetria tra le rispettive parti del rapporto di lavoro e la conseguente, eventuale, necessità di accertare di volta in volta e in concreto l'effettiva libertà della manifestazione di volontà del dipendente (v., tra gli altri, provv.ti n. 16 del 14 gennaio 2021, doc. web n. 9542071; n. 35 del 13 febbraio 2020, doc. web n. 9285411; n. 500 del 13 dicembre 2018, doc. web n. 9068983; v. altresì artt. 6-7 e considerando 42-43, Regolamento (UE) 2016/679; v. altresì, in senso conforme, Gruppo art. 29, Linee Guida sul consenso ai sensi del Regolamento UE 2016/679 - WP 259 - del 4 maggio 2020, spec. par. 3.1.1.; Parere 2/2017 sul trattamento dei dati sul posto di lavoro, WP 249, spec. par. 3.1.1 e 6.2).
Si prende atto comunque che la Società ha interrotto il trattamento dei dati biometrici a partire dal 2 maggio 2022, dichiarando sotto propria responsabilità di aver altresì disposto la cancellazione dei dati raccolti.
La Società, per i motivi suesposti, ha pertanto violato gli artt. 5, par. 1, lett. a) e 9, par. 2, lett. b) del Regolamento, dalla data di installazione e messa in funzione dei dispositivi, come risulta in atti, alla data del 2 maggio 2022.
3.3. Violazione degli artt. 5, par. 1, lett. a) e 13 del Regolamento.
Il titolare del trattamento deve trattare i dati "in modo lecito, corretto e trasparente" (art. 5, par. 1, lett. a) del Regolamento), adottando "misure appropriate per fornire all'interessato tutte le informazioni di cui agli articoli 13 e 14 [...]" (art. 12 del Regolamento).
All'esito dell'attività istruttoria è emerso che gli unici elementi informativi forniti dalla Società in relazione al trattamento dei dati biometrici dei dipendenti sono quelli contenuti nella già richiamata "Informativa sulla privacy per i dipendenti" (precisamente i seguenti: "il Titolare tratterà con la massima attenzione e con l'utilizzo di idonei sistemi informatici [i] dati biometrici (impronta digitale) per il monitoraggio e registrazione degli accessi/uscite").
Tali elementi risultano del tutto inidonei a rappresentare le caratteristiche del trattamento che si intende effettuare attraverso gli specifici dispositivi biometrici, come prescritto dall'art. 13 del Regolamento (in particolare, con riguardo al caso di specie: titolare e responsabile del trattamento, base giuridica, tempi di conservazione, diritti dell'interessato, diritto di proporre reclamo ad un'autorità di controllo).
Peraltro, con specifico riguardo alla base giuridica del trattamento, nel documento predisposto dalla Società è assente alcun riferimento alla possibilità di utilizzare, in alternativa al sistema biometrico, il sistema tradizionale basato sul badge o di poter revocare il consenso prestato, come dichiarato dalla Società stessa nel corso dell'attività istruttoria.
Nell'ambito del rapporto di lavoro l'obbligo di informare il dipendente è altresì espressione del dovere di correttezza ex art. 5, par. 1, lett. a) del Regolamento.
La Società, per i motivi suesposti, ha pertanto violato gli artt. 5, par. 1, lett. a) e 13 del Regolamento, dalla data di installazione e messa in funzione dei dispositivi, come risulta in atti, alla data del 2 maggio 2022.
3.4. Violazione dell'art. 30, par. 1, lett. c) del Regolamento.
All'esito dell'attività di accertamento è emerso inoltre che il registro delle operazioni di trattamento predisposto dalla Società, datato 31 luglio 2021, non indica i dati biometrici tra i tipi di dati trattati dal titolare (v. documentazione inviata il 14/10/2021).
Considerato che il registro è uno strumento che consente al titolare, nell'ambito della c.d. responsabilizzazione ("accountability": art. 5, par. 2, del Regolamento), di disporre di un quadro aggiornato dei trattamenti effettuati anche in vista dell'analisi dei rischi nonché di poter corrispondere alle richieste di esibizione da parte dell'autorità di controllo, i contenuti ivi riportati devono corrispondere ai trattamenti effettivamente in essere.
Per tale ragione l'Autorità ha ritenuto che il registro deve essere compilato in modo tale da indicare la data, verificabile, della sua prima istituzione e quella dell'ultimo aggiornamento (v. FAQ sul registro delle attività di trattamento, n. 5). Ciò tenuto conto del fatto che la tenuta del registro non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei trattamenti dei dati personali effettuati.
Pertanto l'omessa presa in considerazione, all'interno del registro, del trattamento dei dati biometrici dei dipendenti risulta in violazione di quanto stabilito dall'art. 30 par. 1, lett. c), del Regolamento, in base al quale all'interno del registro delle attività di trattamento svolte dal titolare sotto la propria responsabilità deve essere presente anche la descrizione delle categorie di dati personali oggetto di trattamento.
3.5. Violazione dell'art. 157 in relazione a quanto previsto dall'art. 166, comma 2, del Codice.
Risulta infine accertato che la Società ha omesso di fornire riscontro alle richieste di informazioni rivolte dall'Autorità, in particolare all'invito del 5 settembre 2019 e alla richiesta formulata ai sensi dell'art. 157 del Codice, inviata il 10 gennaio 2020 (contenente l'espresso avviso che "in caso di inottemperanza alla presente richiesta, dovrà essere applicata la sanzione amministrativa pecuniaria prevista dall'art. 166, comma 2 del Codice"), nonostante le comunicazioni degli uffici del Garante fossero state regolarmente notificate.
In base al richiamato articolo 157 del Codice "Nell'ambito dei poteri di cui all'articolo 58 del Regolamento, e per l'espletamento dei propri compiti, il Garante può richiedere al titolare [...] di fornire informazioni e di esibire documenti". L'art. 166, comma 2, del Codice stabilisce che la violazione dell'art. 157 del Codice è soggetta alla sanzione amministrativa di cui all'art. 83, par. 5, del Regolamento. L'omesso riscontro da parte della Società alla richiesta di informazioni del Garante è pertanto avvenuto in violazione dell'art. 157 del Codice in relazione a quanto previsto dall'art. 166, comma 2, del Codice, con conseguente applicazione della sanzione amministrativa di cui all'art. 83, par. 5, del Regolamento.
4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.
Per i suesposti motivi l'Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell'istruttoria non consentono di superare i rilievi notificati dall'Ufficio con l'atto di avvio del procedimento e risultano pertanto inidonee a consentire l'archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall'art. 11 del Regolamento del Garante n. 1/2019.
Il trattamento dei dati personali effettuato dalla Società e segnatamente il trattamento dei dati biometrici dei dipendenti e l'omesso riscontro alla richiesta di informazioni del Garante risulta infatti illecito, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a), 9, 13, 30, par. 1, lett. c) del Regolamento e 157 del Codice.
La violazione accertata nei termini di cui in motivazione non può essere considerata "minore", tenuto conto della natura, della gravità e della durata della violazione stessa, del grado di responsabilità e della maniera in cui l'autorità di controllo ha preso conoscenza della violazione (cons. 148 del Regolamento).
Pertanto, visti i poteri correttivi attribuiti dall'art. 58, par. 2 del Regolamento si dispone l'applicazione una sanzione amministrativa pecuniaria ai sensi dell'art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) Regolamento).
5. Adozione dell'ordinanza ingiunzione per l'applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i}, e 83 del Regolamento; art. 166, comma 7, del Codice).
All'esito del procedimento risulta che Sportitalia, società sportiva dilettantistica a responsabilità limitata ha violato gli artt. 5, par. 1, lett. a), 9, 13, 30, par. 1, lett. c) del Regolamento e 157 del Codice. Per la violazione delle predette disposizioni è prevista l'applicazione della sanzione amministrativa pecuniaria prevista dall'art. 83, par. 4, lett. a) e par. 5, lett. a) e b) del Regolamento, mediante adozione di un'ordinanza ingiunzione (art. 18, I. 24.11.1981, n. 689).
Ritenuto di dover applicare il paragrafo 3 dell'art. 83 del Regolamento laddove prevede che "Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento[...] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave", l'importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.
Con riferimento agli elementi elencati dall'art. 83, par. 2 del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve "in ogni caso [essere] effettiva, proporzionata e dissuasiva" (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:
a) in relazione alla natura, gravità e durata della violazione (che si è protratta per poco meno di quattro anni, dalla data di attivazione dei dispositivi, avvenuta per tutti i club 1'8/10/2018 e, in un caso, 1'8/9/2020, fino al 2/5/2022) è stata considerata rilevante la natura della violazione che ha riguardato i principi generali del trattamento;
b) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare è stata presa in considerazione la condotta della Società e il grado di responsabilità della stessa che non si è conformata alla disciplina in materia di protezione dei dati, relativamente a una pluralità di disposizioni riguardanti anche i principi generali del trattamento (liceità e correttezza);
c) a favore della Società si è tenuto conto della cooperazione con l'Autorità di controllo e della assenza di precedenti violazioni pertinenti.
Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l'Autorità deve attenersi nella determinazione dell'ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla società con riferimento al bilancio abbreviato d'esercizio per l'anno 2021, nonché del particolare contesto economico legato all'emergenza sanitaria. Da ultimo si tiene conto dell'entità delle sanzioni irrogate in casi analoghi.
Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Sportitalia società sportiva dilettantistica a responsabilità limitata, la sanzione amministrativa del pagamento di una somma pari ad euro 20.000 (ventimila).
In tale quadro si ritiene, altresì, in considerazione della tipologia delle violazioni accertate che hanno riguardato i principi generali del trattamento, che ai sensi dell'art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante.
Si ritiene, altresì, che ricorrano i presupposti di cui all'art. 17 del Regolamento n. 1/2019.
TUTTO CIO' PREMESSO, IL GARANTE
rileva l'illiceità del trattamento effettuato da Sportitalia, società sportiva dilettantistica a responsabilità limitata, in persona del legale rappresentante, con sede legale in Via Giuseppe Meda, 52, Milano (Ml), C.F. 09600560966, ai sensi dell'art. 143 del Codice, per la violazione degli artt. artt. 5, par. 1, lett. a), 9, 13, 30, par. 1, lett. c) del Regolamento e 157 del Codice;
ORDINA
ai sensi dell'art. 58, par. 2, lett. i) del Regolamento a Sportitalia, società sportiva dilettantistica a responsabilità limitata, di pagare la somma di euro 20.000 (ventimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;
INGIUNGE
quindi alla medesima Società di pagare la predetta somma di euro 20.000 (ventimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l'adozione dei conseguenti atti esecutivi a norma dell'art. 27 della legge n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento - sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all'art. 1O, comma 3, del d. lgs. n. 150 dell'1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);
DISPONE
[Testo del provvedimento]
la pubblicazione del presente prvvwedimento sul sito web del Garante ai sensi dell'art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/20129, e ritiene che ricorrano i presupposti di cui all'art. 17 del Regolamento n. 1/2019.
Ai sensi dell'art. 78 del Regolamento, nonché degli articoli 152 del Codice e 1Odel d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 1O, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.
19-01-2023 22:00
Richiedi una Consulenza