Attenzione alla sorveglianza: sanzione di 15.000,00 Euro a Rebirth di Roma

Rispondi
Giancarlo Favero
Messaggi: 159
Iscritto il: dom gen 24, 2021 6:45 am

Attenzione alla sorveglianza: sanzione di 15.000,00 Euro a Rebirth di Roma

Messaggio da Giancarlo Favero »

In questo caso si tratta del "Caffé l'Antica Roma", presso il quale erano state installate 14 telecamere funzionanti, nessuna delle quali segnalata da apposito cartello informativo. Inoltre poiché le telecamere riprendavano anche i dipendenti, è stato contestato inoltre che l’installazione del sistema di videosorveglianza era avvenuta in assenza dell’autorizzazione dell’Ispettorato del lavoro o dell’accordo sindacale con i lavoratori impiagati nell’azienda.
Ergo, sanzione di 15.000,00 Euro.

Di seguito trovate il testo integrale del provvedimento, consultabile anche al seguente link:

https://www.garanteprivacy.it/web/guest ... eb/9768440

Grazie e buona lettura,

Giancarlo Favero

[doc. web n. 9768440]

Ordinanza ingiunzione nei confronti di Rebirth s.r.l. - 7 aprile 2022

Registro dei provvedimenti
n. 121 del 7 apriile 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO l’atto di accertamento redatto dalla Guardia di Finanza – Nucleo speciale privacy -, con cui è stata rilevata la presenza di un impianto di videosorveglianza presso il locale a insegna “Caffè Antica Roma”, non conforme alle disposizioni di cui all’art. 13 del Regolamento e dell’art. 114 del Codice;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. Segnalazione e avvio del procedimento sanzionatorio.

Con nota del 22.6.2020 è stata segnalata l’installazione di un impianto di videosorveglianza presso il “Caffè Antica Roma”, gestito dalla società Rebirth s.r.l. con sede in Roma, Via Giacomo Caneva 21-27, non conforme alle norme in materia di protezione dei dati personali.

Non avendo la suddetta società fornito riscontro né alla prima richiesta di informazioni dell’Ufficio, del 16.10.2020 (prot. 39990), né alla successiva richiesta, inviata in data 26.1.2021 (prot. 5235), ai sensi dell’art. 157 del Codice, il Dipartimento, notificava alla Società, in data 16.4.21, ai sensi dell’art. 166 comma 5 del d.lgs. n. 196/2003, la comunicazione di avvio del procedimento sanzionatorio in relazione alla violazione dell’art. 157 del Codice.

Considerato che, anche dopo l’avvio del procedimento sanzionatorio, la Società non forniva riscontro alle richieste istruttorie, il Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza veniva incaricato di acquisire le informazioni in loco.

A seguito degli accertamenti effettuati dal Nucleo in data 26.1.22, presso l’attività di bar e ristorazione con il marchio “Caffè Antica Roma”, si accertava la presenza di 14 telecamere funzionanti, poste all’interno e all’esterno del suddetto esercizio commerciale, in assenza di cartelli informativi che informassero della presenza delle stesse; inoltre veniva rilevato che l’installazione del sistema di videosorveglianza era avvenuta in assenza dell’autorizzazione dell’Ispettorato del lavoro o dell’accordo sindacale con i lavoratori impiagati nell’azienda.

Sulla base di quanto emerso dagli accertamenti effettuati, l’Ufficio provvedeva a notificare alla predetta società un secondo atto di avvio del procedimento sanzionatorio, ai sensi dell’art. 166, comma 5, del Codice (prot. n. 8984 del 9.2.22) in relazione alla violazione degli artt. 5, 13 del regolamento e 114 del Codice.

2. Contenuto della memoria difensiva della società.

Con nota del 2.3.22, il sig. Ciro Menichini, rappresentante legale della società Rebirth s.r.l., ha inviato a questa Autorità una memoria difensiva con la quale ha dichiarato che, in data 26.1.22, la Società ha provveduto ad inoltrare alla Direzione territoriale del lavoro la richiesta di autorizzazione dell’impianto e che, nonostante l’assenza dei prescritti cartelli informativi delle telecamere, la Società ha sempre provveduto ad avvisare il personale della presenza delle stesse, chiedendone il consenso nel contratto di lavoro.

3. L’esito dell’istruttoria e del procedimento sanzionatorio. Violazioni accertate.

All’esito dell’esame della documentazione prodotta è emerso che l’impianto di videosorveglianza, installato presso il “Caffè Antica Roma” è attivo e funzionante, che non sono state apposti i cartelli recanti l’informativa di cui all’art. 13 del Regolamento e che lo stesso, al momento del controllo, non risultava autorizzato dall’Ispettorato del lavoro né oggetto di accordo sindacale con le rappresentanze sindacali dei lavoratori.

Per quanto riguarda il trattamento di dati personali, per mezzo di un impianto di videosorveglianza, effettuato in assenza di informativa, tale condotta si pone in contrasto con quanto stabilito dall’art. 13 del Regolamento, in base al quale il titolare del trattamento è tenuto a fornire all’interessato – prima dell’inizio del trattamento - tutte le informazioni relative alle caratteristiche essenziali del trattamento. Quando, come in questo caso, il sistema riprende anche ambiti nei quali operano dipendenti della Società, occorre rilevare che, nell’ambito del rapporto di lavoro, l’obbligo di informare il dipendente è altresì espressione del principio generale di correttezza dei trattamenti, contenuto nell’art. art. 5, par. 1, lett. a) del Regolamento.

I trattamenti di dati personali effettuati nell’ambito del rapporto di lavoro, se necessari per la finalità di gestione del rapporto stesso (v. artt. 6, par. 1, lett. c); 9, par. 2, lett. b) del Regolamento), devono svolgersi nel rispetto dei principi generali indicati dall’art. 5 del Regolamento, ed in particolare del principio di liceità, in base al quale il trattamento è lecito se è conforme alle discipline di settore applicabili (art. 5, par. 1, lett. a) del Regolamento). Coerentemente con tale impostazione, l’art. 88 del Regolamento ha fatto salve le norme nazionali di maggior tutela (“norme più specifiche”) volte ad assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei lavoratori. Il legislatore nazionale ha approvato, quale disposizione più specifica, l’art. 114 del Codice che tra le condizioni di liceità del trattamento ha stabilito l’osservanza di quanto prescritto dall’art. 4, legge 20 maggio 1970, n. 300. La violazione del richiamato art. 88 del Regolamento è soggetta, ricorrendone i requisiti, all’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, lett. d) del Regolamento.

In base al richiamato art. 4, l. n. 300 del 1970, gli apparati di videosorveglianza, qualora dagli stessi derivi “anche la possibilità di controllo a distanza” dell'attività dei dipendenti, “possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale” e la relativa installazione deve, in ogni caso, essere eseguita previa stipulazione di un accordo collettivo con la rappresentanza sindacale unitaria o con le rappresentanze sindacali aziendali o, ove non sia stato possibile raggiungere tale accordo o in caso di assenza delle rappresentanze, solo in quanto preceduta dal rilascio di apposita autorizzazione da parte dell'Ispettorato del Lavoro. L’attivazione e la conclusione di tale procedura di garanzia è dunque condizione indefettibile per l’installazione di sistemi di videosorveglianza. La violazione di tale disposizione è penalmente sanzionata (v. art. 171 del Codice).

Il trattamento dei dati personali effettuato dalla Società, avendo omesso di adempiere alla richiamata disposizione, risulta quindi illecito, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a) (principio di liceità) e 88 (trattamento dei dati nell'ambito dei rapporti di lavoro) del Regolamento e dell’art. 114 (garanzie in materia di controllo a distanza) del Codice.

Oltre alle predette violazioni, risulta accertato che la Rebirth s.r.l. ha omesso di fornire riscontro alla richiesta di informazioni del 26.1.2021, formulata dall’Autorità ai sensi dell’art. 157 del Codice, dopo l’invio – rimasto parimenti senza riscontro – del precedente invito del 16.10.2020. In base al citato articolo 157 del Codice “Nell'ambito dei poteri di cui all'articolo 58 del Regolamento, e per l'espletamento dei propri compiti, il Garante può richiedere al titolare, […] di fornire informazioni e di esibire documenti”.

L’omesso riscontro alla richiesta di informazioni del Garante rende applicabile, ai sensi dell’art. 166, comma 2, del Codice, la sanzione amministrativa prevista dall’art. 83, par. 5 del Regolamento.

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Per i suesposti motivi l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati personali effettuato dalla società risulta infatti illecito, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a) (principio di liceità e correttezza) del Regolamento e degli art. 114 (garanzie in materia di controllo a distanza). L’attività istruttoria dell’Autorità è stata aggravata inoltre dalla mancata risposta alla richiesta di informazioni inviata ai sensi dell’art. e 157 del Codice.

Visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento, si dispone quindi l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) del Regolamento).

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. legge 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali effettuato dalla parte in violazione dell’art. 157 del Codice e in violazione degli artt. 5, par. 1, lett. a), 13 del Regolamento e 114 del Codice.

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, considerato che le accertate violazioni dell’art. 5 del Regolamento sono da considerarsi più gravi, in quanto relative alla inosservanza di una pluralità di principi di carattere generale applicabili al trattamento di dati personali, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto per la predetta violazione. Conseguentemente si applica la sanzione prevista dall’art. 83, par. 5, lett. a), del Regolamento, che fissa il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore.

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state tenute in considerazione le circostanze sotto riportate:

con riguardo alla natura, gravità e durata della violazione è stata presa in considerazione la negligente condotta della Rebirth s.r.l. che ha determinato un allungamento dei tempi di definizione del procedimento e ha imposto la rinnovazione di atti istruttori nonché la responsabilità connessa all’inadempimento dell’obbligo di rendere l’informativa agli interessati e di adempiere agli obblighi di garanzia previsti all’art. 4 della legge n. 300/1970 (c.d. Statuto dei Lavoratori) richiamato dall’art. 114 del Codice;

l’assenza di precedenti specifici a carico della parte relativi a violazioni della disciplina in materia di protezione dei dati personali;

la circostanza che la parte ha cooperato con l’Autorità nel corso del procedimento inviando propri scritti difensivi e apportando interventi correttivi all’impianto di videosorveglianza.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 15.000,00 (quindicimila) per la violazione degli artt. 5, par. 1, lett. a), 13 del Regolamento, 114 e 157 del Codice.

In tale quadro, anche in considerazione della tipologia di violazione accertata, si ritiene che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito internet del Garante.

Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

dichiara, ai sensi degli artt. 57, par. 1, lett. f) e 83 del Regolamento, l’illiceità del trattamento effettuato da Rebirth s.r.l. (P.I. 12607591000), recante l’insegna “Caffè Antica Roma”, con sede in Roma Via Caneva 21-27, nei termini di cui in motivazione, per la violazione degli artt. 5, par. 1, lett. a), 13 del Regolamento, 114 e 157 del d.lgs. 196/2003;

ORDINA

a Rebirth s.r.l. di pagare la somma di euro 15.000,00 (quindicimila) a titolo di sanzione amministrativa pecuniaria per la violazione indicata nel presente provvedimento;

INGIUNGE

quindi alla medesima Società di pagare la predetta somma di euro 15.000,00 (quindicimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981. Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del regolamento n. 1/2019.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 7 aprile 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei

Rispondi