EntiOnLine
Categorie
indietro
03/05/2018 Ordinanza ingiunzione nei confronti di Omis s.p.a. - 3 maggio 2018 > Mancata notificazione al Garante per la protezione dei dati personali con trattamento relativo alla geolocalizzazione

Con provvedimento in data 3 maggio 2018 (Registro dei provvedimenti n. 266 del 3 maggio 2018) il Garante ha adottato una Ordinanza ingiunzione nei confronti di Omis s.p.a. C.F.: 02080120245, nella sede legale in Via Chizzalunga n. 6 in Sandrigo – Vicenza di pagare la somma complessiva di euro 8.000,00 (ottomila) a titolo di sanzione amministrativa pecuniaria per la violazione prevista dall’art. 163 del Codice come indicato in motivazione;

Continua a leggere

Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.a Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

RILEVATO che il Nucleo speciale privacy della Guardia di finanza, in esecuzione della richiesta di informazioni ai sensi dell’art. 157 del Codice in materia di protezione dei dati personali – d.lg. 30 giugno 2003, n. 196 (di seguito denominato “Codice”) nr. 45 del 2 gennaio 2015 formulata da questa Autorità, ha svolto presso la Omis s.p.a. C.F.: 02080120245, nella sede legale in Via Chizzalunga n. 6 in Sandrigo – Vicenza (di seguito denominata “Società”) gli accertamenti di cui al verbale di operazioni compiute datati 5 febbraio 2015. Nel corso di tali accertamenti è emerso che la Società, in qualità di titolare del trattamento, ha installato dall'anno 2009 su quattro automezzi di proprietà un sistema di geolocalizzazione fornito in comodato dalla Trackysat s.r.l., che gestisce il relativo servizio per conto del titolare ed è stata designata responsabile del trattamento ai sensi dell'art. 29 del Codice. In particolare, la parte ha rilevato che “i segnali generati dal gps relativi alla geolocalizzazione, che corrispondono al percorso effettuato dai mezzi, viene registrato sui server in uso alla Trackysat S.r.l. che gestisce il servizio. Sui dati generati dal sistema di geolocalizzazione, non viene effettuato alcun tipo di analisi. I soggetti coinvolti in tale sistema sono la Omis S.p.a, quale titolare del trattamento, i conducenti degli automezzi, quali interessati e la Trackysat S.r.l., quale società che fornisce il servizio.” Oltre a specificare la finalità antifurto del sistema di geolocalizzazione in questione, si è rappresentato che “il gps rileva il numero di targa dell'automezzo e, indirettamente, si può risalire al nominativo del conducente che in quel momento si trova a bordo. Il nominativo del conducente non è immediatamente visibile sulla mappa ma si può risalire solo attraverso l'ordine di servizio giornaliero” (pag. 2). Alla domanda circa l’eventuale notificazione del trattamento ex art. 37 del Codice, la parte ha dato riscontro che “non risulta che la Società abbia notificato al Garante per la protezione dei dati personali il trattamento relativo alla geolocalizzazione. Chiedo la concessione di un minimo di tempo per effettuare più approfondite ricerche e di comunicarvene l’esito”;

VISTO il verbale nr. 22/2015 del 24 febbraio 2015, che qui si intende integralmente richiamato, con cui il suddetto Nucleo, nel prendere atto che “la Società non ha comunicato l’esito della suddetta ricerca ma da una verifica effettuata dai verbalizzanti nel registro dei trattamenti, consultabile sul sito http://www.garanteprivacy.it non si è riscontrata la presenza della prevista notificazione del trattamento da parte della Società”, ha contestato alla Società la violazione amministrativa prevista dall’art. 163 del Codice in relazione all’art. 37 comma 1 lett. a) del Codice, relativo all’obbligo di notificazione al Garante per il trattamento di dati che indicano la posizione geografica di persone o di oggetti mediante una rete di comunicazione elettronica, informandola della facoltà di effettuare il pagamento in misura ridotta ai sensi dell’art. 16 della legge n. 689/1981;

RILEVATO dal rapporto predisposto dalla Guardia di Finanza, ai sensi dell’art. 17 della legge n. 689/1981, che non risulta effettuato il pagamento in misura ridotta”;

VISTO lo scritto difensivo presentato il 14 aprile 2015, ai sensi dell’art. 18 della legge n. 689/1981, con cui la Società ha rilevato: 1) l’errore sul fatto e la buona fede della Società; 2) l’inapplicabilità della sanzione per mancanza di pregiudizio; 3) l’inapplicabilità della sanzione per il perseguimento di finalità attinenti alla sicurezza del trasporto; 4) l’inapplicabilità della sanzione per contrasto con la normativa comunitaria; 5) la sproporzione della sanzione applicata. In particolare,

1) la Società ha ritenuto sussistente l’errore sul fatto ex art. 3 comma 2 della legge n. 689/1981 a motivo del suo “legittimo affidamento nei confronti della Trackysat in merito agli adempimenti da eseguire per il caso di specie, trattandosi di questioni tecniche che esulavano dalla ordinaria diligenza della medesima”. Secondo la Società, la circostanza che la Trackysat non ha mai informato la Omis Spa sull'obbligo di notifica previsto ai sensi dell'art. 37 del Codice della Privacy “si pone alla base dell'inequivocabile errore in cui è incorsa Omis Spa, non ovviabile con l'ordinaria diligenza e, pertanto, scusabile e non sanzionabile” (pag. 2);

2) la Società ha ritenuto che il trattamento in questione rientri tra quelli non suscettibili di recare pregiudizio, sottratti pertanto all’obbligo di notifica ai sensi dell’art. 37 comma 2 del Codice, in quanto “l’attività di monitoraggio di Omis spa riguarda esclusivamente gli automezzi, essendo il sistema in grado di rilevare direttamente solo la targa dell'automezzo” (pag. 2). La Società ha dichiarato che, “sebbene sia a conoscenza delle modalità per visualizzare i dati e la posizione degli automezzi interessati”, ha concretamente utilizzato il servizio solo un paio di volte ed esclusivamente per motivi di collaudo e di controllo periodico del funzionamento del sistema, ma mai per effettiva necessità, non avendo mai avuto alcuna esigenza di monitorare né i veicoli, né di risalire al nominativo del conducente. Ha rappresentato, altresì, che i gps montati nei propri veicoli non consentono un monitoraggio costante degli spostamenti dell’autista posto che “il segnale è ad intermittenza e lo stesso dipendente potrebbe nel corso della giornata anche mutare mansione e quindi non essere più rintracciabile” (pag. 3);

3) la Società ha ritenuto applicabile alla fattispecie anche l’ipotesi di esonero dall’obbligo di notificazione al Garante nel caso in cui “i trattamenti di dati che indichino la posizione geografica di mezzi di trasporto aereo, navale o terrestre (come gli autoveicoli), effettuati esclusivamente ai fini di sicurezza del trasporto” (delibera n. 1 del 31 marzo 2004, in www.gpdp.it doc. web n. 852561). Secondo la Società, “l'eventuale facoltà di localizzare gli automezzi mediante i sistemi di localizzazione si potrà rilevare indispensabile al fine di garantire la sicurezza sul lavoro, nonché la sicurezza del trasporto e dei singoli autisti in caso di furto/rapina subìta dai propri autoveicoli” (pag. 4). Inoltre, ha rilevato che “è lo stesso Garante che nel proprio provvedimento n. 370 del 4 ottobre 2011 ha dichiarato che tali trattamenti possono essere disposti per soddisfare esigenze relative alla sicurezza sul lavoro, ed è proprio con tale finalità che il sistema de quo è stato installato: per prevenire / poter contrastare furti degli autocarri con cui la predetta Omis consegna i beni prodotti (carriponte), in conformità alla delibera del Garante n. 1/2004” (pag. 4);

4) la Società ha rilevato che con il Regolamento Europeo 2016/679 “vi sarà la sostituzione della preventiva notifica al Garante ex art. 37 del Codice con l’obbligo di conservazione della documentazione sui trattamenti effettuati” e pertanto “se la notifica ex art. 37 del D.lgs 196/2003 è considerata a livello internazionale come un'inutile adempimento a carico dei titolari del trattamento dati, l'applicazione di una sanzione al caso di specie risulta incoerente con l'orientamento europeo e per tali motivi va annullata” (pag. 5);

5) in via subordinata, la parte ha evidenziato la sproporzione della sanzione amministrativa irrogata nei confronti di Omis Spa rispetto alla violazione commessa. Sussistono i requisiti previsti ex art. 164-bis, comma 1, del D.lgs 196/2003, secondo cui "se taluna delle violazioni di cui agli articoli 161, 162, 162-ter, 163 e 164 è di minore gravità, avuto altresì riguardo alla natura anche economica o sociale dell'attività svolta, i limiti minimi e massimi stabiliti dai medesimi articoli sono applicati in misura pari a due quinti".

PRESO ATTO che, a seguito della contestazione suddetta, la parte ha effettuato in data 4 maggio 2015 la notificazione ai sensi dell’art. 37 del Codice, iscritta nel registro dei trattamenti tenuto dal Garante con il n. 2015042000205088;

VISTO il verbale di audizione del 18 gennaio 2016 nel quale la Società ha evidenziato che la Società fornitrice degli apparati ha puntualizzato come la rilevazione della posizione geografica degli apparati in questione avvenga in maniera discontinua, con apprezzabili intervalli di tempo tali, in talune circostanze, da non poter associare il lavoratore/autista allo spostamento effettuato. Ha rilevato, altresì, l’esclusiva finalità di sicurezza che ha determinato la Società all’installazione degli impianti in argomento;

VISTO il procedimento amministrativo avviato presso il Garante per valutare se la Società aveva installato sulle autovetture aziendali il sistema di geolocalizzazione in esame, che permette il controllo a distanza dei lavoratori, senza seguire le procedure di cui all'art. 4 della legge 300/1970 (cfr. nota prot. 10637 del 10 aprile 2015 di trasmissione del fascicolo dal Dipartimento Attività Ispettive e Sanzioni [DAIS] all’Unità Lavoro Pubblico e Privato [ULPP]; nota prot. 24890 del 13 luglio 2017 di richiesta elementi alla Società; nota di riscontro della Società del 4 agosto 2017);

VISTA la nota prot. n. 31545 del 3 ottobre 2017 indirizzata alla Società, a mezzo della quale l’ULPP dell’Autorità, nel definire il suddetto procedimento amministrativo mediante chiusura dell’istruttoria preliminare (artt. 11 comma 1 lett. d) e 14 comma 2 del Regolamento del Garante n. 1/2007), ha accertato in primo luogo che il trattamento effettuato dalla Società per le dichiarate finalità riconducibili ad esigenze organizzative e produttive, di sicurezza del lavoro e tutela del patrimonio aziendale, riguarda informazioni relative alla posizione geografica di veicoli “consistenti comunque in dati personali indirettamente riferibili ai lavoratori assegnatari dei mezzi (artt. 4, commi 1, lett. b) e 2, lett. i) e 37, comma 1, lett. a) del Codice). Codesta società ha, infatti, dichiarato che, sebbene il nominativo del conducente non sia visibile tra i dati raccolti, è possibile risalire ad esso attraverso l'ordine di servizio giornaliero (cfr. pag. 3 del verbale cit.)”. In tal senso, ha richiamato i provvedimenti del Garante con cui si è chiarito che anche quando i dati di localizzazione del veicolo non siano associati immediatamente al nominativo dei lavoratori interessati, ma come nel caso di specie solo mediante confronto indiretto delle tabelle dei turni, il datore di lavoro è in condizione di risalire in ogni momento all'identità lavoratore di volta in volta assegnatario di ciascun veicolo (cfr. Provv. 24 maggio 2017, www.gpdp.it doc. web n. 6495708 e i provvedimenti e documenti ivi richiamati). Si è rinviato, altresì, al provvedimento n. 370 del 4 ottobre 2011 (www.gpdp.it doc. web n. 1850581) relativo all’impiego di sistemi di localizzazione di veicoli, con cui il Garante ha fornito indicazioni ed impartito prescrizioni di carattere generale cui attenersi nel trattamento di dati personali dei dipendenti, individuando le condizioni di liceità di tali trattamenti (tra le quali, l'obbligo di notificazione al Garante ai sensi dell'art. 37, comma l, lett. a) del Codice) e le specifiche cautele che devono essere adottate. In conclusione, con la nota suddetta si è accertato che il sistema sia stato installato dalla Società omettendo di attivare le procedure di garanzia previste dalla disciplina di settore, conseguentemente, il relativo trattamento dei dati è risultato illecito (artt. 11, comma 1, lett. a) e 114 del Codice), “impregiudicati gli esiti del separato procedimento sanzionatorio tutt'ora pendente (cfr. verbale di contestazione n. 22 del 24 febbraio 2015 cit.)”;

TENUTO CONTO che, in ordine all’avvenuto trattamento di dati riferibili a persone identificabili, nel corso delle operazioni compiute suddette la Società ha espressamente dichiarato che “il gps rileva il numero di targa dell'automezzo e, indirettamente, si può risalire al nominativo del conducente che in quel momento si trova a bordo. Il nominativo del conducente non è immediatamente visibile sulla mappa ma si può risalire solo attraverso l'ordine di servizio giornaliero.” (pag. 2). Deve altresì rilevarsi che la stessa ha prestato acquiescenza alla decisione suddetta prot. n. 31545 del 3 ottobre 2017, che non è stata impugnata dalla Società nel termine decadenziale di 30 giorni previsto dagli artt. 152 del Codice e 10 del d.lgs. n. 150/2011 e che rappresenta, a tutti gli effetti, un provvedimento amministrativo conclusivo di un procedimento amministrativo a mezzo del quale l’Ufficio del Garante ha compiuto nei confronti della Società una valutazione di illegittimità del trattamento dei dati oggetto del procedimento medesimo (art. 11 del citato Regolamento 1/2007). La natura provvedimentale dell’atto in parola, i cui effetti vanno eliminati con impugnazione, è stata confermata peraltro da due sentenze del Tribunale di Roma n. 20867/2013 e n. 9228/2016, che hanno riguardato opposizioni a provvedimenti dirigenziali adottati ex art. 11 del Regolamento n. 1/2007 del Garante, come quello in esame. Posto, quindi, che la nota in questione non è stata impugnata dalla parte, ciò che è stato accertato con tale decisione non può essere rimesso in discussione dal titolare del trattamento per aver prestato acquiescenza alla suddetta decisione del 19 settembre 2017 (cfr. anche Trib. Arezzo n. 607/2016 e Trib. Taranto n. 2384/2017);

RILEVATO che, fatta salva l’acquiescenza prestata dalla parte, anche le argomentazioni addotte dalla parte nel corso del procedimento sanzionatorio non risultano idonee ad escludere la responsabilità della Società in relazione a quanto contestato, si rappresenta quanto segue.

1) non sussistono nella vicenda in esame gli elementi costitutivi dell’errore scusabile di cui all’art. 3 della legge n. 689/1981. Ciò in quanto l’art. 3 della legge n. 689/1981 “pone una presunzione di colpa in ordine al fatto vietato a carico di colui che lo abbia commesso, riservando poi a quest’ultimo l’onere di provare di aver agito incolpevolmente” (tra le tante, Cass. Civ. sez. I n. 2406 dell’8/2/2016, Cass. Civ. sez. II n. 27432 del 9/12/2013, Cass. Civ. sez. lav., n. 19242 del 7/9/2006, Trib. Bergamo, n. 2339 del 14/9/2017). Al riguardo, l'errore sulla liceità del fatto giustifica l'esclusione della responsabilità solo quando risulti “inevitabile”, occorrendo a tal fine non solo un elemento positivo ed estraneo all'autore dell'infrazione, idoneo ad ingenerare in lui la convinzione della stessa liceità, ma anche “la condizione che, da parte sua, sia stato fatto tutto il possibile per osservare la legge e che nessun rimprovero possa essergli mosso, così che l'errore sia stato incolpevole, non suscettibile, cioè, di essere impedito dall'interessato con l'ordinaria diligenza” (cfr. Cass. civ. 2 ottobre 2015, n. 19759);

2) posto che il sistema in esame è in grado di rilevare direttamente la targa degli automezzi ed indirettamente l’identità dei conducenti, come riconosciuto dalla stessa Società nel corso del procedimento (cfr. pag. 2 del verbale di operazioni compiute e pag. 2 scritto difensivo), la circostanza che il servizio in esame sia stato concretamente utilizzato “solo un paio di volte” non esime comunque il titolare del trattamento medesimo dall’obbligo della preventiva notificazione, ai sensi dell’art. 37 del Codice. La circostanza poi che il trattamento in questione avvenga in maniera discontinua (cfr. pag. 2 dello scritto difensivo e verbale di audizione) non esonera il titolare dall’adempimento della notificazione in quanto, come chiarito dal Garante, la localizzazione deve essere notificata quando permette di individuare “in maniera continuativa - anche con eventuali intervalli - l'ubicazione sul territorio o in determinate aree geografiche, in base ad apparecchiature o dispositivi elettronici detenuti dal titolare o dalla persona oppure collocati sugli oggetti” (cfr. provvedimento del Garante del 23 aprile 2004 in www.gpdp.it, doc. web n. 993385). Nella fattispecie, tali dispositivi consentono di individuare la posizione del veicolo ogni qualvolta la Società intenda farli attivare ed in particolare in caso di furto. La modalità di attivazione della localizzazione riferita dalla Società non esclude, quindi e per ciò solo, che si possa comunque procedere ad individuare con continuità il percorso svolto dal veicolo sul quale il localizzatore è installato o comunque con intervalli di tempo ridotti;

3) deve escludersi nella vicenda in esame l’ipotesi di sottrazione all’obbligo di notificazione al Garante nel caso in cui “i trattamenti di dati che indichino la posizione geografica di mezzi di trasporto aereo, navale o terrestre (come gli autoveicoli), effettuati esclusivamente ai fini di sicurezza del trasporto” (delibera n. 1 del 31 marzo 2004). Nel caso di specie, infatti, l'esenzione dall'obbligo della notificazione non può essere riconosciuta in quanto non è risultato che la Società persegua, mediante l'installazione dei dispositivi di controllo e di localizzazione in esame, esclusivamente finalità di sicurezza del trasporto (cfr. decisione prot. n. 31545 del 3 ottobre 2017 suddetta, nonché pag. 4 dello scritto difensivo). Peraltro, con il provvedimento n. 370/201, il Garante se riconosce l’utilità di individuare in un dato momento la posizione dei veicoli (e quindi dei lavoratori) mediante sistemi di localizzazione “per soddisfare esigenze organizzative e produttive ovvero per la sicurezza sul lavoro”, puntualizza che “resta fermo che il trattamento dei dati di localizzazione deve formare oggetto di notificazione al Garante (cfr. art. 37, comma 1, lett. a), del Codice)” (punto 5.3 del provvedimento cit.);

4) non è pertinente, infine, il richiamo al Regolamento (UE) 2016/679 tenuto conto che la sua applicazione è prevista per il 25 maggio 2018 mentre l’accertamento della violazione in esame risale al febbraio 2015;

RILEVATO, pertanto, che la Omis Spa in qualità di titolare del trattamento, ai sensi dell’art. 28 del Codice, ha omesso di effettuare la notificazione al Garante, ai sensi degli artt. 37 comma 1 lett. a) e 38 del Codice, prima dell’inizio del trattamento (già dal 2009), adempiendo a tale obbligo solo successivamente, in data 4 maggio 2015;

VISTO l’art. 163 del Codice che punisce la violazione delle disposizioni di cui agli artt. 37 e 38, con la sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro;

RITENUTO che ricorrono le condizioni per applicare l'art. 164-bis, comma 1, del Codice secondo cui “se taluna delle violazioni di cui agli art. 161, 162, 162-ter, 163 e 164 è di minore gravità, i limiti minimi e massimi stabiliti negli stessi articoli sono applicati in misura pari a due quinti”;

CONSIDERATO che, ai fini della determinazione dell'ammontare della sanzione pecuniaria ai sensi dell'art. 11 della legge n. 689/1981, occorre tenere conto:

a) in ordine all’aspetto della gravità, che la violazione non risulta connotata da elementi specifici, avuto anche riguardo alle concrete modalità di utilizzo da parte della società del sistema di geolocalizzazione;

b) ai fini della valutazione dell’opera svolta dall’agente, che la Società, dall’interrogazione del registro generale dei trattamenti, risulta aver presentato la notificazione al Garante in data 4 maggio 2015 e, quindi, successivamente rispetto all’inizio del trattamento;

c) circa la personalità dell’autore della violazione, che la società non risulta gravata da precedenti procedimenti sanzionatori;

d) in merito alle condizioni economiche dell’agente, che sono stati presi in considerazione gli elementi del bilancio ordinario d’esercizio per l’anno 2016;

RITENUTO, quindi, di dover determinare, ai sensi dell’art. 11 della legge n. 689/1981, l’ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura di euro 8.000,00 (ottomila) per la violazione di cui all’art. 163;

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

ORDINA

alla Omis s.p.a. C.F.: 02080120245, nella sede legale in Via Chizzalunga n. 6 in Sandrigo – Vicenza di pagare la somma complessiva di euro 8.000,00 (ottomila) a titolo di sanzione amministrativa pecuniaria per la violazione prevista dall’art. 163 del Codice come indicato in motivazione;

INGIUNGE

alla medesima Società di pagare la somma di euro 8.000,00 (ottomila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale o in copia autentica, quietanza dell’avvenuto versamento.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Banca dati