I provvedimenti spiegati alle aziende
con guide, checklist, modelli; AI assisted
Osservatorio a cura del dott. V. Spataro 



   telecamere 2024-03-28 ·  NEW:   Appunta · Stampa · Cita: 'Doc 98404' · pdf

No alle Telecamere per il controllo presenze: sanzione di 70.000 euro

abstract:



Si noti che negli ultimi anni le riciclerie di rifiuti e il parco mezzi sono oggetti di svariati attacchi della malavita. Nello specifico numerosi problemi di assenteismo e straordinari. Le telecamere per controllare gli accessi sono bandite.

Durante i rilievi rilevati altri problemi ricorrenti: l'azienda ha comprato le webcam, le ha installate, e non ha provveduto agli adempimenti legati al gdpr (dpia, mansioni, informativa, registro...) Non viene rilevato nulla sulla comunicazione all'IdL e/o accordi con i sindacati.

In analisi la checklist delle violazioni e la checklist dei comportamenti da tenere (AI) con una nuova metodologia assai innovativa anche per questo Osservatorio, dai risultati straordinariamente fruibili.




analisi:

L'analisi è riservata agli iscritti. Segui la newsletter dell'Osservatorio oppure il Podcast iscrizione gratuita 30 giorni

...... .......:

  • ........ .. ....... ..... ... ........ ...'.....
  • .. . .............. .... ... ........ .. ..........., ........ ........
  • . .............. .. ........ ... ........ (....... .. ...)
  • ...... ....
  • ...... ...........
  • ...... ............ ............ ... ...........
  • ... ........ ... ........... ... ........ ..... ....... .. ........... ... .... ................
  • ..... ........... . ...... ...........
  • .. ........ ... ....... ........
  • .......... ............. ... .... .......... .......
  • ........ ... ..........
  • ........ ... ........... ............ . ..........

............. .........: .... ... ...............,.............,.............,.............,.............]

... .' ...........:

"..... ........ ..... .......... ..... .......... ..... .... .... .. ........ ............ ............ [........] ........ . ......., ......., ............ . ......... ... ........ [........] ............. .. ............ ... ........ ........... . ........ .. ........ ......... . .............. .. ........ .. ...... ............."

".. ........., .. .... .... ......... ..... .. ....... .. .......... ... .... ........., .. ........... .. .... .......... (.. ...... ....... .. ..... ............... ., .... . ... ...........) ........ .......... .............. ....... ....... ... ..... .......... ........ ............... ., .... . ... ........... ., ... ........ .. ........... .......... .. ...... .........., .... ...... .. ........... ... ................. ..."

".. ............ .. .... ............, ....... ... ........ .......... .. ............... .. ........... ..... ........ ... .......... . .. ........ ..................... ................. .. ...... ....... ......... ................. .. ............ ............... ., .... ., ..... .) ... ..........., ........ .. ........... ... .... .......... ........ .......... .... ............ ...... .. ... ... ........... ... ....... ................. . ..... ..... ......"

.... ..... ................... ....... ... ........ .. ........... .. .... .......... ... .......... ... ............... .. ........... ..... ........ .. .........

-

..... ............... ..... ........:

.) .. ......... .... ......, .............. . ...... ..... .........., ........ ..... ..........., . ....... ..... .............., .. ...... ..... .......... ... .. .......... . ........ ........ . .. .......... .. .............. ... ........... . .. ........... .. .... ........... .......... ........... .. .......... ... .............. .........

.) ........ ..... .............. ..........., . ....... ..... .............., .. ...... ..... .......... ... .. ........ ......... ... .......... .. .. .... . .. ...... ............. ..... ........... ..........

.) ... ........... .. ......... ...... . ....... ..... .......... . .. ..... .. ..................... ... ........, ........ ..... ..... .. .............. .. ........ ..... .............. . .. ..... .. ..................... ..... ...... ... ... .. ........ .......... .... .......... .. ....... .. .......... ... .... ............. . ... ................ .. .............

.) . ...... ..... .............., .. ........ ...... ..... ..... ............ ... ....................... .. ......... . ..... ......... .. .......... .. ............... .. ........... .... .............. ..... ............... ..........

-

... .. .......... ........... ........ .. ........:

  1. Violazione degli Articoli 5, paragrafo 1, lettera a) e 9 del Regolamento:
    • .. .............. .. ........ . .... .......... ... ...... .......... ........... .. ....... .. .............. ........ ... .. ........... ..... ........ .. .........
    • ...... ........... ........ ........ ..... ... .... ......... ........, .............. ...'........ . ... ..........., ... ........ ... .. ........... ... .... .......... ... .......... .... .. .. .... ...... ....... .. ......... ........ . .. .'........... .. .... .. ....... .........
    • ......., .. .............. ... .. .......... . ........ .. .............., ........... . ........... (........ ., ......... ., ....... .) ... ...........) ... ........ . .... .......... ... ...... ...........
    • .'........ ... ....... .......... ... ........ ..... ............. .... ............... .. ......... .'.......... ....'...... .. ...... . ........... .'..........., ............. ... .... ..... ........... ........... .... ........ ... .. ........... ... .....
    • .. .............. .. ........ .. ...... ............. .. .... .........., ............ .. ...... .. ... .........., ..... ... .... ......... .........
    • .. .............. .. ..... .......... .. ............ ... ....... .. ....... .. ........... ... .... .......... ... ........ ... ........ .. .......
    • .. ..........., .. ........... ... .... .......... ... .......... ..... .............. ........ ..... .......... .. .......... ..... ........ ., ......... ., ....... .) . . ... ............

... .. .......... ........... ........ .. ........:

  1. Violazione degli Articoli 5, paragrafo 1, lettera a) e 9 del Regolamento:
    • .. .............. .. ........ . .... ......... ... .......... .. ..... .............. (...... .............. .......... . ...., .... .... ......, ..... ........ . .. .......... ......) ..... ..... ........ .... ......, .... ......... ....'........ . ... ............
    • ...... ........... ... .... ........ ........ ..... .......... .. ......... .. ........... . ..........., .... ........... ....'........ ., ......... ., ....... .) ... ............
    • .. ..........., .. .............. .. ........ . .... ........ .... ........ .. ........ ... .......... ..... ..... .............. ........... .. ....... .......... .. ........... ..... ........, ..... ..... ........ .. ........ ..... ........... . ..... ....... .. ..'..... .... ...... ........ ....'........ . ... ............
    • ...... ...... ........... ... .......... ..... ........ ., ......... ., ....... .) . . ... ............

... .. .......... ........... ........ .. ........:

  1. Violazione degli Articoli 5, paragrafo 1, lettera a) e 13 del Regolamento:
    • .. ...... .. ...... .. .'....... .. ......... . .......... . . ............. ..... ............... .......... ... ........... .. .... .......... .. ......... ... ........ .. ......, ............. ..... ......... .......... . ..... . ........... .... .........., .... .............. ......... ....'........ .. ... ............
    • ...... ....... .. ......... . .......... ........ ... .............. ... ...... .. ..........., .... ......... ....'........ ., ......... ., ....... .) ... ............
    • ........, ... .... ........., .. .............. .. ...... .. ....... ......... ........... ... ........... ... .... .......... ........ .............. ........ .. ...........
    • ...... ........ .. ............ ........... ... .......... ..... ........ ., ......... ., ....... .) . .. ... ............

... .. .......... ........... ........ .. ........:

  1. Violazione dell'Articolo 28 del Regolamento:
    • .. ........ ... ........... .. .......... . ....... .. .. .......... ...... . ..... ........ ... ............... .. ........... ... .... ......... ... .......... ..... .......... ............. .... ............ ... ..........., .... ......... ....'........ .. ... ............
    • .'........ .. ... ........... .......... ... .. ........ ... ........... .... ......... ........... . ............ ... ........... ... .......... ... .. ........... ... .... ....... .. ................. ... .. ............ ... ........... . ... ......... .. .......... ... ....... ..... ............
    • .......... .. .............. ..... ............... .......... . ......... .. .......... ...... . ..... ........ .... ............ ... ..........., .... ............ ........ ........ .... ... .. .......... .... ..... ........, ........, .. .............. .. ....... .'........ .. ... ............

......... .. .......... ........... ........ .. ........:

  1. Violazione dell'Articolo 35 del Regolamento:
    • .. .............. ... .. ........ ... ........... ....'....... ..... .......... ... .... ......... ..... ....'...... ... ........... ... ......... .'... .. ..... .........., .... ......... ....'........ .. ... ............
    • .. ........... ... .... .......... ... ............... .. ........... ..... ........ ... .......... ........... .. .... .. ... ........ .......... ... ........... .. ....... ..... .......... ... ...., ....... .. ..... ..... . .. ............. ... ....... .......
    • .'......... .. ...... ........... ........... ... .......... ....'........ .., ......... ., ... ............

... .. .......... ........... ....... ...... ......... .... .....:

  1. .......... ....'........ .. ... ...........:

    • .. ........ ... ........... ... .. ....... . .... .......... ... ........ ..... ............... .. ........... .... ......... ....'........ .., ... ....... .'........... ..... ......... .. .... ......... ....... .. ............
  2. .......... ....'........ .. ... ...........:

    • .. .............. ... .. ........ ...... ........ . ............. ........ ... ......... .. ....... .. ......... ........ .. ......., .... ......... ....'........ .. ... ............
    • .. ........... .. .............. ... ....... ..... ... .. ......... ..... (......: ".", ........: ".....") ... .... ..... .......... ... ....... ....'............., ........... .'....... ... ........... .... ............ ........... ... ............
    • ..... ........... ..... ......... .. ...... ........... ........, ........... .'....... ... ............
    • ...... ........ .. ......... ..... ........... . .'....... .. ......... .......... .. ....... ... .. ............ ... .... ......... ........, ........ .'....... .. ........ ...... ........ . ............. ........ ........ ....'........ .. ... ............



index:

Indice

  • Con una nuova metodologia assai innovati
  • .... ..... ................... ....... .
  • ..... ............... ..... ........:
  • ... .. .......... ........... ........ .
  • ........ .. .........
  • ... .. .......... ........... ........ .
  • .... ......... ... .......... .. ..... .
  • ... .. .......... ........... ........ .
  • .'....... .. ......... . .......... . .
  • ... .. .......... ........... ........ .
  • ..... .......... .............
  • ......... .. .......... ........... ....
  • ... .. ........ ... ........... ....'...
  • ... .. .......... ........... ....... ..
  • ... .. ....... . .... .......... ... ...
  • ... .. ........ ...... ........ . ......
  • PREMESSO
  • Lamentando che, a partire dal mese di fe
  • di Admin, così come riportate ne



testo:

P

Provvedimento del 22 febbraio 2024 [9995680]

[doc. web n. 9995680]

Provvedimento del 22 febbraio 2024

Registro dei provvedimenti
n. 105 del 22 febbraio 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTI i reclami presentati ai sensi dell’art. 77 del Regolamento nei confronti di L’Igiene Urbana Evolution s.r.l.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

PREMESSO

1. I reclami nei confronti della Società.

In data 24 ottobre 2022, alcuni dipendenti di L’Igiene Urbana Evolution s.r.l. (di seguito, la Società), hanno presentato reclamo all’Autorità lamentando che, a partire dal mese di febbraio 2022, al fine di accedere al cantiere situato in Ardea, ove si svolge l’attività lavorativa dei dipendenti, e di accertare la presenza degli stessi sul luogo di lavoro, era necessario utilizzare un rilevatore biometrico, basato sul riconoscimento facciale.

In base alla documentazione, anche fotografica, allegata ai reclami il Trattamento sarebbe stato effettuato mediante il dispositivo “Face Deep 3 – Smart Face Recognition System”, prodotto da Anviz Global.

Secondo quanto lamentato i trattamenti di Dati personali biometrici sarebbero “illegittimi”, tenuto anche conto che la finalità degli stessi “potrebbe essere egualmente raggiunta con mezzi meno invasivi della sfera personale del lavoratore”.

2. L’attività istruttoria.

L’Autorità ha delegato il Nucleo speciale privacy e frodi tecnologiche della Guardia di finanza ad effettuare accertamenti ispettivi ai sensi degli artt. 157 (Richiesta di informazioni e di esibizione di documenti) e 158 (Accertamenti) del Codice.

In data 19 gennaio 2023, il Nucleo, unitamente a personale dell’Autorità, si è recato presso il cantiere sito in Ardea, dove ha acquisito a verbale le seguenti dichiarazioni:

“all’interno del sito industriale di rimessaggio operano le seguenti società: L’Igiene Urbana Evolution s.r.l., Airone società consortile a r.l., Blue Work s.r.l., che operano come ATI per la gestione dei rifiuti del Comune di Ardea” (verbale ispettivo 19/1/2023, p. 2);

“all’interno di un locale adiacente al parco automezzi è presente un dispositivo di riconoscimento dei dipendenti basato sulla Biometria del volto […]. Il sistema viene utilizzato per la rilevazione delle presenze, dai circa 63 dipendenti delle società [che operano nel cantiere] più eventuali stagionali o sostituti temporanei” (verbale cit., p. 3);

“la fase di registrazione dei dipendenti, svolta in un periodo di qualche mese, è stata effettuata mediante l’inserimento del codice dipendente (ID) associato al nominativo, sulla base di un elenco fornito dalla società stessa. Una volta inserito tale ID avveniva il riconoscimento del volto del dipendente […] e il sistema convalidava la registrazione” (verbale cit., p. 3);

“nel locale in cui è presente il dispositivo sono sempre presenti anche i fogli firma che vengono utilizzati in alternativa al riconoscimento facciale, in caso di malfunzionamento dell’apparato” (verbale cit., p. 3);

nel corso dell’attività di accertamento i verbalizzanti hanno verificato che “il dispositivo è funzionante e connesso in rete […]. Accedendo con le credenziali di Admin, così come riportate nel manuale di utilizzo e non modificate nell’installazione, sono stati esportati i dati relativi alle timbrature e all’anagrafica degli utenti ed è stato effettuato il back up del db interno” (verbale cit., p. 3);

è stato altresì effettuato l’accesso all’applicativo JuniorWeb “tramite cui vengono gestite le presenze dei dipendenti, così come registrate tramite il dispositivo di riconoscimento facciale. Sono stati effettuati gli export delle anagrafiche, comprendenti anche i dipendenti licenziati, ed è stato verificato che il sistema riporta l’indicazione di 3 ulteriori società (DMT, IGNEVO, UNICA srl) e di 17 ulteriori centri di costo” (verbale cit., p. 3);

“le società che gestiscono il sistema sono le tre indicate in precedenza, facenti parte dell’ATI e […] il sistema è stato installato da Igiene Urbana Evolution” (verbale cit., p. 4).
In data 26 gennaio 2023, nel corso dell’accertamento ispettivo effettuato presso la sede amministrativa di L’igiene Urbana Evolution s.r.l., la Società ha dichiarato che:

“l’Associazione temporanea di imprese (ATI) è stata costituita nel gennaio 2020 […]. Attualmente l’ATI è composta dalle società: l’Igiene Urbana Evolution e Blu Work. […] Nel marzo 2021, ai soli fini della gestione operativa della commessa, le società L’Igiene Urbana Evolution e Blu Work hanno costituito la Airone società consortile a r.l.” (verbale ispettivo 26/1/2023, p. 3);

“L’apparecchio biometrico di rilevamento presenze in Ardea è stato installato dalla capogruppo anche alla luce di numerosi procedimenti disciplinari […] relativi a ritardi, assenze, interruzioni e abbandoni del servizio […] nonché in virtù dei numerosi contenziosi e sentenze di condanna collegati a rivendicazioni di compensi di lavoro straordinario, tenuto conto che il servizio di raccolta e trasporto rifiuti è un servizio pubblico essenziale […]. Il sistema si è anche ritenuto necessario in quanto tutti i dipendenti del cantiere di Ardea sono […] stati assunti […] in forza di clausola sociale” (verbale cit., p. 3);

il sistema biometrico è stato attivato “nel dicembre 2021 (prima timbratura il 27 dicembre 2021) e il numero di interessati, dipendenti della [Società] è pari ad oggi a 37 unità” (verbale cit., p. 3);

“all’interno del sito sono presenti altri dipendenti della Blu Work e della Airone” (verbale cit., p. 3);

oltre al dispositivo biometrico installato presso il cantiere di Ardea, la Società ha installato altri “9 dispositivi biometrici, facendo riserva di produrre apposito prospetto” (verbale cit., p. 4);

“la società, sulla base della dichiarazione e certificazione di conformità dell’apparato biometrico fornita dal produttore «Anviz Global Inc.», allegata al prodotto fornito dalla società di servizi UNICA srls, in cui veniva dichiarato che il dispositivo era pienamente conforme al GDPR, riteneva di potere utilizzare lo stesso ai sensi dell’art. 9 c.2, par. b. del Regolamento” (verbale cit., p. 4);

“la società ha formalizzato nel mese di marzo 2021, con la società Unica srls, l’acquisto dei dispositivi di rilevazione delle presenze, i quali sono stati materialmente installati dalla DM Technology srl in virtù di un pregresso contratto di servizio e di manutenzione” (verbale cit., p. 4);

relativamente alla effettuazione dei trattamenti di dati biometrici la Società non ha provveduto ad effettuare la designazione di responsabili del trattamento, non ha eseguito una valutazione di impatto né ha fornito una “informativa specifica sul Trattamento dei dati biometrici” (verbale cit., p. 5);

nel registro dei trattamenti non è stato censito il Trattamento dei dati biometrici (verbale cit., p. 5; il registro datato 29/12/2021 è nell’All. 5).
Il 27 gennaio 2023, sono proseguite le attività ispettive presso la sede amministrativa di L’Igiene Urbana Evolution s.r.l. In tale occasione la Società ha ulteriormente rappresentato che:

“UNICA srls è la società che fornisce attività di consulenza amministrativa, organizzativa e tecnica” per la Società (verbale ispettivo 27/1/2023, p. 2);

“gli apparecchi biometrici riportati nelle fatture […] sono la totalità degli apparecchi acquistati dal citato fornitore del servizio (n. 13 apparecchi complessivi). Successivamente all’acquisto la UNICA srls in ragione della «Convenzione di consulenza cantieri/assistenza professionale» […] ha dato la possibilità [alla Società] di fruire di n. 10 apparecchi di cui è cenno nel verbale di ieri. I citati apparecchi sono poi stati installati […] dalla società DM Technology” (verbale cit., p. 2);

la Società ha fornito “il prospetto riguardante le diverse sedi di installazione dei dispositivi (All. 3)” (verbale cit., p. 2);

“tutti gli apparecchi biometrici […] sono stati disattivati a titolo cautelativo” (verbale cit., p. 2);

“il funzionamento della rilevazione presenze presso i 9 siti indicati […] è identico” a quello previsto per il cantiere di Ardea (verbale cit., p. 2);

“gli apparati sono installati al fine di effettuare la rilevazione delle presenze tramite confronto uno a molti dell’impronta biometrica del volto dei dipendenti e […] Unica srls ha fornito il manuale di utilizzo degli stessi. Successivamente il tecnico di DM Technology effettuava la formazione sull’utilizzo del dispositivo al capocantiere” (verbale cit., p. 2);

nel corso dell’accesso al sistema Junior Web, con profilo Admin è “stato visualizzato il prospetto di timbrature del mese di dicembre 2022, comprendente i dipendenti di diversi siti (indicati come CDC, centri di costo). […] di tutti i centri di costo visualizzati solo 10 fanno riferimento alla società. I restanti CDC fanno riferimento ad altre società, per le quali la DM Technology fornisce assistenza sui dispositivi di rilevazione biometrica” (verbale cit., p. 3);

“i dati biometrici degli interessati risiedono esclusivamente nel dispositivo e non sono accessibili da remoto, né in locale, se non per la cancellazione, che può essere effettuata solo direttamente sul dispositivo” (verbale cit., p. 3);

“gli account per accedere a Junior Web sono forniti e gestiti da DM Technology, che gestisce anche gli account di accesso al dispositivo” (verbale cit., p. 3);

“probabilmente su molti dispositivi installati è stata mantenuta la Password di default, presente sul dispositivo posto ad Ardea. Per tale tipo di credenziale non è prevista la scadenza della validità, cosa che è invece prevista per gli account Junior Web” (verbale cit., p. 3);

“i dispositivi posti presso i siti di Igiene Urbana Evolution sono collegati con un server posto presso la sede della società […], per l’invio dei dati relativi alle timbrature. I dispositivi posti presso i siti di altre società si collegano a rispettivi e differenti server. I dati sono poi integrati da DM Technology, per la visualizzazione con il profilo Admin” (verbale cit., p. 4);

“il dispositivo è dotato di uno speciale algoritmo “Bionano” per criptare i dati biometrici in modo non reversibile” (verbale cit., p. 4);

è stata fornita copia della dichiarazione di conformità alla disciplina in materia di protezione dei dati da parte del fornitore dei dispositivi (verbale cit., p. 4).
In data 30 maggio 2023, alla luce delle dichiarazioni rilasciate nel corso delle precedenti ispezioni, sono stati effettuati accertamenti ispettivi anche presso la sede legale di DM Technology s.r.l.

Quest’ultima ha dichiarato che:

“delle tre utenze assegnate [dal fornitore dei dispositivi], una utenza, utilizzata da DM, aveva profilo Admin, con possibilità di operare completamente sull’applicativo e avere visibilità dei dati delle 3 aziende” (verbale ispettivo 30 maggio 2023, p. 3);

“una volta andato a regime l’uso dei dispositivi FD3, la DM ha effettuato assistenza su Junior Web per Unica, Igiene Urbana e DM stessa […] tramite [l’utenza fornita dal fornitore] era possibile vedere i dati delle timbrature dei centri di costo appartenenti a Unica, Igiene Urbana Evolution e DM” (verbale cit., p. 3).

3. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e le deduzioni della Società.

Il 13 settembre 2023, l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione alla Società delle presunte violazioni del Regolamento riscontrate, con riferimento agli artt. 5, par. 1, lett. a), 9, par. 2, 13, 28, 30, 32 e 35 del Regolamento.

Con memorie difensive inviate in data 13 ottobre 2023, la Società ha dichiarato che:

a. la Società ha riscontrato “nel corso del 2021 un pesante aggravamento del fenomeno dell’assenteismo, segnatamente accompagnato da timbrature fraudolente che attestavano la presenza in servizio di dipendenti che, in realtà, non prestavano regolarmente la loro prestazione: si tratta di una tematica che ha visto un notevole appesantimento, in ragione della clausola sociale, sostanziata dall’art. 6 del CCNL Igiene Ambientale”;

b. “la materia è stata oggetto di un acceso contenzioso lavoristico […]. Tali ricorsi hanno avuto ad oggetto la richiesta di riconoscimento di differenze retributive per presunte ore di lavoro straordinario prestato […] ma che, invero, la Scrivente non riteneva fossero mai state effettivamente svolte. I procedimenti, inoltre, hanno avuto esiti negativi proprio in virtù della circostanza per cui la Scrivente era impossibilitata a verificare con certezza l’effettivo orario di lavoro prestato dai ricorrenti (in quanto venivano utilizzati fogli presenze cartacei)”;

c. “Gli ordinari strumenti di contrasto adottati a tale fine, si sono dimostrati del tutto inefficaci. È in questo contesto che, nell’esercizio delle fisiologiche prerogative di organizzazione e controllo sul regolare espletamento delle prestazioni a fini difensivi, si è ritenuto di adottare misure che, nel pieno rispetto dei diritti dei lavoratori, consentissero di stroncare alla radice un fenomeno distorsivo”;

d. “l’adozione di un sistema di rilevazione delle presenze mediante riconoscimento facciale è stata realizzata rivolgendosi alla [società fornitrice dei dispositivi], che commercializza un sistema implementato da un’azienda leader sul mercato (Anviz Global), il cui applicativo (Face Deep 3 – Smart Face Recognition System) veniva presentato come uno strumento pienamente coerente con i vincoli derivanti dal rispetto della normativa a tutela della protezione dei Dati personali dei lavoratori”;

e. “Va altresì precisato che, nel verbale del 19.01.2023, in relazione al contenuto del back-up del DB interno al dispositivo acquisito dagli ispettori, l’indicazione “timbrature ed anagrafiche utenti” deve, invero, intendersi riferita ad un mero codice numerico (corrispondente ad ogni lavoratore) correlato alla data e all’orario di timbratura. […] i template biometrici cifrati, acquisti in fase di enrollment […], risultavano associati ai suddetti codici numerici, senza alcuna memorizzazione nel dispositivo del nome e cognome degli interessati”;

f. “i dati biometrici risiedono esclusivamente nel dispositivo e non sono accessibili da remoto, né in locale, […]”;

g. “il sistema è impostato in modo tale da limitare l’accesso ai dati criptati al solo personale in possesso di specifiche credenziali di autorizzazione […] Resta fermo il rilievo, sicuramente fondato, sulla non robustezza della Password per l’accesso all’applicativo del dispositivo”;

h. “si è comunque sempre garantita al personale la possibilità di non utilizzare l’applicativo per il riconoscimento facciale, sostituendolo con i fogli presenza […], come in caso, ad esempio, di malfunzionamento o non attivazione dei dispositivi”;

i. “nell’immediatezza della verifica si è proceduto alla sospensione del Trattamento […], si è nominato un consulente privacy, si è individuata la procedura per la dismissione di detti dispositivi biometrici, consistente in: smontaggio, custodia in locali protetti, in attesa della conclusione del presente procedimento […] ed, al termine del procedimento, cancellazione dei dati presenti sui dispositivi; restituzione alla società fornitrice; chiusura dell’account Junior Web, software necessario per utilizzare i dispositivi”;

j. “pur valutato il principio di cui all’art. 24 del GDPR ed i connessi obblighi in termini di accountability, non sembra possa ritenersi del tutto neutra (come si paventa nella contestazione) la circostanza che l’azienda si sia rivolta ad una società fornitrice leader del mercato, che aveva dato piene garanzie in termini generali sulla conformità del prodotto, valorizzando in particolare l’elemento della criptazione dei dati e della relativa non reversibilità”;

k. “Quanto, infine, al numero di interessati coinvolti, si evidenzia che, per quanto riguarda il sito di Ardea, si è trattato di circa 37 dipendenti (appartenenti alle tre diverse Società facenti parte dell’ATI) e che su ogni sito gli stessi coincidono con i soli lavoratori impiegati presso i 9 siti coinvolti, ed assommano in totale a 218 unità (il dato citato nella contestazione, di 288 unità, è il frutto di un errato conteggio che tiene conto anche di posizioni duplicate, come si è cercato di spiegare e documentare in sede di ispezione)”;

l. “nel periodo intercorrente tra il 2021 ed il 2022, la Società ha sostenuto rilevanti spese a causa dell’impatto della Pandemia da Covid-19 connesse specificatamente agli ingenti costi per la gestione del personale e la sanificazione degli ambienti di lavoro; […] la comminazione di gravose sanzioni pecuniarie potrebbe avere impatti economici e finanziari rilevanti sulle attività aziendali, con inevitabili ricadute negative anche sulla già di per sé onerosa complessa gestione del personale nel difficile e complesso contesto lavorativo in cui opera la Scrivente”.

Nel corso dell’audizione richiesta dalla Società, tenutasi in data 4 dicembre 2023, la stessa ha infine sostenuto, tra l’altro, che:

a. “rispetto alle richieste formulate dai lavoratori nei reclami presentati all’Autorità, a seguito dell’accertamento ispettivo la Società ha immediatamente disposto la sospensione in via cautelativa del Trattamento effettuato fino a quel momento tramite il sistema di riconoscimento facciale”;

b. “il sistema di riconoscimento facciale era stato utilizzato perché, anche erroneamente, era stata interpretata la base giuridica”;

c. “seppur la Società non abbia adempiuto a tutti gli obblighi imposti dalla normativa di protezione dei dati, ha tenuto conto della sicurezza del dato, adottando le massime misure di sicurezza previste”;

d. “L’Igiene Urbana e DM Technology non hanno provveduto alla cancellazione dei dati in attesa della definizione del procedimento e in vista di ulteriori controlli da parte dell’Autorità. È però già stata prevista una procedura per la cancellazione dei dati raccolti con il sistema di riconoscimento facciale che verrà attivata appena concluso il procedimento dinanzi all’Autorità”.

4.1. Violazione dell’art. 5, par. 1, lett. a) e 9 del Regolamento in relazione ai trattamenti di dati dei propri dipendenti.

All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, risulta che la Società, in qualità di titolare, ha effettuato alcune operazioni di trattamento, riferite ai reclamanti, che risultano non conformi alla disciplina in materia di protezione dei dati personali. In proposito si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

Nel merito, all’esito dell’attività istruttoria, è stato accertato che la Società ha utilizzato un sistema biometrico, basato sul riconoscimento facciale, a partire dal mese di dicembre 2021 (data in cui è stato attivato il sistema, secondo quanto dichiarato dalla Società; tuttavia la stessa non ha chiarito in quale data fossero iniziate le attività di registrazione dei dipendenti con conseguente Trattamento di dati) e fino al mese di gennaio 2023, data in cui il sistema è stato disattivato “a titolo cautelativo” a seguito dell’avvio dell’attività di accertamento da parte dell’Autorità.

L’utilizzo del sistema biometrico, finalizzato alla rilevazione della presenza in servizio dei dipendenti, è stato determinato, in base a quanto dichiarato, dal moltiplicarsi di fenomeni di “assenteismo” e di vertenze avviate nei confronti della Società stessa da parte dei lavoratori relative “a rivendicazioni di compensi di lavoro straordinario”. Inoltre l’adozione del sistema biometrico, secondo quanto dichiarato dalla Società, si sarebbe reso necessario anche in forza del fatto che “tutti i dipendenti del cantiere di Ardea sono […] stati assunti […] in forza di clausola sociale”, con conseguente impossibilità per il datore di scegliere i contraenti del contratto di lavoro.

Il Trattamento ha riguardato un numero significativo di interessati, considerato che, nel corso degli accertamenti, è emerso che la Società ha utilizzato il medesimo tipo di rilevatore biometrico, non solo presso il cantiere di Ardea, bensì anche presso ulteriori 9 siti, presso i quali svolge la propria attività (v. verbale 27/1/2023, p. 2).

In particolare, in base all’esame del “prospetto riguardante le diverse sedi di installazione dei dispositivi” fornito dalla Società, comprensivo del numero di propri dipendenti impiegati presso ciascuna sede, emerge che il Trattamento ha interessato un totale di 288 lavoratori (v. verbale cit., All. 3).

Anche sottraendo i 12 lavoratori del sito presso il Comune di Ravello, il cui dispositivo sarebbe stato “montato [ma] mai andato in funzione”, come indicato nel prospetto (senza tuttavia specificare se sia stata effettuata o meno la raccolta dei dati, che è comunque una operazione di trattamento), si tratterebbe in totale di 276 dipendenti, ossia un numero comunque significativo di interessati coinvolti dal Trattamento di dati biometrici.

Diversamente da quanto sostenuto nelle memorie difensive, inoltre, la Società nel corso del procedimento non ha indicato né documentato l’esistenza di ritenute “posizioni duplicate”, considerate le quali il numero complessivo di interessati dalla rilevazione biometrica ammonterebbe invece a 218 dipendenti, e in ogni caso anche tale numero appare significativo.

Preliminarmente si osserva che, come chiarito dall’Autorità, vi è Trattamento di dati biometrici sia nella fase di registrazione (c.d. enrolment), consistente nella acquisizione delle caratteristiche biometriche dell’interessato (caratteristiche del volto, nel caso di specie; v. punti 6.1 e 6.2 dell’allegato A al provvedimento del Garante del 12 novembre 2014, n. 513, in www.garanteprivacy.it, doc. web n. 3556992), sia nella fase di riconoscimento biometrico, all’atto della rilevazione delle presenze (v. anche punto 6.3 dell’allegato A al citato provvedimento).

Pertanto, anche in caso di estrazione del c.d. template, vi è Trattamento di dati biometrici, con conseguente applicazione della specifica disciplina prevista dall’ordinamento.

In proposito, in base alla normativa posta in materia di protezione dei dati personali, il Trattamento di dati biometrici (di regola vietato ai sensi dell’art. 9, par. 1 del Regolamento) è consentito esclusivamente qualora ricorra una delle condizioni indicate dall’art. 9, par. 2 del Regolamento e, con riguardo ai trattamenti effettuati in ambito lavorativo, solo quando il Trattamento sia “necessario per assolvere gli obblighi ed esercitare i diritti specifici del Titolare del Trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia Autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. b), del Regolamento; v. anche: art. 88, par. 1 e cons. 51-53 del Regolamento).

Il datore di lavoro, inoltre, è tenuto ad applicare i principi generali del trattamento, in particolare quelli di liceità, correttezza e trasparenza, minimizzazione, integrità e riservatezza dei dati (art. 5, par. 1, lett. a), c) e f) del Regolamento).

In applicazione di tali disposizioni, sebbene nel contesto lavorativo le finalità di rilevazione delle presenze dei dipendenti e di verifica dell’osservanza dell’orario di lavoro possano rientrare nell’ambito di applicazione dell’art. 9, par. 2, lett. b) del Regolamento, tuttavia il Trattamento dei dati biometrici è consentito solo “nella misura in cui sia Autorizzato dal diritto dell’Unione o degli Stati membri […] in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. b), e cons. nn. 51-53 del Regolamento).

Tenuto anche conto di quanto previsto dall’art. 2-septies del Codice (Misure di garanzia per il Trattamento dei dati genetici, biometrici e relativi alla salute), in base al quale i predetti trattamenti possono essere effettuati conformemente alle misure di garanzia disposte dal Garante (ai sensi dell’art. 9, par. 4, del Regolamento), allo stato l’ordinamento vigente non consente il Trattamento di dati biometrici dei dipendenti per finalità di rilevazione della presenza in servizio.

Ciò è stato ribadito dal Garante con i provvedimenti n. 369, del 10 novembre 2022 (doc. web n. 9832838) e n. 16, del 14 gennaio 2021 (doc. web n. 9542071).

L’utilizzo del dato biometrico nel contesto dell’ordinaria gestione del rapporto di lavoro (quale è l’attività di rilevazione delle presenze), al dichiarato fine di far fronte ad illeciti disciplinari, contenziosi legati alla corresponsione del compenso per il lavoro straordinario nonché a causa della presenza di personale presso il cantiere ove si è svolta l’attività di accertamento assunto mediante l’applicazione della c.d. clausola sociale (sebbene tale ultima motivazione non sia conferente, tenuto altresì conto che non sono state rese note le motivazioni in forza delle quali il sistema biometrico è stato adottato anche presso ulteriori 9 siti gestiti dalla Società), non è dunque conforme ai principi di Minimizzazione e proporzionalità del Trattamento (art. 5, par. 1, lett. c) del Regolamento).

Premesso, in proposito, che la Società non ha illustrato (né documentato nel corso del procedimento) quali “ordinari strumenti di contrasto” fossero stati in concreto adottati e si fossero rivelati “del tutto inefficaci”, al fine di poter contabilizzare le effettive ore di lavoro prestate e di accertare la presenza dei lavoratori sul luogo di lavoro avrebbero potuto essere adottate misure utili allo scopo ma meno invasive per i diritti degli interessati (es. controlli automatici mediante badge, verifiche dirette, etc.).

La valutazione di proporzionalità del Trattamento di dati biometrici consistenti nel riconoscimento facciale avrebbe dovuto tener conto, inoltre, dei rischi per i diritti e le libertà degli interessati connessi all’uso di tale particolare tecnologia biometrica così come è stato riconosciuto sia dall’ordinamento nazionale che in ambito europeo (v. d.l. 10/5/2023, n. 51, conv. in l. 3/7/2023, n. 87, che con l’art. 8-ter ha prorogato al 31 dicembre 2025 la sospensione dell’installazione e utilizzazione di impianti di videosorveglianza con sistemi di riconoscimento facciale “in luoghi pubblici o aperti al pubblico, da parte delle autorità pubbliche o di soggetti privati”, ciò al fine di “disciplinare conformemente i requisiti di ammissibilità, le condizioni e le garanzie relativi all'impiego di sistemi di riconoscimento facciale nel rispetto del principio di proporzionalità previsto dall'articolo 52 della Carta dei diritti fondamentali dell'Unione europea”; si veda inoltre: European data Protection Board, Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement, adottate il 26/7/2023, spec. punti 17, 34 e 35 sui rischi del riconoscimento facciale; Linee guida 3/2019 sul Trattamento dei Dati personali attraverso dispositivi video, adottate il 29 gennaio 2020, spec. punti 4 e 73; si veda altresì il Provv. del 10 febbraio 2022, n. 50, doc. web n. 9751362, adottato, seppure in un diverso contesto, in materia di riconoscimento facciale).

Infine, la circostanza che il produttore e il fornitore dei dispositivi di riconoscimento facciale (soggetti che in ogni caso devono tener conto del diritto alla protezione dei dati: v. cons. 78 del Regolamento) avessero prodotto una “dichiarazione e certificazione di conformità dell’apparato biometrico […], in cui veniva dichiarato che il dispositivo era pienamente conforme al GDPR” (v. verbale ispettivo 26/1/2023, p. 4), non può far venir meno la responsabilità della Società, considerato che il Titolare del trattamento, alla luce di quanto stabilito dall’art. 5, par. 2, del Regolamento, in base al c.d. principio di responsabilizzazione, “è competente per il rispetto [dei principi generali del trattamento] e in grado di comprovarlo”, con riguardo agli obblighi che gravano sullo stesso  (art. 24 del Regolamento).

Ciò tenuto pure conto che, nel caso concreto, l’Autorità, anche di recente (come ricordato sopra), si è pronunciata sui criteri di legittimazione e i principi applicabili al Trattamento di dati biometrici nell’ambito del rapporto di lavoro, pubblicando sul proprio sito istituzionale le decisioni adottate in materia.

Pertanto, il Titolare del trattamento, prima di procedere all’utilizzo di dispositivi realizzati da terzi, avrebbe dovuto verificare la conformità dei relativi trattamenti ai principi applicabili.

Da ultimo, si osserva che la possibilità di utilizzare i fogli firma non era alternativa, come dedotto dalla Società, all’uso del dispositivo di riconoscimento facciale, posto che i dipendenti potevano ricorrervi, in base a quanto emerge dalla documentazione presente in atti, solo in caso di malfunzionamento dei dispositivi biometrici.

Tuttavia, anche qualora un sistema di rilevazione non biometrico fosse stato messo a disposizione dei lavoratori in alternativa a quello biometrico, i trattamenti di dati effettuati non sarebbero stati conformi alle disposizioni in materia di protezione dei Dati personali nei termini su esposti, e in concreto sarebbero risultati non necessari rispetto alla dichiarata finalità di ovviare ai problemi legati proprio all’uso dei fogli firma per attestare la presenza sul luogo di lavoro.

In base ai suesposti motivi il Trattamento di dati biometrici dei propri dipendenti effettuato dalla Società risulta pertanto essere stato effettuato in assenza di un’idonea base giuridica, in violazione degli artt. 5, par. 1, lett. a) e 9 del Regolamento.

4.2. Violazione degli artt. 5, par. 1, lett. a) e 9 del Regolamento in relazione ai trattamenti di dati di dipendenti di altre società.

All’esito dell’accesso al sistema e dell’esame della documentazione acquisita in atti è altresì emerso che l’elenco dei dipendenti da sottoporre a verifica della presenza, tramite il sistema di rilevazione biometrica, era, fino alla sua sospensione, unico per le tre società che operano presso il cantiere di Ardea (oltre alla Società, anche Airone società consortile a r.l. e Blue Work s.r.l.), le quali hanno fornito l’elenco dei rispettivi dipendenti da sottoporre a verifica.

Infatti sia il foglio firma cartaceo, che il giornale presenze estratto dall’applicativo JuniorWeb, nonché i dati esportati dal dispositivo Anviz, acquisiti in atti, presentano un elenco condiviso tra le tre società dove a fianco di ciascun nominativo è indicata la società di appartenenza (v. verbale ispettivo 19/1/2023, All. 1 [Giornale Presenze Gennaio 2023-report generato da Junior Web e fogli firma del 19/1/2023], 2 [tabelle con esportazione dati estratti dal dispositivo] e 3 [screenshot accesso a dati contenuti nel dispositivo]).

Dalla documentazione acquisita nel corso dell’ispezione, è altresì emerso che i trattamenti complessivamente effettuati dal sistema hanno riguardato anche i dipendenti di Unica s.r.l.s. e DM Technology s.r.l. (v. verbale ispettivo 27/1/2023, All. 6, “Table export totali dipendenti”, contenente l’elenco delle timbrature effettuate al 27/1/2023 relativo ai dipendenti di L’Igiene Urbana Evolution s.r.l., Airone società consortile a r.l., Blue Work s.r.l., Unica s.r.l.s. e DM technology).

Pertanto, la Società ha trattato anche i dati relativi alla presenza in servizio dei dipendenti di Airone società consortile a r.l., Blue Work s.r.l., di Unica s.r.l.s. e DM Technology s.r.l., tratti dal sistema biometrico di rilevazione delle presenze, parimenti in assenza di alcuna delle condizioni applicabili, tra quelle previste dall’art. 9, paragrafo 2 del Regolamento.

I descritti trattamenti sono pertanto avvenuti in violazione degli artt. 5, par. 1, lett. a) e 9 del Regolamento.

4.3. Violazione degli artt. 5, par. 1, lett. a) e 13 del Regolamento.

Il Garante ha più volte ribadito che il datore di lavoro, in applicazione del principio di trasparenza, ha l’obbligo di indicare ai propri dipendenti e collaboratori, in ogni caso, quali siano le caratteristiche essenziali dei trattamenti di dati effettuati in occasione del rapporto di lavoro nonché degli strumenti attraverso i quali i trattamenti sono effettuati, conformemente a quanto specificamente indicato dall’art. 13 del Regolamento.

Ciò anche considerando che, nell’ambito del rapporto di lavoro, l’obbligo di informare il dipendente è altresì espressione del dovere di correttezza (art. 5, par. 1, lett. a) del Regolamento).

Nel caso di specie, è invece emerso che la Società ha omesso di fornire alcuna informativa sulle caratteristiche del Trattamento di dati biometrici mediante riconoscimento facciale (v. verbale 26/1/2023, p. 5, dove la Società ha dichiarato di non aver fornito “alcuna informativa specifica sul Trattamento dei dati biometrici”).

Ciò ha comportato la violazione degli artt. 5, par. 1, lett. a) e 13 del Regolamento.

4.4. Violazione dell’art. 28 del Regolamento.

In base a quanto stabilito dal Regolamento, il Titolare del trattamento, nell’ambito della predisposizione delle misure tecniche e organizzative che gli competono, anche sotto il profilo della sicurezza (artt. 24 e 32 del Regolamento), può avvalersi di un Responsabile per lo svolgimento di alcune attività di trattamento, cui impartisce specifiche istruzioni (cfr. cons. 81 del Regolamento).

In tal caso il Titolare “ricorre unicamente a responsabili del Trattamento che presentino garanzie sufficienti per mettere in atto [le predette misure] adeguate in modo tale che il Trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti degli interessati” (art. 28, par. 1, del Regolamento).

Ai sensi del richiamato art. 28 del Regolamento il Titolare può affidare un Trattamento anche a soggetti esterni, disciplinandone però adeguatamente il rapporto con un contratto (o un altro atto giuridico) e impartendo le istruzioni in merito alle caratteristiche principali del trattamento.

Il Responsabile del Trattamento è, pertanto, legittimato a trattare i dati degli interessati “soltanto su istruzione documentata del titolare” (art. 28, par. 3, lett. a), del Regolamento) ed entro gli specifici limiti definiti dal Titolare del trattamento.

La Società, pur avvalendosi dei servizi forniti da DM Technology s.r.l. relativamente alla gestione dell’applicativo Junior Web, effettuati con modalità che consentivano alla stessa l’accesso ai dati dei dipendenti relativi alla rilevazione delle presenze e il relativo Trattamento (v. verbale ispettivo 30/5/2023 presso DM Technology s.r.l., p. 3; v. Convenzione per manutenzione del 28/10/2020, sottoscritta da DM Technology e L’Igiene Urbana, All. 2, verbale ispettivo 27/1/2023), non ha provveduto a designare la predetta società quale Responsabile del trattamento, come previsto dall’art. 28 del Regolamento (v. verbale 26/1/2023, p. 5).

Inoltre è emerso che la Società si è avvalsa dei servizi di “consulenza, assistenza e adempimenti in materia di diritto del lavoro” forniti da Unica s.r.l.s. in base ad una convenzione, stipulata tra le parti (v. “Convenzione di consulenza in materia di lavoro/assistenza professionale”, del 28/12/2020), che prevede espressamente attività quali l’elaborazione di prospetti di liquidazione di malattia, maternità, ferie e l’elaborazione di tabulati per le trattenute sindacali che comportano necessariamente il Trattamento di Dati personali dei dipendenti del titolare.

Anche in relazione a tale attività, la Società non ha provveduto a designare la società fornitrice di servizi quale Responsabile del trattamento, come invece previsto dall’art. 28 del Regolamento.

Si prende atto che la Società, nel corso del procedimento, ha prodotto copia della designazione di DM Technology s.r.l. e Unica s.r.l.s., quali responsabili dei trattamenti di Dati personali effettuati in esecuzione della convenzione stipulata tra le parti, adottata in data 1/6/2023 (v. memorie difensive 13/10/2023, All. 5 e 6).

Per i suesposti motivi, nei termini suesposti, la Società ha dunque violato l’art. 28 del Regolamento.

4.5. Violazione dell’art. 35 del Regolamento.

In base all’art. 35 del Regolamento, in relazione a trattamenti che prevedono “l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, [tali da] presentare un rischio elevato per i diritti e le libertà delle persone fisiche”, il Titolare è tenuto ad effettuare una valutazione dell'impatto sulla protezione dei Dati personali prima dell’inizio dei trattamenti previsti.

In proposito, le Linee guida WP 248rev.01 del 4.4.2017 (“Linee guida in materia di valutazione d'impatto sulla protezione dei dati e determinazione della possibilità che il Trattamento "possa presentare un rischio elevato" ai fini del regolamento (UE) 2016/679”) individuano, tra i criteri in presenza dei quali il Titolare del Trattamento è tenuto ad effettuare una valutazione di impatto, rilevanti nel caso di specie, il Trattamento di “dati sensibili”, tra i quali sono compresi i dati biometrici (v. cap. III, B, n. 4), il Trattamento effettuato nei confronti di interessati “vulnerabili” (ad es. in quanto parti di un rapporto di lavoro; v. cap. III, B, n. 7) nonché i trattamenti che realizzano un “uso innovativo o [l’]applicazione di nuove soluzioni tecnologiche od organizzative” (v. cap. III, B, n. 8).

Ulteriori indicazioni sono state fornite in proposito con il provvedimento del Garante dell’11 ottobre 2018, n. 467 (“Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d'impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679”, in G.U., S. G. n. 269 del 19.11.2018, spec. n 6 e 7), sebbene riferito a trattamenti transfrontalieri.

Pur avendo adottato un sistema di autenticazione biometrica per finalità di rilevazione delle presenze dei propri dipendenti presso tutti i siti dove questi operano, la Società non ha però provveduto a effettuare una valutazione di impatto, prima dell’inizio dei trattamenti stessi, in violazione pertanto, nei termini su esposti, dell’art. 35, par. 1 del Regolamento.

4.6. Violazione degli artt. 30 e 32 del Regolamento.

In base a quanto stabilito dall’art. 30 del Regolamento, all’interno del registro delle attività di Trattamento svolte dal Titolare quest’ultimo, sotto la propria responsabilità, è tenuto a indicare le categorie di Dati personali oggetto di Trattamento (art. 30, par. 1, lett. c) del Regolamento).

Come chiarito dall’Autorità, il registro costituisce uno dei principali elementi di Accountability del titolare, in quanto strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile per ogni attività di valutazione o Analisi del rischio e dunque preliminare rispetto a tali attività.

Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante (si vedano in proposito le FAQ sul registro delle attività di trattamento, messe a disposizione dal Garante sul proprio sito istituzionale nell’ottobre 2018, doc. web n. 9047529).

Nel caso concreto, è emerso invece che il registro delle operazioni di Trattamento datato 29/12/2021, non indica i dati biometrici tra i tipi di dati trattati dal Titolare (v. verbale 26/1/2023, All. 5).

Ciò risulta in violazione di quanto stabilito dall’art. 30 del Regolamento.

Inoltre, in occasione dell’accesso effettuato nel corso dell’attività ispettiva al terminale Anviz, utilizzato per la timbratura previo riconoscimento facciale, è emerso che le credenziali di autenticazione con profilo Admin erano le stesse riportate nel manuale di utilizzo (userID, cosiddetto default ID, “0”, Password “12345”) e non erano mai state modificate nel corso del tempo, dunque a partire dalla data di installazione nel mese di dicembre 2021.

In base a quanto dichiarato dalla Società, anche altri dispositivi, oltre a quello installato presso il cantiere di Ardea, avevano mantenuto le stesse credenziali standard previste per il primo accesso (v. verbali ispettivi 19/1/2023, p. 3 e 27/1/2023, p. 3).

Ciò ha reso possibile l’accesso alle informazioni memorizzate nel terminale sulla base della semplice consultazione del manuale di utilizzo del dispositivo, agevolmente reperibile anche in Internet, e comunque in base alla digitazione dei primi cinque numeri cardinali posti in ordine crescente (v. All. 2, verbale ispettivo 19/1/2023, contenente la documentazione fotografica degli accessi effettuati, spec. IMG_20230119_103040943.jpg).

Tale condotta non è conforme a quanto previsto dall’art. 32 del Regolamento, in base al quale il Titolare del Trattamento è tenuto ad approntare “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”, assicurando “su base permanente la riservatezza” dei Dati personali trattati, alla luce “dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”.

La Società ha pertanto violato anche l’art. 32 del Regolamento.

5. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Per i suesposti motivi, l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal Titolare del trattamento, nel corso dell’istruttoria, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il Trattamento dei Dati personali effettuato dalla Società e segnatamente il Trattamento di dati biometrici (riconoscimento facciale) riferiti ai propri dipendenti e a quelli di altre società, per finalità di rilevazione delle presenze, risulta infatti illecito, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a), 9, 13, 28, 30, 32 e 35 del Regolamento.

La violazione, accertata nei termini di cui in motivazione, non può essere considerata “minore”, tenuto conto della natura della violazione che ha riguardato i principi generali e le condizioni di liceità del Trattamento di Dati particolari nonché della gravità della violazione stessa, del grado di responsabilità e della maniera in cui l'autorità di controllo ha preso conoscenza della violazione (v. Considerando 148 del Regolamento).

L’Autorità prende comunque atto che, secondo quanto dichiarato sotto propria responsabilità, la Società ha provveduto a sospendere le operazioni di Trattamento dei dati biometrici dopo l’avvio dell’attività ispettiva ed ha individuato una “procedura per la dismissione dei dispositivi biometrici” la quale prevede, tra l’altro, che al termine del procedimento avviato dal Garante, i dati conservati sui dispositivi siano cancellati (v. memorie difensive 13/10/2023).

Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento, il procedimento si definisce con la sola applicazione di una sanzione amministrativa pecuniaria, ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) Regolamento).

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

All’esito del procedimento, risulta che L’Igiene Urbana Evolution s.r.l. ha violato gli artt. 5, par. 1, lett. a), 9, 13, 28, 30, 32 e 35 del Regolamento. Per la violazione delle predette disposizioni è prevista l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 4, lett. a) e par. 5, lett. a) e b) del Regolamento, mediante adozione di un’ordinanza ingiunzione (art. 18, l. 24.11.1981, n. 689).

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso Trattamento o a trattamenti collegati, un Titolare del Trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni singolo caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

a) in relazione alla natura, gravità e durata della violazione, è stata considerata, a sfavore della Società, la natura della violazione che ha riguardato i principi generali e le condizioni di liceità del Trattamento e il Trattamento di Dati particolari biometrici utilizzando la tecnologia del riconoscimento facciale;

b) è stata altresì considerata, a sfavore della Società, la durata della violazione che si è protratta per più di un anno e il numero significativo degli interessati coinvolti;

c) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare, è stata presa in considerazione la condotta della Società e il grado di responsabilità della stessa che non si è conformata alla disciplina in materia di protezione dei dati relativamente a una pluralità di disposizioni;

d) a favore della Società, si è tenuto conto della cooperazione con l’Autorità di controllo e della decisione di sospendere le attività di Trattamento dopo l’inizio delle attività ispettive.

Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla Società con riferimento al bilancio ordinario d’esercizio per l’anno 2022. Da ultimo si tiene conto dell’entità delle sanzioni irrogate in casi analoghi.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di L’Igiene Urbana Evolution s.r.l. la sanzione amministrativa del pagamento di una somma pari ad euro 70.000 (settantamila).

In tale quadro si ritiene, altresì, in considerazione della tipologia delle violazioni accertate che hanno riguardato i principi generali e le condizioni di liceità del trattamento, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante.

Si ritiene, altresì, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO, IL GARANTE

rileva l’illiceità del Trattamento effettuato da L’Igiene Urbana Evolution s.r.l., in persona del legale rappresentante, con sede legale in Via Roberto Lepetit, 8/10 Milano (MI), C.F. 11277540966, ai sensi dell’art. 143 del Codice, per la violazione degli artt. 5, par. 1, lett. a), 9, 13, 28, 30 e 32 del Regolamento;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento a L’Igiene Urbana Evolution s.r.l., di pagare la somma di euro 70.000 (settantamila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

quindi alla medesima Società di pagare la predetta somma di euro 70.000 (settantamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/20129, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

Richiede a L’Igiene Urbana Evolution s.r.l. di comunicare quali iniziative siano state intraprese al fine di cancellare i dati biometrici oggetto di conservazione sui dispositivi, e di fornire comunque riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice, entro il termine di 90 giorni dalla data di notifica del presente provvedimento; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 5, lett. e) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 22 febbraio 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei

Testo del 2024-03-28




Commenta



i commenti sono anonimi e inviati via mail e cancellati dopo aver migliorato la voce alla quale si riferiscono: non sono archiviati; comunque non lasciare dati particolari. Si applica la privacy policy.


Ricevi gli aggiornamenti su No alle Telecamere per il controllo presenze: sanzione di 70.000 euro e gli altri post del sito:

Email: (gratis Info privacy)






Nota: il dizionario è aggiornato frequentemente con correzioni e giurisprudenza