Indice
- I fatti
- Gli accertamenti della guardia di finanza
- Le valutazioni del Garante
- La decisione del Garante
>>>Provvedimento n. 301 del 15 settembre 2022<<<
1. I fatti
La questione oggetto dell’Ordinanza ingiunzione in commento nasce da una segnalazione pervenuta al Garante per la protezione dei dati personali da parte della dipendente di un albergo romano, con cui quest’ultima segnalava che l’albergo usasse un sistema di rilevazione della presenza in servizio dei propri dipendenti attraverso un dispositivo biometrico che violava la normativa in materia di privacy.
In considerazione di tale segnalazione, il Garante avviava l’istruttoria e conseguentemente invitava l’albergo a fornire i propri chiarimenti sulla segnalazione di cui sopra. Tuttavia, a fronte della PEC inviata dal Garante e regolarmente ricevuta nella casella di posta elettronica certificata dell’albergo, quest’ultimo non forniva alcun riscontro al Garante.
Analogamente, non perveniva alcuna risposta al sollecito successivamente inviato dal Garante sempre tramite PEC e contenente la rinnovazione dell’invito a fornire le informazioni che erano già state richieste con la precedente PEC, né al terzo sollecito inviato successivamente.
Pertanto, il Garante delegava alla Guardia di Finanza il compito di effettuare un accertamento ispettivo presso l’albergo per acquisire le informazioni che erano già state richieste e per notificare al destinatario l’avviso di apertura del procedimento sanzionatorio nei suoi confronti.
2. Gli accertamenti della guardia di finanza
A seguito dell’ispezione effettuata dalla Guardia di Finanza, risultava accertato che il rappresentante legale dell’albergo aveva regolarmente ricevuto le tre PEC che erano state inviate dal Garante privacy e – come dichiarato dallo stesso legale rappresentante – le aveva altresì potute visionare ma, non avendo capitone il significato, non aveva compreso che avrebbe dovuto rispondere al Garante.
Per quanto riguarda il merito della segnalazione effettuata dalla dipendente dell’albergo, cioè l’uso del rilevatore biometrico, i militari della Guardia di Finanza non rinvenivano tale strumento all’interno dell’albergo e il legale rappresentante, sul punto, dichiarava che detto dispositivo era stato acquistato su internet come “rilevatore presenze dipendenti” (al fine di poter acquisire gli orari di inizio e fine lavoro dei dipendenti attraverso il rilascio della loro impronta digitale e poi a fine mese segnalare tali informazioni al commercialista affinchè effettuasse i relativi conteggi), ma da quasi due anni era stato disattivato ed era stato buttato via in quanto non più funzionante. Il legale rappresentante, quindi, non era più in grado di poter riferire dove si trovasse al momento il dispositivo e non disponeva di alcun documento che potesse permettere di risalire al modello che era stato utilizzato.
Potrebbero interessarti anche
- Utilizzo di un protocollo di rete non sicuro: il Garante interviene
- Cookie paywall: il Garante continua la sua istruttoria
- Confermata sanzione del Garante a Regione Abruzzo su concorso disabili
3. Le valutazioni del Garante
Preliminarmente il Garante ha rilevato come, dall’esito dell’istruttoria effettuata nel procedimento, non siano emersi degli elementi che potessero consentire all’autorità di prendere posizione sui fatti che sono stati oggetto di segnalazione da parte della dipendente dell’albergo. Infatti, la mancata disponibilità dello strumento utilizzato per l’acquisizione delle impronte digitali dei dipendenti e la mancanza altresì della relativa documentazione da cui poter risalire al modello che era stato utilizzato, ha reso impossibile al Garante valutare le modalità del trattamento dati che era stato compiuto dall’albergo.
Tuttavia, il Garante ha ritenuto che dal procedimento sia emersa un’altra violazione alla normativa privacy da parte dell’albergo stesso.
Infatti, dall’istruttoria è stato accertato che la società aveva regolarmente ricevuto le tre diverse richieste di informazioni che gli erano state inviate dal Garante e che, addirittura, tali richieste erano state anche visionate dal legale rappresentante, ma che, nonostante ciò, la società aveva omesso di fornire riscontro all’autorità (in quanto il titolare non avrebbe compreso che tali comunicazioni fossero un invito a fornire riscontro al Garante).
Ebbene, ai sensi dell’art. 157 del codice privacy, il Garante, nell’esecuzione dei propri compiti previsti dalla legge, dispone del potere di richiedere al titolare del trattamento di fornire informazioni e di esibire documenti a detta Autorità.
Inoltre, il successivo art. 166, comma 2, del codice privacy, prevede una sanzione amministrativa pecuniaria a carico del titolare del trattamento che omette di fornire al Garante le informazioni o la documentazione richiesta.
In considerazione di ciò, nel caso in esame, il Garante ha ritenuto che l’albergo abbia violato la suddetta disposizione in materia di privacy.
4. La decisione del Garante
Il Garante ha ritenuto che il fatto che il titolare del trattamento avesse omesso di fornire riscontro alle tre diverse richieste di informazioni e invio di documenti da parte del Garante, non costituisse una violazione minore, in considerazione della natura, della gravità e della durata della violazione stessa.
In considerazione di ciò, il Garante ha ritenuto di comminare una sanzione amministrativa pecuniaria all’albergo in questione.
Per quanto concerne la quantificazione di detta sanzione, il Garante, al fine di renderla “effettiva, proporzionata e dissuasiva”, ha tenuto conto del carattere doloso della violazione da parte della società (che nonostante abbia ricevuto e visionato tre diverse richieste di riscontro, il cui contenuto era chiaramente indicato nell’oggetto delle comunicazioni, ha ritenuto di non fornire alcun riscontro al Garante), nonché del fatto che la società stessa non ha cooperato con l’Autorità ed anzi ha reso più gravoso il procedimento e ostacolato lo svolgimento dei compiti dell’autorità (in quanto ha costretto il Garante a delegare gli accertamenti alla Guardia di Finanza tramite l’effettuazione di un ispezione in loco). A favore della società il Garante ha valutato il fatto che quest’ultima non avesse alcun precedente specifico e che le condizioni economiche in cui si trovano le imprese del settore turistico sono state condizionate negativamente negli ultimi anni dall’emergenza sanitaria connessa alla pandemia da covid-19.
In considerazione di tutti tali aspetti, il Garante per la protezione dei dati personali ha ritenuto di quantificare la sanzione amministrativa pecuniaria nei confronti dell’albergo nell’importo di €. 2.000 (duemila).
Volume consigliato
I ricorsi al Garante della privacy
Giunto alla seconda edizione, il volume affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali, alla luce delle recenti pronunce del Garante della privacy, nonché delle esigenze che nel tempo sono maturate e continuano a maturare, specialmente in ragione dell’utilizzo sempre maggiore della rete. L’opera si completa con una parte di formulario, disponibile online, contenente gli schemi degli atti da redigere per approntare la tutela dei diritti dinanzi all’Autorità competente. Un approfondimento è dedicato alle sanzioni del Garante, che stanno trovando in queste settimane le prime applicazioni, a seguito dell’entrata in vigore della nuova normativa. Michele Iaselli Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II, nonché Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore in numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.
Michele Iaselli | 2022 Maggioli Editore
Scrivi un commento
Accedi per poter inserire un commento