g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Università degli Studi di Napoli Federico II - 11 marzo 2021 [9582791]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9582791]

Ordinanza ingiunzione nei confronti di Università degli Studi di Napoli Federico II - 11 marzo 2021

Registro dei provvedimenti
n. 90 dell'11 marzo 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Il reclamo.

Con reclamo presentato a questa Autorità in data XX da un dipendente dell'Istituto Nazionale di Fisica Nucleare (di seguito, ”INFN”), è stato lamentato che il Dipartimento di Fisica “E. Pancini” dell’Università degli Studi di Napoli Federico II (di seguito, l’”Ateneo” o l’”Università”), presso la cui sede è ospitata la Sezione di Napoli dell'INFN, avrebbe “provveduto ad installare e mettere in funzione 35 telecamere, collegate ad un sistema di registrazione delle immagini tramite rete telematica”, che “effettuano una ripresa continua di tutte le aree di passaggio interne dell'edificio (corridoi, spazi comuni)”. Il reclamante ha rappresentato che “negli uffici e nei laboratori del Dipartimento di Fisica vengono svolte stabilmente attività lavorative [anche] da parte dei dipendenti […] [dell’] Istituto CNR SPIN […] [nonché] di aziende private appaltate per il servizio di pulizia e per il servizio di vigilanza” e che, pertanto, dall’“attuale disposizione delle telecamere nei corridoi dell'edificio […] può derivare […] la possibilità di controllo a distanza dell'attività dei lavoratori […]; il mancato rispetto del principio di necessità in quanto l'edificio è già presidiato da un servizio di vigilanza e molte telecamere risultano installate in zone non esposte a rischi concreti; il mancato rispetto del principio di proporzionalità in quanto è stata effettuata la copertura capillare dell'edificio con telecamere per fini di “sicurezza delle persone e dei beni” […] senza aver effettuato una valutazione di strumenti alternativi”.

Inoltre, secondo quanto riferito dal reclamante, “in più di un caso, il campo di ripresa delle telecamere è relativo ad aree adibite alla sosta di lavoratori e studenti per l'acquisto di generi alimentari e bevande tramite l'utilizzo di distributori automatici […], ad aree adibite al ritiro di stampati […] e in prossimità dei servizi igienici, nel mancato rispetto del principio di necessità”.

Il reclamante ha, altresì, lamentato che “sia l'installazione che la messa in funzione del sistema di videosorveglianza sono state effettuate in assenza di accordo con le rappresentanze sindacali dell'ente che ha effettuato l'installazione, degli enti ospitati e delle aziende appaltate”, non risultando “prove documentali che, in considerazione dell'assenza di accordo sindacale, dimostrino la presentazione dell'istanza presso l'Ispettorato del Lavoro da parte dell'ente che ha effettuato l'installazione”. Inoltre, ai lavoratori “non [sarebbe] stata fornita alcuna indicazione […] riguardo i responsabili e gli incaricati del trattamento”, anche in considerazione del fatto che “allo stato attuale […] tale trattamento [sarebbe] effettuato, sia durante le ore diurne che in quelle notturne, dagli addetti dell'azienda di vigilanza tramite la consultazione dei 35 flussi video su 3 schermi ubicati in un locale situato in prossimità dell'ingresso dell'edificio”.

2. L’attività istruttoria.

Con nota del XX (prot. n. XX), l’Ateneo, rispondendo a una richiesta di informazioni formulata dall’Ufficio, ha dichiarato che:

“titolare del trattamento è l’Università”;

a seguito del reclamo, l’Università ha provveduto “ad attivare gli Uffici competenti per la convocazione sindacale finalizzata allo specifico accordo di cui alla L. n. 300/70 […] in quanto non esistente”;

“le ‘immagini’ sono visionate in tempo reale dalla Ditta affidataria del servizio di portierato […]”, con la quale è stato stipulato un accordo sul trattamento dei dati personali;

“il sistema di videosorveglianza del Dipartimento di Fisica costituto da n. 37 telecamere è entrato in funzione in data 01.03.2016 e allo stato, sono ancora attive n. 34 telecamere”;

“nel corso del 2015, a seguito di numerosi furti, occorsi durante l’orario di apertura, nonché a tutela del patrimonio e per ragioni di sicurezza relativa alla prevenzione dei reati, è stato installato un sistema di videosorveglianza nei locali dell’edificio del Dipartimento di Fisica, nel quale è presente un patrimonio strumentale tecnico-scientifico di altissimo valore tecnologico-scientifico ed economico”;

“nell’installazione dell’impianto sono stati rispettati i principi di pertinenza e di non eccedenza. Il sistema nel suo complesso consta di n. 37 telecamere e n. 1 registratore di immagini. Le telecamere sono allocate solo nei corridoi del Dipartimento, mai nelle stanze o in zone destinate all’attività lavorativa (es. laboratori), coprendo dove si è ritenuto più probabile l’accesso da parte di malintenzionati. La visuale di ripresa delle singole telecamere è limitata attualmente a un angolo di circa 60 gradi. Le telecamere non sono mai direzionate su schermi di terminali o personal computer. […] le telecamere (n. 37) coprono complessivamente circa 1.500 m[q] di superficie, circa solo il 5% della dimensione del Dipartimento (oltre 30.000 m[q] di superficie)”;

“il sistema di videosorveglianza del Dipartimento è dotato di un solo registratore che è situato nel locale “centro di calcolo”, chiuso a chiave e accessibile al Direttore del Dipartimento di Fisica, nonché al Direttore della sezione di Napoli dell’INFN […] in quanto nel locale sono allocate le loro apparecchiature. L'indirizzo IP del registratore non è un indirizzo “pubblico” e non è quindi accessibile dall’esterno del Dipartimento. Il locale è anche provvisto di un adeguato impianto antincendio”;

“il periodo di conservazione delle immagini è pari a 7 giorni. Le registrazioni più vecchie degli ultimi 7 giorni vengono cancellate in automatico”;

“in concomitanza all’attivazione del sistema di videosorveglianza furono collocati gli appositi cartelli informativi prima del raggio d’azione della telecamera e nelle sue immediate vicinanze. Gli appositi cartelli, numerosi e ben visibili, indicano la denominazione del Dipartimento e la finalità perseguita. Attualmente è in corso l’aggiornamento della cartellonistica con riferimento alla normativa più recente. […] L’informativa completa in conformità a quanto previsto dagli artt. 12 e 13 del Regolamento UE 2016/679 in materia di protezione dei dati personali è pubblicata sul sito web dell'Ateneo alla pagina privacy […]”.

Con nota dell’XX (prot. n. XX), l’Università ha inviato all’Autorità copia conforme dell’accordo sottoscritto in data 8 novembre 2019 con le organizzazioni sindacali, avente ad oggetto il sistema di videosorveglianza utilizzato presso i locali del Dipartimento di Fisica “Ettore Pacini”, sito nel complesso universitario di Monte Sant’Angelo.

A seguito di un’ulteriore richiesta di informazioni, cui è stato dato riscontro con nota prot. n. XX del XX, l’Ateneo ha precisato che l’informativa estesa sul trattamento dei dati personali mediante il sistema di videosorveglianza “è stata pubblicata […] sul sito web dell’Ateneo, in data 01/08/2019”.

L’Ufficio, con nota del XX (prot. n. XX), sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato all’Ateneo, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto le presunte violazioni degli artt. 5, par. 1, lett. a), 6, 13 e 88 del Regolamento, nonché dell’art. 114 del Codice, in relazione all’art. 4, comma 1, della l. 20 maggio 1970, n. 300.

L’Ateneo ha fatto pervenire le proprie memorie difensive con nota del XX (prot. n. XX, rappresentando, in particolare, che:

- la violazione è durata “dal 1° marzo 2016 all’8 novembre 2019”;

- “gli interessati sono i frequentatori del Dipartimento di Fisica “Ettore Pancini”: circa 140 docenti e ricercatori, circa 100 assegnisti di ricerca, borsisti e dottorandi, 24 tecnici e amministrativi e il personale ricercatore, tecnico e amministrativo degli Enti di ricerca ospitati in convenzione, 80 unità dell’INFN (Istituto nazionale di Fisica Nucleare), 20 del CNR Istituto SPIN, 4 del CNR Istituto ISASI […,] il personale della Ditta per il servizio di pulizia e il servizio di vigilanza”;

- “l’installazione delle telecamere è avvenuta per ragioni di sicurezza […] in particolare come deterrente dei numerosi furti, occorsi durante l’orario di apertura, sia negli uffici, sia nelle aule del Dipartimento, a tutela del patrimonio strumentale tecnico-scientifico presente nei locali del Dipartimento di Fisica. Il Direttore del Dipartimento ha fatto presente che a seguito dell’installazione delle telecamere i furti sono cessati”;

- “all’atto dell’attivazione del sistema di videosorveglianza furono contestualmente collocati appositi cartelli informativi, prima del raggio d’azione della telecamera e nelle sue immediate vicinanze. La cartellonistica è stata poi prontamente modificata a seguito delle specifiche indicazioni fornite [dall’] Autorità […]. Per il periodo 1.03.2016 fino al 24.07.2019 alcun interessato ha fatto osservazioni relative all’installazione della videosorveglianza. Appena giunta la segnalazione, il Titolare si è prontamente attivato per la regolarizzazione del sistema”;

- “si è proceduto a predisporre l’informativa completa sul trattamento dei dati personali […], resa disponibile sul sito web di Ateneo […] in data 01.08.2019 e poi modificata secondo l’indicazione fornita [dall’] Autorità […]”;

- “il Titolare appena accertata l’esistenza di un sistema di videosorveglianza presso il Dipartimento di Fisica in assenza di alcuni presupposti di legge si è attivato, prima di ricevere la comunicazione del Garante, al fine di regolarizzare la questione mediante, in particolare: la ricognizione della situazione di fatto esistente presso il Dipartimento; l’acquisizione degli elementi tecnico-informativi a supporto dell’istruttoria (informative, screenshot, planimetrie); l’aggiornamento della cartellonistica esistente e la pubblicazione dell’informativa completa sul sito di Ateneo; la conclusione dell’accordo sindacale con esito favorevole”;

- “il Titolare è venuto a conoscenza della presunta violazione in data 24.07.2019 a seguito della segnalazione a mezzo mail, da parte di un dipendente dell'INFN […], Ente di ricerca ospitato dal Dipartimento di Fisica di questa Università e sito nel Complesso Universitario di Monte Sant’Angelo. Il dipendente dell’INFN comunicava infatti l’esistenza di un sistema di videosorveglianza all’interno del Dipartimento, lamentando irregolarità. Il Titolare ha prontamente notificato quanto sopra all’Autorità Garante nei termini previsti e precisamente a mezzo PEC il XX9”.

3. Esito dell’attività istruttoria.

3.1 Il quadro normativo applicabile

La disciplina in materia di trattamento dei dati personali prevede che i soggetti pubblici possono, di regola, trattare dati personali se il trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e) del Regolamento e art. 2-ter del Codice).

Con specifico riferimento all’utilizzo di sistemi di videosorveglianza da parte di soggetti pubblici, già nel “Provvedimento in materia di videosorveglianza” (provv. dell’8 aprile 2010, pubblicato in G.U. n. 99 del 29 aprile 2010, doc. web n. 1712680) il Garante aveva chiarito che tali soggetti, “in qualità di titolari del trattamento […], possono trattare dati personali nel rispetto del principio di finalità, perseguendo scopi determinati, espliciti e legittimi […] per lo svolgimento delle proprie funzioni istituzionali” (par. 5) (cfr. par. 3.2 delle “Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video” del Comitato europeo per la protezione dei dati del 29 gennaio 2020).

Inoltre, atteso che il sistema di videosorveglianza oggetto del reclamo è idoneo a riprendere anche il personale dell’Università che transita o sosta nelle aree interessate, si rileva che il trattamento dei dati personali dei lavoratori può essere effettuato, dal datore di lavoro, se è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti da leggi, dalla normativa comunitaria, da regolamenti o da contratti collettivi (artt. 6, par. 1, lett. c), e 88 del Regolamento).

Il datore di lavoro deve, altresì, rispettare le norme nazionali, che “includono misure appropriate e specifiche a salvaguardia della dignità umana […] degli interessati in particolare per quanto riguarda la trasparenza del trattamento […] e i sistemi di monitoraggio sul posto di lavoro” (artt. 6, par. 2 e 88, par. 2 del Regolamento). In tale quadro, per effetto del rinvio contenuto nel Codice alle disposizioni nazionali di settore che tutelano la dignità delle persone sul luogo di lavoro, con particolare riferimento ai possibili controlli da parte del datore di lavoro (art. 114 “Garanzie in materia di controllo a distanza”), l’osservanza dell’art. 4 della l. 20 maggio 1970, n. 300 costituisce una condizione di liceità del trattamento (cfr. par. 4.1 del citato “Provvedimento in materia di videosorveglianza” dell’8 aprile 2010, doc. web n. 1712680; v., da ultimo, la recente FAQ del Garante n. 9 in materia di videosorveglianza, doc. web 9496574). L’art. 4, comma 1, della l. 20 maggio 1970, n. 300 stabilisce, infatti, che “gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali […]. In mancanza di accordo, gli impianti e gli strumenti di cui al primo periodo possono essere installati previa autorizzazione della sede territoriale dell'Ispettorato nazionale del lavoro o, in alternativa, […] della sede centrale dell'Ispettorato nazionale del lavoro”.

Il titolare del trattamento è poi, in ogni caso, tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c) del Regolamento).

Nel rispetto del principio di “liceità, correttezza e trasparenza”, il titolare del trattamento deve adottare misure appropriate per fornire all'interessato tutte le informazioni di cui agli artt. 13 e 14 del Regolamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro (artt. 12 del Regolamento).

3.2 L’informativa agli interessati

Allorquando siano impiegati sistemi di videosorveglianza, il titolare del trattamento, oltre a rendere l’informativa di primo livello mediante apposizione di segnaletica di avvertimento in prossimità della zona sottoposta a videosorveglianza, deve fornire agli interessati anche delle “informazioni di secondo livello”, che devono “contenere tutti gli elementi obbligatori a norma dell’articolo 13 del [Regolamento]” ed “essere facilmente accessibili per l’interessato, ad esempio attraverso un pagina informativa completa messa a disposizione in uno snodo centrale (sportello informazioni, reception, cassa, ecc.) o affissa in un luogo di facile accesso” (“Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video” del Comitato europeo per la protezione dei dati, adottate il 29 gennaio 2020, in particolare par. 7; ma si veda già il “Provvedimento in materia di videosorveglianza” del Garante dell’8 aprile 2010, doc. web n. 1712680, in particolare par. 3.1; v., da ultimo, la recente FAQ del Garante n. 4 in materia di videosorveglianza, doc. web 9496574).

Dall’accertamento compiuto sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, è emerso invece che l’informativa completa sul trattamento dei dati personali è stata resa disponibile agli interessati, sul sito web dell’Ateneo, solo in data 1° agosto 2019 ed è stata aggiornata, anche alla luce delle indicazioni formulate dall’Autorità nel corso dell’istruttoria, solo in data XX (cfr. quanto dichiarato nella nota dell’Ateneo prot. n. XX del XX).

È stato, inoltre, accertato che alcuni dei cartelli informativi apposti dall’Ateneo nei luoghi interessati dalla videosorveglianza non menzionavano taluni degli elementi richiesti dall’art. 13 del Regolamento. In particolare, non erano menzionati il titolare del trattamento (come emerge dalle fotografie n. 15 e n. 16, allegate al reclamo) e, in un caso, la finalità del trattamento perseguita dal titolare (fotografia n. 15) (cfr. le “Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video” del Comitato europeo per la protezione dei dati, adottate il 29 gennaio 2020, par. 114, ove si afferma che “generalmente, le informazioni di primo livello (segnale di avvertimento) dovrebbero comunicare i dati più importanti, ad esempio le finalità del trattamento, l’identità del titolare del trattamento e l’esistenza dei diritti dell’interessato, unitamente alle informazioni sugli impatti più consistenti del trattamento”).

Per tali ragioni, fino all’aggiornamento del testo delle informative da parte dell’Ateneo, il trattamento dei dati personali degli interessati mediante il sistema di videosorveglianza è stato effettuato in violazione degli artt. 5, par. 1, lett. a), e 13 del Regolamento.

3.3 La disciplina in materia di controlli a distanza

L’attività istruttoria ha, altresì, consentito di accertare che, come confermato dall’Università, la stessa ha utilizzato, dal 1° marzo 2016 e fino all’8 novembre 2019, un sistema di videosorveglianza, installato nei corridoi dell’edificio che ospita il Dipartimento di Fisica “E. Pancini”, a fini di tutela del proprio patrimonio e per ragioni di sicurezza, in assenza di un previo accordo con le rappresentanze sindacali o di un’autorizzazione dell'Ispettorato nazionale del lavoro.

A tal riguardo, si evidenzia che le esigenze di sicurezza e di tutela del patrimonio, pure invocate dall’Ateneo, non possono di per sé sole, in base al quadro normativo sopra delineato, legittimare il trattamento dei dati personali mediante strumenti dai quali può derivare anche la possibilità di controllo a distanza dei lavoratori, come quello utilizzato dall’Ateneo, in assenza delle garanzie previste dall’art. 4, comma 1, l. n. 300/1970. Sul punto, anche la giurisprudenza della Corte europea dei diritti dell’uomo, nel caso Antovic e Mirković v. Montenegro (Application n. 70838/13 del 28.11.2017), ha stabilito che il rispetto della “vita privata” deve essere esteso anche ai luoghi di lavoro pubblici (nel caso di specie, le aule universitarie), evidenziando che la videosorveglianza sul posto di lavoro pubblico può essere giustificata solo nel rispetto delle garanzie previste dalla legge nazionale applicabile, in mancanza delle quali costituisce un'interferenza illecita nella vita privata del dipendente, ai sensi dell'articolo 8, par. 2, della Convenzione Europea dei Diritti dell’Uomo.

Pertanto, il rispetto del citato art. 4, comma 1, anche per effetto del rinvio ad esso contenuto nell’art. 114 del Codice, costituisce condizione di liceità del trattamento dei dati personali (cfr., da ultimo, con riguardo al ricorso alla videosorveglianza sui luoghi di lavoro, provv. 5 marzo 2020. n. 53, doc. web n. 9433080, provv. 19 settembre 2019, n. 167, doc. web n. 9147290, in particolare punto 4.2; v., a livello europeo, le indicazioni contenute nelle “Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video” del Comitato europeo per la protezione dei dati del 29 gennaio 2020, spec. par. 11, nonché le precedenti indicazioni del Gruppo di Lavoro Articolo 29 nel “Parere 2/2017 sul trattamento dei dati sul posto di lavoro”, WP 249; in giurisprudenza, v. Cass. pen., sez. 3, 17 dicembre 2019, n. 50919; Cass. civ., sez. 1, 19 settembre 2016, n. 18302).

In ragione delle considerazioni che precedono, il trattamento dei dati personali dei lavoratori, effettuato mediante il sistema di videosorveglianza dell’Ateneo, risulta essere avvenuto in violazione dell’art. 5, par. 1, lett. a), 6 e 88 del Regolamento, nonché dell’art. 114 del Codice, in relazione all’art. 4, comma 1, della l. 20 maggio 1970, n. 300.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si rappresenta, altresì, che per la determinazione della norma applicabile, sotto il profilo temporale, deve essere richiamato in particolare il principio di legalità di cui all’art. 1, comma 2, della l. n. 689/1981 che sancisce come «le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in esse considerati». Ciò determina l’obbligo di prendere in considerazione le disposizioni vigenti al momento della commessa violazione, che nel caso in esame – data la natura permanente dell’illecito contestato – deve essere individuato all’atto di cessazione della condotta illecita. Dagli atti dell’istruttoria è, infatti, sebbene l’istallazione del sistema di videosorveglianza sia avvenuta nel 2016, l’accordo con le organizzazioni sindacali è stato concluso in data 8 novembre 2019, mentre l’informativa completa agli interessati è stata resa disponibile sul sito web dell’Ateneo solo in data 1° agosto 2019 ed è stata successivamente aggiornata in data 9 luglio 2020, allorquando il Regolamento e il Codice, come modificato d.lgs. 10 agosto 2018, n. 101, erano in vigore.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Ateneo, per aver trattato i dati personali dei lavoratori in assenza di idonei presupposti normativi e per non aver reso agli interessati le necessarie informazioni sul trattamento dei dati personali mediante il sistema di videosorveglianza, in violazione degli artt. artt. 5, par. 1, lett. a), 6, 13 e 88 del Regolamento, nonché dell’art. 114 del Codice, in relazione all’art. 4, comma 1, della l. 20 maggio 1970, n. 300.

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo e art. 166, comma 2, del Codice.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che l’Ateneo ha concluso uno specifico accordo con le rappresentanze sindacali e ha assolto agli obblighi informativi nei confronti degli interessati, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

In relazione ai predetti elementi, sono stati considerati l’ampio arco temporale durante il quale i trattamenti in questione sono stati posti in essere in assenza dei richiamati presupposti di liceità, nonché la circostanza che il rispetto delle garanzie previste dalla citata disciplina di settore, quale condizione di liceità dei conseguenti trattamenti, sia stata affermata in modo costante dal Garante in numerosi provvedimenti (v. “Videosorveglianza - Il decalogo delle regole per non violare la privacy” del 29 novembre 2000, doc. web n. 31019; cfr. anche il provv. generale in materia di videosorveglianza del 29 aprile 2004, doc. web n. 1003482 e il successivo provv. generale del 2010, sopra richiamato, punto 4.1; da ultimo, v. FAQ del Garante n. 9 in materia di videosorveglianza, doc. web 9496574; cfr. provv. 9 maggio 2018, n. 277, doc. web n. 8998303; provv. 18 aprile 2013, n. 200 doc. web n. 2483269; provv. 18 aprile 2013, n. 199, doc. web 2476068), così come dalla giurisprudenza di legittimità, sopra richiamata. Inoltre, è stato considerato che gli interessati sono stati sottoposti a videosorveglianza in tempo reale, mediante visualizzazione da parte degli addetti dell’azienda affidataria del servizio di portierato, ovvero con una modalità “più intrusiv[a] rispetto alla conservazione e alla cancellazione automatica delle registrazioni dopo un lasso di tempo limitato” (“Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video” del Comitato europeo per la protezione dei dati, adottate il 29 gennaio 2020, par. 29).

Di contro, si è tenuto favorevolmente atto che l’Ateneo si è attivato per concludere la procedura concertativa con le organizzazioni sindacali, anche prima dell’avvio formale dell’istruttoria del Garante, dando conto dell’adozione di misure tecniche e organizzative atte a garantire che il trattamento avvenga in conformità alla normativa vigente (cfr. artt. 24 e 25 del Regolamento), nonché cooperando attivamente con l’Autorità nel corso della istruttoria. Non risultano, inoltre, precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria, nella misura di euro 10.000,00 (diecimila) per la violazione degli artt. 5, par. 1, lett. a), 6, 13 e 88 del Regolamento, nonché dell’art. 114 del Codice, in relazione all’art. 4, comma 1, della l. 20 maggio 1970, n. 300, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Tenuto conto dell’esteso lasso temporale durante il quale i predetti dati sono stati trattati, si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito web del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecita la condotta tenuta dall’Università degli Studi di Napoli Federico II, descritta nei termini di cui in motivazione, consistente nella violazione degli artt. 5, par. 1, lett. a) e c), e 6 del Regolamento, nonché, con specifico riferimento ai dati personali dei lavoratori, anche dell’art. 88 del Regolamento e dell’art. 114 del Codice, in relazione all’art. 4 della l. 20 maggio 1970, n. 300, nei termini di cui in motivazione;

ORDINA

all’Università degli Studi di Napoli Federico II, in persona del legale rappresentante pro-tempore, con sede legale in Corso Umberto I - 80138 Napoli (NA), C.F. 00876220633, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 5, del Regolamento e 166, comma 2, del Codice, di pagare la somma di euro 10.000,00 (diecimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione;

INGIUNGE

al predetto Ateneo di pagare la somma di euro 10.000,00 (diecimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981. Al riguardo, si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro 30 giorni dalla data della notifica del presente provvedimento, ai sensi dell’art. 166, comma 8, del Codice (cfr. anche art. 10, comma 3, del d.lgs. n. 150 dell’1/9/2011);

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione del presente provvedimento sul sito web del Garante, ritenendo che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 11 marzo 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei