Provvedimento del 7 marzo 2024 [10007524]
Provvedimento del 7 marzo 2024 [10007524]
Condividi[doc. web n. 10007524]
Provvedimento del 7 marzo 2024
Registro dei provvedimenti
n. 138 del 7 marzo 2024
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;
VISTO il verbale della Guardia di finanza – Nucleo speciale tutela privacy e frodi tecnologiche, trasmesso con nota del 6.3.2023, il quale riferisce un controllo effettuato in data 19.1.2023, presso la sede della Hotel Milano di Foschi Eros e Righini Rina & C. Snc, sito in Bellaria – Igea Marina (RN), Via Colombo 40, con cui è stata accertata la presenza di telecamere di videosorveglianza funzionanti idonee a riprendere la strada pubblica e aree di proprietà di terzi;
ESAMINATA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE la prof.ssa Ginevra Cerrina Feroni;
PREMESSO
1. La segnalazione ricevuta e l’istruttoria preliminare.
In data 27.6.2022, è pervenuta una segnalazione, da parte della sig.ra XX, che segnalava a questa Autorità la non conforme installazione di un impianto di videosorveglianza presso l’Hotel Milano di Foschi Eros e Righini Rina & C. Snc, sito in Bellaria – Igea Marina (RN), Via Colombo 40, in quanto le telecamere sarebbero state sprovviste di idonei cartelli informativi e idonee a riprendere anche aree di pertinenza dell’Hotel “Foschi”, sito in Bellaria – Igea Marina Via Colombo 41, di cui la sig.ra XX risulta essere la legale rappresentante, posizionato di fronte all’Hotel Milano.
A seguito di richiesta da parte di questo Ufficio, con nota del 6.3.23, la Guardia di finanza – Nucleo speciale tutela privacy e frodi tecnologiche - trasmetteva a questa Autorità il verbale del controllo effettuato, in data 19.1.2023, presso la sede dell’Hotel Milano, nel corso del quale è stata accertata la presenza di un impianto di videosorveglianza, costituito da 20 telecamere.
Dai rilievi fotografici allegati al verbale si evidenziava che le telecamere riprendevano anche aree di proprietà di terzi, in particolare, l’area corrispondente all’ingresso dell’Hotel Foschi, con possibilità di riprendere i clienti che entravano ed uscivano da tale struttura ricettiva.
In sede di accertamento, il legale rappresentante della Società dichiarava che “le uniche telecamere che potrebbero interessare anche zone non di pertinenza dell’Hotel Milano sono (…) indicate nel sistema (…) Milano2, Milano3 Milano4 e Milano5” e che avrebbe provveduto a “riposizionare le telecamere in questione ovvero a oscurare le aree non di interesse dell’Hotel Milano”.
In merito al posizionamento dei cartelli informativi, la parte rappresentava che sono attualmente presenti due cartelli informativi rappresentando l’intenzione di apporne altri, presso gli ingressi principali, dove rappresentava che, a suo tempo, erano stati posizionati, ma erano “andati perduti presumibilmente a causa delle condizioni meteo”.
Con nota dell’1.2.2023, la parte inviava alla Guardia di finanza documentazione integrativa attestante l’avvenuto l’oscuramento delle aree non di esclusiva proprietà dell’Hotel Milano di Foschi Eros e Righini Rina & C. Snc oltreché l’apposizione di nuovi e ulteriori cartelli informativi in aggiunta a quelli presenti.
2. L’avvio del procedimento.
Sulla base degli elementi acquisiti, l’Ufficio provvedeva a notificare l’atto di avvio del procedimento, ai sensi dell’art. 166, comma 5, del Codice in relazione alla violazione degli artt. 5 par. 1, lett. c) e 6 del Regolamento (prot. n. 100583 del 28.6.23).
Con nota del 28.7.23, la Società inviava scritti difensivi rappresentando che:
- “la durata del trattamento è stata particolarmente limitata stante il breve periodo di funzionamento delle telecamere dalla sua installazione successiva al provvedimento autorizzativo del 9/12/2022, come dichiarato nel verbale GdF, sino all’oscuramento avvenuto in data 1/2/2023”,
- le immagini vengono conservate per un periodo di tempo limitato (24 ore, come previsto dall’autorizzazione dell’Ispettorato del Lavoro) con cancellazione automatica mediante sovrascrittura al termine del periodo consentito;
- erano presenti e, successivamente al controllo ulteriormente implementati, i cartelli informativi della presenza delle telecamere,
- “il sistema adibito alla conservazione delle immagini è situato in un locale tecnico di back-office della hall del Milano Hotel il cui accesso è consentito ai soci della Hotel Milano”,
- “l’accesso al sistema è basato su autenticazione mediante credenziali, affidate esclusivamente ai soci della Società, quali utenti amministratori”;
- “la Società ha cooperato sin da subito in occasione del primo sopralluogo fornendo tutta la documentazione in possesso e attivandosi per far fronte ai rilievi mossi”, fornendo in particolare la “documentazione integrativa attestante l’oscuramento delle telecamere il cui angolo visuale non era pertinente” (come da nota dell’1/2/2023).
3. Il quadro giuridico del trattamento effettuato
L’utilizzo di sistemi di videosorveglianza può determinare, in relazione al posizionamento delle telecamere e alla qualità delle immagini riprese, un trattamento di dati personali. Tale trattamento deve essere effettuato nel rispetto dei principi generali contenuti nell’art. 5 del Regolamento e, in particolare, del principio di liceità e di minimizzazione dei dati.
In particolare, in base alle disposizioni del provvedimento generale in materia di videosorveglianza dell’8 aprile del 2010, nel caso di ripresa di aree esterne ad edifici ed immobili il trattamento deve avvenire “con modalità tali da limitare l’angolo visuale all’area effettivamente da proteggere, evitando la ripresa di luoghi circostanti e di particolari non rilevanti (vie, edifici, esercizi commerciali, istituzioni ecc.)” (si veda, in particolare, il punto 6.2.2.1 del provvedimento).
Analogamente le già citate Linee Guida n. 3/2019 prevedono che, “in generale, la necessità di utilizzare la videosorveglianza per proteggere i locali del Titolare finisce ai confini della proprietà, tuttavia, per una protezione efficace, in alcuni casi potrebbe essere necessario estendere la videosorveglianza nelle immediate vicinanze dei locali. In questo contesto, il Titolare dovrebbe prendere in considerazione mezzi fisici e tecnici, come ad esempio bloccare o pixelare aree non rilevanti” (3.1.2 par. 27).
4. L’esito dell’istruttoria e del procedimento sanzionatorio.
Sulla base dell’accertamento effettuato dalla Guardia di Finanza è emerso che l’impianto di videosorveglianza installato presso la sede dall’Hotel Milano di Foschi Eros e Righini Rina & C. Snc, sito in Bellaria – Igea Marina (RN), Via Colombo 40, era composto da telecamere attive e funzionanti, idonee a riprendere la strada pubblica e aree di proprietà di terzi (in particolare, aree di pertinenza dell’Hotel “Foschi” sito in Bellaria – Igea Marina Via Colombo 41).
Nel caso di specie, risulta comprovato che la parte ha effettuato un trattamento di dati personali, per mezzo di un impianto di videosorveglianza, non conforme alle norme in materia di protezione dei dati personali in quanto idoneo a riprendere anche la strada pubblica e aree di proprietà di terzi (come anche confermato dalla parte in sede di accertamento ispettivo), in violazione dei principi generali di cui all’art. 5, par. 1, lett. c) e 6 del Regolamento.
5. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.
Il trattamento dei dati personali effettuato dalla Società risulta pertanto illecito, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. c) (principio di minimizzazione) e 6 del Regolamento.
La violazione accertata nei termini di cui in motivazione non può essere considerata “minore”, tenuto conto della natura, della gravità e della durata della violazione, del grado di responsabilità e della maniera in cui l'autorità di controllo ha preso conoscenza della violazione (v. cons. 148 del Regolamento).
La parte, nelle memorie difensive, ha dichiarato di aver provveduto a modificare l’angolo di visuale delle telecamere in modo tale da riprendere le sole aree di esclusiva pertinenza.
6. Ordinanza di ingiunzione.
Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. legge 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali effettuato dalla società per mezzo dell’impianto di videosorveglianza, di cui è risultata accertata l’illiceità, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. c) e 6 del Regolamento.
Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state tenute in considerazione le circostanze sotto riportate:
con riguardo alla natura, gravità e durata della violazione, è stata presa in considerazione la condotta del titolare del trattamento, nonché la responsabilità connessa all’idoneità delle telecamere di riprendere la strada pubblica e aree di proprietà di terzi;
l’assenza di precedenti specifici a carico della società relativi a violazioni della disciplina in materia di protezione dei dati personali;
la circostanza che la società ha cooperato con l’Autorità nel corso del procedimento, dando dimostrazione di aver adempiuto agli obblighi di legge, modificando l’angolo di ripresa delle telecamere.
Si ritiene inoltre che assumano rilevanza, nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), le condizioni economiche del contravventore, determinate con riferimento alla dichiarazione dei redditi per l’anno 2023.
In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 3.000,00 (tremila) per la violazione degli artt. 5 e 6 del Regolamento.
In tale quadro, anche in considerazione della tipologia di violazione accertata, si ritiene che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito internet del Garante.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
TUTTO CIÒ PREMESSO, IL GARANTE
dichiara, ai sensi degli artt. 57, par. 1, lett. f) e 83 del Regolamento, l’illiceità del trattamento effettuato dalla società Hotel Milano di Foschi Eros e Righini Rina & C. Snc, attraverso l’utilizzo del sistema di videosorveglianza installato presso la propria sede nei termini di cui in motivazione, per la violazione degli artt. 5 e 6 del Regolamento;
ORDINA
alla società Hotel Milano di Foschi Eros e Righini Rina & C. Snc, P.I. 01862780408, sito in Bellaria – Igea Marina (RN), Via Colombo 40, di pagare la somma di euro 3.000,00 (tremila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;
INGIUNGE
quindi alla stessa Hotel Milano di Foschi Eros e Righini Rina & C. Snc di pagare la somma di euro 3.000,00 (tremila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.
Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.
DISPONE
ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del regolamento n. 1/2019.
Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 7 marzo 2024
IL PRESIDENTE
Stanzione
IL RELATORE
Cerrina Feroni
IL SEGRETARIO GENERALE
Mattei
