Diritti interna

Doveri interna

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Ordinanza di ingiunzione nei confronti di Casa di cura privata Montevergine s.p.a. - 20 settembre 2012 [2260785]

[doc. web n. 2260785]

Ordinanza di ingiunzione nei confronti di Casa di cura privata Montevergine s.p.a. - 20 settembre 2012

Registro dei provvedimenti
n. 250 del 20 settembre 2012

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

ESAMINATO il rapporto del Nucleo speciale privacy della Guardia di finanza predisposto ai sensi dell´art. 17 della legge 24 novembre 1981, n. 689, relativo al verbale di contestazione per violazione amministrativa redatto in data 28 gennaio 2010 nei confronti della Casa di cura privata Montevergine s.p.a., con sede in Mercogliano (Av), via Mario Malzoni snc, in persona del legale rappresentante pro-tempore, per violazione degli artt. 17, 154, comma 1, lett. c) e 163 del Codice in materia di protezione dei dati personali (di seguito denominato Codice);

RILEVATO che il predetto Nucleo speciale, in esecuzione della richiesta di informazioni ai sensi dell´art. 157 del Codice (prot. nr. 20001/U del 16 settembre 2009) formulata da questa Autorità, ha svolto gli accertamenti di cui al verbale di operazioni compiute datato 4 e 5 novembre 2009, dai quali è risultato che la società ha effettuato un trattamento di dati biometrici per la rilevazione delle presenze dei propri dipendenti senza aver presentato la notificazione al Garante ai sensi dell´art. 37, comma 1, lett. a), del Codice, omettendo altresì di richiedere, sulla base di quanto previsto nelle "Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati" (adottate dal Garante il 23 novembre 2006 e pubblicate in G.U. n. 285 del 7 dicembre 2006, nonché in www.garanteprivacy.it, doc. web n. 1364099) una verifica preliminare al Garante ai sensi dell´art. 17 del Codice, nonché di adottare, in violazione dell´art. 154, comma 1, lett. c), del Codice, le misure prescritte nelle predette Linee guida;

VISTO il verbale nr. 5/2010 del 28 gennaio 2010 (che qui si intende integralmente richiamato) con cui sono state contestate alla predetta società le violazioni amministrative previste dagli artt. 162, comma 2-bis e ter, nonché dall´art. 163 del Codice, in relazione, rispettivamente, agli artt. 17, 154, comma 1, lett. c) e 37, informandola della facoltà di effettuare il pagamento in misura ridotta ai sensi dell´art. 16 della legge n. 689/1981;

RILEVATO dal predetto rapporto che non risulta essere stato effettuato il pagamento in misura ridotta;

VISTO lo scritto difensivo, datato 3 marzo 2010, inviato ai sensi dell´art. 18 della legge n. 689/1981 nel quale la società, relativamente alla contestazione concernente l´omessa notificazione, sottolineando la propria buona fede, ha evidenziato l´applicabilità, al caso di specie, dell´art. 3 della legge n. 689/1981, atteso che, sulla scorta delle rassicurazioni fornite dalla Inaz s.r.l. nel preventivo di spesa per la fornitura del sistema di rilevazione delle presenze con l´utilizzo del dato biometrico e dalla Solari s.p.a. nella "Dichiarazione di conformità ai sensi delle disposizioni del Decreto Legislativo del 20.06.2033, n. 196", "(…) ha sviluppato il convincimento che il trattamento operato in tali modalità avesse caratteristiche tali da non essere (…) soggetto a notificazione (…)", rilevando, peraltro, che, avendo già ottemperato all´obbligo di notificazione per i trattamenti di cui all´art. 37, comma 1, lett. b) del Codice, la società  "(…) non avrebbe avuto alcuna difficoltà nel procedere a notificare anche tale trattamento (…)". Peraltro, sulla base delle caratteristiche tecniche del sistema installato, ha ritenuto che il trattamento in questione non fosse tale da richiedere una verifica preliminare ai sensi dell´art. 17. Inoltre, ha sottolineato come le violazioni siano state contestate disapplicando il principio di legalità di cui all´art. 1 della legge n. 689/1981, considerato che i presunti illeciti riguardano un trattamento di dati biometrici che ha avuto inizio in data 15 gennaio 2008 ovvero prima dell´entrata in vigore della legge 27 febbraio 2009 n.14, di conversione del d.l. 30 dicembre 2009 n. 207, che ha introdotto le sanzioni di cui all´art. 162, comma 2 bis e ter, ed ha modificato l´art. 163. Infine, ha osservato che la richiesta di informazioni di cui all´art. 157 del Codice fa riferimento a trattamenti di dati personali relativi ai pazienti della clinica, mentre l´accertamento che si è concluso con l´irrogazione delle predette sanzioni amministrative ha interessato trattamenti di dati personali dei dipendenti della stessa;

VISTO il verbale dell´audizione delle parti tenutasi, ai sensi dell´art. 18 della legge n. 689/1981, in data 22 giugno 2011, nel quale la società ha ribadito quanto esposto negli scritti difensivi;

RITENUTO che le argomentazioni addotte non risultano idonee ad escludere la responsabilità della società in relazione a quanto contestato. Relativamente all´obbligo di notificazione al Garante di cui all´art. 37, comma 1, lett. a), del Codice, le argomentazioni difensive si sono sostanzialmente basate sulle garanzie di conformità alle disposizioni in materia di protezione dei dati personali rese dal fornitore del sistema di rilevazione Inaz s.r.l. e dalla Solari s.p.a. nella citata Dichiarazione di conformità. Al riguardo, occorre evidenziare come le indicazioni riportate nella documentazione prodotta concernono aspetti esclusivamente tecnici circa la conformità del sistema a quanto prescritto dal Garante nelle Linee-guida, ma non attengono, né avrebbero potuto, alla correttezza degli adempimenti da porre in essere per rendere il trattamento conforme alla legge. Tali adempimenti, infatti, ricadono nella esclusiva competenza (e responsabilità) del titolare del trattamento ovvero, nel caso di specie, della Casa di cura privata Montevergine s.p.a.. La disciplina di cui all´art. 3 della legge n. 689/81 risulta, quindi, inapplicabile anche a fronte delle asserite garanzie rese dalla Inaz s.r.l. e dalla Solari s.p.a., atteso che non è stato fornito alcun elemento positivo, estraneo all´autore dell´infrazione, idoneo a ingenerare nell´agente la convinzione della liceità del suo agire, oltre al fatto che non è stato provato dal trasgressore che sia stato fatto tutto il possibile per osservare la legge (Cass. Civ., Sez. I 11 febbraio 1999 n. 1151); ciò, in particolare, anche in quanto la buona fede viene in rilievo soltanto in caso di inevitabilità dell´ignoranza del precetto violato, il cui apprezzamento va effettuato alla luce dell´obbligo di conoscenza delle leggi che grava sull´agente in relazione anche alla qualità professionale posseduta e al suo dovere di informazione sulle norme (Cass. Civ. Sez. II n. 10621 del 3 maggio 2010). Occorre, inoltre, evidenziare che l´omessa notificazione del trattamento di cui al citato art. 37 del Codice sostanzia un illecito omissivo di natura permanente, per il quale il momento della consumazione coincide con la cessazione della condotta ovvero con il momento in cui la violazione viene accertata (4 e 5 novembre 2009). Pertanto, diversamente da quanto sostenuto dalla società, la condotta contestata è stata posta in essere anche dopo l´entrata in vigore della legge 27 febbraio 2009 n.14, di conversione del d.l. 30 dicembre 2008 n. 207, che, peraltro, ha modificato, il solo importo della sanzione di cui all´art. 163 del Codice. Ne consegue che, in virtù di quanto previsto dall´art. 1 della legge n. 689/1981, la norma sanzionatoria da applicare è quella vigente alla data della commessa violazione che, nel caso di specie, è l´art. 163 come modificato dal citato decreto legge. Inoltre, si rileva l´infondatezza di quanto argomentato relativamente alla richiesta di informazioni di cui all´art. 157 del Codice, atteso che tale richiesta prevedeva una specifica domanda concernente le modalità con le quali fosse stato curato l´adempimento delle disposizioni di cui all´art. 37 del Codice, a fronte della quale sono emersi, nell´ambito del complessivo trattamento svolto dalla società, elementi tali da consentire agli ufficiali di polizia giudiziaria operanti, ai sensi dell´art. 14 della legge n. 689/1981, l´accertamento della violazione contestata;

RILEVATO, quindi, che la società ha effettuato un trattamento di dati biometrici per la rilevazione delle presenze dei dipendenti senza presentare la notificazione di cui all´art. 37, comma 1, lett. a) del Codice;

RILEVATO, invece, che la società non ha provveduto, prima di iniziare il trattamento di dati biometrici per la rilevazione delle presenze, a presentare l´interpello al Garante ai sensi dell´art. 17, comma 2, del Codice e del punto 4.4. delle predette Linee guida, atteso che tale trattamento è stato effettuato oltre i limiti previsti dal punto 4.1 del citato provvedimento. Considerato, tuttavia, che il trattamento è iniziato il 15 gennaio 2008 e che, quindi, l´interpello ex art. 17 del Codice avrebbe dovuto essere presentato all´Autorità antecedentemente a quella data, ne deriva che l´omissione si è concretamente verificata prima dell´entrata in vigore della legge 27 febbraio 2009 n. 14, di conversione del d.l. 30 dicembre 2008 n. 207 che ha introdotto l´art. 162, comma 2 bis che sanziona l´illecito in questione. Pertanto, tale sanzione, in ossequio al principio di legalità di cui all´art. 1 della legge n. 689/1981, non può essere applicata;

RILEVATO, altresì, che, essendosi accertata nel caso di specie la necessità di una verifica preliminare ex art. 17 del Codice, in quanto il trattamento non rientra tra quelli disciplinati in linea generale dalle citate Linee guida (v. punti 4.1. e 4.4), non si configura nel caso di specie l´illecito di inosservanza delle prescrizioni contenute nel predetto provvedimento e, pertanto, non si procede all´applicazione della sanzione di cui all´art. 162, comma 2-ter, del Codice;

VISTO l´art. 163 del Codice che punisce la violazione delle disposizioni di cui agli art. 37 e 38 con la sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro;

CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge 24 novembre 1981 n. 689, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a) in ordine all´aspetto della gravità, gli elementi dell´entità del pregiudizio o del pericolo, dell´intensità dell´elemento psicologico e della modalità concreta della condotta non sono caratterizzati da elementi specifici;

b) ai fini della valutazione dell´opera svolta dall´agente, deve essere favorevolmente valutato il fatto che la società ha provveduto a sospendere cautelativamente il trattamento dei dati in argomento;

c) circa la personalità dell´autore della violazione, deve essere positivamente considerata la circostanza che la società non risulti avere precedenti specifici in termini di violazioni alle disposizioni del Codice;

d) in merito alle condizioni economiche dell´agente, al fine di commisurare l´importo della sanzione alla reale capacità economica del trasgressore nel rispetto del principio di uguaglianza, si rileva che la società, per l´anno 2010, risulta avere conseguito un consistente valore della produzione;

RITENUTO di dover determinare, ai sensi dell´art. 11 della legge n. 689/1981, l´ammontare della sanzione pecuniaria per la violazione dell´art. 163 del Codice, nella misura di euro 50.000,00 (cinquantamila);

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la dott.ssa Augusta Iannini;

DISPONE

l´archiviazione del procedimento sanzionatorio amministrativo con riferimento alle contestazioni relative alle violazioni di cui all´art. 162, comma 2 bis e ter in relazione, rispettivamente, agli artt. 17 e 154, comma 1, lett. c), del Codice;

ORDINA

alla Casa di cura privata Montevergine s.p.a., con sede in Mercogliano (Av), via Mario Malzoni snc, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 50.000,00 (cinquantamila) a titolo di sanzione amministrativa pecuniaria per la violazione prevista dall´art. 163 del Codice;

INGIUNGE

alla medesima società di pagare la somma di euro 50.000,00 (cinquantamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale o in copia autentica, quietanza dell´avvenuto versamento.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 20 settembre 2012

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia