g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Comune di Borgia - 15 dicembre 2022 [9852800]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9852800]

Ordinanza ingiunzione nei confronti di Comune di Borgia - 15 dicembre 2022

Registro dei provvedimenti
n. 423 del 15 dicembre 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. Premessa.

Il Comune di Borgia ha trasmesso al Garante la delibera n. XX del XX con la quale, “in presenza di alcuni esposti presentati presso le Autorità competenti”, ha ritenuto necessario procedere nelle proprie sedi “in modalità definitiva all’istallazione di sistemi di rilevamento dell’impronta biometrica”, informando l’Autorità “al fine di rendere a regime, nella configurazione definitiva, la rilevazione biometrica, ad oggi comprendente con la timbratura a mezzo badge, un sistema di rilevamento, in sintonia con il decreto Concretezza”.

Il ricorso ai predetti sistemi sarebbe stato effettuato per “prevenire alcune condotte dubbie” e possibili anomalie in merito all’osservanza dell’orario di servizio o comunque per evitare il riproporsi di episodi, peraltro non esplicitati, cha potevano destare sospetti in ordine alla regolare attestazione della presenza in servizio da parte dei dipendenti.

2. L’attività istruttoria.

In riscontro alla richiesta d’informazioni dell’Ufficio del XX, il Comune, con nota del XX (prot. n. XX), ha dichiarato che:

“il sistema di rilevamento delle presenze mediante impronte digitali, adottato provvisoriamente solo per qualche mese e compresente al sistema tradizionale a mezzo badge, è stato definitivamente dismesso nell'immediatezza dell'abrogazione dei commi da 1 a 4 dell'art. 2 Legge 56/2019, disposta in forza dell'art. 1, commi 957 e 958 della Legge di Bilancio 2021 n. 78/2020”;

“il trattamento dei dati biometrici è stato svolto unicamente per la finalità di rilevare con maggior grado di certezza l'ingresso e l'uscita dal luogo di lavoro e si è reso opportuno dall'esigenza di prevenire alcune condotte dubbie da parte di alcuni dipendenti e dallo smarrimento delle tessere magnetiche attualmente in uso”;

“il personale a vario titolo prestante servizio nel Comune con obbligo di timbratura è stato preventivamente informato mediante il modulo allegato alla presente nota che ogni destinatario ha sottoscritto per accettazione con ciò manifestando il proprio consenso esplicito al trattamento dei dati personali”;

“il sistema di timbratura biometrico non è mai stato esclusivo e obbligatorio atteso che il dispositivo installato funzionava anche tramite il tradizionale badge motivo per il quale l'uso di una o dell'altra modalità è sempre rientrato nella sfera di discrezionalità del personale”;

“in proposito alla mancata comunicazione del nominativo dei dati di contatto del nuovo RDP con rammarico se ne ammette il ritardo in quanto era stato smarrito il numero di protocollo 2 necessario per poter accedere alla procedura online di cui se ne è richiesto il recupero con mail del XX”;

“dopo aver ricevuto la […] comunicazione [del Garante] del XX, abbiamo ritrovato il numero di protocollo, che [era stato smarrito] per via di un banalissimo trasloco e riorganizzazione del settore (Area Finanziaria) […ed è] è stata effettuata la comunicazione di variazione dei dati risultante iscritta al Registro RDP n. XX del XX”.

Con nota del XX, l’Ufficio, sulla base degli elementi acquisiti, ha notificato al Comune, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitando il predetto titolare del trattamento a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24 novembre 1981).

Con la nota sopra menzionata, l’Ufficio ha rilevato che il Comune ha posto in essere trattamenti di dati personali biometrici dei propri dipendenti per la finalità di rilevazione delle presenze in violazione del principio di “liceità, correttezza e trasparenza” e in assenza di un idoneo presupposto di liceità, in violazione degli artt.  5, par. 1, lett. a), 6, par. 1, lett. c) e 9 par. 2, lett. b), e par. 4, del Regolamento e in violazione dell’art.37 del Regolamento, relativamente alla mancata comunicazione del nominativo e dei dati di contatto del Responsabile della protezione dei dati (di seguito “RPD”).

Con nota del XX, il Comune ha fatto pervenire le proprie memorie difensive precisando, in particolare, che:

“con nota prot. XX del XX 1'Ente comunicava la definitiva dismissione del sistema di rilevamento delle presenze mediante impronte digitali, nell'immediatezza dell'abrogazione dei commi da 1 a 4 dell'art. 2 Legge 56/2019, disposta in forza dell'art. 1, commi 957 e 958 della Legge di Bilancio 2021 n. 78/2020 precisando che tale sistema non fu mai stato esclusivo e obbligatorio atteso che il dispositivo installato funzionava anche tramite il tradizionale badge e che, sebbene, ogni destinatario avesse manifestato il proprio consenso esplicito al trattamento dei dati personali mediante sottoscrizione di apposita informativa allegata alla predetta nota, avrebbe potuto, comunque, adire la timbratura a mezzo badge”;

“il fondamento giuridico della scelta di adottare in via sperimentale un sistema di rilevamento delle presenze mediante impronte digitale (in compresenza e a scelta del dipendente di una rilevazione a mezzo badge magnetico) è riconducibile all' art. 2 della Legge 56/2019 ( C.d. "Legge Concretezza") entrata in vigore a partire dal 7 luglio 2019”;

“alla luce del su richiamato articolo questa Amministrazione ha ritenuto in buona fede in una situazione di vacatio normativa (non ad essa imputabile, bensì, alla mancata adozione, a livello nazionale, del Decreto di cui all'art. 2 della C.d. Legge Concretezza) di introdurre in via sperimentale un sistema di rilevamento delle presenze mediante impronte biometriche, e si ricorda - in compresenza - con badge magnetico, ritenendo l'utilizzo lecito, perché fondato sull'articolo predetto, previa acquisizione del consenso esplicito dei dipendenti e finalizzato unicamente a metter ordine sull'orario di ingresso e di uscita”;

“si specifica, inoltre, che, seppur installato, il dispositivo, in realtà, ha registrato le impronte e gli ingressi solo nelle giornate del XX”;

“il lettore ha infatti manifestato sin da subito malfunzionamenti tecnici, blocchi e anomalie tali da rendere impossibile, procedere in qualsiasi modo al rilevamento dell'inizio e/o della fine del lavoro, tanto è vero che il lettore è stato mandato in assistenza e non è stato più messo in funzione, come risulta dalla relazione del tecnico informatico (allegata alla presente), motivo per il quale, i dipendenti che prestavano la loro attività in presenza, si sono dotati di registri cartacei su cui apponevano la propria firma in ingresso e in uscita fino all' installazione di un nuovo marcatore temporale ordinario funzionante tramite badge magnetico”;

“da quanto sopradetto discende non vi è stato un trattamento di dati biometrici "invasivo" (in quanto limitato solo a quei dipendenti che ne hanno fatto uso - 15 per l'esattezza) ma limitato ai soli tre giorni in cui il dispositivo ha rilevato le presenze”;

“i dati biometrici sono stati conservati solo il breve intervallo di periodo tra il XX e l’XX. Il XX il dispositivo è stato dismesso per come, tra l'altro, emerge dalla relazione del tecnico informatico sopra richiamata”;

“con riferimento alla rilevazione delle presenze è fondamentale precisare che l'impronta biometrica non era associabile ai nominativi dei dipendenti bensì ad un codice numerico di riferimento, elaborato da un algoritmo matematico, quindi veniva usato un aspetto di pseudonimizzazione al fine di proteggere le informazioni e i dati del dipendente stesso”;

“in ordine alle timbrature rilevate, nei tre giorni indicati, non si evince, dalla procedura di rilevazione presenze, se le stesse fossero state attuate con l'impronta biometrica o con il badge” e “non esiste alcuna disposizione di servizio che imponesse l'utilizzo della rilevazione biometrica, in attesa che il Garante ne avesse consentito l'utilizzo definitivo”;

“la comunicazione della variazione del nominativo e dei dati del nuovo DPO […], dipendente dell'Ente con profilo di istruttore amministrativo, inquadrata nell'Area Tecnica di questo Comune e nominata con Decreto Sindacale n. 10 del 13.07.2020, non è stata effettuata nell'immediatezza della nomina, in quanto, per motivi di riorganizzazione dei locali dell'Area cui faceva parte il precedente DPO, il fascicolo "Privacy" era stato ubicato assieme ad altri fascicoli”;

“per procedere alla sostituzione del DPO era necessario quel numero di Protocollo […] fornito [dal Garante] illo tempore al fine di poter accedere alla procedura online che rappresentava e rappresenta l'unico canale utilizzabile a questo specifico fine”;

“non potendo procedere alla comunicazione con altri canali validi è stato richiesto il recupero del protocollo con mail del XX alla quale è seguita […] comunicazione [del Garante] del XX”;

“solo a valle dei lavori del riassetto degli armadi e del riposizionamento dei faldoni contenuti in scatoloni di carta si è stati in grado di accedere anche al fascicolo Privacy e al numero di Protocollo. […] si evince […, pertanto,] la nostra perfetta buona fede […]”;

“appare chiaro che l'omissione contestata è imputabile ad un errore non intenzionale, tant'è vero che non appena è stato recuperato il protocollo […] è stata prontamente effettuata la comunicazione di variazione dei dati risultante iscritta al Registro RDP n. XX del XX a cui ha fatto seguito l'aggiornamento dei dati sul sito web del Comune”.

In data XX si è, inoltre, svolta l’audizione richiesta dal Comune, ai sensi dell’art. 166, comma 6, del Codice, in occasione della quale lo stesso ha confermato quanto già dichiarato in sede di memorie difensive, precisando, in particolare, che:

“il sistema di registrazione delle presenze impiegato includeva un lettore di impronte digitali”;

“il Comune ha dato avvio a una sperimentazione che ha avuto durata di soli tre giorni, in quanto il lettore di impronte non ha funzionato correttamente; anche in tale limitato arco temporale, i dipendenti non hanno potuto comunque registrare la propria presenza mediante il lettore a causa di alcuni malfunzionamenti”;

“il Comune ha agito in totale buona fede, sulla base della c.d. legge concretezza, nella convinzione che il trattamento fosse lecito, in quanto previsto da una norma di legge, non essendo il Comune a conoscenza della mancata attuazione della norma né degli orientamenti del Garante in materia”;

“la buona fede del Comune è comprovata dal fatto che l’Ente ha spontaneamente informato del trattamento il Garante prima dell’avvio dell’istruttoria”;

“il Comune non ha, peraltro, obbligato i dipendenti a timbrare mediante l’impronta digitale, atteso che si trattava di una sperimentazione, la partecipazione alla quale da parte degli stessi era del tutto facoltativa. Alla sperimentazione hanno partecipato soltanto n. 13 dipendenti”;

“i dati dei dipendenti, acquisiti nella c.d. fase di enrollment, sono stati definitivamente cancellati in data XX, allorquando il sistema è stato definitivamente dismesso”.

3. Esito dell’attività istruttoria. La normativa applicabile.

La disciplina di protezione dei dati personali prevede che il datore di lavoro può trattare i dati personali dei dipendenti, anche relativi a categorie particolari (cfr. art. 9, par. 1 del Regolamento), se il trattamento è necessario, in generale, per adempiere a specifici obblighi o compiti previsti dalle norme nazionali di settore e, in generale, per la gestione del rapporto di lavoro con l’interessato e per adempiere a specifici obblighi o compiti previsti dalla legge o dal diritto dell’Unione o degli Stati membri (artt. 6, par. 1, lett. c), 9, parr. 2, lett. b), e 4, e art. 88 del Regolamento). Il trattamento è, inoltre, lecito quando sia “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, parr. 1, lett. e), 2 e 3, e art. 9, par. 2, lett. g), del Regolamento; art. 2-ter del Codice, nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139).

Con specifico riguardo ai dati biometrici, ossia “i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”(art. 4, lett. 14) del Regolamento), occorre sottolineare che, come ormai noto, in ragione della loro delicatezza - derivante dalla stretta (e stabile) relazione con l’individuo e la sua identità- essi sono ricompresi tra le categorie “particolari” di dati personali (art. 9 del Regolamento).

In tale quadro, il trattamento di dati biometrici (di regola vietato) è consentito al ricorrere di una delle condizioni indicate dal par. 2 dell’art. 9 e, in ambito lavorativo, solo quando sia “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti 3 fondamentali e gli interessi dell’interessato” (art. 9 par. 2, lett. b) del Regolamento; v. pure, art. 88, par. 1, del Regolamento e cons. 51-53).

Il quadro normativo vigente prevede altresì che il trattamento di dati biometrici, per poter essere lecitamente posto in essere, avvenga nel rispetto di “ulteriori condizioni, comprese limitazioni” (cfr. 9, par. 4 del Regolamento) che, nell’ordinamento nazionale, consistono nella “conformità alle misure di garanzia disposte dal Garante”, ai sensi dell’art. 2-septies del Codice.

Il datore di lavoro, titolare del trattamento, è, in ogni caso, tenuto a rispettare i principi di “liceità, correttezza e trasparenza”, “limitazione delle finalità”, “minimizzazione” nonché “integrità e riservatezza” dei dati e “responsabilizzazione” (art. 5 del Regolamento).

Con riguardo alla figura del RPD, la normativa in materia di protezione dei dati prevede che la designazione dello stesso sia sempre dovuta da parte di un “autorità pubblica” o di un “organismo pubblico” (art. 37, par. 1, lett. a), del Regolamento).

Il RPD deve essere dotato delle “risorse necessarie per assolvere [ai propri] compiti […]” e “può svolgere altri compiti e funzioni. Il titolare del trattamento o il responsabile del trattamento si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi” (art. 38, parr. 2 e 6, del Regolamento; cfr. cons. 97 del Regolamento, ove si afferma che i RPD “dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente”).

Con specifico riferimento al divieto di conflitti di interessi, le “Linee guida sui responsabili della protezione dei dati” (adottate dal Gruppo di lavoro articolo 29 il 13 dicembre 2016, nella versione emendata il 5 aprile 2017) precisano che “l’assenza di conflitti di interessi è strettamente connessa agli obblighi di indipendenza. Anche se un RPD può svolgere altre funzioni, l’affidamento di tali ulteriori compiti e funzioni è possibile solo a condizione che essi non diano adito a conflitti di interessi. Ciò significa, in modo particolare, che un RPD non può rivestire, all’interno dell’organizzazione del titolare del trattamento o del responsabile del trattamento, un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali. Si tratta di un elemento da tenere in considerazione caso per caso guardando alla specifica struttura organizzativa del singolo titolare del trattamento o responsabile del trattamento” (par. 3.5, p. 21).

Il titolare del trattamento deve pubblicare i dati di contatto del responsabile della protezione dei dati e comunicare gli stessi all'autorità di controllo (art. 37, par. 7, del Regolamento).

3.1. Il trattamento dei dati biometrici dei dipendenti per finalità di rilevazione delle presenze

La finalità di rilevazione delle presenze in servizio dei dipendenti, funzionale all’attestazione dell’osservanza dell’orario di lavoro e alla sua contabilizzazione - che, in generale, nell’ambito del pubblico impiego, è prevista da un quadro normativo stratificatosi nel tempo (v. ad esempio, art. 22, comma 3 della l. 23.12.1994, n. 724; art. 3 della l. 24.12.2007, n. 244; art. 7 del d.P.R. 1.02.1986, n. 13) - , implica un trattamento necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro (v. pure art. 88, par. 1, Regolamento).

In merito alla compatibilità rispetto alla disciplina di protezione dei dati personali del perseguimento di tale finalità mediante il trattamento di dati biometrici, occorre ricordare che fin dal 2007, nel quadro normativo previgente che non includeva tali categorie di dati tra quelli sensibili, il Garante ha evidenziato che i principi di protezione dei dati impongono che siano preventivamente considerati altri sistemi, dispositivi e misure di sicurezza – meno invasive– che possano assicurare l’attendibile verifica delle presenze, dichiarando l’illiceità dei trattamenti effettuati nel contesto lavorativo a fronte di generiche esigenze di prevenzione di eventuali comportamenti scorretti o di utilizzo distorto degli strumenti di rilevazione delle presenze d’uso comune, quali i badge (v. già, Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro, rispettivamente, alle dipendenze di datori di lavoro privati e in ambito pubblico provv. 23 novembre 2006, n. 53, doc. web n.1364099 e provv. 14 giugno 2007, n. 23, doc. web n. 1417809; Provv.ti 30 maggio 2013 nn. 261 e 262 e 1° agosto 2013, n. 384, doc. web nn. 2502951, 2503101 e 2578547 nei confronti di alcuni istituti scolastici; ma anche 31 gennaio 2013, n. 38, doc. web n.2304669 nei confronti di un Comune; v. anche il provv. n. 249 del 24 maggio 2017, doc. web n. 6531525, avente ad oggetto la carta multiservizi del Ministero della Difesa).

Tali principi trovano conferma anche a livello internazionale e nelle posizioni assunte dalle altre autorità di controllo (v. Raccomandazione CM/Rec(2015)5 del Comitato dei Ministri agli Stati Membri sul trattamento di dati personali nel contesto occupazionale, par. 18; v. anche Gruppo di lavoro "Articolo 29", Parere 2/2017 sul trattamento dei dati sul posto di lavoro, WP 249, par. 5; CNIL, deliberazione 10.1.2019 https://www.cnil.fr/fr/biometrie-sur-les-lieux-de-travail-publication-dun-reglement-type e le FAQ pubblicate in data 28 marzo 2019 “Question-réponses sur le règlement type biométrie” nonché le precedenti linee guida “Travail & données personnells”).

Nel quadro delineato dal Regolamento, come già anticipato (cfr. par. 3), il trattamento di dati biometrici per tale finalità richiede oggi un’espressa previsione normativa e specifiche garanzie per i diritti degli interessati (il trattamento è infatti consentito “nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri […] in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato”, art. 9, par. 2, lett. b), del Regolamento e cons. 51-53, e “nel rispetto delle misure di garanzia” individuate dal Garante ai sensi dell’art. 9, par. 4, del Regolamento e dell’art. 2-septies del Codice).

Il rafforzamento delle tutele dei dati biometrici, mediante l’inclusione degli stessi nelle categorie di dati particolari e, al pari dei dati sulla salute e genetici, tra quelle assistite da un più elevato livello di garanzie, ha infatti riguardato anzitutto i presupposti giuridici che giustificano i trattamenti di tali categorie di dati (cfr. provv. 14 gennaio 2021, doc. web n.9542071, n. 16, doc. web n.9542071; v. anche, più in generale, con riguardo ad un diverso contesto, provv. 16 settembre 2021, n. 317, doc web n. 9703988).

In tale contesto, quindi, il trattamento di dati biometrici può essere lecitamente effettuato solo ove lo stesso trovi il proprio fondamento in una disposizione normativa che abbia le caratteristiche richieste dalla disciplina di protezione dei dati sia in termini di qualità della fonte, di contenuti necessari e di misure appropriate e specifiche per tutelare i diritti e le libertà degli interessati, sia in termini di proporzionalità dell’intervento regolatorio rispetto alle finalità che si intendono perseguire (art. 6, parr. 2 e 3 del Regolamento). Ciò in quanto, il diritto nazionale, per poter essere considerato una valida condizione di liceità del trattamento, deve, tra l’altro, “persegu[ire] un obiettivo di interesse pubblico ed [essere] proporzionato all’obiettivo legittimo perseguito” (art. 6, par. 3, lett. b), del Regolamento).

L’art. 2 della legge 19 giugno 2019, n. 56, recante “Interventi per la concretezza delle azioni delle pubbliche amministrazioni e la prevenzione dell’assenteismo”, aveva previsto una generalizzata sostituzione dei sistemi di rilevazione automatica delle presenze con sistemi di rilevazione di dati biometrici unitamente all’impiego di sistemi di videosorveglianza prevedendo che, “ai fini della verifica dell’osservanza dell’orario di lavoro”, le amministrazioni pubbliche - individuate ai sensi dell’art. 1, comma 2, del d.lgs. n. 165/2001, ad esclusione del “personale in regime di diritto pubblico” (cfr. art. 3, comma 2, d.lgs. n. 165/2001), e quello sottoposto alla disciplina del lavoro agile di cui all’articolo 18 della legge 22 maggio 2017, n. 81 - “introducono sistemi di identificazione biometrica e di videosorveglianza in sostituzione dei diversi sistemi di rilevazione automatica attualmente in uso”.

Tale generica previsione stabiliva anche che le “modalità attuative” della norma – nel rispetto dell’art. 9 del Regolamento e delle misure di garanzia definite dal Garante ai sensi dell’art. 2-septies del Codice – dovessero essere individuate con d.P.C.M., su proposta del Ministro della funzione pubblica, previa intesa con la conferenza unificata (stato regioni e autonomie locali) e “previo parere del Garante ai sensi dell’art. 154 del Codice sulle modalità del trattamento dei dati biometrici”.

Nell’esercizio dei propri poteri consultivi sugli atti normativi (artt. 36, par. 4 e 58, par. 3 del Regolamento nonché art. 154 del Codice), il Garante aveva, a suo tempo, segnalato al legislatore nazionale le rilevanti criticità della proposta normativa evidenziando, in particolare, “l’eccedenza rispetto alle finalità che si intendono perseguire, anche sotto il profilo della gradualità delle misure limitative che possono essere adottate nei confronti dei lavoratori” (cfr. Provv. n. 464 dell’11 ottobre 2018, doc. web n. 9051774).

Come ribadito dal Garante anche successivamente, nel corso dell’audizione in Parlamento in relazione a tale intervento normativo, il principio di proporzionalità rappresenta una condizione alla quale è soggetta anche l’opera di bilanciamento tra interessi pubblici diversi e diritti fondamentali operata dal potere legislativo degli Stati membri. Anche in ragione della stretta correlazione tra l’art. 8 CEDU e gli artt. 7 e 8 della Carta dei diritti fondamentali dell’Unione europea, prevista dall’art. 52 della Carta medesima, quando una misura legislativa, che deve comunque rispondere a finalità di interesse generale, sia interferente o limitativa di un diritto tutelato dall’ordinamento comunitario, occorre valutare se essa rispetti il “contenuto essenziale dei diritti” e rappresenti la “misura meno restrittiva” per raggiungere lo scopo legittimo che si intende perseguire con “minor sacrificio possibile degli interessi coinvolti” nel rispetto del principio di proporzionalità (cfr., sul punto audizione presso le Commissioni riunite I e XI, Affari Costituzionali e Lavoro, della Camera dei Deputati il 6 febbraio 2019, doc. web n. 9080870).

Alla luce di tale quadro, le previsioni normative che introducono/autorizzano un trattamento di dati personali possono determinare compressioni del diritto alla protezione dei dati personali nei limiti dello stretto necessario (devono essere “necessarie” all’interesse meritevole di tutela che si intende perseguire in presenza di una “pressante esigenza sociale”) e devono rispondere effettivamente a finalità di interesse generale nel rispetto del principio di proporzionalità, graduando le forme di intervento e prediligendo quelle che, nel consentire l’effettività degli obiettivi da perseguire, determinino invasioni meno gravi nella “vita privata” degli interessati (v. la copiosa giurisprudenza della Corte Edu, causa c-524/06-Huber/Bundesrepublik Deutschkand del 16/12/2008; Corte di Giustizia Europea, Grande Sezione, 8 aprile 2014, Cause riunite C-293/12 e C-594/12; Corte di Giustizia, sentenza 20 maggio 2003 C-465/00, C-138/01 e C-139/01(riunite); Grande sezione Corte di giustizia, sentenza 9 novembre 2010 C 92/09 e C 93/09, riunite).

Come messo in luce anche dalla giurisprudenza costituzionale, nel bilanciamento di valori concorrenti, ancorché di rilevanza costituzionale, occorre verificare che la soluzione prescelta dal legislatore, tra le misure astrattamente possibili, sia la più appropriata al conseguimento degli obiettivi e sia, al contempo, quella meno restrittiva dei diritti, pena la irragionevolezza e sproporzione della misura legislativa (cfr. Corte costituzionale n. 20 del 23 gennaio 2019, ivi, punto n. 5).

Confermando quanto già rilevato nel corso delle audizioni dinanzi alle Commissioni parlamentari competenti, quindi, il Garante ha ribadito, anche in relazione allo schema di d.P.C.M. che avrebbe dovuto contenere le relative disposizioni di attuazione, poi ritirato in conseguenza dei rilievi dell’Autorità e mai adottato, che “non può ritenersi in alcun modo conforme al canone di proporzionalità - come declinato dalla giurisprudenza europea e interna – l’ipotizzata introduzione sistematica, generalizzata e indifferenziata per tutte le pubbliche amministrazioni di sistemi di rilevazione biometrica delle presenze, in ragione dei vincoli posti dall’ordinamento europeo sul punto, a motivo dell’invasività di tali forme di verifica e delle implicazioni derivanti dalla particolare natura del dato” (cfr. parere n. 167 del 19 settembre 2019, doc. web n. 9147290).

Le disposizioni che prevedevano l’introduzione di sistemi di rilevazione biometrica delle presenze, in ambito pubblico, contenute nei commi da 1 a 4 dell'articolo 2 della legge 19 giugno 2019, n. 56, sono state poi abrogate dalla l. 30 dicembre 2020, n. 178 (c.d. Legge di Bilancio 2021, art. 1, comma 958).

Con riguardo a quanto dichiarato dal Comune in merito alle iniziative assunte per informare compiutamente i dipendenti e acquisire il relativo consenso al trattamento dei dati biometrici, si precisa che, anche prima dell’abrogazione della l. n. 56/2019, i rilievi formulati dal Garante al legislatore nazionale in merito all’intervento regolatorio in questione, non potevano essere superati da un eventuale consenso da parte dei dipendenti interessati. In termini generali, il consenso del lavoratore non costituisce, di regola, un valido presupposto di liceità per il trattamento dei dati personali in ambito lavorativo, indipendentemente dalla natura pubblica o privata del datore di lavoro (considerando 43 del Regolamento), ciò alla luce della asimmetria tra le rispettive parti del rapporto di lavoro e la conseguente, eventuale, necessità di accertare, di volta in volta e in concreto, l’effettiva libertà della manifestazione di volontà del dipendente (v., tra gli altri, provv.ti n. 16 del 14 gennaio 2021, doc. web n. 9542071; n. 35 del 13 febbraio 2020, doc. web n. 9285411; n. 500 del 13 dicembre 2018, doc. web n. 9068983; v. altresì artt. 6-7 e considerando 42-43, Regolamento (UE) 2016/679; v. altresì, in senso conforme, Gruppo art. 29, Linee Guida sul consenso ai sensi del Regolamento UE 2016/679 - WP 259 - del 4 maggio 2020, spec. par. 3.1.1.; Parere 2/2017 sul trattamento dei dati sul posto di lavoro, WP 249, spec. par. 3.1.1 e 6.2)

Per tali ragioni, come ribadito dall’Autorità in decisioni su singoli casi nei confronti di altri titolari del trattamento in ambito pubblico adottando i conseguenti provvedimenti correttivi e sanzionatori, in assenza di proporzionate misure legislative e di specifiche garanzie per gli interessati, il trattamento dei dati biometrici per la predetta finalità di rilevazione delle presenze dei dipendenti, non poteva e non può essere effettuato (cfr., da ultimo, provv. 14 gennaio 2021, n. 16, doc. web n. 9542071 ma anche le analoghe considerazioni con riguardo al contesto privato, provv. n. 369 del 10 novembre 2022, in corso di pubblicazione).

Alla luce delle considerazioni che precedono, si ritiene che il Comune ha effettuato, seppur per un periodo limitato, un trattamento dei dati biometrici dei dipendenti per la finalità di rilevazione delle presenze in assenza di un’idonea base giuridica, in violazione degli artt. 5, 6 nonché art. 9, par. 2 e par. 4, del Regolamento.

3.2. La mancata comunicazione del nominativo e dei dati di contatto del Responsabile della Protezione dei Dati

Nel prendere atto di quanto dichiarato dal Comune in merito ai disguidi che non avrebbero consentito di procedere tempestivamente alla comunicazione dei dati di contatto del nuovo RPD, si ribadisce che l’art. 37, par. 1, lett. a) del Regolamento prevede l’obbligo, per ogni autorità pubblica o organismo pubblico che effettui trattamenti di dati personali, di designare un RPD e di comunicare all’Autorità di controllo il nominativo e i dati di contatto dello stesso.

Al fine di ottemperare all’obbligo in questione la procedura online, resa disponibile dal Garante per la comunicazione, variazione e revoca del nominativo del RPD designato, rappresenta l’unico canale utilizzabile a questo specifico fine (reperibile alla pagina https://servizi.gpdp.it/comunicazionerpd/s/ , ove sono riportate anche le apposite istruzioni; v. Linee guida sui responsabili della protezione dei dati (RPD) adottate dal Gruppo Art. 29 il 13 dicembre 2016 ed emendate il 5 aprile 2017 WP243 rev. 01 e FAQ relative alla procedura telematica per la comunicazione dei dati del RPD https://www.gpdp.it/regolamentoue/rpd/faq, relative-alla-procedura-telematica-per-la-comunicazione-dei-dati).

Si evidenzia, più in dettaglio che, per quanto concerne la variazione dei dati di contatto del RPD (ad esempio, per effetto della nomina di un differente soggetto per quell’incarico), essa deve essere effettuata tempestivamente, sempre attraverso la procedura sopra indicata, in modo che l’Autorità, per l’esercizio dei propri compiti, sia sempre in possesso di informazioni aggiornate e, conseguentemente, si rivolga al “punto di contatto” esatto (il mantenimento di dati di contatto non più attuali potrebbe comportare il coinvolgimento di un soggetto cessato dalle proprie funzioni di RPD).

Per tali ragioni il mancato aggiornamento dei dati di contatto del RPD, tanto sul sito web dell’ente quanto nella relativa comunicazione all’Autorità, costituisce una condotta sanzionabile al pari della mancata pubblicazione/comunicazione (cfr. art. 37, par. 7, del Regolamento, la cui violazione è sanzionabile in via amministrativa ai sensi dell’art. 83, par. 4, lett. a), del medesimo Regolamento). Tali principi sono stati, da ultimo, ribaditi da questa Autorità nel documento di indirizzo adottato per fornire chiarimenti alle amministrazioni in merito alla designazione, posizione e compiti del RPD in ambito pubblico (provv. n. 186 del 29 aprile 2021, doc. web n. 9589104).

Tanto premesso, si deve concludere che - anteriormente alla comunicazione della variazione dei dati di contatto del RPD, avvenuta a seguito della richiesta di elementi da parte dell’Ufficio – il Comune ha dato luogo alla violazione dell’art. 37 del Regolamento.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento negli scritti difensivi – della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice – seppure meritevoli di considerazione e indicative della piena collaborazione del titolare del trattamento al fine di attenuare i rischi del trattamento, rispetto alla situazione presente all’atto dell’avvio dell’istruttoria, non consentono, tuttavia, di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano quindi insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano pertanto le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato in quanto avvenuto in violazione degli artt. 5, par. 1, lett. a), 6, 9, par. 2, lett. b), e par. 4, nonché 37, par. 7, del Regolamento

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 5, del Regolamento e dell’art. 166, comma 2, del Codice.

In tale quadro, considerando che la condotta ha esaurito i suoi effetti, non ricorrono invece i presupposti per l’adozione di misure correttive, di cui all'art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i), e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 5, del Regolamento, nel caso di specie – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Ai fini dell’applicazione della sanzione sono stati considerati la natura, l’oggetto e la finalità del trattamento che ha riguardato dati biometrici - rispetto ai quali il quadro normativo in materia di protezione dei dati personali prevede il livello più alto di tutela – riferiti ai dipendenti per finalità di rilevazione delle presenze.

Di contro, è stato considerato che il Comune è un ente di piccole dimensioni, che il trattamento è stato effettuato, in via sperimentale, per un arco temporale molto limitato (segnatamente dal XX e l’XX, atteso che “Il XX il dispositivo è stato dismesso”) informando spontaneamente l’Autorità e che il sistema in esame era alternativo alla rilevazione delle presenze in modo tradizionale a mezzo badge; sono state inoltre tenute in conto talune specifiche circostanze di fatto, rappresentate dal titolare del trattamento nel corso dell’istruttoria e, in particolare che, l’effettivo utilizzo del sistema per la quotidiana verifica della presenza in servizio “ha avuto durata di soli tre giorni, in quanto il lettore di impronte non ha funzionato correttamente” e sarebbe stato in questi giorni utilizzato solo da parte di alcuni interessati, ossia coloro  che avevano ritenuto di partecipare alla sperimentazione (solo 13 dipendenti). Quanto alla violazione dell’art. 37 del Regolamento si è tenuto conto del disguido in cui è incorso il Comune che avrebbe comportato il ritardo nella comunicazione. Inoltre, il Comune ha fornito adeguata collaborazione nel corso dell’istruttoria e non risultano, inoltre, precedenti violazioni commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria, nella misura di euro 5.000,00 (cinquemila) per la violazione degli artt. 5, 6, par. 1, lett. a), 9, par. 2 e par. 4, nonché 37, par. 7, del Regolamento.

Tenuto conto della particolare natura dei dati personali oggetto di trattamento e dei connessi rischi per gli interessati nel contesto lavorativo, si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e dall’art. 16 del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

rileva l’illiceità del trattamento effettuato dal Comune di Borgia per la violazione degli artt. 5, par. 1, lett. a), 6, 9, par. 2 e par. 4, nonché 37, par. 7, del Regolamento, nei termini di cui in motivazione;

ORDINA

al Comune di Borgia, in persona del legale rappresentante pro-tempore, con sede legale in Corso Mazzini - 88021 Borgia (CZ), C.F. 00291270791, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 5, del Regolamento, di pagare la somma di euro 5.000,00 (cinquemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al Comune di Borgia di pagare la somma di euro 5.000,00 (cinquemila) in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice;

l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 15 dicembre 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei