Il mancato riscontro alla richiesta di documentazione formulata dal Garante privacy comporta l’applicazione di una sanzione
1. I fatti
Il Garante per la protezione dei dati personali riceveva una segnalazione da parte dell’Ispettorato territoriale del lavoro di Torino in cui detto ente sosteneva che, durante una verifica ispettiva effettuata presso i locali in cui una ditta individuale svolgeva la propria attività, era stato rinvenuto un “impianto-bollatrice” con rilevazione biometrica delle impronte digitali, che la ditta individuale utilizzava per registrare le presenze del proprio personale dipendente.
In considerazione della suddetta segnalazione, il Garante inviava alla ditta individuale una PEC contenente la richiesta di prendere posizione sui fatti che le erano stati addebitati nella segnalazione inviata dall’ispettorato del lavoro. Non avendo ricevuto alcun riscontro, dopo 5 mesi, il Garante inviava una nuova richiesta alla ditta individuale di fornire informazioni sui fatti oggetto di segnalazione, con la precisazione che – ai sensi dell’art. 157 del codice privacy – il mancato riscontro avrebbe comportato l’applicazione di una sanzione pecuniaria a carico della ditta.
Nonostante ciò, la ditta non forniva alcun riscontro e il Garante inviava una nuova PEC, chiedendo di fornire riscontro entro 30 giorni.
Stante l’ulteriore mancato riscontro, il Garante delegava il Nucleo speciale privacy della Guardia di Finanza a procedere alla notifica nei confronti della ditta individuale della comunicazione di apertura del procedimento sanzionatorio nei suoi confronti, nonché ad acquisire informazioni in ordine ai fatti oggetto della segnalazione.
I militari della Guardia di Finanza, quindi, effettuavano le verifiche presso la sede della ditta individuale, ma non rinvenivano alcun elemento utile a comprovare l’asserita violazione della privacy in ordine all’impianto di rilevazione biometrica delle impronte digitali.
Per quanto concerne, invece, il mancato riscontro alle tre PEC inviate dal Garante privacy alla ditta individuale, il titolare si difendeva sostenendo che la PEC della ditta è gestita dallo stesso titolare e dal figlio di questi e che la prima PEC non era stata letta, mentre le altre due PEC erano state lette. Tuttavia, precisava il titolare, egli non aveva dato seguito alle richieste del Garante per dimenticanza e perché aveva avuto problemi di salute che lo avevano tenuto lontano dal luogo di lavoro, ma non vi era stata alcuna volontà di non cooperare con il Garante.
Potrebbero interessarti anche:
- Viola la privacy il Comune che inoltra un’email della dipendente al datore di lavoro
- La tutela giuridica del diritto alla privacy
2 Le valutazioni del Garante
All’esito dell’istruttoria effettuata, il Garante ha ritenuto che non sono emersi elementi in grado di provare che la ditta individuale avesse effettivamente posto in essere la violazione della normativa privacy che era stata ipotizzata nella segnalazione effettuata dall’ ispettorato territoriale del lavoro.
Tuttavia, nel corso dell’ istruttoria, è stato invece provato che:
(i) la ditta individuale ha omesso di fornire riscontro alle richieste di informazioni che le erano state rivolte dal Garante: ivi compresa la richiesta espressamente formulata ai sensi dell’art. 157 del codice privacy, la quale conteneva l’espresso avvertimento che, in caso di mancato riscontro, sarebbe stata applicata una sanzione amministrativa pecuniaria;
(ii) la ditta individuale aveva correttamente ricevuto tutte e tre le comunicazioni inviate per PEC dal Garante e che ne avesse visionate almeno due di queste.
Ebbene, sostiene il Garante che l’art. 157 del Codice Privacy attribuisce al Garante il potere di richiedere al titolare del trattamento di fornire informazioni ed esibire documenti e che la violazione a tale richiesta formulata dal Garante è sanzionata mediante l’applicazione di una sanzione amministrativa pecuniaria.
In considerazione di ciò, il mancato riscontro da parte della ditta individuale alle tre diverse richieste di fornire informazioni che le erano state inviate dal Garante, costituisce una violazione della normativa in materia di protezione dei dati personali.
3. La decisione del Garante
Il Garante per la protezione dei dati personali ha quindi ritenuto che il titolare del trattamento abbia commesso una violazione della normativa in materia di privacy e che le difese formulate da quest’ ultimo non fossero sufficienti a superare i rilevi notificati dal Garante e quindi idonei a permettere di archiviare il procedimento sanzionatorio nei confronti della ditta individuale.
Detta violazione, inoltre, secondo il Garante, non può essere considerata minore, tenuto conto della natura, della gravità e della durata della violazione stessa, nonché del grado di responsabilità del titolare e della maniera in cui il Garante ha preso conoscenza della violazione.
Conseguentemente, l’Autorità ha ritenuto che ricossero i presupposti per comminare una sanzione amministrativa pecuniaria a carico della ditta individuale.
Per quanto riguarda la quantificazione della sanzione da irrogare al titolare del trattamento, il Garante ha valutato, da un lato, che la condotta e il grado di responsabilità di quest’ultimo, che, nonostante avesse ricevuto tre richieste di fornire informazioni da parte del Garante e ne avesse lette almeno due, ha comunque ritenuto di non fornire alcun riscontro; inoltre, è stata valutata la scarsa cooperazione del titolare del trattamento con il Garante e il fatto che abbia ostacolato il procedimento e lo svolgimento dell’attività di controllo, obbligando il Garante a delegare l’attività di accertamento alla Guardia di Finanza. Dall’ altro lato, in favore del titolare, l’autorità ha valutato la mancanza di precedenti violazioni della normativa privacy da parte del titolare del trattamento.
Infine, nella quantificazione della sanzione, il Garante ha altresì tenuto in considerazione il fatto che il titolare del trattamento fosse una impresa individuale e ha parametrato l’entità della sanzione a quelle applicate in casi analoghi.
Tenendo quindi in debito conto tutti i suddetti elementi, il Garante ha determinato l’ammontare della sanzione nella misura di €. 1.000 (mille euro).
>>>Per approfondire<<<
Il volume consigliato raccoglie in un unico corpus il testo delle normative sulla privacy, permettendo un’agevole consultazione dei riferimenti legislativi più aggiornati, indispensabili per professionisti, imprese, enti e – in generale – per tutti i soggetti, pubblici e privati, coinvolti nell’attuazione pratica della nuova disciplina.
Privacy. Normativa essenziale
Con il D.Lgs. n. 101/2018 – in vigore dal 19 settembre 2018 – è avvenuto l’adeguamento del nostro Codice privacy (D.Lgs. n. 196/2003) alle numerose modifiche introdotte dal Regolamento europeo 2016/679, noto anche come GDPR – General Data Protection Regulation.Importanti sono anche le novità intervenute grazie a due recenti Decreti attuativi delle Direttive UE, in tema di trattamento dei dati per finalità di prevenzione e repressione di reati (D.Lgs. 18 maggio 2018, n. 51) e di sicurezza delle reti e dei sistemi informativi (D.Lgs. 18 maggio 2018, n. 65).Il volume raccoglie in un unico corpus il testo delle predette normative, permettendo un’agevole consultazione dei riferimenti legislativi più aggiornati, indispensabili per professionisti, imprese, enti e – in generale – per tutti i soggetti, pubblici e privati, coinvolti nell’attuazione pratica della nuova disciplina.
Redazione | Maggioli Editore 2018
Scrivi un commento
Accedi per poter inserire un commento