Garante per la protezione
    dei dati personali


Trattamento di dati personali raccoltia seguito della pubblicazione di annunci di lavoro e con l'installazione di unsistema di videosorveglianza presso una struttura alberghiera

PROVVEDIMENTO DEL 9 GENNAIO 2014

Registro dei provvedimenti
 n. 13 del 9 gennaio 2014

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti, e del dott. GiuseppeBusia, segretario generale;

VISTOil d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei datipersonali, di seguito "Codice");

VISTOil provvedimento generale del Garante dell'8 aprile 2010, in materia ditrattamento di dati personali effettuato tramite sistemi di videosorveglianza(G.U. n. 99 del 29 aprile 2010) nonchéil provvedimento generale del 10 gennaio 2002, concernente le modalità perrendere l'informativa negli annunci relativi ad offerte di lavoro;

VISTOil verbale di accertamento ispettivo del 26 aprile 2012, redatto dal"Nucleo Speciale Privacy" della Guardia di finanza, concernente itrattamenti di dati personali effettuati da Grand hotel via Veneto s.p.a. (diseguito, la società), con particolare riferimento ai profili concernenti lapubblicazione di annunci di lavoro e l'installazione di un sistema divideosorveglianza presso la struttura alberghiera in Roma;

VISTEle osservazioni formulate dal segretario generale ai sensi dell'art. 15 delregolamento del Garante n. 1/2000;

RELATOREla dott.ssa Augusta Iannini;

PREMESSO

1.1.Dagli accertamenti effettuati dalla Guardia di finanza è emerso che Grand hotelvia Veneto s.p.a. – società che gestisce in Roma l'omonimo albergo e cheha alle proprie dipendenze "poco meno di cinquanta dipendenti, ai qualivanno ad aggiungersi quelli in outsourcing" (cfr. verbale 26 aprile 2012,p. 2) – ha affidato a Job in Tourism s.r.l. la pubblicazione di"offerte di lavoro [Š] sul sito web www.jobintourism.it e sull'omonimogiornale" (cfr. verbale cit., p. 2). I curricula (unitamente ad eventualeulteriore documentazione) "inoltrati via mail all'indirizzo di postaelettronica indicato personale@hgvv.it", dopo essere stati analizzati eselezionati dai responsabili delle diverse aree, risultano essere"conservati [Š] al massimo per un anno, in un archivio cartaceo"(cfr. verbale cit., p. 3).

Aicandidati convocati per il colloquio di lavoro e la compilazione di questionariviene fornita verbalmente "l'informativa privacy [da parte della c.d.Operation manager della società con riferimento alle] finalità e modalità deltrattamento dei dati ed i tempi di conservazione, nonché la rassicurazione chei dati non saranno comunicati a terzi" (cfr. verbale cit., p. 3) e, intale occasione, viene acquisito altresì il loro consenso al trattamento (cfr.verbale cit., p. 6). Ai candidati che non vengono convocati per il colloquio edil cui curriculum viene comunque conservato nell'archivio cartaceo "nonviene [invece] resa alcuna informativa privacy" (cfr. verbale cit., p. 4).

Infine,i "dati trattati dalla società per la gestione dei curricula, non vengonocomunicati a terzi" (cfr. verbale cit., p. 6).

1.2.Nelle comunicazioni inviate dalla società al "Nucleo SpecialePrivacy" (in data 11 maggio e 22 giugno 2012) ad integrazione delledichiarazioni rese a verbale nel corso dell'accertamento del 26 aprile 2012, èstato dichiarato, a parziale rettifica di quanto affermato in sede diispezione, di aver richiesto l'inserzione di annunci "sul solo sitointernet [www.jobintourism.it] e non sull'omonimo quotidiano cartaceo", sìche la pubblicazione dell'annuncio all'interno del quotidiano "ItaliaOggi" sarebbe quindi avvenuta "senza ricevere alcuna richiesta edautorizzazione da «Grand hotel»" (cfr. nota 11.5.2013, pp. 2-3). Taleassunto, del quale la società può essere chiamata a rispondere ai sensidell'art. 168 del Codice, è stato ribadito anche nella comunicazione del 2agosto 2012 (cfr. in particolare, p. 3 e ivi nota 2, p. 7, p. 9 ss., p. 11, p.14 ss.)

Adetta della società, peraltro, sulla base di quanto disposto dall'art. 9, commi2 e 3, d.lg. n. 276/2003, "la rubrica «Job in Tourism» avrebbe dovutocontemplare l'invito ai candidati a leggere nel sito www.jobintourism.it lainformativa sulla privacy" (cfr. nota cit., p. 4). In ogni caso, allasocietà sarebbe applicabile la "previsione di cui all'art. 13, comma 5-bis[del Codice], secondo cui «l'informativa [Š] non è dovuta in caso di ricezionedi curricula spontaneamente trasmessi dagli interessati ai fini dell'eventualeinstaurazione di un rapporto di lavoro»" (cfr. nota cit., p. 4).

2.1.Sotto un diverso profilo, nell'ambito delle verifiche effettuate in loco, èstata altresì accertata la presenza di un sistema di videosorveglianza –consistente, in base ad una ricognizione effettuata su una parte dellastruttura alberghiera, nella installazione di numerose telecamere situate inprossimità degli ingressi e all'interno di locali quali, ad esempio, lagalleria attraverso la quale si accede al bar, la hall e in particolare la zonaove si trova la postazione degli addetti alle informazioni per i clienti, illocale ove sono collocate le casseforti, l'area prospiciente gli ascensori. Atale proposito è stata riscontrata l'assenza di informative agli interessati,anche in forma semplificata, "lungo il perimetro esternodell'edificio", [Š] nella galleria di ingresso [e] nelle varie aree dellahall"; cartelli recanti un'informativa semplificata sono stati rilevatisolo "accanto alle porte di sbarco degli ascensori, ai quali si accedesolo dopo aver superato l'ingresso e la hall e, in ogni caso, altre areevideosorvegliate" (cfr. verbale cit., p. 5).

Secondoquanto dichiarato dal responsabile IT della società, "le telecamereinstallate e funzionanti sono n. 143. Le registrazioni effettuate confluisconosu n. 9 server dedicati, ove sono conservate per un tempo medio di 5-6 giorni,che al massimo possono diventare sette per quelle telecamere che non riprendonoimmagini in movimento. Le password per accedere alle registrazioni sonodetenute dall'amministratore unico, che è l'unico a poter autorizzare l'accessoe l'estrazione, e dal sottoscritto" (cfr. verbale cit., p. 5).

Nellastruttura è stata altresì accertata la presenza di una c.d. "controlroom" al cui interno sono stati rinvenuti "n. 9 monitor LCD, deiquali n. 5 dedicati alla visualizzazione delle immagini riprese da tutte letelecamere del sistema di videosorveglianza"; all'interno della sala"prestano servizio addetti alla vigilanza [Š] le cui mansioni consistonoprecipuamente nell'effettuazione di ronde in tutte le aree pubbliche dell'hotele nella saltuaria visione del monitor" (cfr. verbale cit., p. 5).

Inbase agli elementi acquisiti in atti non risulta che la società di vigilanzasia stata designata responsabile del trattamento ai sensi dell'art. 29 delCodice (cfr. contratto di appalto di servizi di sicurezza, all. 10 allacomunicazione dell'11 maggio 2012), né il proprio personale è risultato esserestato designato incaricato del trattamento ai sensi dell'art. 30 del Codice, néche alla società di vigilanza e ai propri dipendenti siano state impartite lenecessarie istruzioni in relazione ai trattamenti effettuati mediante ilsistema di videosorveglianza.

2.2.Anche con riguardo a questi ultimi trattamenti, nelle menzionate comunicazionidell'11 maggio e del 22 giugno 2012, la società ha precisato che i"supporti con la dicitura completa, collocati nell'area di ingresso da viaVeneto (c.d. "Galleria via Veneto"), all'ingresso del portone edall'ingresso del bar, erano stati rimossi in occasione di lavori ditinteggiatura e sono stati già riposizionati", allegando in propositodocumentazione fotografica (cfr. nota cit., p. 9).

All'internodella "control room" ("composta da alcuni monitor che ripetonole immagini live riprese dalle telecamere") "prende e cessa il suoservizio la guardia giurata preposta dalla società [di vigilanza] verificandoaltresì il corretto funzionamento dei monitor e delle telecamere infunzione"; tuttavia le registrazioni possono essere visionate solo dalrappresentante legale della società e dal responsabile della sicurezza,pertanto "la società di vigilanza [Š] non tratta [Š] e comunque non ha [Š]modo di trattare, alcun dato" (cfr. nota cit., p. 11).

Ipiù ampi tempi di conservazione delle immagini adottati ("5-6 al massimo 7giorni") si rendono necessari in ragione della "continua presenza dicariche istituzionali che richiedono un elevatissimo standard disicurezza" (cfr. nota cit., p. 12).

Conriferimento, infine, all'osservanza della procedura prevista dall'art. 4 dellalegge n. 300/1970, la società ha dichiarato che "l'intero sistema divideosorveglianza non è in alcun modo finalizzato al controllo deidipendenti" bensì all'unico scopo di proteggere l'incolumità di cose epersone anche in considerazione del verificarsi di fatti di reato soprattuttoin alcune zone della struttura alberghiera che appartiene alla categoria"5 stelle lusso" ed ospita al proprio interno opere d'arte e negozidi preziosi (cfr. nota cit., pp. 13-17). Inoltre, i dipendenti della società,"sin dal momento dell'assunzione, con la sottoscrizione del contratto dilavoro, sono resi edotti della presenza di telecamere" nella strutturaalberghiera (cfr. nota cit., pp. 13-17).

3.A seguito degli accertamenti svolti, la Guardia di finanza ha provveduto acontestare, sotto più profili, la violazione dell'art. 13 del Codice neiconfronti della società. Tali aspetti, oggetto del procedimento avviato converbale di contestazione di violazione amministrativa n. 43 del 20 giugno 2012,non formano oggetto di valutazione nell'abito del presente provvedimento everranno definiti dall'Autorità separatamente.

4.1.Con riferimento ai trattamenti effettuati dalla società mediante il sistema divideosorveglianza installato presso la struttura alberghiera, risulta che lostesso è in grado di riprendere e registrare l'attività di quanti, ivi compresii lavoratori nello svolgimento della propria attività, transitano o operanonelle aree interessate (quali ingressi, hall, terrazzo, corridoi di accessoalle camere, locali tecnici e gallerie).

L'installazionedi sistemi di rilevazione delle immagini deve avvenire nel rispetto, oltre chedella disciplina in materia di protezione dei dati personali, anche delle altredisposizioni dell'ordinamento civile e penale applicabili, comprese le vigentinorme in materia di controllo a distanza dei lavoratori. A quest'ultimoriguardo, il divieto di controllo a distanza dell'attività lavorativa – econ esso le garanzie previste dall'art. 4, comma 2, l. n. 300/1970 – nonviene meno in ragione della circostanza che lo stesso possa essere discontinuo(cfr. Cass. 6 marzo 1986, n. 1490), né per il fatto che i lavoratori, comedichiarato nel caso in esame, siano al corrente dell'esistenza del sistema divideosorveglianza e del suo funzionamento (cfr. Cass., 18 febbraio 1983, n.1236).

Dagliaccertamenti effettuati non risulta che siano state attivate le garanziepreviste dalla disciplina in materia di controllo a distanza dei lavoratori,come richiesto dall'art. 4, comma 2, l. n. 300/1970 (v. in merito Cass., sez.lav., 16 settembre 1997, n. 9211; Cass., sez. lav., 1° ottobre 2012, n. 16622),richiamato dall'art. 114 del Codice, nonché in conformità con quanto stabilitodal Garante nel menzionato provvedimento generale in materia divideosorveglianza dell'8 aprile 2010, con particolare riferimento al par. 4.1(cfr., con particolare riferimento all'installazione di sistemi divideosorveglianza presso strutture alberghiere, v. altresì Provv.ti 14 aprile 2011, n. 142; 25 ottobre 2012, n. 313).

4.2.Non risulta, inoltre, che il titolare del trattamento abbia effettuato, aisensi dell'art. 29 del Codice, la designazione a responsabile del trattamentodella società di vigilanza i cui dipendenti – i quali pure non risultanoessere stati designati incaricati del trattamento ai sensi dell'art. 30 del Codice– hanno accesso alla c.d. control room ove vengono visualizzate in temporeale le immagini ricavate dalle telecamere installate presso la strutturaalberghiera, con conseguente trattamento delle immagini delle persone(dipendenti, clienti e fornitori) ritratte ). Invero, ancorché, in base aquanto dichiarato, il personale di vigilanza non abbia accesso alle immaginiregistrate dal sistema di videosorveglianza, lo stesso può comunquevisualizzare le immagini sui monitor nell'espletamento delle proprie mansioni etale operazione integra un'operazione di trattamento ai sensi dell'art. 4,comma 1, lett. a), del Codice).

4.3.Alla luce di tali elementi deve pertanto ritenersi che i trattamenti di datipersonali effettuati mediante il sistema di videosorveglianza sono effettuatidalla società in violazione della disciplina di protezione dei dati personalinonché della rilevante disciplina di settore (art. 114 del Codice in relazioneall'art. 4, comma 2, l. n. 300/1970, nonché artt. 29 e 30 del Codice).

Consideratoche, ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), delCodice, il Garante può – impregiudicati gli esiti del procedimentoavviato con verbale di contestazione di violazione amministrativa n. 43 del 20giugno 2012 – prescrivere anche d'ufficio le misure necessarie oopportune al fine di rendere il trattamento conforme alle disposizioni vigenti,deve prescriversi alla società, quali misure necessarie al fine di conformare itrattamenti di dati personali alla disciplina vigente, senza ritardo, ecomunque entro e non oltre 30 giorni dal ricevimento del presenteprovvedimento, di:

a.attivare le procedure previste dal richiamato art. 4, comma 2, l. n. 300/1970,fatti salvi nel frattempo i diritti dei lavoratori (art. 11, comma 2, delCodice);

b.curare che il personale deputato a visualizzare le immagini sia designatoincaricato del trattamento ai sensi dell'art. 30 del Codice, se del caso anchetramite la società cui può essere rimessa l'attività di vigilanza, debitamentedesignata quale responsabile del trattamento ai sensi dell'art. 29 del Codice,impartendo le necessarie istruzioni.

5.Riservata la valutazione da parte dell'Autorità, con separato procedimento,della sussistenza di violazioni amministrative in capo al titolare deltrattamento in relazione alla violazione degli obblighi stabiliti dagli artt.29 e 30 del Codice, si fa presente che, in caso di inosservanza del presenteprovvedimento, si renderà applicabile la sanzione di cui all'art. 162, comma2-ter del Codice.

TUTTO CIO' PREMESSO, IL GARANTE

neiconfronti di Grand hotel via Veneto s.p.a., per il trattamento dei datipersonali descritti in premessa:

1.dichiara illeciti i trattamenti effettuati nei termini di cui in motivazione;

2.prescrive, ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett.c), del Codice, senza ritardo, e comunque entro e non oltre 30 giorni dalricevimento del presente provvedimento, di:

a.attivare le procedure previste dall'art. 4, comma 2, della legge n. 300/1970,impregiudicati nel frattempo i diritti dei lavoratori;

b.curare che il personale deputato a visualizzare le immagini sia designatoincaricato del trattamento ai sensi dell'art. 30 del Codice, se del caso anchetramite la società cui può essere rimessa l'attività di vigilanza, debitamentedesignata quale responsabile del trattamento ai sensi dell'art. 29 del Codice,impartendo le necessarie istruzioni;

3. aisensi dell'art. 157 del Codice, invita la società a dare comunicazione alGarante delle misure adottate entro 30 giorni dalla data di ricezione delpresente provvedimento.

Ai sensidegli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presenteprovvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 9 gennaio 2014

Il presidente
Soro

Il relatore
Iannini

Il segretario generale
Busia