[doc. web n. 10009004]

Provvedimento del 7 marzo 2024

Registro dei provvedimenti
n. 140 del 7 marzo 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presentato ai sensi dell’art. 77 del Regolamento dai sig.ri XX e XX nei confronti di Centro Riparazioni Piacentino S.p.A.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Il reclamo nei confronti della Società e l’attività istruttoria.

In data 25 marzo 2022, i sig.ri XX e XX hanno presentato un reclamo, regolarizzato il 20 luglio 2022, a seguito di invito dell’Autorità, nei confronti di Centro Riparazioni Piacentino S.p.A. (di seguito, la Società), lamentando presunte violazioni del Regolamento ed in particolare la “perdurante attività degli account aziendali individuali per diversi mesi oltre la cessazione dei rapporti lavorativi [XX e XX], con contestuale accesso ai messaggi ivi pervenuti” considerato che la cancellazione degli stessi sarebbe stata effettuata, senza fornire adeguato riscontro, solo a seguito di un sollecito dei reclamanti.

È stata lamentata, inoltre, l’impossibilità di esercitare il diritto di accesso al contenuto dei predetti account a causa della cancellazione del contenuto dei medesimi. Secondo i reclamanti la Società, inoltre, non avrebbe fornito loro idonea informativa in merito al trattamento dei dati relativi alla posta elettronica.

Il 2 gennaio 2023, la Società ha inviato il proprio riscontro a seguito di una richiesta di informazioni ai sensi dell’art. 157 del Codice formulata dal Dipartimento il 13 dicembre 2022. In tale occasione la Società ha dichiarato che:

a. “gli account in questione non [sono] più attivi dal 16 novembre 2021” (v. nota 2/01/2023 cit., p. 1);

b. “a seguito di gravi comportamenti assunti ai danni della società dai reclamanti, che erano tra l’altro oltre che lavoratori dipendenti, l’uno […] anche ex Presidente del Cda e l’altra […] Amministratore di Sostegno del socio titolare del 50% delle azioni sociali, in un conseguente e provocato periodo di carenza di personale e difficoltà organizzativa, si diede già puntuale risposta al rilievo avversario come da lettera che si allega” (v. nota cit., p. 1);

c. “gli account erano ad esclusivo uso aziendale (su cui transitano ordini di ricambi e di mezzi), che nessuna comunicazione personale è mai pervenuta a dire dell’addetto, nella persone del [Presidente del Consiglio di amministrazione], incaricato di cestinare materiale non riguardante l’azienda” (v. nota cit., p. 1);

d. “i reclamanti hanno peraltro dirottato con avviso tutti i referenti aziendali su loro indirizzi privati prima di lasciare l’azienda” (v. nota cit., p. 1).

In data 13 aprile 2023, il Dipartimento ha inviato una ulteriore richiesta di informazioni alla Società che, il 16 maggio 2023, ha fornito il proprio riscontro ed ha dichiarato che:

a. con riferimento al mantenimento degli account di posta elettronica assegnati ai reclamanti dalla cessazione del rapporto di lavoro degli stessi fino al 16 novembre 2021 si precisa che “le finalità sono state esclusivamente ai fini del pervenimento di reclami e/o richieste tecniche da parte di clienti aziendali. L'accesso è stato esclusivamente da parte del Presidente del CDA, Legale Rappresentante. Nulla è stato conservato” (v. nota 16/05/2023 cit.);

b. con riferimento alla preventiva comunicazione ai reclamanti delle modalità del trattamento degli account aziendali a seguito della cessazione del rapporto di lavoro si precisa che “le modalità del trattamento furono conformi alla prassi aziendale adottata in simili casi dai reclamanti stessi in passato” (v. nota cit.);

c. sugli account assegnati ai reclamanti “è pervenuto a titolo personale esclusivamente materiale pubblicitario vario che è stato cestinato immediatamente” (v. nota cit.).

2. L’avvio del procedimento e le deduzioni della Società.

Il 14 luglio 2023, l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione alla Società delle presunte violazioni del Regolamento riscontrate, con riferimento agli artt. 5, par. 1, lett. a), c), e), e 13 del Regolamento.

In data 1° agosto 2023, la Società ha presentato i propri scritti difensivi e in quell’occasione ha evidenziato che:

“sino al febbraio 2023 la […] Società ha operato quale concessionaria ufficiale del Gruppo Iveco. I titolari degli account in questione rivestivano ruoli apicali all’interno dell’azienda e intrattenevano con la mandante IVECO, tramite le e-mail aziendali, corrispondenza rilevante e decisiva per la continuità operativa” (v. nota 1/08/2023 cit., p. 1);

“l’account «XX» faceva capo al [reclamante], già Presidente del CDA […] e responsabile del reparto vendite […]” (v. nota cit., p. 1);

“l’account «XX» faceva capo alla [reclamante], responsabile del reparto ricambi […], nonché rappresentante di sostegno del socio al 50% del padre […], titolare di una partecipazione pari al 50% del capitale sociale della […] Società” (v. nota cit., p. 1);

“entrambi i predetti soggetti hanno presentato in via pressoché contestuale le proprie dimissioni volontarie […] al fine di prestare la propria attività lavorativa in altra azienda […] che opera nel medesimo settore e in concorrenza con la Società, tutt’ora officina autorizzata Iveco” (v. nota cit., p. 2);

“i predetti soggetti erano ben consapevoli e perfettamente informati delle modalità di trattamento dei dati in uso nell’azienda, in quanto predisposte e gestite da essi stessi. La [reclamante] era infatti il soggetto incaricato al trattamento interno ed il fratello [altro reclamante], il soggetto posto al vertice dell’azienda quale Presidente del C.d.A. […]. Entrambi in ogni caso hanno regolarmente sottoscritto il consenso al trattamento sulla base di modulistica appositamente predisposta” (v. nota cit., p. 2);

“il sistema di trattamento dei dati – predisposto […] da entrambi soggetti reclamanti – non prevedeva la disattivazione automatica degli account dei lavoratori cessati; non è stato quindi possibile procedere in tal senso, non essendo stata dotata l’azienda di soluzioni adeguate. La disattivazione degli account è stata peraltro impedita anche dalle modalità di comunicazione imposte dalla mandante Iveco, nonostante le plurime segnalazioni inviate in merito alla necessità di non utilizzare più i relativi indirizzi di posta, anche mediante l’aggiornamento dei recapiti sul portale dealer SAP di IVECO SPA […], contenente il file .xls con gli indirizzi aziendali autorizzati a ricevere comunicazioni […]. Ciononostante, infatti, il Gruppo Iveco ha continuato ad inviare comunicazioni aziendali rilevanti per la continuità operativa ai medesimi indirizzi, nonché ad un indirizzo personale fornito dalla [reclamante] con e-mail di risposta automatica attivata dalla stessa poco prima delle dimissioni che invitava ad utilizzare l’account personale” (v. nota cit., p. 2);

“a fronte della predetta situazione, l’unica soluzione concretamente applicabile per garantire la continuità operativa dell’azienda era quella di recuperare dai predetti account le comunicazioni aziendali rilevanti e necessarie per garantire […] la continuità operativa. In tal senso, al fine di ridurre quanto più possibile l’accesso alle caselle di posta ed evitare la diffusione dei dati, si è proceduto ad individuare nel sottoscritto […] quale legale rappresentante della Società e nuovo titolare del trattamento dei dati, l’unico soggetto legittimato al recupero delle comunicazioni aziendali dagli indirizzi in questione. […] il sottoscritto non ricopre la qualifica di datore di lavoro, attribuita al membro del Consiglio di Amministrazione” (v. nota cit., p. 2);

“l’accesso alle caselle di posta da parte del sottoscritto, in qualità di titolare del trattamento, non è affatto avvenuto in modo indiscriminato, bensì con riferimento solamente alle e-mail provenienti dal Gruppo Iveco e relative ai rapporti aziendali, selezionate quindi in base al mittente e all’oggetto, mediante l’utilizzo di parole chiave. L’accesso era assolutamente necessario al fine di garantire la continuità operativa dell’azienda, stante la rilevanza delle comunicazioni aziendali pervenute, tenuto conto anche del ruolo apicale rivestito dagli ex dipendenti” (v. nota cit., p. 2, 3);

“i predetti account sono in ogni caso stati da tempo definitivamente cancellati e la […] Società ha oggi adottato le soluzioni necessarie per consentire la disattivazione automatica degli account dei lavoratori cessati e il pieno rispetto delle indicazioni emanate da[l] Garante” (v. nota cit., p. 3);

“si invita […] a tenere in debita considerazione le circostanze del tutto peculiari del caso di specie, anche in merito alla natura pretestuosa e strumentale del reclamo proveniente dai medesimi soggetti che hanno curato e gestito il sistema del trattamento dei dati aziendali e che oggi oltretutto svolgono attività in concorrenza con la […] Società” (v. nota cit., p. 3).

3. Esito del procedimento.

3.1 Fatti accertati e osservazioni sulla normativa in materia di protezione dei dati personali.

All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, risulta che la Società, in qualità di titolare, ha effettuato alcune operazioni di trattamento riferite ai reclamanti, che risultano non conformi alla disciplina in materia di protezione dei dati personali per quanto riguarda il trattamento degli account di posta elettronica aziendale.

In proposito si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

Il titolare del trattamento, in base a quanto disposto dall’art. 13 del Regolamento - che costituisce diretta espressione del principio di trasparenza (v. art. 5, par. 1, lett. a) del Regolamento) -, prima di effettuare il trattamento, fornisce all’interessato le informazioni relative alle caratteristiche essenziali dei trattamenti che intende effettuare, anche con riferimento all’utilizzo di strumenti messi a disposizione nell’ambito del rapporto di lavoro.

Nell’ambito del rapporto di lavoro informare compiutamente il lavoratore sul trattamento dei suoi dati è anche espressione del principio generale di correttezza dei trattamenti (v. art. 5, par. 1, lett. a) del Regolamento).

Il titolare del trattamento deve trattare i dati in modo lecito ai sensi dell’art. 5, par. 1, lett. a), del Regolamento.

Il titolare del trattamento, inoltre, tratta solo i dati adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (principio di minimizzazione, art. 5, par. 1, lett. c), del Regolamento). Il titolare del trattamento deve, inoltre, conservare i dati “in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati” (art. 5, par. 1, lett. e), principio di limitazione della conservazione).

3.2 Violazioni accertate.

3.2.1 Violazione dell’art. 5 par. 1 lett. a), c), e), del Regolamento.

In base agli elementi acquisiti nel corso dell’attività istruttoria nonché delle successive valutazioni di questo Dipartimento, risulta accertato che la Società, dopo la cessazione del rapporto di lavoro con i reclamanti (nel reclamo, in proposito, è stato dichiarato che i reclamanti “hanno cessato ogni carica e ruolo all’interno dell’azienda in data 17.03.2021”; dall’allegato agli scritti difensivi dell’1/08/2023 contenente il modulo di recesso è risultato che le dimissioni sono state presentate rispettivamente in data 19/02/2021 con decorrenza dal 21/06/2021 e in data 12/03/2021 con decorrenza in data 16/07/2021), ha mantenuto attivi, fino al 16 novembre 2021, in base a quanto dalla stessa dichiarato, gli account di posta elettronica individualizzati assegnati ai reclamanti; ai medesimi account ha acceduto, in tale lasso di tempo, il presidente del consiglio di amministrazione, rappresentante legale della Società.

In proposito, in particolare, la Società ha dichiarato di avere mantenuto attivi i predetti account per recuperare reclami o richieste tecniche inviate dai clienti (v. nota 16/05/2023) e che “L’accesso era assolutamente necessario al fine di garantire la continuità operativa dell’azienda, stante la rilevanza delle comunicazioni aziendali pervenute, tenuto conto anche del ruolo apicale rivestito dagli ex dipendenti” (v. nota 1/08/2023, p. 3).

La Società, in tal modo, quindi, invece che limitarsi al mantenimento degli account assegnati ai reclamanti, contestualmente attivando un messaggio di risposta automatico volto ad informare i terzi della imminente disattivazione degli account e della possibilità di contattare altri e diversi indirizzi e-mail, per esigenze di continuità dell’attività svolta per un tempo proporzionato con le esigenze della stessa e senza accedere al contenuto dei medesimi – attività che, se posta in essere, sarebbe stata considerata lecita – ha invece direttamente acceduto al contenuto degli account mantenuti attivi successivamente alla cessazione del rapporto di lavoro.

In proposito, infatti, la Società ha dichiarato di avere individuato, nel legale rappresentante della stessa, il “soggetto legittimato al recupero delle comunicazioni aziendali dagli indirizzi in questione” (v. nota 1.08.2023, p. 2).

A conferma dell’attività effettuata dalla Società sugli account oggetto di esame, la Società ha dichiarato che l’accesso alle caselle di posta è stato effettuato “con riferimento solamente alle e-mail provenienti dal Gruppo Iveco e relative ai rapporti aziendali, selezionate quindi in base al mittente e all’oggetto, mediante l’utilizzo di parole chiave” (v. nota 1/08/2023, p. 2, 3).

In proposito, si precisa che lo scambio di corrispondenza elettronica − estranea o meno all’attività lavorativa − su un account aziendale di tipo individualizzato configura un’operazione che consente di conoscere alcune informazioni personali relative all’interessato (v. "Linee guida del Garante per posta elettronica e Internet", in G. U. n. 58 del 10.3.2007, spec. punto 5.2, lett. b), e che il Garante ha già ritenuto conforme ai principi in materia di protezione dei dati personali (v. tra gli altri Provv.ti 1 dicembre 2023, n. 602, doc. web n. 9978536; 4 dicembre 2019, n. 216, doc. web 9215890; 1° febbraio 2018, n. 53, doc. web n. 8159221, punto 3.4.) che dopo la cessazione del rapporto di lavoro il titolare provveda alla rimozione dell’account, previa disattivazione dello stesso e contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti alla sua attività professionale, provvedendo altresì ad adottare misure idonee ad impedire la visualizzazione dei messaggi in arrivo durante il periodo in cui tale sistema automatico è in funzione.

Non è invece sufficiente a fare venire meno l’illiceità del trattamento effettuato dalla Società, l’affermazione di quest’ultima secondo la quale (tra l’atro e in ogni caso, non supportata da evidenza alcuna) accedendo agli account, il rappresentante legale si sarebbe limitato a ricercare comunicazioni provenienti dal Gruppo Iveco e relative a rapporti aziendali.

La ricerca delle comunicazioni che la Società ha ritenuto pertinenti è pur sempre avvenuta, infatti, successivamente all’accesso alla totalità dei messaggi contenuti nelle caselle di posta.

Considerato che il legale rappresentante ha dichiarato di avere effettuato una ricerca dopo avere acceduto alla totalità delle e-mail, quantomeno, quindi, ai dati esteriori delle comunicazioni contenute negli account assegnati ai reclamanti, in proposito si precisa che anche i dati esteriori delle comunicazioni stesse e i file allegati, oltre al contenuto dei messaggi di posta elettronica, riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente (artt. 2 e 15 Cost.).

La condotta tenuta dalla Società, in qualità di titolare del trattamento (v. art. 4 (7) del Regolamento), che è consistita nel mantenere attivi, successivamente alla cessazione del rapporto di lavoro e delle cariche rivestite dai reclamanti all’interno della stessa, gli account di posta elettronica aziendale individualizzati, accedendo al contenuto dei medesimi, si pone pertanto in contrasto con i principi di liceità, di minimizzazione e di limitazione della conservazione di cui all’art. 5, par. 1, lett. a), c) ed e) del Regolamento.

In particolare, infatti, la Società ha acceduto, in qualità di titolare ai predetti account in assenza di alcuna condizione di liceità del trattamento: la finalità prospettata dalla Società di prosecuzione dell’attività della stessa si sarebbe potuta realizzare con modalità di trattamento conformi alla disciplina di protezione dei dati che, tra l’altro, sarebbero state meno invasive della sfera di riservatezza dei reclamanti.

Per tale ragione, il trattamento posto in essere viola anche il principio di minimizzazione poiché, tramite la descritta condotta, la Società non si è limitata a trattate dati adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono stati trattati, nonché il principio di limitazione della conservazione considerato che solo in data 16 novembre 2021, tra l’altro, sollecitata dai reclamanti in data 3 novembre 2021, ha provveduto a cancellare gli account in questione; in tale occasione la Società ha in proposito dichiarato essersi trattato di un “disguido” che sarebbe “stato determinato esclusivamente da una dimenticanza dovuta alla grave situazione di carenza di personale” (v. all. 2 al reclamo). Sempre in tale occasione la Società ha dichiarato che “laddove fossero giunte comunicazioni di carattere personale, un nostro addetto è stato incaricato di cestinare con effetto immediato – senza verificarne il contenuto – ogni mail in tal senso”.

Si prende atto che la Società, in data 1° agosto 2023, ha dichiarato di avere “adottato le soluzioni necessarie per consentire la disattivazione automatica degli account dei lavoratori cessati e il pieno rispetto delle indicazioni emanate da[l] Garante”.

Si prende altresì atto della dichiarazione della Società, con riferimento agli account in esame, secondo cui “nulla è stato conservato” (v. nota 16/05/2023).

3.2.2 Violazione dell’art. 5, par. 1, lett. a), e 13 del Regolamento.

La condotta della Società è stata posta in essere, inoltre, in assenza di idonea informativa in merito all’attività che il datore di lavoro avrebbe effettuato sugli strumenti elettronici (nel caso di specie, account di posta elettronica aziendale individualizzato) assegnati ai reclamanti successivamente alla cessazione del rapporto di lavoro.

Ciò in quanto l’informativa prodotta dalla Società (all. alla nota dell’1/08/2023) - anche nella versione allegata al modulo denominato “consenso al trattamento dei dati personali” sottoscritto dai reclamanti - non contiene indicazioni idonee in merito all’attività di trattamento che nel concreto la Società ha tenuto.

La Società, infatti, ha violato quanto previsto dall’art. 13 del Regolamento - che costituisce corollario del principio di trasparenza di cui all’art. 5, par. 1, lett. a) del Regolamento - in base al quale il titolare del trattamento è tenuto a fornire preventivamente all’interessato tutte le informazioni relative alle caratteristiche essenziali del trattamento (cfr. Provv. 1° marzo 2007, n. 13 “Linee guida per posta elettronica e internet” cit.). Nell’ambito del rapporto di lavoro l’obbligo di informare il dipendente è, altresì, espressione del principio generale di correttezza (v. art. 5, par. 1, lett. a) del Regolamento).

Con riferimento a quanto dedotto dalla Società in merito al fatto che i reclamanti fossero informati sulle modalità del trattamento perché individuate dagli stessi, si sottolinea, in primo luogo, come non sia emersa alcuna evidenza di ciò: la “nomina a incaricato del trattamento interno” (allegata agli scritti difensivi dell’1/08/2023), visto in particolare il contenuto, non può considerarsi elemento dal quale evincere che la reclamante fosse stata informata in merito al trattamento che la Società avrebbe posto in essere, una volta cessato il rapporto di lavoro, sull’account di posta elettronica assegnato alla stessa.

Neppure il fatto che l’altro reclamante fosse presidente del Consiglio di amministrazione è elemento che prova il fatto che la Società lo avesse informato del trattamento in esame.

Inoltre e in ogni caso, l’obbligo di fornire una idonea informativa ai sensi dell’art. 13 del Regolamento grava sul titolare del trattamento, ruolo che, nel caso di specie, come già precisato, è rivestito dalla Società.

La ratio di quanto previsto dall’art. 13 del Regolamento è quella di fornire agli interessati indicazioni chiare e conformi alla disciplina di protezione dei dati sul trattamento che il titolare porrà in essere in merito ai dati personali dei soggetti a cui si riferiscono: pertanto, affinché possa dirsi rispettato quanto previsto dall’articolo citato, è necessario che le informazioni fornite con l’informativa descrivano operazioni di trattamento di per sé lecite (in merito alla illiceità del trattamento posto in essere sugli account di posta elettronica consistente nell’accesso agli stessi da parte di un terzo successivamente alla cessazione del rapporto di lavoro cfr. par. 3.2.1).

In merito, poi, al richiamo operato dalla Società alla sottoscrizione del “consenso al trattamento sulla base di modulistica appositamente predisposta” (v. nota 1/08/2023, p. 2) da parte dei reclamanti si osserva in generale come, proprio per lo squilibrio di potere tra il datore di lavoro e il lavoratore, è improbabile, salvo casi particolari da individuare caso per caso, che il lavoratore presti liberamente il proprio consenso al datore di lavoro (v. in proposito Linee guida sul consenso ai sensi del Regolamento adottate dall’EDPB il 4 maggio 2020 secondo cui, nel richiamare il Parere 2/2017 sul trattamento dei dati sul posto di lavoro, pagg. 6-7, “il Comitato ritiene problematico per il datore di lavoro trattare i dati personali dei dipendenti attuali o futuri sulla base del consenso, in quanto è improbabile che questo venga prestato liberamente. Per la maggior parte delle attività di trattamento svolte sul posto di lavoro, la base legittima non può e non dovrebbe essere il consenso del dipendente (articolo 6, paragrafo 1, lettera a)) in considerazione della natura del rapporto tra datore di lavoro e dipendente”).

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Per i suesposti motivi, l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati personali effettuato dalla Società e segnatamente il trattamento effettuato, successivamente alla cessazione del rapporto di lavoro, sugli account di posta elettronica assegnati ai reclamanti, tra l’altro, in assenza di idonea informativa, risulta infatti illecito, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a), c), e), e 13 del Regolamento.

La violazione, accertata nei termini di cui in motivazione, non può essere considerata “minore”, tenuto conto della natura e della gravità della violazione stessa, del grado di responsabilità, della maniera in cui l'autorità di controllo ha preso conoscenza della violazione (v. Considerando 148 del Regolamento).

Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento, alla luce del caso concreto si dispone l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) Regolamento).

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

All’esito del procedimento, risulta che Centro Riparazioni Piacentino S.p.A. ha violato gli artt. 5, par. 1, lett. a), c), e) e 13 del Regolamento. Per la violazione delle predette disposizioni, è prevista l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. a) e b) del Regolamento, mediante adozione di un’ordinanza ingiunzione (art. 18, l. 24.11.1981, n. 689).

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

a) in relazione alla natura, gravità e durata della violazione è stata considerata rilevante la natura della violazione che ha riguardato, tra l’altro, i principi generali del trattamento, tra cui i principi di liceità, trasparenza, correttezza e minimizzazione;

b) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare è stata presa in considerazione la condotta della Società e il grado di responsabilità della stessa che non si è conformata alla disciplina in materia di protezione dei dati relativamente a una pluralità di disposizioni;

c) a favore della Società si è tenuto conto della cooperazione con l’Autorità di controllo dimostrata nel corso del procedimento.

Si ritiene inoltre che assuma rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla Società con riferimento al bilancio ordinario d’esercizio per l’anno 2022. Da ultimo si tiene conto dell’entità delle sanzioni irrogate in casi analoghi.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Centro Riparazioni Piacentino S.p.A. la sanzione amministrativa del pagamento di una somma pari ad euro 20.000 (ventimila).

In tale quadro si ritiene, altresì, in considerazione della tipologia delle violazioni accertate che hanno riguardato i principi generali del trattamento nonché l’obbligo di informativa sul trattamento dei dati personali, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante.

Si ritiene, altresì, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO, IL GARANTE

rileva l’illiceità del trattamento effettuato da Centro Riparazioni Piacentino S.p.A., in persona del legale rappresentante, con sede legale in Via Piemonte, 11, Piacenza (PC), C.F. 00307180331, ai sensi dell’art. 143 del Codice, per la violazione degli artt. 5, par. 1, lett. a), c), e), e 13 del Regolamento;

INGIUNGE

a Centro Riparazioni Piacentino S.p.A. di pagare la somma di euro 20.000 (ventimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento a Centro Riparazioni Piacentino S.p.A., di pagare la somma di euro 20.000 (ventimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento:

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/20129, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

Richiede a Centro Riparazioni Piacentino S.p.A. di comunicare quali iniziative siano state intraprese al fine di predisporre un sistema di disattivazione automatica, dopo la cessazione del rapporto di lavoro, degli account di posta elettronica aziendale individualizzati nonché al fine di conformarsi a quanto previsto dall’art. 13 del Regolamento in merito al trattamento degli account di posta elettronica aziendale successivamente alla cessazione del rapporto di lavoro e di fornire comunque riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice, entro il termine di 90 giorni dalla data di notifica del presente provvedimento; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 5, lett. e) del Regolamento. In caso di inosservanza del provvedimento di divieto si applica quanto previsto dall’art. 170 del Codice.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 7 marzo 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei