[doc. web n. 10242553]

Provvedimento del 26 marzo 2026

Registro dei provvedimenti
n. 206 del 26 marzo 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente e il dott. Luigi Montuori segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presentato dal sig. XX ai sensi dell’art. 77 del Regolamento con cui è stata lamentata una violazione della disciplina in materia di protezione dei dati personali da parte di Contrader s.r.l.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. Il reclamo nei confronti della Società e l’avvio dell’attività istruttoria.

Con reclamo presentato a questa Autorità in data 08/05/2023, il sig. XX ha segnalato a questa Autorità di aver rivolto un’istanza di esercizio dei diritti ai sensi dell’art. 17 del Regolamento  nei confronti di Contrader s.r.l. (di seguito “la società”), chiedendo in particolare conferma della cancellazione dei dati e dei documenti personali trasmessi in occasione di un colloquio di lavoro.

L’istanza di cancellazione dei dati veniva trasmessa all’indirizzo e-mail XX e XX (quest’ultimo indicato nella privacy policy della società come contatto principale), in data 28/02/2023 e reiterata  il 05/05/2023. Tuttavia, l’istanza non riceveva alcun riscontro nei termini indicati dall’art. 12, par. 3 del Regolamento.

Con la regolarizzazione del 29/10/2023, il reclamante rappresentava all’Autorità di aver nuovamente formulato una richiesta di cancellazione dei dati, indirizzandola alla pec societaria il 29/09/2023, allegando a tal proposito le ricevute di avvenuta consegna; anche in tal caso, tuttavia, non perveniva riscontro nei termini di legge.

Pertanto, veniva avviata l’istruttoria preliminare, mediante invito ad aderire alle richieste del reclamante (nota del 26/03/2024, reiterata ai sensi dell’art. 157 del Codice in data 10/05/2024).

La Società, con nota del 16/05/2024, informava l’istante e, per conoscenza, l’Autorità che “come da prassi, già al termine del ciclo di test day abbiamo provveduto a cancellare i contenuti relativi ai dati personali dei nostri candidati”; “In particolare, l’azienda ha provveduto a cancellare tutta la documentazione da lei inoltrataci (come ad esempio cv, biglietti viaggio, documenti e numero di telefono)”, adducendo quale causa del mancato riscontro “un’evoluzione nel tempo del dipartimento HR di Contrader”.

2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

Alla luce di quanto emergeva dall’istruttoria, l’Ufficio provvedeva a notificare alla Società, con nota del 14/10/2024, l’atto di avvio del procedimento, ai sensi dell’art. 166, comma 5, del Codice in relazione alla violazione degli artt. 12, par. 3, e 17 del Regolamento, tenuto conto del ritardo nel riscontrare la richiesta di cancellazione dell’interessato.

La Società, con nota del 12/11/2024, faceva pervenire scritti difensivi ai sensi dell’art. 18 della legge n. 689/1981,con cui rappresentava che:

- “già a far data dal gennaio 2023 non è in essere alcun trattamento dei dati personali del reclamante”, come tra l’altro confermato nella nota di riscontro all’invito ad aderire dell’Autorità;

- “Infatti, per sua policy aziendale, Contrader conserva i dati personali “solo per il tempo necessario al conseguimento delle finalità per le quali sono stati raccolti o per qualsiasi altra legittima finalità collegata”; quelli non “più necessari, o per i quali non vi sia più un presupposto giuridico per la relativa conservazione, vengono anonimizzati irreversibilmente (e in tal modo possono essere conservati) o distrutti in modo sicuro”, come riportato nell’informativa sul trattamento dei dati personali “regolarmente prodotta a ciascuno dei soggetti con i quali la Società entri in contatto” e pubblicata sul sito internet della Società. “Il medesimo [reclamante] risulta aver allegato detta informativa al proprio reclamo, così dando prova di esserne a conoscenza”;

- “secondo quanto risulta dagli allegati al reclamo (…), si sarebbe dovuto trattare, non di un colloquio individuale specificamente organizzato per una singola posizione lavorativa, bensì di una più ampia iniziativa aziendale, il cd. Test Day (…). Pertanto, i dati raccolti da Contrader in previsione di quell’evento furono unicamente quelli strettamente necessari a consentirle di avere contezza dei nominativi, dei recapiti e delle informazioni sugli studi e sulle esperienze lavorative dei numerosissimi candidati provenienti da tutta Italia che avevano presentato richiesta di partecipazione al Test Day: tanto con la sola finalità di poter programmare e organizzare non solo le attività da compiersi nel corso dell’anzidetto evento (attività consistenti in test di gruppo, test attitudinali, nonché colloqui individuali dei singoli candidati) ma anche il soggiorno dei candidati (…)”;

- “Con riferimento alle richieste di cancellazione dei dati (…), si rappresenta che, alla data odierna, Contrader non risulta in possesso di alcuna comunicazione ricevuta dal [reclamante] o a costui indirizzata: non possiamo pertanto escludere né confermare che dette richieste siano effettivamente pervenute né che esse non siano state riscontrate o comunque non siano state riscontrate tempestivamente”;

- "Quanto alla richiesta di cancellazione dei dati pervenuta alla scrivente a mezzo pec il 29/9/2023, effettivamente Contrader ha temporaneamente tralasciato di dare espresso riscontro al [reclamante]: ciò, tuttavia, si spiega con la circostanza che la richiesta (…) appariva quanto mai vaga. (…) in tale comunicazione mancava qualunque tipo di riferimento idoneo a identificare univocamente [il reclamante], il tipo di selezione cui egli dichiarava di aver partecipato, così come il periodo temporale in cui egli fosse entrato in contatto con Contrader. Egli non forniva all’azienda alcun elemento per consentirle di verificare anzitutto se avesse mai effettivamente trattato i dati che l’istante le chiedeva di cancellare. In quella occasione, quindi, non essendo in possesso di alcun dato con riferimento al [reclamante] (giova ripetere che già aveva cancellato ogni suo dato) ed essendo concretamente impossibilitata a sapere se e in quale occasione essa avesse raccolto i dati cui egli faceva riferimento, Contrader non credette di arrecargli alcun danno – come effettivamente egli non ne ha subiti – non rispondendo immediatamente alla sua richiesta”;

- “Contrader (e, per essa, i suoi rappresentanti/dipendenti) non ha mai incontrato il [reclamante], non ne ha mai testato le capacità professionali e umane e non ha avuto a che fare con lui se non per il conciso e necessario scambio di comunicazioni preordinato all’organizzazione della sua partecipazione a un evento aziendale cui, di fatto, egli non ha mai partecipato. Alla luce di tale discriminante circostanza, unita al fatto che, benché non avesse avuto riscontro immediato alla propria richiesta, era a conoscenza che per sua policy Contrader non conserva i dati personali raccolti oltre il tempo necessario alla finalità per cui li ha raccolti e che, di fatto, non si vede quale danno temesse di subire da parte dell’azienda, le richieste che il [reclamante] dichiara di aver così insistentemente reiterato onde ottenere la cancellazione dei suoi dati personali appaiono manifestamente infondate e/o comunque eccessive”.

3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

All’esito dell’esame della documentazione prodotta e delle dichiarazioni rese all’Autorità nel corso del procedimento, premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice (“Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”), è emerso che la Società, in qualità di titolare del trattamento, ha effettuato operazioni di trattamento riferite al reclamante che non risultano conformi alla disciplina in materia di protezione dei dati personali.

In particolare, in base agli elementi acquisiti nel corso dell’attività istruttoria, risulta accertato che, a fronte dell’istanza di esercizio dei diritti avanzata dal reclamante in data 29/09/2023, la Società non abbia fornito riscontro, nei termini indicati dalla normativa.

Tenendo conto delle argomentazioni addotte dalla Società, occorre considerare, in primo luogo, che l’istante ha esercitato il diritto alla cancellazione di cui all’art. 17 del Regolamento in tre distinte occasioni, avvalendosi le prime volte proprio degli indirizzi e-mail indicati dalla Società nell’informativa sul trattamento dei dati personali messa a disposizione sul proprio sito internet.

Ne è risultato che l’indirizzo e-mail del Responsabile della protezione dati (XX), indicato nell’informativa come dato di contatto principale a cui rivolgere le richieste in materia di protezione dei dati personali, non è risultato attivo e funzionante (si veda la e-mail del 28/02/2023, in cui il sistema di Mail Delivery trasmette il messaggio “indirizzo non trovato” come risulta dalla documentazione prodotta nell’ambito del reclamo).

Mentre l’indirizzo e-mail XX, utilizzato dal reclamante per gestire la propria candidatura e da cui aveva ricevuto sempre riscontri da parte del personale HR (si vedano a tal proposito le e-mail del 12 e 14 dicembre 2022 con cui la Società, rispettivamente conferma l’appuntamento per il colloquio conoscitivo e invia il link per la riunione, entrambe prodotte in atti) di fatto non gli recapitava alcun riscontro, né alla richiesta del 28/02/2023 né alla successiva comunicazione di sollecito del 05/05/2023.

Tali circostanze assumono una particolare rilevanza, dovute proprio alla particolare circostanza che gli indirizzi e-mail utilizzati dal reclamante per esercitare i diritti erano stati indicati dalla stessa Società come contatti ufficiali; per cui, non risultando tali indirizzi attivi e/o idonei a ricevere richieste di esercizio dei diritti, l’interessato si è trovato nell’impossibilità di contattare la Società con altri strumenti idonei.

Diversamente, la richiesta del 29/09/2023 è stata inviata dal reclamante all’indirizzo pec societario, che fornisce la prova dell’avvenuta ricezione della comunicazione.

La Società ha argomentato il mancato riscontro a tale ultima istanza, perché la genericità con cui la stessa era formulata, non rendeva possibile “identificare univocamente” il reclamante e il contesto in cui i suoi dati erano stati raccolti.

Tuttavia, occorre considerare che, in base all’art. 12, par. 6, del Regolamento “qualora il titolare del trattamento nutra ragionevoli dubbi circa l’identità della persona fisica che presenta la richiesta di cui agli articoli da 15 a 21, può richiedere ulteriori informazioni necessarie per confermare l’identità dell’interessato”.

Conformemente, anche le Linee guida n. 1/2022 sui diritti degli interessati, adottate dall’EDPB il 28/03/2023, sebbene volte soprattutto a disciplinare l’esercizio del diritto di accesso, chiariscono che “Nel caso di dimostrata impossibilità di identificare l’interessato (articolo 11 GDPR), il titolare del trattamento, se possibile, deve informare in merito l’interessato, dal momento che il titolare è tenuto a rispondere alle richieste dell’interessato senza ingiustificato ritardo e a motivare la sua eventuale intenzione di non accogliere tali richieste”; infatti “Sia che il trattamento non richieda l’identificazione, sia che la richieda, qualora nutra ragionevoli dubbi circa l’identità della persona fisica che presenta la richiesta, il titolare del trattamento può richiedere ulteriori informazioni necessarie per confermare l’identità dell’interessato (articolo 12, paragrafo 6, GDPR)” (cap. 3.2, par. 62 e 63 delle Linee guida cit.).
Sotto questo profilo, dunque, non può condividersi l’argomentazione addotta dalla Società che, di fronte alla difficoltà di identificare l’interessato, ha omesso qualsiasi ulteriore attività che avrebbe consentito all’interessato di vedere soddisfatto il diritto di cancellazione, anche solo per informarlo dei motivi dell’inottemperanza, come richiesto dall’art. 12, par. 4, del Regolamento (“Se non ottempera alle richieste dell’interessato, il titolare del trattamento informa l’interessato senza ritardo e a più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza”).

Tra l’altro, la Società ha dato riscontro all’invito ad aderire dell’Autorità solo a seguito di una ulteriore richiesta formulata ai sensi dell’art. 157 del Codice, lasciando così trasparire una difficoltà di carattere organizzativo nella gestione delle richieste in materia di protezione dei dati personali.

In ultimo, si osserva che, sebbene l’informativa sul trattamento dei dati personali contenga informazioni sulle finalità e sulle modalità di conservazione dei dati trattati, nel rispetto dei principi di minimizzazione e di limitazione della conservazione ai sensi dell’art. 5, par. 1, lett. c) ed e), del Regolamento, ciò non preclude all’interessato di poter comunque presentare un’istanza di esercizio dei diritti per chiedere conferma del trattamento effettuato sui dati personali e, come nel caso di specie, conferma dell’avvenuta cancellazione.

Pertanto, visto anche l’art. 12, par. 3 del Regolamento, in base alla quale “Il titolare del trattamento fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 12 a 15 senza ingiustificato ritardo e, comunque, al più tardi, entro un mese dal ricevimento della richiesta stessa”, si conferma l’illiceità della condotta posta in essere in violazione degli artt. 12, par. 3 e 17 del Regolamento.

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ai sensi dell’art. 58, par. 2, del Regolamento.

Alla luce di quanto complessivamente rilevato, l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento posto in essere dalla Società, con riferimento al mancato riscontro all’istanza di cancellazione presentata dal reclamante, risulta illecito, nei termini sopra esposti, in relazione agli artt. 12, par. 3, e 17 del Regolamento.

Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2, del Regolamento si prende atto della circostanza che la Società, nel corso del procedimento, ha provveduto ad aderire all’istanza di esercizio dei diritti dell’interessato.

[OMISSIS]

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi degli artt. 57, par. 1, lett. f) e 83, del Regolamento, rileva l’illiceità del trattamento effettuato da Contrader s.r.l., con sede legale in Napoli, Via C.D.N. Isola B3 snc, P.I. 01541070627, nei termini di cui in motivazione, per la violazione degli artt. 12, par. 3, e 17 del Regolamento;

[OMISSIS]

DISPONE

- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet del Garante;

- ai sensi dell’art. 17 del Regolamento n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 26 marzo 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Montuori