g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Reweb s.r.l. - 11 gennaio 2023 [9861827]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

VEDI ANCHE Newsletter del 15 marzo 2023

 

[doc. web n. 9861827]

Ordinanza ingiunzione nei confronti di Reweb s.r.l. - 11 gennaio 2023

Registro dei provvedimenti
n. 8 dell'11 gennaio 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presentato ai sensi dell’art. 77 del Regolamento in data 25 febbraio 2019 e spontaneamente regolarizzato il 17 aprile 2019 dalla Sig.ra XX nei confronti di Reweb s.r.l.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. Il reclamo nei confronti della Società e l’attività istruttoria.

Con reclamo del 25 febbraio 2019, poi regolarizzato spontaneamente il 17 aprile 2019, la Sig.ra XX ha lamentato presunte violazioni del Regolamento da parte di Reweb s.r.l. (di seguito, la Società), con riferimento alla persistente attività dell’account di posta elettronica aziendale rimasto attivo dopo l’interruzione del rapporto di collaborazione e alla effettuazione di accessi al medesimo account.

Con nota dell’8 luglio 2019, nel fornire riscontro alle richieste dell’Ufficio, la Società ha dichiarato che:

“a partire dal marzo 2018, intercorrevano tra la società Reweb s.r.l. e IT Distribuzione Soc. Coop. trattative volte a definire l’acquisizione di quest’ultima da parte della prima” (v. nota 8/7/2019 cit., p. 1);

la reclamante, esponente di IT Distribuzione Soc. Coop, “partecipava unitamente a Reweb s.r.l. alla fiera dell’automazione Save […], con il compito di collaborare con [Reweb s.r.l.] alla promozione di un fornitore comune; con l’accordo che […] la [reclamante] avrebbe collaborato, spendendo il nome di Reweb s.r.l.” (v. nota cit., p. 1, 2);

“veniva attivato in data 19 ottobre 201[8] l’indirizzo di posta elettronica XX, per consentire alla stessa di relazionarsi, come da accordi, con i potenziali clienti conosciuti all’evento” (v. nota cit., p. 2);

“in data 23 dicembre 201[8] la trattativa intercorsa tra Reweb s.r.l. e IT Distribuzione Soc. Coop. veniva interrotta” (v. nota cit., p. 2);

“in data 14 gennaio 2019 la [reclamante] chiedeva la disattivazione dell’indirizzo di posta elettronica [a lei assegnato]” (v. nota cit., p. 2);

“in data 31 gennaio 2019 Reweb s.r.l. riscontrava la [reclamante], informandola che l’indirizzo di posta elettronica sarebbe rimasto attivo il tempo necessario a riscontrare chi, tra i potenziali clienti conosciuti alla […] fiera Save, avesse tentato di contattare la stessa Reweb s.r.l.” (v. nota cit., p. 2);

“seguivano ulteriori solleciti della [reclamante], anche tramite Pec del 18 febbraio 2019” (v. nota cit., p. 2);

“l’account di posta elettronica veniva così disattivato a fine del mese di febbraio 2019” (v. nota cit., p. 2);

“si precisa che dal 14 gennaio 2019 sino alla data di disattivazione nessun messaggio è stato inviato dalla casella [di posta in esame] né è stato ricevuto, fuorché quelli inviati dalla [reclamante] stessa, evidentemente al fine di verificare la chiusura dello stesso” (v. nota cit., p. 2);

"non si è ritenuto di impostare un messaggio di risposta automatico per avvisare i mittenti dell’imminente disattivazione dell’indirizzo e della non riconducibilità dello stesso alla [reclamante]; tali informazioni sono state fornite ai potenziali clienti conosciuti alla fiera Save direttamente da personale Reweb s.r.l., tramite messaggi di posta elettronica personalizzati” (v. nota cit., p. 2);

“il motivo per cui non si è proceduto immediatamente alla disattivazione dell’indirizzo di posta elettronica consiste nell’esercizio, da parte di Reweb s.r.l., non solo nell’interesse, che si ritiene senz’altro legittimo, di non interrompere ex abrupto i contatti con i clienti che la [reclamante] aveva contattato agendo per conto di Reweb s.r.l. stessa, spendendone il nome, ma altresì per tutelare l’interesse – altrettanto legittimo – del titolare dell’esercizio dei propri diritti in sede giudiziaria” (v. nota cit., p. 2);

“è infatti pendente la causa [dinanzi al] Tribunale di Reggio Emilia, tra Reweb s.r.l. e IT Distribuzione Soc. Coop., avente per oggetto il risarcimento del danno per responsabilità precontrattuale. […] rilevante nella ricostruzione dei fatti da cui discende la responsabilità precontrattuale di IT Distribuzione, è proprio il comportamento assunto dalla [reclamante] nei rapporti con i potenziali clienti incontrati alla fiera Save […], intrattenuti per il tramite dell’indirizzo di posta elettronica [in esame]” (v. nota cit., p. 3);

“il trattamento svolto da Reweb sull’indirizzo di posta elettronica [assegnato alla reclamante] risulta pertanto lecito, in quanto giustificato da un duplice, legittimo interesse del titolare: in primo luogo, consentire la provvisoria gestione della clientela potenziale e, in secondo luogo, consentire la tutela dei propri diritti in sede giurisdizionale” (v. nota cit., p. 3);

“ad ogni conto, a oggi, l’indirizzo […] è stato […] disattivato” (v. nota cit., p. 3).

Al riscontro dell’8 luglio 2019 la Società ha allegato, inoltre, copia dell’atto di citazione notificato a IT Distribuzione.

Il 12 marzo 2020, a seguito di una richiesta di ulteriori chiarimenti inviata da questo Dipartimento, la Società ha dichiarato che:

- “l’uso della casella di posta elettronica ordinaria [assegnata alla reclamante] è stato limitato nel tempo e finalizzato esclusivamente alla tutela dei rapporti commerciali con la clientela contattata dalla [reclamante] in nome e per conto di Reweb s.r.l. […] nonché per la tutela dei diritti di Reweb s.r.l. in sede giudiziaria” (nota 12/3/2020 cit. p. 1);

- “il contenzioso tra Reweb s.r.l. e IT Distribuzione Soc. Coop. in ordine alla responsabilità precontrattuale di quest’ultima è in essere, giudizialmente, dal 18 marzo 2019 […] mentre la controversia, in via stragiudiziale, è senz’altro più risalente, almeno dal mese di dicembre 2018” (nota cit., p. 2).

Agli ulteriori chiarimenti la Società ha allegato anche copia del “regolamento d’utilizzo della posta elettronica” precisando che lo stesso regolamento “non [è] fornito di data certa, ma esposto nella Bacheca di Reweb s.r.l. e perfettamente conoscibile” nonché copia delle e-mail inviate in date antecedenti la cessazione del rapporto intercorrente tra la reclamante e la Società (datate 6.11.2018, 30/10/2018, 6/11/2018, 14/11/2018, 27/11/2018, 3/12/2018).

In data 2 aprile 2020 la reclamante ha inviato un’integrazione al reclamo contenente le proprie controdeduzioni.

In data 9 novembre 2020 la Società, a seguito di un invito a fornire un ulteriore riscontro, ha dichiarato che:

- “i dati relativi all’utilizzo dell’account di posta elettronica dedicato alla [reclamante] sono stati raccolti esclusivamente per la finalità di consentire alla stessa, nell’ottica della collaborazione che stava per essere intrapresa […] di intrattenere i rapporti commerciali e negoziali con i potenziali clienti procacciati nell’interesse di Reweb s.r.l.; tutti i messaggi contenuti nella casella di posta elettronica sono stati conservati, in formato digitale, per circa un mese dalla cessazione del rapporto, e collocati su un servizio cloud fornito da Microsoft, denominato «Microsoft 365»” (nota 9/11/2020 cit., p.1);

- “quando la [reclamante] comunicò a Reweb s.r.l. l’intenzione di interrompere la collaborazione […], la stessa chiese a Reweb s.r.l. di cancellare immediatamente la suddetta casella di posta elettronica; di contro, Reweb s.r.l. le comunicava come la casella di posta elettronica sarebbe stata tenuta attiva, per un altro mese circa, in modo da reindirizzare i messaggi di posta elettronica provenienti dai potenziali clienti procacciati per conto di Reweb s.r.l. ad altri dipendenti, onde proseguire con le fasi di negoziazione, e solo per tale finalità” (nota cit., p. 2);

In data 1° dicembre 2020 la reclamante ha presentato ulteriori controdeduzioni. 

In data 1° luglio 2021, a seguito di richiesta del Dipartimento, la Società ha ulteriormente dichiarato che “il reindirizzamento delle comunicazioni veniva impostato sull’indirizzo del […], direttore commerciale, proprio allo scopo di non perdere quei potenziali clienti con i quali la [reclamante] aveva preso contatti durante la Fiera Save tenutasi nell’ottobre 2018” (nota cit., p. 1, 2).

2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e le deduzioni della Società.

Il 28 settembre 2021 l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione alla Società delle presunte violazioni del Regolamento riscontrate, con riferimento agli artt. 5, par. 1, lett. a) e c), 6, 12, 13, 17, 88 del Regolamento, 113 e 114 del Codice.

Con gli scritti difensivi inviati in data 28 ottobre 2021, la Società ha dichiarato che:

- “la [reclamante] sarebbe dovuta divenire la responsabile della divisione Industrial IOT dell’esponente” (v. nota 28/10/2021 cit., p. 2);

- l’indirizzo e-mail assegnato alla reclamante “veniva indicato sul bigliettino da visita fatto stampare specificamente per la fiera SAVE, e recante il nominativo appunto della [reclamante]. Detto account veniva dunque creato in data 19.10.2018 unicamente allo scopo di seguire i clienti della fiera SAVE” (v. nota cit., p. 2);

- “in data 21.12.2018 (oltre 2 mesi dopo la fiera SAVE), si interrompevano le trattative ma si lasciavano comunque aperti altri spazi di collaborazione” (v. nota cit., p. 2);

- “solo in data 14.01.2019, la [reclamante] comunicava di non volere dare seguito all'attività di recall sui nominativi del Save […] e chiedendo dunque la disattivazione dell’indirizzo di posta elettronica [a lei assegnato]” (v. nota cit., p. 2);

- “la […] disattivazione [dell’account] veniva richiesta successivamente alla cessazione delle trattative per l’acquisizione della società, e nella stessa comunicazione con cui si terminavano i rapporti di collaborazione relativi a detta fiera” (v. nota cit., p. 2);

- “la suddetta comunicazione aveva natura informale e veniva inviata al […] responsabile commerciale […], non al legale rappresentante della società” (v. nota cit., p. 3);

- “in data 31.01.2019, il [direttore commerciale] riscontrava informalmente la [reclamante], informandola che l’indirizzo di posta elettronica sarebbe rimasto attivo il tempo necessario a riscontrare chi, tra i potenziali clienti, avesse tentato di contattare la stessa Reweb S.r.l. […]. Alla successiva e formale richiesta del 18.02.2019, inviata via PEC e dunque direttamente alla società stessa, questa, per mezzo del sottoscritto procuratore, comunicava in data 26.02.2019 che il trattamento dei dati effettuati da Reweb S.r.l., adottato secondo tutte le prescrizioni previste dalla legge, era riconducibile all’esigenza di non pregiudicare la possibilità della società di fare valere i propri diritti in sede giudiziaria. Nei giorni successivi, l’account veniva disattivato e poco dopo la società notificava atto di citazione innanzi al Tribunale di Reggio Emilia, con domanda di accertamento e condanna per responsabilità precontrattuale, a fronte della condotta della [reclamante] la quale dapprima aveva contattato i nominativi (raccolti alla fiera SAVE) sotto il nome di Reweb, essendo lo stand alla fiera a nome di Reweb, per poi comunicare che gli articoli sarebbero stati fatturati da IT Distribuzione […]. Domanda giudiziaria per la cui proposizione, si rendeva necessario non eliminare da subito l’account della [reclamante]” (v. nota cit., p. 3);

- “la [reclamante] non ha mai svolto mansioni da dipendente né è mai stata inquadrata come tale” (v. nota cit., p. 3);

- “fino alla data del 14.01.19, la casella [assegnata alla reclamante] era sempre stata accessibile solo alla [reclamante] stessa, e anche successivamente mai nessun altro aveva effettuato alcun accesso a quella casella; quell’indirizzo veniva infatti inoltrato su quello del [direttore commerciale], il che significa che questi avrebbe ricevuto unicamente quelle eventuali mail che qualcuno che conoscesse l'indirizzo [assegnato alla reclamante] avrebbe inviato a quell'indirizzo. E si è detto che quel “qualcuno” non poteva che essere chi, alla fiera SAVE, aveva ricevuto il bigliettino da visita con tale indirizzo mail dalla stessa [reclamante]” (v. nota cit., p. 4);

- “il regolamento d'uso della posta elettronica aziendale viene sempre fatto sottoscrivere alla data della formalizzazione del rapporto di lavoro, sia dipendente sia non dipendente (agenti, consulenti, etc)” (v. nota cit., p. 4);

- “il motivo per cui detto regolamento non era stato fatto preventivamente sottoscrivere alla [reclamante] era unicamente il fatto che, alla data del SAVE 2018, questa non aveva ancora firmato un contratto di assunzione che in quello specifico momento sembrava assolutamente imminente (stante la fase molto avanzata delle trattative)” (v. nota cit., p. 4);

- “analoghe previsioni sono altresì contenute nella guida della sicurezza firmata dai dipendenti assunti nel 2013 e 2014” (v. nota cit., p. 5);

- “nessun utilizzo privato avrebbe potuto e dovuto essere effettuato dalla [reclamante]” (v. nota cit., p. 6);

- “per quanto riguarda poi la presunta assenza di un criterio di legittimazione per la conservazione delle e-mail inviate dalla reclamante, si rileva che il trattamento è avvenuto in conformità a quanto previsto dalla normativa in materia di protezione di dati personali” ed in proposito vengono richiamati gli artt. 6, par. 1, lett. f) e 21, par. 1, lett. f), del Regolamento (v. nota cit., p. 6);

- “nel caso in esame è stato posto in essere un bilanciamento tra il diritto di ciascun interessato alla cancellazione dei propri dati personali e il diritto del titolare a tutelare i propri diritti, anche in via giudiziaria; bilanciamento che non potrà che essere ritenuto proporzionato, anche a fronte della tipologia di dati personali trattati, non rientranti neppure tra quelli c.d. “particolari”” (v. nota cit., p. 7);

- “con riferimento […] alla mancata attivazione di un sistema automatico di risposte, si è fornita prova del fatto che in data 15.01.19, e dunque esattamente il giorno successivo alla richiesta (informale) di disattivazione, la società Reweb provvedeva a comunicare immediatamente ai nominativi dei clienti raccolti alla fiera SAVE […] che la [reclamante] non collaborava più con l’esponente e pertanto di fare riferimento al personale della Reweb” (v. nota cit., p. 8);

- “la società ha sempre dato pronto riscontro alle richieste della [reclamante] (il fatto che dette richieste non siano state immediatamente accolte, è questione ben diversa […])” (v. nota cit., p. 8);

- "la prima richiesta inviata in data 14.01.2019, che si è detto avere natura informale ed essere peraltro inserita in una più ampia comunicazione in cui si accennava appena a tale indirizzo mail, vertendo infatti la comunicazione sull’intenzione di non dare più seguito all'attività di recall sui nominativi del Save, veniva riscontrata in data 31.01.2019, e dunque ampiamente nel termine dei 30 giorni di cui alla norma. La richiesta formale di cancellazione, inviata a mezzo PEC in data 18.02.2019, veniva riscontrata in data 26.02.2019, nuovamente dunque nei termini” (v. nota cit., p. 8);

- “tutti i dipendenti e i collaboratori sottoscrivano un preciso regolamento sull’utilizzo degli account di posta elettronica, al momento della sottoscrizione del contratto di lavoro, nonché […] tale regolamento era comunque affisso presso la bacheca aziendale e […] lo stesso prevedeva il divieto di utilizzo dell’account di posta per scopi non lavorativi (il che viene detto anche per quanto concerne l’art. 83, par. 2, lett. d). […] al momento dell’attivazione dell’account della [reclamante], le trattative per la sua assunzione (e per l’acquisizione della sua azienda) erano in una fase avanzatissima, e […] l’interruzione di tali trattative […] ha condotto all’instaurazione di un procedimento civile di condanna per responsabilità precontrattuale, per la cui proposizione è stato necessario conservare l’account de quo (ciò viene detto per quanto concerne l’art. 83, par. 2, lett. a, per cui è fondamentale rilevare altresì che il trattamento riguarda un solo interessato). Per tale disposizione del Regolamento, nonché per quanto è previsto dalla lettera g), si specifica che i dati personali de quibus non rientrano nella categoria dei dai particolari e che gli stessi consistono unicamente nell’indirizzo mail composto dal cognome e dalla prima lettera del nome […]; che la durata complessiva del trattamento è stata di neppure cinque mesi, dalla metà dell’ottobre 2018 alla fine del febbraio 2019; che dalla prima richiesta informale di cancellazione all’effettiva cancellazione non è trascorso più di un mese e mezzo, nel corso del quale si è provveduto a comunicare a tutti i contatti raccolti, unici soggetti a conoscenza di tale indirizzo mail, che lo stesso non poteva più essere associato alla [reclamante] che non collaborava più con Reweb; che dalla formale richiesta di cancellazione via PEC all’effettiva cancellazione, trascorrevano appena due settimane; che un mese dopo la richiesta formale veniva depositato l’atto introduttivo del giudizio civile. Si ritiene dunque che, se dovesse essere ravvisata una qualche violazione, la stessa non potrà che essere ricondotta a una colpa della Reweb e non già a un suo dolo, essendo la stessa pienamente convinta di potere mantenere attiva la casella per potere accertare il proprio diritto in sede giudiziaria, nonché per tutelare esclusivamente i rapporti commerciali con la clientela contattata dalla [reclamante] per conto di Reweb alla fiera SAVE 2018 (ciò viene detto per quanto concerne l’art. 83, par. 2, lett. b). Si rileva poi che: si tratta del primo procedimento da parte del Garante (ciò viene detto per quanto concerne l’art. 83, par. 2, lett. i), che l’autorità ha preso conoscenza della violazione tramite un reclamo dell’interessato (art. 83, par. 2, lett. h), e che Reweb ha sempre collaborato con l’Autorità riscontrando prontamente le richieste di chiarimenti e di produzione documentale (art. 83, par. 2, lett. f). Da ultimo, giusta la previsione dell’art. 83, par. 2, lett. d), si produce stampa dell’informativa privacy” (v. nota cit., p. 9, 10).

A seguito della richiesta della Società, in data 21 aprile 2022 si è tenuta l’audizione della stessa. In tale occasione la parte ha rappresentato che:

- “la società non ha instaurato alcun rapporto di collaborazione con la reclamante. A partire da marzo-aprile 2018 erano state avviate trattative tra la società Reweb s.r.l. e IT Distribuzione per l’acquisizione di quest’ultima da parte della società”;

- “la società inviò una e-mail ai contatti raccolti presso lo stand della fiera (circa 50, 60) precisando che la reclamante non agiva più per conto di Reweb […]. Alla reclamante fu risposto che l’account sarebbe stato reindirizzato in ricezione al direttore commerciale della società”;

- “l’attivazione dell’account è avvenuta non nell’ambito di un rapporto di lavoro, bensì nella prospettiva dell’acquisizione di ramo d’azienda e successiva assunzione della [reclamante]”;

- “dalla data del 23 dicembre 2018 fino a fine gennaio 2019 sono stato assente dall’azienda […]. Solo successivamente pertanto ho potuto esaminare le comunicazioni della reclamante. La richiesta informale di disattivazione dell’account è stata rivolta dalla reclamante ad altro dipendente e riscontrata nel giro di quindici giorni”.

3. L’esito del procedimento.

All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, risulta che la Società, in qualità di titolare, ha effettuato alcune operazioni di trattamento riferite alla reclamante che risultano non conformi alla disciplina in materia di protezione dei dati personali.

La Società, in particolare, successivamente alla cessazione della collaborazione con la reclamante – che comunque non era ancora stata formalizzata e che si inserisce nell’ambito di intese precontrattuali -, ha mantenuto attivo l’account di posta elettronica con estensione riferita all’azienda assegnato alla medesima, prendendo visione del contenuto dello stesso (tanto da produrre in giudizio e-mail inviate dallo stesso account dalla reclamante nel corso della collaborazione).

La Società ha, inoltre, impostato su quest’ultimo un sistema di inoltro delle comunicazioni in entrata al diverso account del proprio direttore commerciale.

La Società, quindi, almeno fino alla fine di febbraio 2019 (anche se nell’atto di citazione presentato da Reweb s.r.l. nei confronti di IT Distribuzione e prodotto dinanzi all’Autorità dalla stessa Società viene dichiarato che la chiusura definitiva dell’account in esame è avvenuta a inizio marzo, v. scritti difensivi del 28.10.2021, p. 7), ha preso visione delle comunicazioni elettroniche relative all’account assegnato alla reclamante.

Ciò è emerso dall’esame delle dichiarazioni della Società e di alcune e-mail che sono state prodotte nel giudizio pendente tra Reweb s.r.l. e IT Distribuzione, in particolare datate 30/10/2018, 6/11/2018, 14/11/2018, 27/11/2018, 3/12/2018.

Si precisa che la Società ha dichiarato che la “controversia, in via stragiudiziale” con la reclamante è cominciata “almeno dal mese di dicembre 2018”.

In relazione al profilo relativo alla produzione in giudizio di e-mail tratte dall’account assegnato alla reclamante si precisa, in ogni caso, che in base all’art. 160-bis del Codice “la validità, l’efficacia e l’utilizzabilità nel procedimento giudiziario di atti, documenti e provvedimenti basati sul trattamento di dati personali non conformi a disposizioni di legge o di Regolamento restano disciplinate dalle pertinenti disposizioni processuali”.

Si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

3.1. In relazione a quanto emerso nel corso dell’istruttoria, è necessario rilevare, in primo luogo, come la Società abbia fornito alla reclamante un account di posta elettronica individualizzato con estensione riferita all’azienda che, tra l’altro, secondo quanto dichiarato dalla stessa Società, è stato indicato sui bigliettini da visita fatti stampare per la fiera SAVE, al fine di essere comunicato a terzi.

In proposito la Società non ha fornito evidenze in merito all’adempimento di quanto previsto dall’art. 13 del Regolamento nei confronti della reclamante con riferimento al trattamento effettuato sull’account predetto.

In particolare, la Società si è limitata ad allegare al riscontro del 12 marzo 2020 copia del “Regolamento per l’uso della posta elettronica aziendale @reweb.it”, alla quale è apposta la data del 6 maggio 2013, precisando che lo stesso è sfornito di data certa e che è esposto nella bacheca di Reweb s.r.l., supportando tale affermazione con la produzione, in allegato al riscontro del 9 novembre 2020, di una “dichiarazione responsabile Ufficio Amministrativo Reweb s.r.l.”.

Con tale dichiarazione la Società si è però limitata a chiarire, in termini generali, che “il regolamento IT [di Reweb s.r.l.], nonché l’informativa sul trattamento dei dati relativa anche all’utilizzo della posta elettronica, sono esposte presso la bacheca nei locali aziendali” e che “copia [di questi documenti] viene consegnata al dipendente o collaboratore al momento della formalizzazione del rapporto di lavoro, nonché che la stessa è sempre consultabile e reperibile, per estrarne copia, presso l’ufficio [amministrativo], a semplice richiesta dell’interessato”.

La Società ha altresì dichiarato che il motivo per il quale “il regolamento d'uso della posta elettronica aziendale” “non era stato fatto preventivamente sottoscrivere alla [reclamante] era unicamente il fatto che, alla data del SAVE 2018, questa non aveva ancora firmato un contratto di assunzione che in quello specifico momento sembrava assolutamente imminente (stante la fase molto avanzata delle trattative)” (v. scritti difensivi 28/10/2021, p. 4). Con ciò confermando di non avere mai consegnato il predetto regolamento alla reclamante.

Si osserva, inoltre, come la produzione di copie del regolamento predetto consegnato e sottoscritto da altri soggetti non possa ritenersi elemento idoneo a provare l’esatto adempimento di quanto previsto dall’art. 13 del Regolamento, conformemente al principio di trasparenza (art. 5, par. 1, lett. a) del Regolamento), nei confronti della reclamante.

Con riferimento al contenuto del predetto regolamento si osserva, inoltre ed in ogni caso, come nello stesso non vengano rese note le specifiche attività di trattamento che Reweb s.r.l. esercita nei confronti dei soggetti a cui assegna un account di posta elettronica con estensione riferibile all’azienda.

Non può considerarsi utile a tal fine neanche il documento “Guida alla sicurezza” che riporta la data del 1° maggio 2013 e che comunque non risulta essere stato consegnato alla reclamante.

Ciò posto, la condotta tenuta dalla Società risulta in contrasto con quanto stabilito dall’art. 13 del Regolamento, in base al quale il titolare del trattamento è tenuto a fornire preventivamente all’interessato tutte le informazioni relative alle caratteristiche essenziali del trattamento e con quanto disposto dall’art. 12 del Regolamento (“Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14”).

Nell’ambito di trattative precontrattuali l’obbligo di informare gli interessati è, altresì, espressione del principio generale di correttezza (v. art. 5, par. 1, lett. a) del Regolamento).

3.2. Nel caso di specie è stato, altresì, accertato che la Società ha inviato “una e-mail ai contatti raccolti presso lo stand della fiera (circa 50, 60) precisando che la reclamante non agiva più per conto di Reweb”, ma, non limitandosi a tale condotta, ha visionato, in assenza di base giuridica, la corrispondenza relativa all’account della reclamante, pervenuta ed inviata durante la collaborazione con la medesima, tanto da avere prodotto in giudizio alcune di queste comunicazioni, e ha impostato un sistema automatico di inoltro a diverso soggetto (direttore commerciale) delle e-mail pervenute sullo stesso successivamente alla cessazione della collaborazione.

La descritta condotta della Società è stata posta in essere in assenza di un idoneo criterio di legittimazione per l’effettuazione del trattamento, sia relativamente all’accesso alle e-mail scambiate durante la collaborazione sia per quanto riguarda la stessa predisposizione di un sistema di inoltro delle comunicazioni ad altro account.

Né l’esigenza di mantenere i rapporti con i clienti né l’interesse a difendere un proprio diritto in giudizio, infatti, sono elementi tali da configurare, nel caso di specie, un idoneo criterio di legittimazione del trattamento così come posto in essere dalla Società.

In merito alla dichiarata esigenza di “non interrompere ex abrupto i contatti con i clienti che la [reclamante] aveva contattato agendo per conto di Reweb s.r.l. stessa, spendendone il nome” si ricorda come, secondo l’orientamento consolidato del Garante (tra i più recenti v. Provv. n. 440 del 16 dicembre 2021, doc. web n. 9739653), realizzi un adeguato bilanciamento degli interessi in gioco (necessità di prosecuzione dell’attività economica del titolare e diritto alla riservatezza dell’interessato) l’attivazione di un sistema di risposta automatico con il quale vengono forniti indirizzi alternativi ai quali contattare il titolare.

Ciò senza che il titolare del trattamento prenda visione delle comunicazioni in entrata sull’account individualizzato assegnato all’interessato. Ciò discende anche dal principio di minimizzazione dei dati (art. 5, par. 1, lett. c) del Regolamento) per cui il titolare del trattamento deve trattare solo i dati “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”.

La finalità (legittima) di non perdere contatti utili per la propria attività commerciale, quindi, si sarebbe potuta perseguire con trattamenti meno invasivi e, quindi, conformi alla disciplina di protezione dei dati, rispetto a quello posto in essere nel caso di specie.

In merito all’“interesse […] del titolare dell’esercizio dei propri diritti in sede giudiziaria” dichiarato dalla Società si osserva come il legittimo interesse a trattare dati personali per difendere un proprio diritto in giudizio non possa comporta un aprioristico annullamento del diritto alla protezione dei dati personali riconosciuto agli interessati considerato, tra l’altro, che il contenuto dei messaggi di posta elettronica – come pure i dati esteriori delle comunicazioni e i file allegati – riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente, la cui ratio risiede nel proteggere il nucleo essenziale della dignità umana e il pieno sviluppo della personalità nelle formazioni sociali; un’ulteriore protezione deriva dalle norme penali a tutela dell’inviolabilità dei segreti (artt. 2 e 15 Cost.; Corte cost. 17 luglio 1998, n. 281 e 11 marzo 1993, n. 81; art. 616, quarto comma, c.p.; art. 49 Codice dell’amministrazione digitale; v. Provv. 1° marzo 2007, n. 13 “Linee guida per posta elettronica e internet”, in G. U. n. 58 del 10.3.2007).

La condotta tenuta dalla Società non risulta, pertanto, conforme ai principi enunciati dall’art. 5, par. 1, lett. a) e c) del Regolamento e a quanto disposto dall’art. 6 del Regolamento.

Considerato, in proposito, che la Società ha delineato con maggiore chiarezza, con gli scritti difensivi e nel corso dell’audizione, i caratteri del rapporto intercorrente nel periodo dei fatti contestati e cioè che si trattava di una fase antecedente alla stipulazione di un contratto di lavoro con la reclamante e solo di una collaborazione della stessa con la Società nonché di operazioni di cessione di ramo d’azienda, con riguardo alla prospettata violazione degli artt. 113 e 114 del Codice e 88 del Regolamento, contenuta nella notifica di violazione del 28 settembre 2021, non sussistono invece gli estremi per adottare provvedimenti con riferimento a tale specifico profilo oggetto di contestazione.

3.3. Si ritiene, infine, che la Società non abbia fornito un idoneo riscontro all’istanza di cancellazione presentata dalla reclamante in quanto in data 31 gennaio 2019; pur fornendo una risposta all’interessata, ha infatti omesso di indicare alla reclamante gli specifici motivi per i quali non avrebbe potuto dare seguito all’istanza di cancellazione dell’account di posta elettronica nonché del diritto di presentare un ricorso all’autorità giudiziaria o un reclamo al Garante, come richiesto dall’art. 12, par. 4, del Regolamento, nel caso in cui il titolare del trattamento non ottemperi alla richiesta dell’interessato.

La Società, in quell’occasione, si è limitata a comunicare alla reclamante che avrebbe mantenuto attivo l’account “sino a quando non ricontattiamo tutti i leads del save così che se qualcuno ci cerca ed aveva i tuoi riferimenti @Reweb della fiera ci possa ritrovare. Tra un mesetto o due lo casseremo”.

In proposito a nulla rileva l’obiezione della Società secondo la quale l’istanza sarebbe stata inviata al responsabile commerciale e non al rappresentante legale; in proposito, infatti, si rammenta come recentemente le Guidelines 01/2022 on data subject rights - Right of access, adottate dall’EDPB il 18 gennaio 2022 (sottoposte a consultazione pubblica conclusa l’11 marzo 2022), abbiano chiarito che sugli interessati non grava l’obbligo di adottare un determinato formato per presentare le istanze di esercizio del diritto di accesso (v. Guidelines 01/2022 cit., punto 52 “the GDPR does not impose any requirements on data subjects regarding the form of the request for access to the personal data. Therefore, there are in principle no requirements under the GDPR that the data subjects must observe when choosing a communication channel through which they enter into contact with the controller” trad. non ufficiale “il Regolamento generale sulla protezione dei dati non impone agli interessati alcun requisito riguardo al formato della richiesta di accesso ai dati personali. Pertanto, in linea di principio, non vi sono requisiti che l'interessato sia tenuto a rispettare al momento di scegliere un canale di comunicazione attraverso il quale entrare in contatto con il titolare del trattamento dei dati”).

Non risulta, inoltre, che la Società abbia fornito riscontro a quelli che vengono definiti dalla Società stessa gli “ulteriori solleciti della reclamante”, in particolare, contrariamente a quanto dichiarato dalla Società, il riscontro del 26 febbraio 2019, la cui copia è stata prodotta nel corso del procedimento, non contiene alcun riferimento all’istanza di esercizio dei diritti relativamente all’account di posta elettronica presentata nuovamente dalla reclamante in data 18 febbraio 2019, ma ha come oggetto “richiesta risarcimento danni”. La Società ha altresì dichiarato di avere proceduto, a fine febbraio, alla disattivazione dell’account.

La Società, quindi, ha violato quanto previsto dall’art. 12 del Regolamento con riferimento all’art. 17 del Regolamento.

In base all’art. 12 del Regolamento, in particolare, il titolare del trattamento “agevola l’esercizio dei diritti dell’interessato ai sensi degli articoli da 15 a 22” e “se non ottempera alla richiesta dell’interessato, il titolare del trattamento informa l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale”.

Si precisa, inoltre, in proposito, che, anche qualora la Società avesse ritenuto di dovere limitare o escludere l’esercizio del diritto alla cancellazione ai sensi dell’art. 2-undecies del Codice (“Limitazioni ai diritti dell’interessato”) per “l’esercizio di un diritto in sede giudiziaria”, avrebbe dovuto comunicare la limitazione del predetto diritto alla reclamante, motivando tale decisione. L’art. 2-undecies comma 3 del Codice dispone infatti, che “l’esercizio dei diritti può, in ogni caso, essere ritardato, limitato o escluso con comunicazione motivata e resa senza ritardo all’interessato, a meno che la comunicazione possa compromettere la finalità della limitazione, per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata, tenuto conto dei diritti fondamentali e dei legittimi interessi dell’interessato, al fine di salvaguardare [l’interesse all’esercizio di un diritto in sede giudiziaria]”.

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Per i suesposti motivi l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati personali effettuato dalla Società e segnatamente l’accesso all’account di posta elettronica con inoltro ad altro account delle comunicazioni in entrata sull’account individualizzato assegnato alla reclamante durante la collaborazione con la Società e l’inidoneo riscontro all’istanza di cancellazione presentata dalla reclamante, risulta infatti illecito, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a) e c), 6, 12 anche con riferimento all’art. 17, 13 del Regolamento.

La violazione accertata nei termini di cui in motivazione non può essere considerata “minore”, tenuto conto della natura e della gravità della violazione stessa, del grado di responsabilità, della maniera in cui l'autorità di controllo ha preso conoscenza della violazione (v. Considerando 148 del Regolamento).

Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento, alla luce del caso concreto si dispone l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) Regolamento).

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

All’esito del procedimento risulta che Reweb s.r.l. ha violato gli artt. 5, par. 1, lett. a) e c), 6, 12 anche con riferimento all’art. 17, 13 del Regolamento. Per la violazione delle predette disposizioni è prevista l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. b) del Regolamento, mediante adozione di un’ordinanza ingiunzione (art. 18, l. 24.11.1981, n. 689).

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

a) in relazione alla natura, gravità e durata della violazione è stata considerata rilevante la natura della violazione che ha riguardato, tra l’altro, i principi generali del trattamento, tra cui i principi di liceità, correttezza e minimizzazione; la violazione ha riguardato, altresì, le norme in materia di esercizio dei diritti;

b) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare è stata presa in considerazione la condotta della Società e il grado di responsabilità della stessa che non si è conformata alla disciplina in materia di protezione dei dati relativamente a una pluralità di disposizioni;

c) a favore della Società si è tenuto conto della cooperazione con l’Autorità di controllo dimostrata nel corso del procedimento e il fatto che il trattamento abbia riguardato un solo interessato.

Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla Società con riferimento al bilancio abbreviato d’esercizio per l’anno 2021. Da ultimo si tiene conto dell’entità delle sanzioni irrogate in casi analoghi.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Reweb s.r.l. la sanzione amministrativa del pagamento di una somma pari ad euro 5.000 (cinquemila).

In tale quadro si ritiene, altresì, in considerazione della tipologia delle violazioni accertate che hanno riguardato i principi generali del trattamento, e le norme in materia di esercizio dei diritti, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante.

Si ritiene, altresì, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO, IL GARANTE

rileva l’illiceità del trattamento effettuato da Reweb s.r.l., in persona del legale rappresentante, con sede legale in Via Ferruccio Ferrari, 6, (RE), C.F. 02026760351, ai sensi dell’art. 143 del Codice, per la violazione degli gli artt. 5, par. 1, lett. a) e c), 6, 12 anche con riferimento all’art. 17, 13 del Regolamento;

DETERMINA

di archiviare la contestazione adottata nei confronti di Reweb s.r.l., in persona del legale rappresentante, con atto del 28 settembre 2021, limitatamente alle violazioni degli artt. 88 del Regolamento, 113 e 114 del Codice;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento a Reweb s.r.l., di pagare la somma di euro 5.000 (cinquemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

quindi a Reweb s.r.l. di pagare la predetta somma di euro 5.000 (cinquemila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/20129, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 11 gennaio 2023

IL PRESIDENTE
Stanzione

IL RELATORE

Stanzione

IL SEGRETARIO GENERALE
Mattei