[doc. web n. 10066287]

Provvedimento del 26 settembre 2024

Registro dei provvedimenti
n. 589 del 26 settembre 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presentato ai sensi dell’art. 77 del Regolamento dalla Sig.ra XX nei confronti di CI & DI Food s.r.l. – società a responsabilità limitata con socio unico;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. Il reclamo nei confronti della Società e l’attività istruttoria.

Con reclamo del 17 settembre 2022, la Sig.ra XX ha lamentato presunte violazioni del Regolamento da parte di CI & DI Food s.r.l. – società a responsabilità limitata con socio unico (di seguito, la Società), con riferimento al mancato riscontro all’esercizio del diritto di accesso ai propri dati personali trattati dalla società nell’ambito del rapporto di lavoro, e segnatamente all’estratto del Libro Unico del Lavoro e al “riepilogo dei dati relativi alle presenze lavorative […] acquisite e registrate mediante badge elettronico relative a tutta la durata del rapporto di lavoro intercorso”.

In particolare, la reclamante ha lamentato che, a fronte dell’esercizio del diritto di accesso effettuato mediante comunicazione con posta elettronica certificata, inviata in data 9/8/2022 all’indirizzo XX dal legale della reclamante, in nome e per conto di quest’ultima, la Società non ha fornito alcuna risposta.

La Società, nel fornire riscontro a un invito ad aderire alle richieste dell’interessato inviato dall’Autorità il 6 settembre 2023, con nota del 28 settembre 2023 ha dichiarato che:

a. ha inteso effettuare “l’adesione spontanea alla istanza di accesso [formulata dalla reclamante], allegando alla presente i dati personali trattati nell’ambito del rapporto di lavoro, così come richiesti, e precisamente: Estratto del Libro Unico del Lavoro […]; Dati estratti dal software connesso al dispositivo di timbratura “c.d. badge””;

b. “il mancato invio dei documenti richiesti dalla [reclamante] con Pec del 09.08.2022 […] è stato frutto di una mera svista, considerato che nei giorni precedenti a detta richiesta vi era stata una serie di scambi [tra la Società e il legale della reclamante], regolarmente e tempestivamente riscontrate dalla scrivente”;

c. “in particolare […] a seguito della richiesta avanzata […] in data 22.06.2022 [dalla reclamante] dopo aver già messo a disposizione [della reclamante stessa] detti documenti in forma cartacea presso la sede lavorativa […], con due PEC di risposta datate 30.06.2022 e 04.08.2022 […] forniva adeguato e tempestivo riscontro alle istanze formulate […]. Tale fatto a dimostrazione dello spirito collaborativo” della Società nel procedimento davanti al Garante.

2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e le deduzioni della società.

Il 10 gennaio 2024, l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione alla Società delle presunte violazioni del Regolamento riscontrate, con riferimento agli artt. 12 e 15 del Regolamento.
Con memorie difensive inviate in data 9 febbraio 2024, la Società ha dichiarato che:

a. “il mancato invio dei documenti richiesti dalla [reclamante] […] con PEC del 09.08.2022, entro i termini previsti dall’art. 12 GDPR, è stata frutto di una svista riconducibile ad un mero errore umano, ascrivibile altresì alla ridotta presenza del [legale rappresentante della Società], unico abilitato alla visualizzazione della casella PEC, sul luogo di lavoro a causa del periodo feriale. L’assenza di dolo è comprovata dal fatto che nei giorni precedenti alla suddetta richiesta vi era stata una serie di scambi di PEC tra la CI & Di Food e [il legale della reclamante], regolarmente e tempestivamente riscontrate dalla scrivente, come da documentazione già comunicata” (nota 9/1/2024, p. 2);

b. con riguardo al grado di gravità della violazione “l’istanza di accesso ai dati personali ex art 15 GDPR, non costituisce l’unico strumento gratuito a disposizione del lavoratore (o ex lavoratore) per avere accesso alla copia della documentazione relativa alla sua posizione lavorativa, e anche una mancata risposta nei termini di cui all’art. 12 GDPR, non preclude alla lavoratrice la possibilità di ricorrere ad altri strumenti giuridici, anche gratuiti, per poter conseguire la documentazione richiesta (es. rivolgendosi ad un centro di assistenza sindacale)” (nota cit., p. 2);

c. “non si è verificato alcun danno definitivo e irreparabile ai diritti e alle libertà dell’interessata, in quanto i dati richiesti sono stati trasmessi in seguito al tempestivo riscontro all’invito ad aderire formulato da Codesta Autorità” (nota cit., p. 3);

d. la Società “preso atto dell’errore umano che ha condotto all’omesso riscontro alla richiesta formulata dalla [reclamante] nei termini sanciti dal GDPR, ha ritenuto di implementare le misure tecniche e organizzative adottate, e incorporare i principi di protezione dati e le istruzioni operative agli incaricati del trattamento, all’interno del Regolamento aziendale” (nota cit., p. 3);

e. “Al fine di favorire la corretta gestione ed evasione delle richieste di accesso che potranno pervenire, il Titolare ha ritenuto di affidare uno specifico incarico e rendere specifiche istruzioni scritte alla dipendente con mansioni amministrative, per implementare il personale di supporto alla gestione delle richieste di esercizio dei diritti da parte degli interessati” (nota cit., p. 4 e All. 10);

f. “Essendo il procedimento di revisione del regolamento aziendale conclusosi in data 06.02.2024 con la pubblicazione in bacheca aziendale, è ad oggi in corso l’aggiornamento e la revisione della documentazione aziendale, tra cui anche delle informative sul trattamento dei dati personali rivolte alle diverse categorie di interessati. In seguito a tale revisione sarà riportato, in termini ben visibili, all’interno di tutti i modelli di informativa sul trattamento dei dati personali già utilizzate dalla Società nei rapporti con clienti, fornitori, dipendenti e utenti del sito internet, il riferimento all’indirizzo mail XX (costantemente monitorato […]) quale presidio a cui gli interessati potranno indirizzare le richieste di esercizio dei diritti di cui agli artt. 15-22 GDPR” (nota cit., p. 4);

g. “al fine di favorire il rispetto delle istruzioni […] è stato programmato, per il giorno 21 febbraio 2024, un corso di formazione in presenza rivolto a tutti i dipendenti, avente ad oggetto”, tra l’altro, “Principi generali in materia di protezione dati ai sensi del GDPR e del D.lgs. 196/2003 e s.m.i” (nota cit., p. 4);

h. la Società pertanto “contesta la violazione del dovere di correttezza stabilito dall’art. 5, par. 1, lett. a) del Regolamento, avendo dato prova, non solo del fatto che il mancato riscontro alla richiesta formulata dalla [reclamante] nei termini previsti dall’art. 12 GDPR (oltre che rappresentare un caso isolato), si è verificato a causa di un singolo errore umano; ma anche del corretto approccio che ogni Titolare del trattamento deve maturare in circostanze analoghe” (nota cit., p. 5).

Nel corso dell’audizione, tenutasi in data 26 marzo 2024 a seguito di richiesta della Società, quest’ultima ha da ultimo dichiarato che:

a. “anche prima che entrasse in vigore il Regolamento Ue 2016/679, con le precedenti regole, la Società aveva posto particolare attenzione alla corretta gestione dei processi di trattamento dei dati personali”;

b. “la visibilità della casella PEC, per politica aziendale, è riservata unicamente al legale rappresentante della società, ed era, all’epoca dei fatti, visualizzabile unicamente dal computer in sede, e quindi quando il legale rappresentante era presente fisicamente in ufficio”;

c. “Posto che la richiesta di accesso è stata presentata nel periodo di turnazione delle ferie estive, e alla luce delle descritte modalità di controllo delle pec, la richiesta della reclamante non è stata vista per un mero errore. La Società pertanto non ha avuto la volontà di non fornire riscontro all’istanza di esercizio del diritto di accesso, posto che il riscontro sarebbe stato senz’altro fornito se la richiesta via pec fosse stata visualizzata”;

d. “Dopo questo episodio la Società ha provveduto innanzitutto a revisionare tutti gli aspetti privacy dei trattamenti di dati personali effettuati nello svolgimento della propria attività e, inoltre, ha avviato un processo di verifica e revisione della gestione dei processi di trattamento dei dati. Per quanto riguarda la gestione delle pec, allo stato, il legale rappresentante, che ha provveduto a scaricare l’applicativo di Aruba sul proprio smartphone, è tempestivamente avvisato dell’arrivo delle stesse mediante un alert, anche al fine di ridurre ulteriormente il rischio del ripetersi dell’episodio di cui al presente procedimento”;

e. “La Società ha aggiornato il regolamento aziendale e ha organizzato un corso di formazione per i dipendenti, regolarmente tenutosi in data 21 febbraio 2024 (come anticipato nelle memorie difensive) dedicato al trattamento dei dati personali”.

3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

3.1. Esito dell’istruttoria. Violazione degli artt. 12 e 15 del Regolamento.

All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, risulta che la Società, in qualità di titolare, ha effettuato alcune operazioni di trattamento, riferite alla reclamante, che risultano non conformi alla disciplina in materia di protezione dei dati personali.

In proposito si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

Nel merito è emerso che la Società non ha fornito riscontro all’istanza di esercizio del diritto di accesso ad alcuni dati personali trattati nell’ambito del rapporto di lavoro presentata dalla reclamante in data 9/8/2022 all’indirizzo Pec della Società.
Dopo la presentazione del reclamo al Garante, la Società ha collaborato con l’Autorità di controllo ed ha inviato i dati richiesti con comunicazione del 28/9/2023 rivolta anche alla reclamante.

In base all’art. 15 del Regolamento “L'interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l'accesso ai dati personali”. Quanto alle modalità con le quali il titolare deve fornire riscontro all’interessato il medesimo articolo precisa che “Il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento”.

Inoltre l’art. 12 chiarisce che il riscontro alle istanze di esercizio dei diritti previsti dal Regolamento (tra cui quella di accesso) deve essere fornito “senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il titolare del trattamento informa l'interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta. […]. Se non ottempera alla richiesta dell'interessato, il titolare del trattamento informa l'interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell'inottemperanza e della possibilità di proporre reclamo a un'autorità di controllo e di proporre ricorso giurisdizionale”.

Alla luce delle citate disposizioni, la Società, pertanto, ha omesso di fornire all’interessata la risposta alla richiesta di ottenere copia del Libro Unico del Lavoro e delle timbrature delle presenze effettuate mediante il badge aziendale ed ha trasmesso le informazioni solo dopo aver ricevuto un invito ad aderire da parte dell’Autorità di controllo, decorsi più di tredici mesi dalla richiesta, in violazione degli articoli 12 e 15 del Regolamento.

La motivazione fornita dalla Società nel corso del procedimento davanti all’Autorità per spiegare l’omesso riscontro alle richieste dell’interessato, ossia il verificarsi di “un mero errore” determinato dalla circostanza che all’epoca del fatto oggetto di reclamo solo il legale rappresentate della Società aveva accesso alle Pec, anche nel periodo delle turnazioni estive, non è idonea a far venire meno l’obbligo posto in capo al titolare del trattamento di rispondere alle istanze di esercizio dei diritti, approntando misure anche organizzative volte ad agevolarne la presentazione (v. art. 12, par. 2 del Regolamento).

Né può essere preso in considerazione, come dedotto nelle memorie difensive, il fatto che sarebbero stati astrattamente disponibili “altri strumenti giuridici, anche gratuiti, per poter conseguire la documentazione richiesta”, posto che l’art. 15 del Regolamento non pone alcuna limitazione in ordine alle informazioni riferite all’interessato che possono essere oggetto di accesso e considerato anche che i dati relativi alle timbrature effettuate con il badge aziendale, oggetto di istanza di accesso, sono nella esclusiva disponibilità del datore di lavoro.

L’Autorità, in ogni caso, prende atto che nel corso del procedimento la Società ha introdotto un meccanismo di notifica delle Pec al fine di evidenziare il ricevimento delle stesse sulla relativa casella di posta certificata. Si prende altresì atto che la Società ha adottato alcune misure, anche di tipo organizzativo, al fine di facilitare l’esercizio dei diritti da parte degli interessati anche attraverso l’indicazione di un indirizzo di posta elettronica dedicato inserito nei modelli di informativa resi agli interessati (dipendenti, clienti, fornitori, utenti del sito internet).

La Società, pertanto, nei termini sopra descritti, non ha ottemperato all’obbligo di fornire riscontro all’interessata a seguito dell’esercizio dei diritti previsti dal Regolamento - nel caso di specie il diritto di accesso ai sensi dell’art. 15 -, nei termini e con le modalità prescritte dall’art. 12 del Regolamento (in relazione a casi analoghi si vedano, tra i più recenti: Provv. 24/4/2024, n. 245, in www.garanteprivacy.it, doc. web n. 10018813; Provv. 24/4/2024, n. 246, doc. web n. 10021452; Provv. 18/7/2023, n. 318, doc. web n. 9929053).

Si dispone, invece, l’archiviazione del procedimento in relazione alla prospettata violazione dell’art. 5, par. 1, lett. a) del Regolamento, a seguito degli elementi forniti dalla Società con le memorie difensive e nel corso dell’audizione.

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Per i suesposti motivi l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati personali effettuato dalla Società e segnatamente l’omesso riscontro alle istanze di accesso ai dati personali presentate dal reclamante nei termini previsti dall’ordinamento, risulta infatti illecito, nei termini su esposti, in relazione agli artt. 12 e 15 del Regolamento.

La violazione accertata nei termini di cui in motivazione non può essere considerata “minore”, tenuto conto della natura della violazione che ha riguardato l’esercizio dei diritti dell’interessato, della gravità e della durata della violazione stessa, del grado di responsabilità e della maniera in cui l'autorità di controllo ha preso conoscenza della violazione (v. Considerando 148 del Regolamento).

L’Autorità ha altresì tenuto conto del livello medio di gravità della violazione alla luce di tutti i fattori rilevanti nel caso concreto, e in particolare la natura, la gravità e la durata della violazione, tenendo in considerazione la natura, l'oggetto o la finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito.

L’Autorità ha anche preso in considerazione i criteri relativi al carattere doloso o colposo della violazione e le categorie di dati personali interessate dalla violazione nonché la maniera in cui l'autorità di controllo ha preso conoscenza della violazione (v. art. 83, par. 2 e Considerando 148 del Regolamento).

Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 12 e 15 del Regolamento comporta l’applicazione della sanzione amministrativa prevista dall’art. 83 del Regolamento.

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83 del Regolamento, mediante adozione di un’ordinanza ingiunzione (art. 18, l. 24.11.1981, n. 689), in relazione al trattamento dei dati personali posto in essere da CI & DI Food s.r.l. – società a responsabilità limitata con socio unico, di cui è stata accertata l’illiceità nei termini sopra esposti.

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

a) in relazione alla natura della violazione questa ha riguardato fattispecie punite più severamente ai sensi dell’art. 83, par. 5 del Regolamento (diritti degli interessati); in relazione alla gravità della violazione è stata presa in considerazione la natura del trattamento che ha riguardato l’esercizio del diritto di accesso ai propri dati personali; con riguardo alla durata della violazione è stata considerata rilevante la estesa durata della violazione stessa (più di un anno);

b) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare è stata presa in considerazione la condotta negligente della Società e il grado di responsabilità della stessa che non si è conformata alla disciplina in materia di protezione dei dati relativamente a una pluralità di disposizioni;

c) a favore della Società si è tenuto conto della cooperazione con l’Autorità di controllo, dell’invio seppur tardivo del riscontro all’istanza di accesso dopo aver appreso della presentazione di un reclamo al Garante, della circostanza che la violazione accertata ha riguardato il solo reclamante e dell’adozione nel corso del procedimento di misure volte ad agevolare l’esercizio dei diritti da parte degli interessati.

Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla Società con riferimento al bilancio abbreviato d’esercizio per l’anno 2023. Da ultimo si tiene conto dell’entità delle sanzioni irrogate in casi analoghi.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di CI & DI Food s.r.l. – società a responsabilità limitata con socio unico la sanzione amministrativa del pagamento di una somma pari ad euro 4.000 (quattromila).

In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante. Ciò in considerazione della tipologia delle violazioni accertate che hanno riguardato disposizioni relative all’esercizio dei diritti dell’interessato, che costituiscono espressione dei principi generali di correttezza e trasparenza.

TUTTO CIÒ PREMESSO, IL GARANTE

rileva l’illiceità del trattamento effettuato da CI & DI Food s.r.l. – società a responsabilità limitata con socio unico, in persona del legale rappresentante, con sede legale in Via delle Cerbaie, 70/72, Altopascio (LU), C.F. 02382190466, ai sensi dell’art. 143 del Codice, per la violazione degli artt. 12 e 15 del Regolamento;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento a CI & DI Food s.r.l. – società a responsabilità limitata con socio unico, di pagare la somma di euro 4.000 (quattromila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

quindi alla medesima Società di pagare la predetta somma di euro 4.000 (quattromila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981. Si rappresenta che ai sensi dell’art. 166, comma 8, del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato;

DISPONE

a) ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/20129, la pubblicazione dell’ordinanza ingiunzione sul sito web del Garante;

b) ai sensi dell’art. 154-bis, comma 3, del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web dell’Autorità;

c) ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazione e delle misure adottate in conformità all’art. 58, par. 2, del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 26 settembre 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei