[doc. web n. 10113080]

Provvedimento del 30 gennaio 2025

Registro dei provvedimenti
n. 39 del 30 gennaio 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. del 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. del 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il reclamo presentato al Garante ai sensi dell’articolo 77 del Regolamento in data 14 luglio 2023, con il quale il Sig. XX ha lamentato di non aver ricevuto riscontro, da parte di Italia Trasporto Aereo S.p.A. (di seguito anche “ITA”), all’istanza di esercizio dei diritti formulata ai sensi dell’art. 15 del Regolamento;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

PREMESSO

1. Il reclamo e l’attività istruttoria.

Con il reclamo presentato a questa Autorità il 14 luglio 2023, il Sig. XX ha segnalato di non aver ricevuto riscontro, da parte di Italia Trasporto Aereo S.p.A. (di seguito anche “ITA”), all’istanza di esercizio dei diritti formulata dallo stesso, il 1° giugno 2023, ai sensi dell’art. 15 del Regolamento.

Al riguardo, la scrivente Autorità ha avviato un’istruttoria, invitando, con nota del 6 settembre 2023, la predetta Società ad aderire all’istanza di esercizio dei diritti avanzata dal reclamante.

ITA, per il tramite di una comunicazione del 25 settembre 2023, ha precisato di aver già fornito riscontro all’interessato il 24 agosto 2023, rappresentando, con dichiarazione resa ai sensi e per gli effetti dell’art. 168 del D. Lgs. n. 196/2003 (di seguito “Codice”), di non aver rinvenuto nei propri sistemi, alla data di presentazione dell’istanza di accesso da parte del Sig. XX, alcuna operazione di trattamento di dati personali riferibili allo stesso.

In ordine alle tempistiche connesse al riscontro così fornito, né la sopra citata comunicazione del 24 agosto u.s., né la nota di risposta alla richiesta di informazioni del Garante, contengono elementi inerenti alle motivazioni connesse al ritardo del summenzionato riscontro all’interessato rispetto alle tempistiche prefissate dall’art. 12, par. 3 del RGPD, circostanza peraltro sollevata anche dal reclamante con le note integrative dell’8 e dell’11 settembre 2023.

Alla luce degli elementi così acquisiti, l’Ufficio ha pertanto ritenuto di avviare, ai sensi dell’art. 166, comma 5 del Codice, il procedimento per l’adozione dei provvedimenti correttivi e sanzionatori in ordine alla violazione del termine previsto dall’art. 12, par. 3 del Regolamento per il riscontro alle richieste di esercizio dei diritti presentate dagli interessati (artt. 12, par. 3 e 15 del Regolamento).

2. La notifica delle violazioni.

A seguito della notifica delle violazioni di cui agli artt. 15 e 12, par. 3 del Regolamento, trasmessa a Italia Trasporto Aereo S.p.A. con comunicazione del 7 dicembre 2023, la Società, con nota del 2 gennaio 2024, ha fatto pervenire i propri scritti difensivi, ulteriormente integrati in sede di audizione del 13 marzo 2024 e per il tramite di una successiva comunicazione del 22 marzo 2024.

Nell’ambito delle sopra menzionate memorie, Italia Trasporto Aereo S.p.A. ha rappresentato in primis che l’istanza del reclamante è stata istruita nell’ambito di “un più ampio filone di richieste che ITA ha ricevuto nel medesimo periodo e con l’intermediazione del medesimo studio legale” da parte di alcuni interessati “tutti riconducibili a un unico gruppo di lavoro che ha prestato le proprie attività (..) in favore di ITA e della precedente dirigenza”. Le richieste formulate dal Sig. XX, infatti, andavano ad “intersecare filoni di attività che, all’epoca (…), erano sotto lo scrutinio della magistratura penale”.

Considerata la complessità di tali casistiche, l’ufficio deputato a gestire le predette istanze ha ritenuto, “nell’intento di valutare le richieste nel loro complesso, (…) di avvalersi del termine di ulteriori 2 mesi, oltre ai primi 30 giorni, come previsto dall’art. 12, par. 3, GDPR”.

Per un errore materiale, tuttavia, “ITA non ha adeguatamente informato il Dott. XX di tale intenzione. Ciò è avvenuto a causa della concomitanza di una serie di circostanze quali il periodo estivo, con conseguenti assenze per ferie, e un’inedita mole di richieste provenienti da servizi automatizzati di esercizio dei diritti che hanno portato a un congestionamento vero e proprio nel processo di gestione di tali istanze. Cionondimeno (..) i presidi adottati dalla Società (..) hanno consentito, malgrado le circostanze rappresentate in precedenza, la gestione della Richiesta, la corretta valutazione del caso di specie e il bilanciamento tra esigenze di difesa e tutela dei diritti del Reclamante, con risposta finale inviata in data 24 agosto, prima del termine esteso di cui all’art. 12, par. 3, GDPR, sebbene in assenza della comunicazione al Dott. XX” (v. nota del 2 gennaio 2023, pagg. 4-5).

Al fine di prevenire il ripetersi in futuro di fatti analoghi a quello accaduto nel caso di specie, inoltre, Italia Trasporto Aereo S.p.A. ha introdotto una serie di misure tecniche e organizzative volte ad assicurare un più tempestivo riscontro alle istanze ricevute ai sensi degli artt. 15-22 del Regolamento (per quanto segue, v. nota del 22 marzo 2024). In particolare:

- è stata elaborata ed approvata una specifica procedura per la gestione delle istanze di cui agli artt. da 15 a 22 del Regolamento, corredata da puntuali istruzioni per i soggetti incaricati soprattutto sul versante delle tempistiche e del livello di attenzione da dedicare a ciascuna istanza;

- sono state effettuate sessioni di formazione e approfondimento in tale specifica tematica, il cui ultimo evento ha coinvolto anche le figure apicali della Società;

- con l’intenzione di avere un maggiore controllo su tutte le istanze ex artt. 15-22 del Regolamento ricevute e le relative tempistiche, è stato implementato uno strumento gestionale volto ad effettuare il monitoraggio delle pratiche aperte, delle relative scadenze e della fase di lavorazione;

- da ultimo, al fine di contrastare il fenomeno dell’invio massivo di richieste di esercizio dei diritti provenienti da strumenti automatizzati, è stato introdotto un sistema di gestione delle richieste di esercizio dei diritti, che, mediante l’invio di un primo template di risposta standard, agli indirizzi e-mail indicati nelle istanze c.d. automatizzate, consenta di individuare i soggetti realmente intenzionati ad esercitare i propri diritti.

In termini più generali, la Società ha altresì evidenziato il profondo impegno profuso dalla stessa, fin dalla sua costituzione, al rispetto della normativa di protezione dei dati personali, sottolineando come, in quest’ottica, di recente, il Responsabile della protezione dei dati sia stato nominato all’interno della compagine societaria affinché, proprio in ragione della sua qualifica di dipendente e della conseguenziale piena conoscenza della realtà operativa in cui sono posti in essere i trattamenti, possa assolvere con maggiore efficacia ai compiti che il Regolamento assegna a tale figura (v. verbale dell’audizione del 13 marzo 2024).

3. L’esito dell’istruttoria.

In primis si rappresenta che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

Tanto doverosamente premesso, all’esito dell’esame della documentazione agli atti e delle dichiarazioni rese dal titolare nel corso del procedimento, sono emersi, a carico di Italia Trasporto Aereo S.p.A. i profili di violazione di seguito esplicitati.

Relativamente al contenuto del riscontro fornito dal titolare all’istanza di accesso del reclamante, si osserva che, con riferimento a quanto dichiarato dalla Società in ordine all’assenza -all’atto della ricezione della richiesta dell’interessato- di trattamenti di dati personali riferiti al Sig. XX (cfr. nota del 25 settembre 2023), lo scrivente Ufficio prende atto delle dichiarazioni ivi rese da codesto titolare; dichiarazioni della cui veridicità quest’ultimo risponde penalmente ai sensi dell’art. 168 del Codice.

Per quanto invece concerne la questione inerente alle tempistiche connesse al riscontro fornito da ITA ai sensi degli artt. 15 e 12 del Regolamento, allo stato degli atti e della documentazione acquisita dall’Autorità, risulta accertato che la Società ha riscontrato le richieste dell’interessato oltre i termini previsti dalla disciplina di riferimento (art. 12, par. 3 del Regolamento) ed unicamente a seguito del reclamo presentato da quest’ultimo al Garante, nonché dell’invio di diversi solleciti provenienti dal Sig. XX.

Per tali ragioni, la condotta tenuta da Italia Trasporto Aereo S.p.A. ha violato il Regolamento e, in particolare, l’obbligo di fornire all’interessato, “senza giustificato ritardo e comunque al più tardi entro un mese dal ricevimento [dell’istanza]”, le informazioni richieste dall’interessato per il tramite di un’istanza di esercizio del diritto di accesso ai propri dati; tutto ciò comportando, dunque, la violazione degli art. 12, par. 3 e 15 del Regolamento.

La violazione delle disposizioni sopra richiamate comporta l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 5, lett. b), del Regolamento.

Al riguardo, con riferimento agli elementi da prendere in considerazione al fine di valutare se infliggere una sanzione amministrativa pecuniaria (art. 83, par. 2 del Regolamento), in primis si rileva che, in relazione alla natura e alla gravità della violazione, le operazioni di trattamento oggetto di contestazione non hanno avuto ad oggetto categorie particolari di dati personali e sono state effettuate limitatamente ad un unico evento e nei confronti di un unico interessato.  

Per quanto concerne l’elemento soggettivo del trasgressore, occorre tener conto della circostanza che la condotta sia stata posta in essere esclusivamente in ragione di un errore materiale dell’Ufficio preposto alla gestione della stessa che, pur avendo ritenuto di applicare alla stessa la proroga dei termini prevista dall’art. 12, comma 3 del Regolamento, non ha poi formalmente provveduto ad informare l’interessato di tale decisione.

L’errore è stato in particolare dovuto all’eccezionale mole di istanze che sono state ricevute dalla Società a causa di invii massivi effettuati da alcune piattaforme online che hanno agito in modo automatizzato congestionando la struttura deputata a gestire le predette richieste (v. par. 2 del presente procedimento).

Ai fini delle valutazioni dell’Autorità, rilevano altresì la collaborazione di Italia Trasporto Aereo S.p.A. con l’Autorità medesima nel corso del procedimento, l’assenza di precedenti violazioni per la medesima fattispecie a carico della stessa, nonché le sopra esposte circostanze relative alle azioni intraprese dal titolare del trattamento nel corso del procedimento dinanzi all’Autorità al fine di migliorare i propri sistemi di gestione delle istanze di esercizio dei diritti degli interessati (v. infra par. 2).

Da ultimo, si tiene conto dell’esiguità del ritardo con cui la Società ha riscontrato le richieste dell’interessato, consistente in soli 10 giorni solari.

La natura, la gravità e la durata della violazione, il carattere colposo della stessa, nonché gli ulteriori elementi sopra richiamati inducono a qualificare la fattispecie in esame quale “violazione minore”, ai sensi dell’art. 83, par. 2 e del cons. 148, del Regolamento.

Alla luce di tali considerazioni si ritiene, pertanto, sufficiente ammonire Italia Trasporto Aereo S.p.A, ai sensi dell’art. 58, par. 2, lett. b), del Regolamento, per la violazione delle sopra citate disposizioni in materia di protezione dei dati personali.

Preso atto della circostanza che la Società, nel corso del procedimento, ha provveduto a fornire idoneo riscontro all’istanza di accesso presentata dal reclamante, si ritiene che non ricorrano, allo stato degli atti, i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2 del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

a) dichiara, ai sensi degli artt. 57, par. 1, lett. f) del Regolamento, l’illiceità del trattamento effettuato da Italia Trasporto Aereo S.p.A., con sede in Roma, p. iva n. 15907661001, nei termini di cui in motivazione, per la violazione degli artt. 12, paragrafi 3 e 15 del Regolamento;

b) ammonisce, ai sensi dell’art. 58, par. 2, lett. b), del Regolamento, Italia Trasporto Aereo S.p.A. per aver omesso di fornire tempestivo riscontro all’istanza di accesso presentata dal reclamante in violazione degli artt. 12, par. 3 e 15 del Regolamento;

c) prevede, ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l'annotazione delle violazioni e delle misure adottate in conformità all'art. 58, par. 2 del Regolamento, nel registro interno dell'Autorità previsto dall'art. 57, par. 1, lett. u) del Regolamento.

a) dispone, ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 30 gennaio 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei