[doc. web n. 9474649]

Ordinanza ingiunzione nei confronti di Burgo Group S.p.A. - 9 luglio 2020

Registro dei provvedimenti
n. 145 del 9 luglio 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il dott. Antonello Soro, presidente, la dott.ssa Giovanna Bianchi Clerici e la prof.ssa Licia Califano, componenti, e il dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTE le “Linee guida per posta elettronica e internet”, adottate con provvedimento n. 13 del 1° marzo 2007 (pubblicato nella G.U. 10 marzo 2007, n. 58);

VISTO il reclamo presentato al Garante ai sensi dell’articolo 77 del Regolamento da XX concernente il trattamento di dati personali riferiti all’interessato effettuato da Burgo Group S.p.A.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

PREMESSO

1. Il reclamo nei confronti della società e l’attività istruttoria.

1.1 Con reclamo del 1° agosto 2018, presentato ai sensi dell’art. 77 del Regolamento nei confronti di Burgo Group S.p.A. (di seguito, la società), il Sig. XX (rappresentato e difeso dagli avvocati XX, XX e XX) ha chiesto all’Autorità di disporre il divieto del trattamento dei dati personali contenuti nell’account aziendale (XX) il cui accesso sarebbe stato inibito al reclamante e consentito ad altro personale della società (v. pp. 7 e ss. del reclamo). Con il reclamo è stato altresì lamentato che il direttore del personale, in data 3 novembre 2017, ha comunicato (mediante inoltro) a quattro soggetti (in forza presso XX) una conversazione avvenuta via email tra il reclamante ed il responsabile del settore XX della società contenente “informazioni relative alla […] condizione di disagio fisico e mentale sul posto di lavoro” riferite al reclamante, nonché “espressioni di grave scherno e di pubblica derisione”) (v. pp. 16-19 del reclamo). In particolare, in risposta ad una email del reclamante inviata l’1.11.2017 (per conoscenza ad altro collega, qualificato come XX di appartenenza del reclamante), contenente una “richiesta di spiegazioni” sull’affidamento di mansioni ritenute inferiori rispetto a quelle svolte in precedenza, il XX, dott. XX, inserendo in copia quattro colleghi e operando l’inoltro della precedente corrispondenza con il reclamante, ha fornito una risposta alla richiesta utilizzando espressioni oggetto di contestazione da parte del reclamante XX”; v. reclamo cit., All. 26).

Inoltre l’utenza mobile in uso “da molti anni” e registrata “in abbinamento al nome del lavoratore nel portale aziendale” sarebbe stata bloccata (v. pp. 14-15 del reclamo).

Con il reclamo è stato anche lamentato l’inidoneo riscontro fornito dalla società (con lettera datata 13 luglio 2018) alla istanza di accesso ed opposizione al trattamento (e contestuale cancellazione) avente ad oggetto i dati relativi allo stato di salute del reclamante trattati in occasione di un procedimento giurisdizionale conclusosi con ordinanza del Tribunale di Vicenza del 31 marzo 2018 su istanza del reclamante stesso (v. pp. 20-27 del reclamo). In relazione alle suesposte doglianze con il reclamo è stato altresì chiesto all’Autorità di voler disporre “il blocco e il divieto del trattamento dei dati […] relativi alla condizione personale e alla posizione lavorativa nonché allo stato di salute fisica e mentale” del reclamante; “la consegna e la trasmissione in forma intellegibile della corrispondenza personale presente nell’account [aziendale] e dei files personali ivi contenuti” nonché di “dare immediata comunicazione delle credenziali di accesso alla casella di posta […] essendo state dette credenziali modificate all’insaputa del dipendente” (v. pp. 27 – 28 del reclamo).

In allegato al reclamo è stata altresì prodotta copia dell’ordinanza 31 marzo 2018 del Tribunale ordinario di Vicenza, sezione lavoro, che nel pronunciarsi sul ricorso proposto dal reclamante nei confronti della società per demansionamento, ha ritenuto (nella fase cautelare) essere “indici rivelatori” di “emarginazione” del reclamante la “non commendevole risposta – peraltro offerta alla conoscenza dei colleghi del ricorrente – data dal direttore del personale […] al ricorrente che chiedeva spiegazioni circa le nuove mansioni assegnategli […]; risposta caratterizzata da scherno e derisione in danno del ricorrente […]”. Inoltre “un secondo indice […] è l’esclusione del ricorrente dalla possibilità di accedere alla posta elettronica aziendale che, di fatto, ha necessariamente implicato l’estromissione [dello stesso] dal gruppo di lavoro – il XX – di appartenenza” (v. All. 2 del reclamo).

1.2. La società, in risposta alla richiesta di elementi (del 9.10.2018) formulata dall’Ufficio, con nota del 16.11.2018 ha dichiarato che:

a. la società ha adottato un “Regolamento per l’utilizzo dei sistemi informatici aziendali”, datato 25.1.2017, reso noto a tutti i dipendenti, compreso il reclamante; allo stato “è in corso di redazione una versione aggiornata del Regolamento” (nota 16.11.2018, p. 2-4);

b. per l’accesso alla rete a ciascun utente sono attribuite credenziali di autenticazione costituite da un codice identificativo e da una password che deve essere modificata ogni 90 giorni; in caso di mancata modifica nei termini “l’accesso al dominio è inibito […] fino all’intervento del tecnico abilitato” (nota cit., p. 7);

c. con riferimento all’account aziendale assegnato al reclamante “non vi è stato alcun accesso a tale casella di posta elettronica e […] non è stato tratto alcun dato da tale casella […]” (nota cit., p. 8);

d. la società ha effettuato “la mera disattivazione della casella di posta elettronica aziendale per il periodo di malattia, senza svolgere alcun ulteriore trattamento dei dati del dipendente”, ciò come “conseguenza della normale e sistematica applicazione delle politiche di sicurezza, pienamente conformi al Disciplinare tecnico” (nota cit., p. 8);

e. “l’unico dato personale del reclamante relativo all’utilizzo del sistema di posta elettronica [è] l’indirizzo della casella concessa in uso […] in conseguenza del fatto che [...] tale casella viene utilizzata esclusivamente per lo svolgimento di attività lavorative” (nota cit., p. 8);

f. “il reclamante non svolge attività lavorativa dal giorno 5 novembre 2017, tranne una interruzione dal giorno 8 al giorno 10, in conseguenza del suo stato di malattia. In data 13 novembre il reclamante è posto nuovamente in malattia per la durata di 10 giorni, poi proseguita per ulteriori 10 giorni dal 23 novembre. Conseguentemente, in data 26 novembre, in considerazione del periodo di malattia, e secondo le procedure di sicurezza standard, l’account di rete del reclamante viene disattivato, come normale politica di sicurezza aziendale che prevede la riattivazione dello stesso al momento della ripresa delle attività lavorative” (nota cit., p. 8-9);

g. “il reclamante ha modificato per l’ultima volta la password di accesso al dominio di rete in data 7 settembre 2017; il periodo di validità della password è quindi terminato il giorno 6 dicembre 2017” (nota cit., p. 10);

h. il reclamante non ha formulato alcuna “specifica richiesta di accesso ai sensi dell’art. 15 del Regolamento”, inoltre “l’art. 12, comma 5 del Regolamento prevede che nel caso in cui [le richieste] dell’interessato sono manifestamente infondate o eccessive (anche per il loro carattere ripetitivo), il titolare […] può rifiutare di soddisfare la richiesta” (nota cit., p. 12); pertanto la società ha “ritenuto infondata la istanza […]” e inoltre “la casella di posta elettronica […] non contiene dati riferiti al reclamante, in forza dei limiti d’uso stabiliti [dal] Regolamento [interno]” (nota cit., p. 13);

i. quanto all’inoltro di precedenti comunicazioni con il reclamante da parte del dott. XX a quattro soggetti diversi dai partecipanti alla pregressa corrispondenza (XX, XX, XX e XX) in data 3.11.2017, la società rileva che “il tono dei messaggi intercorsi appare in generale professionale e contemporaneamente amichevole e non formale”, inoltre “nessun contenuto delle mail scambiate riguarda informazioni qualificabili come dati personali di tipo sensibile, ma esclusivamente informazioni relative allo svolgimento di attività lavorativa” (nota cit., p. 15);

j. l’inoltro della comunicazione è stato effettuato nei confronti di “soggetti aziendali direttamente coinvolti, per le funzioni aziendali svolte, nel processo aziendale in corso” (nota cit., p. 16);

k. il trattamento di dati relativi alla salute contenuti nei documenti depositati in giudizio “consiste al momento attuale nella sola conservazione di copia di tale documentazione”; “esauriti i possibili mezzi di riscorso giudiziario, i dati […] ed i relativi documenti saranno […] distrutti” (nota cit., p. 17).

1.3. Con controdeduzioni del 21 gennaio 2019, nel ribadire le proprie richieste, il reclamante ha − tra l’altro − rappresentato che:

a. la società, nel corso del rapporto di lavoro iniziato nel 1995, non ha fornito adeguata informativa relativa ai trattamenti effettuati mediante la posta elettronica aziendale, pertanto “il blocco all’accesso alla casella di posta è avvenuto in modo improvviso ed arbitrario”;

b. “a partire dal 29 maggio 2018 […] il reclamante ha ripetutamente […] richiesto di accedere ai propri dati personali per finalità di esercizio del proprio diritto di difesa in giudizio”;

c. non corrisponderebbe a verità che la comunicazione a soggetti terzi dello scambio di email avvenuta con il reclamante (avvenuta il 3 novembre 2017) sarebbe avvenuta in vista della predisposizione di una contestazione disciplinare, posto che il reclamante “mai […] è stato perseguito o punito [dalla società] sul piano disciplinare per i fatti descritti nella corrispondenza” citata; tale comunicazione sarebbe pertanto avvenuta “ai fini di pubblico scherno e di derisione, oltre che di minaccia […] di fronte ai colleghi”, come ritenuto dal Tribunale di Vicenza con l’ordinanza 31.3.2018 di accoglimento dell’istanza (v. precedente punto 1.1.).

1.4. Con successiva nota del 22 aprile 2019, inviata in replica alle controdeduzioni del reclamante, la società ha ulteriormente dichiarato che:

a. in via preliminare il reclamo sarebbe improcedibile (in relazione all’art. 145, comma 2, Codice per la protezione dei dati personali, testo vigente al momento della presentazione dell’istanza e comunque riprodotto nell’art. 140-bis dopo le modifiche apportate dal d.lgs. n. 101 del 2018) e inammissibile, in quanto “per la sua formulazione e le richieste in esso contenute […] esorbita la competenza per materia del Garante […]” (nota 22.4.2019, p. 3-9);

b. il Regolamento per l’utilizzo dei sistemi informatici è stato pubblicato in un’apposita cartella all’interno della Intranet aziendale in data 20 febbraio 2017 e la pubblicazione è stata notificata ai dipendenti (compreso il reclamante) “mediante email real time generata dal sistema contestualmente alla pubblicazione”; il regolamento interno è stato altresì “reso disponibile nella bacheca aziendale fin dal 2017” (nota cit., p. 12);

c. la società ritiene “eccessiva” (ex art. 12, comma 5 del Regolamento) la richiesta di accesso a “tutta la corrispondenza elettronica su supporto informatico” sia in quanto ciò “implicherebbe la messa a disposizione del reclamante di dati personali di soggetti terzi”, sia perché “sarebbero lesi anche i diritti dello stesso titolare [...] visto che la corrispondenza aziendale elettronica […] contiene informazioni commerciali eventualmente coperte da segreto aziendale [...]” (nota cit., p. 15);

d. l’istanza di accesso è altresì “eccessiva anche in riferimento alla possibile lesione dell’esercizio dei diritti [della società] in sede giudiziaria nell’ambito dei pendenti procedimenti giudiziari avviati dal reclamante contro l’azienda” (con riferimento agli artt. 15, comma 3, 23, comma 1, lett. j) del Regolamento e 2-undecies, comma 1, lett. e) e comma 3 del Codice) (nota cit., p. 15);

e. “è agevolmente dimostrabile che [la] politica di sicurezza generale decisa dall’azienda su proposta del reparto IT interessa ed è applicata […] anche ad altri dipendenti della [società] in malattia” (nota cit., p. 19);

f. con riferimento all’inoltro della email in data 3.11.2017, questo “si fonda sul legittimo interesse datoriale ai sensi dell’art. 6, comma 1, lett. f) del RGPD [in quanto] finalizzato – nella specifica vicenda – ad interessare i responsabili del Personale e del Legale, mettendoli a conoscenza via email di come si stavano sviluppando le relazioni con il [reclamante]” (nota cit., p. 20).

1.5. Il 31 luglio 2019 l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione alla società delle presunte violazioni del Regolamento riscontrate. Con nota del 7 agosto 2019 la società, rappresentata e difesa dall’avvocato XX, ha presentato scritti difensivi rappresentando che:

a. il reclamo deve essere dichiarato improcedibile e inammissibile ai sensi dell’art. 140-bis, comma 2, del Codice, visto che l’Autorità giudiziaria era stata già adita “per il medesimo oggetto e tra le stesse parti” come si evincerebbe, tra l’altro, dalla circostanza che il reclamante “non ha presentato alcuna formale istanza di accesso con espresso riferimento all’art. 15 RGPD”, nonché dal fatto che con il ricorso RG 1625/2018 del 29.12.2018 il reclamante “formula richieste e contestazioni aventi a specifico identico oggetto […] «profili di protezione dei dati» […]”, mentre si ribadisce l’inammissibilità delle richieste rivolte con il reclamo in quanto concretamente non riconducibili ai poteri attribuiti dall’ordinamento al Garante (nota 8.8.2019, p. 7-10);

b. quanto alla contestata violazione dell’art. 15 del Regolamento si ritiene che la portata del richiamato articolo non “si può estendere […] da diritto ad ottenere solo i propri dati fino a ricomprendere indistintamente […] informazioni contenute nella «corrispondenza in entrata e in uscita del dipendente»”, posto che questa comprende anche dati riferiti a terzi nonché “informazioni proprietarie aziendali del datore di lavoro circolanti su uno strumento – la mail – di sua esclusiva proprietà” (nota cit., p. 11);

c. “la contestata omissione informativa circa la disattivazione della casella di posta elettronica in costanza di malattia del reclamante appare fuori luogo poiché ogni lavoratore deve essere consapevole, al di là degli obblighi ex art. 13 RGPD, e sia perché ciò è scritto nel CCNL applicabile e nel contratto individuale di lavoro, sia perché in via generale ignorantia legis non excusat, che lo stato di malattia ex art. 2110 c.c. è impeditivo allo svolgimento delle normali prestazioni lavorative e all’utilizzo degli strumenti di lavoro (tra i quali la casella email […])” (nota cit., p. 12);

d. con riferimento all’inoltro dello scambio di email avvenuto il 3 novembre 2017, i dipendenti destinatari del reinoltro “non sono certamente soggetti esterni privi di qualsivoglia legittimazione ai quali, per puro diletto, il direttore del personale […] ha inoltrato le comunicazioni del reclamante”, posto che trattasi “di destinatari che proprio in funzione del ruolo, della funzione, delle mansioni e dei compiti attribuiti ai sensi dell’organigramma aziendale […] dovevano essere coinvolte e alle quali ben potevano essere inoltrate […] le comunicazioni poi contestate. È nelle loro qualifiche funzionali ed operative che risiede il “legittimo interesse” a inoltrare i messaggi quale base giuridica del trattamento” (nota cit., p. 13-15).

2. L’esito dell’attività istruttoria e del procedimento per l’adozione di provvedimenti correttivi e sanzionatori.

2.1. Premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”, all’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, emerge che la società ha effettuato trattamenti dei dati personali del reclamante che per alcuni profili configurano la violazione della disciplina applicabile in materia di protezione dei dati personali, nei termini di seguito specificati.

Preliminarmente si ritengono non integralmente accoglibili le eccezioni di improcedibilità ed inammissibilità del reclamo prospettate dalla società. Da un lato, infatti, la questione già devoluta all’autorità giudiziaria ordinaria − come emerge dall’ordinanza del Tribunale di Vicenza 31.3.2018 e dal decreto del Tribunale di Vicenza 30.10.2018, in atti − ha ad oggetto profili strettamente lavoristici, e in particolare la lamentata dequalificazione professionale del reclamante, e non profili di protezione dei dati. Conseguentemente l’autorità giudiziaria non è stata adita tra le stesse parti in relazione al “medesimo oggetto” (art. 140-bis, comma 2, del Codice). Né, parimenti, si ritiene accoglibile la prospettata inammissibilità in relazione alle istanze presentate al Garante con il reclamo, tutte astrattamente (ossia indipendentemente dagli esiti dell’accertamento da effettuarsi in concreto nel corso del procedimento) riconducibili ai compiti ed ai poteri ad esso devoluti dalla normativa vigente (v. artt. 57 e 58 del Regolamento).

Tuttavia, per quanto attiene alla comunicazione a terzi dei dati riguardanti l’interessato, come si dirà in seguito (v. successivo punto 2.4.) sussiste effettivamente una parziale sovrapposizione oggettiva.

2.2. Nel merito è emerso che la società ha rigettato oralmente l’istanza di accesso ai dati contenuti nella casella di posta elettronica formulata dal reclamante con lettera del 1° ottobre 2018 (v. All 32, nota del reclamante 21.1.2019), contenente “Atto di diffida alla consegna di documentazione”. L’istanza ha fatto seguito alla avvenuta “disattivazione” della casella di posta disposta dalla società mentre il reclamante era in malattia, non essendo ancora decorso il termine di validità della password (v. precedente punto 1.2., lett. f. e g.). Anche se formalmente l’istanza non è stata presentata con espresso riferimento all’art. 15 del Regolamento (vigente all’epoca dei fatti) è tuttavia inequivoca la richiesta di ottenere la “consegna […] della corrispondenza elettronica in entrata e in uscita del dipendente [reclamante] contenuta nella casella di posta XX”. A tale istanza la società ha risposto che, considerato che “in forza di regolamento aziendale […] nella casella di posta elettronica […], in quanto strumento di lavoro, debbono esservi esclusivamente dati aziendali, poiché è pendente il giudizio promosso […] avanti al Garante […], allo stato, riteniamo di dover attendere il giudizio dello stesso” (v. nota della società 15.10.2018 in All. 33, nota del reclamante 21.1.2019). La società ha altresì rappresentato, nel corso del procedimento davanti al Garante, che le istanze del reclamante sono state ritenute “manifestamente infondate o eccessive” anche perché l’accesso alla corrispondenza oggetto di richiesta comporterebbe “la messa a disposizione da parte del reclamante di dati personali di soggetti terzi” nonché eventuali “informazioni commerciali […] coperte da segreto aziendale” e la possibile lesione dei diritti della società nell’ambito dei procedimenti pendenti in sede giudiziaria (v. precedenti punti 1.2., lett. h., 1.4., lett. c. e d., 1.5., lett. b.).

In proposito si rappresenta, in primo luogo, che conformemente al costante orientamento della Corte europea dei diritti dell’uomo, la protezione della vita privata si estende anche all’ambito lavorativo (v. Niemietz c. Allemagne, 16.12.1992 (ric. n. 13710/88), spec. par. 29; Copland v. UK, 03.04.2007 (ric. n. 62617/00), spec. par. 41; Bărbulescu v. Romania [GC], 5.9.2017 (ric. n. 61496/08), spec. par. 70-73; Antović and Mirković v. Montenegro, 28.11. 2017 (ric. n. 70838/13), spec. par. 41-42).

Pertanto lo scambio di corrispondenza elettronica (estranea o meno all’attività lavorativa) su un account di tipo individualizzato con soggetti interni o esterni alla compagine aziendale configura un’operazione che consente di conoscere alcune informazioni personali relative all’interessato (v. "Linee guida del Garante per posta elettronica e Internet", 1.3.2007, in G. U. n. 58 del 10.3.2007, spec. punto 5.2 lett. b)), con conseguente applicazione delle disposizioni poste in materia di protezione dei dati personali anche con riferimento all’esercizio dei diritti. Con le richiamate Linee guida il Garante ha conseguentemente ritenuto che "il contenuto dei messaggi di posta elettronica –come pure i dati esteriori delle comunicazioni e i file allegati- riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente, la cui ratio risiede nel proteggere il nucleo essenziale della dignità umana e il pieno sviluppo della personalità nelle formazioni sociali" (punto 5.2 lett. b) e che ciò, trasposto in ambito lavorativo, comporta la possibilità che il lavoratore o soggetti terzi coinvolti (i cui diritti devono essere parimenti tutelati), possano vantare una legittima aspettativa di riservatezza su talune forme di comunicazione (v. in senso conforme, da ultimo, Provv. 4.12.2019, n. 216, in www.garanteprivacy.it, doc. web n. 9215890; v. altresì, sul punto, Provv. 5.3.2015, n. 136, doc. web n. 3985524).

Preso atto, pertanto, che la società, da un lato ha fornito riscontro alle istanze dell'interessato e, dall’altro, ha dichiarato di non aver acceduto alla casella di posta assegnata al reclamante, si ritiene tuttavia che la società titolare del trattamento, in ragione dell’art. 15 del Regolamento, vigente all’epoca della presentazione dell’istanza di accesso, in base al quale “L’interessato ha il diritto di ottenere […] l’accesso ai dati personali” che lo riguardano, debba consentire all’interessato l’accesso ai dati contenuti nel suo account di posta elettronica aziendale, eventualmente assistito da un perito che certifichi non vengano altresì trattati dati personali di terzi (v. punto 3).

2.3. È emerso, altresì, che la società ha disattivato, in data 29 novembre 2017, l’account assegnato al reclamante, dopo 22 giorni non consecutivi di malattia (secondo quanto dichiarato dalla società medesima), in attuazione di “procedure di sicurezza standard”, ossia nell’ambito della “politica di sicurezza decisa dall’azienda su proposta del reparto IT”. Tuttavia nell’ambito del “Regolamento per l’utilizzo dei sistemi informatici aziendali”, datato 25.1.2017, non vi è alcun riferimento a tale procedura, né la società ha prodotto altri documenti contenenti elementi informativi resi noti ai dipendenti relativi ad una disciplina riguardante l’accesso alla posta elettronica aziendale in costanza di malattia. Si osserva altresì che nonostante la società abbia dichiarato (v. precedente punto 1.2., lett. d. e f.) che tale “politica di sicurezza” sarebbe stata applicata anche ad altri dipendenti (durante il periodo di malattia), nel corso del procedimento non ne sono state fornite evidenze. Non appare, infine, provato che la consultazione della posta elettronica sul proprio account non sia consentita al dipendente assente per malattia in base “al CCNL applicabile e [al] contratto individuale di lavoro” (v. precedente punto 1.5., lett. c.).

Si ritiene, pertanto, che la società ha omesso di informare il dipendente − e, secondo quanto dichiarato, tutt’ora omette di informare gli altri dipendenti in stato di malattia − relativamente a tale specifica modalità di trattamento, in violazione di quanto previsto dall’art. 13 del Codice (testo vigente all’epoca dei fatti), in base al quale il titolare è tenuto a fornire all’interessato - prima dell’inizio dei trattamenti - tutte le informazioni relative alle caratteristiche essenziali del trattamento (si veda, da ultimo, il provv. 19.5.2020, n. 91). Nell’ambito del rapporto di lavoro l’obbligo di informare il dipendente è altresì espressione del principio generale di correttezza dei trattamenti (v. art. 11, comma 1, lett. a) del Codice, testo vigente all’epoca dei fatti). Si osserva, altresì, che le richiamate fattispecie corrispondono, nell’ordinamento vigente, agli artt. 5, par. 1, lett. a) e 13 del Regolamento.

2.4. È emerso, infine, che il direttore del personale, in data 3 novembre 2017, ha inoltrato a quattro dipendenti in forza presso l’ufficio XX, l’ufficio del personale e l’ufficio legale, lo scambio di alcune email avvenuto con il reclamante ed il responsabile del settore XX della società a partire dal 2 ottobre 2017 (v. All. 26, reclamo 1.8.2018).

Tale profilo è stato però eviscerato dal Tribunale di Vicenza nei medesimi termini e si accoglie pertanto in parte qua l’eccezione preliminare del titolare.

2.5. All’esito dell’istruttoria non sono emersi elementi di illiceità in relazione all’utilizzo dell’utenza mobile nonché relativamente alla conservazione di dati, anche riferiti allo stato di salute del reclamante, utilizzati nel procedimento giurisdizionale pendente, posto che la società ha dichiarato che il relativo trattamento consiste, allo stato, nella “sola conservazione di copia” della documentazione e una volta “esauriti i possibili mezzi di ricorso giudiziario, i dati […] ed i relativi documenti saranno […] distrutti” (v. precedente punto 1.2., lett. k.).

3. Conclusioni: illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Per i suesposti motivi, il trattamento dei dati personali riferiti al reclamante effettuato dalla società attraverso  l’omessa informativa circa le procedure che il titolare si riserva di adottare in relazione alla gestione della posta elettronica aziendale in costanza di malattia,  risulta illecito nei termini suesposti in relazione agli artt. 11, comma 1, lett. a) , e 13  del Codice (testo anteriore alle modifiche apportate con il d. lgs. 10.8.2018, n. 101; tali disposizioni corrispondono, nell’ordinamento vigente, agli artt. 5, par. 1, lett. a) e 13 del Regolamento).

Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2, lett. c), del Regolamento, alla luce delle circostanze del caso concreto:

- si ingiunge al titolare di soddisfare la richiesta del reclamante di accedere all’account di posta elettronica assegnato nell’ambito del rapporto di lavoro, attraverso le proprie credenziali, eventualmente assistito da un perito che certifichi non vengano altresì trattati dati personali di terzi;

-  si dispone, in aggiunta alle misure correttive, una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) Regolamento).

4. Ordinanza ingiunzione.

Ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166, commi 3 e 7 del Codice, il Garante dispone l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, mediante adozione di un’ordinanza ingiunzione (art. 18, l. 24.11.1981, n. 689), in relazione ai trattamenti dei dati personali riferiti al reclamante effettuati dalla società l’omessa informativa circa le procedure che il titolare si riserva di adottare in relazione alla gestione della posta elettronica aziendale in costanza di malattia di cui è risultata accertata l’illiceità, nei termini su esposti, in relazione agli artt. 11, comma 1, lett. a) e d), 13 del Codice (testo anteriore alle modifiche apportate con il d. lgs. 10.8.2018, n. 101, disposizioni che corrispondono, nell’ordinamento vigente, agli artt. 5, par. 1, lett. a)  e 13 del Regolamento), all’esito del procedimento di cui all’art. 166, comma 5 svolto in contraddittorio con il titolare del trattamento (v. precedente punto 1.5).

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, considerato che le accertate violazioni dell’art. 5 del Regolamento sono da considerarsi più gravi, in quanto relative alla inosservanza di una pluralità di principi di carattere generale applicabili al trattamento di dati personali, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto per la predetta violazione. Conseguentemente si applica la sanzione prevista dall’art. 83, par. 5, lett. a) del Regolamento, che fissa il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore.

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

a) in relazione alla natura, gravità e durata della violazione è stata considerata rilevante la natura della violazione che ha riguardato i principi generali del trattamento; le violazioni hanno anche riguardato le disposizioni  sull’informativa;

b) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare è stata presa in considerazione la negligente condotta della società e il grado di responsabilità della stessa che non si è conformata alla disciplina in materia di protezione dei dati relativamente ad una pluralità di disposizioni;

c) la società ha complessivamente cooperato con l’Autorità nel corso del procedimento;

d) l’assenza di precedenti specifici (relativi alla stessa tipologia di trattamento) a carico della società.

Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla società con riferimento al bilancio d’esercizio per l’anno 2018. Da ultimo si tiene conto della comminatoria edittale disposta, nel regime previgente, per gli illeciti amministrativi corrispondenti e dell’entità delle sanzioni irrogate in casi analoghi.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Burgo Group S.p.A. la sanzione amministrativa del pagamento di una somma pari ad euro 20.000,00 (ventimila).

In tale quadro si ritiene, altresì, in considerazione della natura e della gravità delle violazioni accertate, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante.

Si ritiene, altresì, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

dichiara ai sensi degli artt. 57, par. 1, lett. f) e 83 del Regolamento, nonché dell’art. 166 del Codice, l’illiceità del trattamento effettuato nei termini di cui in motivazione da Burgo Group S.p.A. per la violazione degli artt. 11, comma 1, lett. a), e 13 del Codice vigenti all’epoca in cui il trattamento è iniziato e ora corrispondenti, nell’ordinamento vigente, agli artt. 5, par. 1, lett. a), e 13 del Regolamento);

INGIUNGE

ai sensi dell’art. 58, par. 2, lett. c) Regolamento, a Burgo Group S.p.A. di soddisfare la richiesta di accesso ai dati contenuti nell’account di posta elettronica assegnato al reclamante nell’ambito del rapporto di lavoro, eventualmente assistito da un perito che certifichi non vengano altresì trattati dati personali di terzi;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i), del Regolamento a Burgo Group S.p.A, in persona del legale rappresentante pro-tempore, con sede legale in Via Piave 1, Altavilla Vicentina (VI), c.f.: 13051890153, di pagare la somma di euro 20.000,00 (ventimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

altresì alla medesima Società di pagare la somma di euro 20.000,00 (ventimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1/9/2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166. comma 7, del Codice e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante. Richiede a Burgo Group S.p.A. di comunicare quali iniziative siano state intraprese al fine di dare attuazione alle misure correttive impartite con il presente provvedimento e di fornire comunque riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice entro il termine di giorni 90 dalla notifica del presente provvedimento; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 9 luglio 2020

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia