Provvedimento del 29 ottobre 2020 [9487946]
Provvedimento del 29 ottobre 2020 [9487946]
Condividi[doc. web n. 9487946]
Provvedimento del 29 ottobre 2020
Registro dei provvedimenti
n. 203 del 29 ottobre 2020
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Claudio Filippi, vice segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, “Regolamento”);
VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);
VISTO il reclamo presentato al Garante ai sensi dell’articolo 77 del Regolamento in data 19 aprile 2019 dalla sig.ra XX, tramite l’Avv. XX, nei confronti di Synaptic s.r.l.s. (di seguito, “la società”), con il quale sono state lamentate presunte violazioni del Regolamento con riferimento al diritto di accesso dell’interessata all’indicazione del nome del responsabile del trattamento dei dati personali relativi alla reclamante e al diritto alla cancellazione dei dati stessi;
VISTO, in particolare, che la reclamante ha rappresentato di aver inviato alla società, in data 19 marzo 2019, istanza di accesso al “nome del responsabile del trattamento dei dati personali” e di successiva cancellazione dei dati riferiti alla medesima e di aver ricevuto un mero riscontro formale da parte della società di presa in carico della richiesta in data 26 marzo 2019;
VISTA la nota del 25 settembre 2019 con la quale l’Autorità ha invitato la società a fornire riscontro a quanto richiesto nel reclamo, inviata nuovamente in data 9 dicembre 2019 considerato il mancato riscontro da parte della società;
VISTA la nota di riscontro del 24 dicembre 2019 con la quale la società ha dichiarato che:
“alla richiesta dell’[avvocato della reclamante] datata 19 marzo 2019 […] abbiamo inizialmente risposto il 26 marzo 2019. In quella prima risposta abbiamo affermato che la sua richiesta era stata presa in carico” (v. nota 24.12.2019 cit., p. 1);
“la successiva assenza di seguito è stata dovuta alla mancata comprensione tra noi e lo studio legale MDA [che rappresenta la società Costampress S.p.A. e che ha affidato l’incarico della redazione di una relazione tecnica]” (nota cit., p. 1);
infatti, in proposito, si rappresenta che “Synaptic è stata contattata il 31 ottobre 2018 dallo studio legale MDA e dal cliente Costampress s.p.a. per [una] consulenza” (v. nota cit., p. 2);
per l’espletamento della consulenza “Synaptic ha ricevuto un notebook aziendale […] marca HP [dispositivo già in uso a soggetto diverso dalla reclamante] e ha proceduto alle analisi richieste dall’incarico, utilizzando strumentazioni e procedure nel pieno rispetto di quanto previsto dalla legge 48/2008, delle norme ISO/IEC e dalle best practice internazionali” (v. nota cit., p. 2);
“al termine delle nostre analisi abbiamo consegnato i risultati al cliente e allo studio legale […] e alla luce delle indicazioni ricevute abbiamo stilato la relazione” (v. nota cit., p. 3);
VISTO che in data 11 marzo 2020 l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione al titolare del trattamento delle presunte violazioni del Regolamento riscontrate, relativamente all’art. 12 del Regolamento con riferimento agli artt. 15 e 17 del Regolamento;
VISTA la nota di riscontro del 13 giugno 2020 con la quale la società, tramite l’Avv. XX, ha dichiarato che:
- “a seguito del conferimento di incarico di Consulente Tecnico di Parte dd. 31 ottobre 2018 ricevuto dal difensore fiduciario e procuratore speciale della Costampress S.p.A. […] la Synaptic s.r.l.s. veniva incaricata delle operazioni di trattamento dei dati indispensabili per lo svolgimento [di una] consulenza connessa alle indagini difensive anche preventive nell’interesse della medesima società” (nota 13.06.2020, p. 3);
- “la Synaptic s.r.l.s. ha trattato i dati personali contenuti nel PC indicato nell’incarico sottoscritto sulla scorta di istruzioni ricevute dal legale e dal responsabile IT di Costampress S.p.A., completando gli accertamenti, elaborando una relazione sul contenuto del PC che trasmetteva in maniera protetta, restituendo i supporti originali e cancellando in maniera sicura le copie forensi del Personal Computer dai propri archivi” (nota cit., p. 3);
- “in forza della nomina a Consulente Tecnico di parte, la Synaptic s.r.l.s. ha trattato i dati personali della [reclamante] in qualità di componente di un team difensivo assoggettato a precisi doveri […] e vincoli derivanti dalla disciplina delle indagini difensive inclusi quelli relativi al segreto professionale” (nota cit., p. 4);
- “nell’espletamento del proprio incarico la Synaptic s.r.l.s. non era solo tenuta all’espletamento dei doveri derivanti dalla nomina di consulente tecnico di parte, incluso quello relativo al segreto professionale […], ma altresì al rispetto di precisi vincoli di riservatezza e confidenzialità” (nota cit., p. 4);
- Synaptic s.r.l.s. “si è limitata a dare formale riscontro alla richiesta di accesso ai propri archivi da parte di un soggetto coinvolto nelle indagini difensive [la reclamante] e ciò nell’espletamento dei doveri derivanti dalla nomina di consulente tecnico di parte attenendosi alle norme sulle indagini difensive, incluse quelle relative al segreto professionale e nel rispetto di un preciso vincolo di riservatezza […] che le precludevano di fornire indicazioni sui contenuti dei propri archivi” (nota cit., p. 4, 5);
- “quanto ai profili di responsabilità attinenti al ruolo svolto rispetto al contesto della disciplina sul trattamento dei dati personali la Synaptic s.r.l.s. ha trattato i dati personali contenuti nel pc in qualità di designato al trattamento dei dati personali (cfr. Regole deontologiche relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria pubblicate ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101 – 19 dicembre 2018 [9069653]” (nota cit., p. 5);
- “l’attività di assistenza alle indagini difensive si è svolta nel quadro delle istruzioni impartite dal [difensore fiduciario e procuratore speciale della Costampress S.p.A.] e della Costampress S.p.A. tramite il responsabile IT (Titolari del trattamento) […] e con le modalità di trattamento dei dati ben definite nell’ambito della gestione della propria attività, note e condivise dal legale e dalla Costampress S.p.A.” (nota cit., p. 5);
- “ricevuta in data 19 marzo 2019 l’istanza di accesso ai propri archivi con cancellazione degli eventuali dati personali ai sensi degli artt. 15 e 17 del Regolamento […], da parte della [reclamante], la Synaptic s.r.l.s. si è limitata a confermare la presa in carico, immediatamente comunicandola [al] difensore legale e procuratore speciale della Costampress S.p.A. affinché potesse darne seguito e opportuno e doveroso riscontro” (nota cit., p. 5);
- “non ricevendo alcuna disposizione né istruzione […] la Synaptic s.r.l.s. si atteneva agli obblighi derivanti dal proprio ruolo di consulente tecnico […] nonché ai vincoli di riservatezza e confidenzialità” (nota cit., p. 5);
- “la violazione delle norme contenute nel Regolamento […] consiste in un colposo ritardo con cui non è stata data risposta a un’istanza attinente ai dati personali riferibili a una singola persona, circostanza che non ha generato danno alcuno alla persona stessa” (nota cit., p. 8);
- “si chiede inoltre che […] venga valutato l’elevato grado di cooperazione mantenuto dalla Synaptic s.r.l.s. nei confronti dell’Autorità Garante durante l’intera attività istruttoria” (nota cit., p. 8);
VISTO, infine, che in sede di audizione richiesta dalla società e tenutasi il 9 luglio 2020, quest’ultima ha dichiarato che:
- “dal tenore degli incarichi ricevuti Synaptic non avrebbe potuto dare seguito autonomamente alle istanze ricevute senza violare vincoli derivanti da obblighi di riservatezza e segreto professionale, anche in ragione della pendenza di indagini difensive”;
- “al momento del ricevimento dell’istanza di accesso da parte della [reclamante] l’intera documentazione attinente l’indagine forense era già stata trasmessa ai committenti e l’azienda Synaptic aveva mantenuto presso i propri archivi solo e soltanto la copia della relazione tecnica peraltro depositata presso la Procura di Venezia”, in relazione ad un procedimento allo stato ancora pendente;
- “si sottolinea la natura di microimpresa di Synaptic che è una società a responsabilità limitata in regime semplificato assimilabile a impresa individuale che basa la propria attività sul lavoro e sulle competenze tecnico-informatiche del legale rappresentante, priva di organizzazione e struttura; infatti non ci sono bilanci depositati in ragione della natura della società stessa, per quanto riguarda il fatturato si può fare riferimento solo al volume d’affari per come risultante dalla somma degli importi desumibili dalle fatture emesse”;
CONSIDERATO che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”;
RILEVATO che, in base alle risultanze dell’istruttoria, è emerso che la società non ha dato riscontro, se non meramente formale e ingenerando l’aspettativa da parte dell’interessato di una imminente risposta, all’istanza di accesso e di successiva cancellazione dei dati personali presentata in data 19 marzo 2019 dalla reclamante, in ragione della “mancata comprensione tra [la società] e lo studio legale [che rappresenta il committente]”, della mancanza di specifiche istruzioni impartite da parte della committente nonché per non pregiudicare l’esercizio del diritto di difesa della committente stessa;
RILEVATO che in base all’art. 4, par. 1, n. 7) del Regolamento il titolare del trattamento è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento dei dati personali”;
CONSIDERATO che le “Regole deontologiche relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria” pubblicate sulla Gazzetta Ufficiale n. 12 del 15 gennaio 2019 ai sensi dell’art. 20, comma 4, del d. lgs. 10 agosto 2018, n. 101 - dalla pubblicazione delle quali ha cessato di trovare applicazione il “Codice di deontologia e buona condotta per il trattamento dei dati personali effettuato per svolgere investigazioni difensive o per far valere o difendere un diritto in sede giudiziaria” -, trovano applicazione anche nei confronti di “chiunque tratti dati personali per [svolgere investigazioni difensive o per far valere o difendere un diritto in sede giudiziaria], in particolare […] altri liberi professionisti o soggetti che in conformità alla legge presentino, su mandato, attività di assistenza o consulenza per le medesime attività”;
CONSIDERATO, altresì, che le predette Regole deontologiche (art. 7) specificano che le disposizioni contenute negli articoli da 2 a 5 si applicano anche, salvo quanto applicabile per legge unicamente all’avvocato, a “liberi professionisti che prestino o su mandato dell’avvocato o unitamente ad esso o, comunque, nei casi e nella misura consentita dalla legge, attività di consulenza e assistenza per fare valere o difendere un diritto in sede giudiziaria o per lo svolgimento delle investigazioni difensive” e che il comma 2 dell’art. 2 delle predette Regole deontologiche precisa che “le decisioni relativamente [alle modalità di trattamento] sono adottate dal titolare del trattamento il quale resta individuato, a seconda dei casi, in: a) un singolo professionista; b) una pluralità di professionisti, codifensori della medesima parte assistita o che, anche al di fuori del mandato, siano stati comunque interessati a concorrere all’opera professionale quali consulenti o domiciliatari; c) un’associazione tra professionisti o una società di professionisti”;
RILEVATO che nel provvedimento contenente le “Linee guida in materia di trattamento di dati personali da parte dei consulenti tecnici e dei periti ausiliari del giudice e del pubblico ministero” (adottato dall’Autorità il 26 giugno 2008 e pubblicato in Gazzetta Ufficiale n. 178 del 31 luglio 2008) il Garante ha individuato specifiche indicazioni applicabili anche ai trattamenti di dati effettuati da soggetti nominati consulenti tecnici dalle parti private con riferimento a procedimenti giudiziari;
RILEVATO che l’art. 12, par. 3, del Regolamento, in attuazione dell’art. 5, par. 1, lett. a) del Regolamento (correttezza e trasparenza) statuisce che “il titolare del trattamento fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, entro un mese dal ricevimento della richiesta stessa” e che il paragrafo 4 del medesimo articolo precisa, inoltre, che “se non ottempera alla richiesta dell’interessato, il titolare del trattamento informa l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale”;
RILEVATO, inoltre, che l’art. 2-undecies, comma 3, del Codice precisa che “l’esercizio dei diritti può, in ogni caso, essere ritardato, limitato o escluso con comunicazione motivata e resa senza ritardo all’interessato, a meno che la comunicazione possa compromettere la finalità della limitazione, per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata, tenuto conto dei diritti fondamentali e dei legittimi interessi dell’interessato, al fine di salvaguardare [l’interesse allo svolgimento delle investigazioni difensive o all’esercizio di un diritto in sede giudiziaria]”;
RILEVATO, altresì, che in base all’art. 15 del Regolamento “l’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle […] informazioni [indicate nello stesso articolo 15]”;
RILEVATO, inoltre, che in base all’art. 17 del Regolamento “l’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali” qualora ricorra uno dei motivi espressamente previsti, in particolare se i dati “non sono più necessari rispetto alle finalità per cui sono stati raccolti o altrimenti trattati”;
PRESO ATTO, con riguardo alla richiesta della reclamante di “ingiungere al titolare del trattamento di soddisfare le richieste di esercizio dei diritti di cui agli artt. da 15 a 22 del Regolamento e/o di conformare i trattamenti alle disposizioni vigenti in materia anche nei confronti del responsabile del trattamento, ove previsto” che la società ha dichiarato che “al momento del ricevimento dell’istanza di accesso da parte della [reclamante] l’intera documentazione attinente l’indagine forense era già stata trasmessa ai committenti e l’azienda Synaptic aveva mantenuto presso i propri archivi solo e soltanto la copia della relazione tecnica peraltro depositata presso la Procura di Venezia” (v. audizione del 9.7.2020);
RITENUTO, pertanto, che, relativamente all’istanza di accesso, non vi siano i presupposti per l’adozione di provvedimenti da parte dell’Autorità considerato che la società ha fornito, in proposito, un sufficiente riscontro nel corso del procedimento circa i trattamenti effettuati sui dati della reclamante, dichiarando, inoltre, di essere allo stato in possesso esclusivamente di una copia della relazione redatta e considerato, inoltre, che quest’ultima attualmente è depositata all’interno di un giudizio pendente dinanzi all’autorità giudiziaria e che la stessa reclamante è in possesso di copia della relazione redatta dalla società (documento presentato, infatti, come allegato al reclamo del 19 aprile 2019);
RITENUTO che, relativamente all’istanza di cancellazione ed in relazione alla richiesta di “imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento” non vi siano i presupposti per l’adozione di provvedimenti correttivi da parte dell’Autorità, considerato che la società ha dichiarato di detenere solo una copia della relazione redatta e che, essendo in corso un procedimento giudiziario nel quale è stata prodotta la predetta relazione, è necessario, per finalità di difesa in giudizio, che la società detenga la stessa relazione;
RITENUTO che, sebbene si ravvisi una violazione dell’art. 12, par. 3 e 4 con riferimento agli artt. 15 e 17 del Regolamento in relazione alla mancanza di un tempestivo ed effettivo riscontro all’interessato da parte di Synaptic s.r.l.s. e che, quindi, in relazione a tale illiceità del trattamento, il reclamo sia fondato, le richiamate circostanze inducono a qualificare il caso come “violazione minore”, ai sensi dell’art. 83, par. 2, e del considerando 148 del Regolamento;
RITENUTO, tuttavia, che, relativamente al caso in esame occorra ammonire il titolare del trattamento, ai sensi degli artt. 57, par. 1, lett. f) e 58, par. 2, lett. b), del Regolamento, sulla necessità di fornire riscontro ed agevolare l’esercizio dei diritti degli interessati riconosciuti in materia di protezione dei dati personali come sopra rappresentato;
RITENUTO che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante;
ESAMINATA la documentazione in atti;
VISTE le osservazioni formulate dal vice segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE il prof. Pasquale Stanzione;
TUTTO CIÒ PREMESSO, IL GARANTE
a. ai sensi dell’art. 57, par. 1, lett. f), del Regolamento dichiara illecita la condotta tenuta da Synaptic s.r.l.s. e descritta nei termini di cui in motivazione, consistente nella violazione dell’art. 12, par. 3 e 4 del Regolamento con riferimento agli artt. 15 e 17 del Regolamento, in relazione al mancato effettivo riscontro alla istanza di esercizio dei diritti presentata dalla reclamante;
b. ai sensi dell’art. 58, par. 2, lett. b), del Regolamento ammonisce Synaptic s.r.l.s. sulla necessità di fornire riscontro tempestivamente alle istanze relative all’esercizio dei diritti presentate dagli interessati, anche nel caso in cui ritenga di non ottemperare alle richieste, e di agevolare l’esercizio stesso dei diritti degli interessati riconosciuti in materia di protezione dei dati personali come rappresentato in motivazione;
c. ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.
Roma, 29 ottobre 2020
IL PRESIDENTE
Stanzione
IL RELATORE
Stanzione
IL VICE SEGRETARIO GENERALE
Filippi
