g-docweb-display Portlet

Provvedimento del 27 gennaio 2022 [9750219]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9750219]

Provvedimento del 27 gennaio 2022

Registro dei provvedimenti
n. 19 del 27 gennaio 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presentato ai sensi dell’art. 77 del Regolamento in data 26 settembre 2020 dal Sig. XX nei confronti di Tim S.p.A.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. Il reclamo nei confronti della società e l’attività istruttoria.

1.1. Con reclamo del 26 settembre 2020 il Sig. XX ha lamentato presunte violazioni del Regolamento da parte di Tim S.p.A. (di seguito, la società), con riferimento al mancato riscontro alla richiesta di accedere ai dati personali trattati nell’ambito del rapporto di lavoro e conservati nel proprio fascicolo personale.

In particolare il reclamante ha presentato una prima istanza di accesso, in data 10 settembre 2019, mediante comunicazione e-mail rivolta ad un referente del settore Human resources della società, avente ad oggetto “i dati presenti nel proprio fascicolo personale e tutti quelli utilizzati per l’elaborazione delle schede di valutazione e degli «skill professionali»”, cui è stata fornita, in data 8 novembre 2019, una risposta meramente interlocutoria da parte della società (“sarà nostra cura provvedere al più presto a dare un riscontro alle sue richieste”). In assenza di riscontro nel merito il reclamante, in data 3 marzo 2020, ha inviato una nuova istanza di accesso, ai sensi dell’art. 15 del Regolamento, sia al responsabile del settore “Real Estate Centro\ Maintenance & Facilities Centro” del Gruppo Telecom Italia che al Responsabile della Protezione dei dati personali della società. Anche in relazione alla seconda istanza, secondo quanto lamentato, la società non ha fornito riscontro, né ha rappresentato all’interessato “eventuali motivi dell'inottemperanza come richiesto dall’art. 12, par. 4 del Regolamento”. In relazione al mancato riscontro della società all’esercizio del diritto di accesso ai dati personali, il reclamante ha chiesto all’Autorità di accertare la violazione degli artt. 5, par. 1, lett. a), 12 e 13 del Regolamento e di adottare i provvedimenti di competenza nei confronti di Tim S.p.A.

1.2. La società, nel fornire riscontro all’invito ad aderire dell’Autorità del 2 marzo 2021, con nota del 2 aprile 2021 ha dichiarato che:

a. a seguito dell’invito rivolto dal Garante si intende “aderire alle richieste del segnalante”;

b. successivamente al ricevimento dell’istanza di accesso presentata dal reclamante in data 10 ottobre 2019, “la competente funzione di Gestione Human Resources (di seguito HR), in data 8 novembre 2019, inviava all’interessato un riscontro interlocutorio con il quale informava il dipendente del fatto che il recupero delle informazioni allo stesso riferite era complesso, che non sarebbe avvenuto in tempi brevi e comunque nel rispetto dei termini previsti dalla normativa di riferimento”;

c. “durante le attività propedeutiche alla redazione del riscontro richiesto, il 1° dicembre 2019 vi è stato un avvicendamento del gestore HR di riferimento […] che non ha favorito la prosecuzione in continuità delle citate attività. Purtroppo, per tali circostanze non risulta fornito il riscontro al [reclamante]”;

d. “in data 3 marzo 2020 [il reclamante] inviava alla casella mail del Data Protection Officer di TIM riservata ai dipendenti un’ulteriore richiesta di accesso ai dati personali”;

e. tale ulteriore istanza “veniva inoltrata al gestore HR competente in data 4 marzo 2020 e contestualmente veniva fornito un riscontro al [reclamante] per confermargli la ricezione e la presa in carico della richiesta stessa. Purtroppo, neppure tale richiesta ha ricevuto la giusta evidenza a causa della grande quantità di comunicazioni pervenute a mezzo posta elettronica al gestore HR competente nel periodo di inizio dell’emergenza Covid-19 che ha obbligato anche il personale HR di TIM a lavorare in modalità smart working”;

f. dopo il ricevimento della nota da parte del Garante “a seguito del reclamo […], la competente Funzione di gestione HR ha provveduto ad inviare, all’indirizzo email aziendale in data 31-3-2021, il riscontro al [reclamante] (cfr. all. 1) fornendo le informazioni richieste nonché […] la copia della documentazione presente nel fascicolo personale del dipendente”.

2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e le deduzioni della società.
Il 16 luglio 2021 l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione alla società delle presunte violazioni del Regolamento riscontrate, con riferimento agli artt. 12 e 15 del Regolamento.

Con memorie difensive inviate in data 9 agosto 2021, la società, dopo aver confermato che il mancato riscontro alle due istanze di accesso ai dati personali del reclamante è dipeso da “un avvicendamento del gestore HR di riferimento in data 1° dicembre 2019” e, con riferimento alla seconda istanza, “a causa della grande quantità di comunicazioni pervenute a mezzo posta elettronica al gestore HR competente nel periodo di inizio dell’emergenza Covid-19 che ha obbligato anche il personale HR di Tim a lavorare in modalità smart working”, ha dichiarato che:

a. dopo l’apertura del procedimento da parte dell’Autorità la società ha inviato, in data 31 marzo 2021, il riscontro al reclamante “fornendo le informazioni richieste nonché […] la copia della documentazione presente nel fascicolo personale del dipendente”;

b. con riferimento a quanto previsto dall’art. 83, par. 2 del Regolamento “la violazione ha avuto ad oggetto il mancato riscontro all’esercizio di uno dei diritti previsti dal GDPR (diritto di accesso) e ha riguardato un singolo interessato”;

c. “oltre alla complessità dello specifico caso riguardante il [reclamante], cui è riferita un’elevata mole di informazioni personali dovuta al fatto che il dipendente ha un rapporto di lavoro con la scrivente Società da oltre trenta anni, nel periodo di riferimento si sono verificati eventi eccezionali e imprevisti che hanno inevitabilmente comportato delle difficoltà nel rispetto del tempo di gestione delle richieste”, in particolare prima l’avvicendamento del personale assegnato ai “ruoli di gestione HR” e poi l’emergenza sanitaria che “ha comportato l’impossibilità per il personale di HR di accedere fisicamente agli uffici aziendali al fine di poter acquisire materialmente il fascicolo del dipendente, adeguatamente custodito in sicurezza in apposito archivio”;

d. in ogni caso la condotta della società deve considerarsi “ai sensi dell’art. 83, par. 2, lett. b) del GDPR, di natura meramente colposa”, tanto che la società “ha dato tempestivamente seguito alla richiesta di esercizio del diritto di accesso” del reclamante dopo l’intervento dell’Autorità, con ciò provvedendo ad adottare “una misura volta ad attenuare il danno subito dall’interessato […] nonché a cooperare” con l’Autorità “al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi”;

e. “si evidenzia, inoltre, ai sensi dell’art. 83, par. 2, lett. e) GDPR, che non si sono mai verificate a carico di Tim violazioni precedenti analoghe a quella in argomento che hanno riguardato dipendenti, che risulta pertanto essere un caso del tutto isolato”;

f. la società “si è da tempo dotata” di una “Procedura operativa – Diritti degli interessati ai sensi del Regolamento generale 2016/679/UE (dipendenti ed ex dipendenti Tim)”. Tale procedura “è stata nuovamente divulgata […] in occasione dell’invio in data 28 luglio u.s. di una email di sensibilizzazione rivolta a tutti i gestori HR del personale”. Inoltre, a seguito dell’episodio oggetto del reclamo davanti all’Autorità, “si impegna a svolgere, a partire dal prossimo mese di ottobre, una mirata attività formativa a tutti i gestori HR al fine di sensibilizzarli ulteriormente in materia di protezione dei dati personali e quindi di garantire la corretta gestione delle richieste di esercizio dei diritti avanzate […] da propri dipendenti o ex dipendenti, a tutela di questi ultimi”.

In data 25 novembre 2021, infine, la società ha inviato un ulteriore riscontro, rappresentando di aver completato l’attività formativa anticipata nella precedente comunicazione al Garante, attività che è consistita in quattro incontri “cui hanno partecipato tutti i dipendenti (in numero complessivo di 105) che, nell’ambito della funzione Human Resources di Tim, si occupano della gestione dei dipendenti di tutte le strutture centrali e territoriali”.

3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

3.1. Esito dell’istruttoria.

All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, risulta che la società, in qualità di titolare, ha effettuato alcune operazioni di trattamento, riferite al reclamante, che risultano non conformi alla disciplina in materia di protezione dei dati personali. In proposito si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

Nel merito è emerso che la società, pur avendo ricevuto due istanze di esercizio del diritto di accesso ai propri dati personali trattati nell’ambito del rapporto di lavoro presentate dall’interessato in data 10 ottobre 2019 e 3 marzo 2020, in entrambi i casi ha fornito un mero riscontro interlocutorio (presa d’atto della ricezione dell’istanza e preannuncio di un riscontro) senza dare seguito, in concreto, alle richieste né rappresentare, a distanza di mesi dalla presentazione delle richieste, la presenza di impedimenti alla evasione delle istanze.

Solo a seguito della presentazione di un reclamo all’Autorità e dell’avvio del relativo procedimento, la società ha collaborato con il Garante ed ha inviato all’interessato la documentazione contenente i dati personali già oggetto di istanza di accesso.

3.2. Violazione degli artt. 12 e 15 del Regolamento.

La società, pertanto, non ha dato seguito alle due istanze del reclamante, presentate utilizzando canali ufficiali (referente HR e DPO) a distanza, peraltro, di un notevole lasso di tempo l’una dall’altra. Ciò all’occorrenza di circostanze che appaiono, in un caso, ordinarie e prevedibili (avvicendamento in una posizione di responsabilità nel settore HR) e, nell’altro caso, relativo all’insorgere dell’emergenza sanitaria, per quanto obiettivamente eccezionali, non idonee a rendere impossibile l’adempimento a quanto disposto dall’ordinamento, posto che l’attività di gestione delle risorse umane è comunque proseguita in modalità agile (smart working).

Con ciò la società non ha pertanto ottemperato all’obbligo di fornire riscontro all’interessato a seguito dell’esercizio di uno dei diritti previsti dal Regolamento, nel caso di specie il diritto di accesso ai sensi dell’art. 15, in base al quale “L’interessato ha il diritto di ottenere […] l’accesso ai dati personali” che lo riguardano. Il diritto di accesso, nel sistema della protezione dei dati, consente all’interessato di esercitare il controllo sui dati personali che lo riguardano e dunque si pone come propedeutico rispetto a possibili ulteriori attività a tutela dei propri diritti (v. Considerando 63 del Regolamento: “Un interessato dovrebbe avere il diritto di accedere ai dati personali raccolti che lo riguardano e di esercitare tale diritto facilmente e a intervalli ragionevoli, per essere consapevole del trattamento e verificarne la liceità”).

Si osserva, inoltre, che il menzionato art. 15 del Regolamento si pone in rapporto di stretta connessione con l’art. 12 che dispone, a carico del titolare, l’adozione di “misure appropriate per fornire all'interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all'articolo 34 relative al trattamento”. Inoltre l’art. 12 individua i requisiti, le modalità e i limiti temporali entro i quali fornire riscontro alle istanze per l’esercizio dei diritti. In particolare l’art. 12, comma 3, del Regolamento prescrive che “il titolare del trattamento fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tento conto della complessità e del numero delle richieste”. Sotto diverso profilo il successivo comma 4 prevede che “Se non ottempera alla richiesta dell'interessato, il titolare del trattamento informa l'interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell'inottemperanza e della possibilità di proporre reclamo a un'autorità di controllo e di proporre ricorso giurisdizionale”.
Risulta pertanto comprovato che la società ha violato gli articoli 12 e 15 del Regolamento.

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Per i suesposti motivi l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati personali effettuato dalla società e segnatamente l’omesso riscontro alle istanze di accesso presentate dal reclamante, risulta infatti illecito, nei termini su esposti, in relazione agli artt. 12 e 15 del Regolamento.

La violazione accertata nei termini di cui in motivazione non può essere considerata “minore”, tenuto conto della natura, della gravità e della durata della violazione stessa, del grado di responsabilità, della maniera in cui l'autorità di controllo ha preso conoscenza della violazione e di precedenti violazioni pertinenti (v. Considerando 148 del Regolamento).

Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento, si dispone una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) Regolamento).

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

All’esito del procedimento risulta che Tim S.p.A. ha violato gli artt. 12 e 15 del Regolamento. Per la violazione delle predette disposizioni è prevista l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. b) del Regolamento, mediante adozione di un’ordinanza ingiunzione (art. 18, l. 24.11.1981, n. 689).

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

a) in relazione alla natura, gravità e durata della violazione è stata considerata rilevante la natura della violazione che ha riguardato l’esercizio dei diritti dell’interessato nonché la durata della violazione stessa che si è protratta per circa un anno e sei mesi;

b) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare è stata presa in considerazione la condotta della società e il grado di responsabilità della stessa che non si è conformata alla disciplina in materia di protezione dei dati relativamente a una pluralità di disposizioni;

c) è stato altresì considerato, nell’ambito di “precedenti violazioni pertinenti” commesse dal titolare del trattamento, in particolare il provvedimento di limitazione del trattamento, prescrittivo e sanzionatorio adottato nei confronti della società a seguito dell’accertamento della violazione dell’obbligo di fornire una compiuta informativa agli interessati in relazione ai trattamenti effettuati nell’ambito del rapporto di lavoro (v. Provv.to 9.1.2020, n. 8, doc. web n. 9263597); la precedente violazione accertata denota l’insufficiente predisposizione di misure volte a consentire agli interessati di esercitare il controllo sui propri dati personali, attraverso la messa a disposizione di elementi informativi relativi al trattamento, così come, nel caso di specie, all’interessato non è stato consentito il controllo sui propri dati attraverso un tempestivo riscontro all’esercizio del diritto di accesso (in relazione al parametro di cui all’art. 83, par. 2, lett. e), v. Gruppo di lavoro Articolo 29 per la protezione dei dati, Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679, 3.10.2017);

d) a favore della società si è tenuto conto della cooperazione con l’Autorità di controllo e della circostanza che la violazione accertata ha riguardato il solo reclamante.

Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla società con riferimento al bilancio ordinario d’esercizio per l’anno 2020. Da ultimo si tiene conto dell’entità delle sanzioni irrogate in casi analoghi.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Tim S.p.A. la sanzione amministrativa del pagamento di una somma pari ad euro 75.000 (settantacinquemila).

In tale quadro si ritiene, altresì, in considerazione della tipologia delle violazioni accertate che hanno riguardato l’esercizio dei diritti dell’interessato, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante.

Si ritiene, altresì, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO, IL GARANTE

rileva l’illiceità del trattamento effettuato da Tim S.p.A., in persona del legale rappresentante, con sede legale in Via Gaetano Negri, 1, Milano (MI), C.F. 00488410010, ai sensi dell’art. 143 del Codice, per la violazione degli artt. 12 e 15 del Regolamento;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento a Tim S.p.A., di pagare la somma di euro 75.000 (settantacinquemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

quindi alla medesima Società di pagare la predetta somma di euro 75.000 (settantacinquemila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/20129, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 27 gennaio 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei