[doc. web n. 9827402]

Ordinanza ingiunzione nei confronti di Codess Sociale, Soc. Coop. sociale - 6 ottobre 2022

Registro dei provvedimenti
n. 322 del 6 ottobre 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il Prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il reclamo presentato dal sig. XX in data 28/01/2021, regolarizzato in data 05/03/2021, ai sensi dell’art. 77 del Regolamento, con cui è stato lamentato il mancato riscontro all’istanza di esercizio dei diritti formulata nei confronti di Codess Sociale, Soc. Coop. sociale;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. L’avvio del procedimento.

Con il reclamo presentato a questa Autorità in data 28/01/2021, regolarizzato in data 05/03/2021, il sig. XX lamentava un illecito trattamento di dati personali posto in essere da Codess Sociale, Soc. Coop. sociale (di seguito “la Società”), consistente nel mancato riscontro all’istanza di esercizio dei diritti, dallo stesso formulata nei confronti della Società in data 17/09/2020. In particolare, il reclamante rappresentava di aver rassegnato le proprie dimissioni da socio volontario con lettera consegnata presso la sede della RSA “XX” (struttura presso la quale aveva prestato servizio), nella quale chiedeva contestualmente alla Società la cancellazione dei propri dati personali, presenti negli archivi fisici e informatici. A fronte della suddetta richiesta, il reclamante riceveva in data 07/01/2021 una lettera raccomandata da parte della Società, con cui la stessa prendeva atto delle dimissioni da socio volontario, ma non forniva alcun riscontro in merito alla richiesta di cancellazione dei dati personali.

Con la nota del 18/03/2021 (prot. n. 14812), la Società veniva invitata a fornire osservazioni in ordine ai fatti oggetto di reclamo e ad aderire all’istanza di esercizio dei diritti, avanzata dal reclamante.

La Società forniva riscontro con la nota del 31/03/2021, dichiarando preliminarmente di aver fornito al reclamante, in fase di assunzione, l’informativa ai sensi dell’art. 13 del Regolamento, in cui veniva specificato che “i dati raccolti saranno conservati per il periodo necessario a rispettare i vincoli contabili/fiscali, o di altra natura connessi alle normative vigenti e comunque per un periodo massimo di 120 mesi da quando dovesse smettere di prestare la sua attività di volontariato”. Ciò tenendo conto che, pure a seguito di dimissioni, non è possibile procedere all’immediata cancellazione dei dati dal libro soci o da “altri supporti della Cooperativa”. La Società comunicava, in ogni caso, di aver provveduto alla chiusura dell’Area riservata presente sul proprio sito web, a cui il socio ha accesso mediante inserimento di proprie credenziali di autenticazione, e alla cancellazione del nominativo dal libro soci.

L’Ufficio, alla luce di quanto sopra, provvedeva a notificare l’atto di avvio del procedimento sanzionatorio, ai sensi dell’art. 166, comma 5, del Codice per violazione dell’art. 12, par. 3 e 4, in relazione all’art. 17 del Regolamento (prot. n. 38009 del 19/07/2021).

La Società, in data 06/08/2021, inviava propri scritti difensivi, ai sensi dell’art. 18 della legge n. 689/1981, con cui dichiarava che:

- la comunicazione del 17/09/2020, con cui il reclamante aveva rassegnato le proprie dimissioni da socio volontario, veniva consegnata a mano presso la sede della RSA “XX” e indirizzata ai referenti gestionali, al Direttore sanitario della struttura e ad altri soggetti;

- tale comunicazione non possedeva i requisiti minimi, formali e sostanziali, per essere intesa quale “istanza di esercizio dei diritti” e recepita nei termini dai soggetti competenti;

- in particolare, la comunicazione sarebbe viziata nella forma perché “i destinatari non erano quelli formalmente individuati dal GDPR (il titolare del trattamento e/o il DPO); perché la consegna non è avvenuta alla mail istituzionale ma a mano e per giunta in un’unità operativa periferica (…); perché l’oggetto della comunicazione non consisteva nella richiesta di esercizio dei diritti”;

- risultava, inoltre, viziata anche nella sostanza perché “non veniva neppure formulata una vera e propria richiesta formale al Titolare o al DPO di cancellazione dei dati in base all’esercizio di un diritto, ma veniva semplicemente presunto e dato per scontato dallo scrivente un automatismo obbligatorio di cancellazione dei suoi dati (…) e di comunicazione entro termini definiti arbitrariamente (…)”.

2. L’esito dell’istruttoria.

All’esito dell’esame della documentazione prodotta e delle dichiarazioni rese dalla parte nel corso del procedimento, premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice, risulta accertato che la Società non ha fornito riscontro alla richiesta di cancellazione dei dati personali formulata dal reclamante in data 17/09/2020, entro il termine previsto dall’art. 12, par. 3, del Regolamento (“senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa”), né ha provveduto a informare l’istante, entro il medesimo termine, dei motivi dell’inottemperanza nonché della possibilità di proporre un reclamo all’Autorità (art. 12, par. 4 del Regolamento).

A tal proposito, si osserva che la comunicazione inviata dal reclamante in data 17/09/2020 avente come oggetto “Dimissioni” e recante la richiesta di cancellazione dei dati personali, è stata correttamente ricevuta dalla Società che difatti vi ha dato riscontro con lettera raccomandata del 02/10/2020, nella quale “il Consiglio di amministrazione ha preso nota del recesso da socio volontario, accogliendo le sue dimissioni”. Tra l’altro, risulta dalla documentazione in atti, che il reclamante abbia sollecitato il titolare a fornire riscontro e che abbia ricevuto conferma da parte della RSA che tutta la documentazione era stata trasmessa correttamente agli uffici preposti. Pertanto, l’argomentazione addotta dalla parte in base alla quale non era stato fornito riscontro all’istanza di cancellazione dei dati in quanto la comunicazione non era stata inviata ai soggetti istituzionalmente competenti, non può essere assunta a valido motivo per giustificare l’inottemperanza da parte del titolare del trattamento, avendo questi avuto pienamente conoscenza del contenuto della suddetta comunicazione.

Va, inoltre, osservato che, in base a quanto disposto dall’art. 12 del Regolamento, il titolare del trattamento “agevola l’esercizio dei diritti dell’interessato ai sensi degli articoli da 15 a 22” e “fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste”.

Il medesimo articolo 12, par. 4, del Regolamento precisa che nel caso in cui non ottemperi alle istanze di esercizio dei diritti “il titolare del trattamento informa l’interessato senza ritardo e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale”.

Alla luce di quadro normativo sopra richiamato, risulta accertato che la Società non ha fornito tempestivo riscontro all’istanza di cancellazione dei dati e che, solo a seguito dell’intervento dell’Autorità, ha provveduto a informare il reclamante dei motivi che non rendevano possibile procedere alla cancellazione dei dati. La condotta così descritta risulta in contrasto con l’obbligo di fornire un riscontro “senza ingiustificato ritardo” all’interessato e comunque entro un mese dal ricevimento della richiesta ai sensi dell’art. 12 del Regolamento.

3. Conclusioni: illiceità dei trattamenti effettuati. Provvedimenti correttivi.

Alla luce delle valutazioni che precedono, si rileva che le dichiarazioni rese dal titolare del trattamento negli scritti difensivi ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗  non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentirne l’archiviazione, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del regolamento del Garante n. 1/2019, concernente le procedure interne all’Autorità aventi rilevanza esterna.

Il mancato riscontro della Società all’istanza di cancellazione presentata dal reclamante, risulta illecito nei termini su esposti, per violazione dell’art. 12 in relazione all’art. 17 del Regolamento.

Per i suesposti motivi, pertanto, si dichiara fondato il reclamo presentato ai sensi dell’art. 77 del Regolamento e, nell’esercizio dei poteri correttivi attribuiti all’Autorità ai sensi dell’art. 58, par. 2, del Regolamento si dispone l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, del Regolamento.

4. Ordinanza di ingiunzione.

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. L. 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali riferito al reclamante, di cui è stata accertata l’illiceità, nei termini sopra esposti.

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state tenute in considerazione le circostanze sotto riportate:

- con riguardo alla natura, gravità e durata della violazione è stata considerata rilevante la natura della violazione che ha riguardato le disposizioni relative all’esercizio dei diritti degli interessati; nonché la circostanza che la violazione si è protratta per un lungo periodo;

- l’assenza di precedenti violazioni pertinenti commesse dal titolare del trattamento;

- il grado di cooperazione fornito dalla Società nel corso del procedimento;

- la natura sociale dell’attività svolta dalla parte.

In considerazione dei richiamati principi di effettività, proporzionalità e dissuasività (art. 83, par. 1, del Regolamento) ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione, sono state prese in considerazione le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti e riferiti al bilancio d’esercizio per l’anno 2021.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 10.000,00 (diecimila) per la violazione dell’art. 12, in relazione all’art. 17 del Regolamento.

In tale quadro, anche in considerazione della tipologia di violazione accertata, che ha riguardato i diritti dell’interessato, si ritiene che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito internet del Garante.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

dichiara, ai sensi degli artt. 57, par. 1, lett. f) e 83 del Regolamento, l’illiceità del trattamento effettuato, nei termini di cui in motivazione, per la violazione dell’art. 12, in relazione all’art. 17 del Regolamento;

ORDINA

a Codess Sociale, Soc. Coop. sociale in persona del legale rappresentante pro-tempore, con sede legale in Padova, Via Boccaccio n. 96, P.I. 03174760276 ai sensi dell’art. 58, par. 2, del Regolamento, di pagare la somma di euro 10.000,00 (diecimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione;

INGIUNGE

alla medesima Società di pagare la somma di euro 10.000,00 (diecimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981. Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del regolamento n. 1/2019.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 6 ottobre 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei