[doc. web n. 9917820]

Provvedimento del 1° giugno 2023

Registro dei provvedimenti
n. 230 del 1° giugno 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il reclamo presentato dal sig. XX in data 12/09/2021, regolarizzato il 05/10/2021, ai sensi dell’art. 77 del Regolamento, con cui è stata lamentata una violazione della disciplina in materia di protezione dei dati personali da parte di Cooperjob S.p.A.;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. L’avvio del procedimento.

Con il reclamo presentato a questa Autorità in data 12/09/2021, regolarizzato il 05/10/2021, il sig. XX rappresentava di aver formulato, in data 11/08/2021, nei confronti di Cooperjob S.p.A. (di seguito “la Società”), un’istanza volta ad ottenere la cancellazione dei propri dati personali, conferiti alla filiale di Udine come candidato ad offerte lavorative. Tale richiesta veniva inviata a un indirizzo e-mail dedicato, senza tuttavia ottenere alcun riscontro nei termini di cui all’art. 12, par. 3, del Regolamento.

Con la nota del 21/10/2021 (prot. n. 53024), l’Ufficio invitava la Società a fornire osservazioni in merito a quanto rappresentato nel reclamo e ad aderire alle richieste del reclamante.

La Società, con nota del 04/11/2021, forniva integrale riscontro alle richieste del reclamante, dichiarando di aver rilevato la presenza dei dati personali riferiti all’istante sia all’interno della piattaforma di raccolta delle candidature, presente sul sito web www.cooperjob.eu, sia all’interno del gestionale aziendale e di aver provveduto alla loro cancellazione.

Inoltre, “al fine di migliorare la gestione delle richieste degli interessati, essendoci resi conto che il presidio di un unico account (info@cooperjob.eu) che convogliasse molteplici e differenti richieste degli utenti, poteva essere di difficile governo, (…)”, si è provveduto all’”attivazione di un’apposita casella di posta privacy@cooperjob.eu già segnalata nel footer del sito web”.

Per quanto sopra, l’Ufficio provvedeva a notificare alla Società l’atto di avvio del procedimento sanzionatorio, ai sensi dell’art. 166, comma 5, del Codice in relazione alla violazione degli artt. 12, par. 3, e 17 del Regolamento (prot. n. 62568 del 17/12/2021).

La Società, in data 12/01/2022, inviava propri scritti difensivi, ai sensi dell’art. 18 della legge n. 689/1981, con cui forniva le proprie osservazioni in ordine alle violazioni descritte, alla luce dei criteri indicati all’art. 83, par. 2 del Regolamento.

In particolare, veniva rappresentato che:

- “la violazione si riferisce al mancato riscontro ad un interessato, in seguito alla sua richiesta di cancellazione dei dati”;

- “la natura colposa della violazione, a seguito della difficoltà di governo di un unico account che convogliasse molteplici e differenti richieste degli utenti, in particolare in seguito all’emergenza epidemiologica Covid-19”;

- “con nota del 04/11/2021, la società ha dato evidenza della cancellazione dei dati dell’interessato [presenti all’interno della piattaforma aziendale] mediante (…) screenshot attestante la presenza dei dati prima della cancellazione e successivo screenshot attestante l’assenza dei dati dopo la cancellazione”;

- inoltre, con riferimento ai dati dell’interessato presenti all’interno del gestionale aziendale, l’evidenza della cancellazione è stata resa “mediante gli screenshot attestante la presenza dei dati prima della cancellazione e la successiva assenza dei dati una volta confermata la cancellazione”;

- sono state adottate misure tecniche e organizzative volte ad evitare il ripetersi di analoghe situazioni, “provvedendo ad aggiornare il processo di gestione delle richieste e la relativa formazione dei soggetti autorizzati coinvolti nel trattamento”.

2. L’esito dell’istruttoria.

All’esito dell’esame della documentazione prodotta e delle dichiarazioni rese dalla parte nel corso del procedimento, premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice, è emerso che la società, a fronte dell’istanza di esercizio dei diritti formulata dal reclamante in data 11/08/2021, non ha fornito alcun riscontro nei termini previsti dall’art. 12, par. 3, del Regolamento (“senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta”).

Va, altresì, rilevato che l’art. 12, par. 4, del Regolamento precisa che nel caso in cui non ottemperi alle istanze di esercizio dei diritti “il titolare del trattamento informa l’interessato senza ritardo e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale”.

Alla luce del quadro normativo sopra richiamato, risulta accertato che la Società non ha fornito tempestivo riscontro all’istanza di cancellazione dei dati e che, solo a seguito dell’intervento dell’Autorità, ha provveduto a informare il reclamante dei dati personali in suo possesso e della loro cancellazione dai propri sistemi gestionali.

La condotta così descritta, per la quale la Società non ha fornito alcuna giustificazione, risulta in contrasto con l’obbligo di fornire un riscontro “senza ingiustificato ritardo” all’interessato e comunque entro un mese dal ricevimento della richiesta ai sensi dell’art. 12 del Regolamento.

3. Conclusioni: illiceità dei trattamenti effettuati.

Alla luce delle valutazioni che precedono, si rileva che le dichiarazioni rese dal titolare del trattamento negli scritti difensivi ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗  non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentirne l’archiviazione, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del regolamento del Garante n. 1/2019, concernente le procedure interne all’Autorità aventi rilevanza esterna.

Per i suesposti motivi, pertanto, si dichiara fondato il reclamo presentato ai sensi dell’art. 77 del Regolamento e, nell’esercizio dei poteri correttivi attribuiti all’Autorità ai sensi dell’art. 58, par. 2, del Regolamento si dispone l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, del Regolamento.

4. Ordinanza di ingiunzione.

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. L. 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali riferito al reclamante, di cui è stata accertata l’illiceità, nei termini sopra esposti.

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state tenute in considerazione le circostanze sotto riportate:

- con riguardo alla natura, gravità e durata della violazione è stata considerata rilevante la natura della violazione che ha riguardato le disposizioni relative all’esercizio dei diritti degli interessati;

- l’assenza di precedenti violazioni pertinenti commesse dal titolare del trattamento;

- la circostanza che il titolare ha fornito riscontro all’istanza del reclamante nel corso del procedimento.

In considerazione dei richiamati principi di effettività, proporzionalità e dissuasività (art. 83, par. 1, del Regolamento) ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione, sono state prese in considerazione le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti e riferiti al bilancio d’esercizio per l’anno 2021.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 20.000,00 (ventimila) per la violazione degli artt. 12 e 17 del Regolamento.

In tale quadro, anche in considerazione della tipologia di violazione accertata, che ha riguardato i diritti dell’interessato, si ritiene che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito internet del Garante.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

dichiara, ai sensi degli artt. 57, par. 1, lett. f) e 83 del Regolamento, l’illiceità del trattamento effettuato, nei termini di cui in motivazione, per la violazione degli artt. 12, par. 3. e 17 del Regolamento;

ORDINA

a Cooperjob S.p.A., in persona del legale rappresentante pro-tempore, con sede legale in Milano, via Ermanno Barigozzi n. 24, P.I. 02558070211, ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, di pagare la somma di euro 20.000,00 (ventimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

alla medesima Società di pagare la somma di euro 20.000,00 (ventimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del regolamento n. 1/2019.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 1° giugno 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei