[doc. web n. 9920814]

Provvedimento del 22 giugno 2023

Registro dei provvedimenti
n. 263 del 22 giugno 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTA la segnalazione presentata dai sigg.ri XX e XX nei confronti di Maviglia Assicurazioni snc di Gherardo Maviglia & c.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal vice segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

PREMESSO

1. L’avvio dell’istruttoria preliminare a seguito della segnalazione pervenuta.

Con segnalazione presentata in data 12/01/2021, integrata con comunicazione del 09/06/2021, il Sig. XX e il Sig. XX hanno lamentato una violazione della disciplina in materia di protezione dei dati personali da parte di Maviglia Assicurazioni snc di Gherardo Maviglia & c. (di seguito “l’Agenzia”), con riferimento alla persistente attivazione degli account di posta elettronica aziendale, di tipo individualizzato (XX e XX), a cui avrebbero fatto accesso terze persone, successivamente all’interruzione del loro rapporto di collaborazione con l’Agenzia.

Con nota dell’11/03/2022 (prot. n. 14961), l’Ufficio formulava nei confronti dell’Agenzia una richiesta di informazioni, volta, in particolare, a conoscere se gli account di posta elettronica assegnati ai due ex collaboratori fossero ancora attivi e se fosse stato attivato un sistema di risposta automatico alle e-mail in entrata, segnalante la disattivazione dei predetti account.

L’Agenzia, con nota del 06/04/2022, forniva riscontro alle richieste dell’Ufficio, dichiarando che:

- a seguito dell’interruzione del rapporto di collaborazione con i due segnalanti (avvenuta a febbraio 2020), provvedeva a informare “tempestivamente” l’IVASS dell’avvenuta interruzione dei rapporti di collaborazione, “provvedendo altresì a predisporre il blocco delle loro caselle di posta elettronica aziendale, la quale non poteva, perciò, più essere visionata né utilizzata da alcuno dei dipendenti della società, salvo solo il responsabile I.T. della stessa (…) ed il responsabile della riassegnazione dei clienti (…)”;

- la disattivazione definitiva degli account, invece, veniva disposta il 04/06/2022, ovvero entro il termine di 120 giorni dall’interruzione del rapporto di collaborazione, conformemente a una consolidata prassi aziendale;

- infatti, tale periodo di tempo “si rende invero necessario per consentire all’agenzia di riassegnare e ridistribuire il portafoglio polizze e clienti del lavoratore cessato ad altri collaboratori. Non si tratta, infatti, di un’attività automatica ed immediata, giacché l’agente generale deve effettuare diverse stime e valutazioni, sia del portafoglio suddetto, che del carico, delle capacità e disponibilità degli altri collaboratori, per determinare le modalità di smistamento. Tanto ciò è vero che la Maviglia Ass.ni, proprio nell’ottica di rendere tale attività quanto più celere possibile, ha predisposto al suo interno un soggetto incaricato di curare la riorganizzazione del portafoglio degli ex collaboratori”;

- “Solo per tale breve intervallo temporale la casella di posta elettronica aziendale dei dipendenti, che era stata bloccata e ne era inibito perciò a chiunque l’accesso, poteva ancora ricevere e-mail, che venivano automaticamente reindirizzate all’indirizzo aziendale del responsabile smistamento, (…) il quale, comunque, non aveva alcuna facoltà di prenderne autonomamente visione, dovendo “per la gestione delle comunicazioni delle suddette caselle postali” fare riferimento al Responsabile di I.T. aziendale”;

- “A circa un mese di distanza dalla risoluzione dei rapporti di lavoro con i sig.ri XX e XX, la Maviglia Ass.ni aveva quasi ultimato le procedure di riassegnazione del portafoglio, provvedendo tempestivamente ad informare i clienti circa il nominativo del loro nuovo agente di riferimento”;

- in conclusione, “nessun controllo è mai stato effettuato sulle mail aziendali bloccate, a meno che questo non venisse richiesto – paradossalmente – dagli stessi reclamanti e, comunque, sarebbe stato operato solamente qualora non fosse stato possibile diversamente provvedere, oppure qualora si fossero verificate circostanze tali (come ad esempio reclami dei clienti o loro comunicazioni erroneamente inviate agli indirizzi bloccati oppure informazioni inerenti la data di scadenza o rinnovo delle garanzie assicurative), per cui il controllo della mail aziendali suddette fosse risultato necessario alla tutela degli interessi degli assicurati”.

A seguito di una richiesta di ulteriori chiarimenti, formulata in data 26/05/2022 (prot. n. 28784), l’Agenzia ha inviato una comunicazione in data 16/06/2022, in cui dichiarava che:

- “in merito allo stato attuale degli account di posta elettronica dei ricorrenti (…) [questo] è attualmente cancellato, giacché ne è stata disposta la cancellazione nel termine di 120 giorni dalla data di cessazione del rapporto”;

- “Maviglia s.n.c. è un’Agenzia Generale che svolge la propria attività di intermediazione assicurativa per conto dell’impresa mandante Generali Italia S.p.A., società quotata e soggetta a revisione e controllo. Perciò, i contratti dei segnalanti XX e XX, nonché la relativa documentazione ad essi allegata, sono stati predisposti dalla stessa Generali Italia e consegnati, da parte della Maviglia Ass.ni s.n.c., ai segnalanti”;

- con particolare riferimento alle modalità di utilizzo delle dotazioni informatiche da parte dei propri collaboratori, “nell’allegato 7 alla lettera di nomina [a incaricato del trattamento] denominato “norme di comportamento relative alla risorse informatiche aziendali” sono ben specificate le modalità con cui è consentito ai dipendenti e collaboratori l’utilizzo delle dotazioni informatiche a loro poste a disposizioni per lo svolgimento dell’incarico affidatogli, ivi compresa la regolamentazione delle modalità di utilizzo della posta elettronica aziendale. Tale allegato viene consegnato a tutti i dipendenti e collaboratori al momento dell’inizio del rapporto inter partes” come risulta dal documento sottoscritto da uno dei segnalanti;

- quanto alla gestione della posta elettronica aziendale, posto che ciascun collaboratore ha un indirizzo di posta elettronica con dominio aziendale, nella fase successiva all’interruzione del rapporto di collaborazione, “la Maviglia dispone un blocco automatico degli indirizzi mail intestati all’ex collaboratore/dipendente, per un periodo massimo di giorni 120 decorsi quali viene definitivamente cancellata, manualmente da parte del responsabile IT dell’agenzia”.

Su questo specifico aspetto, l’Agenzia, chiariva che:

- “non viene effettuato alcun accesso né ingresso negli account aziendali degli ex dipendenti, giacché la predisposizione del blocco del flusso mail in entrata ed in uscita, immediatamente disposto da parte dell’agenzia alla cessazione del rapporto con i suoi collaboratori, viene effettuata senza accedere nelle caselle personali e, soprattutto, una volta disposto il suddetto blocco mail, non è più possibile né necessario accedervi, giacché viene disposto un messaggio di posta elettronica automatica che comunica al mittente l’inattività dell’indirizzo mail”;

- “il contenuto della posta elettronica dei dipendenti e collaboratori di agenzia è gestito e protetto mediante strumenti informatici forniti dal provider Aruba”.

Dall’esame della documentazione allegata alle predette note di riscontro (v. in particolare l’all. 20), è risultato, in particolare, che:

- “L’azienda fornisce ai propri dipendenti le risorse informatiche di cui necessitano per l’adempimento delle proprie mansioni” (all. 7 del richiamato all. 20);

- “L’accesso a internet è consentito solo al personale in possesso di specifica autorizzazione. (…) L’accesso a internet avverrà attraverso vie (Gateways – firewall o proxy) che registrano automaticamente e mantengono l’evidenza dei collegamenti effettuati e degli indirizzi internet contattati. Tale registrazione, denominata log, viene conservata dall’azienda unicamente per ragioni di sicurezza e tutela del patrimonio aziendale”;

- “Anche le attività inerenti il sistema di posta elettronica aziendale sono archiviate su appositi file che registrano automaticamente e mantengono l’evidenza di tutte le attività svolte, tra cui gli indirizzi di destinazione/provenienza dei messaggi. Tale registrazione è denominata log e viene conservata dall’azienda unicamente per ragioni di sicurezza e tutela del patrimonio aziendale”;

- “In caso di cessazione del rapporto di lavoro (e/o consulenza/collaborazione), il contenuto della posta elettronica o di altre risorse informatiche assegnate ai dipendenti cessati resterà a disposizione dell’azienda e potrà essere utilizzato da quest’ultima esclusivamente per ragioni connesse allo svolgimento dell’attività aziendale”;

- “Al fine di tutelarsi nei confronti di comportamenti illegali o potenzialmente dannosi, (…) l’azienda si riserva il diritto di effettuare controlli sull’utilizzo delle risorse informatiche da parte dei dipendenti. Tali controlli potranno essere effettuati anche in via elettronica e potranno comprendere la verifica dei log (…)”.

2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi.

L’Ufficio, alla luce di quanto sopra, provvedeva a notificare all’Agenzia l’atto di avvio del procedimento sanzionatorio, ai sensi dell’art. 166, comma 5, del Codice (nota prot. n. 58003 del 24/10/2022), per la violazione dell’art. 5, par. 1, lett. a), c) ed e) e dell’art. 6 del Regolamento in relazione a:

- reindirizzamento automatico dei messaggi in transito sugli account dei due ex collaboratori, verso un altro account aziendale, per un periodo di tempo pari a 120 giorni. Tale attività ha comportato la conoscibilità del contenuto dei messaggi ricevuti sui predetti account da parte di terzi non autorizzati e, per di più, si è protratta per un periodo temporale che risulta eccessivo e non giustificato dalle esigenze organizzative dichiarate;

- la sistematica conservazione, senza limiti temporali, dei log della posta elettronica in vigenza del rapporto di collaborazione;

- conservazione, senza limiti di tempo definiti, del contenuto della corrispondenza transitata sugli account di posta elettronica individualizzata, nonché la loro reperibilità per finalità di continuità dell’attività aziendale.

L’Agenzia, in data 18/11/2022, inviava le proprie memorie difensive sulla base dell’art. 18 della legge n. 689/1981, con cui ribadiva che:

- “una volta cessato il rapporto di lavoro con un collaboratore/dipendente, l’indirizzo mail aziendale a questi assegnato [viene] immediatamente disattivato (mediante ricorso alla procedura di blocco prevista dal software Aruba utilizzato dall’agente). Poi, decorso il periodo massimo di giorni 120 dalla cessazione del rapporto di lavoro/collaborazione, gli account di posta elettronica vengono cancellati e non è più possibile alcun tipo di consultazione, neppure per i soggetti preposti alla vigilanza di tali indirizzi. Ancora, preme osservare come tale messaggio di reindirizzamento automatico, predisposto dal software Aruba (…), viene inviato agli emittenti via mail, per comunicare loro che l’indirizzo a cui hanno inoltrato il messaggio non è più attivo”;

- “le mail vengono reindirizzate sull’account di un solo soggetto nominato dalla Maviglia quale responsabile (…) e solo per il periodo strettamente necessario (nella specie meno di 30 giorni) ad un primo smistamento dei clienti (…). Dunque, non appena smistati i clienti la mail di reindirizzamento automatico cessa”;

- in definitiva, la procedura prevede: “(i) l’immediato blocco/disattivazione della mail aziendale con reindirizzamento automatico verso mail di un soggetto preposto che non può accedere al contenuto delle mail, (ii) invio di messaggio a tutti i clienti ed indicazione di nuovo loro referente, in un tempo brevissimo, (iii) individuazione di un soggetto che ha le “chiavi di accesso all’indirizzo mail degli ex dipendenti” (che non è lo stesso su cui vengono reindirizzati i messaggi subito dopo la cessazione del rapporto); (iv) dopo un periodo massimo di giorni 120 (che può però essere anche inferiore) avviene la definitiva cancellazione della casella di posta elettronica in esame”.

In data 08/02/2023, si è svolta l’audizione della parte, nel corso della quale sono state ribadite le osservazioni già formulate nel corso dell’istruttoria e precisato che, al termine dei 120 giorni previsti per la gestione del portafoglio clienti, “non è più possibile recuperare eventuale corrispondenza o documentazione anche perché l’Agenzia non dispone di un proprio backup”.

3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

All’esito dell’esame delle dichiarazioni rese dalla parte nel corso del procedimento, nonché della documentazione acquisita, risulta che l’Agenzia, in qualità di titolare del trattamento, ha effettuato alcune operazioni di trattamento che non sono conformi alla disciplina in materia di protezione dei dati personali. In proposito si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

3.1 Violazione dell’art. 5, par. 1, lett. a) ed e) del Regolamento.

Va, preliminarmente, rilevato che le dichiarazioni rese dalla parte sono state, nel corso del procedimento, spesso poco chiare e talvolta contraddittorie, con particolare riferimento all’aspetto relativo al “blocco delle caselle di posta elettronica”.

Infatti, mentre da un lato viene sottolineato che alla cessazione del rapporto di lavoro, gli account vengono bloccati con impossibilità di inviare e ricevere messaggi, dall’altro si afferma anche che le e-mail in entrata sono reindirizzate ad altro account, tanto che l’accesso al contenuto dei messaggi sarebbe consentito solo al Responsabile IT, previa autorizzazione del titolare e dell’interessato e in presenza di particolari esigenze.

In ogni caso, dall’esame della documentazione prodotta, emerge che l’Agenzia ha mantenuto attivi, successivamente all’interruzione del rapporto di collaborazione, gli account di posta elettronica aziendale, di tipo individualizzato, assegnati ai due segnalanti, per un periodo di tempo pari a 120 giorni.

Durante questo periodo di tempo, le e-mail in transito sui predetti account venivano reindirizzati ad altro account, in particolare a quello del “Responsabile smistamento”, al fine di procedere alla distribuzione dei clienti dei collaboratori cessati.

Non è stato prodotto in atti alcun documento utile ad accertare che i clienti ricevessero un messaggio di risposta automatico che li informasse della disattivazione degli indirizzi e-mail (dei collaboratori cessati).

Infatti, il documento “Aruba Guide – Gestire le caselle del dominio” (allegato n. 16 alla nota del 16/06/2022) contiene solo le istruzioni sulle modalità di impostazione delle funzioni di inoltro e di reindirizzo delle e-mail, ma non è di per sé idoneo a dimostrare che le procedure fossero effettivamente seguite dall’Agenzia.

Né è stata prodotta in atti documentazione utile a verificare che il “Responsabile smistamento” non potesse accedere al contenuto dei messaggi, se non previa autorizzazione del Responsabile IT e/o del titolare.

Piuttosto, dalla documentazione prodotta e dalle dichiarazioni rese dalla parte, sotto propria responsabilità, risulta che le e-mail in transito sugli account degli ex collaboratori fossero lette dal “Responsabile smistamento”, anche per dare attuazione alla dichiarata finalità di procedere alla distribuzione dei clienti tra i collaboratori (a tal proposito si richiama l’all. 7 alla nota del 06/04/2022, in cui il Responsabile IT scrive al Responsabile smistamento informandolo che “nell’attesa di una riorganizzazione del portafoglio clienti, al fine di poter gestire eventuali e-mail in entrata, per le cassette postali delle utenze di … è stato impostato l’inoltro automatico sulla tua e-mail aziendale”. Dello stesso tenore l’e-mail del 29/04/2020, all. 4 alla segnalazione del 09/06/2021, inviata dal responsabile smistamento ad altro collaboratore dell’Agenzia in cui si legge “Ti giro in calce, ricevuta sull’indirizzo di XX”).

Va in ogni caso rilevato che, anche la mera lettura dei cc. dd. “dati esteriori” delle comunicazioni elettroniche (vale a dire i mittenti e/o i destinatari delle e-mail e l’oggetto delle stesse) determina un trattamento di dati personali ai sensi dell’art. 4, par. 2, del Regolamento.

Risulta comunque accertato che l’accesso alla corrispondenza in transito sui predetti account fosse consentito al Responsabile IT.

Pertanto, deve ritenersi confermato il rilievo già notificato alla parte, relativo all’attività di reindirizzamento automatico dei messaggi in transito sugli account dei collaboratori cessati verso un altro account aziendale, che si è protratta per un periodo di tempo pari a 120 giorni.

Tale attività ha comportato la conoscibilità del contenuto dei messaggi ricevuti da parte di terzi non autorizzati e si è protratta per un periodo temporale che deve considerarsi comunque eccessivo e non commisurato alle effettive esigenze organizzative, in considerazione del fatto che l’Agenzia ha dichiarato di aver provveduto alla distribuzione del portafoglio clienti, inizialmente assegnato ai due segnalanti, in un arco temporale di 30 giorni, informando anche i clienti circa il nominativo dei nuovi referenti (nota del 06/04/2022) e che “secondo direttive dell’IVASS, entro 7 giorni dalla cessazione del rapporto di lavoro con un collaboratore, deve essere comunicato al cliente il nominativo del nuovo agente” (dichiarazione resa nel corso dell’audizione dell’08/02/2023).

La condotta dell’Agenzia, così descritta, si pone in contrasto con i principi e le disposizioni in materia di protezione dei dati personali. A tal proposito, si osserva che nel provvedimento contenente le “Linee guida per posta elettronica ed internet” adottate il 01/03/2007 (reperibile sul sito dell’Autorità www.gpdp.it, doc. web n. 1387522), l’eventuale trattamento dei dati riferiti a comunicazioni inviate e ricevute dal lavoratore presso l’account di posta elettronica aziendale deve essere effettuato nel rispetto dei principi di necessità, correttezza, pertinenza e non eccedenza nonché da un livello di tutela atto a impedire interferenze ingiustificate sui diritti fondamentali dei lavoratori, dei terzi mittenti e/o dei destinatari delle medesime comunicazioni.

Tali principi risultano pienamente applicabili anche con riferimento a relazioni professionali e di collaborazione che, pur non essendo caratterizzati da una relazione di dipendenza, attribuiscono comunque al titolare del trattamento un ampio potere organizzativo, sia interno che esterno, come risulta nel caso di specie.

Ne consegue che il datore di lavoro, dopo la cessazione del rapporto di lavoro o di collaborazione come nel caso che ci occupa, deve provvedere alla rimozione dell’account di posta elettronica aziendale di tipo individualizzato, previa disattivazione dello stesso e contestuale adozione di sistemi automatici volti a informarne i terzi e a fornire a questi ultimi indirizzi alternativi, evitando in tal modo di prendere visione delle comunicazioni in entrata sull’account individualizzato assegnato all’interessato.

Tale assunto è stato più volte ribadito dal Garante nei propri provvedimenti, da ultimo nel provvedimento n. 68 del 09/03/2023 (v. anche il provv. n. 551 del 27/11/2014, doc web n. 3718714, provv. n. 136 del 05/03/2015, doc web n. 3985524).

Pertanto, fermo restando la necessità di garantire la continuità dell’attività aziendale, tenuto conto anche delle normative in materia di assicurazione, si osserva che le condotte poste in essere dall’Agenzia, riferite alla mancata disattivazione degli account e alla attività di reindirizzamento della posta elettronica, non sono conformi ai principi di liceità e di limitazione della conservazione, previste dall’art. 5, par. 1, lett. a) ed e), del Regolamento.

3.2 Violazione dell’art. 5, par. 1, lett. c) ed e) del Regolamento.

Si da atto che, nel corso del procedimento, l’Agenzia non ha fornito alcun chiarimento in ordine agli ulteriori profili di illiceità emersi nell’ambito dell’istruttoria, riferiti, in particolare, alla conservazione dei log degli accessi a internet e alla posta elettronica in vigenza del rapporto di collaborazione, effettuata senza limiti temporali, e al controllo eventualmente svolto.

L’unica dichiarazione sul punto specifico è stata resa dalla parte nel corso dell’audizione, laddove è stato dichiarato che “l’Agenzia non dispone di un proprio back up”.

Tale affermazione, non supportata da alcuna documentazione, non chiarisce gli aspetti critici connessi alla conservazione dei log della posta elettronica come, invece, sono descritti nell’allegato 7 alla nomina a consulente previdenziale, recante “Norme di comportamento relative all’utilizzo delle risorse informatiche aziendali”, che risulta consegnato e sottoscritto da entrambi i segnalanti il 28/05/2018 (all. 20 alla nota del 16/06/2022).

Pertanto, in mancanza di altri elementi che possano confutare i rilievi notificati, si deve confermare l’illiceità della condotta dell’Agenzia, consistente nella conservazione sistematica senza limiti temporali dei log di accesso a internet e alla posta elettronica in vigenza del rapporto di collaborazione e, pertanto, contraria ai principi di limitazione della conservazione e di minimizzazione di cui agli artt. 5, par. 1, lett. c) ed e) del Regolamento.

3.3 Violazione degli artt. 5, par. 1, lett. c) ed e), e 6 del Regolamento.

Allo stesso modo, deve ritenersi confermato, in mancanza di ogni argomentazione della parte, il rilievo contestato all’Agenzia avente ad oggetto la conservazione, senza limiti di tempo, del contenuto della corrispondenza che transita sugli account di posta elettronica, assegnati ai propri collaboratori, successivamente alla cessazione del rapporto di collaborazione.

Sotto questo profilo, infatti, il citato documento recante “Norme di comportamento relative all’utilizzo delle risorse informatiche aziendali” espressamente prevede la conservazione, senza limiti di tempo, del contenuto della posta elettronica (“e di altre risorse informatiche”) assegnata agli ex collaboratori, lasciando all’Agenzia la facoltà di utilizzare queste informazioni “per ragioni connesse allo svolgimento dell’attività aziendale”.

Si richiamano, a tal proposito, le pronunce dell’Autorità sullo specifico aspetto in cui si chiarisce, in primo luogo, che “la legittima necessità di assicurare la conservazione di documentazione necessaria per l´ordinario svolgimento e la continuità dell´attività aziendale, anche in relazione ai rapporti intrattenuti con soggetti privati e pubblici, nonché in base a specifiche disposizioni dell´ordinamento, è assicurata, in primo luogo, dalla predisposizione di sistemi di gestione documentale con i quali − attraverso l´adozione di appropriate misure organizzative e tecnologiche − individuare i documenti che nel corso dello svolgimento dell´attività lavorativa devono essere via via archiviati con modalità idonee a garantire le caratteristiche di autenticità, integrità, affidabilità, leggibilità e reperibilità prescritte dalla disciplina di settore applicabile. I sistemi di posta elettronica, per loro stessa natura, non consentono di assicurare tali caratteristiche” (v. provv. n. 53 del 01/02/2018, doc. web n. 8159221 e provv. n. 214 del 29/10/2020 doc. web 9518890).

Lo scopo di predisporre strumenti per l’ordinaria ed efficiente gestione dei flussi documentali aziendali, pertanto, può ben essere perseguito, conformemente alle disposizioni vigenti, con strumenti meno invasivi per il diritto alla riservatezza degli interessati, rispetto alla sopra descritta attività di accesso da parte dell’Agenzia al contenuto delle comunicazioni pervenute sugli account assegnati ai collaboratori che risulta pertanto non necessaria né proporzionata rispetto allo scopo (v. provv. n. 53 del 01/02/2018, doc. web 8159221).

Pertanto, la condotta tenuta dall’Agenzia, consistente nella conservazione senza limiti di tempo del contenuto della corrispondenza transitata sugli account di posta elettronica individualizzata dei due segnalanti, nonché la loro reperibilità per mere finalità di continuità dell’attività aziendale, come accertato nel corso dell’istruttoria, risulta illecita, in quanto posta in essere in assenza di un presupposto di liceità ai sensi dell’art. 6 del Regolamento, e contraria ai principi di minimizzazione e di limitazione della conservazione di cui all’art. 5, par. 1, lett. c) ed e) del Regolamento.

4. Conclusioni: dichiarazione di illiceità del trattamento.  Provvedimenti correttivi ex art. 58, par. 2, del Regolamento.

Per i suesposti motivi, l’Autorità ritiene che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento con riferimento agli artt. 5, par. 1, lett. a), c) ed e), e 6 del Regolamento che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro, con riferimento a tali profili, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Visti i poteri correttivi attribuiti dall’art. 58, par. 2, del Regolamento, alla luce delle circostanze del caso concreto:

- si ingiunge all’Agenzia di conformare il regolamento aziendale sull’utilizzo degli strumenti informatici alla disciplina in materia di protezione dei dati personali, con riferimento all’ulteriore trattamento dei dati relativi agli account di posta elettronica assegnati ai propri collaboratori, sia in vigenza del rapporto di lavoro che successivamente all’interruzione dello stesso;

- si dispone l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

All’esito del procedimento risulta che Maviglia Assicurazioni Snc ha violato gli artt. 5, par. 1, lett. a), c) ed e), e 6 del Regolamento. Per la violazione delle predette disposizioni è prevista l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. a), del Regolamento, mediante adozione di un’ordinanza ingiunzione (art. 18, l. 24.11.1981, n. 689).

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento che prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini dell’ applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

a) in relazione alla natura, gravità e durata della violazione è stata considerata rilevante la natura della violazione che ha riguardato i principi generali del trattamento;

b) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare è stata presa in considerazione la condotta dell’Agenzia, il grado di responsabilità della stessa che non risulta essersi conformata, neanche dopo l’apertura del procedimento, alla disciplina in materia di protezione dei dati relativamente a una pluralità di disposizioni;

c) a favore della parte si è tenuto conto dell’assenza di precedenti specifici.

Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base alla dichiarazione di imposta riferita all’anno 2021. Da ultimo si tiene conto dell’entità delle sanzioni irrogate in casi analoghi.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Maviglia Assicurazioni Snc di Gherardo Maviglia & c. la sanzione amministrativa del pagamento di una somma pari ad euro 5.000,00 (cinquemila).

In tale quadro si ritiene, altresì, in considerazione della tipologia delle violazioni accertate che hanno riguardato i principi generali del trattamento che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito internet del Garante.

Si ritiene, altresì, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO, IL GARANTE

rileva l’illiceità del trattamento dei dati riferiti ai due segnalanti, effettuato da Maviglia Assicurazioni snc di Gherardo Maviglia & c., in persona del legale rappresentante pro tempore, con sede legale in Roma, Via della Pineta di Ostia n. 10, P.I. 11507251004, ai sensi dell’art. 143 del Codice, per la violazione degli artt. 5, par. 1, lett. a), c), e) e 6 del Regolamento;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento a Maviglia Assicurazioni snc di Gherardo Maviglia & c., di pagare la somma di euro 5.000,00 (cinquemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di conformare il regolamento aziendale sull’utilizzo degli strumenti informatici alla disciplina in materia di protezione dei dati nei termini esposti in motivazione entro 90 giorni dalla data di notifica del presente provvedimento;

INGIUNGE

quindi alla medesima Società di pagare la predetta somma di euro 5.000,00 (cinquemila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981.

Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/20129, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

Richiede alla società di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto disposto con il presente provvedimento e di fornire comunque riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice, entro il termine di 90 giorni dalla data di notifica del presente provvedimento; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 5, lett. e) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 22 giugno 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL VICE SEGRETARIO GENERALE
Filippi