[doc. web n. 9978536]

Provvedimento del 21 dicembre 2023

Registro dei provvedimenti
n. 602 del 21 dicembre 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presentato ai sensi dell’art. 77 del Regolamento dalla Sig.ra XX nei confronti di Mediafond;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. Il reclamo nei confronti del Fondo e l’attività istruttoria.

In data 1 aprile 2021, la sig.ra  ha presentato un reclamo, integrato spontaneamente il 7 luglio 2021 e successivamente regolarizzato il 27 luglio 2021 e il 26 gennaio 2022, a seguito di inviti a regolarizzare dell’Autorità, nei confronti di Mediafond (di seguito, il Fondo), lamentando presunte violazioni del Regolamento ed in particolare la persistente attività dell’account di posta elettronica aziendale “” anche a seguito della cessazione del rapporto di lavoro e l’attivazione di un sistema di inoltro automatico delle comunicazioni pervenute sullo stesso a seguito della cessazione del rapporto di lavoro su altro account visibile da dipendenti del Fondo; ciò in assenza di alcuna informativa.

Con il reclamo è stato chiesto, tra l’altro, di ingiungere al titolare del trattamento di “produrre copia di tutte le informazioni trattenute, di tutte le e-mail destinate alla casella personale della reclamante […] e di tutte le eventuali risposte trasmesse, dalla data delle sue dimissioni (5 febbraio 2021) fino al giorno della effettiva cancellazione e disattivazione della casella stessa”.

Con nota del 30 maggio 2022, nel fornire riscontro alle richieste del Dipartimento del 21 aprile 2022, il Fondo ha rappresentato che:

“Mediafond […] è Titolare del trattamento dati per tutte le attività nelle quali determina le finalità ed i mezzi del trattamento” (v. nota 30.5.2022 cit., p. 2);

“Mediafond ha strutturato un proprio Sistema Gestione Privacy, individuando i soggetti deputati al trattamento dei dati personali” (v. nota cit., p. 2);

“la [reclamante] è stata componente del Sistema Gestione Privacy, essendo stata nominata persona autorizzata al trattamento dati in data 29 maggio 2018” (v. nota cit., p. 2);

“il sistema informatico di Mediafond è interamente gestito dalla Società RTI S.p.A., a seguito della sottoscrizione di specifici contratti di service e della conseguente formalizzazione dell’«Accordo a Responsabile per il trattamento dei dati personali», in base all’art. 28 del Regolamento UE 2016/679, del 31 marzo 2021” (v. nota cit., p. 2);

“il Sistema di Gestione Privacy di Mediafond si basa su procedure interne e sull’applicazione di alcune L.G.O – Linee Guida Organizzative – del Gruppo Mediaset” (v. nota cit., p. 2);

“tra le Linee Guida Organizzative è, ad esempio, vigente quella in materia di utilizzo degli strumenti informatici e gestione informatica dei dati personali (L.G.O. – MD/HO 103, titolo «Utilizzo degli strumenti informatici», del 28 giugno 2018)” (v. nota cit., p. 3);

“la [reclamante] è stata dipendente del Fondo dal 1° marzo 2016 al 4 febbraio 2021, con il ruolo di «Responsabile operativo, rapporti istituzionali e comunicazione», ma fin dal 2003 ha ricoperto detto ruolo come dipendente Mediaset distaccata presso il Fondo” (v. nota cit., p. 3);

“alla [reclamante], nell’ambito del proprio ruolo all’interno del Fondo, veniva assegnato l’account di posta elettronica [oggetto di reclamo]” (v. nota cit., p. 3);

“tale indirizzo di posta elettronica era indicato, fino alla data delle dimissioni della ricorrente, tra i «contatti» del Fondo sul sito Internet e all’interno dei principali documenti di Mediafond” (v. nota cit., p. 3);

“alla data di cessazione del rapporto di lavoro, con immediatezza, il Presidente del Fondo Mediafond trasmetteva al supporto informatico del Gruppo Mediaset richiesta di disattivazione dell’account di posta elettronica personale della dipendente […] chiedendo altresì di mantenere attivo l’indirizzo di posta elettronica [assegnato alla reclamante], almeno fino al 31 dicembre 2021, indirizzando automaticamente le mail in arrivo su tale casella all’indirizzo «mediafond@mediaset.it», nonché di inviare al mittente una risposta automatica del seguente tenore: «Buongiorno vi informiamo che con decorrenza dal 5 febbraio 2021 la [reclamante] ha terminato il suo rapporto di lavoro con Mediafond. Vi invitiamo pertanto ad utilizzare per le vostre comunicazioni l’indirizzo mediafond@mediaset.it o a consultare il sito www.mediafond.it nella sezione Contatti»” (v. nota cit., p. 3);

“l’account di posta elettronica [assegnato alla dipendente] è stato, dunque, disattivato il 5 febbraio 2021 e la casella di posta è rimasta operativa con inoltro verso l’indirizzo «mediafond@mediaset.it» fino all’11 gennaio 2022” (v. nota cit., p. 3);

“la reclamante, prima delle dimissioni, ricopriva il ruolo di «Responsabile operativo e rapporti istituzionali», che prevedeva nell’ambito dell’ordinaria amministrazione dell’attività del Fondo, un contatto diretto con gli iscritti, al fine di facilitare e intercettare le loro esigenze e richieste con i principali soggetti esterni al Fondo. Tale contatto avveniva soprattutto utilizzando l’indirizzo aziendale personale di posta elettronica. Prassi ulteriormente utilizzata e pressoché indispensabile per garantire la continuità operativa nel periodo in esame, caratterizzato dall’emergenza pandemica e dal conseguente ricorso sistematico alla pratica del «lavoro agile». Sullo stesso indirizzo venivano, inoltre, recapitate anche importanti mail automatiche inviate da parte di soggetti esterni. Infine, si evidenzia che, per loro natura, le richieste pervenute dagli iscritti necessitano, per la maggior parte dei casi, di risposte tempestive, al fine di attivare o di gestire le relative attività sottostanti” (v. nota cit., p. 4);

“l’accesso all’account condiviso «mediafond@mediaset.it» è consentito soltanto al presidente del Fondo (Legale rappresentante), al Direttore Generale (persona designata per il coordinamento privacy) e all’unica dipendente del Fondo autorizzata al trattamento dati, dopo le dimissioni della ricorrente” (v. nota cit., p. 4);

“considerata la struttura organizzativa di Mediafond, composta alla data dei fatti dal Direttore Generale e da due dipendenti, tra le quali la ricorrente, ove i rapporti personali e di solidarietà si rafforzano e consolidano nel tempo, si è ritenuto di poter procedere al reinoltro di alcune comunicazioni personali pervenute sull’account di posta elettronica [assegnato alla reclamante] e, conseguentemente, su «mediafond@mediaset.it», all’indirizzo di posta elettronica privato della [reclamante]” (v. nota cit., p. 4);

“l’account di posta elettronica [riconducibile alla reclamante] non è più attivo” (v. nota cit., p. 4);

“lo stesso 5 febbraio 2021 è stato attivato un meccanismo di risposta automatico segnalante la disattivazione dell’account di posta elettronica” (v. nota cit., p. 5);

“la dipendente […] ha ricevuto specifica «Informativa sul trattamento di dati personali», che non riporta riferimenti diretti all’account di posta elettronica aziendale; tuttavia, la dipendente aveva accesso attraverso la Intranet aziendale alla predetta L.G.O. – MD/HO 103, titolo «Utilizzo degli strumenti informatici», del 28 giugno 2018, ove al paragrafo 5.7 «Utilizzo della posta elettronica», sono descritte le modalità di utilizzo della posta elettronica aziendale” (v. nota cit., p. 5);

“relativamente alle comunicazioni di carattere personale, pervenute sull’account attribuito alla reclamante, il titolare del trattamento ritiene di assumere la seguente condotta: procedere alla cancellazione dal sistema di posta elettronica di tutte le mail che per effetto del reinoltro automatico disposto a partire dal 5 febbraio 2021 sull’indirizzo [riferito alla reclamante], sono pervenute fino alla data dell’11 gennaio 2022 all’indirizzo mediafond@mediaset.it e disporre la loro segregazione in un apposito spazio elettronico dedicato, secondo modalità tecniche idonee a garantire l’accesso al legale rappresentante del Fondo, a seguito dell’istanza dell’interessato” (v. nota cit., p. 5).

In data 23 luglio 2022, la reclamante ha inviato le proprie controdeduzioni.

A seguito di una richiesta di informazioni formulata dall’Ufficio il 13 settembre 2022, il Fondo, con nota del 10 ottobre 2022, ha dichiarato che “rispetto alle operazioni effettuate dal Fondo sull’account [assegnato alla reclamante] i giorni 15 e 16 febbraio 2021 ed alle finalità delle stesse operazioni, alleghiamo nota tecnica predisposta in collaborazione con i tecnici informatici della Società di servizi IT”.

Alla stessa nota risulta allegato un documento contenente un “Approfondimento in merito alle osservazioni trasmesse dal Garante per la protezione dei dati personali in data 13 settembre 2022, riguardo al «reclamo avente ad oggetto il trattamento dei dati relativi ad un account di posta elettronica aziendale individualizzato successivamente alla cessazione del rapporto di lavoro»”.

2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e le deduzioni del Fondo.

Il 2 novembre 2022, l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione al Fondo delle presunte violazioni del Regolamento riscontrate, con riferimento agli artt. 5, par. 1, lett. a), c), e), 9 e 13 del Regolamento.
In data 28 novembre 2022, il Fondo ha presentato i propri scritti difensivi e in quell’occasione ha evidenziato che:

“con riferimento agli accessi all’account di posta elettronica individualizzato assegnato alla reclamante, avvenuti in data 15 e 16 febbraio 2021 si ribadisce […] che tali interventi di natura esclusivamente tecnica sono stati effettuati dal Service informatico nel rispetto delle procedure interne e della normativa vigente, e senza alcun accesso all’account di posta elettronica individualizzata e ai dati presenti nell’account della stessa rispettivamente: - in data 15 febbraio è stata effettuato dal Service un intervento tecnico per rimuovere la «forzatura» resasi necessaria il giorno 5 febbraio in sede di attivazione del blocco della mail, intervento effettuato con «procedura di urgenza» in un orario diverso rispetto a quello previsto per l’assolvimento delle attività ordinarie. Tale intervento si è reso necessario per impedire la sospensione del messaggio di inoltro; - in data 16 febbraio è stato effettuato dal Service, su indicazione del Fondo, un intervento per correggere il «typing error» relativo all’anno (2021 invece di 2020) erroneamente contenuto nel primo messaggio di risposta automatica, intervento non andato a buon fine a seguito della prima richiesta del Fondo in data 9 febbraio” (v. nota 28.11.2022, p. 2);

“la condotta seguita dal Fondo all’indomani della comunicazione delle dimissioni della reclamante (disattivazione della casella di posta elettronica aziendale individualizzata, impostazione di un messaggio di risposta automatica, inoltro delle mail ricevute su un indirizzo del Fondo) è stata dettata dalle circostanze specifiche determinate dalle dimissioni del tutto impreviste e senza preavviso della risorsa che fino a quel momento rappresentava l’interlocutore principale degli iscritti” (v. nota cit., p. 3);

“tale condotta ha avuto come unico scopo quello di assicurare alla struttura operativa del Fondo, costituita a partire da quel momento da un collaboratore che ricopriva il ruolo di Direttore Generale e da una impiegata assunta con contratto a tempo indeterminato (fino a quel momento utilizzata anche a presidio della Segreteria operativa del Fondo) la massima efficienza e tempestività nella gestione delle pratiche degli iscritti e di altri eventuali interlocutori istituzionali del Fondo, tenuto conto delle circostanze emergenziali del periodo e delle attività non ricorrenti dettate dall’adeguamento normativo di settore previste per l’anno 2021: - contesto generale: Lock Down e Smart working; - contesto specifico legato all’attività del Fondo: adeguamento normativo, dovuto agli adempimenti connessi all’introduzione della nuova normativa di settore (c.d. IORP II); monitoraggio continuo delle gestioni finanziarie e del relativo andamento in una fase di elevata turbolenza e volatilità dei mercati generata dalla pandemia; predisposizione e approvazione del nuovo Documento triennale sulla politica di investimento del Fondo” (v. nota cit., p. 3);

“la previsione di durata di quanto predisposto dal Fondo in relazione all’indirizzo di posta elettronica della reclamante era stata pertanto determinata per un periodo di tempo ritenuto ragionevolmente necessario: - a consentire di recuperare un assetto organizzativo e operativo maggiormente efficiente, in linea con il percorso disposto e condiviso dal CdA del Fondo, anche in considerazione del settore estremamente specializzato e della difficoltà di reperire sul mercato risorse coerenti col profilo di costi (contenuti) sostenibili per un Fondo negoziale della natura e delle dimensioni di Mediafond; - a garantire la diffusione dell’informativa al maggior numero di iscritti. Data la numerosità degli iscritti (oltre 2.700) gli stessi non avrebbero ragionevolmente contattato il Fondo in un arco di tempo limitato” (v. nota cit., p. 3, 4);

“quanto disposto dal Fondo in relazione all’inoltro non lasciava prefigurare rischi di violazione di profili privacy della ricorrente/interessato al trattamento (Codice Etico, Politica Privacy del Fondo e Informativa) data la finalità associata all’indirizzo di posta elettronica della stessa [mail assegnata alla reclamante], in relazione al ruolo organizzativo specifico di «Responsabile operativo e Rapporti Istituzionali» svolto dalla stessa. Infatti, tale indirizzo, unitamente a quello mediafond@mediaset.it, era indicato nei Contatti ufficiali del Fondo per ricevere le mail degli iscritti, delle Controparti coinvolte nell’attività ordinaria e istituzionale del Fondo, anche di natura automatica. Si precisa inoltre che l’accesso all’account condiviso «mediafond@mediaset.it», da quel momento unico contatto formale e ufficiale del Fondo, era consentito al Direttore Generale (persona designata per il coordinamento privacy) e all’unica dipendente del Fondo «incaricata» al trattamento dati, dopo le dimissioni della ricorrente” (v. nota cit., p. 4);

“in funzione dei ruoli svolti, della natura e dei contenuti veicolati da tali indirizzi e-mail, l’accesso e l’utilizzo della casella in oggetto, nel periodo in esame nell’ambito dell’operatività ordinaria del Fondo, è stato svolto dall’unica dipendente del Fondo” (v. nota cit., p. 4);

“le mail di natura privata indirizzate alla dipendente, successivamente alla data delle sue dimissioni, sono state trattate applicando i criteri di minimizzazione e limitazione previsti dal Regolamento. Infatti, una volta ricevuti sono stati immediatamente inoltrati alla diretta interessata e cancellati dall’archivio senza alcuna possibilità di essere divulgati a terzi o di essere utilizzati dal Fondo con finalità proprie” (v. nota cit., p. 4);

“con riferimento all’inoltro delle comunicazioni private all’indirizzo di posta elettronica privato della [reclamante]: la stessa [reclamante] ha preavvertito la segreteria del Fondo che sarebbero arrivate delle mail di natura privata ed ha spontaneamente fornito detto indirizzo di posta elettronica privato alla collega che ha eseguito il reinoltro; - le mail in oggetto una volta inviate alla ricorrente sono state immediatamente cancellate dalla stessa persona che le aveva inviate; l’eventuale utilizzo improprio dell’account della ricorrente non è mai stato segnalato o contestato dalla medesima direttamente al Fondo; - la stessa [reclamante], alla ricezione delle comunicazioni sul suo indirizzo di posta elettronica privato, ha più volte ringraziato l’ex collega […]; la ricorrente ha tenuto un comportamento non lineare e contraddittorio nei confronti del Fondo, da un lato chiedendo alla ex collega il favore di reinoltrare eventuali mail di natura personale e dall’altro lamentando formalmente la legittimità di tale condotta presentando ricorso introduttivo del presente procedimento” (v. nota cit., p. 4, 5);

“l’inoltro di tali mail, per altro di una numerosità trascurabile, è avvenuto in totale buona fede, assecondando le richieste della ricorrente ed è stato gestito unicamente dalla segreteria del Fondo, che negli anni aveva consolidato una relazione professionale con la ricorrente e senza condividere il contenuto di tali mail, né con gli altri soggetti operanti nel Fondo, né tantomeno con terze parti” (v. nota cit., p. 5);

“l’assenza di idonea informativa alla reclamante successivamente alla cessazione del rapporto di lavoro è da ricondurre quindi alle finalità e alle circostanze che hanno determinato la condotta precedentemente descritta, in particolar modo relative alla specificità della casella di posta in oggetto” (v. nota cit., p. 6);

“tuttavia, alla luce di quanto segnalato dal[Garante], il Fondo nell’ottica di un sempre migliore e progressivo adeguamento delle proprie procedure e codici di condotta in ambito privacy alle casistiche concretamente riscontrabili, predisporrà, sotto la supervisione del proprio DPO, apposite linee guida che disciplinino, tenuto conto delle specificità del Fondo: a) l’ordinata gestione relativa all’utilizzo degli account di posta elettronica aziendale individualizzati a seguito della cessazione del rapporto di lavoro; b) il corretto utilizzo degli account di posta elettronica aziendale individualizzati da parte dei dipendenti in organico al fine di evitare l’uso degli stessi per fini privati” (v. nota cit., p. 6).

In data 2 febbraio 2023, a seguito di specifica richiesta del Fondo, si è tenuta l’audizione dello stesso. In tale occasione la parte ha rappresentato che:

− “il Fondo ha compreso gli aspetti di forma che non erano conformi alla disciplina di protezione dei dati e sta intervenendo. La gestione della casella di posta elettronica aziendale individualizzata di un dipendente del Fondo a seguito della cessazione del rapporto di lavoro non era regolamentata all’epoca in cui i fatti si sono verificati anche perché fino a quel momento non c’era stata nessuna situazione di cessazione del rapporto di lavoro con il Fondo”;

− “con riferimento alla vicenda oggetto del presente procedimento riteniamo che le scelte del Fondo siano state funzionali a garantire la continuità dell’attività del Fondo”;

− “il 4 febbraio 2021 la reclamante ha comunicato al Fondo in maniera improvvisa le dimissioni”;

− “a seguito delle dimissioni della reclamante […] è stato […] attivato un messaggio automatico che veniva inviato a chi scriveva all’account della reclamante ed è stato impostato un sistema di inoltro delle e-mail in entrata all’indirizzo di posta elettronica del Fondo”;

− “la scelta di impostare il sistema di inoltro è stata presa in buona fede”;

− “alle e-mail inoltrate dall’account della reclamante poteva accedere potenzialmente il direttore generale, ma non il Presidente. Nei fatti le e-mail personali della reclamante sono state viste solo dall’altra dipendente del Fondo e non dal direttore generale né dal Presidente”;

− “attraverso la modalità di inoltro il Fondo non ha arrecato nessun danno sostanziale”;

− “allo stato attuale il Fondo si allinea alla previsione normativa, infatti sta formalizzando una integrazione delle procedure per cui nei casi di cessazione del rapporto di lavoro di un dipendente del Fondo non si procederà all’inoltro delle comunicazioni in entrata, ma verrà predisposto solo un messaggio automatico indicando gli indirizzi di posta alternativi a cui scrivere. Tale procedura verrà discussa a fine febbraio dal consiglio di amministrazione del Fondo, ma tale procedura nella realtà è già attiva. Inoltre, attualmente sul sito del Fondo viene indicato solo l’indirizzo e-mail non individualizzato del Fondo stesso”;

− “la durata del sistema di inoltro delle comunicazioni pervenute sull’account aziendale della reclamante è stata condizionata dal fatto che per un anno, a causa dell’emergenza sanitaria, abbiamo lavorato da remoto”;

− “la reclamante non ha esercitato nessun tipo di diritto di accesso nei confronti del Fondo”.

3. Esito del procedimento.

3.1 Fatti accertati e osservazioni sulla normativa in materia di protezione dei dati personali.

All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, risulta che la Società, in qualità di titolare, ha effettuato alcune operazioni di trattamento riferite alla reclamante, che risultano non conformi alla disciplina in materia di protezione dei dati personali per quanto riguarda il trattamento dell’account di posta elettronica aziendale.

In proposito si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

Il titolare del trattamento, in base a quanto disposto dall’art. 13 del Regolamento - che costituisce diretta espressione del principio di trasparenza (v. art. 5, par. 1, lett. a) del Regolamento) -, prima di effettuare il trattamento, fornisce all’interessato le informazioni relative alle caratteristiche essenziali dei trattamenti che intende effettuare, anche con riferimento all’utilizzo di strumenti messi a disposizione nell’ambito del rapporto di lavoro.

Nell’ambito del rapporto di lavoro informare compiutamente il lavoratore sul trattamento dei suoi dati è anche espressione del principio generale di correttezza dei trattamenti (v. art. 5, par. 1, lett. a) del Regolamento).

Il titolare del trattamento, inoltre, tratta solo i dati adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (principio di minimizzazione, art. 5, par. 1, lett. c), del Regolamento). Il titolare del trattamento deve, inoltre, conservare i dati “in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati” (art. 5, par. 1, lett. e), principio di limitazione della conservazione).

Il titolare del trattamento deve trattare i dati in modo lecito ai sensi dell’art. 5, par. 1, lett. a), del Regolamento. In merito ai dati appartenenti a categorie particolari di dati l’art. 9 del Regolamento enuncia il divieto di trattare dati personali che “rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona”. Il par. 2 del medesimo articolo individua tassativamente le fattispecie al ricorrere delle quali il trattamento dei dati c.d. particolari è lecito, tra queste la lett. a) considera l’ipotesi in cui “l'interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell'Unione o degli Stati membri dispone che l'interessato non possa revocare il divieto di cui al paragrafo 1”.

3.2 Violazioni accertate.

3.2.1 Violazione dell’art. 5 par. 1 lett. a), c), e) e dell’art. 9 del Regolamento.

In base agli elementi acquisiti nel corso dell’attività istruttoria nonché delle successive valutazioni di questo Dipartimento, risulta accertato che il Fondo, dopo la cessazione del rapporto di lavoro con la reclamante, per un periodo di tempo significativo (5 febbraio 2021-11 gennaio 2022), ha attivato un sistema di inoltro automatico a un account condiviso del Fondo («mediafond@mediaset.it») delle comunicazioni elettroniche pervenute sull’account assegnato alla reclamante («»).

In tal modo il Fondo ha avuto contezza del contenuto delle stesse comunicazioni. Ciò è confermato, oltre che dalle dichiarazioni del Fondo stesso, anche dalla selezione di alcune conversazioni ritenute di interesse personale per la reclamante che sono state trasmesse dal Fondo a quest’ultima su diverso indirizzo di posta elettronica.

Il Fondo, in tale significativo periodo di tempo, ha avuto la piena operatività sull’account individualizzato assegnato alla reclamante nonché l’effettiva possibilità di gestirlo senza alcuna limitazione; gli interventi (seppur di natura prettamente tecnica, come rilevato dal Fondo, da ultimo, negli scritti difensivi del 28.11.2022) effettuati sull’account in esame, in data 15 e 16 febbraio 2021, confermano tale illimitato controllo.

La condotta tenuta dal Fondo, quindi, non si è limitata alla – lecita – attività consistente nell’impostazione di un messaggio automatico volto ad informare i terzi della imminente disattivazione dell’account a suo tempo assegnato alla reclamante e della possibilità di contattare altri e diversi indirizzi e-mail, per esigenze di continuità dell’attività svolta; il Fondo, infatti, ha attivato un sistema di inoltro delle comunicazioni in entrata sull’account oggetto di reclamo ad un suo diverso indirizzo al quale potevano accedere una molteplicità di soggetti (in base a quanto dichiarato dal Fondo con nota del 30.5.2022, il presidente del Fondo, il direttore generale, una dipendente del Fondo; in occasione dell’audizione, il Fondo, in proposito, ha poi specificato che avevano la possibilità di accedere all’account condiviso il direttore generale del Fondo e una propria dipendente).

In tal modo, il titolare del trattamento ha preso conoscenza di tutte le comunicazioni pervenute sull’account individualizzato assegnato alla reclamante, successivamente alla cessazione del rapporto di lavoro, anche di quelle con contenuto personale.

La descritta condotta si pone in contrasto con la disciplina di protezione dei dati personali, in particolare con i principi di liceità, di minimizzazione e di limitazione della conservazione di cui all’art. 5, par. 1, lett. a), c) ed e) del Regolamento.

Il trattamento è, infatti, stato posto in essere in assenza di idonea base giuridica e non può ritenersi una sufficiente giustificazione la circostanza, fornita dalla Società nei propri scritti difensivi, di avere dovuto svolgere l’attività lavorativa per un anno in modalità smart working.

Tale circostanza infatti non ha alcuna attinenza con la scelta di impostare un sistema di inoltro delle comunicazioni in entrata su un indirizzo di posta elettronica ad altro account.

Il trattamento è stato effettuato in violazione del principio di minimizzazione dei dati considerato, tra l’altro, che la finalità di mantenere i contatti con i propri clienti poteva essere realizzata con modalità differenti e conformi alla disciplina di protezione dei dati.

In proposito si osserva come lo scambio di corrispondenza elettronica − estranea o meno all’attività lavorativa − su un account aziendale di tipo individualizzato configuri un’operazione che consente di conoscere alcune informazioni personali relative all’interessato (v. "Linee guida del Garante per posta elettronica e Internet", in G. U. n. 58 del 10.3.2007, spec. punto 5.2, lett. b), e che il Garante ha già ritenuto conforme ai principi in materia di protezione dei dati personali (v. Provv.ti 4 dicembre 2019, n. 216, doc. web 9215890; 1° febbraio 2018, n. 53, doc. web n. 8159221, punto 3.4.) che dopo la cessazione del rapporto di lavoro il titolare provveda alla rimozione dell’account previa disattivazione dello stesso e contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti alla sua attività professionale, provvedendo altresì ad adottare misure idonee ad impedire la visualizzazione dei messaggi in arrivo durante il periodo in cui tale sistema automatico è in funzione.

Il protrarsi della condotta di inoltro delle comunicazioni in ingresso su altro indirizzo, per circa un anno, non risulta conforme, inoltre, al principio di limitazione della conservazione.

In proposito si osserva come l’asserita esigenza di fronteggiare una situazione imprevista (dimissioni senza preavviso della reclamante) si pone in evidente contrasto con la persistenza per mesi della condotta illecita.

Attraverso la pratica del reinoltro all’indirizzo di posta elettronica mediafond@mediaset.it dei messaggi pervenuti dal 5 febbraio 2021 sull’account assegnato alla reclamante, il Fondo ha acceduto, tra l’altro, successivamente alla cessazione del rapporto di lavoro, anche a dati appartenenti a categorie particolari di dati ex art. 9 del Regolamento riferiti alla reclamante - e a terzi - (in particolare, dati relativi alla salute) in assenza di un idoneo criterio di legittimazione.

Risultano in atti, infatti, comunicazioni elettroniche, inviate all’indirizzo di posta assegnato alla reclamante, contenenti una molteplicità di ricette mediche elettroniche, datate 22 febbraio 2021 (all. 4 al reclamo). 

Ciò, pertanto, è avvenuto in violazione di quanto previsto dall’art. 9 del Regolamento. Non risulta, infatti, che la reclamante abbia fornito, successivamente alla cessazione del rapporto di lavoro, alcun consenso ai sensi dell’art. 9 par. 2 lett. a) del Regolamento al trattamento, da parte di Mediafond, di dati relativi alla salute.

3.2.2 Violazione dell’art. 5, par. 1, lett. a), e 13 del Regolamento.

La condotta descritta è stata posta in essere dal Fondo in assenza di idonea informativa in merito al controllo che il datore di lavoro avrebbe effettuato, successivamente alla cessazione del rapporto di lavoro, sugli strumenti elettronici assegnati alla reclamante (nella specie, account di posta elettronica individualizzato).

Ciò considerato che non risulta che la “linea guida organizzata” sull’“utilizzo degli strumenti informatici” (allegata al riscontro del 30.5.2022) - che il Fondo dichiara di avere messo a disposizione della reclamante attraverso la Intranet - fosse in effetti a disposizione dei dipendenti, quindi conosciuta dalla reclamante e considerato che, in ogni caso, all’interno dei paragrafi 5.7 e 5.7.1. della predetta linea guida (relativi rispettivamente a “Utilizzo della posta elettronica” e “Controlli sulla Posta Elettronica aziendale”) non si rinvengono indicazioni in merito alle modalità di trattamento effettuato dal Fondo sugli account aziendali individualizzati una volta cessato il rapporto di lavoro.

Il Fondo stesso ha dichiarato che l’assenza di informativa, relativamente al trattamento effettuato sull’account assegnato alla reclamante, è derivata, oltre che dalla specificità della casella di posta, dall’assenza di precedenti situazioni di cessazione del rapporto di lavoro.

Nessuna delle due spiegazioni risulta, però, idonea a giustificare l’assenza di informativa.

La ratio di quanto previsto dall’art. 13 del Regolamento, infatti, è quella di fornire agli interessati indicazioni chiare sul trattamento che il titolare porrà in essere in merito ai dati personali dei soggetti a cui si riferiscono.

Il titolare del trattamento, quindi, deve regolamentare come verranno effettuati i propri trattamenti conformemente alla disciplina di protezione dei dati, prima che gli stessi vengano posti in essere, esplicitando ciò in documenti idonei di informativa.

Si precisa, inoltre, come il contenuto dell’informativa deve essere conforme alla disciplina di protezione dei dati in quanto non è sufficiente informare l’interessato delle caratteristiche essenziali del trattamento, ma è anche essenziale che le informazioni fornite delineino operazioni di trattamento di per sé lecite.

La condotta tenuta dal Fondo risulta in contrasto, pertanto, con quanto stabilito dall’art. 13 del Regolamento - che costituisce corollario del principio di trasparenza di cui all’art. 5, par. 1, lett. a) del Regolamento - in base al quale il titolare del trattamento è tenuto a fornire preventivamente all’interessato tutte le informazioni relative alle caratteristiche essenziali del trattamento (cfr. Provv. 1° marzo 2007, n. 13 “Linee guida per posta elettronica e internet”, cit.).

Nell’ambito del rapporto di lavoro l’obbligo di informare il dipendente è, altresì, espressione del principio generale di correttezza (v. art. 5, par. 1, lett. a) del Regolamento).

Per quanto riguarda la domanda contenuta nel reclamo relativa al risarcimento del danno si rammenta che in base all’art. 82 del Regolamento e all’art. 152 del Codice la competenza in merito è dell’autorità giudiziaria ordinaria.

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Per i suesposti motivi, l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati personali effettuato dal Fondo e segnatamente il trattamento effettuato, successivamente alla cessazione del rapporto di lavoro, sull’account di posta elettronica assegnato alla reclamante, tra l’altro, in assenza di alcuna informativa, risulta infatti illecito, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a), c), e), 9 e 13 del Regolamento.

La violazione, accertata nei termini di cui in motivazione, non può essere considerata “minore”, tenuto conto della natura e della gravità della violazione stessa, del grado di responsabilità, della maniera in cui l'autorità di controllo ha preso conoscenza della violazione (v. Considerando 148 del Regolamento).

Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento, alla luce del caso concreto:

si ingiunge al Fondo di inviare alla reclamante le comunicazioni in entrata dal 5 febbraio 2021 all’11 gennaio 2022 sull’account un tempo assegnato alla stessa e allo stato conservate dal Fondo posto che quest’ultimo ha dichiarato di avere disposto “la loro segregazione in un apposito spazio elettronico dedicato, secondo modalità tecniche idonee a garantire l’accesso al legale rappresentante del Fondo, a seguito dell’istanza dell’interessato” (art. 58, par. 2, lett. c) del Regolamento) e si ordina la cancellazione, a seguito della predetta attività di invio delle comunicazioni alla reclamante, delle stesse comunicazioni (art. 58, par. 2, lett. g) del Regolamento);

si dispone l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) Regolamento).

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

All’esito del procedimento, risulta che Mediafond ha violato gli artt. 5, par. 1, lett. a), c), e), 9 e 13 del Regolamento. Per la violazione delle predette disposizioni è prevista l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. a) e b) del Regolamento, mediante adozione di un’ordinanza ingiunzione (art. 18, l. 24.11.1981, n. 689).

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

a)  in relazione alla natura, gravità e durata della violazione è stata considerata rilevante la natura della violazione che ha riguardato, tra l’altro, i principi generali del trattamento, tra cui i principi di liceità, trasparenza, correttezza e minimizzazione; la violazione ha riguardato, altresì, il trattamento di dati c.d. particolari;

b) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare è stata presa in considerazione la condotta del Fondo e il grado di responsabilità dello stesso che non si è conformata alla disciplina in materia di protezione dei dati relativamente a una pluralità di disposizioni;

c) a favore del Fondo si è tenuto conto della cooperazione con l’Autorità di controllo dimostrata nel corso del procedimento e nella volontà del Fondo di conformare i propri trattamenti alla disciplina di protezione dei dati.

Si ritiene inoltre che assuma rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo il fatto che il contravventore sia un fondo pensione avente forma di associazione senza scopo di lucro. Da ultimo si tiene conto dell’entità delle sanzioni irrogate in casi analoghi.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Mediafond la sanzione amministrativa del pagamento di una somma pari ad euro 10.000 (diecimila).

In tale quadro si ritiene, altresì, in considerazione della tipologia delle violazioni accertate che hanno riguardato i principi generali del trattamento e il trattamento di dati particolari nonché l’obbligo di informativa sul trattamento dei dati personali, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante.

Si ritiene, altresì, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO, IL GARANTE

rileva l’illiceità del trattamento effettuato da Mediafond, in persona del legale rappresentante, con sede legale in Viale Europa, 48, Cologno Monzese (Milano), C.F. 94577960159, ai sensi dell’art. 143 del Codice, per la violazione degli artt. 5, par. 1, lett. a), c), e), 9 e 13 del Regolamento;

INGIUNGE

a Mediafond:

ai sensi dell’art. 58, par. 2, lett. c) del Regolamento, di inviare alla reclamante le comunicazioni in entrata, dal 5 febbraio 2021 all’11 gennaio 2022, sull’account un tempo assegnato alla stessa, entro 60 giorni dal ricevimento del presente provvedimento e, ai sensi dell’art. 58, par. 2, lett. g) del Regolamento, di cancellare le predette comunicazione dopo averle trasmesse alla reclamante;

di pagare la somma di euro 10.000 (diecimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento a Mediafond, di pagare la somma di euro 10.000 (diecimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/20129, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

Richiede a Mediafond di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto disposto con il presente provvedimento e di fornire comunque riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice, entro il termine di 90 giorni dalla data di notifica del presente provvedimento; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 5, lett. e) del Regolamento. In caso di inosservanza del provvedimento di divieto si applica quanto previsto dall’art. 170 del Codice.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 21 dicembre 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei