Provvedimento del 24 gennaio 2024 [9993531]

Ascolta

Stampa Stampa

Trasforma contenuto in PDF

[doc. web n. 9993531]

Provvedimento del 24 gennaio 2024

Registro dei provvedimenti
n. 41 del 24 gennaio 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTI i reclami presentati ai sensi dell’art. 77 del Regolamento dal sig. XX e dal sig. XX nei confronti di 2 Emme.ci Service s.r.l.;

ESAMINATA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. I reclami nei confronti della società e l’attività istruttoria.

In data 1° settembre 2021, i sig.ri XX e XX hanno presentato dinanzi all’Autorità due reclami ai sensi dell’art. 77 del Regolamento nei confronti di 2 Emme.ci Service s.r.l. (di seguito, la Società), regolarizzati l’8 luglio 2022, a seguito di invito a regolarizzare.

Con i reclami sono state lamentate presunte violazioni del Regolamento ed in particolare l’utilizzo, successivamente alla cessazione del rapporto di lavoro, di bollettari aziendali riportanti anche i nominativi dei reclamanti, l’aver mantenuto attivi gli account XX e XX “per ben 7 mesi dopo la cessazione del rapporto di lavoro” nonché “la mancata consegna degli attestati di frequenza ad un corso base tenutosi nel 2009 relativo alla conduzione di piattaforme mobili elevabili (PLE) svolti da[i] reclamant[i] presso la Union Teleo s.r.l. come dipendent[i] della Ali-car service s.r.l. ora Emme ci.service s.r.l. e ad oggi ancora in possesso di quest’ultima con relativo trattamento dei dati personali de[gli] ex dipendent[i]”.

Il 22 marzo 2023, la Società, a seguito di una richiesta di informazioni dell’8 agosto 2022, inviata nuovamente il 20 marzo 2023, ha fornito il proprio riscontro con riferimento al reclamo presentato dal sig. XX e in tale occasione ha dichiarato che:

- il reclamante “ha lavorato alle dipendenze della 2 EMME.CI., in qualità di operaio manutentore dal 1° marzo 2005 sino al 30 maggio 2020, data in cui hanno avuto effetto le dimissioni rassegnate il 19 maggio 2020” (v. nota 22.3.2023 cit., p. 3);

- “alla cessazione del rapporto di lavoro la 2 EMME.CI […], con diffida trasmessa a mezzo raccomandata a.r. in data 8 giugno 2020 […], ha contestato al lavoratore una serie di condotte di concorrenza sleale poste in essere dal medesimo ai danni della società” (v. nota cit., p. 3);

- “la vertenza relativa alle contestate violazioni e alla pretesa risarcitoria è stata dalle parti definita in via transattiva con il verbale di conciliazione sottoscritto in data 6 agosto 2020 […], avanti all’Ispettorato Territoriale del Lavoro di Udine-Pordenone” (v. nota cit., p. 4);

- “in sede di conciliazione le parti hanno dichiarato la definitiva estinzione di qualsivoglia pendenza insorta nel corso del rapporto di lavoro o allo stesso connessa, rinunciando reciprocamente ad ogni azione e attribuendo espressamente al verbale di conciliazione natura di transazione generale” (v. nota cit., p. 4);

- “la società 2 EMME.CI non tratta più i dati personali del [reclamante]” (v. nota cit., p. 4);

- “per quanto riguarda l’account di posta elettronica aziendale, riferito al [reclamante], va evidenziato che lo stesso è stato cancellato in data 28 dicembre 2020 […]. La società ha quindi provveduto alla cancellazione, dandone riscontro […], non appena ricevuta la relativa richiesta inoltrata dall’avv. [del reclamante]” (v. nota cit., p. 5);

- “il [reclamante] era l’unico soggetto ad aver accesso all’account aziendale [attribuito al reclamante], in quanto l’accesso era protetto da una password che è sempre stata nella sola disponibilità del lavoratore. Pertanto, la società datrice di lavoro non ha mai avuto la possibilità di accedere alla posta elettronica dell’account aziendale del [reclamante], né nel periodo in cui questi era dipendente della società, né, tantomeno, nel periodo successivo alla cessazione del rapporto di lavoro” (v. nota cit., p. 5);

- “tenuto conto delle improvvise e impreviste dimissioni del prestatore di lavoro, può essere capitato che in attesa di ricevere i nuovi bollettari rigorosamente predisposti senza alcun riferimento all’ex dipendente, che alcuni dei vecchi bollettari siano stati utilizzati dopo la cessazione del rapporto di lavoro con il [reclamante]” (v. nota cit., p. 5, 6);

- “allorquando in data 28 dicembre 2020, tramite comunicazione dell’avv. [del reclamante], è stata segnalata al sottoscritto difensore la presenza dei bollettari contenenti il vecchio riferimento al reclamante, la società ha prontamente provveduto alla eliminazione dei bollettari vecchi residui” (v. nota cit., p. 6);

- “la società 2 EMME.CI SERVICE s.r.l. è stata costituita in data 2 febbraio 2018 […] la partecipazione al corso cui il [reclamante] si riferisce è avvenuta quando il medesimo era alle dipendenze di altra società la ALI-CAR SERVICE s.r.l.” (v. nota cit., p. 6, 7);

- “la 2 EMME.CI ha provveduto a consegnare l’attestato di partecipazione al corso per le piattaforme elevabili tenutosi nel 2018 e che costituiva aggiornamento del corso svoltosi nel 2009, mentre la versione precedente, priva di validità ed inutilizzabile, non è nella disponibilità né della Società né del soggetto erogante, essendo l’attestato in questione scaduto, in quanto di durata quadriennale” (v. nota cit., p. 7);

- “la Società non sarebbe stata tenuta a conservare per una durata maggiore di dieci anni un attestato scaduto di un ex dipendente” (v. nota cit., p. 7);

- “la società ha dato immediato riscontro alla richiesta del [reclamante] relativa agli attestati di partecipazione ai corsi di formazione, trasmettendo, il giorno stesso della richiesta, tutti gli attestati nella disponibilità della 2 EMME.CI” (v. nota cit., p. 7);

- “la società 2 EMME.CI, per il tramite dell’avv. […], aveva già dato riscontro all’istanza di accesso ex art. 15 del Regolamento riguardante tutti gli attestati di frequenza del [reclamante] già in data 26 agosto e 7 settembre 2020” (v. nota cit., p. 8);

- “la società 2 EMME.CI SERVICE s.r.l. si è sempre impegnata infatti a collaborare con il [reclamante] per gestire in modo corretto gli aspetti legati alla cessazione del rapporto di lavoro intercorso con il medesimo, dando pronta risposta alle istanze da questi formulate” (v. nota cit., p. 8).

In data 3 aprile 2023, il reclamante ha inviato le proprie controdeduzioni.

L’11 maggio 2023, la Società, a seguito di una ulteriore richiesta di informazioni del 14 aprile 2023, ha rappresentato che:

- “l’account di posta elettronica [oggetto di reclamo] non configura in senso proprio un «account aziendale», anche se, per mera chiarezza espositiva, nei precedenti scritti si è fatto riferimento allo stesso account in questi termini, essendo stato in tal modo denominato nell’atto di reclamo presentato dal [reclamante] per il tramite del [proprio avvocato]” (v. nota 11.5.2023 cit., p. 2);

- “tale indirizzo di posta elettronica non era stato fornito, né creato, dalla 2 EMME.CI, ma era stato piuttosto attivato nel corso del rapporto di lavoro dallo stesso [reclamante], il quale aveva creato la relativa password per la registrazione e l’accesso, senza comunicarla alla società” (v. nota cit., p. 2);

- “per tale motivo, la società datrice di lavoro non ha mai avuto accesso alla posta elettronica ivi contenuta, essendo detto account protetto da password nella disponibilità del solo lavoratore, né nel periodo in cui il reclamante era alle dipendenze della Società, né, tantomeno, nel periodo successivo alla cessazione del rapporto di lavoro” (v. nota cit., p. 2);

- “l’indirizzo non veniva utilizzato per le comunicazioni ufficiali della Società, la quale utilizzava piuttosto i diversi indirizzi XX e [quello assegnato al socio amministratore], come comprovato anche dai bollettari aziendali che riportavano questi account di posta elettronica, senza fare invece riferimento alcuno all’account [oggetto di reclamo]” (v. nota cit., p. 2);

- “l’ex dipendente, così come aveva attivato l’account di cui si discute, ben avrebbe potuto in qualsiasi momento procedere alla sua cancellazione” (v. nota cit., p. 2, 3);

- “durante il periodo intercorso tra la cessione del rapporto di lavoro e la conciliazione avvenuta avanti all’Ispettorato Territoriale del Lavoro di Udine-Pordenone, ossia dal 20 maggio 2020 sino al 6 agosto 2020, le parti sono state in contatto tra loro tramite i rispettivi difensori, al fine di raggiungere un accordo per definire qualsivoglia vertenza e/o pendenza insorta nel corso del rapporto di lavoro e […] nel suddetto periodo non è stata avanzata alcuna richiesta alla 2 EMME.CI in ordine alla cancellazione del sopra menzionato account” (v. nota cit., p. 3);

- “la richiesta è pervenuta, infatti, solo successivamente alla sottoscrizione dell’accordo conciliativo e la 2 EMME.CI vi ha dato subito riscontro” (v. nota cit., p. 3);

- “i bollettari della Società contenenti il riferimento al cognome del [reclamante] non sono stati predisposti successivamente alla cessazione del rapporto di lavoro del medesimo con la Società, bensì erano stati ordinati e consegnati alla stessa dal fornitore quando il [reclamante] era ancora alle dipendenze della 2 EMME.CI.” (v. nota cit., p. 5);

- “i bollettari utilizzati in precedenza non facevano, invero, riferimento al [reclamante] (che si sarebbe poi dimesso dalla 2 EMME.CI nel maggio 2020) ma erano stati aggiornati proprio poco prima delle repentine e impreviste dimissioni del prestatore di lavoro. Per tale motivo […] può essere capitato che venissero erroneamente utilizzati dopo la cessazione del rapporto di lavoro con lo stesso” (v. nota cit., p. 5);

- “la 2 EMME.CI non era in possesso dell’attestato relativo al corso base per la conduzione di piattaforme mobili elevabili svoltosi nel 2009, scaduto da oltre un decennio e svolto dal lavoratore quando era alle dipendenze di un’altra società, la ALI-CAR SERVICE s.r.l. […] la 2 EMME.CI ha acquistato il ramo d’azienda della ALI-CAR SERVICE s.r.l. con atto di cessione di data 26 aprile 2018. La medesima è quindi sì subentrata nei precedenti rapporti della società cedente, ma non poteva essere in possesso di un attestato già scaduto prima della cessione del ramo d’azienda (essendo di durata quadriennale) e, verosimilmente, non più posseduto dall’ALI-CAR SERVICE s.r.l.” (v. nota cit., p. 6).

In data 12 maggio 2023, il reclamante ha inviato un’integrazione al reclamo contenente la copia della pagina di un bollettario della Società, riferita ad un ordine del 9 marzo 2023 (pagina che risulta compilata nella parte relativa alla descrizione dell’intervento ma nella quale la casella riferita alla data non è popolata). In data 6 agosto 2023, ha inviato le proprie controdeduzioni.

Per quanto riguarda il reclamo presentato dal sig. XX, il 6 ottobre 2022 la Società, a seguito di una richiesta di informazioni dell’8 agosto 2022, ha fornito il proprio riscontro e in tale occasione ha dichiarato che:

- “il [reclamante] ha lavorato alle dipendenze della 2 EMME.CI., in qualità di operaio manutentore dal 1° marzo 2005 sino al 22 maggio 2020, data in cui hanno avuto effetto le dimissioni rassegnate il 13 maggio 2020” (v. nota 6.10.2022 cit., p. 2);

- “alla cessazione del rapporto di lavoro la 2 EMME.CI […] ha contestato al lavoratore una serie di condotte di concorrenza sleale poste in essere dal medesimo ai danni della società” (v. nota cit., p. 3);

- “la vertenza relativa alle contestate violazioni e alla pretesa risarcitoria è stata dalle parti definita in via transattiva con il verbale di conciliazione sottoscritto in data 6 agosto 2020, n. 166, avanti all’Ispettorato Territoriale del Lavoro di Udine-Pordenone, sede di Udine” (v. nota cit., p. 3);

- “la società 2 EMME.CI non tratta più i dati personali del [reclamante]. Peraltro, […] le parti con il verbale di conciliazione […] hanno regolato in via definitiva ogni questione, nessuna esclusa, relativa al rapporto di lavoro intercorso (punti 6 e 7 dell’accordo), ivi compresi quindi i dati trattati in relazione allo stesso” (v. nota cit., p. 4);

- “per quanto riguarda l’account di posta elettronica aziendale, riferito al [reclamante], va evidenziato che lo stesso è stato cancellato in data 28 dicembre 2020” (v. nota cit., p. 4);

- “la società ha quindi provveduto alla cancellazione, dandone riscontro tramite [il proprio avvocato], non appena ricevuta la relativa richiesta inoltrata dall’avv. [del reclamante]” (v. nota cit., p. 4);

- “il [reclamante] era l’unico soggetto ad aver accesso all’account aziendale [oggetto di reclamo], in quanto l’accesso era protetto da una password che è sempre stata nella sola disponibilità del lavoratore” (v. nota cit., p. 4, 5);

- “la società datrice di lavoro non ha mai avuto la possibilità di accedere alla posta elettronica dell’account aziendale del [reclamante], né nel periodo in cui questi era dipendente della società, né, tantomeno, nel periodo successivo alla cessazione del rapporto di lavoro” (v. nota cit., p. 5);

- “la Società 2 EMME.CI non è in possesso dell’attestato relativo alla partecipazione al corso base per la conduzione di piattaforme elevabili svolto nel 2009 dal [reclamante] e richiesto dal reclamante alla società tramite il proprio avvocato soltanto nell’aprile 2021. […] la società 2 EMME.CI SERVICE s.r.l. è stata costituita in data 2 febbraio 2018 […] la partecipazione al corso cui il [reclamante] si riferisce è avvenuta quando il medesimo era alle dipendenze di altra società la ALI-CAR SERVICE s.r.l.” (v. nota cit., p. 6);

- “la società 2 EMME.CI, per il tramite del [proprio legale], aveva già dato riscontro all’istanza di accesso ex art. 15 del Regolamento riguardante tutti gli attestati di frequenza del [reclamante] già in data 26 agosto e 7 settembre 2020” (v. nota cit., p. 8);

In data 3 aprile 2023, il reclamante ha inviato le proprie controdeduzioni. L’11 maggio 2023, la Società, a seguito di una ulteriore richiesta di informazioni del 14 aprile 2023, ha evidenziato che:

- “tale indirizzo di posta elettronica non era stato né fornito, né creato, dalla 2 EMME.CI, ma era stato piuttosto attivato dal collega di lavoro del [reclamante], [l’altro reclamante], che ha creato due account - per sé e per il collega - quando erano alle dipendenze della Società, come anche la relativa password per la registrazione e l’accesso, senza comunicarla alla società” (v. nota cit., p. 2);

- “la società datrice di lavoro non ha mai avuto accesso alla posta elettronica ivi contenuta, essendo detto account protetto da password nella disponibilità del solo lavoratore, né nel periodo in cui il reclamante era alle dipendenze della Società, né, tantomeno, nel periodo successivo alla cessazione del rapporto di lavoro” (v. nota cit., p. 2);

- “solo a seguito della richiesta di cancellazione dell’account [oggetto di reclamo] inoltrata dall’avv. [del reclamante] la Società si è ricordata dell’esistenza dell’account stesso e, preso atto che risultava evidentemente ancora attivo, si è attivata per procedere alla relativa cancellazione” (v. nota cit., p. 3);

- “durante il periodo intercorso tra la cessione del rapporto di lavoro e la conciliazione avvenuta avanti all’Ispettorato Territoriale del Lavoro di Udine-Pordenone, ossia dal 22 maggio 2020 sino al 6 agosto 2020, le parti erano in contatto tra loro, tramite i rispettivi difensori, al fine di raggiungere un accordo per definire qualsivoglia vertenza e/o pendenza insorta nel corso del rapporto di lavoro e che nel suddetto periodo non era stata avanzata alcuna richiesta alla 2 EMME.CI in ordine alla cancellazione del sopra menzionato account. […] la richiesta è pervenuta infatti solo successivamente alla sottoscrizione dell’accordo conciliativo e la 2 EMME.CI vi ha dato subito riscontro” (v. nota cit., p. 3);

- “bollettari della Società contenenti il riferimento al cognome del [reclamante] non sono stati predisposti successivamente alla cessazione del rapporto di lavoro del medesimo con la Società, bensì erano stati ordinati e consegnati alla stessa dal fornitore quando il [reclamante] era ancora alle dipendenze della 2 EMME.CI” (v. nota cit., p. 5);

- “la società 2 EMME.CI non aveva alcun obbligo di comunicare all’ex dipendente le ragioni della mancata messa a disposizione di un documento di cui non era in possesso e, quindi, di dati che la stessa non trattava” (v. nota cit., p. 7);

- “la 2 EMME.CI ha, tra l’altro, del tutto tempestivamente provveduto a consegnare l’attestato di partecipazione al corso per le piattaforme elevabili tenutosi nel 2018 e quindi in corso di validità” (v. nota cit., p. 7).

In data 12 maggio 2023, il reclamante ha inviato un’integrazione al reclamo contenente la copia della pagina di un bollettario della Società riferita ad un ordine del 9 marzo 2023 (pagina che risulta compilata nella parte relativa alla descrizione dell’intervento con il riferimento, appunto, a un ordine del 9.3.2023, ma nella quale la casella riferita alla data non è popolata). In data 6 agosto 2023 ha inviato le proprie controdeduzioni.

2. L’apertura del procedimento.

In data 1° settembre 2023, l’Ufficio, valutati tutti gli elementi acquisti nell’ambito dell’istruttoria, a seguito della riunione dei procedimenti relativi ai due reclami, ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione alla Società delle presunte violazioni del Regolamento riscontrate, con riferimento agli artt. 5, par. 1, lett. a), 6, 12, 15 e 17 del Regolamento.

In data 2 ottobre 2023, la Società ha presentato i propri scritti difensivi nei quali ha rappresentato che:

- “si occupa di manutenzione, assistenza, riparazione e compravendita di carrelli elevatori, carriponte e mezzi di sollevamento interni ed esterni ai locali delle imprese e alla medesima sono addetti in tutto quattro persone, il socio amministratore […], la socia e dipendente […] e altri due lavoratori subordinati” (v. nota 2.10.2023 cit., p. 2);

- “il capitale sociale ammonta a 10.000,00 euro” (v. nota cit., p. 2);

- “la società reclamata rientra quindi nella categoria delle microimprese, non tratta dati su larga scala ed è, pertanto, esente dall’obbligo di vari adempimenti, tra cui la nomina del Responsabile della Protezione dei Dati e la valutazione di impatto sulla protezione dei dati” (v. nota cit., p. 2);

- “i pochi dati trattati dalla 2 EMME.CI rientrano nei cosiddetti dati comuni” (v. nota cit., p. 2);

- “non vengono trattati né dati sensibili, né altra tipologia di dati che per loro natura possono essere maggiormente a rischio in caso di violazione e che, per la loro delicatezza, sono soggetti a un particolare trattamento giuridico” (v. nota cit., p. 2, 3);

- “utilizzando come riferimento i parametri del rischio previsti dall’ENISA […] per i casi di data breach, le possibili violazioni dei dati personali trattati dalla 2 EMME.CI possono, al massimo, rientrare, nella categoria «a basso rischio»” (v. nota cit., p. 3);

- “dati personali dei reclamanti contenuti nei bollettari aziendali consistevano nelle iniziali dei nomi […], nei loro cognomi (oltre che nei recapiti telefonici aziendali, disattivati al momento della cessazione del rapporto di lavoro)”; (v. nota cit., p. 3);

- “la richiesta di accesso non è mai stata formulata dai reclamanti direttamente al Titolare del trattamento e, comunque, faceva riferimento all’attestato relativo a un corso la cui validità era scaduta da oltre un decennio, il che rendeva manifestamente infondata la richiesta formulata” (v. nota cit., p. 4);

- “nessuna delle suddette violazioni dei dati personali dei reclamanti è in grado di arrecare pregiudizio alcuno agli ex dipendenti” (v. nota cit., p. 4);

- “la società 2 EMME.CI si è sempre dimostrata collaborativa nei confronti dell’Autorità Garante, mettendosi a disposizione della medesima e fornendo tutte le informazioni e i chiarimenti richiesti” (v. nota cit., p. 4);

- “la società 2 EMME.CI non ha mai subito condanne per violazioni inerenti il trattamento di dati personali, né ci sono state lamentele relative al mancato rispetto del trattamento dei medesimi, oltre a quelle formulate dai [reclamanti]” (v. nota cit., p. 4);

- “il […] difensore [della Società] ha sempre provveduto a comunicare ai reclamanti, per il tramite del [proprio avvocato], tutte le informazioni di cui era a conoscenza e fornito tutta la documentazione nella disponibilità della società” (v. nota cit., p. 5);

- “i soggetti coinvolti, dei cui dati si discute, sono solamente i [reclamanti] e i soggetti che possono essere venuti a conoscenza dei dati – nella specie dell’iniziale del nome e del cognome dei reclamanti sebbene non facenti più parte dell’organico - sono solo pochi clienti della società, i quali, peraltro, erano già a conoscenza dei dati degli ex dipendenti, in quanto questi ultimi nel corso del rapporto di lavoro con la società reclamata avevano intrattenuto rapporti con i medesimi” (v. nota cit., p. 5);

- “per quanto riguarda il carattere doloso o colposo della violazione, si fa presente che l’utilizzo dei vecchi bollettari da parte della società è frutto di una mera dimenticanza da parte della medesima nel verificare che tutti i bollettari in uso venissero sostituiti con i nuovi in corso e che quelli vecchi, invece, venissero eliminati definitivamente. In alcun modo, pertanto, si può ritenere che la condotta contestata possa avere assunto carattere doloso e, piuttosto, dimostra, tutt’al più, una mera negligenza da parte della 2 EMME.CI” (v. nota cit., p. 6);

- “la società, al fine di evitare una reiterazione della condotta che si assume dannosa, si è dotata di nuovi bollettari […], nei quali […] non è più presente alcun riferimento ai [reclamanti] e i recapiti ivi indicati sono quelli della socia […] e degli altri dipendenti della 2 EMME.CI” (v. nota cit., p. 6);

- “è escluso che la condotta contestata possa ripetersi in futuro” (v. nota cit., p. 6);

- “la richiesta è stata piuttosto trasmessa dall’avv. [dei reclamanti] al […] difensore [della Società], nell’ambito di una corrispondenza relativa ad altra controversia insorta tra le parti (avente ad oggetto le condotte di concorrenza sleale poste in essere dagli ex dipendenti). In tale comunicazione si evidenziava che i clienti della medesima si erano, infruttuosamente, rivolti al CAF CISL FVG per ottenere gli attestati relativi al corso base per la conduzione di piattaforme mobili elevabili (svolti dai [reclamanti] nel 2009). La stessa si rivolgeva, quindi, al difensore della società per avere i documenti suddetti, assumendo, senza alcun fondamento, che la 2 EMME.CI fosse in possesso degli attestati di cui trattasi” (v. nota cit., p. 7);

- “l’art. 12 del Regolamento […] prevede infatti che, se le richieste dell’interessato sono manifestamente infondate o eccessive, il Titolare del trattamento può, tra l’altro, rifiutare di soddisfare la richiesta. Peraltro, nella comunicazione ricevuta, l’avv. [dei reclamanti] non specificava in alcun modo che la stessa veniva formulata quale istanza di accesso ai sensi dell’art. 15 del Regolamento” (v. nota cit., p. 7);

- “sebbene il Regolamento […] non stabilisca requisiti specifici di forma, è perlomeno opportuno che la richiesta venga avanzata utilizzando i canali di comunicazione più appropriati e venga formulata in modo chiaro e comprensibile anche per il soggetto ricevente la richiesta, affinché lo stesso possa percepire la natura della medesima” (v. nota cit., p. 8);

- “[il] difensore [della Società] e l’avv. [dei reclamanti] erano in quel periodo in frequente contatto telefonico per la soluzione della vertenza pendente tra le parti in relazione agli atti di concorrenza sleale posti in essere dai reclamanti ai danni della società e già in quel contesto era stata fatta presente l’infondatezza di tali pretese” (v. nota cit., p. 8);

- “la 2 EMME.CI aveva tempestivamente provveduto a consegnare sia gli attestati di partecipazione al corso per le piattaforme elevabili tenutosi nel 2018 e in corso di validità, nonché ogni altra attestazione in possesso della società riguardante i [reclamanti]. Tale circostanza dimostra senz’altro la buona fede della società reclamata la quale, nonostante tutto, ha messo i ricorrenti nella disponibilità di quanto in suo possesso” (v. nota cit., p. 9).

3. L’esito dell’istruttoria.

3.1. Fatti accertati e osservazioni sulla normativa in materia di protezione dei dati personali.

Premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”, in base agli elementi acquisiti nel corso dell’attività istruttoria nonché delle successive valutazioni di questo Dipartimento, risulta accertato che la Società, in qualità di titolare, ha tenuto una condotta non conforme alla disciplina in materia di protezione dei dati con riferimento al trattamento dei dati dei reclamanti all’interno di propri bollettari successivamente alla cessazione del rapporto di lavoro e non fornendo un idoneo riscontro alle istanze di esercizio dei diritti presentate dai reclamanti.

In proposito, si osserva che in base alla disciplina di protezione dei dati è necessario che il trattamento di dati personali sia effettuato nel rispetto dei principi generali enunciati dall’art. 5 del Regolamento.

Conformemente al principio di liceità del trattamento, i dati personali c.d. comuni possono essere trattati in presenza di una idonea condizione di liceità tra quelle indicate dall’art. 6 del Regolamento.

L’art. 12 del Regolamento, da leggere anche in combinato disposto con le norme relative agli specifici diritti riconosciuti dall’ordinamento all’interessato, dispone che “il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro […]. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovato con altri mezzi l’identità dell’interessato” (par. 1).

Viene, inoltre, previsto che “il titolare del trattamento agevola l’esercizio dei diritti dell’interessato ai sensi degli articoli da 15 a 22” (par. 2).

Il paragrafo 3 del medesimo articolo precisa che “il titolare del trattamento fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il titolare del trattamento informa l’interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta. Se l’interessato presenta la richiesta mediante mezzi elettronici, le informazioni sono fornite, ove possibile, con mezzi elettronici, salvo diversa indicazione dell’interessato”.

In base al paragrafo 4 del medesimo articolo, il titolare del trattamento, qualora non ottemperi all’istanza dell’interessato, “informa l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale”.

In base all’art. 15 del Regolamento “l’interessato ha diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali” e a una serie di informazioni indicate nello stesso articolo (par. 1). Inoltre, in base al par. 3 del medesimo articolo “il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento. […] Se l’interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dall’interessato, le informazioni sono fornite in un formato elettronico e di uso comune” (par. 3).

L’art. 17 del Regolamento dispone che “L'interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l'obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi [indicati nello stesso articolo]”.

3.2. Violazioni accertate.

In base agli elementi acquisiti nel corso dell’attività istruttoria nonché delle successive valutazioni di questo Dipartimento, risulta accertato che la Società ha tenuto una condotta in contrasto con la disciplina di protezione dei dati nei confronti dei due reclamanti.

Preliminarmente si rammenta che il potere di accertamento attribuito al Garante non è subordinato all’iniziativa di parte; lo stesso art. 57 del Regolamento, tra i molteplici compiti riconosciuti alle autorità di controllo in materia di protezione dei dati personali, indica, oltre alla trattazione dei reclami proposti da un interessato (v. art. 57 par. 1 lett. f) del Regolamento) anche quello di sorvegliare e assicurare l’applicazione del Regolamento (v. art. 57 par. 1 lett. a) del Regolamento).

In proposito il regolamento interno n. 1 del 2019 (concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali) precisa all’art. 21 (“Controlli e provvedimenti adottati senza istanza di parte”) che “Nell’esercizio dei compiti di controllo o comunque esercitabili dal Garante, valutati gli elementi in suo possesso e anche in assenza di reclamo, segnalazione o notificazione di violazione dei dati personali, l’Autorità può avviare d’ufficio un’istruttoria preliminare per verificare la sussistenza di idonei elementi in ordine a possibili violazioni della disciplina rilevante in materia di protezione dei dati personali”.

Sempre in via preliminare, stante quanto affermato dalla Società in merito alla conciliazione raggiunta tra le parti dinanzi all’Ispettorato del Lavoro, si richiama quanto previsto dall’art. 2113 c.c. (“Le rinunzie e le transazioni, che hanno per oggetto diritti del prestatore di lavoro derivanti da disposizioni inderogabili della legge e dei contratti o accordi collettivi concernenti i rapporti di cui all'articolo 409 del codice di procedura civile, non sono valide”) e si sottolinea, in ogni caso, come i fatti lamentati con il reclamo siano successivi, o comunque, siano continuati anche successivamente alla predetta conciliazione tra le parti del 6 agosto 2020. Ciò considerato, non ha rilievo, per quanto riguarda l’oggetto dei reclami presentati all’Autorità, quanto sostenuto dalla Società in merito alla conciliazione.

3.2.1. Trattamento dei dati dei reclamanti nell’intestazione dei bollettari.

La condotta tenuta dalla Società non è conforme alla disciplina di protezione dei dati in particolare in quanto la Società ha continuato a trattare i dati dei reclamanti (iniziale del nome e cognome per esteso) all’interno dei propri bollettari - segnatamente nell’intestazione di questi ultimi, nell’ambito dei recapiti dei tecnici della Società da poter contattare - anche successivamente alla cessazione del rapporto di lavoro (avvenuta il 30.5.2020 per quanto riguarda uno dei due reclamanti e il 22.5.2020 per quanto riguarda l’altro).

Ciò in assenza di un’idonea base giuridica, quindi in violazione dell’art. 6 del Regolamento, dato che i dati trattati rientrano tra i dati c.d. comuni, articolo che costituisce diretto corollario del principio di liceità del trattamento enunciato dall’art. 5 par. 1 lett. a) del Regolamento.

In merito alle condizioni di liceità del trattamento si rammenta che, nell’ambito del rapporto di lavoro, il datore di lavoro effettua – di regola – i trattamenti necessari per l’esecuzione del contratto di lavoro e per adempiere agli obblighi derivanti dalle discipline lavoristiche di settore (v. art. 6, par. 1, lett. b) e c), del Regolamento).

Nessuna delle predette condizioni può ritenersi alla base del trattamento dei dati dei reclamanti effettuato dalla Società nell’intestazione dei bollettari successivamente alla cessazione del rapporto di lavoro.

In relazione alla predetta condotta si osserva, inoltre, come la Società non abbia agito conformemente a quanto previsto neppure dagli artt. 12 e 17 del Regolamento nonché al principio di correttezza (art. 5 par. 1 lett. a) del Regolamento): a fronte dell’istanza di cancellazione presentata dai reclamanti (in data 28.12.2020) la Società, infatti, seppur abbia comunicato loro, tramite il proprio legale (il 30.12.2020), che “è vero che del tutto inavvertitamente la mia assistita ha continuato a usare vecchi bollettari stampati nel dicembre 2019 recanti i dati da te evidenziati […]; […] si tratta di vecchi bollettari e non nuovi bollettari che ovviamente non verranno più utilizzati. I vecchi bollettari verranno immediatamente eliminati”, ha, invece, continuato ad utilizzare, successivamente a tale riscontro, bollettari contenenti anche i dati personali (iniziale del nome e cognome per esteso) dei reclamanti, come emerge dalla documentazione in atti (tra cui bolla del 14.12.2020, del 15.12.2020, 13.7.2021, 29.11.2021, 17.12.2021; inoltre risulta compilato, seppur non nella casella relativa alla data, un bollettario con l’intestazione della quale si discute riferito a un ordine del 9.3.2023).

3.2.2. Diritto di accesso ai dati.

È contraria alla disciplina di protezione dei dati anche la condotta che la Società ha tenuto con riferimento all’istanza di esercizio del diritto di accesso ai dati presentata dai reclamanti.

In particolare è stato accertato che la Società non ha fornito idoneo riscontro all’istanza di accesso agli attestati del corso base per la conduzione di piattaforme mobili elevabili (PLE) formulata dai reclamanti in data 28 aprile 2021 e reiterata l’8 maggio 2021.

La condotta tenuta dalla Società, visto, tra l’altro, l’art. 2112 c.c. (“Mantenimento dei diritti dei lavoratori in caso di trasferimento d’azienda”), si pone in contrasto con quanto previsto dagli artt. 12 e 15 del Regolamento: in base all’art. 12 par. 4 del Regolamento il titolare del trattamento, qualora ritenga di non poter soddisfare l’istanza di esercizio dei diritti presentata dall’interessato (tra cui anche il diritto di accesso ai sensi dell’art. 15 del Regolamento), è tenuto a comunicare all’istante senza ritardo e, al più tardi, entro un mese dal ricevimento della richiesta “i motivi dell’inottemperanza e [la] possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale”.

Nel caso di specie, infatti, seppur la Società, in base a quanto dalla stessa dichiarato, non fosse in possesso del documento richiesto, considerato anche che, sempre in base a quanto dichiarato dalla stessa, il predetto attestato era scaduto da più di un decennio, avrebbe dovuto fornire riscontro all’istanza dei reclamanti seppur limitandosi a comunicare loro i motivi del diniego nonché la possibilità di presentare reclamo al Garante per la protezione dei dati personali o ricorso all’autorità giudiziaria ordinaria.

Ciò in conformità con quanto richiesto dall’art. 12 del Regolamento anche con riferimento alle istanze di cui all’art. 15 del Regolamento. Non risulta invece che la Società abbia fornito alcun tipo di riscontro, neanche manifestando il proprio diniego, a fronte dell’istanza del 28 aprile 2021, reiterata l’8 maggio 2021.

I riscontri forniti dalla Società ai reclamanti il 26 agosto 2020 e il 7 settembre 2020 sono, infatti, antecedenti rispetto alle richieste del 28 aprile e 8 maggio 2021 e negli stessi non vi è alcuna indicazione in merito alla impossibilità, con indicazione dei motivi, di consegnare ai reclamanti gli attestati del corso base per la conduzione di piattaforme mobili elevabili.

Non si può inoltre accogliere il rilievo della Società secondo cui non era tenuta a riscontrare l’istanza di esercizio del diritto di accesso in quanto era stata presentata al difensore della Società stessa.

Ciò in quanto l’istanza non è stata inviata a un terzo qualunque, ma all’avvocato della Società con il quale, l’avvocato dei reclamanti, anche secondo quanto dichiarato dalla Società – circostanza confermata dalla documentazione in atti -, era in contatto per risolvere diverse questioni relative ai rapporti tra la Società e i reclamanti successivamente alla cessazione del rapporto di lavoro.

Infatti, è lo stesso avvocato della Società che, rispetto alle istanze del 25 agosto 2020 e del 7 agosto 2020 presentate dal difensore dei reclamanti, ha fornito riscontro il 26 agosto e il 7 settembre 2020.

Si sottolinea in proposito, inoltre e in ogni caso, come il Regolamento non imponga agli interessati alcun requisito riguardo al formato della richiesta di accesso ai dati personali.

In proposito, le Guidelines 01/2022 on data subject rights – Right of access, EDPB, 28 marzo 2023, hanno chiarito che sugli interessati non grava l’obbligo di adottare un determinato formato per presentare le istanze di esercizio del diritto di accesso (v. Guidelines 01/2022 cit., punto 52 “the GDPR does not impose any requirements on data subjects regarding the form of the request for access to the personal data. Therefore, there are, in principle, no requirements under the GDPR that the data subjects must observe when choosing a communication channel through which they enter into contact with the controller”, trad. non ufficiale “il Regolamento generale sulla protezione dei dati non impone agli interessati alcun requisito riguardo al formato della richiesta di accesso ai dati personali. Pertanto, in linea di principio, non vi sono requisiti che l'interessato sia tenuto a rispettare al momento di scegliere un canale di comunicazione attraverso il quale entrare in contatto con il titolare del trattamento dei dati”).

Le citate Linee guida prevedono, inoltre, che l’istanza di accesso possa essere presentata da un terzo e in proposito precisano che è rimessa al titolare del trattamento la verifica dell’identità del terzo che agisce in nome e per conto dell’interessato e della sua autorizzazione.

A tal fine le citate Linee guida rinviano alle leggi nazionali in materia di rappresentanza legale (v. Guidelines 01/2022 cit., punto 80 “Although the right of access is generally exercised by the data subjects as it pertains to them, it is possible for a third party to make a request on behalf of the data subject. […] This may apply to, among others, acting through a proxy or legal guardians on behalf of minors, as well as acting through other entities via online portals. In some circumstances, the identity of the person authorised to exercise the right of access as well as authorisation to act on behalf of the data subject may require verification, where it is suitable and proportionate”, trad. non ufficiale “Sebbene il diritto di accesso sia generalmente esercitato dall'interessato in quanto di sua competenza, un terzo può presentare una richiesta per conto dell'interessato. Ciò può avvenire, tra l'altro, per il tramite di un rappresentante o di un tutore legale per conto dei minori, nonché per il tramite di altri soggetti attraverso portali online. In tali situazioni, l'identità della persona autorizzata ad esercitare il diritto di accesso e l'autorizzazione ad agire per conto dell'interessato richiedono l'autenticazione/la verifica, ove sia idoneo e proporzionato”; punto 81 “In doing so, national laws governing legal representation (e.g. powers of attorney), which may impose specific requirements for demonstrating authorisation to make a request on behalf of the data subject, should be taken into account […]. In accordance with the principle of accountability, as well as of the other data protection principles, controllers shall be able to demonstrate the existence of the relevant authorisation to make a request on behalf of the data subject, and to receive the requested information, except if national law differs (e.g. national law contains specific rules regarding the trustworthiness of lawyers) leaving the controller to verify the identity of the proxy (e.g. in the case of lawyers checking enrolment at the bar) […]”, trad. non ufficiale “A tal fine, dovrebbero essere prese in considerazione le leggi nazionali che disciplinano la rappresentanza legale (ad esempio le procure), le quali possono imporre requisiti specifici per dimostrare l'autorizzazione a presentare una richiesta per conto dell'interessato […]. Conformemente al principio di responsabilizzazione e agli altri principi di protezione dei dati, i titolari del trattamento devono essere in grado di dimostrare l'esistenza della pertinente autorizzazione a presentare una richiesta per conto dell'interessato, a meno che il diritto nazionale non preveda diversamente (ad esempio, norme specifiche sull'affidabilità degli avvocati) lasciando al titolare del trattamento l'unico obbligo di verificare l'identità del delegato (ad esempio, nel caso di avvocati, verificando l'iscrizione al relativo albo) [...]”).

L’istanza dei reclamanti, inoltre, era chiara nel contenuto, seppur non vi fosse l’esplicito riferimento all’art. 15 del Regolamento.

In proposito le citate Guidelines 01/2022 on data subject rights – Right of access precisano che non è necessario che l’istanza di esercizio del diritto di accesso contenga il riferimento all’art. 15 del Regolamento se comunque è chiaro il contenuto della stessa (punto 50 “It should be noted that the GDPR does not introduce any formal requirements for persons requesting access to data. In order to make the access request, it is sufficient for the requesting persons to specify that they want to know what personal data concerning them the controller processes. Therefore, the controller cannot refuse to provide the data by referring to the lack of indication of the legal basis of the request, especially to the lack of a specific reference to the right of access or to the GDPR […]”, trad. non ufficiale “Va osservato che il regolamento generale sulla protezione dei dati non introduce alcun requisito formale per le persone che chiedono l'accesso ai dati. Al fine di presentare la richiesta di accesso, è sufficiente che la persona richiedente specifichi che desidera sapere quali sono i suoi dati personali trattati dal titolare. Pertanto, il titolare del trattamento non può rifiutare di fornire i dati facendo riferimento alla mancata indicazione della base giuridica, in particolare alla mancanza di un riferimento specifico al diritto di accesso o al RGPD […]”).

Anche l’ulteriore rilievo sollevato dalla Società secondo cui gli attestati richiesti erano scaduti non giustifica l’assenza di un riscontro da parte del titolare del trattamento che, come già argomentato, avrebbe potuto (lecitamente) limitarsi a motivare la propria impossibilità di ottemperare la richiesta rendendo noto agli interessati il diritto, riconosciuto loro dall’ordinamento, di proporre ricorso all’autorità giudiziaria ordinaria o reclamo al Garante.

Tra l’altro, in proposito, si rammenta l’orientamento della giurisprudenza di legittimità, ripreso costantemente dal Garante, in base al quale la posizione giuridica soggettiva del lavoratore di accedere al proprio fascicolo personale costituisce un diritto soggettivo tutelabile in quanto tale che trae la sua fonte dal rapporto di lavoro.

Secondo i giudici di legittimità, infatti, il suddetto diritto deriva, oltre che dalla normativa in materia di protezione dei dati personali, dal “rispetto dei canoni di buona fede e correttezza che incombe sulle parti del rapporto di lavoro ai sensi degli artt. 1175 e 1375 c.c., come del resto è confermato dal fatto che, da tempo, la contrattazione collettiva del settore in oggetto prevede che l'azienda datrice di lavoro debba conservare, in un apposito fascicolo personale, tutti gli atti e i documenti, prodotti dall'ente o dallo stesso dipendente, che attengono al percorso professionale, all'attività svolta ed ai fatti più significativi che lo riguardano e che il dipendente ha diritto di prendere visione liberamente degli atti e documenti inseriti nel proprio fascicolo personale” (Corte di Cass. 7 aprile 2016, n. 6775).

Il diritto di accesso, inoltre, “non può intendersi, in senso restrittivo, come il mero diritto alla conoscenza di eventuali dati nuovi ed ulteriori rispetto a quelli già entrati nel patrimonio di conoscenza e, quindi, nella disposizione dello stesso soggetto interessato al trattamento dei propri dati, atteso che lo scopo del [diritto] è garantire, a tutela della dignità e riservatezza del soggetto interessato, la verifica ratione temporis dell’avvenuto inserimento, della permanenza ovvero della rimozione di dati, indipendentemente dalla circostanza che tali eventi fossero già stati portati per altra via a conoscenza dell’interessato, verifica attuata mediante l’accesso ai dati raccolti sulla propria persona in ogni e qualsiasi momento della propria vita relazionale” (Corte di Cass. 14 dicembre 2018, n. 32533).

Per tutte le ragioni esposte, la Società ha violato gli artt. 12 e 15 del Regolamento.

Con riferimento, infine, alla lamentata condotta relativamente agli account di posta elettronica, si ritiene che non siano emerse evidenze di una violazione della disciplina di protezione dei dati, quindi non sussistono i presupposti per adottare un provvedimento da parte dell’Autorità e si dispone pertanto l’archiviazione dei reclami con riferimento al predetto profilo, ai sensi degli artt. 140-bis, 142, 143 del Codice, 8, 9, 11 comma 1 del regolamento interno n. 1 del 2019.

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Per i suesposti motivi l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento, nel corso dell’istruttoria, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

La condotta posta in essere dalla Società che è consistita nel continuare a trattare dati dei reclamanti nell’intestazione dei bollettari aziendali a seguito della cessazione del rapporto di lavoro, anche successivamente alla specifica istanza di cancellazione presentata dagli interessati e nonostante le rassicurazioni fornite dalla Società, nonché nel non fornire alcun riscontro all’istanza di accesso presentata dai reclamanti in data 28 aprile 2021 e reiterata l’8 maggio 2021 risulta infatti illecita, nei termini su esposti, in relazione agli artt. 5, par. 1 lett. a), 6, 12, 15 e 17 del Regolamento.

La violazione, accertata nei termini di cui in motivazione, non può essere considerata “minore”, tenuto conto della natura, della gravità della violazione stessa, del grado di responsabilità e della maniera in cui l’autorità di controllo ha preso conoscenza della violazione (cons. 148 del Regolamento).

Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento, alla luce del caso concreto si dispone l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) Regolamento).

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che la Società ha dichiarato di avere adottato nuovi bollettari privi dei dati dei reclamanti e che nel corso del procedimento ha dichiarato di non essere in possesso degli attestati di partecipazione al corso di base per la conduzione di piattaforme mobili elevabili (PLE), non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” mediante adozione di un’ordinanza ingiunzione (art. 18, l. 24.11.1981, n. 689) e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Nel caso di specie, la Società ha posto in essere due distinte condotte, che devono essere considerate separatamente ai fini della quantificazione della sanzione amministrativa da applicarsi. Pertanto con riferimento a ciascuna delle citate condotte l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

Tenuto conto che i rilievi di cui ai paragrafi 3.2.1 e 3.2.2., relativamente al trattamento dei dati nei bollettari aziendali e all’esercizio del diritto di accesso, attengono a diverse violazioni che hanno avuto luogo in conseguenza di un’unica condotta (stesso trattamento o trattamenti tra loro collegati), trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave.

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni singolo caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

a) in relazione alla natura, gravità e durata della violazione è stata considerata la natura della violazione che ha riguardato il principio di liceità del trattamento e il principio di correttezza nonché l’esercizio dei diritti dell’interessato; è stata anche considerata la prolungata durata della violazione;

b) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare è stata presa in considerazione la condotta che è consistita, in un caso, nell’utilizzo di bollettari contenenti dati relativi ai reclamanti anche a seguito della cessazione del rapporto di lavoro e nonostante il riscontro fornito all’istanza di cancellazione e, nell’altro caso, nel non fornire riscontro all’istanza di esercizio del diritto di accesso;

c) non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento.

Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla Società con riferimento al bilancio abbreviato d’esercizio per l’anno 2021. Da ultimo si tiene conto dell’entità delle sanzioni irrogate in casi analoghi.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare pertanto la sanzione amministrativa del pagamento di una somma pari ad euro 1.000 (mille), per ciascuna delle violazioni di cui ai precedenti paragrafi 3.2.1 e 3.2.2., per un totale complessivo pari a euro 2.000 (duemila)

In tale quadro si ritiene, altresì, in considerazione della tipologia delle violazioni accertate che hanno riguardato i principi generali del trattamento e l’esercizio dei diritti dell’interessato che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante.

Si ritiene, altresì, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO, IL GARANTE

rileva l’illiceità del trattamento effettuato da 2 Emme.ci Service s.r.l., con sede legale in Viale Duodo, 44, Udine, P. IVA 02916510304, ai sensi dell’art. 143 del Codice, per la violazione degli artt. 5, par. lett. a), 6, 12, 15 e 17 del Regolamento;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento a 2 Emme.ci Service s.r.l., di pagare la somma di euro 2.000,00 (duemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

a 2 Emme.ci Service s.r.l. di pagare la predetta somma di euro 2.000,00 (duemila), secondo le

modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento - sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/20129, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 24 gennaio 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
9993531

Data
24/01/24

Argomenti

Lavoro e previdenza Diritto all'oblio

Tipologie

Ordinanza ingiunzione o revoca

Header seguici su

Selettore lingua

Garante per la protezione dei dati personali

GGpdp5SearchToggleBar

I miei diritti

Imprese ed enti

Menù di navigazione

Provvedimento del 24 gennaio 2024 [9993531]

g-docweb-display Portlet