Violazione della privacy del dipendente: stangata di 50.000,00 Euro a Palumbo Superyacht Ancona Srl

Rispondi
Giancarlo Favero
Messaggi: 138
Iscritto il: dom gen 24, 2021 6:45 am

Violazione della privacy del dipendente: stangata di 50.000,00 Euro a Palumbo Superyacht Ancona Srl

Messaggio da Giancarlo Favero »

Spesso quando ci sono di mezzo dipendenti o collaboratori, le cose si complicano e si ingarbugliano.
Questo caso è interessante in quanto dimaostra quanto delicata sia la questione della corretta gestione dell'account di posta elettronica assegnato al dipendente/collaboratore.
Di seguito trovate il testo integrale del provvedimento, consultabile anche al seguente link:

https://www.garanteprivacy.it/web/guest ... eb/9771545

Grazie e buona lettura,

Giancarlo Favero

[doc. web n. 9771545]

Ordinanza ingiunzione nei confronti di Palumbo Superyacht Ancona s.r.l. - 7 aprile 2022

Registro dei provvedimenti
n. 127 del 7 aprile 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale ha preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l’adeguamento dell’ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

1.1. Il reclamo pervenuto.

L’Autorità ha ricevuto un reclamo, datato 29 settembre 2020, da parte di XX, nei confronti della Società Palumbo Superyacht Ancona s.r.l. (di seguito indicata: “Società” oppure “Palumbo”), nel quale la medesima ha rappresentato che:

- in costanza di un rapporto di lavoro (agenzia in esclusiva) con la Palumbo avviato nell’aprile del 2018, la stessa, il 23 giugno 2020, senza alcun preavviso o comunicazione, si vedeva inibire l’uso del proprio account aziendale (XX), rimanendo privata della possibilità di accedervi;

- il suddetto account costituiva uno strumento di lavoro che la medesima utilizzava dal luglio del 2018 per intrattenere ogni rapporto di natura commerciale e precontrattuale; in esso erano “serbate anche comunicazioni strettamente personali, la cui conoscibilità potrebbe arrecare un grave violazione dei propri diritti alla dignità, immagine, onore e riservatezza, oltre che danni inci-denti sulla propria attività lavorativa”, quali la perdita di numerosi clienti che, non ricevendo riscontro alle proprie richieste via e-mail, si sono rivolte altrove per le loro consulenze precon-trattuali;

- l’account in questione risultava ancora attivo, infatti sul proprio computer e sul proprio telefono continuavano a pervenire gli avvisi/richieste di immettere la nuova password per rien-trarvi; in particolare, la password risultava cambiata da remoto senza che l’interessata lo avesse saputo o autorizzato e senza peraltro che le fosse consentito il backup di tutta la corri-spondenza;

- nello stesso 23 giugno 2020, dopo aver ricevuto un messaggio dal server nel quale si comuni-cava che la password era cambiata, aveva provveduto immediatamente a comunicare tale circostanza alla Palumbo, chiedendo il tempestivo ripristino dell’account, fondamentale per le comunicazioni di lavoro e per poter adempiere correttamente alle obbligazioni contrattuali assunte con la Società;

- la Società non ha mai fornito alcun riscontro alle dette richieste inviate a mezzo pec, persi-stendo nel negare l’accesso al detto indirizzo di posta;

- le proprie documentate istanze erano state inviate non solo alla Società ma anche all’avvocato della medesima, sia via e-mail sia tramite whatsapp, chiedendo di conoscere per-ché si continuasse a mantenere attivo il proprio account personale, senza darle conto della ge-stione dello stesso.

Tale condotta, a parere della reclamante, configurava un grave abuso, che si riservava di far valere anche in sede giudiziale, ma “in primo luogo perpetra (va) una grave lesione del suo diritto alla riservatezza e del diritto costituzionalmente garantito alla segretezza della propria corrispondenza”.

Ciò predetto, la reclamante ha chiesto di assumere nei confronti della Palumbo “ogni opportu-no provvedimento ritenuto idoneo a far cessare questo comportamento illecito e, in particolare, … a) in-timare …. di dar seguito all’esercizio dei diritti già esercitato … e rimasto senza riscontro, concedendo … l’accesso a tutti i dati presenti sul proprio account o in ogni caso, fornendole evidenza di tutte le co-municazioni ricevute dallo scorso 23 giugno ad oggi; b) ordinare … altresì l’immediata chiusura dell’account riservato ….”; e la possibilità, con gli strumenti che l’azienda riterrà più opportuni, che di tale chiusura siano informate le molte persone che ancora le scrivono su quell’indirizzo di posto; … c) imporre … l’immediato divieto del trattamento dei dati contenuti nell’account a lei riservato.”

1.2 La richiesta d’informazioni dell’Autorità.

Con nota del 16 febbraio 2021 l’Ufficio ha richiesto, a mezzo pec, alla Palumbo di fornire os-servazioni riguardo a quanto esposto nel suindicato reclamo. Non essendo pervenuto alcun ri-scontro, l’Ufficio ha tentato invano, più volte, a contattare la Società, ai recapiti telefonici pre-senti sul relativo sito web. Successivamente la richiesta è stata rinnovata, sempre a mezzo pec, ai sensi dell’art. 157 del Codice, con nota del 22 aprile u.s. Anche quest’ultima comunicazione, pur risultando regolarmente consegnata, rimaneva inevasa.

1.3.Contestazione delle possibili violazioni e procedimento amministrativo.

Alla luce di quanto sopra esposto, si è dunque ritenuto integrati gli estremi della possibile vio-lazione di cui agli artt. 157 e 166, comma 2, del Codice, sanzionabile ai sensi dell’art. 83, par. 5 del Regolamento; pertanto, con nota del 17 giugno u.s., è stata predisposta la relativa contesta-zione con l’avvio del procedimento per l’adozione della citata sanzione. In pari data, si è prov-veduto ad interessare il Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza, in base a quanto stabilito dal Protocollo d’intesa siglato con l’Autorità, al fine di notifi-care alla menzionata Società: a) la richiesta di informazioni ex art. 157 del Codice, acquisendone il relativo riscontro, anche con riguardo alla disponibilità del titolare a soddisfare l’istanza della reclamante; b) la citata contestazione ai sensi dell’art. 166, comma 5, del Codice.

L’analisi del verbale redatto dalla Guardia di Finanza il 7 ottobre u.s. ha confermato le circo-stanze relative al mancato riscontro alle richieste dell’Ufficio da parte della Società. È inoltre emersa la possibile fondatezza delle doglianze della reclamante con specifico riguardo all’improvviso e protratto mancato accesso all’indirizzo aziendale assegnatole e alla persistente vitalità dello stesso, anche se la Società ha comunque impedito l’utilizzo da parte di soggetti terzi (circostanza verificata dalla GdF che ha accertato l’ultimo accesso avvenuto il 23 giugno 2020).

È peraltro risultato che la Società aveva inviato varie pec alla reclamante (dal 2 luglio al 26 agosto 2020) per contestarle alcune inadempienze contrattuali e per porre fine al rapporto lavo-rativo in essere a partire dal 26 agosto 2020, ma senza far riferimento alla gestione dell’indirizzo di posta elettronica assegnatole. La Società, nell’occasione della detta visita ispettiva, ha dichiarato di essere disponibile, su specifica richiesta della reclamante, a consentirle, con tempi e modalità da concordare, “l’accesso e l’interrogazione della casella elettronica al fine di individuare dati personali che la riguardano”.

Nell’ambito dell’istruttoria preliminare avviata per definire il reclamo in oggetto, anche sulla base delle risultanze del suindicato verbale, si è rivolta alla Società, sempre ai sensi dell’art. 157 del Codice, un’ulteriore richiesta riguardo all’informativa e al disciplinare eventualmente rila-sciati alla reclamante ai sensi dell’art. 13 del Regolamento con particolare riguardo anche alla gestione delle caselle di posta elettronica aziendale, durante lo svolgimento del rapporto di lavo-ro e dopo la cessazione del medesimo.

La Società, con nota del 28 ottobre u.s., ha dato riscontro alla detta richiesta integrativa, rap-presentando che: “In relazione alla l’informativa ed al disciplinare relativo all’(interessata) …. Vi in-formiamo che non ci risulta firmata probabilmente per mera distrazione e tenuto conto che il contratto di agenzia fu negoziato e sottoscritto a distanza. Il nostro standard aziendale è quello di presentare e far sottoscrivere, alla firma del contratto sia per un dipendente che per consulenti esterni o terze figure, l’informativa sulla privacy e l’informativa riguardante l’uso di apparecchiature e mezzi aziendali.”, al-legando i modelli utilizzati, in file word (non firmati), e precisando che “il riferimento all’utilizzo della email aziendale è riportato nel … documento … – Nomina degli incaricati”. Nella medesima occasione, la Società altresì ha rinnovato “la piena disponibilità nel riaprire un’eventuale interlocuzione con la dott.ssa XX qualora necessiti un temporaneo accesso alla email aziendale, per il recupero di informazione a lei utili.”

La reclamante, destinataria per conoscenza del menzionato riscontro, il 1° novembre u.s., ha tuttavia replicato che i documenti in questione non le sarebbero stati forniti e che (il 10 febbraio 2020) le sarebbe stato sottoposto per la firma il solo contratto di lavoro, peraltro formalizzato presso la sede di Ancona, alla presenza del Sig. Palumbo e di altri testimoni, precisando che nell’occasione era stata pattuita la scadenza del 31 agosto 2023 ed infine ribadendo le richieste già formulate con il reclamo.

L’Ufficio, sulla base degli elementi complessivamente acquisiti, ha inviato alla Società il 12 novembre u.s. un’ulteriore comunicazione di avvio del procedimento per l’adozione di eventuali provvedimenti correttivi e sanzionatori ai sensi dell’art. 166, comma 5, del Codice, ritenendo ravvisabili i presupposti della possibile violazione:

- dell’art. 5, par. 1, lett. a) ed e), del Regolamento, in ragione di una condotta non conforme al principio di correttezza e, nello specifico, della persistente vitalità dell’account aziendale asse-gnato alla reclamante, in violazione del principio di ‘limitazione della conservazione’;

- dell’art. 13 del Regolamento, non avendo comprovato di aver fornito all’interessata un’idonea informativa, anche alla luce delle linee guida del Garante per posta elettronica e in-ternet del 1° marzo 2007, pubbl. in Gazzetta Ufficiale n. 58 del 10 marzo 2007 (doc. web n. 1387522);

- degli artt. 12, par. 3, e 15 del Regolamento, in ragione, rispettivamente, del mancato riscontro che avrebbe dovuto dare “senza ingiustificato ritardo” e comunque non oltre il termine di 30 giorni dal ricevimento dell’istanza dell’interessata, nonché dell’inibito accesso all’account aziendale in questione.

Il 10 dicembre u.s. la Società, per il tramite del suo legale, ha inviato una memoria difensiva – al cui contenuto si fa integrale rinvio – nella quale, nel ribadire quanto comunicato alla G.d.F. nella circostanza sopra indicata e nella nota del 28 ottobre u.s. – si ammette di non poter com-provare il rilascio all’interessata di un’informativa ex art. 13 del Regolamento, né di un discipli-nare relativo agli strumenti informatici, chiedendo però di considerare che la situazione emer-genziale poteva aver influito sulla corretta esecuzione di tali adempimenti. Ha inoltre evidenziato:

- di aver impedito, dal 23 giugno 2020, l’accesso alla casella di posta (mediante cambio della password in uso alla reclamante) in ragione di un’indebita rivelazione di informazioni aziendali riservate, imputata alla medesima interessata;

- che tale condotta era stata oggetto di due contestazioni formali rivolte alla reclamante propedeutiche alla risoluzione del contratto per giusta causa formalizzata dalla Società il 26 agosto 2020;

- di aver mantenuto attiva la casella perché funzionale alle esigenze lavorative dell’impresa nonché in ragione del contenzioso in essere con la reclamante e per eventuali “indagini difensive” nonché al fine di poter concordare modalità di accesso all’interessata idonee al recupero delle sue informazioni personali, salvaguardando però l’integrità dei contenuti;

- che la casella di posta in questione (meramente “prestata” all’agente, quale lavoratore autonomo) doveva considerarsi nella titolarità esclusiva del datore di lavoro nonché destinata a contenere dati non particolari, come quelli anagrafici o di fatturazione;

- l’agente non sarebbe equiparabile al lavoratore subordinato (stante la connaturata autonomia organizzativa ed operativa);

- l’assegnazione della casella poteva inquadrarsi nel comodato gratuito ex art. 1804 cc., quindi con il correlato obbligo di pronta restituzione in caso di richiesta del datore-comodante.

Inoltre, anche in ragione del fatto di aver “congelato” l’accesso da parte di terzi, incluso il titolare dell’impresa e di non aver fatto alcun utilizzo dell’account, ha affermato di aver agito nel rispetto dei principi di necessità e di minimizzazione del trattamento, evidenziando altresì di aver curato la revisione e implementazione, ad ampio raggio, delle proprie policy di trattamento, anche con riguardo alla previsione di appositi audit.

2. VALUTAZIONI DI ORDINE GIURIDICO

All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione complessivamente acquisita, le possibili violazioni oggetto delle contestazioni del 17 giugno e del 12 novembre u.s. risultano confermate.

Con riferimento alla prima contestazione, la violazione dell’art. 83, par.5, del Regolamento (per il tramite del mancato riscontro alla richiesta formulata ai sensi dell’art. 157, da considerare unitamente all’art. 166, comma 2; v. in proposito il provv. 23 gennaio 2020, doc. web n. 9284622) può ritenersi, tuttavia, meno grave in considerazione del complicato contesto emergenziale (pure richiamato dalla Società nell’occasione), in cui la stessa si è collocata.

Con riferimento alla seconda, si rileva preliminarmente che, conformemente al costante orientamento della Corte europea dei diritti dell’uomo, la protezione della vita privata si estende anche all’ambito lavorativo, considerato che proprio in occasione dello svolgimento di attività lavorative e/o professionali si sviluppano relazioni dove si esplica la personalità del lavoratore (v. artt. 2 e 41, comma 2, Cost.). Tenuto anche conto che la linea di confine tra ambito lavorativo/professionale e ambito strettamente privato non sempre può essere tracciata con chiarezza, la Corte ritiene applicabile l’art. 8 della Convenzione europea dei diritti dell’uomo posto a tutela della vita privata senza distinguere tra sfera privata e sfera professionale (v. Niemietz c. Allemagne, 16.12.1992 (ric. n. 13710/88), spec. par. 29; Copland v. UK, 03.04.2007 (ric. n. 62617/00), spec. par. 41; Bărbulescu v. Romania [GC], 5.9.2017 (ric. n. 61496/08), spec. par. 70-73; Antović and Mirković v. Montenegro, 28.11. 2017 (ric. n. 70838/13), spec. par. 41-42).

Pertanto – pur tenuto conto della strutturale diversità fra un rapporto di lavoro subordinato e un rapporto di agenzia - evidentemente incidente in particolare sulla richiamabilità delle disposizioni dello Statuto dei lavoratori (e quindi anche degli art. 113 e 114 del Codice), nonché del carattere decisivo del piano fattuale, a dispetto del mero nomen iuris, ai fini della corretta qualificazione del rapporto in essere (v. Cass, sent. n. 4884 del 1.03.2018) - il trattamento dei dati effettuato mediante tecnologie informatiche nell’ambito di un qualsivoglia rapporto di lavoro deve conformarsi al rispetto dei diritti e delle libertà fondamentali nonché della dignità dell’interessato, a tutela di lavoratori e di terzi (v. Raccomandazione CM/Rec (2015)5 del Comitato dei Ministri agli Stati Membri sul trattamento di dati personali nel contesto occupazionale, spec. punto 3).

Ciò precisato, in base agli elementi acquisiti nel corso dell’attività istruttoria, è emerso, in primo luogo, che la Società non ha comprovato di aver rilasciato all’interessata alcuna informativa in merito al trattamento dei dati, tanto meno con riferimento all’account di posta elettronica aziendale in costanza di rapporto ed al termine di questo, comprese la gestione dello stesso dopo la cessazione del rapporto e la conservazione dei dati presenti nella casella elettronica. Più in radice, l’analisi, strutturale e contenutistica, dei 3 documenti (1. “Nomina degli incaricati”; 2.”GaranzieDatiTerzi”; 3.”Procedura utilizzo strumenti informatici”) inviati dalla Palumbo - peraltro pervenuti all’Autorità in file word e privi di sottoscrizione - in quanto mancanti degli elementi tassativamente previsti dall’art.13 del Regolamento o di indicazioni relative all’eventuale gestione e conservazione della casella assegnata da parte della Società, non consente di poterli ritenere idonei, pur in una valutazione complessiva degli stessi, né come informativa ai lavoratori interessati, né come disciplinare sull’utilizzo di posta elettronica ed Internet conforme alle citate Linee Guida del 1° marzo 2007.

In proposito quanto sostenuto dalla Palumbo - con riferimento al ruolo (professionale) di agente rivestito dalla reclamante all’interno della compagine aziendale e con riguardo alla tipo-logia contrattuale (comodato gratuito) nella quale la Società ritiene si possa inserire lo strumento della posta elettronica assegnato all’agente - non rileva né rispetto all’obbligo informativo né ri-spetto a quello di corretta e trasparente gestione dell’account aziendale assegnato, dato che tali obblighi devono ritenersi sussistenti in ragione già del trattamento di dati personali che riguar-dano una determinata persona fisica in quanto ‘interessata’. La condotta tenuta dalla Società ri-sulta, pertanto, in contrasto con il fondamentale obbligo previsto dall’art. 13 del Regolamento (che, come noto, si è sostituito – secondo una linea di sostanziale continuità- all’analogo disposto dell’abrogato art. 13 del Codice), in base al quale il titolare è tenuto a fornire preventivamente all’interessato tutte le informazioni relative alle caratteristiche essenziali del trattamento (cfr. già provv. 1° marzo 2007, n. 13 “Linee guida per posta elettronica e internet”, cit.; in materia d’informativa, v. anche provv. 15 aprile 2021 n.137, doc. web n. 9670738). Peraltro, l’art. 12, par. 1, in particolare, prevede che “il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14”.

Le violazioni di cui sopra devono essere esaminate anche tenendo in considerazione che, nell’ambito del rapporto di lavoro, informare compiutamente il lavoratore sul trattamento dei suoi dati è espressione dei principi generali di liceità e correttezza dei trattamenti (v. art. 5, par. 1, lett. a) del Regolamento; in questi termini, v. provv. 29 settembre 2021 n.353, doc. web n. 9719914).

Sotto altro profilo, l’istruttoria ha consentito di rilevare che la Società, dopo la cessazione del rapporto di lavoro con la reclamante (risalente al 26 agosto 2020), ha mantenuto attivo, per le ragioni sopra indicate, l’account di posta elettronica individualizzato assegnato alla stessa.

In proposito si deve ribadire che lo scambio di corrispondenza elettronica − estranea o meno all’attività lavorativa − su un account aziendale di tipo individualizzato configura un’operazione che consente di conoscere alcune informazioni personali relative all’interessato (v. "Linee guida del Garante per posta elettronica e Internet", cit., spec. punto 5.2, lett. b)). Il Garante pertanto, con orientamento costante, ha ritenuto necessario, ai fini della conformità ai principi in materia di protezione dei dati personali (v. provv.ti 29 settembre 2021, cit.; 4 dicembre 2019, n. 216, doc. web 9215890; 1° febbraio 2018, n. 53, doc. web n. 8159221, punto 3.4.), che, dopo la cessazione del rapporto di lavoro, il titolare del trattamento provveda alla rimozione dell’account, previa di-sattivazione dello stesso e contestuale adozione di sistemi automatici volti ad informarne i terzi e a fornire a questi ultimi indirizzi e-mail alternativi riferiti alla sua attività professionale. Ciò in applicazione del principio di ‘limitazione della conservazione’ dell’art. 5, par. 1, lett. e) del Rego-lamento -anche alla luce del connesso principio di ‘minimizzazione’ di cui al medesimo art. 5, par. 1, lett. c)- che, nella fattispecie, risulta esser stato violato. Violazione la cui gravità deve es-ser rilevata tanto più ove, come nel caso in esame (in base a quanto dichiarato dalla reclamante che non risulta aver ricevuto, si è detto, alcun disciplinare relativo al corretto utilizzo della posta aziendale e ad eventuali connessi limiti), vi siano “serbate anche comunicazioni strettamente perso-nali, la cui conoscibilità potrebbe arrecare un grave violazione dei propri diritti alla dignità, immagine, onore e riservatezza, oltre che danni incidenti sulla propria attività lavorativa”.

Anche in tal caso rileva infatti il richiamato principio di ‘liceità’ sancito dall’art. 5, par. 1, lett. a), del Regolamento, per il tramite della sottesa violazione dell’art. 1 del Codice, in base al quale: “Il trattamento dei dati personali avviene secondo le norme del … «Regolamento» e del presente Codice, nel rispetto della dignità umana, dei diritti e delle libertà fondamentali della persona”(v. anche Considerando n. 10 del Regolamento: “Al fine di assicurare un livello coerente ed elevato di protezione delle persone fisiche e rimuovere gli ostacoli alla circolazione dei dati personali all'interno dell'Unione, il livello di protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento di tali dati dovrebbe essere equivalente in tutti gli Stati membri”). Al riguardo è opportuno evidenziare che la Corte di Cassazione (ordinanza n. 26778/2019) ha riconosciuto la natura composita ed imperativa del diritto alla protezione dei dati personali, “contenendo tale normativa precetti che non possono essere derogati dall'autonomia privata in quanto posti a tutela di interessi generali, di valori morali e sociali pregnanti nel nostro ordinamento, finalizzati al rispetto dei diritti e delle libertà fondamentali, quali la dignità, la riservatezza, l'identità personale, la protezione dei dati personali”, compresa dunque la reputazione professionale del lavoratore che si estrinseca anche tramite la corretta gestione del servizio di posta elettronica aziendale (in particolare, riscontrando tempestivamente le comunicazioni pervenute e organizzando le proprie attività con colleghi e clienti). Si deve peraltro considerare che il danno eventualmente recato alla reputazione -inquadrabile nell’ambito della categoria del danno non patrimoniale di cui all’art. 2059 c. c. e che va provato, non potendo ritenersi in re ipsa- “deve essere inteso in termini unitari, senza distinguere tra ‘reputazione personale’ e ‘reputazione professionale’, trovando la tutela di tale diritto – a prescindere dall’entità e dall’intensità dell’aggressione o dal differente sviluppo del percorso lesivo – il proprio fondamento nell’art. 2 Cost. e, in particolare, nel rilievo che esso attribuisce alla dignità della persona in quanto tale” (Cass. civ. sez. III, 25 agosto 2014, n.18174), quale limite invalicabile rispetto ad ogni trattamento dei dati degli interessati (v. anche Cass., sez. III, 5 aprile 2012, n. 5525, che valorizza, pur in un diverso ambito, l’”identità” e l’”immagine sociale” degli interessati fra i beni-diritti protetti dalla normativa in materia di protezione dei dati).

Si deve poi rilevare che, nel caso in esame, il trattamento di dati personali effettuato per la finalità di tutela dei propri diritti - come invocata dalla Società - è riferito a un contenzioso (pur ancora stragiudiziale, per quanto emergente dall’istruttoria condotta) in atto “e non ad astratte e indeterminate ipotesi di possibile difesa o tutela dei diritti, posto che tale estensiva interpretazione … risulterebbe elusiva delle disposizioni sui criteri di legittimazione del trattamento (v. artt. 6, par. 1, lett. b), c) e f) e 9, par. 2, lett. b) del Regolamento”; provv. 29 ottobre 2020, n. 214, doc. web 9518890). Tuttavia, si deve ribadire “che la legittima necessità di assicurare la conservazione di documentazione necessaria per l’ordinario svolgimento e la continuità dell’attività aziendale, anche in relazione ai rapporti intrattenuti con soggetti privati e pubblici, nonché in base a specifiche disposizioni dell’ordinamento, è assicurata, in primo luogo, dalla predisposizione di sistemi di gestione documentale con i quali − attraverso l’adozione di appropriate misure organizzative e tecnologiche − individuare i documenti che nel corso dello svolgimento dell’attività lavorativa devono essere via via archiviati con modalità idonee a garantire le caratteristiche di autenticità, integrità, affidabilità, leggibilità e reperibilità prescritte dalla disciplina di settore applicabile. I sistemi di posta elettronica, per loro stessa natura, non consentono di assicurare tali caratteristiche” (v.: provv. 29 settembre 2021, cit.; provv. 29 ottobre 2020, cit.; provv. 1° febbraio 2018, cit.).

Inoltre, si ritiene di dover confermare la violazione anche degli artt. 12, par. 3, e 15 del Regolamento. Ciò, rispettivamente, in ragione del mancato riscontro che la Società avrebbe dovuto dare “senza ingiustificato ritardo” e comunque non oltre 30 giorni dal ricevimento dell’istanza dell’interessata, nonché per l’inibito – improvviso - accesso all’account aziendale in questione, peraltro ben due mesi prima della risoluzione del rapporto d’agenzia e nonostante le reiterate richieste formulate dalla reclamante e (per quanto emerso dagli atti) non smentite dalla Società (al riguardo v. provv. 15 aprile 2021, cit.).Si rammenta peraltro che, in base all’art. 2-decies del Codice, “i dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati, salvo quanto previsto dall’articolo 160-bis”.

Alla luce di quanto sopra rilevato, si ritiene anche di dover adottare, in una prospettiva necessariamente più ampia rispetto alla fattispecie in esame, alcune misure correttive, associandole ad una differente tempistica d’adempimento, in considerazione delle richieste legittimamente formulate dalla reclamante, delle esigenze organizzative e funzionali della Società nonché della diversa consistenza degli interventi richiesti alla medesima.

3. CONCLUSIONI.

Per quanto sopra esposto si ritiene accertata la responsabilità della Società in ordine alle seguenti violazioni:

- artt. 157 e 166, comma 2, del Codice, per avere omesso di fornire riscontro ad una richiesta di informazioni ed esibizione di documenti formulata dal Garante;

- art. 5, par. 1, lett. a) ed e), del Regolamento, in ragione di una condotta non conforme al prin-cipio di correttezza e, nello specifico, della persistente vitalità dell’account aziendale assegnato alla reclamante, in violazione del principio di ‘limitazione della conservazione’;

- art. 13 del Regolamento, non avendo comprovato di aver fornito all’interessata un’idonea in-formativa, anche alla luce delle linee guida del Garante per posta elettronica e internet del 1° marzo 2007, pubbl. in Gazzetta Ufficiale n. 58 del 10 marzo 2007 (doc. web n. 1387522);

- artt. 12, par. 3, e 15 del Regolamento, in ragione, rispettivamente, del mancato riscontro che avrebbe dovuto dare “senza ingiustificato ritardo” e comunque non oltre il termine di 30 giorni dal ricevimento dell’istanza dell’interessata, nonché dell’inibito accesso all’account aziendale in questione.

Accertata altresì l’illiceità delle condotte suesposte con riferimento ai trattamenti presi in esame, si rende necessario nei confronti della Società:

- ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiarare illecito, nei termini di cui in motivazione, il trattamento effettuato e pertanto dichiarare fondato il reclamo della reclamante;

- ai sensi dell’art. 58, par. 2, lett. c), del Regolamento, ingiungere di adottare idonee soluzioni organizzative e tecniche per consentire alla reclamante di accedere alla casella elettronica e “di trasporre su supporto cartaceo o informatico i dati personali che la riguardano contenuti nella corrispondenza in tal modo conservata” (provv. 7 novembre 2014, doc. web n. 3718714), nei limiti -valevoli per entrambe le parti - dei principi di cui all’art. 5 del Regolamento, e in particolare di finalità, liceità e correttezza;

- ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiungere di provvedere alla disattivazione dell’account e alla contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti all’attività professionale del titolare del trattamento; nonché di adottare misure idonee ad impedire la visualizzazione dei messaggi in arrivo durante il periodo in cui tale sistema automatico è in funzione;

- ai sensi dell’art. 58, par. 2, lett. f), del Regolamento, imporre il divieto di qualunque trattamento dei dati estratti dall’account di posta elettronica aziendale riferito alla reclamante, fatta salva la loro conservazione per esclusiva finalità di tutela dei diritti in sede giudiziaria, per il tempo necessario a tale scopo, nei limiti di cui all’art. 160-bis del Codice;

- ai sensi dell’art. 58, par. 2, lett. c), del Regolamento, ingiungere di adottare idonee procedure per garantire un completo e tempestivo riscontro all’esercizio dei diritti degli interessati ai sensi degli artt. 15-22 del Regolamento, nonché il rilascio di un’idonea preventiva e documentata informativa rispetto al trattamento dei loro dati personali, ai sensi dell’art. 13 del Regolamento, incluso l’utilizzo di Internet e della posta elettronica aziendale da parte dei lavoratori, in base ai principi e alle misure indicati nelle Linee Guida del 1° marzo 2007;

- adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento.

4. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

Le violazioni sopra indicate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Palumbo Superyachts s.r.l. della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento (pagamento di una somma fino a € 20.000.000).

Per la determinazione dell’ammontare della sanzione, che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1), occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento.

Nella fattispecie, quali circostanze aggravanti devono essere considerate:

1. la dimensione soggettiva della condotta, da ritenersi gravemente colposa, con particolare riferimento alla lacunosità dell’adempimento informativo e al carattere reiterato del mancato riscontro alle istanze dell’interessato (lett. b);

2. il non adeguato grado di cooperazione mostrato nelle iniziali interlocuzioni con l’Autorità non avendo la Società fornito, pur a fronte di due richieste di informazioni, gli elementi necessari ad una valutazione adeguata dei trattamenti, imponendo il ricorso alla G.d.F. per la notifica della richiesta formulata ai sensi dell’art. 157 del Codice (lett. f);

3. la difformità della condotta della Società rispetto alla consistente ed univoca attività provvedimentale dell’Autorità (lett. k).

Quali elementi attenuanti, si ritiene di dover tener in conto:

1. il carattere isolato della doglianza che ha riguardato un solo interessato (lett. a):

2. la disponibilità manifestata dalla Società all’Autorità riguardo all’istanza d’ accesso della reclamante alla casella in questione, nonché le misure prospettate per migliorare la conformità alla normativa in materia di protezione dei dati (lett. c);

3. l’assenza di precedenti procedimenti avviati a carico della Società (lett. e);

4. la situazione di emergenza pandemica in cui si colloca la fattispecie (lett. k).

In base al complesso degli elementi sopra indicati, in applicazione dei principi di effettività, proporzionalità e dissuasività indicati nell’art. 83, par. 1, del Regolamento, tenuto conto del necessario bilanciamento fra diritti degli interessati e libertà di impresa, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società, si ritiene debba applicarsi - anche in considerazione dei precedenti sanzionatori sopra richiamati riguardo ad analoghe fattispecie - a Palumbo Superyacht Ancona s.r.l. la sanzione amministrativa del pagamento di una somma di euro 50.000 (cinquantamila/00), pari allo 0,25% del massimo edittale di 20 milioni di euro.

Nel caso in argomento si ritiene che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della materia oggetto di istruttoria, vale a dire il fenomeno del marketing indesiderato, rispetto al quale questa Autorità ha adottato numerosi provvedimenti sia a carattere generale sia diretti a determinati titolari del trattamento.

Ricorrono, infine, i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento.

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecito, nei termini di cui in motivazione, il trattamento effettuato da parte di Palumbo Superyacht Ancona s.r.l. - p. IVA: 02719080422, con sede in Via Enrico Mattei n. 14, Ancona - e pertanto dichiara fondato il reclamo della Sig.ra XX;

b) ai sensi dell’art. 58, par. 2, lett. c), del Regolamento, ingiunge alla medesima Società di adottare idonee soluzioni organizzative e tecniche per consentire alla reclamante di accedere, in presenza di persona di fiducia della Sc alla casella elettronica in questione e di trasporre su supporto cartaceo o informatico i dati personali che la riguardano contenuti nella corrispondenza in tal modo conservata, nel rispetto dei principi di cui all’art. 5 del Regolamento, e in particolare di finalità, liceità e correttezza, entro 7 giorni dalla data di ricezione del presente provvedimento;

c) ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiunge alla medesima Società di disattivare l’account in questione, di provvedere alla contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti all’attività professionale del titolare del trattamento, nonché di adottare misure idonee ad impedire la visualizzazione dei messaggi in arrivo durante il periodo in cui tale sistema automatico è in funzione, entro 10 giorni dalla data di ricezione del presente provvedimento;

d) ai sensi dell’art. 58, par. 2, lett. f), del Regolamento, dispone, nei confronti della medesima Società, il divieto di trattamento dei dati estratti dall’account di posta elettronica aziendale riferito alla reclamante, fatta salva la loro conservazione per esclusiva finalità di tutela dei diritti in sede giudiziaria, per il tempo necessario a tale scopo, nei limiti di cui all’art. 160-bis del Codice;

e) ai sensi dell’art. 58, par. 2, lett. c), del Regolamento, ingiunge alla medesima Società di adottare idonee procedure per garantire il completo e tempestivo riscontro all’esercizio dei diritti degli interessati ai sensi degli artt. 15-22 del Regolamento, nonché il rilascio di un’idonea preventiva e documentata informativa rispetto al trattamento dei loro dati personali, ai sensi dell’art. 13 del Regolamento, incluso l’utilizzo di Internet e della posta elettronica aziendale da parte dei lavoratori, in base ai principi e alle misure indicati nelle Linee Guida del 1° marzo 2007, entro 30 giorni dalla data di ricezione del presente provvedimento;

f) ai sensi dell'art. 157 del Codice, chiede alla medesima Società di fornire riscontro adeguatamente documentato riguardo alle suindicate misure, entro 45 giorni dalla data di ricevimento del presente provvedimento. Si ricorda che il mancato riscontro alle richieste di cui sopra integra gli estremi dell'illecito amministrativo di cui all'art. 166, comma 2, del Codice;

ORDINA

a Palumbo Superyacht Ancona s.r.l. di pagare la somma di euro 50.000 (cinquantamila/00), a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata;

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 50.000 (cinquantamila/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981;

DISPONE

quale sanzione accessoria, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16 del Regolamento del Garante n. 1/2019, la pubblicazione sul sito del Garante del presente provvedimento e, ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 7 aprile 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei

Rispondi