[doc. web n. 10096474]

Provvedimento del 12 dicembre 2024

Registro dei provvedimenti
n. 771 del 12 dicembre 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presentato ai sensi dell’art. 77 del Regolamento dalla Sig.ra XX nei confronti di Ambiente 2000 S.r.l.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. Il reclamo nei confronti della Società e l’attività istruttoria.

Con reclamo del 23 settembre 2022, la Sig.ra XX ha lamentato presunte violazioni del Regolamento da parte di Ambiente 2000 S.r.l. (di seguito, la Società), con riferimento al trattamento di dati personali effettuato attraverso la gestione dell’indirizzo di posta elettronica aziendale.

In particolare, la reclamante ha lamentato che il datore di lavoro, in data 4 novembre 2021, avrebbe richiesto alla reclamante (alla quale era stato assegnato l’account individualizzato XX), e agli altri dipendenti, di comunicare le “password di accesso e [le] password dei singoli file del computer aziendale […] utilizzato”.

In proposito la reclamante ha rappresentato che, nel pc aziendale assegnato, erano presenti anche “dati […] personali e comunicazioni inerenti la […] vita privata” della stessa (v. e-mail del 4/11/2021 inviata dall’allora amministratore unico della società avente ad oggetto “Richiesta password”, All. 1 al reclamo).

La dipendente ha documentato di aver chiesto alla Società, con due e-mail inviate il 21 e 25/11/2021, spiegazioni su ulteriori accadimenti che sarebbero avvenuti nei giorni successivi.
In particolare, secondo quanto rappresentato, “in data 22/11/21, l’amministratore unico […] commissionò a taluni tecnici di ispezionare, di nuovo, fuori dell’orario di lavoro e in assenza dei dipendenti, i dati personali conservati all’interno dei p.c. aziendali”.

Successivamente, il 23 novembre 2022, un tecnico del servizio assistenza software “riferì a tutti i dipendenti presenti in ufficio, che, a sua insaputa, era stato creato un nuovo indirizzo di posta elettronica, XX al quale veniva dirottata tutta la posta elettronica dell’azienda di tutti i dipendenti e che questo nuovo sistema non riusciva a smistare le e-mail ai destinatari originali”. Successivamente “Il sistema delle email aziendali fu ripristinato […] il 26/11/21”.

Alle e-mail del 21 e 25/11/2021, la Società non avrebbe fornito alcun riscontro, né avrebbe risposto a una successiva richiesta, del 12 settembre 2022, con la quale la reclamante ha esercitato il proprio diritto alla cancellazione dei dati personali ex art. 17 del Regolamento e altresì chiesto di “disattivare e rimuovere gli account di posta elettronica […] utilizzati”; “di non accedere alle […] caselle di posta elettronica”; “di evitare la raccolta della posta in transito su tali account, la memorizzazione e il minuto controllo indiscriminato, che costituiscono controllo a distanza”.

La reclamante ha pertanto chiesto l’intervento dell’Autorità ritenendo che tali condotte siano avvenute in violazione di disposizioni del Regolamento e del Codice.

La Società, nel fornire riscontro ad una richiesta di informazioni inviata dall’Autorità il 23 ottobre 2023, con nota del 20 novembre 2023 ha rappresentato che:

la richiesta di fornire le password di accesso rivolta dalla Società ai dipendenti il 4/11/2021 era finalizzata a “consentire l'installazione di un software denominato "DOC" […]. L'installazione del software era stata portata a conoscenza di tutti i dipendenti, ai quali era stato richiesto di consentire l'accesso ai tecnici informatici. In particolare, questa esigenza nasceva dalla mancata comunicazione di importanti mail aziendali all'Amministratore Unico per iniziativa della reclamante, contravvenendo quando scritto nel paragrafo 2.4.4 del Disciplinare interno per un corretto utilizzo di strumenti informatici, posta elettronica e navigazione in internet";

“con contratto del 4.11.2021, che si allega […], la società […] ha fornito alla Ambiente 2000 s.r.l. licenza d’uso del software “DOC” per la gestione ed archiviazione dei documenti e dei flussi organizzativi. In occasione dell’installazione, è stata richiesta una consulenza atta all’attivazione di una casella di posta elettronica per l’aggregazione di mail aziendali in entrata. È stato così creato un indirizzo di posta elettronica (XX) attivando il forward delle caselle indicate verso quest’ultima. A seguito di disservizi legati alla lentezza della rete e del sistema, dopo un paio di giorni, la Ambiente 2000 s.r.l. ha chiesto alla società […] di dismettere la casella cancellandone l’account; operazione effettuata in tempo reale da remoto”;

pertanto “il software è stato installato in data 15.11.2021 sulle postazioni dell'azienda a cui tecnici hanno potuto accedere, ovvero tre postazioni di cui una utilizzata come server. Gli altri computer, tra cui quello della [reclamante] erano inaccessibili a causa della mancata comunicazione delle password di accesso. […] In conseguenza dei disservizi generatisi a seguito dell'installazione del software, la società ha avuto la possibilità di recedere dal contratto”;

“a causa del mancato funzionamento del software sopra descritto, non vi è stata né acquisizione né conservazione di dati personali dei dipendenti”;

“il mancato funzionamento del software sopra descritto non ha consentito lo svolgimento della funzione per la quale era stato adottato e, di conseguenza, non vi sono soggetti che hanno avuto accesso all’account [XX]”;

“al computer della [reclamante] nonché al suo account di posta elettronica non è stato fatto alcun accesso in quanto la stessa non ha condiviso la sua password”;

quanto alla istanza di esercizio dei diritti presentata dalla reclamante, “si evidenzia innanzitutto che la richiesta di esercizio dei diritti veniva indirizzata […] non sulla mail aziendale dedicata alla ricezione di tali richieste indicata anche nella policy […], ma direttamente all’amministratore della società. Lo stesso inoltre riteneva di non dover fornire risposta in quanto nessuno era stato in grado di accedere al pc in uso alla [reclamante]; pertanto, non è avvenuto alcun trattamento abusivo o illecito di dati. […] In merito alla disattivazione dell’account [assegnato alla reclamante], la stessa è avvenuta anche se non si è in grado di indicare la data, come da richiesta inviata ad Aruba che si allega”;

“è stato adottato un disciplinare interno che si allega”.

2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e le deduzioni della società.

Il 14 marzo 2024, l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione alla Società delle presunte violazioni del Regolamento riscontrate, con riferimento agli artt. 5, par. 1, lett. a) e c), 12, 17 e 88 del Regolamento nonché agli artt. 113 e 114 del Codice.

Con memorie difensive inviate in data 12 aprile 2024, la Società ha rappresentato che:

“in merito al mancato riscontro all’istanza […] con la quale la reclamante chiedeva, tra l’altro, la “cancellazione dei [propri] dati personali ex art. 17, par. 1, Reg. UE 2016/679”, nonché la disattivazione e rimozione degli account di posta elettronica utilizzati, si ribadisce che la Società ha ritenuto, in buona fede, di non dover rispondere per iscritto poiché non vi era stato alcun illecito trattamento dei dati personali e, inoltre, perché una risposta, seppur orale era stata data all’interessata. Risposta resa dall’allora legale rappresentante della società, […], all’inizio del mese di ottobre 2022” nel corso di un colloquio avente ad oggetto anche vicende private (nota 12/4/2024, p. 1-2);

“l’odierna reclamante non era una dipendente qualsiasi della società […], ma era socia […] ed in quanto tale a conoscenza del contenuto del Disciplinare interno. La richiesta avanzata dalla reclamante è apparsa inoltre superflua in quanto la stessa era tenuta a sapere che non poteva salvare nel pc aziendale “dati […] personali e comunicazioni inerenti la […] vita privata”, in quanto espressamente vietato dal Disciplinare stesso” (nota cit., p. 2);

“l’allora amministratore unico […], ha ritenuto di non dare riscontro scritto alla richiesta avanzata: a) poiché non poteva sapere che fossero stati salvati sul pc aziendale “dati […] personali e comunicazioni inerenti la […] vita privata”, da parte di socio lavoratore che ben conosceva il Disciplinare interno; b) poiché non vi era stato alcun illecito trattamento di dati personali; c) poiché la reclamante era già in possesso degli idonei elementi di risposta richiesti essendo a conoscenza del fatto che il software di gestione documentale e la casella di posta elettronica per la sola “aggregazione delle mail aziendali in entrata” (XX), a seguito del verificarsi di “disservizi”, erano stati immediatamente disattivati, […]; d) poiché aveva comunicato verbalmente alla reclamante l’avvenuta cancellazione dell’account [alla stessa assegnato]” (nota cit., p. 2-3);

“la richiesta della reclamante non è stata inviata all’indirizzo pec della società (XX, come indicato nella policy privacy) ma all’indirizzo pec personale [dell’allora amministratore unico] e, quindi, in buona fede ne è stata sottovalutata la rilevanza. Si aggiunge che la pec in questione è giunta in un periodo nel quale [l’allora amministratore unico] era impegnato da solo nella gestione amministrativa ed organizzativa dell’azienda. Nello stesso periodo [lo stesso] era fortemente assorbito anche dalle questioni legate alla reclamante la quale, a causa della sua condotta ostruzionistica, rifiutava in più convocazioni l’approvazione del bilancio d’esercizio 2021 della società” (nota cit., p. 3);

con riguardo al contenuto del disciplinare interno, datato 23/9/2019, “un approfondimento effettuato con il fornitore dei sistemi informatici […] ha evidenziato che non è installato nessun sistema per la tracciatura dei file di log, oltre al registro eventi che fa parte di serie di tutti i sistemi Windows. Il sistema informatico aziendale, inoltre, prevede l’esecuzione serale di un back up che riguarda tutti i documenti che sono stati creati oppure modificati nella cartella condivisa Ambiente2000. Una volta alla settimana il sistema riesegue un backup completo. Giornalmente viene effettuato anche il backup del database di Winwaste, il software per la gestione dei rifiuti” (nota cit., p. 3);

“La casella di posta elettronica assegnata alla reclamante è stata disabilitata […]” (nota cit., p. 4);

“La società non effettua e non ha mai effettuato controlli sistematici sull’utilizzo degli strumenti elettronici dei dipendenti ma si riserva la facoltà di effettuare accessi o controlli mirati ex post in caso di prolungata assenza o impedimento dell’incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività aziendale, di sicurezza del sistema, o sospetto di attività illecite. Con specifico riferimento alla reclamante giammai la società ha effettuato accessi o controlli mirati. La società mai ha inteso effettuare un controllo sistematico e massivo dell’attività della dipendente-socia né accedere a dati "non rilevanti ai fini della valutazione dell’attitudine professionale" della stessa nonché a dati privati e/o sensibili” (nota cit., p. 4);

“la società ha informato la reclamante ˗ e gli altri dipendenti ˗ circa modalità e finalità della descritta attività di raccolta e conservazione dei dati, attraverso l’adozione dei documenti denominati “Regole di base per la conservazione delle informazioni e per l’utilizzo delle risorse cartacee e informatiche”, “Back up e Recovery”, “Disciplinare interno per un corretto utilizzo di strumenti informatici, posta elettronica e navigazione in internet”, “Analisi dei rischi” e “Registro dei trattamenti” (nota cit., p. 4);

“Sebbene il Disciplinare interno preveda, ma solo per prevenire o correggere malfunzionamenti del proprio sistema nonché garantire l’efficienza dello stesso, la registrazione delle componenti di traffico (file di log) riferiti a posta elettronica, internet, rete interna e telefonia, come già scritto sopra la società Ambiente 2000 srl non utilizza alcun sistema di registrazione dei file di log. Pertanto, non è stato effettuato alcun trattamento “in violazione degli artt. 5, par. 1, lett. a) e c) del Regolamento e degli artt. 114 e 115 del Codice in relazione a quanto stabilito dall’art. 88 del Regolamento”” (nota cit., p. 5);

“è stata avviata una interlocuzione con il consulente esterno Privacy per la revisione del contenuto del “Disciplinare interno per un corretto utilizzo di strumenti informatici, posta elettronica e navigazione in internet” e della sua reale applicazione nella pratica quotidiana” (nota cit., p. 5);

“pur ritenendo di non aver commesso alcuna violazione nel senso che nessun illecito utilizzo dei dati personali vi è stato, i rilievi mossi dal Garante sono stati occasione utile per verificare la compliance delle regole interne alla normativa alla quale la società intende adeguarsi” (nota cit., p. 5).

Nel corso dell’audizione tenutasi in data 15 luglio 2024 a seguito di richiesta della Società, quest’ultima ha da ultimo evidenziato che:

l’omesso riscontro alla richiesta di disattivazione dell’account è avvenuto a causa “di una non voluta disattenzione. Ciò in quanto l’account sul quale è pervenuta la predetta richiesta di cancellazione non è quello della società, alla quale è necessario rivolgere le istanze della specie secondo l’informativa Privacy della società, bensì quello personale dell’amministratore unico pro-tempore, sul quale, nello stesso periodo considerato, sono arrivate un numero considerevole di e-mail, pari a 47, come documentato nel report che la Società provvederà ad inviare quanto prima al Garante”;

“La reclamante, al tempo dei fatti contestati, era l’amministratrice di fatto della Società che agiva per conto della Società stessa sulla base di una procura e a livello amministrativo si occupava di tutti gli adempimenti”;

“Per dare esecuzione alla richiesta di disattivazione dell’account di posta elettronica assegnato alla reclamante è dovuto intervenire il tecnico informatico in quanto il legale rappresentante non era in grado tecnicamente di provvedervi. L’impossibilità di provvedervi in autonomia è stata rappresentata verbalmente alla reclamante in virtù del rapporto personale in essere”.

3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

3.1 Esito dell’istruttoria. Violazione degli artt. 12 e 17 del Regolamento.

All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, risulta che la Società, in qualità di titolare, ha effettuato alcune operazioni di trattamento, riferite alla reclamante, che risultano non conformi alla disciplina in materia di protezione dei dati personali.

In proposito si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

Nel merito, è emerso in primo luogo che la Società, in base al contratto stipulato in data 4/11/2021 con una società di servizi, ha programmato l’installazione di un software di gestione documentale (“DOC”).

Al momento della installazione del software, la Società ha chiesto al fornitore del servizio di attivare una casella di posta elettronica (XX) dedicata alla “aggregazione delle mail aziendali in entrata […] attivando il forward delle caselle verso quest’ultima”. Tuttavia dopo “un paio di giorni”, a seguito del verificarsi di “disservizi”, la Società stessa ha chiesto al fornitore del servizio di dismettere la casella e di disporne la cancellazione.

Per quanto riguarda il software di gestione documentale, questo è stato installato il 15/11/2023 su tre postazioni (ad esclusione di quella assegnata alla reclamante). Poiché anche in relazione alla installazione del software si sono verificati “disservizi”, la Società ha effettuato il recesso dal contratto di fornitura del servizio.

In base a quanto dichiarato dalla Società sotto la propria responsabilità, pertanto, “non vi è stata né acquisizione né conservazione di dati personali dei dipendenti” a seguito della temporanea attivazione della casella XX e del sistema di gestione documentale (solo su tre postazioni).

All’esito dell’esame degli atti, posto che in termini generali la creazione di un account aziendale (la cui denominazione peraltro contiene significativamente il termine “controllo”) con reindirizzamento sullo stesso di tutti i messaggi che pervengono su account aziendali anche di tipo individualizzato appare di dubbia legittimità (in relazione a casi concreti di reindirizzamento posto in essere dopo la cessazione del rapporto di lavoro v. Provv. 27 aprile 2023, n. 171, doc. web n. 9909235; Provv. 16 dicembre 2021, n. 440, doc. web n. 9739653), non sono in ogni caso emerse evidenze di trattamenti di dati (riferiti anche alla reclamante) effettuati dalla Società in occasione della installazione del sistema di gestione documentale e della attivazione della casella XX.

È tuttavia emerso anche che, in data 12/9/2022, la reclamante ha inviato alla Società, tramite e-mail, la richiesta, tra l’altro, di “cancellazione dei [propri] dati personali ex art. 17, par. 1, Reg. UE 2016/679”, con particolare riferimento alla disattivazione e alla rimozione degli account di posta elettronica utilizzati dalla reclamante stessa.

A tale richiesta la Società non ha fornito alcun riscontro in quanto, in base a quanto dichiarato, l’allora amministratore unico della Società ha ritenuto di non essere tenuto a rispondere poiché la richiesta è stata ritenuta “indebita” e in ogni caso non vi sarebbe stato alcun trattamento illecito di dati personali.

In aggiunta la Società ha ritenuto che l’omesso riscontro sia dipeso dalla circostanza che l’istanza di cancellazione è stata inviata dalla reclamante all’indirizzo pec contenente nome e cognome dell’allora amministratore della Società e non sul diverso indirizzo XX indicato nella “Informativa generale sulla Privacy” (datata 23/9/2019) relativamente alle modalità di esercizio dei diritti da parte degli interessati (v. All. 3, nota di riscontro della Società 20/11/2023).

In ogni caso, si prende atto che l’account di tipo individualizzato a suo tempo assegnato alla reclamante è stato cancellato dalla Società, sebbene la stessa non sia stata in grado di documentare, con esattezza, quando ciò sia avvenuto (pur avendo formulato una richiesta in tal senso al fornitore del servizio: v. All. 5, nota di riscontro cit.).

La conferma dell’avvenuta cancellazione sarebbe stata comunque fornita verbalmente alla reclamante “all’inizio del mese di ottobre 2022” (v. memorie difensive 12/4/2024, p. 1-2).

Pur tenendo conto delle peculiarità del caso, la condotta della Società risulta in contrasto con quanto stabilito dall’art. 17 del Regolamento laddove stabilisce che l’interessato ha il diritto di ottenere, dal titolare del trattamento, la cancellazione “senza ingiustificato ritardo” dei dati personali che lo riguardano in presenza di specifici motivi indicati dalla norma.

L’obbligo di cancellazione, posto in capo al titolare del trattamento, deve seguire le modalità prescritte dall’art. 12, in particolare laddove prescrive che “il titolare del trattamento fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa”.

La Società avrebbe pertanto dovuto fornire, “al più tardi entro un mese”, una risposta specifica alla richiesta di cancellazione, in ipotesi anche in caso di diniego (in base a quanto stabilito dall’art. 12, par. 4 del Regolamento), né quanto previsto dalle disposizioni sopra richiamate può considerarsi soddisfatto dalla circostanza che la cancellazione sarebbe stata effettuata e comunicata verbalmente all’interessata, ossia senza osservare le specifiche modalità previste dalla disciplina di protezione dei dati personali.

L’argomento avanzato in proposito dalla Società non può essere accolto, perché le concrete modalità di riscontro, da parte del titolare del trattamento così come previste dal Regolamento, costituiscono parte integrante del diritto riconosciuto all’interessato. Inoltre, come già osservato sopra, nel caso concreto, dagli atti del procedimento non emerge con certezza la data dell’avvenuta cancellazione dell’indirizzo di posta elettronica oggetto del reclamo.

Né in proposito può ritenersi, come argomentato dalla Società, che l’omesso riscontro sia legittimamente riconducibile all’utilizzo, per l’inoltro della richiesta di cancellazione da parte della reclamante, dell’indirizzo di posta elettronica recante nome e cognome dell’allora amministratore unico anziché dell’indirizzo dedicato all’esercizio dei diritti inserito nella Informativa Privacy predisposta dalla Società.

Ciò in quanto la stessa Società ha rappresentato di aver preso comunque cognizione della richiesta veicolata sull’indirizzo pec dell’amministratore unico, nonostante la ricezione di numerose altre pec sul medesimo account, e di avervi dato riscontro seppure verbalmente nel corso di un colloquio con la reclamante.

In ogni caso, in termini generali, si rappresenta che le Guidelines 01/2022 on data subject rights - Right of access, EDPB, del 28 marzo 2023, hanno chiarito che il titolare non può richiedere un formato specifico per le istanze di esercizio del diritto di accesso né, in linea di principio, specifici requisiti che gli interessati debbano osservare nella scelta di un canale di comunicazione attraverso il quale entrano in contatto con il titolare del trattamento (v. punto 52).

La Società, pertanto, nei termini sopra descritti, non ha ottemperato all’obbligo di fornire riscontro all’interessata a seguito dell’esercizio dei diritti previsti dal Regolamento - nel caso di specie il diritto di cancellazione ai sensi dell’art. 17 -, nei termini e con le modalità prescritte dall’art. 12 del Regolamento.

3.2 Violazione degli artt. 5, par. 1, lett. a) e c) e 88 del Regolamento nonché degli artt. 113 e 114 del Codice.

È altresì emerso che la Società ha adottato un “Disciplinare interno per un corretto utilizzo di strumenti informatici, posta elettronica e navigazione in internet”, datato 23/9/2019, con il quale, tra l’altro, si prevede la sistematica raccolta e memorizzazione “delle componenti di traffico (file di log) riferiti a: Posta elettronica […] Internet […] Rete interna […] Telefonia” (v. All. 6, nota di riscontro della Società 20/11/2023).

In particolare, con riferimento alla posta elettronica, è prevista la conservazione per trenta giorni dei dati raccolti e, a seguire, “le informazioni vengono salvate su un’area di disco e successivamente (con idonea periodicità) vengono memorizzate su supporti ottici non riscrivibili conservati in apposita cassaforte ignifuga. Viene mantenuto lo storico degli ultimi sei mesi […]”; “alle informazioni raccolte possono accedere le sole persone interne o esterne espressamente autorizzate dal Titolare del trattamento alla gestione del servizio di posta elettronica”.

Anche con riguardo alla rete interna, “le informazioni […] sono raccolte, conservate ed analizzate secondo le modalità sopra descritte per il servizio di posta elettronica”, con possibilità di accesso ai soggetti autorizzati “alla gestione dei servizi di rete interna”.

Con riferimento alla telefonia, “le informazioni […] sono raccolte, conservate ed analizzate secondo le modalità sopra descritte per il servizio di posta elettronica”, con possibilità di accesso dei soggetti autorizzati “alla gestione del servizio di telefonia”.

Per quanto riguarda la navigazione in Internet, “le informazioni sono raccolte, conservate ed analizzate secondo le modalità sopra descritte per il servizio di posta elettronica”.

In particolare, il titolare del trattamento si riserva di conservare i file di log relativi al traffico web, per un periodo di trenta giorni, con possibilità di risalire al singolo operatore identificabile “mediante aggregazione con i dati di una separata tabella”. L’identificabilità è possibile anche in relazione ai dati riferiti a posta elettronica, rete interna e telefonia (v. par. 2.4.9 “Controlli e verifiche”).

In relazione ai dati raccolti e conservati con le modalità su indicate, la Società si riserva di effettuare “controlli occasionali sugli strumenti elettronici, sui personal computer/elaboratori, sulle relative periferiche, sui supporti di memorizzazione e su ogni altro apparato o dispositivo elettronico”.

Sebbene le modalità di effettuazione dei controlli, secondo quanto rappresentato con il Disciplinare, siano astrattamente ispirate al principio di gradualità (considerato che i controlli su base individuale potranno avvenire dopo l’effettuazione di verifiche su base anonima, ma in caso di reiterazione di violazioni del disciplinare la Società si riserva di avviare procedimenti disciplinari), la preventiva e sistematica raccolta e conservazione dei file di log – per un periodo significativo di tempo, pari a trenta giorni più sei mesi - relativi all’utilizzo del sistema di posta elettronica, della navigazione in internet, della rete interna e della telefonia non è conforme al principio generale di minimizzazione, in base al quale i dati personali devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. c) del Regolamento).

Ciò tenuto anche conto che la dichiarata finalità dei trattamenti siffatti consiste nella necessità di “prevenire o correggere malfunzionamenti del […] sistema nonché garantire l’efficienza dello stesso”.

Analogamente, per “motivi di sicurezza del sistema informatico” nonché per “motivi tecnici e/o manutentivi […] o per finalità di controllo e programmazione dei costi aziendali” il titolare si riserva di “accedere direttamente […] agli strumenti informatici aziendali e ai documenti ivi contenuti, nonché ai tabulati del traffico telefonico” (v. par. 2.4.8 “Accesso ai dati trattati dall’utente”).

La legittima finalità di assicurare la sicurezza e l’efficienza dei sistemi informatici deve essere infatti bilanciata con i diritti e le libertà degli interessati, a maggior ragione nel caso in cui il titolare prospetti il trattamento di dati afferenti alle comunicazioni che, pure qualora effettuate nel contesto lavorativo, trovano protezione nel nostro ordinamento anche a livello costituzionale (sul punto, con specifico riguardo alla conservazione dei log della posta elettronica aziendale v. il documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, Provv. 6/6/2024, n. 364 in www.garanteprivacy.it, doc. web n. 10026277).

Inoltre, attraverso la conservazione sistematica dei file di log generati dall’utilizzo di posta elettronica, internet, rete interna e telefonia, nell’ambito del rapporto di lavoro, anche attraverso la possibilità di accedere direttamente a tutti i contenuti presenti nei dispositivi assegnati ai dipendenti o comunque da essi generati, compresi i tabulati telefonici, la Società, in violazione dell’art. 5, par. 1, lett. a) del Regolamento (principio di liceità del trattamento), in qualità di titolare/datore di lavoro, può ricostruire l’attività dei propri dipendenti ed effettuare attività di controllo a distanza attraverso l’utilizzo di dispositivi tecnologici, anche al di là delle finalità tassativamente ammesse dall’art. 4, l. 20 maggio 1970, n. 300 (“Norme sulla tutela della libertà e dignità dei lavoratori, della libertà sindacale e dell'attività sindacale, nei luoghi di lavoro e norme sul collocamento”).

Tale disciplina, che costituisce una delle norme più specifiche e di maggior tutela previste in materia lavoristica dall’ordinamento nazionale ai sensi dell’art. 88 del Regolamento, è richiamata dall’art. 114 del Codice (“Garanzie in materia di controllo a distanza”) come condizione di liceità dei trattamenti di dati personali effettuati nel contesto del rapporto di lavoro (in proposito si vedano alcune precedenti decisioni del Garante in relazione a casi concreti: Provv. 21 luglio 2022, n. 255, doc. web n. 9809466; Provv. 13 maggio 2021, n. 190, doc. web n. 9669974; Provv. n. 53 del 1° febbraio 2018, doc. web n. 8159221; Provv. 13 luglio 2016, n. 303, doc. web n. 5408460).

Il richiamato art. 4, l. n. 300 del 1970 prevede una specifica procedura di garanzia in caso di impiego di “strumenti dai quali derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori”. Posto che questi strumenti “possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale”, la loro installazione può avvenire solo “previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale. In mancanza di accordo, gli impianti e gli strumenti di cui al primo periodo possono essere installati previa autorizzazione della sede territoriale dell'Ispettorato nazionale del lavoro”.

In base a quanto stabilito dalla disciplina di settore, pertanto, la Società avrebbe dovuto verificare la sussistenza in concreto delle tassative finalità indicate dalla norma, in relazione ai trattamenti prospettati con il Disciplinare, e, all’esito di tale verifica, se del caso attivare la procedura di garanzia prevista dalla richiamata disciplina posta in materia di controlli a distanza.

Attraverso il sistematico tracciamento dei log e l’accesso ai contenuti dei dispositivi, compresi i tabulati telefonici, previsti dal Disciplinare interno adottato dalla Società è altresì possibile accedere a informazioni su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore, in violazione dell’art. 113 del Codice (laddove richiama come condizione di liceità del trattamento l’osservanza dell’art. 8, l. 20/5/1970, n. 300 e dell’art. 10 del d.lgs. 10/9/2003, n. 276; a tale ultimo proposito Cass. civ., 19/9/2016, n. 18302 ha stabilito che “acquisire e conservare dati che contengono (o possono contenere) simili informazioni comporta già l’integrazione della condotta vietata […] anche se i dati non sono successivamente utilizzati. Non è necessario sottoporre i dati raccolti ad alcun particolare trattamento per incorrere nell’illecito, poiché la mera acquisizione e conservazione della disponibilità di essi comporta la violazione della prescrizione legislativa”).

Infatti il monitoraggio sistematico dei log delle comunicazioni effettuate attraverso la posta elettronica e il telefono aziendale, nonché della navigazione in Internet, anche se esclusivamente e astrattamente riferite alla sfera lavorativa e professionale (secondo quanto disposto nel caso concreto dal disciplinare aziendale) può riguardare - anche incidentalmente - aspetti (es. relazioni sindacali, relazioni tra colleghi anche di tipo privato, stato di salute, etc.) idonei a rivelare al datore di lavoro informazioni che in base all’ordinamento non devono essere conosciute da quest’ultimo.

Ciò posto, si prende atto che, con le memorie difensive, la Società ha dichiarato che nel corso del procedimento davanti al Garante ha disposto “un approfondimento […] con il fornitore dei sistemi informatici [nel corso del quale è emerso] che non è installato nessun sistema per la tracciatura dei file di log, oltre al registro eventi che fa parte di serie di tutti i sistemi Windows. Il sistema informatico aziendale, inoltre, prevede l’esecuzione serale di un back up che riguarda tutti i documenti che sono stati creati oppure modificati nella cartella condivisa Ambiente2000. Una volta alla settimana il sistema riesegue un backup completo. Giornalmente viene effettuato anche il backup del database di Winwaste, il software per la gestione dei rifiuti” (memorie difensive 12/4/2024, p. 3).

In proposito si osserva tuttavia che la Società non ha fornito alcuna evidenza e/o documentazione (se del caso proveniente anche dal fornitore dei servizi informatici) della inesistenza di sistemi idonei a effettuare quanto indicato nel disciplinare interno.

Nel contempo, la Società ha altresì sostenuto in proposito che “non effettua e non ha mai effettuato controlli sistematici sull’utilizzo degli strumenti elettronici dei dipendenti ma si riserva la facoltà di effettuare accessi o controlli mirati ex post in caso di prolungata assenza o impedimento dell´incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività aziendale, di sicurezza del sistema, o sospetto di attività illecite” (memorie difensive cit., p. 4).

Infine, a seguito delle contestazioni del Garante, “è stata avviata una interlocuzione con il consulente esterno Privacy per la revisione del contenuto del [disciplinare interno] e della sua reale applicazione nella pratica quotidiana” (memorie difensive cit., p. 5).

Preliminarmente si osserva che spetta al titolare, in base al principio di responsabilizzazione (ex art, 5, par. 2 del Regolamento), effettuare trattamenti di dati personali con modalità rispettose dei principi generali stabiliti dalla disciplina in materia di protezione dei dati personali (v. art. 5, par. 1 de Regolamento), anche qualora si avvalga di professionisti che devono pur sempre operare in base alle istruzioni e alle specifiche indicazioni relative a finalità e mezzi del trattamento fornite dal titolare medesimo (v. art. 4, n. 7 del Regolamento).

Ciò posto, il disciplinare adottato dalla Società e, secondo quanto dichiarato, reso noto ai dipendenti a far data dal mese di settembre del 2019 nonché tutt’ora operante, sebbene in fase di “revisione”, attribuisce al titolare/datore di lavoro la facoltà di effettuare operazioni di trattamento che, per i motivi ampiamente suesposti, non sono conformi alle norme applicabili ai trattamenti medesimi.

Inoltre la Società ha rappresentato, in termini del tutto generici, l’oggetto delle revisioni da apportare al disciplinare che avrebbe commissionato al consulente esterno. Risulta parimenti generica l’indicazione delle concrete attività di controllo “mirate” che si riserva comunque si effettuare al verificarsi di esigenze legate alla “prolungata assenza o impedimento” del dipendente incaricato ma anche all’occorrenza di non meglio specificate “necessità di operatività aziendale, di sicurezza del sistema, o sospetto di attività illecite”.

Inoltre la Società non ha chiarito a chi siano resi disponibili, per quanto tempo e per quali finalità i dati oggetto di backup da parte dei sistemi.

Per i motivi suesposti i trattamenti indicati nel “Disciplinare interno per un corretto utilizzo di strumenti informatici, posta elettronica e navigazione in internet” risultano in violazione dei principi di liceità del trattamento (art. 5, par. 1, lett. a) del Regolamento in relazione agli artt. 113 e all’art. 114 del Codice) e di minimizzazione (art. 5, par. 1, lett. c) del Regolamento), nonché dell’art. 88 del Regolamento che consente al diritto nazionale di prevedere misure “più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro”.

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Per i suesposti motivi l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati personali effettuato dalla Società e segnatamente l’omesso riscontro alla istanza di cancellazione di dati personali nonché i trattamenti indicati nel “Disciplinare interno per un corretto utilizzo di strumenti informatici, posta elettronica e navigazione in internet” risultano infatti illeciti, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a) e c), 12, 17 e 88 del Regolamento nonché agli artt. 113 e 114 del Codice.

La violazione accertata nei termini di cui in motivazione non può essere considerata “minore”, tenuto conto della natura della violazione che ha riguardato i principi generali del trattamento, l’esercizio dei diritti dell’interessato e le discipline di settore applicabili al trattamento, della gravità e della durata della violazione stessa, del grado di responsabilità e della maniera in cui l'autorità di controllo ha preso conoscenza della violazione (v. Considerando 148 del Regolamento).

L’Autorità ha altresì tenuto conto del livello elevato di gravità della violazione alla luce di tutti i fattori rilevanti nel caso concreto, e in particolare la natura, la gravità e la durata della violazione, tenendo in considerazione la natura, l'oggetto o la finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito.

L’Autorità ha anche preso in considerazione i criteri relativi al carattere doloso o colposo della violazione e le categorie di dati personali interessate dalla violazione nonché la maniera in cui l'autorità di controllo ha preso conoscenza della violazione (v. art. 83, par. 2 e Considerando 148 del Regolamento).

Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento, si dispone il divieto dei trattamenti previsti nel disciplinare interno nei termini di cui in motivazione e si dispone l’applicazione di una sanzione amministrativa pecuniaria, ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. f) e i) Regolamento).

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

All’esito del procedimento risulta che Ambiente 2000 S.r.l. ha violato gli artt. 5, par. 1, lett. a) e c), 12, 17 e 88 del Regolamento nonché agli artt. 113 e 114 del Codice. Per la violazione delle predette disposizioni è prevista l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, del Regolamento.

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83 del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18 L. 24 novembre 1981, 689), in relazione al trattamento dei dati personali posto in essere da Ambiente 2000 S.r.l., di cui è stata accertata l’illiceità, nei termini sopra esposti.

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento, ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

a) in relazione alla natura della violazione, questa ha riguardato fattispecie punite più severamente ai sensi dell’art. 83, par. 5 del Regolamento (principi generali del trattamento, diritti degli interessati, inosservanza di norme degli Stati membri adottate a norma del Capo IX del Regolamento); in relazione alla gravità della violazione, nel caso di specie, è stata presa in considerazione la natura della violazione che ha riguardato disposizioni poste a tutela dell’esercizio di diritti in materia di protezione dei dati e disposizioni più specifiche a tutela degli interessati nell’ambito dei rapporti di lavoro; con riguardo alla durata della violazione, è stata considerata rilevante la perdurante vigenza del disciplinare interno;

b) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare, è stata presa in considerazione la condotta negligente della Società e il grado di responsabilità della stessa che non si è conformata alla disciplina in materia di protezione dei dati relativamente a una pluralità di disposizioni;

c) a favore della Società, si è tenuto conto della cooperazione con l’Autorità di controllo, dell’avvenuta cancellazione dei dati relativi alla reclamante (account individualizzato di posta elettronica aziendale) e dell’avvio di attività di revisione del disciplinare interno; si è altresì tenuto conto delle peculiarità del caso concreto.

Si ritiene inoltre che assumano rilevanza, nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla Società con riferimento al bilancio abbreviato d’esercizio per l’anno 2023. Da ultimo si tiene conto dell’entità delle sanzioni irrogate in casi analoghi.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Ambiente 2000 S.r.l. la sanzione amministrativa del pagamento di una somma pari ad euro 20.000 (ventimila).

In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l’ordinanza ingiunzione sul sito Internet del Garante

Ciò in considerazione della tipologia delle violazioni accertate che hanno riguardato l’esercizio dei diritti dell’interessato e i principi generali del trattamento, anche con riguardo alla necessità di osservare le disposizioni di settore applicabili ai trattamenti in ambito lavorativo.

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f) e 83 del Regolamento, rileva l’illiceità del trattamento effettuato da Ambiente 2000 S.r.l., in persona del legale rappresentante, con sede legale in Via Brasile, 2, Roseto degli Abruzzi (TE), C.F. 01734620766, ai sensi dell’art. 143 del Codice, per la violazione degli gli artt. 5, par. 1, lett. a) e c), 12, 17 e 88 del Regolamento nonché agli artt. 113 e 114 del Codice;

IMPONE

ai sensi dell’art. 58, par. 2, lett. f) del Regolamento a Ambiente 2000 S.r.l., il divieto dei trattamenti di dati riferiti ai dipendenti previsti nel “Disciplinare interno per un corretto utilizzo di strumenti informatici, posta elettronica e navigazione in internet” nei termini di cui in motivazione;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento a Ambiente 2000 S.r.l., di pagare la somma di euro 20.000 (ventimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

quindi alla medesima Società di pagare la predetta somma di euro 20.000 (ventimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);

DISPONE

ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;

ai sensi dell’art. 154-bis, comma 3, del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 12 dicembre 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL VICE SEGRETARIO GENERALE
Filippi