[doc. web n. 10187975]

Provvedimento del 25 settembre 2025

Registro dei provvedimenti
n. 535 del 25 settembre 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Angelo Fanizza segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. del 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. del 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTI i reclami presentati al Garante ai sensi dell’articolo 77 del Regolamento, in data 28 giugno e 15 ottobre 2024, concernenti l’inidoneo riscontro, da parte di Italy Car Rent S.r.l., ad alcune istanze di esercizio dei diritti formulate ai sensi dell’art. 15 del Regolamento;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

PREMESSO

1. Il reclamo e l’attività istruttoria.

Sono pervenuti alla scrivente Autorità, due reclami, presentati rispettivamente in data 28 giugno e 15 ottobre 2024, cui i quali è stato lamentato l’inidoneo riscontro, reso da Italy Car Rent S.r.l., alle istanze di esercizio dei diritti formulate dagli interessati, ai sensi dell’art. 15 del Regolamento, il 12 aprile e il 18 agosto 2024.

In particolare, i reclamanti hanno evidenziato che le note di risposta trasmesse dalla Società (il 23 aprile, in un caso, e il 18 agosto 2024, nell’altro) non contenessero alcuna indicazione in ordine alle informazioni personali oggetto di trattamento, limitandosi a fornire elementi riferiti esclusivamente a profili di natura contrattuale.

Considerato che i reclami riguardavano lo stesso titolare del trattamento e avevano ad oggetto i medesimi profili di violazione, l’Autorità ha ritenuto di procedere alla riunione dei singoli procedimenti sopra richiamati, al fine di effettuare un esame organico delle questioni ad essi sottese (v. art. 10, coma 4, del Regolamento del Garante n. 1/2019).

È stata pertanto avviata l’istruttoria, mediante trasmissione di due richieste di informazioni (v. note del 5 novembre 2024), alle quali la Società ha fornito risposta, con comunicazione del 25 novembre 2024.

Al riguardo è emerso quanto di seguito rappresentato.

In relazione alle modalità di adempimento degli obblighi di cui all’art. 12 del Regolamento nei casi di specie, Italy Car Rent S.r.l. ha riscontrato le istanze degli interessati, in data 25 novembre 2024, esclusivamente a seguito dell’intervento dell’Autorità; ciò “fornendo agl[i] stess[i] tutte le informazioni richieste dall’art. 15 del Regolamento” (v. nota del 25 novembre 2024, pag. 1 e All. 1 – Reclamo del 28 giugno 2024 e nota del 25 novembre 2024, pag. 1 e All. 1 – Reclamo del 15 ottobre 2024).

In ordine alle motivazioni connesse al mancato riscontro nei termini previsti dall’art. 12 del Regolamento, ha riferito di aver “ritenuto di dare [esclusiva] priorità alla gestione della pratica commerciale di cui la richiesta di esercizio del diritto di accesso pareva strumentale” (v. note del 25 novembre 2024, pag. 1).

Per quanto concerne, più in generale, le misure organizzative implementate dalla Società nell’ottica di agevolare l’esercizio dei diritti ex artt. 15-22 del Regolamento da parte dei soggetti interessati, Italy Car Rent S.r.l. ha precisato che, “per ogni stazione in cui intrattiene rapporti con la clientela, ha nominato un referente deputato alla gestione delle questioni data protection e provveduto alla [relativa] formazione”. Ha inoltre “istruito tutti gli operatori, fornendo indicazioni volte a garantire il rispetto della protezione dei dati” (cfr. note del 25 novembre 2024, pag. 1).

In particolare, la procedura per la gestione delle richieste di esercizio dei diritti è stata strutturata come segue:

‒ il “canale di contatto deputato a tal fine è l’invio di una email all’indirizzo info@italycarrent.com, debitamente indicato sulle informative estese presenti in tutte le stazioni”;

‒ “eventuali richieste, una volta ricevute, vengono trasmesse al DPO”;

‒ il “DPO valuta la richiesta e fornisce supporto al referente privacy”;

‒ il “referente privacy provvede a inviare il riscontro all’interessato” (v. in merito, note del 25 novembre 2024, pag. 1).

2. La notifica delle violazioni.

A seguito della notifica delle violazioni di cui agli artt. 15 e 12, par. 3 del Regolamento, trasmessa a Italy Car Rent S.r.l. con comunicazione del 5 febbraio 2025, la Società, con nota del 5 marzo 2025, ha fatto pervenire i propri scritti difensivi, ulteriormente integrati, in sede di audizione del 28 maggio 2025 e per il tramite delle successive comunicazioni del 13 giugno e del 4 luglio 2025.

Nell’ambito delle sopra menzionate memorie, la Società ha rappresentato in primis che l’inadeguato riscontro “alle richieste di esercizio dei diritti risulta riconducibile a una non corretta instradazione delle stesse da parte del personale preposto” dovuta prevalentemente “al fatto che le richieste sono state inserite in scambi di e-mail inizialmente riferiti esclusivamente alla gestione di controversie derivanti da contratti di noleggio, senza una chiara distinzione tra i profili contrattuali e quelli afferenti alla protezione dei dati personali. In entrambi i casi, infatti, le richieste sono state formulate all’interno di interlocuzioni già avviate per la gestione delle suddette controversie di natura commerciale, incidendo sulla tempestiva individuazione della loro effettiva duplice finalità. Ciò ha comportato un’interlocuzione prevalentemente incentrata sugli aspetti contrattuali, senza che emergesse con immediata evidenza la necessità di un distinto trattamento delle istanze sotto il profilo della protezione dei dati personali”. La condotta è pertanto “riconducibile esclusivamente a una contingente difficoltà operativa o a un errore involontario” (v. nota della Società del 5 marzo 2025, pag. 2).

In materia di accountability, la Società ha altresì evidenziato il profondo impegno profuso dalla stessa, fin dalla sua costituzione, al rispetto della normativa di protezione dei dati personali, sottolineando di aver già da tempo “portato a termine processi di formazione di tutto il personale aziendale” (v. nota della Società del 5 marzo 2025, pag. 3 e Allegati 2 e 2bis), nonché di aver designato dal 2021 un Responsabile della protezione dei dati che “ha fornito supporto costante alla Società, accompagnandola nell’implementazione di un sistema di gestione della conformità alla normativa in materia di protezione dei dati personali” (v. nota della Società del 5 marzo 2025, pag. 3 e Allegati nn. 3 e 3-bis; v. anche verbale dell’audizione del 28 maggio 2025, pagg. 1 e 2).  
Al fine di prevenire il ripetersi in futuro di fatti analoghi a quello accaduto nel caso di specie, inoltre, Italy Car Rent S.r.l. ha avviato una riflessione “sulle modalità più efficaci per rafforzare l’instradamento delle richieste degli interessati, introducendo misure mirate a ottimizzare il riconoscimento e la gestione di istanze aventi rilevanza privacy, nel rispetto della normativa vigente” (v. nota della Società del 5 marzo 2025, pag. 2).

Nello specifico:

- l’attivazione di “una casella di posta elettronica destinata esclusivamente alla ricezione delle istanze di esercizio dei diritti degli interessati”. Tale specifico canale “consente di centralizzare tutte le richieste in un unico punto di accesso, semplificando la loro gestione operativa e riducendo il rischio che vengano smarrite, gestite in ritardo o trattate da personale non autorizzato”. La predetta casella è stata richiamata in tutte le informative aziendali, sul sito web della Società, nonché nella “Procedura per la Gestione delle Richieste dei Diritti degli Interessati” (v. nota del 13 giugno 2025, pagg. 1-2);

- l’aggiornamento della sopra menzionata “Procedura per la Gestione delle Richieste dei Diritti degli Interessati”, mediante, tra l’altro, l’inclusione di “esempi pratici utili al riconoscimento delle richieste da parte del personale autorizzato” nonché della previsione inerente all’obbligo di “inoltro di tutte le richieste pervenute tramite canali diversi [da quello specificatamente dedicato alla gestione delle istante privacy] (..) all’indirizzo dedicato privacy@italycarrent.com”. La predetta procedura è stata inoltre “caricata in un ambiente intranet aziendale accessibile da tutto il personale aziendale a cui è stato applicato un sistema di alert che permette che il personale sia informato del caricamento di ulteriori eventuali aggiornamenti della stessa, con obbligo di prenderne visione” (v. nota del 13 giugno 2025, pag. 2);

- l’istituzione di un registro volto a tenere traccia delle istanze ricevute ai sensi del Regolamento nonché dello stato di avanzamento e dell’esito della relativa procedura di gestione delle stesse (v. verbale dell’audizione del 28 maggio 2025, pag. 2);

- l’aggiornamento delle informative rese alla clientela che sono state oggetto di una revisione strutturale e contenutistica, anche mediante l’utilizzo di icone grafiche che ne facilitano la lettura (v. nota del 13 giugno 2025, pag. 2);

- la revisione dell’opuscolo informativo aziendale denominato “La Nuova Privacy”, distribuito internamente, al fine di fornire ai dipendenti un supporto sintetico e operativo in materia di protezione dei dati personali (v. nota del 13 giugno 2025, pag. 2);

- lo svolgimento di una specifica sessione di formazione del personale dipendente avente ad oggetto in particolare le modalità di riscontro alle richieste di esercizio dei diritti; sessione che ha ricompreso i referenti di tutte le sedi dislocate nel territorio nazionale (v. nota del 13 giugno 2025, pagg. 2-3).

3. Le valutazioni dell’Autorità.

In primis si rappresenta che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

Tanto doverosamente premesso, all’esito dell’esame della documentazione agli atti e delle dichiarazioni rese dal titolare nel corso del procedimento, sono emersi, a carico di Italy Car Rent S.r.l., i profili di violazione di seguito esplicitati.

In primis, è stato constatato che la Società non ha fornito riscontro agli interessati nei termini previsti dall’art. 12, par. 3 del Regolamento, provvedendo a rispondere agli stessi diversi mesi dopo la presentazione dell’istanza da parte di questi ultimi e unicamente a seguito dell’invito ad aderire formulato dal Garante (nella specie, 7 mesi nell’ipotesi di cui al reclamo del 28 giugno 2024, e 3 mesi in quella di cui al reclamo del 15 ottobre 2024).

Sul punto, non è infatti possibile accogliere quanto sostenuto da Italy Car Rent S.r.l., in ordine alla errata qualificazione delle predette istanze quali pratiche “riferite esclusivamente a (..) controversie derivanti da contratti di noleggio” e alla loro conseguenziale gestione in via esclusiva da parte degli uffici specificatamente preposti a tali profili (v. supra, par. 2 della presente decisione).

Ciò considerato che, in entrambe le ipotesi, le sopra menzionate istanze facevano espresso riferimento alla normativa in materia di protezione dei dati personali e alla volontà degli interessati di accedere ai propri dati personali (v. reclami del 28 giugno e del 15 ottobre 2024).

Si aggiunga altresì che una delle due istanze di esercizio dei diritti era inequivocabilmente indirizzata al Responsabile della protezione dei dati e che è stata trasmessa all’indirizzo e-mail specificamente dedicato, dalla Società, alle pratiche inerenti all’esercizio dei diritti ex artt. 15-22 del Regolamento (ovvero info@italycarrent.com; cfr. Informativa resa dalla Società ai sensi dell’art. 13 del Regolamento; v. reclamo del 15 ottobre 2024, All. 1).

Per tali ragioni, la condotta tenuta da Italy Car Rent S.r.l. si è posta in contrasto con il Regolamento e, in particolare, con l’obbligo di fornire all’interessato, “senza giustificato ritardo e comunque al più tardi entro un mese dal ricevimento [dell’istanza]”, le informazioni richieste dall’interessato ai sensi dell’art. 15 del Regolamento; tutto ciò comportando, dunque, la violazione degli art. 15 e 12, par. 3 del Regolamento.

In termini più generali, si rileva altresì che, dall’esame dei riscontri forniti dal titolare e della documentazione ad essi allegata, le misure organizzative implementate dalla Società, in relazione all’esercizio dei diritti ex artt. 15-22 del Regolamento da parte dei soggetti interessati, sono apparse lacunose e inadeguate a garantire l’osservanza al Regolamento. Il tutto in violazione del principio di “accountability” di cui all’art. 5, par. 2 e all’art. 24 del Regolamento.

Ai sensi delle predette disposizioni, infatti, il titolare è il soggetto cui è attribuita la “responsabilità generale” del trattamento, gravando, pertanto, su quest’ultimo l’onere di attuare un sistema organizzativo e gestionale contraddistinto da misure reali ed efficaci di protezione dei dati nonché comprovabili (v. anche cons. 74 del Regolamento); ciò non solo mediante la corretta e puntuale predisposizione degli adempimenti imposti dal Regolamento (informativa; registro delle attività di trattamento; nomina del Responsabile della protezione dei dati ove obbligatoria; ecc.), ma anche attraverso l’implementazione di procedure e prassi organizzative atte a conformare i relativi trattamenti alla disciplina di riferimento (es. processi per la corretta gestione dei dati oggetto di trattamento; policy di data retention; procedure per la gestione delle richieste di esercizio dei diritti e dei reclami; ecc.; cfr. Gruppo art. 29, WP 173 del 13 luglio 2010- Opinion 3/2010 on the principle of accountability, pagg. 11-12).

L’attuazione del principio di accountability, con riferimento all’esercizio dei diritti dell’interessato, pone, in capo al titolare, l’onere di predisporre un sistema organizzato per la gestione delle istanze presentate ai sensi degli artt. 15-22 del Regolamento, individuando specifiche istruzioni da fornire al personale incaricato (quali, ad esempio, l’obbligo di monitorare l’e-mail dedicata; chiarire le tempistiche da rispettare; individuare le casistiche di differimento dei termini; ecc.) e mettendo a disposizione dello stesso modelli di risposta (es. istanza di cancellazione; differimento dei termini con motivazione; ecc.) e moduli operativi per fronteggiare le diverse casistiche (es. indicazioni sui referenti da contattare e sulle azioni da effettuare in caso di ricezione di un invito ad aderire del Garante; istruzioni sulle attività da porre in essere in caso di sollecito dell’istanza; ecc.).

Sul punto, nel corso dell’istruttoria, la Società non ha fornito documentazione idonea a comprovare l’esistenza di procedure consolidate per la gestione delle predette istanze, limitandosi ad allegare un documento di natura sintetica contenente l’indicazione sommaria delle novità normative introdotte dal Regolamento (v. note del 25 novembre 2024, All. 2).

Al suo interno, il paragrafo dedicato all’esercizio dei diritti -peraltro molto breve- non contiene alcun riferimento alle tempistiche richieste dalla normativa per riscontrare le istanze di accesso degli interessati, né alle modalità di risposta da parte del titolare.

Va parimenti considerato che l’attività di formazione del personale -che rappresenta indubbiamente una delle attività idonee ad adempiere al principio di accountability- non può costituire l’unico elemento rappresentativo dell’impegno profuso dal titolare in tale contesto (v. par. 2 della presente decisione).

La circostanza che la medesima tipologia di violazione sia stata posta in essere dalla Società in due ipotesi distinte, con riferimento a clienti diversi ed in momenti differenti (le richieste di accesso sono rispettivamente del 26 aprile e del 19 agosto 2024) esclude, peraltro, che la stessa possa essere considerata alla stregua di un caso isolato o riferito a sporadici episodi di disallineamento dalle procedure adottate dal titolare, evidenziando piuttosto il carattere sistemico delle criticità sopra rilevate.

Ne è ulteriore testimonianza il fatto che il riscontro, da parte della Società, non sia stato fornito nei termini e con le modalità indicate dalla normativa nemmeno laddove, come nell’ipotesi di cui al reclamo del 15 ottobre 2024, l’istanza sia stata espressamente trasmessa all’Ufficio del Responsabile della protezione dei dati.

Tutto ciò considerato, si rileva pertanto la violazione, a carico di Italy Car Rent S.r.l., dell’art. 5, par. 2, dell’art. 12, par. 3, dell’art. 15 e dell’art. 24 del Regolamento.

Preso atto della circostanza che la Società, il 25 novembre 2024, ha provveduto a fornire idoneo riscontro all’istanza di accesso presentata dal reclamante, si ritiene tuttavia che non ricorrano, allo stato degli atti, i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2 del Regolamento. A tal fine si tiene conto anche delle misure organizzative adottate dalla Società nel corso del procedimento, come illustrate al par. 2 della presente decisione.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

[OMISSIS]

TUTTO CIÒ PREMESSO, IL GARANTE

dichiara, ai sensi degli artt. 57, par. 1, lett. f) del Regolamento, l’illiceità del trattamento effettuato da Italy Car Rent S.r.l., con sede in Bolzano, p. iva n. 05952850823., nei termini di cui in motivazione, per la violazione dell’art. 5, par. 2, dell’art. 12, par. 3, dell’art. 15, nonché dell’art. 24 del Regolamento;

[OMISSIS]

DISPONE

ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l'annotazione delle violazioni e delle misure adottate in conformità all'art. 58, par. 2 del Regolamento, nel registro interno dell'Autorità previsto dall'art. 57, par. 1, lett. u) del Regolamento;

ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità; ciò tenuto conto di quanto disposto dall’art. 166, comma 7, del Codice.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 25 settembre 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Fanizza