g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Clear Channel Italia S.p.A. - 15 aprile 2021 [9670738]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9670738]

Ordinanza ingiunzione nei confronti di Clear Channel Italia S.p.A. - 15 aprile 2021

Registro dei provvedimenti
n. 137 del 15 aprile 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTI i reclami presentati al Garante ai sensi dell’articolo 77 del Regolamento dal dott. XX e dal dott. XX nei confronti di Clear Channel Jolly Pubblicità S.p.A.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamentodel Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. I reclami nei confronti della società e l’attività istruttoria.

Il dott. XX e il dott. XX, con distinti reclami presentati all’Autorità, rispettivamente in data 23 novembre 2018 e 22 dicembre 2018, hanno lamentato presunte violazioni della disciplina posta in materia di protezione dei dati personali con particolare riferimento ai trattamenti effettuati da Clear Channel Jolly Pubblicità S.p.A. (ora denominata Clear Channel Italia S.p.A., di seguito, la società) sui dati contenuti negli strumenti aziendali (smartphone e pc) consegnati ai reclamanti nell’ambito del rapporto di lavoro. I trattamenti oggetto di reclamo sono stati effettuati mediante l’acquisizione della copia di tutti i contenuti presenti nei predetti dispositivi a seguito della momentanea restituzione dei medesimi richiesta dalla società ad un gruppo di dipendenti tra i quali i reclamanti.

Tenuto conto che i due reclami sono stati presentati nei confronti del medesimo titolare, in relazione ad operazioni di trattamento che all’esito dell’attività istruttoria sono risultate essere state effettuate con finalità e modalità analoghe, nell’ambito di una medesima indagine interna al gruppo cui appartiene la società, i procedimenti relativi ai due reclami sono definiti con un unico provvedimento dell’Autorità.

I. Reclamo del 23 novembre 2018.

1.1. Con il reclamo presentato dal dott. XX si lamenta, in particolare, che in data 21 settembre 2018 alcuni esponenti della società PricewaterhouseCoopers (PwC) hanno rappresentato al reclamante “di aver ricevuto incarico, dalla società Clear Channel, di espletare attività di copia del contenuto dei telefoni cellulari, dei computer portatili e fissi in […] dotazione, senza forni[re] spiegazioni”. Solo dopo la restituzione dei dispostivi la società ha fornito alcune informazioni sull’esame effettuato qualche ora prima sul contenuto dei dispositivi aziendali (v. email 21.9.2018, h. 16.27, All. 2 reclamo 23.11.2018). Tale attività di esame dei dispositivi sarebbe stata effettuata in assenza di previa specifica informativa all’interessato, al quale inoltre non sarebbe stato fornito alcun riscontro a fronte della richiesta rivolta alla società di avere copia dei documenti contenenti la policy aziendale sull’uso dei dispositivi (v. email 5.10.2018, h. 10.43, All. 2 reclamo cit.).

In risposta all’invito a fornire riscontro, formulato dall’Ufficio in data 1° marzo 2019, la società con nota del 5 aprile 2019, ha dichiarato che:

a. la società “è stata oggetto di alcune indagini interne da parte della controllante Clear Channel International volte ad accertare una presunta violazione delle norme tributarie ed una presunta condotta fraudolenta”; in tale contesto la capogruppo “si è affidata a consulenti esterni tra i quali PricewaterhouseCoopers” (v. nota 5.4.2019, p. 1);

b. il reclamante ed altri dipendenti erano “sospettati” di aver commesso illeciti anche di natura penale (v. nota cit., p. 1);

c. nel corso delle indagini interne “si è ritenuto necessario (dopo essersi avvalsi della consulenza legale in materia di protezione dei dati in Italia) effettuare una serie di indagini forensi senza preavviso su un gruppo selezionato di beni aziendali affidati a soggetti sospetti per verificare il ragionevole dubbio di condotte illecite” (v. nota cit., p. 2);

d. la mancanza di preavviso è stata preordinata alla “tutela degli interessi legittimi della società […] di prevenire e accertare i reati nonché di prevenire la distruzione di materiale rilevante” (v. nota cit., p. 2);

e. quanto alla base giuridica del trattamento effettuato, la società ha ritenuto che siano applicabili al caso di specie gli artt. 6, par. 1, lett. f), 9, par. 2, lett. f) e 10 del Regolamento; inoltre il reclamante è “soggetto alla politica aziendale della società in virtù del contratto in essere” con la società che ha messo a disposizione in una cartella condivisa i documenti relativi alla privacy policy (v. nota cit., p. 2);

f. sono state adottate misure per “ridurre il rischio di violazione della privacy dei dati” del reclamante, in particolare “limitando l’accesso ai dati ad un gruppo ristretto di soggetti esterni appartenenti al team forense di PwC”, “limitando i termini di ricerca a quelli rilevanti unicamente ai fini della indagine forense”, “ignorando qualsiasi fotografia o email personale reperita inavvertitamente”, “disponendo che PwC non ricercasse o aggirasse alcuna password relativa alle informazioni personali contenute sugli indirizzi email personali” (v. nota cit., p. 3);

g. il reclamante “ha firmato un modulo di consenso alla raccolta del [proprio] materiale” (v. nota cit., p. 4 e Doc. 4, “Chain of Custody Form”);

h. nel corso del procedimento disciplinare la società ha utilizzato “una catena di email” contenenti email “inviate agli e dagli indirizzi di posta elettronica personali” del reclamante, in proposito si precisa che “durante lo scambio di email successive uno dei destinatari ha inoltrato il messaggio all’indirizzo email aziendale [del reclamante] presumibilmente per errore. Lo scambio stesso di email è stato recuperato dall’indirizzo email aziendale” (v. nota cit., p. 3-4);

i. “le ricerche forensi sui computer hanno alimentato il ragionevole sospetto. In seguito alla scoperta di materiale incriminante presente in tali computer, [il reclamante] e i suoi cospiratori sono stati licenziati” (v. nota cit., p. 4).

La società ha altresì fornito copia della “Politica sull’utilizzo accettabile della sicurezza informatica” (datato 26.4.2018), della “Politica sulla classificazione e gestione delle informazioni” (datato 26.4.2018), del documento “Proteggiamo i dati che usiamo” (datato 25.5.2018), dell’“Investigation Action Protocol” (non datato) in lingua inglese, della CCI Policy Store-Due diligence (non datato).

1.2. Con successiva nota del 19 giugno 2019 la società, rappresentata e difesa dall’Avv. Francesca Rubina Gaudino, in riscontro ad una richiesta di fornire ulteriori chiarimenti formulata dall’Ufficio in data 7 maggio 2019, ha ulteriormente dichiarato e precisato che:

a. “nel mese di marzo 2018 la società intraprendeva un’attività di revisione fiscale interna in collaborazione con la società di revisione PricewaterhouseCoopers (PwC)”, ciò “a seguito di una segnalazione interna (c.d. whistleblowing)” (v. nota 19.6.2019, p. 2);

b. all’esito di tale attività nel corso della quale erano emerse alcune “anomalie riconducibili a potenziali frodi ai danni del fisco italiano”, la società disponeva una “approfondita investigazione interna”, nel corso della quale sono emersi “alcuni fatti sospetti in relazione a potenziali attività fraudolente nella gestione” di uno specifico servizio da parte del reclamante; di conseguenza la società nel mese di settembre 2018 avviava una ulteriore fase di investigazione sempre in collaborazione con PwC (v. nota cit., p. 2);

c. in tale contesto in data 21 settembre 2018 la società “chiedeva ad alcuni lavoratori di sottoporsi ad una disamina dei propri computer e smartphone aziendali” (v. nota cit., p. 2);

d. all’esito di tale investigazione sono emersi “molteplici elementi indiziari a riprova del coinvolgimento” del reclamante in attività illecite; successivamente il reclamante è stato sottoposto a procedimento disciplinare cui ha fatto seguito, in data 31 gennaio 2019, la risoluzione del rapporto di lavoro in essere (v. nota cit., p. 2);

e. il computer assegnato al reclamante è stato sottoposto a c.d. imaging “ovvero la copia di tutte le zone del disco rigido […] e la conseguente archiviazione in un file separato”; l’attività di imaging “è stata tecnicamente realizzata tramite «Logicube forensic Falcon»”; inoltre la SIM aziendale è stata “sottoposta ad acquisizione del file system con «Cellebrite Ufed Touch2»” mentre non è stata effettuata alcuna indagine nei confronti del “telefono cellulare personale del reclamante” (v. nota cit., p. 3);

f. “nel corso delle verifiche […] PwC non ha effettuato nessun accesso al server aziendale” (v. nota cit., p. 3);

g. “la finalità specifica per cui l’indagine (e la relativa attività di controllo) è stata condotta è quella di accertare le condotte illecite commesse dal reclamante”; nello svolgimento di tale attività la società ha “tenuto in considerazione il principio di pertinenza e non eccedenza dei controlli effettuati sui dispositivi elettronici in dotazione al lavoratore” (v. nota cit., p. 3-4);

h. “I dati personali raccolti sono stati di natura prettamente non sensibile […] e nel limite di quanto […] rilevante ai fini dell’investigazione. Pertanto, qualora già da una prima analisi preliminare sui dati aggregati contenuti nei dispositivi fosse emersa la non pertinenza e la non stringente necessità di esaminare determinate informazioni, la società e PwC non avrebbero proseguito con il controllo delle stesse. Prova ne è il fatto che tutti i dati personali provenienti da indirizzi email privati o dati comunque ritenuti estranei all’indagine non sono stati tenuti in considerazione” (v. nota cit., p. 4);

i. “l’indagine interna ha coperto il periodo di tempo a partire da gennaio 2014 fino al momento dell’acquisizione del computer e della SIM aziendale del reclamante (settembre 2018)” (v. nota cit., p. 4);

j. “tutte le policy aziendali della società […] sono inserite in un’apposita cartella condivisa all’interno della rete intranet aziendale a cui ogni lavoratore, compreso il reclamante, ha libero accesso” (v. nota cit., p. 4);

k. “ogni lavoratore riceve, al momento del suo primo accesso sul computer aziendale, una comunicazione contenente […] l’invito a prendere visione di tutte le policy ed i codici di condotta della società, ivi comprese dunque quelle sul corretto utilizzo dei dispositivi informativi ed il trattamento dei dati personali” (v. nota cit., p. 5);

l. “l’Investigation Action Protocol è stato redatto dalla capogruppo CCI e condiviso a livello di gruppo. Questo documento è presente nell’International Sharepoint e può essere consultato da tutti i lavoratori della società. Al suo interno vengono individuati i principali passaggi connessi dall’attivazione di un’indagine, a partire dalla nomina di un «Investigation Lead»” (v. nota cit., p. 5);

m. “con l’avvento del Regolamento [l’Investigation Action Protocol] è stato sottoposto ad aggiornamento, conclusosi nel maggio 2018. La nuova versione del documento era stata inserita nell’International Sharepoint […]” (v. nota cit., p. 5);

n. “altri documenti aziendali attinenti all’utilizzo degli strumenti informatici aziendali adottati dal gruppo Clear Channel sono […] Standard di sicurezza per l’utilizzo dell’attrezzatura informatica in dotazione e per il trattamento delle informazioni aziendali [e] Politica sulla classificazione delle informazioni” (v. nota cit., p. 5);

o. “il fatto che si consenta un utilizzo limitato per scopi personali non pregiudica in alcun modo la possibilità di effettuare attività di controllo” (v. nota cit., p. 6);

p. “la società […] è sempre rimasta trasparente nell’evidenziare, da un lato, l’assenza di qualunque aspettativa di privacy nell’utilizzo delle risorse informatiche aziendali […] e, dall’altro, la legittimità del controllo effettuato per la rilevazione di condotte illecite” (v. nota cit., p. 6);

q. “CCI, in qualità di società capogruppo, ha svolto un ruolo di iniziativa e coordinamento dell’attività di investigazione interna. Considerata la natura e la posizione centrale di CCI all’interno della compagine societaria, se ne deduce il legittimo interesse (art. 6, par. 1, lett. f) del Regolamento) su cui ha fondato la propria attività di trattamento dei dati personali […] nella gestione dei controlli difensivi oggetto di reclamo” (v. nota cit., p. 6);

r. “le due società si [sono] mosse per compiere tutte quelle azioni preordinate all’esercizio e/o difesa di un diritto di fronte a un’autorità amministrativa e/o giudiziaria, in conformità all’art. 9, par. 2, lett. f) del Regolamento” (v. nota cit., p. 6);

s. “nessun dato relativo a condanne penali e reati è stato oggetto di analisi nel corso delle operazioni di controllo difensivo” (v. nota cit., p. 7);

t. “la società, confortata dall’orientamento giurisprudenziale prevalente, ritiene che il controllo difensivo posto in essere nei confronti del reclamante esuli dall’applicabilità delle disposizioni di cui all’art. 4 Stat. Lav.” (v. nota cit., p. 7).

La società ha altresì fornito copia di Standard di sicurezza per l’utilizzo dell’attrezzatura informatica in dotazione e per il trattamento delle informazioni aziendali (datato febbraio 2018) e Compliance Memo sulla valutazione di impatto privacy (datato 15.9.2019, traduzione in italiano).

1.3. Con successiva nota del 24 gennaio 2020, fornita in riscontro ad una richiesta di ulteriori chiarimenti del 1° ottobre 2019, reinviata il 10 gennaio 2020, la società ha dichiarato che:

a. la capogruppo Clear Channel International ha adottato un sistema di segnalazione interno “per sé e tutte le società affiliate”, mediante l’adozione del Protected Disclosure (Whistleblowing) Policy, e “ha predisposto un’informativa privacy adeguata […]. (v. nota 24.1.2020, p. 2);

b. “si precisa che le operazioni di imaging effettuate nei confronti del reclamante si sono rese necessarie a seguito delle risultanze emerse dalla prima fase investigativa […] e non da una segnalazione interna” (v. nota cit., p. 2);

c. “la società Pwc ha svolto le indagini in qualità di investigatore forense sulla base dell’impegno contrattuale assunto [in data] 24 aprile 2018 […] e successivamente modificato nel settembre 2018 per estendere l’oggetto dell’investigazione” (v. nota cit., p. 3);

d. la società aveva “debitamente istruito Pwc sulla necessità di raccogliere solo le informazioni strettamente rilevanti per il caso in esame e di escludere (o comunque cancellare in maniera sicura qualora erroneamente raccolto) tutto ciò che non fosse pertinente, compresi dati di natura sensibile” (v. nota cit., p. 3).

In allegato alla nota dell’8 novembre 2019 sono stati forniti in copia i seguenti documenti:

Protected Disclosure (Whistleblowing) Policy (datato 1.5.2019, All. 1, lingua inglese);

FAQs relative al Protected Disclosure (Whistleblowing) Policy (non datato, All. 2, lingua inglese);

Informativa privacy relativa al sistema whistleblowing (non datato, All. 3, lingua inglese);

Copia del contratto sottoscritto con PwC (datato 24.4.2018, All. 4, lingua inglese);

Modifica al contratto sottoscritto con Pwc (non datato, All. 5, lingua inglese).

II. Reclamo del 22 dicembre 2018.

1.1. Con il reclamo presentato davanti all’Autorità il dott. XX lamenta di aver appreso con una nota del 27 giugno 2018 (contenente una contestazione disciplinare) che la società “nei mesi tra marzo e giugno 2018 [aveva condotto] una approfondita verifica fiscale – successivamente estesa ad una vera e propria investigazione interna- con l’ausilio della società di revisione PwC”. Tale attività sarebbe stata effettuata mediante accesso al contenuto del telefono cellulare e del laptop aziendale, consegnati dal reclamante medesimo in data 24 aprile 2018 su richiesta della società che ha definito la verifica sui dispositivi “come parte di routine della verifica fiscale” (v. reclamo cit., p. 2 e All. 5).

Tale attività di esame dei dispositivi, secondo quanto lamentato, sarebbe stata effettuata in assenza di previa specifica informativa all’interessato, posto che il documento a suo tempo fornito dalla società non conterrebbe alcun riferimento al corretto utilizzo degli strumenti di lavoro “mentre sulle modalità e finalità di eventuali controlli si chiede addirittura un consenso per effettuare attività di audit […]” (v. reclamo cit., p. 3 e All. 8). La società avrebbe inoltre provveduto a pubblicare nella intranet aziendale (“senza alcuna informazione al lavoratore né formazione”) il documento “Standard di sicurezza per l’utilizzo dell’attrezzatura informatica in dotazione e per il trattamento delle informazioni aziendali”, datato sul frontespizio gennaio 2008 nel quale, con riferimento “all’utilizzo dell’account di posta elettronica e di internet […] si precisa che la società si riserva un costante potere di monitoraggio”, in violazione di disposizioni e principi di protezione dei dati (v. reclamo cit., p. 3-4 e All. 9).

Infine è stato lamentato che la società non avrebbe fornito riscontro alla richiesta di “avere dettagliata evidenza della gestione dei […] dati personali dall’inizio del […] rapporto [di lavoro]”, avanzata dal reclamante con email del 3.9.2018 (v. reclamo cit., p. 6-7 e All. 10).

1.2. La società, rappresentata e difesa dall’Avv. Francesca Rubina Gaudino, in risposta alla richiesta di elementi formulata dall’Ufficio (il 29.3.2019), con nota del 22 maggio 2019 ha dichiarato che:

a. “su iniziativa della società controllante Clear Channel International LTD” è stata avviata “un’attività di investigazione interna […] circa alcune complesse operazioni commerciali” (v. nota cit., p. 1);

b. “nel mese di marzo 2018 la società intraprendeva un’attività di revisione fiscale interna in collaborazione con la società di revisione PricewaterhouseCoopers (PwC)”, ciò “a seguito di una segnalazione interna (c.d. whistleblowing)” (v. nota cit., p. 2);

c. “durante tale attività […], in data 24 aprile 2018 la società chiedeva ai membri del management team di sottoporsi a una disamina del loro laptop e smartphone aziendale”; successivamente “la società riteneva […] necessario avviare una approfondita investigazione interna” (v. nota cit., p. 2);

d. “le indagini oggetto del contestato reclamo sono state espletate al fine di accertare dei comportamenti illeciti che nulla hanno a che vedere con il corretto svolgimento della prestazione lavorativa […]” (v. nota cit., p. 3);

e. “quanto alle modalità di effettuazione dell’attività di controllo da parte della società, il laptop e lo smartphone aziendale assegnati al reclamante sono stati sottoposti a c.d. imaging, ovvero la copia di tutte le zone del disco rigido del dispositivo esaminato e la conseguente archiviazione in un file separato” (v. nota cit., p. 4);

f. “il reclamante è stato preventivamente avvisato della programmata attività di imaging […]” (v. nota cit., p. 4);

g. “in qualità di dipendente della società, il reclamante ha ricevuto, al momento dell’assunzione e successivamente aggiornata nel tempo, informativa sul trattamento dei dati personali” (v. nota cit., p. 5 e All. 4);

h. all’interno della predetta informativa “tra le varie finalità indicate, nel caso di specie rileva non solo quella relativa all’attività di audit […], quanto piuttosto al trattamento dei dati con riguardo a controversie e/o procedimenti disciplinari” (v. nota cit., p. 6);

i. “la finalità di servizi di audit per cui si è chiesto (ed ottenuto) il consenso dell’interessato intendeva riprendere quanto disposto alla lett. b) [del par. 7 delle Linee guida per posta elettronica e Internet del Garante, 2007] nel quale si richiede che il trattamento di dati non legittimato da obblighi di legge e/o contrattuali, ovvero dal legittimo interesse o dall’esercizio di diritti in giudizio, possa fondarsi solo sul previo consenso dell’interessato” (v. nota cit., p. 6);

j. la società ha altresì prodotto copia di ulteriori documenti informativi: “Standard di sicurezza per l’utilizzo dell’attrezzatura informatica in dotazione e per il trattamento delle informazioni aziendali”, “Politica sulla classificazione delle informazioni” e “Politica sull’utilizzo accettabile della sicurezza informatica”; all’interno di questi documenti “la società ha ben premesso che l’utilizzo dei dispositivi aziendali deve essere rivolto a scopi professionali. Il fatto che si consenta un utilizzo limitato per scopi personali non pregiudica in alcun modo la possibilità di effettuare attività di controllo […]” (v. nota cit., p. 7 e All. 5-6-7);

k. “la società dunque è sempre rimasta trasparente nell’evidenziare, da un lato, l’assenza di qualunque aspettativa di privacy nell’utilizzo delle risorse informatiche aziendali […] e, dall’altro, la legittimità del controllo effettuato per la rilevazione di condotte illecite” (v. nota cit., p. 7);

l. i documenti informativi sopra richiamati (v. precedente lett. j.) “sono inseriti in una apposita cartella condivisa all’interno della rete intranet aziendale a cui ogni dipendente, compreso il reclamante, ha libero accesso” (v. nota cit., p. 8);

m. la società di revisione PwC “si è attenuta [ai] termini di servizio […] sottoscritti con la società, che contengono specifiche previsioni in tema di gestione dei dati personali [nonché] alle istruzioni della società, che ha richiesto espressamente […] di gestire le operazioni di revisione in conformità a parametri di ricerca rivolti esclusivamente al caso [concreto] e di non tenere in considerazione ed eliminare al più presto tutte le informazioni non strettamente rilevanti eventualmente emerse nel corso di questa ricerca. […]” (v. nota cit., p. 8);

n. con riferimento alla richiesta presentata dal reclamante in data 3 settembre 2018, la società ha rappresentato che “ai sensi e per gli effetti dell’art. 15 del Regolamento […], il titolare del trattamento non è tenuto a fornire informazioni concernenti le modalità con cui vengono trattati i dati personali dell’interessato […]. La società ha dunque ritenuto di non essere tenuta ad accogliere la richiesta del reclamante […]. In secondo luogo [...] una simile comunicazione potrebbe compromettere gravemente il corretto svolgimento delle investigazioni difensive ed il successivo esercizio di un diritto in sede giudiziaria. Anche per tale motivo, dunque, la società ha deciso di non fornire per il momento un riscontro motivato al reclamante nel rispetto di quanto disposto all’art. 2-undecies, c. 3, del [Codice]” (v. nota cit., p. 9).

La società ha altresì fornito copia dell’“Investigation Action Protocol - Clear Channel International – Internal Audit and International Compliance”, contenente il protocollo “nel quale vengono individuati i principali passaggi derivanti dall’attivazione di un’indagine [interna]”, datato novembre 2016 (v. nota cit., p. 7 e All. 8; anche questo documento è presente nella intranet e solo in lingua inglese).

1.3. Con successiva nota dell’8 novembre 2019, fornendo riscontro alla richiesta di ulteriori chiarimenti formulata dall’Autorità il 1° ottobre 2019, la società ha ulteriormente dichiarato che:

a. “La società capogruppo Clear Channel International […] si è dotata di un servizio di segnalazione interno per sé e tutte le società affiliate […]”; “Il contenuto della documentazione in questione è a disposizione di tutto il personale […] che può prenderne visione in ogni momento all’interno della cartella condivisa presente sul server aziendale” (v. nota 8.11.2019, p. 2);

b. conformemente a quanto indicato nel Protected Disclosure Whistleblowing Policy “qualora […] si intenda procedere con un’investigazione interna a seguito di una segnalazione, verranno prese in considerazione tutte le misure descritte nell’Investigation Action Protocol e dalla legge nazionale applicabile” (v. nota cit., p. 2);

c. con riferimento alla necessità di effettuare nel caso concreto una verifica di impatto privacy ex art. 35 del Regolamento, la società ritiene che “le operazioni di imaging e di successivo accesso alle informazioni raccolte nei confronti del reclamante […] sono state realizzate in un periodo antecedente all’entrata in vigore del Regolamento” (v. nota cit., p. 2);

d. “CCI, in qualità di società capogruppo, ha svolto un ruolo di iniziativa e coordinamento dell’attività di investigazione interna. Considerata la natura e la posizione centrale di CCI all’interno della compagine societaria, se ne deduce il legittimo interesse (art. 6, par. 1, lett. f) del Regolamento) su cui ha fondato la propria attività di trattamento dei dati personali” (v. nota cit., p. 2-3);

e. “le due società si [sono] mosse per compiere tutte quelle azioni preordinate all’esercizio e/o difesa di un diritto di fronte ad una autorità amministrativa e/o giudiziaria, in conformità all’art. 9, par. 2, lett. f), del Regolamento” (v. nota cit., p. 3);

f. la società PwC ha operato sulla base di un contratto nel quale “vengono esplicitati i criteri cui attenersi nello svolgimento dell’attività investigativa”; in proposito inoltre “CCI aveva debitamente istruito PwC sulla necessità di raccogliere solo le informazioni strettamente rilevanti […] e di escludere (o comunque cancellare in maniera sicura qualora erroneamente raccolto) tutto ciò che non fosse pertinente, compresi dati di natura sensibile” (v. nota cit., p. 3);

g. i dati riferiti al reclamante “raccolti nel corso delle operazioni di indagine attengono alle informazioni presenti sul desktop del laptop del reclamante e sulle piattaforme SourceOne ed Outlook365 di Microsoft” (v. nota cit., p. 3-4);

h. “l’indagine interna ha coperto il periodo di tempo a partire dall’inizio del 2016 fino al momento dell’acquisizione del laptop e della Sim aziendale del reclamante (24 aprile 2018). Tale profondità temporale è stata ritenuta ragionevolmente necessaria per poter esaminare eventuali attività preliminari rispetto alle operazioni sospette oggetto di investigazione” (v. nota cit., p. 4);

i. “non sono stati memorizzati sul server aziendale dati tratti dall’uso degli strumenti aziendali affidati al reclamante” (v. nota cit., p. 4);

j. “la società […] ritiene che il controllo difensivo posto in essere nei confronti del reclamante esuli dall’applicabilità delle disposizioni di cui all’art. 4, Stat. Lav.” (v. nota cit., p. 4).

In allegato alla nota dell’8 novembre 2019 sono stati forniti in copia i seguenti documenti:

Protected Disclosure (Whistleblowing) Policy (datato 1° maggio 2019, All. 1, lingua inglese);

FAQs relative al Protected Disclosure (Whistleblowing) Policy (All. 2, lingua inglese);

Informativa privacy relativa al sistema whistleblowing (All. 3, lingua inglese);

Copia del contratto sottoscritto con PwC (datato 24 aprile 2018, All. 4, lingua inglese).

2. Avvio del procedimento per l’adozione dei provvedimenti correttivi.

2.1. Il 10 marzo 2020 l’Ufficio ha notificato alla società, ai sensi dell’art. 166, comma 5, del Codice, le presunte violazioni riscontrate, con riferimento, per quanto riguarda il reclamo del 23 novembre 2018, agli artt. 5, par. 1, lett. a) e c) (principi di liceità, correttezza e minimizzazione), 6 (base giuridica del trattamento), 12 (informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato), 13 (informativa) e 88 (disposizioni più specifiche a livello nazionale) del Regolamento; 113 (raccolta di dati e pertinenza) e 114 (garanzie in materia di controllo a distanza) del Codice; per quanto riguarda il reclamo del 22 dicembre 2018, agli artt. 11, comma 1, lett. a) e 13 del Codice, testo vigente all’epoca dei fatti (le relative fattispecie sono confluite negli artt. 5, par. 1, lett. a) e 13 del Regolamento) (principio di liceità e correttezza e informativa), e artt. 5, par. 1, lett. c) (principio di minimizzazione), 6 (base giuridica del trattamento ), 12, par. 3 e 4 in relazione all’art. 15 del Regolamento (comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato), 88 (disposizioni più specifiche a livello nazionale) del Regolamento; artt. 113 (raccolta di dati e pertinenza) e 114 (garanzie in materia di controllo a distanza) del Codice.

Con memorie difensive del 15 giugno 2020, sostanzialmente identiche nel contenuto relativamente alle fattispecie oggetto di reclamo tranne alcuni elementi differenziali di cui si darà conto nelle successive lettere (d. e e.) la società, rappresentata e difesa dagli avvocati Rocco Panetta e Federico Sartore, ha dichiarato che:

a. in occasione “dell’entrata in vigore del GDPR, la Società ed il Gruppo a cui appartiene hanno ritenuto fondamentale investire ingenti risorse, umane ed economiche, in un progetto di adattamento e verifica dell’intera impostazione Privacy&Data Protection del Gruppo”; in proposito “sono state condotte approfondite attività di revisione e di audit della documentazione e dei processi in essere, nonché di riordino, razionalizzazione e memorizzazione dei flussi documentali dei dati”; inoltre la società ha costituito un Ufficio privacy centralizzato, un Team di Information Security e specifici “data Champions” a livello locale, ed ha altresì realizzato “numerose sessioni di formazione ed istruzione di tutto il personale” (v. note 15 giugno 2020, p. 2);

b. in ogni caso “si evidenzia il desiderio e la costante attività del Gruppo a migliorare le proprie prassi, flussi e processi di trattamento dei dati, anche e soprattutto rispetto alle peculiarità dei singoli ordinamenti nazionali” (v. note 15 giugno 2020, p. 3);

c. “l’attività di indagine forense che ha interessato i dispositivi [dei reclamanti] non può e non deve essere ritenuta una «mera» attività di controllo del datore di lavoro”, in quanto trattasi di “un’attività investigativa assolutamente straordinaria rispetto alle normali attività aziendali e preordinata […] a investigare i presunti illeciti commessi con le massime attenzioni possibili, nonché alla difesa dei propri diritti in sede (pre)contenziosa” (v. note cit., p. 4);

d. a seguito del ricevimento di una “segnalazione interna (whistleblowing) da parte di fonti attendibili, congiuntamente a prove indiziarie, di presunte condotte illecite” del reclamante (per quanto riguarda i fatti oggetto del reclamo del 22 dicembre 2018) e, successivamente, all’esito di una prima fase di investigazione nel corso della quale sono emersi “alcuni fatti sospetti in relazione a potenziali attività fraudolente” (relativamente ai fatti oggetto del reclamo del 23 novembre 2018), la società “incaricava un soggetto esterno, PriceWaterhouseCoopers […] di svolgere le attività di investigazione forense sui dispositivi […] ciò ai fini dell’allora vigente «Codice di deontologia e di buona condotta per i trattamenti di dati personali effettuati per svolgere investigazioni difensive»”; in tale ambito “il diritto ad essere informati rispetto alle modalità e finalità del trattamento […] dovrà necessariamente trovare una forma di applicazione attenuata (financo esclusa), pena il rischio di un pregiudizio grave ed eventualmente irreparabile del diritto di difesa della parte” (v. note cit., rispettivamente p. 5 e p. 4,5);

e. diversamente, “anche facendo rientrare le attività di imaging ed analisi dei dispositivi de[i reclamanti] all’interno del perimetro dei controlli datoriali standard […] si crede che il corpus informativo globalmente fornito all’interessato soddisfi gli obblighi di trasparenza della società”, ciò tenuto conto del contenuto della informativa sul trattamento dei dati rilasciata al momento dell’assunzione ad uno dei reclamanti, degli Standard di sicurezza e l’Investigation Action Protocol, reperibili nella cartella condivisa; alle informazioni contenute nei menzionati documenti si aggiunge, per quanto riguarda i fatti oggetto del reclamo del 22 dicembre 2018, la “comunicazione inviata dalla Società il giorno precedente alla raccolta dei dispositivi per l’effettuazione della attività di imaging”, per quanto riguarda i fatti oggetto di reclamo del 23 novembre 2018, la “comunicazione inviata dalla società il giorno della raccolta dei dispositivi per l’effettuazione dell’attività di imaging” (v. note cit., p. 6-7);

f. con riferimento alla prospettata violazione dei principi di minimizzazione e proporzionalità delle attività di controllo prefigurate dalla società nei documenti aziendali collocati nella intranet, la società “se da un lato […] ammette l’esistenza di un certo qual grado di perfezionabilità della documentazione – assumendo contestualmente il solenne impegno di colmare ogni eventuale dislivello – dall’altro è ferma nel ritenere infondato […] il passaggio operato dall’Autorità dalla lesione «virtuale» dei principi di minimizzazione e proporzionalità […] alla contestazione di una sanzione amministrativa pecuniaria che l’ordinamento ricollega alla violazione effettiva dei medesimi principi” (v. note cit., p. 9);

g. la società “in un’ottica collaborativa di piena accountability, si impegna a rivedere e correggere prontamente le modalità e il contenuto delle informazioni rese agli interessati in merito ai controlli che potranno essere lecitamente svolti sugli strumenti informatici messi a disposizione” (v. note cit., p. 10);

h. al fine di effettuare le “indagini forensi”, la società “ha fornito al consulente […] PwC una dettagliata lista di parole chiave (c.d. keywords) affinché la visibilità del contenuto dei dispositivi fosse limitata a quanto strettamente necessario per dimostrare il coinvolgimento de[i reclamanti] nelle operazioni illecite”; inoltre “nessun contenuto strettamente personale [dei reclamanti] è stato oggetto di analisi da parte di PwC” (v. note cit., p. 10);

i. “condivisa l’importanza di tradurre in italiano le policy rilevanti sotto il profilo degli obblighi informativi, preme al contempo sottolineare la complessità dei contesti internazionali di gruppo come quello in cui opera la società” (v. note cit., p. 10);

j. “il trattamento dei dati de[i reclamanti] e la strettamente connessa comunicazione dei dati infra-gruppo all’interno dell’Unione Europea [sono] avvenuti in presenza e sulla base del più che solido legittimo interesse consistente nella tutela degli interessi e dei diritti della Società in giudizio (e nelle fasi pre-contenziose)” (v. note cit., rispettivamente p. 12-13 e 12);

k. “considerando il fatto che l’accesso è stato effettuato unicamente mediante il rigoroso filtro delle parole chiave, non si comprende l’assimilazione forzata che è stata effettuata tra indagine forense e monitoraggio dell’attività lavorativa” (v. note cit., p. 14);;

l. “i fatti in analisi hanno avuto luogo all’interno del c.d. periodo di tolleranza previsto dall’art. 22, comma 13 del d.lgs. n. 101 del 10 agosto 2018” (v. note cit., rispettivamente p. 15 e p. 14).

2.2. In data 16 luglio 2020, l’Autorità ha tenuto un’audizione relativa ai due reclami su richiesta della parte, nel corso della quale la società, nel ribadire le proprie posizioni, ha rappresentato che il gruppo di cui fa parte “è caratterizzato dalla classica struttura multinazionale inglese-centrica. In tale contesto rileva tradizionalmente una sensibilità diversa tra il trattamento dei dati nell’ambito commerciale e quello relativo ai dati dei dipendenti. […] La società non effettua un’attività di sistematico monitoraggio dei dipendenti, come prospettato in sede di notifica delle violazioni da parte dell’Ufficio, bensì ha operato, nel caso di specie, mediante attività di controlli ed investigazioni difensiva in presenza di specifiche circostanze concrete nei confronti dei reclamanti”. Con successiva nota ricevuta in data 31 luglio 2020 la società ha fornito un quadro aggiornato dei procedimenti pendenti davanti alle autorità competenti, avviati nei confronti dei reclamanti. Con nota del 3 marzo 2021, infine, la società ha inviato all’Autorità copia della sentenza del Tribunale di Padova, sez., lavoro, 25 febbraio 2021, con la quale è stato rigettato il ricorso presentato da uno dei reclamanti avente ad oggetto la domanda di nullità del recesso della società dal rapporto di collaborazione con l’interessato, ritenendo non provata la natura ritorsiva del recesso stesso.

3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

3.1. All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, i reclami risultano fondati per alcuni profili, in quanto la società, in qualità di titolare, ha effettuato operazioni di trattamento di dati personali che risultano non conformi alla disciplina in materia di protezione dei dati personali nei termini di seguito descritti.

Premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”, nel merito è emerso che Clear Channel Italia S.p.A. (già Clear Channel Jolly Pubblicità S.p.A.) ha effettuato un’attività di investigazione interna nei confronti dei reclamanti, su iniziativa della controllante Clear Channel International LTD e a seguito del ricevimento di una segnalazione interna, avvalenXX della società di revisione PricewaterhouseCoopers (PwC). In particolare in data 23 aprile 2018 il Capo Responsabile della riservatezza dei dati della capogruppo, ha comunicato via email ad uno dei reclamanti ed altri soggetti (membri del management team, v. precedente punto 1.2., lett. c) che il giorno successivo, nell’ambito di una indagine fiscale interna definita di routine, avrebbero dovuto consegnare i propri dispositivi aziendali (laptop e smartphone) a PwC che li avrebbe restituiti prima possibile. A fronte di alcune perplessità manifestate dal reclamante il giorno successivo alla consegna dei suddetti dispositivi, il medesimo Responsabile della riservatezza della capogruppo ha precisato che l’attività di controllo sarebbe stata circoscritta alle informazioni relative ad uno specifico progetto e che in ogni caso la base giuridica del trattamento effettuato consisteva nel legittimo interesse della società (capogruppo) alla preparazione di una possibile difesa a fronte di eventuali contestazioni in ambito fiscale (v. nota 22.5.2019, Doc. 5 e 6). La profondità dell’indagine svolta a ritroso, mediante l’esame dei dati acquisiti tramite c.d. imaging dei dispositivi, è stata, secondo quanto dichiarato, pari a due anni e quattro mesi circa (dall’inizio del 2016 al 24 aprile 2018). In un momento successivo (settembre 2018) un ulteriore gruppo di dipendenti, tra i quali il secondo reclamante, è stato sottoposto ad imaging dei dispositivi aziendali loro affidati, a seguito della emersione di “fatti sospetti” nei confronti anche del loro operato. In questo caso la profondità dell’indagine è stata più ampia (circa quattro anni e otto mesi).

Non risulta, tuttavia, che i reclamanti siano stati previamente informati dalla società circa la possibilità per quest’ultima di effettuare indagini sui contenuti memorizzati sui dispositivi aziendali (pc e smartphone) previa sottoposizione ad imaging degli stessi.

In particolare l’informativa rilasciata al momento dell’assunzione ad uno dei reclamanti (v. con riferimento al reclamo del 22 dicembre 2018 nota della società 22.5.2019, All. 4) fa riferimento alla possibilità di comunicare dati personali a soggetti terzi nell’ambito di generiche attività di audit nonché alla finalità di “gestione di eventuali controversie e procedimenti disciplinari”, senza alcuna specifica indicazione delle modalità di controllo che il titolare del trattamento si riserva di effettuare sui dispositivi aziendali. Non risulta in atti copia di una informativa individuale rilasciata al secondo reclamante.

Per quanto riguarda i documenti “Standard di sicurezza per l’utilizzo dell’attrezzatura informatica in dotazione e per il trattamento delle informazioni aziendali” e “Investigation Action Protocol”, che pure contengono riferimenti − con diversi livelli di specificazione − alla effettuazione di controlli sulle email, navigazione in Internet e comunicazioni telefoniche dei dipendenti, la società si è limitata alla loro collocazione all’interno di una cartella condivisa. Non è stata prodotta alcuna evidenza che tale documentazione sia stata effettivamente e adeguatamente posta a conoscenza di tutti i dipendenti (compresi i reclamanti), ad esempio attraverso notifiche (anche via email) contenenti l’invito a prenderne conoscenza, al momento dell’adozione e/o in occasione del loro eventuale aggiornamento. L’adeguata ed effettiva pubblicizzazione di documenti relativi alla possibilità di effettuare tali controlli è tanto più necessaria, in applicazione dei principi di trasparenza e correttezza da parte del datore di lavoro, quanto più il grado di controllo prospettato è profondo ed intrusivo (v., più avanti, par. 3.3.).

Inoltre, e ad ogni buon conto, si osserva che le formulazioni utilizzate nei predetti documenti, nel fare riferimento in termini generali ad attività di “monitoraggio”, non sono idonee a rappresentare con chiarezza agli interessati finalità e specifiche modalità dei prospettati controlli, e dunque le concrete ipotesi nelle quali il datore di lavoro “si riserva di effettuare controlli in conformità alla legge indicando le ragioni legittime – specifiche e non generiche per cui verrebbero effettuati e le relative modalità” (v. "Linee guida per posta elettronica e internet", provv. 1° marzo 2007, n. 13, (G.U. 10.3.2007, n. 58).

Si osserva, inoltre, che i documenti “Proteggere i dati che usiamo” (25.5.2018), “Politica sull’utilizzo accettabile della sicurezza informatica” (26.4.2018) e “Protected Disclosure (Whistleblowing) Policy” (1°.5.2019), forniti all’Autorità nel corso dell’istruttoria, hanno data successiva al fatto oggetto del reclamo del 22 dicembre 2018. Il documento relativo alla disciplina del c.d. whistleblowing è successivo anche ai fatti oggetto del secondo reclamo, i quali tuttavia, secondo quanto dichiarato, non avrebbero origine diretta da una segnalazione interna. In ogni caso, e con particolare riferimento ai fatti oggetto del reclamo del 23 novembre 2018, tale documentazione risulta, anche in questo caso, messa a disposizione dei dipendenti e del reclamante esclusivamente mediante il mero inserimento in una cartella condivisa, senza che tale condivisione sia stata adeguatamente evidenziata agli interessati attraverso pur semplici strumenti astrattamente disponibili (es. avvisi o notifiche). Su tale punto si ribadisce che, contrariamente a quanto ritenuto dalla società, la profondità dell’indagine e le specifiche modalità di controllo effettuate non erano prevedibili alla luce delle informazioni rese sul punto dalla società.

Infine, non risulta idonea a fornire gli elementi informativi previsti dall’ordinamento l’email inviata dal Responsabile della riservatezza dei dati della società capogruppo il 23 aprile 2018 (alle ore 23.53), preannunciando agli interessati, con brevissimo preavviso, il ritiro di pc e smartphone, peraltro rimarcando che si sarebbe trattato di accertamenti di mera routine, senza fare riferimento alla attività di imaging (fatti oggetto del reclamo del 22 dicembre 2018) né, tantomeno, può considerarsi idonea a tale scopo la comunicazione effettuata nel pomeriggio dello stesso giorno in cui era già stata chiesta la riconsegna dei dispositivi (fatti oggetto del reclamo del 23 novembre 2018).

Con riferimento a quanto sostenuto dalla società nelle memorie difensive si osserva, inoltre, che l’attenuazione degli obblighi informativi posti a carico del titolare del trattamento, al fine di non vanificare il diritto di difesa di quest’ultimo, non incide sull’obbligo del titolare di indicare, previamente e in modo trasparente, le attività di controllo che possono essere effettuate; ciò allo scopo di consentire all’interessato di esser pienamente consapevole della tipologia di operazioni di trattamento che potranno essere svolte anche attingendo, in un quadro di liceità, ai dati raccolti nel corso dell’attività lavorativa (sull’obbligo generale di previa informativa circa le modalità di effettuazione di controlli in ambito lavorativo v. CEDU, Bărbulescu v. Romania [GC], 5.9.2017 (ric. n. 61496/08), par. 133; López Ribalda and others v. Spain, 9.1.2018 (ric. n. 1874/13 and 8567/13), par. 115; v. anche, sul punto, Raccomandazione CM/Rec(2015)5 del Comitato dei Ministri agli Stati Membri sul trattamento di dati personali nel contesto occupazionale, punto 10, 15 e 21).

Sul punto si evidenzia, altresì, che il legislatore del 2015 ha stabilito che l’adempimento degli obblighi informativi nei confronti del dipendente (consistenti nella “adeguata informazione delle modalità d'uso degli strumenti e di effettuazione dei controlli”) costituisce specifica condizione per il lecito utilizzo di tutti i dati raccolti nel corso del rapporto di lavoro, attraverso strumenti tecnologici e/o strumenti di lavoro, per tutti i fini connessi al relativo rapporto, ivi compresi i rilievi disciplinari, unitamente al rispetto della disciplina in materia di protezione dei dati personali (v. art. 4, comma 3, l. 20.5.1970, n. 300, come sostituito dall'art. 23, comma 1, D.Lgs. 14 settembre 2015, n. 151).

La società ha pertanto omesso di informare adeguatamente e previamente i reclamanti circa la specifica modalità di trattamento in concreto effettuata mediante la richiesta di consegnare i dispositivi assegnati e la successiva attività di imaging in vista dell’esame dei relativi contenuti, in violazione di quanto previsto dall’art. 13 del Regolamento e, per quanto riguarda il reclamo del 22 dicembre 2018, di quanto previsto dall’art. 13 del Codice (testo vigente al momento dell’effettuazione della copia dei dispositivi del relativo reclamante), che corrisponde nell’ordinamento vigente a quanto previsto dall’art. 13 del Regolamento. Nell’ambito del rapporto di lavoro l’obbligo di informare il dipendente è altresì espressione del principio generale di correttezza dei trattamenti (v. art. 5, par. 1, lett. a) del Regolamento e, per quanto riguarda il reclamo del 22 dicembre 2018, v. art. 11, comma 1, lett. a) del Codice, testo vigente all’epoca della duplicazione del contenuto dei dispositivi del relativo reclamante, che corrisponde, nell’ordinamento vigente, all’art. 5, par. 1, lett. a) del Regolamento).

3.2. Con riferimento alla base giuridica del flusso dei dati riferiti ai reclamanti, intercorso tra Clear Channel Jolly Pubblicità S.p.A. e Clear Channel International LDT, soggetti giuridici distinti entrambi aventi sede legale nell’Unione europea, la società ha dichiarato (dopo aver inizialmente prospettato la prestazione del consenso di uno dei reclamanti alla effettuazione - in generale - di attività di audit; v. sezione II, punto 1.2., lett. i), con riferimento al reclamo del 22 dicembre 2018) che la società capogruppo avrebbe agito in base al proprio legittimo interesse consistente nella necessità di difendere e far valere i propri diritti, speculare all’analogo legittimo interesse della società (v. art. 6, par. 1, lett. f) del Regolamento).

In base a quanto emerso nel corso dell’istruttoria, la capogruppo ha svolto un ruolo di impulso e di costante coordinamento dell’investigazione interna avente ad oggetto l’attività dei reclamanti (e di altri dipendenti della società italiana), ciò, secondo quanto dichiarato, a seguito del ricevimento di una segnalazione (antecedentemente all’adozione di un sistema di segnalazione interna, che risulta essere stato approvato nel maggio 2019 – Protected Disclosure (Whistleblowing) Policy). Pertanto la società ha condiviso con la capogruppo dati personali riferiti ai reclamanti nell’ambito della procedura di investigazione interna coordinata dalla capogruppo medesima e avviata all’esito di un iter non ancora formalmente regolamentato conformemente a quanto previsto dall’ordinamento.

Il legittimo interesse del titolare (o di terzi) è previsto dall’art. 6, par. 1, lett. f) del Regolamento, come condizione di liceità dei trattamenti da parte di soggetti privati, “a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato”, dunque all’esito di un test comparativo effettuato dal titolare. In base a quanto previsto in sede europea dalle autorità di protezione dei dati (v. Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC), il ricorrere di tale condizione di liceità deve essere valutata dal titolare all’esito di una attenta valutazione circa la sussistenza, in concreto, dei requisiti richiesti dall’ordinamento, in base ad una metodologia rigorosa, anche e in primo luogo con riferimento alla conformità del trattamento che si intende effettuare al principio di liceità.

In proposito deve essere tenuto in considerazione quanto indicato dall’Autorità in ordine ai requisiti per la circolazione di informazioni relative all’ordinario svolgimento del rapporto di lavoro all’interno di gruppi di imprese. Muovendo dal quadro giuridico vigente (v. art. 1, l. 11 gennaio 1979, n. 12; art. 1, comma 2, lett. n), l. 14 febbraio 2003, n. 30; art. 31, comma 1, d.lg. 10 settembre 2003, n. 276) il Garante ha precisato che nell’ambito dei gruppi di imprese individuati in conformità alla legge (art. 2359 cod. civ.; d.lg. 2 aprile 2002, n. 74), posto che le società del gruppo hanno di regola una distinta ed autonoma titolarità del trattamento in relazione ai dati personali dei propri dipendenti e collaboratori, “le società controllate e collegate possono delegare la società capogruppo a svolgere adempimenti in materia di lavoro, previdenza ed assistenza sociale per i lavoratori indicati dalla legge […]: tale attività implica la designazione della società capogruppo quale responsabile del trattamento” (v. Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati, provv. 23 novembre 2006, n. 53; par. 32).

Pertanto, in assenza di alcun atto giuridico (designazione o analogo) di regolazione dei flussi di dati personali tra la società italiana e la capogruppo, anche alla luce dei richiamati indici presenti nella legislazione italiana e di quanto già chiarito dal Garante, non è consentito ricorrere al legittimo interesse come base giuridica idonea per la comunicazione di dati dei dipendenti tra la società e la capogruppo, posto che non si può ritenere sussistente tale condizione di liceità solo perché altre condizioni, a maggior ragione se astrattamente realizzabili, come nel caso di specie, non ricorrono. Ciò anche tenuto conto della natura e della particolare delicatezza delle attività investigative effettuate, idonee ad incidere su una pluralità di diritti e libertà fondamentali dei dipendenti e di terzi (su cui più avanti) che non possono non essere oggetto di un test di bilanciamento (v. Opinion 06/2014 cit.) che tenga anche conto della opportunità di perimetrare le operazioni di trattamento effettuate da un soggetto distinto dal titolare. Non risulta, in ogni caso, che la società abbia provveduto ad effettuare tale valutazione comparativa, posto che in atti emerge solo il riferimento alla effettuazione di una valutazione in materia di privacy, con l’ausilio di consulenti esterni, nella quale tuttavia non risultano essere stati presi in considerazione i diritti degli interessati (v. nota 19.6.2019, All. 5) e, sotto diverso profilo, alla asserita delimitazione dell’indagine commissionata a PwC in ordine alla quale, come si argomenterà più avanti, non è stata fornita idonea documentazione.

Pertanto, in relazione ai profili sopra evidenziati, emerge che la società ha effettuato trattamenti di dati personali dei reclamanti mediante condivisione con la capogruppo in assenza di una delle condizioni indicate dall’art. 6 del Regolamento e pertanto in violazione di quanto stabilito dall’art. 6 cit..

3.3. Con riferimento a quanto previsto, relativamente alle prospettate attività di controllo, dai documenti “Standard di sicurezza per l’utilizzo dell’attrezzatura informatica in dotazione e per il trattamento delle informazioni aziendali” (datato febbraio 2018), “Investigation Action Protocol” (datato novembre 2016), “Proteggere i dati che usiamo” (datato 25 maggio 2018) e “Politica sull’utilizzo accettabile della sicurezza informatica” (26.4.2018), adottati e considerati pienamente operativi dalla società (sui quali v. anche precedente paragrafo 3.1.), si osserva quanto segue.

All’interno del documento “Standard di sicurezza per l’utilizzo dell’attrezzatura informatica in dotazione e per il trattamento delle informazioni aziendali” è previsto che, con riferimento ai “materiali composti, inviati o ricevuti tramite i sistemi di posta elettronica aziendale” […] il gruppo Clear Channel si riserva la possibilità di controllare che il contenuto delle email non sia illecito o sia contrario ai propri interessi. […] L’uso di password o cartelle con nomi personali o comuni non rende questi messaggi privati e l’Azienda potrà scavalcare dette password e/o accesso a dette cartelle qualora lo ritenga necessario”; “l’uso dei sistemi di posta elettronica per uso personale occasionale o fortuito non viene incoraggiato anche se viene tollerato di tanto in tanto. Le email personali saranno comunque soggette alle politiche e procedure suddette” (p. 26). “Tutte le email, sia quelle interne che quelle provenienti dall’esterno, restano di proprietà del gruppo Clear Channel, che si riserva il diritto di monitorarne l’uso ai fini dell’amministrazione del sistema entro i limiti di legge e di verificarne eventuali contenuti illeciti o contrari alla sua attività. Qualsiasi uso inappropriato o illecito del sistema verrà comunicato al dirigente responsabile. Qualora una persona sia sospettata di aver violato questa politica, il responsabile potrà chiedere all’amministrazione del Sistema di svolgere un’indagine” (p. 30). “L’uso di internet a fini personali è permesso nel corso del normale orario d’ufficio solo per risolvere un problema urgente. […] Il gruppo Clear Channel dispone di strumenti che permettono di monitorare l’uso di internet da parte degli utenti dei propri sistemi informativi, al fine di salvaguardare la sicurezza dei propri dati e dei propri sistemi, in conformità con le leggi vigenti. Qualsiasi eventuale uso improprio del sistema verrà comunicato al dirigente responsabile e potrà portare a provvedimenti disciplinari” (p. 32).

All’interno del documento “Proteggere i dati che usiamo” è, inoltre, previsto che nell’ambito delle misure adottate “per proteggere la sicurezza dei […] dati personali” la società può disporre il “monitoraggio della posta elettronica” (p. 9). In altra parte del documento è altresì previsto il “monitoraggio dell’uso da parte [del dipendente] dei […] sistemi di informazione e comunicazione per assicurare la conformità alle […] politiche [della società]” (p. 18). All’interno di tale documento - pur redatto in lingua italiana - nella sezione relativa all’esercizio dei diritti in materia di protezione dei dati personali, quanto al diritto di proporre reclamo a un’autorità di controllo, è menzionato esclusivamente l’Information Commissioner’s Office (autorità di protezione dei dati in UK).

Il documento “Investigation Action Protocol”, redatto in lingua inglese, descrive la procedura di investigazione interna a seguito di diverse tipologie di eventi (“incidents”), nell’ambito della quale è contemplata la possibilità di ascoltare le registrazioni delle telefonate, di monitorare o accedere alle email o ai documenti elettronici di dipendenti e collaboratori nel perseguimento del legittimo interesse di CCI o per prevenire o contrastare reati (“it may be necessary to listen to recorded telephone lines, monitor or access staff e-mails or electronic documents in pursuance of CCI legitimate business interests or to prevent or detect crime”) (p. 5).

Infine, nel documento “Politica sull’utilizzo accettabile della sicurezza informatica” (26.4.2018), sebbene con esclusivo riferimento allo scopo di assicurare la sicurezza informatica e un utilizzo efficace dei servizi informatici, la società “si riserva il diritto di ispezionare o monitorare (direttamente oppure tramite il fornitore di servizi esterni […]) qualsiasi servizio informatico dell’azienda […]”; inoltre si chiarisce che “fatta eccezione per le protezioni legali in materia di dati personali nella giurisdizione di residenza, […] i dipendenti non devono avere alcuna ulteriore aspettativa di riservatezza quando questi sono connessi alla rete aziendale o utilizzano qualsiasi risorsa aziendale con un dispositivo personale o di proprietà dell’azienda”.

Tali documenti, quindi, sono preordinati a regolare la prassi operativa della società relativamente all’uso consentito dei dispositivi aziendali. Pertanto, contrariamente a quanto ritenuto dalla società (v. precedente punto 2.1., lett. f), l’eventuale lesione dei principi e delle disposizioni poste in materia di protezione dei dati di quanto ivi contenuto, lungi dall’essere meramente “virtuale”, riguarda propriamente finalità e modalità dei trattamenti che la società si riserva di effettuare in concreto nei confronti dei propri dipendenti e collaboratori, benché descritti in termini generali privi delle pur necessarie specificazioni (si veda in proposito il successivo par. 3.5., considerato che gli specifici trattamenti aventi ad oggetto i dati riferiti ai reclamanti costituiscono in ogni caso attuazione di ciò che è stabilito in via generale dalla società nei confronti di tutti i lavoratori), e ciò legittima l’attività di controllo dell’Autorità sulla loro conformità alla disciplina in materia di protezione dei dati (v. sul punto provv. 29 ottobre 2020, n. 214, doc. web n. 9518890).

In primo luogo emerge che le attività di controllo previste dai richiamati documenti appaiono caratterizzate dalla sistematica osservazione (“monitoraggio”) del flusso della posta elettronica, anche di natura privata, con possibilità per la società di “scavalcare” le password di accesso a fronte di ipotesi rappresentate in termini generici ed amplissimi (in caso di contrarietà ai propri interessi o alle proprie attività o in caso di non meglio definiti “contenuti illeciti” oppure per “assicurare la conformità” alle “politiche” della società). Parimenti è prevista la possibilità di monitorare la navigazione in Internet dei dipendenti a fronte di occorrenze del tutto generiche (“al fine di salvaguardare la sicurezza dei propri dati e dei propri sistemi [e nel caso di] qualsiasi eventuale uso improprio del sistema”), nonché di accedere al contenuto di cartelle che abbiano denominazione idonea (es. “nomi personali o comuni”) a distinguerne il contenuto da quello relativo alla attività lavorativa. Nell’ambito della procedura di investigazione interna è altresì prevista la possibilità di accedere al contenuto di qualsiasi comunicazione effettuata dal dipendente (tramite telefono, email o documenti redatti) in presenza di non specificati legittimi interessi della società o nel caso si ritenga di dovere perseguire scopi che, per vero, non appartengono alle potestà dei soggetti privati (“prevent or detect crime”).

L’acquisizione sistematica e massiva di dati personali, anche non attinenti all’attività professionale, così come delineata nei richiamati documenti, non è conforme al principio di minimizzazione (v. art. 5, par. 1, lett. c) del Regolamento). Inoltre le prospettate attività di controllo non prevedono l’adozione in prima battuta di misure preventive (ad es. redazione di black list di siti internet non consentiti) né accertamenti graduali, ad esempio, su base aggregata, al fine di non consentire controlli prolungati, costanti o indiscriminati. Ciò risulta in contrasto con il principio di proporzionalità (v. art. 5, par. 1, lett. c) del Regolamento e art. 52 Carta dei diritti fondamentali dell’Unione europea).

Non risulta, in definitiva, conforme al richiamato principio generale il prefigurato annullamento di ogni aspettativa di riservatezza qualora il dipendente sia connesso alla rete aziendale o utilizzi una risorsa aziendale anche attraverso dispositivi personali (v. sul punto CEDU, Bărbulescu v. Romania [GC], 5.9.2017 (ric. n. 61496/08), par. 80). Conformemente al costante orientamento della Corte europea dei diritti dell’uomo, la protezione della vita privata si estende anche all’ambito lavorativo, considerato che proprio in occasione dello svolgimento di attività lavorative e/o professionali si sviluppano relazioni dove si esplica la personalità del lavoratore (v. artt. 2 e 41, comma 2, Cost). Tenuto anche conto che la linea di confine tra ambito lavorativo/professionale e ambito strettamente privato non sempre può essere tracciata con chiarezza, la Corte ritiene applicabile l’art. 8 della Convenzione europea dei diritti dell’uomo posto a tutela della vita privata senza distinguere tra sfera privata e sfera professionale (v. Niemietz c. Allemagne, 16.12.1992 (ric. n. 13710/88), spec. par. 29; Copland v. UK, 03.04.2007 (ric. n. 62617/00), spec. par. 41; Bărbulescu v. Romania [GC], 5.9.2017 (ric. n. 61496/08), spec. par. 70-73; Antović and Mirković v. Montenegro, 28.11. 2017 (ric. n. 70838/13), spec. par. 41-42). Pertanto il trattamento dei dati effettuato mediante tecnologie informatiche nell’ambito del rapporto di lavoro deve conformarsi al rispetto dei diritti e delle libertà fondamentali nonché della dignità dell’interessato, a tutela di lavoratori e di terzi (v. Raccomandazione CM/Rec(2015)5 del Comitato dei Ministri agli Stati Membri sul trattamento di dati personali nel contesto occupazionale, spec. punto 3).

Inoltre, con riferimento alle attività di controllo che la società allo stato si riserva di effettuare nei termini previsti dai già richiamati documenti “Standard di sicurezza per l’utilizzo dell’attrezzatura informatica in dotazione e per il trattamento delle informazioni aziendali”, “Investigation Action Protocol”, “Proteggere i dati che usiamo” e “Politica sull’utilizzo accettabile della sicurezza informatica”, emerge che la società medesima attraverso l’accesso sia ai dati esterni sia al contenuto della casella email in costanza del rapporto di lavoro, sia all’eventuale registrazione di telefonate effettuate, sia al contenuto di documenti redatti e/o comunque memorizzati, può effettuare trattamenti di dati personali dei dipendenti in violazione dell’art. 114 del Codice (laddove richiama l’osservanza dell’art. 4, l. 20.5.1970, n. 300 come condizione di liceità del trattamento; v., da ultimo, provv.to 11.3.2021, n. 90) nonché trattare informazioni relative all’interessato non rilevanti ai fini della valutazione dell'attitudine professionale − considerato anche che è ammesso un sia pur limitato uso personale dei dispositivi stessi −, ciò in violazione dell’art. 113 del Codice (laddove richiama come condizione di liceità del trattamento l’osservanza dell’art. 8, l. 20.5.1970, n. 300 e dell’art. 10 del d.lgs.10.9.2003, n. 276; a tale ultimo proposito Cass. civ., 19.9.2016, n. 18302 ha stabilito che “acquisire e conservare dati che contengono (o possono contenere) simili informazioni comporta già l’integrazione della condotta vietata […] anche se i dati non sono successivamente utilizzati. Non è necessario sottoporre i dati raccolti ad alcun particolare trattamento per incorrere nell’illecito, poiché la mera acquisizione e conservazione della disponibilità di essi comporta la violazione della prescrizione legislativa”). Tale disciplina lavoristica, pure a seguito delle modifiche disposte con l´art. 23 del decreto legislativo 14 settembre 2015, n. 151, non consente l’effettuazione di attività idonee a realizzare il controllo massivo, prolungato e indiscriminato dell’attività del lavoratore ed inoltre costituisce una delle norme del diritto nazionale “più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro” individuate dall’art. 88 del Regolamento.

Infine si ritiene che la predisposizione di una pluralità di documenti contenenti riferimenti alla medesima attività di controllo della società, l’assenza di coordinamento tra gli stessi sul punto, l’assenza della traduzione in italiano in relazione all’Investigation Action Protocol e al Protected Disclosure (Whistleblowing) Policy e alla relativa informativa, il riferimento esclusivo all’ICO come autorità di controllo presso la quale esercitare i diritti degli interessati, la mera messa a disposizione dei documenti all’interno di una cartella condivisa, non siano conformi al contenuto dell’obbligo posto in capo al titolare del trattamento dall’art. 12 − in relazione all’art. 5, par. 1, lett. a) − del Regolamento in base al quale devono essere adottate misure appropriate per fornire all’interessato tutti gli elementi anche relativi all’esercizio dei diritti “in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro”.

Pertanto la tipologia e la modalità dei controlli previsti nei richiamati documenti risultano, per i suesposti motivi, in violazione dei principi di minimizzazione e di proporzionalità (v. art. 5, par. 1, lett. c) del Regolamento e art. 52 Carta dei diritti fondamentali dell’Unione europea) nonché di quanto disposto dall’art. 12, par. 1, del Regolamento in relazione all’art. 5, par. 1, lett. a) (principio di trasparenza), e degli artt. 113 e 114 del Codice in relazione agli art. 5, par. 1, lett. a) e 88 del Regolamento (principio di liceità).

In proposito si prende atto che la società, in un’ottica di apprezzabile collaborazione con l’Autorità di controllo, nel corso del procedimento si è resa disponibile a modificare i richiamati documenti e di provvedere ad allinearne forma e contenuto a quanto previsto dall’ordinamento.

3.4. Con esclusivo riferimento al reclamo del 22 dicembre 2018 e, in particolare, all’istanza di accesso ex art. 15 del Regolamento presentata dall’interessato alla società in data 3 settembre 2018, risulta che la società stessa non abbia fornito alcun riscontro, asseritamente nel rispetto di quanto disposto dall’art. 2-undecies del Codice. Ciò risulta in violazione di quanto previsto dall’art. 12, par. 3 e 4 del Regolamento, in quanto il titolare del trattamento è tenuto a fornire all’interessato, senza ingiustificato ritardo, le informazioni richieste; qualora il titolare non ottemperi alla richiesta deve comunque informare senza ritardo l’interessato che ha presentato istanza di esercizio dei diritti in merito ai motivi dell’inottemperanza e alla possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale. Lo stesso articolo 2-undecies del Codice, in vigore dal 19 settembre 2018 e che ha riprodotto la fattispecie in precedenza individuata dall’art. 8, comma 2, lett. e) del Codice previgente, prevede che il titolare può ritardare, limitare o escludere l’esercizio dei diritti “con comunicazione motivata e resa senza ritardo all’interessato”.

Pertanto la società, sotto tale profilo, ha violato l’art. 12, par. 3 e 4 del Regolamento in relazione all’art. 15 del Regolamento.

3.5. Risulta infine che la società, attraverso la copiatura di tutti i contenuti (imaging) presenti su pc e smartphone affidati ai reclamanti, ha raccolto, indistintamente, tutti i dati memorizzati sui dispositivi nel corso dello svolgimento dell’attività lavorativa e anche nello svolgimento di attività personali (consentite dalla società, seppure con limitazioni), con ciò effettuando un controllo sull’attività complessivamente svolta dagli interessati in un ampio periodo di tempo (in base a quanto dichiarato circa due anni e quattro mesi per il reclamo del 22 dicembre 2018 e circa quattro anni e otto mesi per il reclamo del 23 novembre 2018).

Diversamente da quanto ritenuto dalla società nelle memorie difensive, l’attività di indagine effettuata congiuntamente alla capogruppo e su impulso di quest’ultima non è assimilabile all’attività investigativa disciplinata dal “Codice di deontologia e buona condotta per i trattamenti di dati personali effettuati per svolgere investigazioni difensive”, vigente all’epoca dei fatti (ora si veda l’Allegato A.2 al Codice, Regole deontologiche relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria). In primo luogo si rileva che la documentazione relativa all’incarico affidato a PwC, parzialmente integrata dopo l’invio della notifica delle violazioni (v. note del 15.6.2020 e relativi allegati contenenti l’elenco delle “keywords”), non presenta le caratteristiche dell’atto di incarico all’investigatore indicate dal richiamato Codice di deontologia (v. All. 4, nota 8.11.2019 per il reclamo del 22 dicembre 2018 e All.ti 4 e 5 nota 24.1.2020 per il reclamo del 23 novembre 2018). In particolare in atti non è presente alcun documento qualificabile come “specifico incarico” affidato dalla società a PwC né l’indicazione specifica del diritto che si intende esercitare in sede giudiziaria e neppure i principali elementi di fatto che giustificano l’investigazione e il termine ragionevole entro cui questa deve essere conclusa (v. art. 8, par. 3, Codice di deontologia cit.). Si rileva inoltre che mentre l’attività degli investigatori privati effettuata per conto del datore di lavoro, in base ad un mandato e a precise istruzioni, si riferisce, così come riconosciuto dalla costante giurisprudenza di legittimità, a situazioni in cui il dipendente oggettivamente non è impegnato nello svolgimento dell’attività lavorativa, in particolare durante il periodo di malattia oppure di infortunio, oppure qualora si trovi in un luogo diverso da quello ove si deve svolgere la prestazione (posto che l’attività dell’agenzia investigativa “non [può] riguardare, in nessun caso, né l’adempimento, né l’inadempimento dell’obbligazione contrattuale del lavoratore di prestare la propria opera, l’inadempimento essendo anch’esso riconducibile, come l’adempimento, all’attività lavorativa, che è sottratta alla suddetta vigilanza”, Cass. civ., Sez. lavoro, 4.9.2018, n. 21621), diversamente, nel caso concreto, l’apprensione di tutti i contenuti presenti su pc e smartphone di servizio, configura un’operazione di trattamento consistente nella raccolta di informazioni relative proprio all’attività lavorativa svolta dal dipendente, comprensiva di informazioni relative a terzi (colleghi o estranei alla compagine aziendale), con conseguente inevitabile impossibilità a distinguere ex ante (come invece presuppone la c.d. teoria sui controlli difensivi, di pura creazione giurisprudenziale, oggetto di applicazioni non univoche, richiamata dalla società nelle proprie memorie) eventuali illeciti contrattuali da quelli extracontrattuali (tenuto conto peraltro che, nella gran parte dei casi, le due ipotesi coincidono).

La raccolta effettuata riguarda, inoltre, una amplissima tipologia di dati, contenuti rispettivamente: nelle comunicazioni avvenute attraverso la posta elettronica ed il telefono (relativamente in quest’ultimo caso ai dati ricavati dalla SIM aziendale), negli allegati inviati e ricevuti, nei documenti formati, nella cronologia dei siti visitati, ciò anche nello svolgimento di attività non lavorative (come consentito), con conseguente trattamento di dati privati del lavoratore e di terzi. A tale ultimo proposito si rileva che la medesima società ha riconosciuto come possibile la raccolta di dati estranei all’attività lavorativa o comunque non pertinenti rispetto all’oggetto dell’investigazione, dichiarando che avrebbe incaricato PwC di non tenerne conto. In ogni caso, posto che nel corso dell’istruttoria non sono stati prodotti documenti relativi all’incarico affidato a PwC dai quali emerga che la società (come dichiarato) abbia dato l’espressa indicazione di delimitare l’indagine alle informazioni estratte dopo aver utilizzato le “keywords” previamente individuate − che comunque sono numerose e contengono anche termini che non appaiono idonei a restringere la ricerca all’ambito lavorativo né, più in generale, l’oggetto dell’indagine − e di non tenere in considerazione, ed anzi eliminare al più presto, tutte le informazioni non rilevanti eventualmente emerse all’esito dell’indagine, si osserva che già la raccolta di dati personali, affidata nel caso concreto ad un soggetto terzo, configura una operazione di trattamento. Inoltre si rammenta che, secondo la costante giurisprudenza di legittimità “quando l'attività di vigilanza a distanza, attivata dal datore di lavoro per qualsiasi finalità, permetta anche la mera "possibilità di controllo dell'attività lavorativa" fornita dal prestatore di lavoro, l'attività non è consentita se non a seguito del positivo esperimento delle procedure di garanzia di cui all'art. 4, comma 2, [della legge 20.5.1970, n. 300, testo previgente]” (Cass. civ., 19.9.2016, n. 18302). La violazione delle richiamate disposizioni, che costituiscono condizione di liceità del trattamento, si verifica quindi anche a seguito della sola predisposizione di attività idonee a realizzare la condotta vietata.

L’attività di investigazione interna svolta dalla società al dichiarato fine, in sé legittimo, di tutelare i propri diritti in fase precontenziosa, oltre ai rilievi sopra effettuati in ordine all’obbligo di informativa e alla comunicazione di dati alla controllante, non ha in concreto assunto i caratteri di gradualità, progressività e proporzionalità indicati più volte dalla giurisprudenza CEDU (v. CEDU, Bărbulescu v. Romania [GC], 5.9.2017 (ric. n. 61496/08), par. 121, che individua i requisiti ritenuti rilevanti per la valutazione di conformità delle attività di controllo sulla corrispondenza e altre comunicazioni da parte del datore di lavoro). Infatti all’esito del ricevimento di una (non meglio specificata) segnalazione interna, peraltro gestita in assenza di alcuna formalizzazione in un procedimento da parte del gruppo societario, un gruppo di dipendenti (tra cui i reclamanti) sono stati sottoposti alla misura di accertamento più intrusiva ossia l’acquisizione di copia di tutte le operazioni effettuate per un significativo periodo di tempo nel corso dell’attività lavorativa svolta dai dipendenti stessi, al fine di verificare la validità di sospetti di effettuazione di attività illecite, la cui attendibilità è stata oggetto di verificazione, quantomeno nei confronti dei reclamanti (non vi è notizia se i sospetti siano stati ritenuti fondati anche nei confronti degli altri dipendenti sottoposti ad imaging dei dispositivi), solo a valle della effettuazione dei controlli.

Non vi è evidenza in atti, ad esempio, che la società abbia proceduto a trovare conferma ai propri sospetti in primo luogo mediante indagini sulle evidenze documentali presenti negli archivi societari, né che abbia proceduto ad una previa analisi dei dati aggregati (come invece dalla stessa sostenuto: v. precedente punto 1.2., lett. h.). Né, come sopra argomentato, vi è evidenza nel caso concreto che l’indagine non sia andata oltre quanto necessario per confermare il sospetto iniziale e che l’attività di controllo non abbia riguardato indistintamente tutta l’attività svolta dai reclamanti (con particolare riferimento al contenuto delle comunicazioni effettuate). In definitiva non vi è evidenza che al momento della effettuazione dell’attività di imaging non fosse possibile esperire, quanto meno in prima battuta, altre misure meno intrusive.

Pertanto l’attività di indagine interna, effettuata dalla società nei termini sopra descritti, ha comportato in primo luogo il trattamento di dati personali dei reclamanti in violazione del principio di minimizzazione e di proporzionalità (v. art. 5, par. 1, lett. c) e art. 52 Carta dei diritti fondamentali dell’Unione europea). Inoltre i descritti trattamenti sono avvenuti in violazione degli artt. 113 e 114 del Codice, i quali richiamano l’osservanza degli artt. 4 e 8 della l. 20.5.1970, n. 300, nonché dell’art. 10, d.lg. 2003 n. 276, come specifica condizione di liceità del trattamento (art. 5, par. 1, lett. a) del Regolamento), in quanto come sopra argomentato hanno consentito di effettuare un controllo sull’attività dei dipendenti e di raccogliere informazioni su fatti non rilevanti ai fini della valutazione dell’attitudine professionale dei dipendenti stessi. Tale disciplina lavoristica costituisce una delle norme del diritto nazionale «più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro» individuate dall’art. 88 del Regolamento (v., da ultimo, provv.to 11.3.2021, n. 90).

4. Conclusioni: illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Per i suesposti motivi l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019. Il trattamento dei dati personali effettuato dalla società nei termini sopra descritti risulta infatti illecito, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a) e c) (principi di liceità, correttezza e minimizzazione), 6 (base giuridica del trattamento), 12, par. 1, 12, par. 3 e 4 in relazione all’art. 15 (informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato), 13 (informativa) e 88 (disposizioni più specifiche a livello nazionale) del Regolamento, agli artt. 113 (raccolta di dati e pertinenza) e 114 (garanzie in materia di controllo a distanza) del Codice e agli artt. 11, comma 1, lett. a) e 13 del Codice, testo vigente all’epoca dei fatti oggetto di reclamo, (che corrispondono, nell’ordinamento vigente, agli artt. 5, par. 1, lett. a) e 13 del Regolamento) (principio di liceità e correttezza e informativa).

Considerato che l’oggetto dell’accertamento del Garante riguarda specificatamente le attività di trattamento di dati personali degli interessati posti in essere dalla società nell’ambito dell’attività investigativa effettuata al proprio interno, resta fermo quanto disposto dall’art. 160-bis del Codice, in base al quale “la validità, l'efficacia e l’utilizzabilità nel procedimento giudiziario di atti, documenti e provvedimenti basati sul trattamento di dati personali non conforme a disposizioni di legge o di Regolamento restano disciplinate dalle pertinenti disposizioni processuali”.

Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento, alla luce delle circostanze del caso concreto:

- si ingiunge alla società di conformare al Regolamento i propri trattamenti con riferimento a quanto previsto nei regolamenti interni in materia di corretto utilizzo degli strumenti informatici e dei relativi controlli, nei termini di cui in motivazione, tenuto anche conto che la società stessa si è resa disponibile ad adottare versioni aggiornate dei predetti documenti (art. 58, par. 2, lett. d), Regolamento);

- si ingiunge alla società di conformare al Regolamento la disciplina delle comunicazioni di dati personali, nei limiti in cui ciò sia necessario, dei propri dipendenti alla capogruppo (art. 58, par. 2, lett. d), Regolamento);

- si ingiunge alla società di fornire un riscontro nei termini previsti dall’ordinamento all’istanza di accesso di cui è stato lamentato il mancato riscontro con il reclamo del 22 dicembre 2018 (art. 58, par. 2, lett. d), Regolamento);

- si dispone, in aggiunta alla misura correttiva, una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i), Regolamento).

5. Ordinanza ingiunzione.

Ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166, commi 3 e 7 del Codice, il Garante dispone l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, mediante adozione di un’ordinanza ingiunzione (art. 18, l. 24.11.1981, n. 689), in relazione ai trattamenti dei dati personali effettuati dalla società, di cui è risultata accertata l’illiceità, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a) e c), 6, 12, par. 1, 12, par. 3 e 4 in relazione all’art. 15, 13 e 88 del Regolamento, agli artt. 113 e 114 del Codice e agli artt. 11, comma 1, lett. a) e 13 del Codice, testo vigente all’epoca dei fatti oggetto di reclamo, (che corrispondono, nell’ordinamento vigente, agli artt. 5, par. 1, lett. a) e 13 del Regolamento), all’esito del procedimento di cui all’art. 166, comma 5 svolto in contraddittorio con il titolare del trattamento (v. precedenti punti 1.4. e 1.5.).

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, considerato che le accertate violazioni dell’art. 5 del Regolamento sono da considerarsi più gravi, in quanto relative alla inosservanza di una pluralità di principi di carattere generale applicabili al trattamento di dati personali, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto per la predetta violazione. Conseguentemente si applica la sanzione prevista dall’art. 83, par. 5, lett. a), del Regolamento, che fissa il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore.

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

a) in relazione alla natura, gravità e durata della violazione è stata considerata rilevante la natura della violazione che ha riguardato i principi generali del trattamento; le violazioni hanno anche riguardato le condizioni di liceità del trattamento (sia quelle generali che le disposizioni più specifiche riguardo ai trattamenti nell’ambito dei rapporti di lavoro), le disposizioni sull’informativa e sull’esercizio dei diritti; si è in proposito tenuto conto di quanto previsto dall’art. 22, comma 13, d. lgs. n. 101 del 2018;

b) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare è stata presa in considerazione la negligente condotta della società e il grado di responsabilità della stessa che non si è conformata alla disciplina in materia di protezione dei dati relativamente ad una pluralità di disposizioni; si è in proposito tenuto conto che la società ha ritenuto opportuno consultare professionisti legali esterni prima della effettuazione del trattamento;

c) la società ha cooperato con l’Autorità nel corso del procedimento anche dichiaranXX disponibile a modificare i propri regolamenti interni conformanXX alle indicazioni che saranno fornite dall’Autorità;

f) l’assenza di precedenti specifici (relativi alla stessa tipologia di trattamento) a carico della società.

Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla società con riferimento al bilancio d’esercizio per l’anno 2019 (che ha registrato perdite di esercizio). Da ultimo si tiene conto della comminatoria edittale disposta, nel regime previgente, per gli illeciti amministrativi corrispondenti e dell’entità delle sanzioni irrogate in casi analoghi.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Clear Channel Italia S.p.A. (già Clear Channel Jolly Pubblicità S.p.A) la sanzione amministrativa del pagamento di una somma pari ad euro 75.000 (settantacinquemila).

In tale quadro si ritiene, altresì, in considerazione della tipologia delle violazioni accertate che hanno riguardato le condizioni di liceità del trattamento, l’obbligo di fornire un’idonea informativa all’interessato e l’esercizio dei diritti degli interessati, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante.

Si ritiene, altresì, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Si ricorda che, ricorrendone i presupposti, può essere applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e) del Regolamento.

TUTTO CIÒ PREMESSO, IL GARANTE

rileva l’illiceità del trattamento effettuato Clear Channel Italia S.p.A. in persona del legale rappresentante, con sede legale in Viale Regina Margherita, 42, Roma (RM), C.F. 12710340154, ai sensi dell’art. 143 del Codice, per la violazione degli artt. 5, par. 1, lett. a) e c), 6, 12, par. 1, 12, par. 3 e 4 in relazione all’art. 15, 13 e 88 del Regolamento, agli artt. 113 e 114 del Codice e agli artt. 11, comma 1, lett. a) e 13 del Codice, testo vigente all’epoca dei fatti oggetto di reclamo, (che corrispondono, nell’ordinamento vigente, agli artt. 5, par. 1, lett. a) e 13 del Regolamento);

INGIUNGE

ai sensi dell’art. 58, par. 2, lett. d) del Regolamento a Clear Channel Italia S.p.A. di conformare al Regolamento i propri trattamenti con riferimento a quanto previsto nei regolamenti interni in materia di corretto utilizzo degli strumenti informatici e dei relativi controlli, nei termini di cui in motivazione, entro 60 giorni dal ricevimento del presente provvedimento;

INGIUNGE

ai sensi dell’art. 58, par. 2, lett. d) del Regolamento a Clear Channel Italia S.p.A. di conformare al Regolamento la disciplina delle comunicazioni di dati personali, nei limiti in cui ciò sia necessario, dei propri dipendenti alla capogruppo, entro 60 giorni dal ricevimento del presente provvedimento;

INGIUNGE

ai sensi dell’art. 58, par. 2, lett. d) del Regolamento a Clear Channel Italia S.p.A. di fornire un riscontro nei termini previsti dall’ordinamento all’istanza di accesso di cui è stato lamentato il mancato riscontro con il reclamo del 22 dicembre 2018, entro 60 giorni dal ricevimento del presente provvedimento;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento a Clear Channel Italia S.p.A. di pagare la somma di euro 75.000 (settantacinquemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

altresì alla medesima Società di pagare la predetta somma di euro 75.000 (settantacinquemila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/20129, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

Richiede a Clear Channel Italia S.p.A. di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto disposto con il presente provvedimento e di fornire comunque riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice, entro il termine di 90 giorni dalla data di notifica del presente provvedimento; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 5, lett. e) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 15 aprile 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei