g-docweb-display Portlet

Provvedimento del 16 settembre 2021 [9718933]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9718933]

Provvedimento del 16 settembre 2021

Registro dei provvedimenti
n. 334 del 16 settembre 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati, di seguito: “RGPD”);

VISTO il decreto legislativo 30 giugno 2003, n.196, recante il Codice in materia di protezione dei dati personali, integrato con le modifiche introdotte dal decreto legislativo 10 agosto 2018, n. 101 (di seguito: “Codice”);

VISTO Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali (di seguito: “Regolamento 1/2019);

ESAMINATO il reclamo presentato dalla signora XX, relativo ad un presunto trattamento illecito di dati personali a lei afferenti effettuato dell’Agenzia investigativa Firstnet S.R.L.;

Esaminate le informazioni fornite dalle parti;

Vista la restante documentazione in atti;

Viste le osservazioni dell’Ufficio, formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell´ufficio del Garante per la protezione dei dati personali;

Relatore l’avv. Guido Scorza

PREMESSO

La signora XX ha presentato un reclamo a questa Autorità relativo ad un presunto trattamento illecito dei suoi dati personali da parte dell’Agenzia investigativa Firstnet S.R.L. (di seguito: “Agenzia”), ai sensi dell’art. 77 del RGPD.

In particolare, la signora XX ha rappresentato che la di lei figlia, signora XX, già dipendente della società XX, è stata citata in giudizio dalla predetta società per l’asserita violazione di un patto di non concorrenza.

XX, al fine di suffragare la propria tesi, si è avvalsa dell’operato dell’Agenzia che avrebbe pedinato la signora XX nei giorni immediatamente precedenti le sue dimissioni e in quelli immediatamente successivi (dal 20 al 25 giugno 2019, come risultante dal rapporto investigativo).

Orbene, la signora XX lamenta che le pagg. 15, 16 e 50 del rapporto investigativo depositato in giudizio “riferiscono in merito al mio stato di salute e al mio recente ricovero presso l'Istituto Palazzolo di Bergamo”. Il predetto rapporto è stato allegato al reclamo al Garante. In particolare:

a) a pagina 15 del Report si legge: "è possibile ascoltare la conversazione inerente alla malattia della madre che potrebbe essere Alzheimer".

b) a pagina 16 del Report si legge: "qui si sente una telefonata in merito alla visita che effettuerà dalla madre alle ore 19 ".

c) a pagina 50 del Report si legge: "il target giunge presso l'istituto Palazzolo dove ricoverata la madre".

Pertanto, la signora XX ritiene che i propri dati personali siano stati trattati in modo non conforme alla disciplina rilevante in materia di protezione dei dati personali e chiede a questa autorità di assumere i provvedimenti di conseguenza.

Questa Autorità ha chiesto all’agenzia investigativa, in persona del suo rappresentate legale, di fornire i seguenti documenti ed informazioni:

1) copia del mandato investigativo rilasciato dalla società XX in riferimento alle attività investigative di cui ai reclami in oggetto;

2) copia delle annotazioni sul giornale degli affari relative ai mandati di cui sopra;

3) indicazione del motivo per il quale nella relazione investigativa sono presenti i dati personali del signor XX e i dati relativi alla salute della signora XX;

4) ogni altra deduzione ritenuta utile ai fini della valutazione, da parte di questa Autorità, della fondatezza dei reclami.

L’Agenzia ha fornito il riscontro richiesto, rappresentando, per quanto qui rileva, di avere agito su mandato della Società già datrice di lavoro della signora XX con l’incarico di accertare eventuali condotte di concorrenza sleale della predetta (nello specifico, distrazione di clientela e storno di dipendenti). Le risultanze dell'attività investigativa svolta dall’Agenzia sono state utilizzate dalla ex datrice di lavoro della signora XX per fornire prova, nell'ambito di procedimento giudiziale, della presunta violazione dell'obbligo di non concorrenza assunto dalla signora XX, anche attraverso l'utilizzo improprio da parte di quest'ultima di permessi retribuiti e ferie, giustificati dalla necessità di prestare cure alla madre.

In tale contesto, l’Agenzia argomenta che:

“Ai fini dell’incarico conferitole, durante le attività di monitoraggio, FirstNet ha dovuto verificare i comportamenti e gli incontri della signora XX durante il periodo di assenza dal lavoro e, nel fare ciò, si è reso necessario e inevitabile […] fare presente che la signora XX si recava presso l'ospedale indicato nel rapporto investigativo (ciò senza mai trattare alcun dato circa lo stato di salute della signora XX).

Sul punto preme precisare che (i) la relazione investigativa non riporta (e quindi non tratta) dati, ma si limita a riportare esclusivamente considerazioni fatte in via presuntiva dalla scrivente società, con riferimento allo stato di salute della signora XX (pag. 15 dcl rapporto investigativo: "è possibile ascoltare la conversazione inerente alla malattia della madre che potrebbe essere Alzheimer") […] e (ii) tali considerazioni sono comunque state rese e trascritte in forma anonima, non essendo stato indicato alcun dato personale che potesse fare risalire all'identità della signora XX.

Per tali ragioni, […] ogni dato a disposizione della scrivente società sia stato trattato (i) nel rispetto della normativa privacy e dcl codice deontologico diramato da codesta spettabile Autorità e, in particolare, dci principi di minimizzazione e proporzionalità; e (ii) per necessità e finalità strettamente inerenti all’incarico conferito a FirstNet da Credito Emiliano S.p.A. e la difesa in giudizio di quest'ultima società.”.

Valutati gli atti istruttori e ritenuto di non potere procedere all’archiviazione del reclamo ai sensi dell’art. 11 del Regolamento 1/2019 del Garante, l’Ufficio ha comunicato alle parti l’avvio di un procedimento per l’eventuale adozione da parte del Garante dei provvedimenti di cui agli articoli 58, paragrafo 2, e 83 del RGPD, ai sensi e per gli effetti degli articoli 77 e segg. del RGPD, dell’art. 166 del Codice e degli articoli 12 e segg. del Regolamento 1/2019, con riferimento al trattamento dei dati personali relativi allo stato di salute della reclamante da parte della Società Firstnet s.r.l. non pertinenti e limitati a quanto necessario rispetto alle finalità per le quali i dati erano trattati e senza che vi fossero le condizioni legittimanti per tale trattamento, con presumibile violazione degli articoli 5 e 9 del RGPD.

L’Agenzia, con nota del 7 settembre 2020, ha trasmesso note difensive, ribadendo quanto già dichiarato al Garante e rappresentando che:

“Mediante l'attività investigativa svolta da FirstNet, Credito Emiliano S.p.A. ha inteso fornire prova nell'ambito del procedimento giudiziale incardinato davanti al Tribunale di Reggio Emilia, della violazione dell'obbligo di non concorrenza assunto dalla signora XX, anche attraverso l'utilizzo improprio e illegittimo da parte di quest'ultima di permessi retribuiti e ferie, asseritamente giustificati dalla necessità di prestare cure alla madre malata (i.e. la signora XX).

L'attività di FirstNet si è quindi necessariamente dovuta concentrare altresì sulle condizioni di salute della Signora XX (madre della signora XX), in quanto i predetti permessi retribuiti venivano espressamente giustificati dalle condizioni di salute della madre (i.e. la signora XX) e dalla necessità della signora XX di assistere la reclamante. […]  il testo del Report investigativo elaborato da FirstNet, in forza dell'incarico conferitole, non menziona mai il nome della signora XX (dato che non è mai stato trattato dall'agenzia), né altri dati personali della stessa e/o elementi caratteristici della sua identità fisica. A conferma di ciò, le pagine del Report citate nel reclamo promosso dalla signora XX, non consentono di identificare alcuna persona specifica. In particolare:

a) a pagina 15 del Report si legge: "è possibile ascoltare la conversazione inerente alla malattia della madre che potrebbe essere Alzheimer".

b) a pagina 16 del Report si legge: "qui si sente una telefonata in merito alla visita che effettuerà dalla madre alle ore 19 ".

c) a pagina 50 del Report si legge: "il target giunge presso l'istituto Palazzolo dove ricoverata la madre".

In tutti i passaggi sopra indicati, non si fa mai riferimento al nome della reclamante, né alle reali condizioni di salute della stessa (espresse solo in maniera presuntiva dall'investigatore).

Tutto ciò premesso, la scrivente società ritiene di aver agito in conformità del Regolamento e, in particolare, delle disposizioni citate dal Garante. In particolare, con riferimento al disposto di cui all'Articolo 5 paragrafo 1 lettera c) del Regolamento ("i dati personali debbono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati "minimizzazione dei dati"), FirstNet ha operato nel rispetto del principio di minimizzazione e proporzionalità, essendosi limitata ad attestare una situazione di fatto emersa dall'attività investigativa (i.e. la visita della signora XX presso l'istituto Palazzolo), omettendo di trattare e trascrivere dati personali della signora XX che potessero fare risalire alla sua identità (nome, data e luogo di nascita descrizione fisica, luogo di domicilio o residenza etc.). Il dato è stato quindi anonimizzato, rendendo inapplicabile la normativa richiamata. Se anche alla luce di quanto sopra, non si volesse considerare legittima la condotta di FirstNet, si evidenzia come la modalità accidentale con la quale le informazioni relative alla signora XX sono state assunte da FirstNet, rendono applicabile al caso specifico l'art. 2, comma 6, del "Codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria", richiamato dallo stesso Garante nella nota del 22 luglio u.s. .Infatti, come risulta chiaramente dal Report investigativo, le suddette informazioni relative alla signora XX sono state colte dall'investigatore durante una telefonata svolta dalla signora XX in un luogo pubblico e quindi accidentalmente recepite dall'investigatore medesimo, mentre questi svolgeva la propria attività per le finalità sopra già esplicitate. Inoltre, con riferimento al disposto di cui all’Articolo 9, si ritiene, in primis, che non si possa considerare vero e proprio trattamento la mera considerazione dell'investigatore circa la presunta malattia attribuita alla signora XX. In ogni caso, seppure si volesse considerare quanto trascritto sul report investigativo ("è possibile ascoltare la conversazione inerente alla malattia della madre che potrebbe essere Alzheimer") come trattamento, lo stesso sarebbe comunque giustificato dalla necessità di esercitare un diritto in sede giudiziaria (i.e. il diritto di Credito Emiliano a vedere riconosciuta la condotta illecita della signora XX ), ai sensi dell'art. 9, par. 2, lettera f) del Regolamento, in considerazione proprio del fatto che, come osservato in precedenza, i permessi richiesti dalla signora XX al proprio datore di lavoro, erano giustificati dalla malattia della signora XX e che, quindi FirstNet era chiamata a verificare il reale stato di salute della reclamante.

Per tutto quanto sopra, FirstNet S.r.l., in persona del legale rappresentante pro tempore, chiede a codesta Spettabile Autorità l'archiviazione del procedimento di cui alla comunicazione in oggetto.”.

L’Agenzia ha chiesto di essere sentita “al fine fornire eventuali ulteriori chiarimenti e tutte le informazioni che l’Autorità ritenesse necessarie o opportune ai fini delle proprie valutazioni.”.

L’Ufficio ha ritenuto non necessario procedere alla audizione dell’Agenzia, considerato che sulla base degli argomenti svolti dalle parti negli atti di causa e dei documenti acquisiti l’Autorità dispone di tutti gli elementi occorrenti per assumere le proprie determinazioni.

Infine, con successiva nota, l’Agenzia ha trasmesso a questa Autorità copia del decreto del 13 maggio 2020 n. 3011 con il quale il Tribunale di Bergamo, Sezione per le Indagini Preliminari e della Udienza Preliminare, ha disposto l’archiviazione del procedimento penale avviato sulla base di denuncia querela nei confronti degli investigatori dell’Agenzia, per le ipotesi di reato di cui agli articoli 615 bis, 617 c.p. .

OSSERVA

Ai sensi dell’art. 4, paragrafo 1, n. 1), del RGPD, costituisce dato personale “qualsiasi informazione riguardante una persona fisica identificata o identificabile”.

Ai sensi dell’art. 4, paragrafo 1, n. 2), del RGPD, costituisce trattamento “qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione”.

Pertanto, la raccolta delle informazioni relative alla reclamante, la loro registrazione, elaborazione, inserimento nella relazione investigativa e comunicazione al committente le attività investigative costituiscono trattamento di dati personali.

L’attività di investigazione privata, autorizzata con licenza prefettizia (art. 134 del regio decreto 18 giugno 1931, n. 773, e successive modificazioni e integrazioni) è, di per sé, lecita, ma deve essere esercitata nel rispetto delle norme che la disciplinano e delle disposizioni in materia di protezione dei dati personali.

L’art. 5 del RGPD (Principi applicabili al trattamento di dati personali) prescrive, tra l’altro, che i dati personali devono essere; adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (paragrafo 1, lettera c).

L’art. 9 del RGPD vieta il trattamento dei dati relativi alla salute, salvo che in specifici casi tassativamente elencati, tra i quali rientra, per quanto qui rileva, la necessità del trattamento per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali.

l’Agenzia ha altresì sostenuto che il trattamento oggetto di reclamo, ossia l’indicazione nella relazione illustrativa della presunta malattia della reclamante, sarebbe giustificabile in quanto oggetto dell’attività investigativa era la violazione di un obbligo di non concorrenza assunto dalla signora XX anche attraverso l'utilizzo improprio e illegittimo da parte di quest'ultima di permessi retribuiti e ferie, asseritamente giustificati dalla necessità di prestare cure della madre, onde si è “necessariamente dovuta concentrare altresì sulle condizioni di salute della Signora XX (madre della signora XX)”. Tale trattamento, del resto, era funzionale alla tutela di un diritto in sede giudiziaria da parte del committente dell’incarico di investigazione e, quindi, sarebbe legittimo ai sensi dell'art. 9, par. 2, lett. f) del RGPD.

Le argomentazioni difensive dell’Agenzia sono parzialmente fondate.

Vero è che l’incarico investigativo comportava la necessità di accertare se la Signora XX utilizzasse effettivamente i permessi richiesti per assistere la madre, onde le informazioni relative ad un possibile stato patologico della madre ed alle conseguenti probabili necessità di assistenza da parte della figlia appaiono conferenti alloggetto del mandato (art. 9, par. 2, lett. f), del RGPD).

Purtuttavia, l’indicazione della specifica malattia di cui era presumibilmente affetta la reclamante, presente nella relazione investigativa, non ha alcuna rilevanza ai fini dell’espletamento degli accertamenti commissionati.

L’argomento difensivo espresso dall’Agenzia, secondo cui il rapporto investigativo non menziona mai il nome della signora XX né altri dati personali della stessa e/o elementi caratteristici della sua identità fisica e non consentirebbe di identificare alcuna persona specifica è infondato, in quanto, ancorché non siano indicate le generalità della reclamante, essa è individuata quale la madre della signora XX, ossia tramite un elemento identificativo specifico e puntuale che la rende identificabile, ai sensi dell’art. 4, paragrafo 1, n.1), del RGPD.

Né giova all’Agenzia il richiamo, effettuato nelle memorie difensive, all'art. 2, comma 6, del "Codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria", ai sensi del quale “Se per effetto di un conferimento accidentale, anche in sede di acquisizione di dichiarazioni e informazioni ai sensi dei medesimi articoli 391-bis, 391-ter e 391-quater, sono raccolti dati eccedenti e non pertinenti rispetto alle finalità difensive, tali dati, qualora non possano essere estrapolati o distrutti, formano un unico contesto, unitariamente agli altri dati raccolti.”. Infatti, non sussiste alcun motivo per il quale l’informazione relativa alla presunta patologia sofferta dalla reclamante, in ipotesi acquisita accidentalmente dagli investigatori, non potesse essere “estrapolata o distrutta”, id est non riportata nel rapporto investigativo.

l’ostensione della patologia specifica di cui è presumibilmente affetta la reclamante risulta pertanto illecita, in quanto effettuata in violazione di quanto disposto dall’art. 5, comma 1, lettera c), del RGPD, secondo cui i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.

Sulla base dei criteri indicati dall’art. 83 del RGPD, considerando che la condotta ha esaurito i suoi effetti, che il trattamento di dati personali relativi allo stato di salute era legittimo ancorché eccedente, che il numero di interessati al trattamento è limitato ad uno, che non risultano eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento, che non risultano elementi tali da fare ritenere il carattere doloso della condotta dell’agente, si ritiene che nel caso di specie non ricorrano i presupposti per infliggere una sanzione amministrativa pecuniaria di cui all’art. 58, par. 2, lett. i) del Regolamento.

Essendo comunque stata accertata l’illiceità del trattamento di dati personali, nei termini di cui in motivazione, si ritiene di dover ammonire, ai sensi degli artt. 58, par. 2, lett. b) del Regolamento, la  Firstnet S.R.L. per aver violato l’art. 5, par. 1, lett. c), del Regolamento.

TUTTO CIÒ PREMESSO IL GARANTE

DICHIARA

l'illiceità del trattamento dei dati della reclamante per violazione delle disposizioni di cui all’articolo 5 del RGPD, nei termini di cui in motivazione e, per l’effetto,

AMMONISCE

l’Agenzia investigativa Firstnet S.R.L per avere effettuato un trattamento di dati personali in violazione dell’art. 5, paragrafo 1, lettera c), non essendo i dati trattati pertinenti e limitati alle finalità del trattamento stesso, nei termini di cui in motivazione.

Ai sensi dell’art. 78 del Regolamento, dell’art. 152 del d. lgs. 30 giugno 2018, n 101 e dell’art. 10 del d. lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione, in via alternativa, al tribunale del luogo in cui il titolare del trattamento risiede o ha sede ovvero al tribunale del luogo di residenza dell'interessato, entro trenta giorni dalla data di comunicazione del provvedimento ovvero entro sessanta giorni se il ricorrente risiede all'estero.

Roma, 16 settembre 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL VICE SEGRETARIO GENERALE
Filippi