Ordinanza ingiunzione nei confronti di Giessegi Industria Mobili S.p.A. - 15...
Ordinanza ingiunzione nei confronti di Giessegi Industria Mobili S.p.A. - 15 dicembre 2022 [9861249]
Condividi[doc. web n. 9861249]
Ordinanza ingiunzione nei confronti di Giessegi Industria Mobili S.p.A. - 15 dicembre 2022
Registro dei provvedimenti
n. 428 del 15 dicembre 2022
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);
VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);
VISTO il reclamo presentato ai sensi dell’art. 77 del Regolamento in data 16 febbraio 2021 dal Sig. XX nei confronti di Giessegi Industria Mobili S.p.A.;
ESAMINATA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE l’avv. Guido Scorza;
PREMESSO
1. Il reclamo nei confronti della Società e l’attività istruttoria.
Con reclamo del 16 febbraio 2021, il Sig. XX ha lamentato che Giessegi Industria Mobili S.p.A. (di seguito, la Società) avrebbe effettuato trattamenti di dati personali a sé riferiti in violazione del Regolamento, mediante l’installazione di un dispositivo idoneo a rilevare la posizione geografica all’interno dell’autoveicolo per mezzo del quale il reclamante ha effettuato attività di consegna di beni per conto della Società.
In particolare il reclamante ha rappresentato di aver “rinvenuto all’interno del vano motore del suo autocarro marca: MAN, modello TGA un apparecchio localizzatore marcato Visirun n. seriale 30006717” che è risultato attivo “almeno alla data del 12/09/2020”. Il predetto dispositivo sarebbe stato installato in assenza di informativa e di “valida manifestazione del consenso”, nell’ambito del rapporto di lavoro intercorso con la Società fino alla data del 13 maggio 2019.
La Società, nel fornire riscontro alla richiesta di informazioni dell’Autorità del 30 novembre 2021, con nota del 29 dicembre 2021 (e relativi allegati), ha dichiarato che:
a. “nel corso del 2016 […] Giessegi si preoccupò di mettere a disposizione delle ditte di trasporto con cui collaborava, tra cui quella del [reclamante], dei dispositivi di geolocalizzazione in grado di apportare una migliore contezza dei chilometraggi apportati da questi ultimi, dato essenziale per verificare l’adeguatezza dei corrispettivi dovuti al trasportatore” (nota 29/12/2021, p. 1);
b. “in virtù di questo obiettivo [la società] ha stipulato un contratto di fornitura con la Visirun spa […] in data 2/3/2016. Il contratto prevedeva l’invio dei dispostivi alla Giessegi, la quale si preoccupava poi di consegnarli ai singoli trasportatori, e la messa a loro disposizione di una utenza web personale per la visualizzazione dei dati relativi ad essi” (nota cit., p. 1);
c. “il dispositivo, preso in consegna dalle aziende di trasporto, veniva poi installato dalle stesse nelle modalità e nelle tempistiche a loro più congeniali” (nota cit., p. 1);
d. “nel novembre del 2020 la [società] interrompeva i propri rapporti commerciali con la Visirun” (nota cit., p. 1);
e. la società “era tenuta alla riconsegna dei dispositivi ricevuti dalla Visirun ovvero al loro riscatto. Nella corrispondenza rinvenuta si evince il mancato rinvenimento del dispositivo ricollegato al veicolo del reclamante” (nota cit., p. 2);
f. con riferimento alle condizioni di liceità del trattamento “si ritiene che nel caso di specie ricorrano le ipotesi di cui alle lett. c) ed f) [dell’art. 6 del Regolamento], in quanto la raccolta delle informazioni relative al chilometraggio effettuato sugli autoveicoli sui quali erano installati i dispositivi in esame era funzionale alla esatta determinazione dei chilometri percorsi dalle ditte terziste in esecuzione del contratto di trasporto, e dunque del puntuale adempimento dello stesso da parte della committenza, con conseguente legittimo interesse sia della Giessegi che del [reclamante] all’elaborazione e trattamento dei predetti dati […], tenendo conto del fatto che gli autotrasportatori venivano retribuiti a «km percorsi»” (nota cit., p. 2);
g. “la raccolta di informazioni particolareggiate sul chilometraggio effettuato dai mezzi […] sono state proporzionate con gli scopi rappresentati dalla società, trattandosi di informazioni limitate e funzionali all’esatto adempimento del contratto di collaborazione con i terzisti” (nota cit., p. 2-3);
h. “vi era la possibilità per la ditta trasportatrice di accedere agli stessi dati in possesso della Giessegi, esclusivamente riferibili ai dispositivi installati nei propri veicoli, attraverso l’attivazione di una utenza telematica” (nota cit., p. 3);
i. “il dispositivo indicato, seppur concesso in comodato gratuito al reclamante non è mai stato installato direttamente da Giessegi ma dal reclamante stesso o da un suo incaricato” (nota cit., p. 3);
j. “considerata la libertà concessa al reclamante […] non siamo in grado di comunicare l’effettiva data di installazione del dispositivo” (nota cit., p. 4);
k. “soggetti deputati alla determinazione delle finalità e dei mezzi per il trattamento dei dati erano la Giessegi nel suo complesso nonché la ditta di trasporto esclusivamente per i dispositivi ad essa ricollegabili. Ad accedere ai dati erano gli uffici spedizioni ed un responsabile del gruppo ced, come si evince dalla informativa privacy fornitori messa a disposizione dall’azienda sul proprio sito” (nota cit., p. 4);
l. al reclamante non è stata fornita informativa “in quanto lo strumento non era finalizzato all’acquisizione dei dati personali, ma solo come strumento di computazione dei Km percorsi dal mezzo per finalità contabili” (nota cit., p. 5);
m. attraverso un’applicazione web connessa al dispositivo era possibile accedere ai Km percorsi con possibilità di estrazione di report; “i dati raccolti rimanevano presenti ma alla chiusura del rapporto la società non ha più avuto accesso al portale” (nota cit., p. 5);
n. “non si sono adottate le misure di sicurezza nel trattamento dei dati forniti da tale dispositivo […], salvo le normali indicazioni di riservatezza aziendale da parte delle persone incaricate ad acquisire il dato dei km totali percorsi dal mezzo del reclamante” (nota cit., p. 5);
o. nell’ambito della valutazione di impatto effettuata in data 23 maggio 2018 ai sensi dell’art. 35 del Regolamento, si è ritenuto di “escludere ogni criticità in merito al trattamento di tali dati” (nota cit., p. 6).
Con successiva nota del 26 maggio 2022, inviata in riscontro ad una richiesta di ulteriori informazioni formulata dall’Ufficio (il 6/5/2022), la Società ha altresì dichiarato che:
a. “considerata l’epoca dei fatti e l’interruzione di ogni rapporto commerciale con il […] reclamante, verificatosi nel maggio 2019, non è stato possibile risalire alla documentazione cartacea e/o digitale relativa alla consegna del dispositivo” (nota 26/5/2022, p. 1);
b. “tra le parti non sussisteva alcun contratto di lavoro in quanto il reclamante prestava i propri servizi di trasporto in qualità di soggetto giuridico autonomo” (nota cit., p. 1).
L’Autorità ha contestualmente avviato un procedimento nei confronti di Verizon Connect Italy S.p.A. (già Visirun S.p.A.), in qualità di fornitore del dispositivo rinvenuto nel veicolo del reclamante e del collegato servizio di localizzazione.
Il fornitore del dispositivo e del servizio ha fornito riscontro alle richieste di informazioni dell’Autorità con note del 14 gennaio e 25 maggio 2022.
2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e le deduzioni della Società.
Il 13 luglio 2022, l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione alla Società delle presunte violazioni del Regolamento riscontrate, con riferimento agli artt. 5, par. 1, lett. a), 6, 13, 28, par. 1 e 35 del Regolamento.
Nel corso dell’audizione tenutasi il 9 novembre 2022 su richiesta della Società, quest’ultima ha dichiarato che:
“il dispositivo di geolocalizzazione […] è necessario […] sia per conteggiare i chilometri percorsi sia per indicare all’autista il percorso ottimale da seguire per effettuare la consegna”;
“la società ha avviato l’utilizzo di dispositivi di geolocalizzazione nel 2016, prima della applicazione del Regolamento Ue 2016/679”;
la Società “nel 2018 ha provveduto ad inviare a Visirun, fornitore del servizio di localizzazione, la designazione a responsabile del trattamento, come già rappresentato al Garante nel corso del procedimento, tuttavia il fornitore non […] ha inviato alcun riscontro”;
“con riferimento alla contestazione riferita al persistente funzionamento del dispositivo posizionato sul veicolo del reclamante anche dopo l’interruzione del rapporto di lavoro si precisa che nel 2019 la società aveva deciso di dismettere i gps in uso a quel tempo per volontà di passare ad un nuovo sistema che consente la spunta dei colli consegnati. A tale scopo, aveva dunque cominciato a raccogliere i dispositivi di geolocalizzazione. In questa fase il dipendente addetto alla raccolta non è riuscito a ritrovare il seriale ricollegato alla targa del reclamante, il quale, pertanto, non aveva restituito il dispositivo”;
“i dispositivi gps erano ricollegati alla targa dell’automezzo e non al singolo autista. La società pertanto, nella maggior parte dei casi, non sa chi sia alla guida del veicolo e, infatti, il servizio di trasposto per conto della società è effettuato da “padroncini” che alternano alla guida più autisti”;
“La società sta effettuando un’attività di adeguamento al GDPR e in quest’ottica si rende disponibile a modificare sia l’informativa sia la DPIA”;
“La società installerà dispositivi gps avvalendosi di un diverso fornitore esclusivamente sui mezzi di proprietà al fine di adempiere ad obblighi di legge. A tale scopo sta predisponendo adeguata informativa e DPIA”;
“all’epoca del fatto oggetto di reclamo era possibile disattivare il gps installato all’interno del vano motore dei veicoli mediante scollegamento dei cavi di alimentazione”;
“l’azienda è fortemente penalizzata dall’aumento del costo dell’energia elettrica che incide pesantemente sui costi della produzione”.
3 L’esito dell’istruttoria.
3.1 Il trattamento di dati relativi alla posizione geografica effettuato dalla società.
All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, risulta che la Società ha stipulato con Visirun S.p.A. (ora Verizon Connect Italy S.p.A., di seguito: Verizon) un contratto di fornitura di servizi di geolocalizzazione (in particolare il servizio “Light”), previa installazione di dispositivi completi di funzionalità di geolocalizzazione sulle vetture incaricate di effettuare il trasporto delle merci per proprio conto, ciò allo scopo dichiarato − in sé lecito − di poter determinare, con l’ausilio di uno strumento tecnologico, l’”esatta determinazione dei chilometri percorsi […] in esecuzione del contratto di trasporto, e dunque del puntuale adempimento dello stesso” nonché al fine di “indicare all’autista il percorso ottimale da seguire per effettuare la consegna”.
In base all’esame della documentazione acquisita in atti emerge che la Società ha effettuato, nel corso del 2016, alcuni ordini a Visirun S.p.A. relativi alla fornitura di servizi di localizzazione (rispettivamente in data 22/1, 8/2, 3/3, 5 e 9/5, 15/6 del 2016, “per il noleggio di un totale di 76 dispositivi di geolocalizzazione […] e relativi servizi connessi. L'ultimo ordine di sostituzione di un articolo difettoso è avvenuto in data 15 giugno 2016”: v. nota Verizon 14/1/2022 e All. 6, 10 e 11).
Il rapporto con il fornitore del servizio di localizzazione si è interrotto a fine 2020 (in proposito, per la precisione, la Società ha dichiarato che l’interruzione è avvenuta a novembre 2020; mentre Verizon ha precisato che il contratto è stato risolto il 31 dicembre 2020: v. nota Verizon del 14/1/2022, punto 2, lett. c).
Il servizio di geolocalizzazione consente di acquisire dati relativi alla circolazione del veicolo utilizzato dal vettore, raccolti dal dispositivo installato a bordo - all’interno del vano motore - consultabili mediante un applicativo web, in particolare i chilometri percorsi, con possibilità di estrazione di report (le cui caratteristiche non sono state specificate dalla Società).
È emerso, altresì, che la disattivazione del dispositivo (ad esempio al di fuori dell’orario di lavoro) poteva avvenire solo previa apertura del vano motore e scollegamento manuale dei cavi.
La Società fornitrice del servizio, nel corso del procedimento avviato nei suoi confronti dall’Autorità, ha indicato le caratteristiche standard del servizio “Light” oggetto del contratto (in particolare: localizzazione mediante sistema GPS, controllo su mappa della distanza percorsa da ciascun veicolo, calcolo dei chilometri, del tempo di viaggio e della velocità media di guida, con conservazione dei dati, in relazione al caso di specie, per 12 mesi).
Verizon ha altresì precisato di non essere “in grado di fornire alcuna informazione specifica sulle caratteristiche impostate da Giessegi, dal momento che tali caratteristiche erano associate all’hardware del dispositivo. Una volta disattivato, Verizon non può accedere in alcun modo a tali dati. Nella sua impostazione standard, il piano di abbonamento Light (ossia, il piano attivato da Giessegi in relazione al Dispositivo) raccoglie i dati di localizzazione a intervalli regolari (non in tempo reale), ma il cliente potrebbe aver impostato tali intervalli su valori diversi” (v. nota Verizon del 14/1/2022).
Ciascun dispositivo, in base a quanto dichiarato, era associato alla targa del veicolo e non al nome del singolo autista, pertanto la Società “nella maggior parte dei casi, non sa chi sia alla guida del veicolo e, infatti, il servizio di trasporto […] è effettuato da “padroncini” che alternano alla guida più autisti”.
Contrariamente a quanto ritenuto dalla Società, vista la definizione di “dato personale” (“qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”: art. 4, n. 1 del Regolamento), l’associazione del dispositivo al numero di targa del veicolo, anche nel caso in cui la guida dello stesso sia in concreto affidata ad autisti diversi che si avvicendano (circostanza che comunque non necessariamente si verifica posto che i titolari delle imprese individuali spesso svolgono in prima persona il trasporto), consente di identificare il guidatore del mezzo attraverso l’associazione con altre informazioni (ad esempio i documenti relativi ai turni di servizio; sulla possibilità di identificare l’autista del veicolo geolocalizzato si veda anche, in termini generali, provv. 4 ottobre 2011, n. 370, doc. web n. 1850581; v., in relazione a casi concreti, i provv. ti 28 giugno 2018, n. 396, doc. web n. 9023246 e 24 maggio 2017, n. 247, doc. web n. 6495708; v. anche: Gruppo di lavoro articolo 29 per la protezione dei dati, Parere n. 5/2005 sull’uso di dati relativi all’ubicazione al fine di fornire servizi a valore aggiunto, WP 115, p. 10 e Parere n. 4/2007 sul concetto di dati personali, WP 136, p. 11).
Vista anche la definizione di “trattamento” (“qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione”: art. 4, n. 2, del Regolamento), emerge pertanto che, attraverso il dispositivo installato sul veicolo utilizzato dal reclamante (con modalità che non è stato possibile accertare nel corso del procedimento) per rendere la prestazione consistente nell’attività di trasporto di beni, la Società ha trattato, quantomeno, dati relativi all’ubicazione e ai chilometri percorsi nel corso dell’esecuzione del contratto di lavoro autonomo, relativi a una persona fisica identificata o identificabile, al dichiarato fine di poter verificare “l’esatto adempimento del contratto di collaborazione con i terzisti” (ivi compreso il reclamante).
La qualificazione della Società come titolare del trattamento (v. la definizione ex art. 4, n. 7 del Regolamento) deriva dunque dall’esame delle caratteristiche del caso concreto, in particolare dalla circostanza che è la Società ad aver stipulato il contratto con il fornitore del servizio, determinando finalità e mezzi del trattamento, e ad aver avuto accesso, attraverso un applicativo web, ai dati raccolti e successivamente trattati (“Ad accedere ai dati erano gli uffici spedizioni ed un responsabile del gruppo ced”: v. nota della Società 29/12/2021).
All’esito dell’esame dei riscontri pervenuti da parte del fornitore del servizio (Verizon), emerge dunque che quest’ultimo ha inviato alla Società, in esecuzione di ordini sottoscritti nel 2016, n. 76 dispositivi di geolocalizzazione, tra cui il dispositivo avente il numero di serie rinvenuto dal reclamante (dispositivo Visirun n. 30006717).
Tale dispositivo, in base alla documentazione fornita da Verizon, è stato spedito alla Società in esecuzione di un ordine dell’8 febbraio 2016 (v. documento di trasporto Verizon del 9/2/2016, n. 672) “ed è stato disattivato il 23 novembre 2020 in seguito agli scambi tra Visirun e Giessegi del 24 settembre 2020” (v. nota Verizon del 14/1/2022 e All. 10).
Pertanto la Società ha effettuato trattamenti di dati raccolti con il dispositivo Visirun n. 30006717, completo di funzionalità di geolocalizzazione, fino al 23 novembre 2020, anche dopo la cessazione del rapporto di lavoro con il reclamante (stante la possibilità di accedere ai dati raccolti attraverso il portale web fino alla data di cessazione della fornitura del servizio).
La Società ha dichiarato, inoltre, di non essere in grado di produrre alcun documento relativo alla consegna del dispositivo al reclamante, in ragione del tempo trascorso dalla cessazione del rapporto con il medesimo. Né, in ogni caso, è stata prodotta − quantomeno − copia di documenti analoghi relativi alla consegna agli altri autotrasportatori dei dispositivi ordinati in numero significativo al fornitore del servizio. Non vi è pertanto in atti alcuna evidenza che il dispositivo oggetto di reclamo sia stato materialmente consegnato al reclamante e che, nell’occasione, la Società abbia indicato all’interessato le caratteristiche del dispositivo.
3.2 Violazione degli artt. 5, par. 1, lett. a) e 13 del Regolamento.
Il titolare del trattamento deve trattare i dati “in modo lecito, corretto e trasparente” (art. 5, par. 1, lett. a) del Regolamento), adottando “misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 […]” (art. 12 del Regolamento).
Nel caso di specie non risulta invece che la Società abbia informato il reclamante circa le caratteristiche del dispositivo fornito da Visirun S.p.A., la tipologia dei dati raccolti, le finalità e le modalità del trattamento, compresa la possibilità anche per gli interessati, secondo quanto dichiarato dalla Società medesima, di accedere attraverso un applicativo web ai dati raccolti e le specifiche modalità (non semplici né intuitive) necessarie per disattivare l’attività di geolocalizzazione.
La Società, in proposito, ha in primo luogo sostenuto di non essere tenuta a rendere l’informativa, ritenendo che il dispositivo e il sistema fornito da Visirun “non era finalizzato all’acquisizione dei dati personali”.
Diversamente, per le ragioni sopra esposte, i dati raccolti dai dispositivi erano riconducibili a persone identificabili attraverso l’associazione con altre informazioni.
Inoltre la Società, nel corso del procedimento, ha comunque prodotto copia di una Informativa per i dati personali raccolti presso l'interessato (laddove si specifica che il documento è rivolto ai “Fornitori del servizio di trasporto mobili”, in relazione alla geolocalizzazione del mezzo di trasporto), firmata dal legale rappresentante dell’impresa il 26 maggio 2022 (v. All. 2, nota 26/5/2022).
Tale modello di informativa, non è comunque conforme alle disposizioni del Regolamento, in quanto le scarne informazioni ivi contenute sono, in taluni passaggi, estremamente generiche (es. in relazione alla indicazione del trattamento, laddove ci si riferisce alla “Identificazione del percorso dell'automezzo” senza menzionare la geolocalizzazione o altri dati se del caso trattati), in altri contraddittorie (es. sulla indicazione della base giuridica, laddove è indicato il “Legittimo interesse titolare del trattamento” specificando subito dopo che “il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso”, dunque indicando una base giuridica distinta e alternativa al legittimo interesse).
La Società ha pertanto omesso di informare il reclamante circa la specifica modalità di trattamento in concreto effettuata mediante l’utilizzo del dispositivo di geolocalizzazione e il servizio tramite questo fornito da Visirun S.p.A., in violazione di quanto previsto dall’art. 13 del Regolamento.
Posto che tra la Società e il reclamante, secondo quanto emerge dagli elementi disponibili in atti, è intercorso un rapporto di lavoro autonomo, nel caso di specie l’obbligo di informare il lavoratore è altresì espressione del principio generale di correttezza dei trattamenti (art. 5, par. 1, lett. a) del Regolamento).
La Società, per i motivi suesposti, ha pertanto violato gli artt. 5, par. 1, lett. a) e 13 del Regolamento, dalla data di installazione e messa in funzione del dispositivo (non prima del febbraio 2016), come risulta in atti, alla data del 23 novembre 2020.
3.3 Violazione degli artt. 5, par. 1, lett. a), 6 e 28 del Regolamento.
È altresì emerso che la Società ha effettuato, in qualità di titolare, attività di trattamento di dati personali riferiti al reclamante (e agli altri trasportatori per i quali è stato effettuato l’ordine dei dispositivi), al dichiarato fine di poter computare i chilometri percorsi nell’ambito dell’esecuzione della prestazione dei medesimi e poter così verificare “l’esatto adempimento del contratto di collaborazione con i terzisti”, avvalendosi dei servizi di geolocalizzazione, all’epoca forniti da Visirun S.p.A..
Il trattamento è stato effettuato in un arco temporale compreso tra il mese di febbraio 2016 e la fine di dicembre del 2020, senza però che il rapporto con il predetto fornitore del servizio fosse stato regolato, ai sensi dell’art. 28 del Regolamento (“Responsabile del trattamento”), applicabile al caso di specie considerato che, nell’ambito della fornitura del predetto servizio, sono state effettuate attività di trattamento di dati personali, mediante il sistema che elabora e conserva le informazioni raccolte dai dispositivi.
Secondo la disciplina del Regolamento infatti, il titolare del trattamento, nell’ambito della predisposizione delle misure tecniche e organizzative che gli competono, anche sotto il profilo della sicurezza (artt. 24 e 32 del Regolamento), può avvalersi di un responsabile per lo svolgimento di alcune attività di trattamento, cui impartisce specifiche istruzioni (cfr. cons. 81 del Regolamento).
In tal caso il titolare “ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto [le predette misure] adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti degli interessati” (art. 28, par. 1, del Regolamento).
Ai sensi dell’art. 28 del Regolamento, il titolare può affidare un trattamento anche a soggetti esterni, disciplinandone però adeguatamente il rapporto con un contratto (o un altro atto giuridico) e impartendo le istruzioni in merito alle caratteristiche principali del trattamento.
Il responsabile del trattamento è, pertanto, legittimato a trattare i dati degli interessati “soltanto su istruzione documentata del titolare” (art. 28, par. 3, lett. a), del Regolamento) ed entro gli specifici limiti definiti dal titolare del trattamento.
Al riguardo si deve evidenziare che la disciplina definita dal Regolamento è pienamente applicabile anche ai fatti oggetto di reclamo, in base al principio “tempus regit actum”, tenuto conto che i trattamenti, iniziati nel 2016, si sono protratti fino alla fine del 2020, con conseguente applicabilità del richiamato art. 28 del Regolamento vigente nel momento della cessazione della condotta.
In ogni caso, anche antecedentemente alla applicazione del Regolamento nel nostro ordinamento, l’art. 29 del D. Lgs. n. 196 del 2003 prevedeva che un trattamento di dati per conto del titolare potesse essere lecitamente effettuato solo in caso di conferimento del relativo incarico in base a specifiche istruzioni da parte del titolare (v., in senso conforme, il provv. 21/7/2022, n. 270, doc. web n. 9811732; alle stesse conclusioni è pervenuta Cass., Sez. I Civ., ordinanza n. 21234 del 23 luglio 2021).
Nel caso di specie la Società, titolare del trattamento, non ha provveduto a effettuare la designazione di Visirun S.p.A. quale responsabile, né a impartire le dovute istruzioni, nonostante fosse tenuto, nei termini su esposti, all’osservanza degli obblighi derivanti dalla disciplina in materia di protezione dei dati personali e benché, nei Termini e Condizioni del contratto stipulato, lo stesso fornitore del servizio avesse chiarito la propria qualificazione in termini di responsabile e la necessità di procedere alla designazione (v. nota 14/1/2022 di Verizon, All. 7 e 8, spec. punto 18).
D’altra parte le medesime condizioni di contratto non prevedevano nulla in merito alle specifiche indicazioni delle operazioni di trattamento da effettuare per conto della società e alle istruzioni relative alle concrete modalità con le quali effettuare il trattamento dei dati.
Si ritiene infine che, in sede di valutazione della conformità all’art. 28 del Regolamento dei trattamenti effettuati dalla Società, non possa essere preso in considerazione il documento, allegato alla nota del 26/5/2022, denominato “Scheda di trattamento del trattamento - Come stabilito dall’art. 28 del Reg. Ue N. 679/2016”, formalmente datato 23/5/2018 e sottoscritto dalla sola Società (e non dal fornitore), con firma digitale del legale rappresentante, datata 26/5/2022.
Tale documento infatti, non solo non contiene gli elementi indicati dall’art. 28, par. 3 del Regolamento, ma perdipiù risulta del tutto privo di elementi idonei a comprovare con certezza la data di effettiva adozione del documento.
L’omesso adempimento di quanto previsto dall’art. 28 del Regolamento ha comportato inoltre, da parte della Società, una comunicazione a terzi (v. art. 4, n. 10, del Regolamento), in assenza di un idoneo presupposto di liceità, posto che, in base alla documentazione in atti, non è stata rinvenuta alcuna delle condizioni di liceità dei trattamenti in concreto effettuati dal fornitore del servizio, in violazione degli artt. 5, par. 1, lett. a) e 6 del Regolamento.
3.4 Violazione degli artt. 5, par. 1, lett. a) e 6 del Regolamento.
È altresì emerso che la Società ha effettuato, fino alla fine del 2020, trattamenti di dati personali del reclamante attraverso il sistema di geolocalizzazione, fornito da Visirun S.p.A. – che ha utilizzato il dispositivo installato sull’autoveicolo dell’interessato -, nonostante il rapporto di lavoro con quest’ultimo fosse cessato nel maggio del 2019.
Considerato che la finalità del trattamento, in base a quanto dichiarato, consisteva nella contabilizzazione dei chilometri percorsi dal vettore, in vista della valutazione del corretto adempimento degli obblighi previsti dal contratto, il trattamento dei dati del reclamante, dopo la cessazione del rapporto di lavoro con la Società, è avvenuto in assenza di un idoneo presupposto di liceità, in violazione degli artt. 5, par. 1, lett. a) e 6 del Regolamento.
Né in proposito può essere accolta l’obiezione della Società secondo la quale il persistente trattamento sarebbe da addebitare alla omessa restituzione del dispositivo da parte del reclamante sia perché, come già rilevato, non vi sono in atti evidenze dell’avvenuta consegna a quest’ultimo del dispositivo stesso sia perché, in ogni caso, dopo la cessazione del rapporto di lavoro, la Società avrebbe dovuto comunicare al fornitore l’interruzione del servizio di localizzazione relativo al dispositivo associato al reclamante e, se del caso, l’impossibilità di procedere alla contestuale restituzione dello stesso.
3.5 Violazione dell’art. 35 del Regolamento.
In base all’art. 35 del Regolamento, in relazione a trattamenti che prevedono “l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, [tali da] presentare un rischio elevato per i diritti e le libertà delle persone fisiche”, il titolare è tenuto ad effettuare una valutazione dell'impatto sulla protezione dei dati personali prima dell’inizio dei trattamenti previsti.
In proposito le Linee guida WP 248rev.01 del 4.4.2017 (“Linee guida in materia di valutazione d'impatto sulla protezione dei dati e determinazione della possibilità che il trattamento "possa presentare un rischio elevato" ai fini del regolamento (UE) 2016/679”), tra i criteri in presenza dei quali il titolare del trattamento è tenuto ad effettuare una valutazione di impatto individuano il trattamento di “dati aventi carattere altamente personale”, compresi i dati relativi alla ubicazione (v., cap. III, B, n. 4), il trattamento effettuato nei confronti di interessati “vulnerabili” (ad es. in quanto parti di un rapporto di lavoro; v. cap. III, B, n. 7) nonché i trattamenti che realizzano un “uso innovativo o [l’]applicazione di nuove soluzioni tecnologiche od organizzative” (v., cap. III, B, n. 8).
Ulteriori indicazioni sono state fornite con il provvedimento del Garante dell’11 ottobre 2018, n. 467 (“Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d'impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679”, in G.U., S. G. n. 269 del 19.11.2018), sebbene riferito a trattamenti transfrontalieri.
La Società, come già evidenziato, ha effettuato - in qualità di titolare e quantomeno nei confronti del reclamante − trattamenti di dati relativi all’ubicazione forniti da Visirun S.p.A. mediante il servizio di geolocalizzazione modello “Light” le cui caratteristiche standard prevedono: localizzazione mediante sistema GPS, controllo su mappa della distanza percorsa da ciascun veicolo, calcolo dei chilometri, del tempo di viaggio e della velocità media di guida, con conservazione dei dati, in relazione al caso di specie, per 12 mesi. Il trattamento si è protratto fino a novembre/dicembre del 2020.
Le caratteristiche dei trattamenti effettuati dalla Società, in quanto consentono la rilevazione della posizione geografica e ulteriori elaborazioni idonee a rappresentare anche aspetti di dettaglio dell’attività di guida, integrano, pertanto, i richiamati criteri relativi alla sussistenza dell’obbligo di effettuare una valutazione di impatto sulla protezione dei dati.
Non emerge che la Società si sia conformata a quanto previsto dal richiamato art. 35, posto, in primo luogo, che il documento “Valutazione di impatto sulla protezione dei dati e consultazione preventiva” non contiene tutti gli elementi indicati nell’art. 35, comma 7.
In particolare, in relazione alla “descrizione sistematica dei trattamenti” è indicata la sola attività di “identificazione del percorso del mezzo” senza riferimento alle altre, pur rilevanti, funzionalità del sistema; a fronte della individuazione di un “rischio residuo” (consistente nella raccolta di dati attraverso il dispositivo anche in caso di utilizzo del mezzo al di là dell’attività di trasporto per conto del titolare) la Società ha indicato, come misura adottata per attenuare il rischio, solo la predisposizione di una informativa relativa alla possibilità di disattivare il dispositivo, informativa che però non è stata prodotta all’Autorità; le misure di sicurezza di cui all’art. 32 del Regolamento sono indicate in modo estremamente generico (informativa ai vettori e “istruzioni al personale interno incaricato sulla riservatezza e adeguatezza del trattamento dei dati di percorso di viaggio”, che in ogni caso non sono state prodotte in atti) e non si possono considerare comunque idonee, in relazione ai trattamenti effettuati, ad “assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento” (art. 32, par. 1, lett. b) del Regolamento; l’inadeguatezza delle misure adottate emerge, nel caso di specie, anche dalla circostanza che il trattamento sia proseguito per un periodo significativo di tempo – più di un anno e mezzo – dopo la cessazione del rapporto.
Peraltro, anche con riferimento alla valutazione di impatto, non vi sono elementi idonei a comprovare, con certezza, la data di adozione del documento: esso, infatti, è datato e sottoscritto, con firma autografa, il 23/5/2018 dal legale rappresentante e da un soggetto che opera presso il Ced, ma è altresì sottoscritto, con firma digitale, dal legale rappresentante il 26/5/2022.
Il trattamento effettuato dalla Società è pertanto avvenuto in violazione dell’art. 35 del Regolamento.
4 Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.
Per i suesposti motivi l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentano di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Il trattamento dei dati personali effettuato dalla Società e segnatamente il trattamento dei dati relativi alla posizione geografica dell’interessato risulta infatti illecito, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a), 6, 13, 28 e 35 del Regolamento.
La violazione accertata nei termini di cui in motivazione non può essere considerata “minore”, tenuto conto della natura, della gravità e della durata della violazione stessa, del grado di responsabilità e della maniera in cui l'autorità di controllo ha preso conoscenza della violazione (cons. 148 del Regolamento).
Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento si dispone l’applicazione una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) del Regolamento).
Considerato inoltre che, sebbene il trattamento effettuato attraverso il servizio di geolocalizzazione fornito a suo tempo da Visirun S.p.A. si sia interrotto alla fine del 2020, la Società, secondo quanto dichiarato, è in procinto di adottare un servizio avente caratteristiche analoghe, “avvalendosi di un diverso fornitore esclusivamente sui mezzi di proprietà”, si invita Giessegi Industria Mobili S.p.A. (ai sensi dell’art. 57, par. 1, lett. d) del Regolamento) a conformarsi alle indicazioni contenute nel presente provvedimento e a verificare l’applicabilità della disciplina di settore di natura lavoristica (v. art. 114 del Codice e art. 88 del Regolamento).
5 Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).
All’esito del procedimento, risulta che Giessegi Industria Mobili S.p.A. ha violato, sotto diversi profili, gli artt. 5, par. 1, lett. a), 6, 13, 28 e 35 del Regolamento. Per la violazione delle predette disposizioni è prevista l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 4, lett. a) e par. 5, lett. a) e b) del Regolamento, mediante adozione di un’ordinanza ingiunzione (art. 18, l. 24.11.1981, n. 689).
Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.
Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento, ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:
a) in relazione alla natura e gravità della violazione è stata considerata rilevante la natura della violazione che ha riguardato i principi generali e gli obblighi del titolare del trattamento; in relazione alla durata della violazione è stato considerato che questa si è protratta per più di quattro anni, nell’arco di un periodo compreso tra il 22 gennaio 2016 e la fine di dicembre del 2020; è stato altresì considerato che i trattamenti effettuati in violazione del Regolamento hanno riguardato, oltre al reclamante, anche gli altri interessati riconducibili ai veicoli oggetto di geolocalizzazione mediante i dispostivi consegnati da Visirun S.p.A.;
b) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare è stata presa in considerazione la condotta della Società e il grado di responsabilità della stessa che non si è conformata alla disciplina in materia di protezione dei dati, relativamente a una pluralità di disposizioni riguardanti anche i principi generali del trattamento (liceità);
c) a favore della Società si è tenuto conto della cooperazione con l’Autorità di controllo e della assenza di precedenti violazioni pertinenti.
Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla società con riferimento al bilancio d’esercizio per l’anno 2021. Si è tenuto altresì conto del contesto economico nel quale allo stato opera la Società e, da ultimo, dell’entità delle sanzioni irrogate in casi analoghi.
Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Giessegi Industria Mobili S.p.A., la sanzione amministrativa del pagamento di una somma pari ad euro 50.000 (cinquantamila).
In tale quadro si ritiene, altresì, in considerazione della tipologia delle violazioni accertate che hanno riguardato i principi generali del trattamento, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante.
Si ritiene, altresì, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.
TUTTO CIÒ PREMESSO, IL GARANTE
rileva l’illiceità del trattamento effettuato da Giessegi Industria Mobili S.p.A., in persona del legale rappresentante, con sede legale in Via Bramante, 39, Appignano (MC), C.F. 00642760433, ai sensi dell’art. 143 del Codice, per la violazione degli artt. 5, par. 1, lett. a), 6, 13, 28 e 35 del Regolamento;
ORDINA
ai sensi dell’art. 58, par. 2, lett. i) del Regolamento a Giessegi Industria Mobili S.p.A., di pagare la somma di euro 50.000 (cinquantamila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;
INGIUNGE
quindi alla medesima Società di pagare la predetta somma di euro 50.000 (cinquantamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);
DISPONE
la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/20129, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.
Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.
Roma, 15 dicembre 2022
IL PRESIDENTE
Stanzione
IL RELATORE
Scorza
IL SEGRETARIO GENERALE
Mattei
