- VEDI ANCHE NEWSLETTER DEL 21 MARZO 2025

[doc. web n. 10112287]

Provvedimento del 16 gennaio 2025

Registro dei provvedimenti
n. 7 del 16 gennaio 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presentato dal sig. XX ai sensi dell’art. 77 del Regolamento nei confronti di Autotrasporti Cuccu Riccardo S.r.l. Unipersonale;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. L’avvio dell’istruttoria preliminare a seguito della presentazione del reclamo.

Con reclamo presentato in data 23/09/2024, il Sig. XX ha lamentato una violazione della disciplina in materia di protezione dei dati personali da parte di Autotrasporti Cuccu Riccardo S.r.l. Unipersonale (di seguito “la Società”), ex datore di lavoro, rappresentando che la stessa aveva installato un sistema di geolocalizzazione sul veicolo utilizzato, nello svolgimento dell’attività lavorativa, senza avergli preventivamente fornito l’informativa di cui all’art. 13 del Regolamento e senza aver attivato la procedura di garanzia di cui all’art. 4 della legge n. 300/1970 (Statuto dei lavoratori).

La Società veniva invitata a fornire osservazioni in ordine ai fatti oggetto di reclamo, con la richiesta di informazioni formulata ai sensi dell’art. 157 del Codice alla quale la stessa forniva riscontro, con nota del 10/02/2022, con cui rappresentava che:

- “L’ITL di Cagliari-Oristano, su istanza della scrivente del 15 marzo 2021, ha autorizzato, con provvedimento del 19 maggio 2021 l’installazione e l’impiego dell’impianto satellitare a bordo dei veicoli aziendali. Detto provvedimento, in particolare, ha autorizzato l’installazione per le finalità indicate nella domanda e precisamente per la tutela dei beni aziendali, per garantire la sicurezza sul lavoro e per esigenze organizzative e produttive”;

- “L’Autotrasporti Cuccu Riccardo s.r.l., ricevuta l’autorizzazione dell’ITL, rendeva a tutti i dipendenti l’informativa prevista dall’art. 13 del Regolamento. Detta informativa è tuttora affissa in evidenza nella bacheca aziendale a cui tutti i lavoratori della società devono accedere, ogni giorno, per acquisire la documentazione necessaria per lo svolgimento del servizio (…). Tutti gli autisti hanno preso visione dell’informativa. Non sono state installate, allo stato, informative cd. semplificate sui singoli mezzi”;

- “E’ bene precisare che gli autisti della società non sono autorizzati a utilizzare il mezzo al di fuori dell’orario di lavoro. Si tratta, infatti, di trattori con semirimorchio”;

- “I dati registrati dal sistema sono trattati, nel rispetto delle previsioni contenute nell’art. 5 del Regolamento UE 2016/679, in modo lecito, trasparente e corretto per realizzare le finalità di cui sopra. Sussistono, inoltre, le condizioni di liceità previste dagli art. 6 del menzionato Regolamento”;

- “tenuto conto del fatto che l’autorizzazione all’installazione di impianti e apparecchiature di localizzazione satellitare è stata chiesta prevalentemente per esigenze di tutela del patrimonio aziendale e di tutela dei dipendenti, anche con riferimento all’organizzazione del lavoro, la rilevazione geografica del mezzo aziendale è attiva anche durante le pause dell’attività”;

- “I dati registrati, peraltro, sono riferibili al singolo dipendente solo per il tempo in cui lo stesso presta l’attività lavorativa. Alla cessazione del servizio, rimossa la scheda personale, nessun dato del lavoratore viene registrato ovvero salvato”.

Alla luce delle dichiarazioni rese e della documentazione prodotta, si riteneva necessario acquisire ulteriori elementi di valutazione, rispetto al trattamento dei dati personali dei dipendenti, realizzato per mezzo del sistema di rilevazione satellitare. Pertanto, si provvedeva a formulare un’ulteriore di richiesta di informazioni, ai sensi dell’art. 157 del Codice, la quale, pur essendo regolarmente notificata all’indirizzo pec della Società, restava inevasa (nota del 25/03/2022).

Si procedeva quindi a notificare, tramite il Nucleo tutela privacy e frodi tecnologiche della Guardia di finanza, l’atto di avvio del procedimento sanzionatorio, ai sensi dell’art. 166, comma 5, del Codice, per la violazione dell’art. 157 del Codice.

Contestualmente, il suddetto Nucleo provvedeva a raccogliere le ulteriori informazioni richieste, redigendo apposito verbale di operazioni compiute (redatto nei giorni 21 e 22/06/2022), dal quale è risultato che:

- “la società si è dotata del sistema di geolocalizzazione WAY fornito dal gestore TIM da maggio 2021. Le motivazioni dell’utilizzo del sistema di geolocalizzazione sono per la tutela del patrimonio aziendale, esigenze di sicurezza sul lavoro ed esigenze organizzative e produttive. In data 15 marzo 2021 la Società ha presentato istanza di autorizzazione all’installazione e utilizzo di impianti e apparecchiature di localizzazione satellitare all’Ispettorato del lavoro di Cagliari”, che rilasciava il provvedimento autorizzatorio in data 19/05/2021;

- con riguardo al mancato riscontro alla richiesta di informazioni “da un consulto con l’avvocato (…) è stato valutato che non fosse necessario rispondere, in quanto un duplicato della precedente, ricevuta l’11 gennaio 2022, alla quale aveva già inviato risposte”;

- “la Società si avvale della collaborazione di circa 70 dipendenti, di cui 50 sono autisti. Di norma a ognuno viene assegnato lo stesso automezzo (trattore). Tutti gli automezzi sono dotati del sistema WAY”;

- “Tutti gli autisti sono stati informati dell’utilizzo del sistema WAY e delle sue funzionalità, tramite un’apposita informativa affissa nella bacheca (…)”;

- “Il sistema localizza all’occorrenza i trattori societari, i dati rilevati sono riferibili al dipendente utilizzatore solo mentre presta l’attività lavorativa. L’associazione avviene tramite l’interfacciamento del sistema dei tachigrafi in dotazione agli autisti e il sistema WAY. (…)”;

-  "Come dichiarato nell’istanza di autorizzazione (…) la rilevazione/localizzazione dei trattori non è in diretta, ma differita di 3/5 minuti”.

Nel corso dell’accertamento ispettivo, veniva eseguito un accesso alla piattaforma web per verificare le funzionalità del sistema. Risultava che “sulla mappa sono riportate le posizioni degli automezzi, individuati dal solo numero di targa. Tra le funzionalità del sistema sono state evidenziate quelle relative all’associazione del nome e cognome dell’autista con l’automezzo utilizzato. Di fatto è risultato che i dati dell’autista rilevati dal sistema non corrispondevano all’effettivo conducente bensì ai dati del dipendente a cui è stato associato l’automezzo al momento dell’installazione” (verbale del 22/06/2022).

Veniva, inoltre, acquisita la documentazione relativa al contratto sottoscritto con TIM avente ad oggetto il noleggio del sistema di geolocalizzazione denominato “TIM Your Way”, datato 10/04/2021.

Con successiva comunicazione del 05/07/2022, la Società informava l’Autorità di aver provveduto all’acquisto delle vetrofanie recanti l’informativa semplificata, da apporre sui mezzi aziendali e trasmetteva copia della designazione a responsabile del trattamento ex art. 29 del d.lgs. 196/2003 (nella formulazione antecedente le modifiche introdotte dal d.lgs. 101/2018) nei confronti della società WAY s.r.l., sottoscritto in data 03/05/2021.

2. L’istruttoria nei confronti di WAY s.r.l. società fornitrice del sistema di geolocalizzazione.

Al fine di una valutazione esaustiva delle modalità del trattamento eseguito, veniva avviata un’istruttoria anche nei confronti di WAY s.r.l., individuata quale fornitore del servizio di geolocalizzazione, nonché responsabile del trattamento dei dati personali.

Sulla base della documentazione trasmessa da WAY s.r.l. in data 24/10/2022 e dagli accertamenti ispettivi eseguiti dal predetto Nucleo presso la sede della società in data 8 e 9 marzo 2023, è risultato che:

- “TIM S.p.A. risulta sottoscrittore del contratto verso il Cliente (in questo caso Autotrasporti Cuccu Riccardo S.r.l.) e quindi Responsabile del Trattamento nei confronti del Cliente stesso che si configura come Titolare del Trattamento. W.A.Y. S.r.l., in qualità di fornitore di TIM S.p.A., viene dalla stessa nominato Secondo Responsabile del Trattamento su autorizzazione del Titolare, così come rilevabile dai documenti commerciali sottoscritti da TIM S.p.A. e dal Cliente”;

- la tipologia di dati trattati comprende, oltre ai dati di localizzazione (posizione del veicolo), anche dati di telemetria (velocità, progressivo dei km percorsi), dati di stato del veicolo, dati cronotachigrafo relativi al DIN (Driver identification Number), dati di messagistica interscambiabili tra la piattaforma web e il dispositivo di bordo ed eventuali ulteriori informazioni che il cliente voglia inserire autonomamente, come ad esempio il nome del conducente e il numero di patente;

- “Il sistema è predisposto per attivare, su eventuale richiesta dell’utilizzatore, una specifica funzione aggiuntiva che consente al conducente del veicolo (c.d. “Interessato”) di poter disattivare il dispositivo di tracciamento del veicolo stesso (c.d. “pulsante privacy”), attualmente non richiesta e pertanto non implementata per il Cliente in oggetto. Altresì la piattaforma Web permette al Titolare la possibilità di disattivare il dispositivo di tracciamento di un veicolo, o altre componenti del servizio, autonomamente tramite interfaccia della piattaforma Web o tramite richiesta al servizio di assistenza fornito dal Secondo Responsabile del Trattamento. Si precisa che, anche in questo caso, tale opzione non è stata richiesta e pertanto non è stata implementata per il Cliente in oggetto”;

- “La piattaforma Web permette di registrare, su appositi campi dei propri form di input, i dati inerenti all’Interessato (a mero titolo esemplificativo: nome, cognome, numero di patente, ecc.)”.

3. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori dell’Autorità.

All’esito dell’esame delle dichiarazioni rese e della documentazione complessivamente acquisita, l’Ufficio provvedeva a notificare alla Società l’atto di avvio del procedimento sanzionatorio, ai sensi dell’art. 166, comma 5, del Codice (nota del 16/06/2023), per la violazione degli artt. 5, par. 1, lett. a), c), e), 13 e 88 del Regolamento.

La Società, in data 14/07/2023, inviava le proprie memorie difensive sulla base dell’art. 18 della legge n. 689/1981, con cui osservava che:

- “Le caratteristiche tecniche del Sistema non consentono di associare direttamente i dati raccolti mediante il sistema di geolocalizzazione al conducente del veicolo di cui si consulti la posizione tramite il Sistema. Difatti, sebbene il Sistema rechi la dicitura “Autista”, i dati ivi inseriti non sono relativi all’effettivo conducente del veicolo, bensì al collaboratore a cui il veicolo è assegnato per i fini di inserimento dell’auto nel Sistema al momento dell’installazione del medesimo. L’assegnatario del veicolo, di regola, non coincide con il conducente dello stesso, in quanto, poiché il Sistema richiede l’inserimento di un nominativo, la Società ha optato per inserire nominativi dei propri collaboratori in maniera del tutto casuale (…)”;

- “Premessa l’assenza nel Sistema dell’indicazione di qualsivoglia dato personale che permetta di individuare direttamente i conducenti dei veicoli aziendali, tale identificazione avviene soltanto qualora si verifichino eventi specifici (ad esempio, infrazioni del Codice della Strada, incidenti, danni e/o furto del veicolo – “Eventi Anomali”). A tal fine, è necessario che la Società interroghi manualmente un database differente tramite inserimento del numero di targa, in quanto non ha attivato lo strumento di interfaccia sui propri sistemi”;

- “Va infine evidenziato che la localizzazione dei veicoli non avviene in diretta, ma differita di 3/5 minuti, e che l’accesso al Sistema è riservato soltanto a (i) previa autenticazione a mezzo password da parte di due dipendenti della Società autorizzati al trattamento dei dati mediante contratto e ai quali sono state impartite idonee istruzioni, (ii) personale tecnico preposto a interventi di manutenzione e revisione, cui sono state fornite password non abilitate alla visione delle immagini registrate”;

- “l’Autorità ha altresì contestato l’adeguatezza dell’informativa resa dalla Società ai dipendenti ai sensi dell’art. 13 GDPR, con riferimento al trattamento dei dati personali effettuato tramite il Sistema. Nello specifico, si è evidenziato che le informazioni fornite ai dipendenti attraverso l’informativa riguardo alla possibilità di identificazione di questi ultimi non fossero corrette, sull’assunto che i dipendenti non sarebbero stati informati della possibilità di identificazione diretta del conducente del veicolo. Tale contestazione, tuttavia, appare priva di fondamento alla luce di quanto esposto nel paragrafo che precede”;

- per quanto riguarda la contestata difformità del trattamento posto in essere rispetto al contenuto del provvedimento autorizzatorio rilasciato dall’ITL, “la Società ritiene che anche questa contestazione muova da un’errata comprensione del funzionamento del Sistema, e pertanto deve ritenersi infondata”. Infatti, rispetto alla prescrizione in base alla quale “i dati sulla velocità del veicolo siano trattati in maniera anonima o mediante modalità che permettano di identificare l’interessato solo in caso di necessità (autorizzazione dell’ITL par. 7), “le modalità di utilizzo del Sistema prevedono già che l’identificazione dell’interessato, ossia l’associazione fra il veicolo e il conducente, avvenga soltanto qualora si verifichi un Evento Anomalo e nel rispetto delle misure di sicurezza e delle procedure previste e [già] descritte”;

- “ai dipendenti autorizzati ad accedere al sistema contenente i dati direttamente identificativi dei dipendenti alla guida dei veicoli sono impartite chiare istruzioni in merito alle condizioni a cui possono accedere a tali dati, con il divieto di collegarli ai dati raccolti tramite il Sistema”;

- “il Sistema non permette dunque di visualizzare dati che potrebbero essere considerati eccedenti rispetto alle finalità perseguite”.

Con comunicazione dell’11/10/2024, la Società ha rinunciato all’audizione inizialmente richiesta ai sensi dell’art. 18 della legge n. 689/1981.

4. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori di cui all’art. 58, par. 2, del Regolamento.

All’esito dell’esame delle dichiarazioni rese dalla parte nel corso del procedimento, nonché della documentazione acquisita, risulta accertato che la Società, in qualità di titolare del trattamento, ha stipulato con Tim S.p.a. un contratto avente ad oggetto la fornitura in noleggio di un apparato GSM/GPRS, da installare sui veicoli aziendali (nello specifico 50 trattori con semirimorchio), con conseguente fornitura delle credenziali di accesso via web alla piattaforma informatica di Tim.

Il servizio, denominato Tim Your Way, viene erogato da Tim S.p.a. tramite la società WAY s.r.l., nominata responsabile del trattamento da Tim S.p.a., in nome e per conto del titolare del trattamento, ai sensi dell’art. 28 del Regolamento.

Rispetto alle modalità di trattamento poste in essere mediante il sistema di geolocalizzazione, risultano profili di non conformità alla disciplina in materia di protezione dei dati personali.

In proposito si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

4.1. Violazione degli artt. 5, par. 1, lett. a) e 13 del Regolamento.

In primo luogo, si osserva che, con l’atto di avvio del procedimento sanzionatorio, è stato evidenziato come l’informativa predisposta dalla Società (e resa disponibile ai propri dipendenti mediante affissione alla bacheca aziendale), fosse del tutto inidonea a rappresentare compiutamente i trattamenti realizzati mediante il sistema di geolocalizzazione.

Diversamente da quanto ritenuto infatti, l’aspetto relativo alla identificabilità diretta dei conducenti dei veicoli geolocalizzati non rappresenta l’unico elemento di criticità rilevato, essendo al contrario emersi svariati elementi di difformità rispetto alla disciplina in materia di protezione dati personali.

Giova comunque chiarire che, alla luce della definizione di “dato personale” (“qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”: art. 4, n. 1 del Regolamento), l’associazione del dispositivo al numero di targa del veicolo, anche nel caso in cui la guida dello stesso sia in concreto affidata ad autisti diversi che si avvicendano, consente di identificare il guidatore del mezzo attraverso l’associazione con altre informazioni (ad esempio i documenti relativi ai turni di servizio). (Sullo specifico aspetto si vedano i provvedimenti n. 396 del 28/06/2018, doc. web n. 9023246 e n. 247 del 24/05/2017, doc. web n. 6495708).

Nel caso di specie, tuttavia, la Società ha in diverse occasioni evidenziato che “di norma a ognuno [degli autisti] viene assegnato lo stesso automezzo” e che “i dati rilevati sono riferibili al dipendente utilizzatore solo mentre presta l’attività lavorativa. L’associazione avviene tramite l’interfacciamento del sistema dei tachigrafi di nuova generazione utilizzati con la Carta tachigrafica personale in dotazione agli autisti e il sistema WAY” (pag. 3 e 4 del verbale del 21/06/2022, nonché nota del 09/02/2022).

In contraddizione con quanto sopra riportato, la Società, nelle memorie difensive, ha invece dichiarato di non aver attivato il sistema di interfacciamento e, quindi, di essersi dotata di un database da interrogare che consente di risalire all’identità del conducente, solo al verificarsi di eventi anomali, circostanza quest’ultima che non è stata in alcun modo dimostrata durante l’istruttoria o nel corso dell’accertamento ispettivo.

Anche l’ulteriore argomentazione addotta, secondo cui l’inserimento nel sistema di un nominativo è condizione necessaria per il suo corretto funzionamento, non ha avuto una rispondenza documentale all’esito dell’istruttoria svolta presso Way s.r.l. ( atti del 24/10/2022).

In ogni caso, a prescindere dallo specifico aspetto della identificabilità diretta dei conducenti dei veicoli geolocalizzati, l’informativa presenta numerose incongruenze e refusi che rivelano chiaramente come la stessa non corrisponda ai trattamenti effettivamente posti in essere. Si vedano, ad esempio, i richiami ad Astral S.p.A. come soggetto presso cui i dati sono raccolti (punto 2 dell’informativa), a “mansioni di sorveglianza del patrimonio aziendale” e di “accesso ai sistemi di registrazione”, a tempi di conservazione dei dati indicati in 18 senza ulteriore specificazione (punto 4), all’indicazione della stessa Autotrasporti Cuccu Riccardo srl come “Responsabile esterno dei dati” (punto 5).

Si aggiunge, inoltre, che l’informativa non rappresenta compiutamente le modalità del trattamento effettuato mediante il sistema di geolocalizzazione, tra cui ad esempio la circostanza che i dati sono rilevati in maniera continuativa.

Si legge, inoltre, che “l’identificazione del conducente avviene (…) attraverso sistema satellitare RFID che riconosce tramite badge aziendali l’ID pseudonimizzato dell’utilizzatore”, mentre risulta accertato, dall’esame della documentazione acquisita nel corso dell’istruttoria, che il sistema di geolocalizzazione in uso consente l’acquisizione dei dati di localizzazione, di telemetria e di altra natura “mediante apparati di bordo provvisti di modem GSM/GPRS dotati di SIM Card e ricevitore GPS” (contratto sottoscritto con TIM e con Way relativa al servizio Tim Your way).

Considerato che, nell’ambito del rapporto di lavoro, l’obbligo di informare il dipendente è espressione del dovere di correttezza di cui all’art. 5, par. 1, lett. a) del Regolamento, deve confermarsi l’illiceità del trattamento realizzato mediante l’informativa inidonea, in violazione degli artt. 5, par. 1, lett. a) e 13 del Regolamento.   

4.2. Violazione dell’art. 5, par. 1, lett. a), c) ed e), e 88 del Regolamento.

Alla luce delle risultanze istruttorie svolte, è emerso che il sistema di geolocalizzazione in uso presso la Società è stato installato per finalità di tutela dei beni aziendali, di sicurezza sul lavoro e per esigenze di natura organizzativa e produttiva, così come indicato nell’istanza di autorizzazione rivolta all’ITL di Cagliari-Oristano.

Come è stato accertato nel corso dell’istruttoria, le concrete modalità di funzionamento del sistema tecnologico utilizzato consentono alla Società, tramite la piattaforma web messa a disposizione di Way s.r.l., di acquisire informazioni relative alla posizione del veicolo, al suo stato (se cioè acceso o spento), alla telemetria e, indirettamente, anche all’attività degli autisti.

Tali informazioni vengono acquisite dal sistema in modo continuativo, seppur differite di 3/5 minuti e comprendono anche le pause dell’attività lavorativa; esse sono conservate per un periodo di 180 giorni.

Ciò posto, si osserva che tali modalità di trattamento risultano eccedenti e non proporzionate rispetto agli scopi e alle finalità dichiarate, che possono essere legittimamente perseguite mediante il trattamento di informazioni più limitate.

In particolare, la raccolta delle informazioni particolareggiate (tra cui la rilevazione della posizione anche durante la pausa dell’attività lavorativa) risulta idonea ad effettuare un  monitoraggio continuo sull’attività dei dipendenti in violazione del principio di minimizzazione dei dati (art. 5, par. 1., lett. c) del Regolamento) che, invece, richiede che i dati raccolti siano “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”. Tra l’altro, il Garante ha spesso ribadito che la posizione del veicolo di regola non dovrebbe essere monitorata continuativamente dal titolare del trattamento, ma solo quando ciò si renda necessario per il conseguimento delle finalità legittimamente perseguite (v. provv. n. 396 del 28/06/2018, doc web n. 9023246).

Allo stesso modo, la conservazione dei dati raccolti per un esteso periodo di tempo (pari a 180 giorni) non è conforme ai principi di minimizzazione e di limitazione della conservazione (art. 5, par. 1, lett. c) ed e), del Regolamento).

Infine, deve rilevarsi che le specifiche funzionalità del sistema di geolocalizzazione sopra descritte non sono conformi alle specifiche garanzie previste dall’autorizzazione rilasciata dall’ITL di Cagliari Oristano il 19/05/2021, in particolare per ciò che concerne alla rilevazione non continuativa del veicolo geolocalizzato, all’anonimizzazione dei dati raccolti, all’adozione di soluzioni tecnologiche che impediscano “l’eventuale trattamento di dati ultronei, non pertinenti o eccedenti le finalità perseguite dal titolare”.

Il trattamento è stato quindi realizzato in difformità a quanto previsto dal provvedimento autorizzatorio e, pertanto, risulta contrario al principio di liceità del trattamento (art. 5, par. 1, lett. a), del Regolamento) in relazione all’art. 114 del Codice e dell’art. 88 del Regolamento.

Per quanto sopra, si rileva l’illiceità del trattamento effettuato, in quanto realizzato in violazione degli artt. 5, par. 1, lett. a), c) ed e) e 88 del Regolamento e dell’art. 114 del Codice.

4.3. Violazione dell’art. 157 del Codice.

Deve, inoltre, tenersi conto che a fronte della richiesta di informazione formulata dall’Autorità ai sensi dell’art. 157 del Codice (nota del 25/05/2022), non perveniva alcun riscontro nei termini indicati, nonostante la stessa fosse stata regolarmente notificata all’indirizzo pec della Società.

La Società, informata anche delle conseguenze derivanti dal mancato riscontro, scientemente ometteva di fornire le informazioni ulteriori, che erano state formulate ai fini della valutazione complessiva della vicenda oggetto di reclamo. Come, infatti, la stessa ha dichiarato nel corso dell’accertamento ispettivo, riteneva non necessario rispondere all’invito dell’Autorità.

Tale condotta ha reso necessario un supplemento istruttorio che è stato delegato al Nucleo tutela privacy della Guardia di finanza.

Considerato che le argomentazioni addotte non sono idonee ad escludere la responsabilità della Società, deve confermarsi la violazione dell’art. 157 del Codice.

5. Conclusioni: dichiarazione di illiceità del trattamento.  Provvedimenti correttivi ex art. 58, par. 2, del Regolamento.

Per i suesposti motivi, l’Autorità ritiene che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro, con riferimento a tali profili, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati personali effettuato da Autotrasporti Cuccu Riccardo S.r.l. risulta illecito, nei termini su esposti, in quanto posto in essere in violazione degli artt. 5, par. 1, lett. a), c), e), 13, 88 del Regolamento, 114 e 157 del Codice.

Visti i poteri correttivi attribuiti dall’art. 58, par. 2, del Regolamento, alla luce delle circostanze del caso concreto, si ritiene necessario prescrivere le seguenti misure correttive:

- predisporre un’informativa idonea a rappresentare compiutamente i trattamenti realizzati mediante il sistema di geolocalizzazione;

- conformare il trattamento alle garanzie prescritte con il provvedimento  autorizzatorio dell’ITL di Cagliari Oristano, tenuto conto dei principi di minimizzazione e di limitazione della conservazione dei dati in relazione alle finalità in concreto da perseguire.

Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

All’esito del procedimento risulta che Autotrasporti Cuccu Riccardo S.r.l. ha violato gli artt. 5, par. 1, lett. a), c) ed e), 13, 88 del Regolamento, 114 e 157 del Codice. Per la violazione delle predette disposizioni è prevista l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83 del Regolamento.

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83 del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. L. 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali posto in essere da Autotrasporti Cuccu Riccardo S.r.l. di cui è stata accertata l’illiceità, nei termini sopra esposti.

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento che prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini dell’ applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

a) in relazione alla natura e gravità della violazione, è stata considerata rilevante la natura della violazione che ha riguardato i principi generali e gli obblighi del titolare del trattamento; in relazione alla durata della violazione, è stato considerato che il trattamento è iniziato nel 2021 ed è tuttora in corso; è stato altresì considerato che il trattamento ha riguardato, oltre al reclamante, anche altri interessati riconducibili ai veicoli oggetto di geolocalizzazione (circa 50);

b) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare, è stata presa in considerazione la condotta della Società e il grado di responsabilità della stessa che non si è conformata alla disciplina in materia di protezione dei dati, relativamente a una pluralità di disposizioni riguardanti anche i principi generali del trattamento;

c) è stata considerata favorevolmente l’assenza di precedenti violazioni pertinenti.

Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base al volume d’affari della Società, di cui al bilancio di esercizio per l’anno 2023. Da ultimo si tiene conto dell’entità delle sanzioni irrogate in casi analoghi.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Autotrasporti Cuccu Riccardo s.r.l. la sanzione amministrativa del pagamento di una somma pari ad euro 50.000,00 (cinquantamila).   
In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l’ordinanza ingiunzione sul sito internet del Garante. Ciò in considerazione della condotta particolarmente lesiva dei diritti degli interessati, avvenuta in violazione dei principi generali in materia di protezione dei dati personali.

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, rileva l’illiceità del trattamento effettuato da Autotrasporti Cuccu Riccardo s.r.l. in persona del legale rappresentante pro tempore, con sede legale in Elmas (CA), Via delle Miniere n. 22 P.I. 02661390928, per la violazione degli artt. 5, par. 1, lett. a), c), e), 13, 88 del Regolamento, 114 e 157 del Codice;                                

ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, prescrive alla Società di conformarsi, entro 60 giorni dalla data di notifica del presente provvedimento, alle prescrizioni formulate al par. 5 della presente decisione, richiedendo al contempo di fornire, entro il predetto termine, un riscontro adeguatamente motivato ai sensi dell’art. 157 del Codice; l’eventuale mancato riscontro può comportare l'applicazione della sanzione amministrativa pecuniaria prevista dall'art. 83, par. 5, lett. e) del Regolamento; 

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento alla medesima Società di pagare la somma di euro 50.000,00 (cinquantamila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

quindi alla medesima Società di pagare la predetta somma di euro 50.000,00 (cinquantamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981.

Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento - sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata entro il termine di cui all'art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/20129, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;

ai sensi dell’art. 154-bis, comma 3, del Codice e dell’art. 37 del Regolamento del Garante n. 1/20129, la pubblicazione del presente provvedimento sul sito internet del Garante;

ai sensi dell’art. 17 del Regolamento n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 16 gennaio 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei