[doc. web n. 10161545]

Provvedimento del 23 giugno 2025

Registro dei provvedimenti
n. 363 del 23 giugno 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, segretario generale reggente;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presentato ai sensi dell’art. 77 del Regolamento da FAISA Cisal Molise con cui è stata lamentata una violazione della disciplina in materia di protezione dei dati personali da parte di Società Autocooperative Trasporti italiani S.p.A.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

PREMESSO

1. L’istruttoria avviata a seguito della presentazione del reclamo.

Con reclamo presentato in data 19/09/2023, regolarizzato il 30/01/2024, ai sensi dell’art. 77 del Regolamento, la FAISA Cisal Molise, su mandato di alcuni dipendenti della società SATI S.p.A. Società Autocooperative Trasporti italiani (di seguito “la Società”), lamentava un illecito trattamento di dati personali, da parte della Società, consistente nella divulgazione di dati personali, anche di natura sensibile, relativi ai motivi dell’assenza dal lavoro del proprio personale.

In particolare, sulla base di quanto rappresentato, le informazioni relative ai motivi delle assenze, indicate mediante sigle sintetiche (“MAL” in luogo di malattia, “104” in luogo di “permesso assistenza disabili, l. n. 104/1992”, “INF” in luogo di infortunio, “SOSP” in luogo di sospensione/sanzione disciplinare, “PS” in luogo di permesso sindacale, “ric.osp.” in luogo di ricovero ospedaliero, “AVIS” in luogo di donazione sangue) venivano rese disponibili a tutti i dipendenti, mediante affissione delle tabelle dei turni di servizio sulle bacheche aziendali, posizionate presso i depositi aziendali dei mezzi di trasporto utilizzati per la gestione del servizio, nonché tramite l’invio di una e-mail ai dipendenti dell’azienda.

A fronte della richiesta di informazioni formulata dall’Ufficio in data 16/02/2024, la Società forniva riscontro, con la nota del 15/03/2024, con cui rappresentava che:

- “ai sensi e per gli effetti dell’art. 10 della legge n. 138 del 1958, provvede ad affiggere nelle bacheche aziendali e sulle e-mail aziendali i turni di servizio in modo che il personale ne possa prendere conoscenza inserendo sigle o acronimi per informare tutti i lavoratori che l’azienda non adotta alcun trattamento di favore nel predisporre la turnazione. Tali turni con l’inserimento di sigle o acronimi vengono affissi in luoghi non accessibili al pubblico e quindi senza alcuna diffusione a terzi non legittimati”;

- “Tali sigle o acronimi sono state erroneamente interpretate dall’OO.SS. reclamante come idonee a far conoscere dati personali riferiti ai colleghi di lavoro, in realtà esse sono riferite non alle assenze programmate, bensì a quelle sopravvenute che determinano una rimodulazione del turno di servizio settimanale. Il loro inserimento per tale ragione è stato ritenuto necessario in quanto incide sulla gestione del rapporto di lavoro con gli altri dipendenti chiamati ad effettuare le sostituzioni. L’inserimento delle sigle nei turni di servizio è giustificato altresì dall’esigenza di evitare conflitti all’interno dell’azienda in modo da consentire un corretto andamento del servizio”;

- “In ottemperanza alle linee guida in materia di trattamento dei dati personali dei lavoratori per finalità di gestione del rapporto di lavoro del 23 novembre 2006, tali informazioni vengono fornite, così come in precedenza indicato, solo per dare esecuzione ad obblighi derivanti dal contratto di lavoro”.

La Società comunicava inoltre di aver provveduto a eleminare tutte le abbreviazioni e gli acronimi oggetto di reclamo, inserendo la sola lettera A per indicare genericamente l’assenza, “così uniformandosi alle prescrizioni richieste al solo fine di evitare contenziosi”.

2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori ai sensi dell’art. 58, par. 1, lett. d), del Regolamento e dell’art. 166, comma 5, del Codice.

Alla luce delle informazioni raccolte, l’Ufficio provvedeva a notificare alla parte, ai sensi dell’art. 166, comma 5, del Codice, l’atto di avvio del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori, per la violazione degli artt. 5, par. 1, lett. b) e c), e 9, par. 2, lett. b) del Regolamento (nota del 03/06/2024).

La parte, nonostante sia stata informata dall’Ufficio della possibilità di produrre scritti difensivi o documenti in relazione al procedimento sanzionatorio a suo carico, non ha fatto pervenire alcuna osservazione al riguardo.  

3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

All’esito dell’esame della documentazione prodotta e delle dichiarazioni rese all’Autorità nel corso del procedimento, premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice (“Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”), è emerso che la Società, in qualità di titolare del trattamento, ha effettuato un trattamento di dati personali e particolari, riferiti ai propri dipendenti, in violazione della disciplina in materia di protezione dei dati personali, mediante l’affissione nelle bacheche aziendali e l’invio di e-mail dei turni di servizio recanti le specifiche causali delle assenze.

Ciò tenuto anche conto che le sigle sintetiche utilizzate per ciascuna causale d’assenza sono idonee a far conoscere dati personali, anche sensibili, riferiti ai propri dipendenti.

In via generale, occorre considerare che, in base alla disciplina in materia di protezione dei dati personali, il datore di lavoro può trattare i dati personali dei propri dipendenti, anche relativi a categorie particolari di dati (tra cui sono ricompresi i dati relativi alla salute e quelli relativi all’appartenenza sindacale, art. 9, par. 1, Regolamento), se il trattamento è necessario per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti da leggi, dalla normativa comunitaria, da regolamenti o da contratti collettivi (artt. 6, par. 1, lett. c), 9, par. 2, lett. b) e 4; 88 del Regolamento).

In ogni caso, il titolare del trattamento è tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c), del Regolamento).

Alla luce di quanto sopra, si osserva preliminarmente che, in base alle dichiarazioni rese dalla Società nel corso del procedimento, risulta che le tabelle recanti i turni di servizio venivano affisse alle bacheche, posizionate presso i depositi aziendali, il cui accesso, benché interdetto all’utenza esterna, è libero per tutto il personale dell’impresa e condivise anche con i dipendenti, mediante l’invio di una e-mail.

Tali circostanze fanno sì che i dati personali in esame sono stati resi disponibili e conoscibili a un ampio numero di soggetti non legittimati a conoscerli, individuato nel personale direttamente coinvolto nel servizio di trasporto, configurandosi così una “comunicazione” illecita di dati personali, ai sensi dell’art. 2, comma 4, del Codice.

Diversamente da quanto ritenuto dalla Società, deve essere chiarito che i dati personali dei dipendenti non possono essere messi a conoscenza di soggetti diversi da coloro che sono parte del rapporto contrattuale e non possono essere trattati da coloro che, ancorché operino presso l’impresa, non siano autorizzati ad accedere a tali dati, in ragione delle mansioni svolte.

Pertanto, tenendo conto delle definizioni di “interessato” e di “terzo” contenute nell’art. 4, par. 1, n. 1 e 10, del Regolamento, i dipendenti addetti al servizio di trasporto non sono certamente legittimati a trattare informazioni di dettaglio sulle assenze dei colleghi (sul punto si vedano anche i provv. n. 341 del 03/07/2014, doc web n. 3325317 e n. 105 del 18/06/2020, doc web n. 9444865 e, in generale, le Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico del 14/06/2007, doc. web n. 1417809).

Si osserva, inoltre, che la disposizione di legge che la Società ha indicato a supporto della correttezza del proprio agire (art. 10 della legge 138 del 1958) prevede unicamente che “Le aziende esercenti devono affiggere i turni di servizio negli uffici, nelle autostazioni, nei depositi e nelle officine in modo che il personale ne possa prendere conoscenza”, nulla riferendo in ordine all’indicazione delle possibili cause di assenza da lavoro. Il trattamento quindi è stato effettuato in assenza di un idoneo presupposto di liceità.

Pertanto, devono confermarsi gli addebiti in capo alla Società in quanto la comunicazione delle informazioni relative ai motivi delle assenze da lavoro è avvenuta al difuori delle specifiche competenze e degli obblighi sanciti dalla normativa e, trattandosi di categorie particolari di dati, è stata effettuata in violazione dell’art. 9 del Regolamento.

In particolare, le operazioni di trattamento sopra descritte risultano effettuate in violazione dei principi di minimizzazione dei dati di cui all’art. 5, par. 1, lett. c), del Regolamento, in quanto le informazioni sulle cause delle assenze da lavoro non risultano necessarie a garantire il regolare avvicendamento e la programmazione dei turni di lavoro.

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ai sensi dell’art. 58, par. 2, del Regolamento.

Per i suesposti motivi l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati cd. particolari effettuato dalla Società, consistente specificamente nella comunicazione di dati relativi alle cause dell’assenza da lavoro, risulta illecito, in quanto avvenuto in assenza di un idoneo presupposto di liceità di cui all’art. 9, par. 2, del Regolamento e in violazione dei principi base dell’ordinamento.

Considerato che la Società ha comunicato, nel corso del procedimento, di aver modificato le tabelle con i turni di servizio, inserendo unicamente l’assenza di ciascun dipendente, la condotta ha esaurito i suoi effetti e non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie.

All’esito del procedimento risulta accertato che la società ha violatogli artt. 5, par. 1, lett. c) e 9, par. 2, del Regolamento.

La violazione delle disposizioni richiamate comporta l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 5, lett. a), del Regolamento.
Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento che prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

- con riferimento alla natura, gravità e durata della violazione, deve considerarsi rilevante la violazione in esame avendo riguardato la comunicazione a terzi di dati rientranti nella cd. categorie particolari;

- con riferimento al grado di responsabilità del titolare del trattamento deve considerarsi che, nello svolgimento dei propri compiti, la Società non ha tenuto conto delle indicazioni da tempo fornite dall’Autorità ai datori pubblici e privati con le Linee guida sopra richiamate e con numerose decisioni su singoli casi;

- l’assenza di precedenti violazioni pertinenti commesse dal titolare;

- la circostanza che la Società si è comunque attivata per modificare la prassi aziendale e ha collaborato con l’Autorità nel corso dell’istruttoria del presente procedimento.

Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base all volume d’affari relativo al bilancio 2023.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Società Autocooperative Trasporti Italiani S.p.A. la sanzione amministrativa del pagamento di una somma pari a euro 10.000,00 (diecimila).

In tale quadro si ritiene, altresì, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l’ordinanza ingiunzione sul sito internet del Garante.

Ciò in considerazione in considerazione della tipologia delle violazioni accertate che hanno riguardato i dati cd. particolari.

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), e 83 del Regolamento, rileva l’illiceità del trattamento effettuato da Società Autocooperative Trasporti Italiani S.p.A., in persona del legale rappresentante pro tempore, con sede legale in Campobasso, Contrada San Giovanni in Golfo, P.I. 00103170700, per la violazione degli artt. 5, par. 1, lett. c) e 9, par. 2, lett. b), del Regolamento;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento al medesimo di pagare la somma complessiva di euro 10.000,00 (diecimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

alla medesima Società di pagare la predetta somma di euro 10.000,00 (diecimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981.

Si rappresenta che, ai sensi dell’art. 166, comma 8, del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice).

DISPONE

ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16 del regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;

ai sensi dell’art. 154-bis, comma 3, del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019 la pubblicazione del presente provvedimento sul sito internet del Garante;

ai sensi dell’art. 17 del regolamento del Garante n. 1/2019, ricorrendone i presupposti, l’annotazione nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u), del Regolamento delle violazioni e delle misure adottate ai sensi dell’art. 58, par. 2, del medesimo Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 23 giugno 2025   

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE REGGENTE
Filippi