Provvedimento del 4 giugno 2025 [10164251]
Provvedimento del 4 giugno 2025 [10164251]
Condividi[doc. web n. 10164251]
Provvedimento del 4 giugno 2025
Registro dei provvedimenti
n. 323 del 4 giugno 2025
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi segretario generale reggente;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);
VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);
VISTO il reclamo presentato dal sig. XX ai sensi dell’art. 77 del Regolamento con cui è stata lamentata una violazione della disciplina in materia di protezione dei dati personali da parte di Sarim s.r.l.;
ESAMINATA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE il prof. Pasquale Stanzione;
PREMESSO
1. Il reclamo nei confronti della Società e l’avvio dell’attività istruttoria.
Con il reclamo presentato in data 01/07/2022, regolarizzato il 15/11/2022, il sig. XX, tramite i propri legali Avv. XX e Avv. XX, segnalava a questa Autorità di aver presentato un’istanza di esercizio dei diritti ai sensi dell’art. 15 del Regolamento, nei confronti di Sarim s.r.l. (di seguito “la società”) con cui chiedeva di ricevere “copia delle buste paga del rapporto intercorso per il periodo da gennaio 2019 a gennaio 2021” e di non aver ricevuto alcun riscontro nel termine previsto dall’art. 12, par. 3, del Regolamento.
Con successiva comunicazione dell’11/04/2023, il reclamante rendeva noto a questa Autorità che, a seguito dell’invito ad aderire formulato in data 09/03/2023, la società aveva provveduto a comunicare “solo le buste paga dei periodi da febbraio 2020 a dicembre 2021 anziché da gennaio 2019 e fino a gennaio 2021 (busta paga di fine rapporto)”, con ciò lamentando l’inidoneità del riscontro fornito.
Veniva, pertanto, formulata una richiesta di informazioni nei confronti della Società, ai sensi dell’art. 157 del Codice con cui si chiedeva chiarire di specificare se fossero stati comunicati all’istante tutti i dati e le informazioni oggetto dell’istanza e, in ogni caso, di trasmetterne copia all’Ufficio per consentire di svolgere le opportune valutazioni (nota del 29/05/2023).
La Società, con e-mail del 13/06/2023, rappresentava di aver inviato all’istante tre distinte comunicazioni, datate 7, 12 e 17 aprile 2023, con tutta la documentazione richiesta, inerente i cedolini paga da gennaio 2019 a novembre 2021 compresa la busta paga di fine rapporto.
2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.
Alla luce di quanto emergeva dall’istruttoria, l’Ufficio provvedeva a notificare alla società, con nota del 18/09/2023, l’atto di avvio del procedimento, ai sensi dell’art. 166, comma 5, del Codice in relazione alla violazione degli artt. 12, par. 3, e 15 del Regolamento.
La Società inviava in data 18/10/2023 e 17/11/2023 i propri scritti difensivi, ai sensi dell’art. 18 della legge n. 689/1981, con cui forniva le proprie osservazioni rispetto a quanto sollevato con l’atto di notifica delle violazioni, rappresentando che:
- “a partire da febbraio 2019 l’azienda ha messo a disposizione di tutti i dipendenti un sistema informatico chiamato webdesk in forza del quale gli stessi dipendenti, previamente dotati delle credenziali di accesso, così come avvenuto con l’odierno reclamante, possono prendere visione di comunicazioni, nonché delle buste paga e di ogni altro documento riconducile agli emolumenti stipendiali che, a diverso titolo, il datore di lavoro corrisponde”;
- inoltre “nel corso del medesimo anno 2019, il responsabile di cantiere (…), al fine di garantire nella prima fase la corretta acquisizione delle buste paga da parte dei lavoratori, provvedeva mensilmente anche alla consegna cartacea in copia cortesia delle stesse buste paga, così come avvenuto con l’odierno reclamante”;
- “il predetto sistema prevede tra l’altro che il dipendente possa accedere dal momento della sottoscrizione del contratto di lavoro fino ai cinque anni successivi dopo la cessione del rapporto dello stesso, il che significa che ancora oggi il reclamante potrebbe scaricare direttamente le proprie buste paga dalla suddetta piattaforma”;
- “ogni mese ciascun lavoratore riceve una notifica via mail con cui gli viene comunicato il caricamento in piattaforma della busta paga del mese di riferimento”;
- “premesso che Sarim non ha alcuna possibilità di accedere all’area riservatale (…), risulta a Sarim che [il reclamante] ha regolarmente effettuato l’accesso e preso visione di tutte le buste paga relative alla sua posizione, come emerge dal report di lettura estratto dal portale webdesk (…). Emerge dunque che il Sig. XX non solo poteva accedere, ma che lo stesso ha effettivamente proceduto ad accedere alla piattaforma e a scaricare le buste paga relative alla propria posizione lavorativa, sicché pare che il presente reclamo sia stato depositato solo quale forma di ritorsione del dipendente a seguito della cessazione del rapporto”;
- “quanto sopra è confermato anche dal fatto che il [reclamante] inoltrava con PEC del 9 febbraio 2022, per il tramite dell’Avv. (…), istanza ex art. 15/22 del GDPR, con richiesta di copia di tutte le buste paga da gennaio 2019 a gennaio 2021, che veniva riscontrata per le vie brevi dall’Ufficio del Personale rammentando al reclamante e al suo legale la possibilità di acquisire in totale autonomia le buste paga, accedendo alla citata piattaforma webdesk”;
- “anche in ragione della complessa attività da espletare Sarim S.r.l. provvedeva, con l’invio di tre distinte PEC, a inoltrare quanto richiesto (…). Al riguardo, si precisa che la richiesta è stata evasa in circa un mese proprio perché Sarim non ha accesso diretto alla cennata piattaforma webdesk e ha dovuto chiedere al proprio consulente del lavoro di reperire la documentazione dallo stesso formata nell’espletamento dell’incarico e di inviarla all’interessato”.
In data 15/04/2025, veniva svolta l’audizione della parte, richiesta ai sensi dell’art. 18 della legge n. 689/1981, nel corso della quale la Società ha ribadito le osservazioni già formulate con le memorie difensive.
3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.
All’esito dell’esame della documentazione prodotta e delle dichiarazioni rese all’Autorità nel corso del procedimento, premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice (“Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”), è emerso che la società, in qualità di titolare del trattamento, ha effettuato operazioni di trattamento riferite al reclamante che non risultano conformi alla disciplina in materia di protezione dei dati personali.
In particolare, in base agli elementi acquisiti nel corso dell’attività istruttoria, nonché delle successive valutazioni svolte dall’Ufficio, risulta accertato che, a fronte dell’istanza di esercizio dei diritti avanzata dal reclamante, la Società non ha fornito riscontro nei termini indicati dalla normativa, provvedendo a consegnare la documentazione richiesta, solo a seguito dell’avvio dell’istruttoria da parte dell’Autorità.
Considerato, pertanto, che l’accesso alla documentazione da parte dell’istante è stato reso possibile solo circa 14 mesi dopo la formulazione dell’istanza, non può accogliersi l’argomentazione della Società secondo la quale non sarebbe ravvisabile, al caso di specie, la violazione dell’art. 15 del Regolamento.
In particolare, non possono trovare accoglimento le argomentazioni addotte dalla parte in base alle quali il reclamante, in quanto ex dipendente della Società, era a conoscenza del sistema di consultazione on line delle proprie buste paga tanto che, nel corso del rapporto di lavoro, le aveva consultate e scaricate.
Tale giustificazione non tiene infatti conto della ratio della norma e della finalità del diritto di accesso che ha lo scopo, in primo luogo, di consentire all’interessato di avere il controllo sui dati personali che lo riguardano e, in particolare, di “essere consapevole del trattamento e verificarne la liceità” (v. Cons. 63).
Su questo punto, l’EDPB ha infatti chiarito che “Il diritto di accesso è quindi concepito per consentire alle persone fisiche di avere il controllo dei dati personali che le riguardano, in quanto permette loro di "essere consapevoli del trattamento e verificarne la liceità”. Più specificamente il diritto di accesso intende far sì che l'interessato possa comprendere il modo in cui sono trattati i suoi dati personali nonché le conseguenze di tale trattamento, e possa verificare l'esattezza dei dati trattati senza dover giustificare le proprie intenzioni. In altre parole l'obiettivo del diritto di accesso consiste nel fornire alle persone informazioni sufficienti, trasparenti e facilmente accessibili in merito al trattamento dei dati, indipendentemente dalle tecnologie utilizzate, e nel metterle in grado di verificare aspetti diversi di una specifica attività di trattamento ai sensi del GDPR (ad esempio liceità ed esattezza)” (si veda Linee guida n. 1/2022 sui diritti degli interessati - diritto di accesso”, adottato dall’EDPB il 28/03/2023, cap. 2.1, par. 10).
Quanto, invece, alla tardività del riscontro reso, deve richiamarsi in primo luogo la disposizione di cui all’art. 12, par. 3 del Regolamento, in base alla quale “Il titolare del trattamento fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 12 a 15 senza ingiustificato ritardo e, comunque, al più tardi, entro un mese dal ricevimento della richiesta stessa”.
Anche in questo caso, le Linee guida sul diritto di accesso chiariscono che “In determinate circostanze il titolare del trattamento può prorogare, se necessario, il termine per rispondere a una richiesta di accesso di altri due mesi, tenendo conto della complessità e del numero delle richieste. Occorre sottolineare che questa possibilità è un’esenzione dalla regola generale e non se ne dovrebbe abusare. Se i titolari del trattamento sono spesso costretti a prorogare il termine, ciò può costituire un indizio della necessità di sviluppare ulteriormente le procedure generali per gestire le richieste” (par. 5.3, n. 162).
La Società, quindi, tenuto conto della difficoltà di reperire i dati relativi alle buste paga dell’interessato, non ha provveduto a informare l’interessato del ritardo e dei motivi dell’inottemperanza, avvalendosi della possibilità di prorogare il termine di 30 giorni.
Rispetto ai mezzi con cui il titolare del trattamento deve fornire l’accesso, deve comunque tenersi conto che “il titolare del trattamento adotta misure appropriate per fornire all’interessato (…) le comunicazioni di cui all’articolo 15, relative al trattamento, in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro” (art. 12, par. 1, del Regolamento).
Per cui, sebbene le Linee guida sul diritto di accesso prevedano la possibilità che il titolare del trattamento fornisca le informazioni di cui all’art. 15 del Regolamento, mettendo a disposizione degli interessati “strumenti self-service”, ciò al fine di agevolare una gestione efficiente e tempestiva delle richieste di accesso degli interessati, consentendo altresì al titolare del trattamento di inserire il meccanismo di verifica nello strumento self-service” (v. Linee guida cit., par. 137 e ss.), si osserva che nel caso di specie che la Società non ha prodotto nessun elemento utile a dimostrare che l’interessato era stato informato della possibilità di recuperare le informazioni relative al rapporto di lavoro attraverso l’accesso al portale webdesk.
Alla luce di quanto sopra, si conferma pertanto la violazione in capo alla Società delle disposizioni di cui agli artt. 12, par. 3, e 15 del Regolamento.
4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ai sensi dell’art. 58, par. 2, del Regolamento.
Alla luce di quanto complessivamente rilevato, l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Il trattamento posto in essere dalla Società, con riferimento al mancato riscontro all’istanza di accesso presentata dal reclamante, risulta infatti illecito, nei termini su esposti, in relazione agli artt. 12, par. 3, e 15 del Regolamento.
Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2, del Regolamento si prende atto della circostanza che la Società, nel corso del procedimento, ha provveduto ad aderire all’istanza di esercizio dei diritti dell’interessato.
[OMISSIS]
TUTTO CIÒ PREMESSO, IL GARANTE
ai sensi degli artt. 57, par. 1, lett. f) e 83, del Regolamento, rileva l’illiceità del trattamento effettuato da Sarim s.r.l. nei termini di cui in motivazione, per la violazione degli artt. 12, par. 3, e 15 del Regolamento;
[OMISSIS]
DISPONE
ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web dell’Autorità;
ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.
Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.
Roma, 4 giugno 2025
IL PRESIDENTE
Stanzione
IL RELATORE
Stanzione
IL SEGRETARIO GENERALE REGGENTE
Filippi
Vedi anche (10)
-
Ordinanza ingiunzione nei confronti di Stay Over s.r.l. - 21 luglio 2022 [9809466]
-
Ordinanza ingiunzione nei confronti di FCA Italy S.p.A. - 15 settembre 2022 [9827119]
-
Newsletter del 21/04/2017 - Maggiori garanzie per i dati personali trattati a fini di polizia
-
Ordinanza ingiunzione nei confronti di Alegar s.n.c. - 6 ottobre 2022 [9827285]
-
Provvedimento correttivo e sanzionatorio nei confronti di TIM S.p.A. - 9 gennaio 2020 [9263597]