[doc. web n. 10174501]

Provvedimento dell'11 settembre 2025

Registro dei provvedimenti
n. 490 dell'11 settembre 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Angelo Fanizza, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presentato ai sensi dell’art. 77 del Regolamento dal sig. XX con cui è stata lamentata una violazione della disciplina in materia di protezione dei dati personali da parte di Silgan Dispensing Systems Vicenza s.r.l.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. L’istruttoria avviata a seguito della presentazione del reclamo.

Con reclamo presentato in data 16/06/2023, regolarizzato il 03/10/2023, ai sensi dell’art. 77 del Regolamento, il sig. XX lamentava una violazione della disciplina in materia di trattamento dei dati personali da parte di Silgan Dispensing Systems Vicenza s.r.l. (di seguito “la Società”).

In particolare, veniva segnalato che “In data 06.03.2023, presso la sede della ditta, durante lo svolgimento delle ordinarie mansioni di lavoro, il reclamante ha eseguito l’accesso al sistema informatico intranet dell’azienda, utilizzando le proprie credenziali personali da un computer aziendale utilizzato in modo promiscuo anche da altri dipendenti (pc del reparto). Nel corso della navigazione online è entrato in pagine in cui era possibile visionare dati strettamente personali di molteplici dipendenti, tra cui erano visibili le distinte dei bonifici relative a trattenute, eseguite dalla società, per prestiti e pignoramenti a carico dei dipendenti della società. In particolare, risultavano visionabili le distinte dei bonifici corrisposti dalla società a titolo di cessioni del V della retribuzione relativi a molti dipendenti. Erano pubblicate pagine da cui risultava per ciascun dipendente (…) la somma trattenuta dalla retribuzione, con indicazione del creditore e della relativa banca beneficiaria della trattenuta”.

Alla luce di quanto documentato nel reclamo, l’Ufficio formulava una richiesta di informazioni, ai sensi dell’art. 157 del Codice, al fine di conoscere le specifiche circostanze che avevano reso possibile la messa a disposizione delle informazioni, nonché il numero di interessati coinvolti (nota del 13/02/2024).

La Società forniva riscontro, con la nota del 13/03/2024, rappresentando che:

- “L’11 marzo 2023 (…) il delegato sindacale di Filtem CGIL informava l’HR Manager di aver appreso che in una cartella del server aziendale accessibile anche ai lavoratori di reparto, erano stati rinvenuti alcuni documenti contenenti dati personali (…)”;

- “l’HR manager informava immediatamente della segnalazione ricevuta il Plant manager (…), e il collega IT (…). Immediatamente la società si attivava per identificare la cartella contenente i suddetti documenti, rimuovere i dati e non renderli più accessibili ai lavoratori. Alle ore 05:01 del giorno 12 marzo 2023 i file contenenti i suddetti documenti venivano rimossi dal server”,

- “Una volta identificata la problematica e rimossi i documenti, la Società ha effettuato le debite verifiche interne, all’esito delle quali è emerso che l’accesso ai documenti da parte del [reclamante] è stato reso possibile a causa di un mero errore umano”;

- “la cartella nella quale il reclamante ha rinvenuto i documenti, infatti, era una cartella operativa di condivisione e scambio di dati e informazioni tecniche, funzionali all’operatività della società. Per mero errore detta cartella è stata utilizzata dal personale dei dipartimenti HR e Finance della società per esaminare i documenti al fine di permettere alla funzione Finance di comunicare al fornitore di servizi di payroll i dati richiesti per riconciliare alcune informazioni necessarie per l’assolvimento del suo incarico (...)”;

- “In particolare, in data 9 marzo 2023, avendo ricevuto solleciti di pagamento da parte di alcuni enti e dovendo dare al suddetto fornitore di servizi payroll dettagli non in proprio possesso, la funzione Finance della società chiedeva supporto al personale della funzione HR che, per ruolo e mansioni, era in possesso delle informazioni richieste. In tale circostanza (…), i documenti sono stati caricati per errore nella suddetta cartella condivisa”.

In merito alle azioni intraprese, la Società comunicava che, appena aveva avuto contezza della problematica, la cartella era stata rimossa e i documenti contenenti i dati personali dei dipendenti sono stati resi non più accessibili.

Inoltre, comunicava di aver provveduto a modificare i modelli utilizzati per la “Distinta bonifici per trattenute prestiti/pignoramenti” e “Distinta riepilogo trattenute prestiti/pignoramenti”, eliminando dai medesimi qualsiasi riferimento al nominativo dei relativi dipendenti interessati”.

2. L’avvio del procedimento.

Alla luce delle informazioni raccolte, l’Ufficio provvedeva a notificare alla parte, ai sensi dell’art. 166, comma 5, del Codice, l’atto di avvio del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori, per la violazione degli artt. 5, par. 1, lett. f), e 24 del Regolamento (nota del 04/07/2024).
La Società inviava i propri scritti difensivi ai sensi dell’art. 18 della legge n. 689/1981, con cui sostanzialmente ribadiva le circostanze di fatto che avevano reso possibile l’indebito accesso ai dati in questione.

In particolare, la Società osservava che:

- “Nel periodo in cui si è verificato l’accesso da parte del [reclamante] era in corso un’interlocuzione continua tra la Funzione HR e la Funzione Finance per la riconciliazione di alcune informazioni che la Funzione Finance aveva necessità di fornire al nuovo fornitore di servizi di payroll. Nel corso di tale interlocuzione (…) i documenti sono stati erroneamente caricati nella sottocartella denominata “SEPA” creata nella cartella di condivisione residente sui server della Società, (…)”;

- “i documenti sono rimasti disponibili nella suddetta cartella per un periodo di tempo molto limitato e sono stati rimossi immediatamente, appena la Società ne ha avuto contezza. Inoltre, si evidenzia che, all’esito delle verifiche effettuate, è risultato che detti documenti non contenevano alcun dato particolare o dati relativi a condanne penali e reati dei relativi interessati”;

- la Società ritiene rilevante e chiede che questa Autorità tenga debito conto anche dell’impegno profuso nell’avviare attività di privacy gap analysis e programmare ulteriori eventi di formazione con l’intento di garantire il continuo e costante miglioramento dei processi aziendali comportanti trattamento di dati personali e innalzare ulteriormente i relativi livelli di conformità alla normativa sul trattamento dei dati personali applicabile”.

3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

All’esito dell’esame della documentazione prodotta e delle dichiarazioni rese all’Autorità nel corso del procedimento, premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice (“Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”), risulta accertato che la Società, in qualità di titolare del trattamento, ha effettuato ha effettuato un trattamento di dati personali, riferito ai propri dipendenti, che risulta non conforme alla disciplina in materia di protezione dei dati personali.

Nel merito, è emerso che la Società ha reso disponibile, tramite una cartella condivisa residente sul server aziendale, i dati personali relativi a circa 20 interessati (propri dipendenti), consistenti in documenti recanti le distinte dei bonifici corrisposti dalla Società a titolo di cessioni del V della retribuzione, delle trattenute per prestiti e/o pignoramenti, con l’indicazione del dipendente interessato e della banca beneficiaria.

I dati in questione sono stati resi disponibili a terzi non autorizzati, per un periodo di circa cinque giorni, ovvero dal 6 marzo (giorno in cui il reclamante ha visualizzato i documenti sul pc utilizzato in azienda) fino all’11 marzo, quando la Società, informata dell’accaduto, ha rimosso la cartella dalla posizione condivisa sul server.

In base a quanto dichiarato nel corso dell’istruttoria, le verifiche eseguite immediatamente dopo l’accaduto hanno evidenziato come la divulgazione accidentale delle informazioni sia stata causata da un mero errore umano a cui si è prontamente posto rimedio.

Tutto quanto sopra rappresentato deve essere valutato alla luce delle disposizioni del Regolamento, in particolare di quanto stabilito all’art. 5, par. 1, lett. f), del Regolamento, in base al quale i dati personali debbano essere trattati “in maniera tale da garantire un’adeguata sicurezza, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (principio di integrità e riservatezza)”.

Il titolare del trattamento, in base al principio di accountability, è competente per il rispetto dei principi fissati al comma 1 dell’art. 5 e deve essere in grado di comprovarlo.

Conformemente a quanto sopra, l’art. 24 del Regolamento stabilisce che “il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento”. “Tali misure dovrebbero tener conto, tra l’altro, del rischio per i diritti e le libertà delle persone fisiche” (considerando n. 74 del Regolamento).

Ancora, “la tutela dei diritti e delle libertà delle persone fisiche relativamente al trattamento dei dati personali richiede l'adozione di misure tecniche e organizzative adeguate per garantire il rispetto delle disposizioni del presente regolamento. Al fine di poter dimostrare la conformità con il presente regolamento, il titolare del trattamento dovrebbe adottare politiche interne e attuare misure che soddisfino in particolare i principi della protezione dei dati fin dalla progettazione e della protezione dei dati per impostazione predefinita. Tali misure potrebbero consistere, tra l’altro, nel ridurre al minimo il trattamento dei dati personali […]” (considerando n. 78 del Regolamento).

Le misure che la Società ha implementato, a seguito dell’incidente occorso, evidenziano come, fino a quel momento, i dati dei dipendenti non fossero trattati in modo adeguato a garantire la loro sicurezza.

Ad esempio, la circostanza che i nuovi modelli utilizzati per l’invio alle Banche delle distinte di pagamento non contengano più (ora) i dati identificativi dei dipendenti interessati (nome e cognome), dimostra che tali informazioni fossero non necessarie, rispetto alle finalità da perseguire. 
Ciò in contrasto con l’art. 25 del Regolamento che prevede che il titolare, “sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso […] mette in atto misure tecniche e organizzative adeguate, […], volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati”.

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ai sensi dell’art. 58, par. 2, del Regolamento.

Per i suesposti motivi l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Risulta, pertanto, accertato che la condotta posta in essere dal titolare, con riferimento alla mancata adozione di idonee misure tecniche e organizzative idonee a garantire la riservatezza dei dati dei dipendenti, risulta illecito in relazione agli artt. 5, par. 1, lett. f) e 25 del Regolamento.

Preso tuttavia atto di tutti gli elementi acquisiti nel corso dell’istruttoria, in particolare, tenuto conto del carattere colposo della violazione, dell’assenza di precedenti violazioni pertinenti e della condotta complessivamente tenuta nel corso del procedimento, viste le circostanze in concreto della fattispecie, in particolare delle misure implementate dalla Società per evitare il ripetersi di analoghe situazioni, si ritiene che il caso possa essere qualificato come “violazione minore” ai sensi dell’art. 83, par. 2 e cons. 148 del Regolamento.

Tenuto inoltre conto che, ai sensi del considerando 148 del Regolamento, “in caso di violazione minore o se la sanzione pecuniaria che dovrebbe essere imposta costituisse un onere sproporzionato per una persona fisica, potrebbe essere rivolto un ammonimento anziché imposta una sanzione pecuniaria”, si ritiene sufficiente ammonire il titolare del trattamento ai sensi dell’art. 58, par. 2, lett. b), del Regolamento.

Si rappresenta, inoltre, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), e 83 del Regolamento, rileva l’illiceità del trattamento effettuato da Silgan Dispensing Systems Vicenza s.r.l., in persona del legale rappresentante pro tempore, con sede legale in Romano D’Ezzelino (VI), Via Monte Tomba n. 28, P.I. 00276000247, per la violazione degli artt. 5, par. 1, lett. f) e 25 del Regolamento;

ai sensi dell’art. 58, par. 2, lett. b) del Regolamento ammonisce Silgan Dispensing Systems Vicenza s.r.l., quale titolare del trattamento, per aver effettuato un trattamento di dati personali in violazione della disciplina in materia di protezione dei dati personali;

DISPONE

ai sensi dell’art. 154-bis, comma 3, del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019 la pubblicazione del presente provvedimento sul sito internet del Garante;

ai sensi dell’art. 17 del regolamento del Garante n. 1/2019, ricorrendone i presupposti, l’annotazione nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u), del Regolamento delle violazioni e delle misure adottate ai sensi dell’art. 58, par. 2, del medesimo Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 11 settembre 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Fanizza