Provvedimento dell'11 settembre 2025 [10183903]
Provvedimento dell'11 settembre 2025 [10183903]
Condividi[doc. web n. 10183903]
Provvedimento dell'11 settembre 2025
Registro dei provvedimenti
n. 571 dell'11 settembre 2025
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Angelo Fanizza, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);
VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);
VISTO il reclamo presentato dalla Sig.ra XX nei confronti di Giada FM S.r.l.;
ESAMINATA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE la prof.ssa Ginevra Cerrina Feroni;
PREMESSO
1. Il reclamo nei confronti della Società e l’attività istruttoria.
Con reclamo del 24 giugno 2024, regolarizzato il 20 luglio 2024, la Sig.ra XX ha lamentato presunte violazioni del Regolamento (Ue) 2016/679 (di seguito “Regolamento”) da parte di Giada FM S.r.l. (di seguito, la Società), con particolare riferimento al mancato riscontro all’esercizio del diritto di accesso dell’interessata ai propri dati personali trattati dalla Società nell’ambito del rapporto di lavoro, e segnatamente agli attestati dei corsi di formazione effettuati.
In particolare, con il reclamo è stato lamentato che, con email dell’8 giugno 2024 l’interessata ha richiesto gli “attestati che ho in azienda e copia della certificazione dell’ultima visita medica rilasciata dal dott. […]. Domani in giornata/serata manderò a consegnare divise, chiavi, tessera e tag HACCP, se potete gentilmente lasciarli a chi consegna il tutto” (v. regolarizzazione del 20/7/2024).
La Società, con e-mail del 9 giugno, ha fatto esclusivo riferimento alla riconsegna dei beni aziendali da effettuarsi a seguito delle dimissioni della reclamante e non ha fornito alcuna risposta alla richiesta riferita agli attestati e alla certificazione medica.
Con successiva email dell’11 giugno 2024, la reclamante ha ribadito la richiesta di ricevere gli attestati di formazione conseguiti (“Con la presente per chiedere nuovamente se sono pronti gli attestati in modo da riuscire ad organizzarmi con il lavoro per passare a prenderli”).
La Società, sempre in data 11 giugno 2024, ha dapprima ribadito la richiesta di riconsegna dei beni aziendali (in particolare le chiavi del locale) e, con specifico riferimento agli attestati dei corsi di formazione, ha risposto di non voler dare corso alla richiesta in quanto “trattasi di documentazione afferente attività svolta a cura e spese dell'Azienda e, pertanto, la stessa non è tenuta alla sua consegna” (v. regolarizzazione del 20/7/2024).
Ciò posto, con il reclamo è stato chiesto all’Autorità di adottare “ogni opportuno provvedimento”.
L’Autorità ha avviato l’istruttoria preliminare, con nota del 10 dicembre 2024, contenente l’invito ad aderire alle richieste dell’interessata, ai sensi art. 15 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali.
La Società ha fornito riscontro alla richiesta rivolta dall’Ufficio con nota del 17 gennaio 2025, con la quale ha rappresentato che:
la Società “è subentrata a seguito di trasferimento del ramo d’azienda dalla McDonald Development Italy Llc (precedente titolare del punto vendita) nel rapporto di lavoro della [reclamante] a far data dal 01.12.2023 e sino alla sua cessazione, avvenuta per dimissioni della stessa lavoratrice in data 28.05.2024” (riscontro 17/1/2025, p. 1-2);
“dopo le dimissioni la lavoratrice ha chiesto via email e a voce la consegna di alcuni attestati di formazione (tutti conseguiti con il precedente datore di lavoro), oltre a un certificato medico di idoneità rilasciato nell’aprile 2024 dal Medico competente all’esito della visita medica periodica” (riscontro cit., p. 2);
“la dipendente, in tale occasione, si è limitata a chiedere la consegna dei suddetti documenti, non palesando la necessità di accedere ad alcuni dati personali” (riscontro cit., p. 2);
“in merito agli attestati di aggiornamento professionale […] la Società alla data di richiesta della dipendente (11.06.2024) non disponeva di detti documenti. Tale indisponibilità è dimostrata dalla email con cui, in data 12.06.2024, il legale rappresentante della Società […] richiedeva espressamente alla McDonald’s Development Italy LLc l’invio di detta documentazione” (riscontro cit., p. 2);
“per quanto riguarda il certificato medico di idoneità, documento mai più richiesto […] la richiesta è risultata anomala, atteso che la [reclamante] è stata sottoposta a visita da parte del medico competente in data 03.04.2024 […], per legge, il Medico competente è onerato a rilasciare, dopo la visita, copia del certificato medico della visita direttamente al lavoratore che, quindi, entra immediatamente in possesso del documento senza necessità di richiederlo all’Azienda” (riscontro cit., p. 2);
“successivamente alla data del reclamo (24.06.2024) e alla sua integrazione (20.07.2024), la [reclamante] inviava alla [Società] in data 26.08.2024, richiesta di accesso ai dati personali ai sensi dell’art. 15 del Regolamento” (riscontro cit., p. 3);
alla predetta istanza di accesso la Società ha fornito riscontro “in ordine al trattamento, alle finalità, alla conservazione e alla eventuale trasmissione nonché sulla consegna di detti attestati, invitando altresì [la reclamante] a rivolgersi ai suoi precedenti datori di lavoro per ottenere gli attestati dei corsi di formazione effettuati alle loro dipendenze” (riscontro cit., p. 3);
in relazione agli attestati di formazione “si ritiene che il soggetto obbligato al rilascio di detta documentazione è il datore di lavoro che ha fornito la formazione” (riscontro cit., p. 4);
la Società, pertanto, “dichiara di aderire all’invito di adesione spontanea all’istanza di accesso agli atti e, in tal senso, dichiara di aver provveduto in data odierna all’invio [alla reclamante] degli attestati formativi ricevuti dalla McDonald’s Development Italy LLc. […] Inoltre […] la scrivente ha inviato alla reclamante anche la copia per l’azienda del certificato di idoneità rilasciato dal Medico competente a seguito della visita medica sostenuta [dalla reclamante] in data 03.04.2024” (riscontro cit., p. 4).
2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e le deduzioni della Società.
Il 10 marzo 2025, l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione alla Società delle presunte violazioni del Regolamento riscontrate, con riferimento agli artt. 5, par. 1, lett. a), 12 e 15 del Regolamento.
Con le memorie difensive inviate in data 9 aprile 2025, la Società ha rappresentato che:
“Giada FM S.r.l. […] è una giovane società costituita nel giugno 2023 e che ha iniziato l’attività aziendale il 29.11.2023 […]. La Società si occupa di ristorazione veloce e gestisce un unico ristorante, sito in Ventimiglia” (nota 9/4/2025, p. 1);
la reclamante “stata assunta in data 05.06.2017 e ha prestato la sua attività lavorativa presso il predetto punto vendita, da ultimo in qualità di manager […]. [La reclamante] non ha praticamente quasi mai preso servizio, […] avendo lavorato presso la scrivente per un totale di appena 10 giorni effettivi, prima di rassegnare in data 28.05.2024 le dimissioni volontarie”; “nel periodo in cui è stata alle dipendenze di Giada, non ha conseguito alcun tipo di attestato professionale” (nota cit., p. 2);
“Dopo la fine del rapporto, la lavoratrice ha richiesto via e-mail e a voce la consegna di alcuni attestati di formazione professionale conseguiti con il precedente datore di lavoro, nonché il certificato medico di idoneità rilasciato dal Medico competente aziendale nell’aprile 2024, prima del rientro al lavoro, all’esito della visita medica periodica espletata in ottemperanza agli obblighi di sorveglianza sanitaria ex art. 41 D. Lgs. 81/2008. La lavoratrice si è limitata a chiedere detti documenti in modo del tutto informale, senza palesare una richiesta di accesso ai dati personali” (nota cit., p. 2);
“La Società alla data della richiesta via e-mail della [reclamante] dell’11.06.2024 (su cui si basa il reclamo) non disponeva degli attestati della formazione svolta da precedente azienda: infatti, con e-mail del 12.06.2024 il legale rappresentante di Giada ha chiesto alla McDonald’s che le fosse inviata detta documentazione” (nota cit., p. 2);
“Successivamente, la Giada veniva a conoscenza che la [reclamante] già nel giugno 2024 aveva richiesto direttamente alla McDonald’s, tramite la ex-direttrice del ristorante di Ventimiglia, gli attestati di formazione e, quindi, già in data 12.06.2024, come si evince da uno scambio interno di messaggi, ella aveva ottenuto la documentazione richiesta” (nota cit., p. 3);
“In data 26.08.2024, a mezzo pec, la [reclamante] inviava alla [Società] richiesta di accesso ai dati personali ai sensi dell’art. 15 del Regolamento UE n. 679/2016. Successivamente, con pec in data 26.09.2024, la Società riscontrava la richiesta, fornendo le informazioni dettagliate in merito al trattamento dei dati, alla loro finalità, alla loro conservazione, ecc., e la invitava a richiedere la documentazione direttamente a McDonald’s Development Italy Llc., ritenendo che quest’ultima, avendo erogato la formazione di cui agli attestati richiesti, fosse il solo soggetto obbligato all’invio, tanto più nella consapevolezza che detti certificati erano stati già chiesti e ottenuti dalla ex-dipendente proprio dalla suddetta multinazionale” (nota cit., p. 3);
dopo aver ricevuto l’invito ad aderire da parte dell’Autorità “In data 17.01.2025 la Società a mezzo pec inviava quindi alla [reclamante] tutta la documentazione in suo possesso inerente gli attestati di formazione professionale della lavoratrice, che la McDonald’s Development Italy Llc. aveva inviato a sua volta alla Giada” (nota cit., p. 3);
“La [reclamante] ha formulato la prima richiesta di documenti a voce e via e-mail in modo del tutto informale. Se è vero, da un lato, che il Regolamento non prevede alcuna formalità specifica per richiedere l’accesso ai dati, è anche vero, però, che l’istanza dovrebbe possedere, quanto meno, alcuni elementi caratteristici per consentire al destinatario di identificarla in modo chiaro e preciso come, appunto, una richiesta di accesso ai dati” (nota cit., p. 4);
“ricollegando la sua richiesta a problematiche differenti da quelle più strettamente inerenti la privacy, la reclamante, però, ha finito inevitabilmente per ingenerare confusione nella Società” (nota cit., p. 4);
“se è vero, da un lato, che ai sensi dell’art. 2112 c.c. il lavoratore transita da un datore all’altro mantenendo lo status e i diritti acquisiti in precedenza, è anche vero che, nella prassi, possono verificarsi situazioni in cui, a seconda dei casi, il concreto esercizio di tali diritti può rivelarsi difficoltoso”; “Nel caso di specie, tra la McDonald’s Development Italy Llc e la Giada FM S.r.l. nulla era stato stabilito circa le modalità di trasmissione di questo tipo di dati, pertanto quando la reclamante ha chiesto alla Giada la documentazione riguardante i corsi di formazione espletati con il precedente datore, la scrivente si è trovata in difficoltà”; “Per tale motivo la Società, a seguito della richiesta della dipendente, ha dapprima chiesto alla McDonald’s la documentazione (che, lo ricordiamo, inizialmente a giugno 2024 non era ancora in possesso della scrivente […]) e poi, a seguito della formale istanza di accesso ai dati formulata […] solo a fine agosto 2024, ha invitato quest’ultima a chiedere la documentazione direttamente al datore di lavoro che aveva effettivamente erogato la formazione, quale soggetto obbligato al rilascio. La [Società] ha adottato tale risposta nell’intima convinzione che fosse quella più idonea per risolvere la questione nel modo più semplice, diretto ed efficace per la ex-dipendente” (nota cit., p. 5);
“La lavoratrice nella e-mail del 08.06.2024 ha chiesto alla Società l’invio di un certificato medico di idoneità rilasciato dal Medico competente nell’aprile 2024, all’esito di una visita medica periodica. Al riguardo, si significa che: […] tale documento è stato chiesto appena una sola volta dalla lavoratrice (08.06.2024): la richiesta, infatti, non è più stata reiterata né nella successiva e-mail di pochi giorni dopo (11.06.2024), né nell’istanza formale di accesso ai dati presentata il 26.08.2024”; la Società “in ogni caso, a seguito della comunicazione di questa Autorità, in data 17.01.2025 ha inviato alla lavoratrice la copia aziendale del certificato” (nota cit., p. 5-6);
“la scrivente ha iniziato ad operare nel dicembre 2023 e, pertanto, l’unico bilancio disponile alla data odierna è quello relativo a questo periodo di attività. Peraltro, dal conto economico depositato per l’anno 2023, anche se relativo ad un solo mese, […] in particolare, nel mese di dicembre, l’utile d’esercizio è ammontato a soli € 4.094,00, pari a circa l’1,5% del valore della produzione, ossia dei ricavi delle vendite” (nota cit., p. 9).
3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.
3.1 Il quadro normativo applicabile.
In materia di esercizio dei diritti da parte dell’interessato, l’art. 15, par. 1 del Regolamento stabilisce che “L’interessato ha il diritto […] di ottenere l’accesso ai dati personali” nonché informazioni specifiche sul trattamento effettuato, anche con riferimento alle “categorie di dati personali”. In proposito “il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento […]” (v. art. 15, cit., par. 3).
Quanto alle specifiche modalità di riscontro alle richieste di esercizio dei diritti, ai sensi dell’art. 12 del Regolamento “il titolare del trattamento fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa”. Inoltre, il paragrafo 4 dell’art. 12 del Regolamento precisa che “se non ottempera alla richiesta dell’interessato, il titolare del trattamento informa l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale”.
Inoltre il titolare del trattamento è altresì tenuto ad osservare i principi generali della materia, in particolare quello di correttezza dei trattamenti (art. 5, par. 1, lett. a) del Regolamento).
3.2 L’esito dell’istruttoria. Violazione degli artt. 5, par. 1, lett. a), 12 e 15 del Regolamento.
All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, risulta che la Società, in qualità di titolare, ha effettuato alcune operazioni di trattamento, riferite al reclamante, che risultano non conformi alla disciplina in materia di protezione dei dati personali.
In proposito, si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.
Nel merito, è emerso che la reclamante, dopo la cessazione del rapporto di lavoro con la Società (avvenuta, secondo quanto dichiarato da quest’ultima, il 28/5/2024, a seguito di dimissioni volontarie presentate il giorno precedente) ha chiesto alla stessa, con comunicazioni via e-mail dell’8 e 11 giugno 2024, di ottenere la certificazione di alcuni corsi di formazione svolti nel corso del rapporto di lavoro prima del trasferimento di ramo d’azienda da McDonald’s Development Italy llc a Giada FM s.r.l. (avvenuto con atto del 27/11/2023).
Con una delle due richieste, la reclamante ha altresì chiesto la copia del certificato del medico “dell’ultima visita medica rilasciata dal dott. […]” (v. email dell’8/6/2024).
Sebbene, come rilevato dalla Società, le predette e-mail non facessero espresso riferimento alla disciplina posta in materia di protezione dei dati personali, emerge con chiarezza che l’oggetto della richiesta e il significato della stessa riguardavano la consegna di attestati di formazione riferiti all’interessata, ossia documenti contenenti l’informazione che la reclamante aveva seguito e ultimato determinati corsi presso l’azienda.
La stessa Società, del resto, nel fornire la risposta – di contenuto negativo - alla domanda formulata con email dell’11 giugno, ha mostrato di aver compreso l’oggetto della richiesta (“trattasi di documentazione afferente attività svolta a cura e spese dell'Azienda e, pertanto, la stessa non è tenuta alla sua consegna”).
La prima e-mail inviata dalla reclamante, poi, conteneva anche la richiesta di avere copia di un certificato medico rilasciato dal medico competente, richiesta non più ripresentata nelle successive e-mail.
Sul punto, si rammenta che il Garante ha più volte richiamato le Guidelines 01/2022 on data subject rights - Right of access, EDPB, del 28 marzo 2023, le quali hanno chiarito che il titolare del trattamento non può richiedere un formato specifico per le istanze di esercizio del diritto di accesso (v. punto 52).
In ogni caso, la reclamante, successivamente alla presentazione del reclamo davanti all’autorità di controllo, in data 26/8/2024 ha altresì inviato alla Società una formale istanza di esercizio del diritto di accesso, ai sensi dell’art. 15 del Regolamento (v. All. 5, riscontro 17/1/2025), con la quale è stata, tra l’altro, richiesta “copia di tutti gli attestati di formazione conseguiti durante il periodo lavorativo presso McDonald’s”.
A fronte di tale richiesta formale, la Società, con nota del 26/9/2024 (v. All. 6, riscontro 17/1/2025), ha fornito informazioni sui trattamenti di dati personali riferiti alla reclamante effettuati a seguito della cessazione del rapporto di lavoro, mentre invece, in relazione all’istanza di accesso agli attestati di formazione, ha risposto che “durante il periodo del Suo rapporto di lavoro alle dipendenze della scrivente […] Lei non ha seguito alcun corso di formazione […]. Per quanto riguarda, invece, il periodo del rapporto di lavoro precedente a quello con [la Società] si significa che i soggetti onerati all’eventuale rilascio di copia degli attestati di formazione sono i Suoi precedenti datori di lavoro, unici soggetti obbligati al riguardo. La invitiamo, pertanto, a rivolgersi agli stessi per ogni eventuale richiesta in merito”. Il 17/1/2025 la Società ha provveduto ad inviare alla reclamante copia dei dati richiesti.
Premesso che, in termini generali, gli attestati di formazione del lavoratore contengono dati personali riferiti allo stesso, ai quali l’interessato ha diritto di accedere ai sensi dell’art. 15 del Regolamento (v. Provv. 24/4/2024, n. 246, in www.garanteprivacy.it, doc. web n. 10021452), nel caso di specie è pertanto emerso che la Società, prima dell’avvio dell’istruttoria da parte dell’Autorità, ha fornito un riscontro inidoneo all’istanza di accesso ai propri dati formulata dall’interessata, quantomeno il 26/8/2024, ai sensi dell’art. 15 del Regolamento (ma in precedenza, come visto, già con e-mail dell’8 e 11 giugno 2024), sostenendo di non essere tenuta al rilascio degli attestati conseguiti nel corso del rapporto di lavoro in quanto i soggetti a ciò obbligati sarebbero stati i “precedenti datori di lavoro, unici soggetti obbligati al riguardo”.
L’inidoneità del riscontro è data anche dalla particolare disciplina posta in materia di trasferimento di ramo d’azienda che, a tutela dei lavoratori, prevede in tale ipotesi la continuità dei rapporti di lavoro (v. art. 2112 del codice civile: “in caso di trasferimento d'azienda, il rapporto di lavoro continua con il cessionario ed il lavoratore conserva tutti i diritti che ne derivano. Il cedente ed il cessionario sono obbligati, in solido, per tutti i crediti che il lavoratore aveva al tempo del trasferimento […]”).
Né può indurre a pervenire a diversa conclusione quanto in proposito sostenuto nelle memorie difensive, ossia che “nella prassi, possono verificarsi dei casi in cui […] il concreto esercizio di tali diritti può rivelarsi difficoltoso”, posto che le pur oggettive difficoltà che possono manifestarsi in ordine alla trasmissione della documentazione riferita ai lavoratori, in caso di trasferimento di ramo d’azienda, non possono comportare l’azzeramento del diritto dell’interessato di ottenere dati che lo riguardano costringendolo a rivolgersi ad un soggetto che, al momento dell’esercizio del diritto, non riveste la qualità di titolare del trattamento, al quale invece devono essere rivolte le istanze di esercizio dei diritti.
Inoltre, comunque, ai sensi dell’art. 12, par. 2, del Regolamento “il titolare del trattamento agevola l’esercizio dei diritti dell’interessato ai sensi degli articoli da 15 a 22”.
Infine, e in ogni caso, la Società avrebbe dovuto comunicare alla reclamante, accanto agli specifici motivi del diniego di accesso, la possibilità di presentare reclamo al Garante o ricorso all’autorità giudiziaria ordinaria ai sensi dell’art. 12, par. 4 del Regolamento.
Pertanto la Società avrebbe dovuto provvedere alla consegna di quanto richiesto con l’istanza, anche in applicazione del principio generale di correttezza dei trattamenti (art. 5, par. 1, lett. a) del Regolamento), posto peraltro che già il 12/6/2024 aveva chiesto e ottenuto copia di alcuni dei predetti attestati da McDonald’s Development Italy llc.
In proposito, inoltre, si osserva che, contrariamente da quanto sostenuto nelle memorie difensive, non risulta che la reclamante “già in data 12.06.2024 […] aveva ottenuto la documentazione richiesta” da parte di McDonald’s Development Italy, considerato che, in base al documento allegato dalla Società (All. 3, memorie difensive), emerge che McDonald’s dichiarava di dover ancora reperire due dei documenti richiesti dall’interessata. In ogni caso si evidenzia che l’istanza di accesso ai dati personali può ben essere presentata anche in relazione a dati posti già nella disponibilità dell’interessato o a questi già consegnati o comunque conosciuti dall’interessato.
L’art. 15 del Regolamento, infatti, non prevede alcuna limitazione in ordine alle informazioni riferite all’interessato che possono essere oggetto di accesso e lo stesso Regolamento, peraltro, prevede espressamente la possibilità che l’interessato presenti più richieste di accesso (salva la possibilità per il titolare del trattamento, in caso di richieste “eccessive, in particolare per il loro carattere ripetitivo” di addebitare un contributo spese ragionevole; art. 12, par. 5, del Regolamento; sulla interpretazione delle norme del Regolamento qui richiamate si vedano, in senso conforme, le citate Guidelines 01/2022 on data subject rights - Right of access).
La condotta della Società, nei termini sopra esposti, è pertanto avvenuta in violazione dell’art. 15 del Regolamento laddove stabilisce “L’interessato ha il diritto […] di ottenere l’accesso ai dati personali” nonché informazioni specifiche sul trattamento effettuato, anche con riferimento alle “categorie di dati personali”. In proposito “il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento […]” (v. art. 15, cit., par. 3).
Inoltre la Società ha agito in violazione dell’art. 12 del regolamento, quanto alle modalità con le quali il riscontro avrebbe dovuto essere fornito all’interessata.
La condotta è altresì avvenuta in violazione del principio generale di correttezza stabilito dall’art. 5, par. 1, lett. a) del Regolamento, che costituisce uno dei principi generali in materia anche con particolare riguardo all’ambito del rapporto di lavoro.
Si prende atto, in ogni caso, della volontà di collaborazione manifestata dalla Società, dopo l’avvio dell’attività istruttoria da parte del Garante e l’invio dell’invito ad aderire rivolto alla Società (il 10/12/2024), in relazione al quale quest’ultima ha provveduto ad inviare alla reclamante, con comunicazione del 17 gennaio 2025, copia degli attestati di formazione trasmessi da McDonald’s Development Italy llc (a seguito di richiesta avanzata il 12/6/2024, secondo quanto dichiarato), nonché copia del certificato medico di idoneità redatto dal medico competente il 3/4/2024.
4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.
Per i suesposti motivi, l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Il trattamento dei dati personali effettuato dalla Società e segnatamente l’omesso riscontro alla richiesta di accesso ai dati personali della reclamante avanzata dapprima in data 8 e 11 giugno 2024 e, successivamente, il 26 agosto 2024, fino alla data del 17 gennaio 2025, nel corso del procedimento davanti al Garante, risulta infatti illecito, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a), 12 e 15 del Regolamento.
La violazione, accertata nei termini di cui in motivazione, non può essere considerata “minore”, tenuto conto della natura delle plurime violazioni accertate, che hanno riguardato i principi generali del trattamento e le disposizioni in materia di esercizio dei diritti.
L’Autorità ha altresì tenuto conto del livello medio di gravità della violazione, alla luce di tutti i fattori rilevanti nel caso concreto, e, in particolare, la natura e la gravità della violazione, tenendo in considerazione la natura, l'oggetto o la finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito.
L’Autorità ha altresì preso in considerazione i criteri relativi al carattere doloso o colposo della violazione e le categorie di dati personali interessate dalla violazione nonché la maniera in cui l'autorità di controllo ha preso conoscenza della violazione (v. art. 83, par. 2 e Considerando 148 del Regolamento), nonché le circostanze attenuanti rilevanti nel caso concreto.
Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento si dispone una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) Regolamento).
5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).
All’esito del procedimento, risulta quindi che Giada FM S.r.l. ha violato gli artt. 5, par. 1, lett. a), 12 e 15 del Regolamento.
Per la violazione delle predette disposizioni è prevista l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. a) e b) del Regolamento, mediante adozione di un’ordinanza ingiunzione (art. 18, l. 24.11.1981, n. 689).
Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83 del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. L. 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali posto in essere da Giada FM S.r.l., di cui è stata accertata l’illiceità, nei termini sopra esposti
Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.
Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, ritenuto che il livello di gravità della violazione sia medio, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:
a) in relazione alla natura della violazione, questa ha riguardato fattispecie punite più severamente ai sensi dell’art. 83, par. 5 del Regolamento in ragione dell’interesse protetto dalle norme violate (principi generali del trattamento e disposizioni relative all’esercizio dei diritti);
b) in relazione alla durata della violazione, questa si è protratta per circa sette mesi;
c) in relazione alla gravità della violazione, è stata presa in considerazione la natura del trattamento che ha riguardato trattamenti effettuati nell’ambito del rapporto di lavoro, caratterizzato da uno squilibrio tra il titolare e gli interessati;
d) in relazione al numero di interessati concretamente coinvolti, è stata presa in considerazione la circostanza che la violazione ha riguardato un’interessata;
e) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare, sono stati presi in considerazione gli elementi oggettivi della condotta della Società e il grado di responsabilità della stessa che ha violato l’obbligo di diligenza previsto dall’ordinamento e non si è conformata alla disciplina in materia di protezione dei dati, relativamente a una pluralità di disposizioni;
f) come fattore attenuante, a favore della Società, si è tenuto conto della cooperazione con l’Autorità di controllo, in particolare l’adozione di misure per attenuare la limitazione del diritto da parte dell’interessata, con riguardo all’invio alla reclamante, nel corso del procedimento, dei dati personali oggetto della richiesta di accesso.
Si ritiene inoltre che assumano rilevanza, nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento) le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla Società con riferimento al bilancio abbreviato d’esercizio per l’anno 2024, ultimo disponibile.
Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene pertanto di applicare, nei confronti di Giada FM S.r.l., la sanzione amministrativa del pagamento di una somma pari ad euro 1.000 (mille).
In tale quadro si ritiene che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l’ordinanza ingiunzione sul sito Internet del Garante.
Ciò in considerazione della tipologia delle violazioni accertate che hanno riguardato l’esercizio del diritto di accesso da parte dell’interessata, preordinato ad acquisire consapevolezza del trattamento effettuato dal titolare e verificarne la liceità (v. cons. 63 del Regolamento), nonché i principi generali del trattamento.
TUTTO CIÒ PREMESSO, IL GARANTE
ai sensi dell’art. 57, par. 1, lett. f) e 83 del Regolamento, rileva l’illiceità del trattamento effettuato da Giada FM S.r.l., in persona del legale rappresentante, con sede legale in Via Francesco Caracciolo, 17, Napoli (NA), C.F. 10321231218, nei termini di cui in motivazione, per la violazione degli artt. 5, par. 1, lett. a), 12 e 15 del Regolamento;
ORDINA
a Giada FM S.r.l. ai sensi dell’art. 58, par. 2, lett. i) del Regolamento, di pagare la somma di euro 1.000 (mille) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;
INGIUNGE
quindi alla medesima Società di pagare la predetta somma di euro 1.000 (mille), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);
DISPONE
- ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;
- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet del Garante;
- ai sensi dell’art. 17 del Regolamento n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.
Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.
Roma, 11 settembre 2025
IL PRESIDENTE
Stanzione
IL RELATORE
Cerrina Feroni
IL SEGRETARIO GENERALE
Fanizza
