[doc. web n. 10246008]

Provvedimento del 26 marzo 2026

Registro dei provvedimenti
n. 235 del 26 marzo 2026 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia componente e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presentato dal Sig. XX nei confronti di Esselunga S.p.A.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. Il reclamo nei confronti della Società e l’attività istruttoria.

Con reclamo del 21 ottobre 2024, il sig. XX ha rappresentato a questa Autorità di aver esercitato, nei confronti di Esselunga S.p.A. (di seguito, la Società), il diritto di cui all’art. 15 del Regolamento tramite invio di una comunicazione pec in data 8 settembre 2024 e di non avere ricevuto riscontro scritto alcuno. 

In particolare, con l’istanza di accesso il reclamante ha chiesto alla Società le “registrazioni delle presenze come lavoratore […] formalizzo di voler esercitare il diritto di accesso ex articolo 15 del regolamento n. 679/2016 chiedendo la conferma dell’esistenza stessa di tali registrazioni in entrata ed uscita e di riceverne copia dell’estrazione dei dati in formato di agile lettura e di analisi per tutti.

Esprimerei riconoscenza e profondo ringraziamento qualora venissi in possesso di copia riguardante tutto lo storico (a partire dal 09 dicembre 1997 al 15 maggio 2024)”.

Con il reclamo, è stato inoltre precisato che, a seguito dell’invio della citata istanza la Società, ha fornito “solo un «interrogatorio» tramite una telefonata da parte dell’ufficio amministrativo/personale sopraggiuntami il giorno 09 sett. 2024 atto a verificare i motivi della richiesta” e che “un totale disinteressamento a fornire replica scritta alla mia richiesta […] sta negando il diritto di accesso che ha lo scopo di consentire all’interessato di avere il controllo sui propri dati personali”. 

In data 18 novembre 2024, l’Ufficio ha inviato un invito ad aderire, ai sensi dell’art. 15 del regolamento n. 1 del 2019 del Garante per la protezione dei dati personali, alla Società che, il 10 dicembre 2024, ha inviato il proprio riscontro al reclamante e all’Autorità.

Nel riscontro all’Autorità, la Società ha dichiarato che:

- “con riferimento alla richiesta di esercizio del diritto di accesso, esercitato ai sensi dell’art. 15 Regolamento [si] precisa che la richiesta non è pervenuta nella casella privacy preposta alla ricezione e gestione dell’esercizio dei diritti degli interessati nel rispetto della procedura interna adottata” (v. nota 10/12/2024 cit., p. 1); 

- “nel caso di specie, infatti, la richiesta è pervenuta alla casella PEC della [Società] ed è stata gestita direttamente dalla Direzione Risorse Umane. Nello specifico, a seguito della ricezione della richiesta di esercizio, la [Società] per il tramite del personale della Direzione Risorse Umane, ha comunque prontamente contattato l’interessato al fine di poter fornire un riscontro puntuale rispetto alla mole dei dati personali richiesti dallo stesso” (v. nota cit., pp. 1, 2);

- “la Società intendeva, infatti, comprendere a quale documentazione il [reclamante] fosse interessato poiché non risultava chiara la richiesta al fine di rendere tempestivo riscontro e facile reperimento della documentazione richiesta” (v. nota cit., p. 2);

- “alla luce della richiesta specifica avanzata dall’interessato relativa alla copia delle registrazioni in entrata ed uscita a partire dal 09 dicembre 1997 al 15 maggio 2024, la [Società] ha quindi richiesto una semplice conferma per darne seguito” (v. nota cit., p. 2);

- “la [Società] conferma che, trattandosi di registrazioni relative ad un ampio arco temporale, le attività di elaborazione necessitavano tempi più ampi per l’espletamento delle stesse” (v. nota cit., p. 2);

- “ad oggi, quindi, la [Società] fornisce, come anche richiesto da[ll’] Autorità e nei termini indicati, puntuale riscontro nonché le relative evidenze inviate al reclamante e allegate alla presente mail” (v. nota cit., p. 2).

In tale occasione, la Società ha inviato copia del riscontro fornito, in data 10 dicembre 2024, al reclamante.

2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e le deduzioni della Società.

Il 27 marzo 2025, l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notifica alla Società delle presunte violazioni del Regolamento riscontrate, con riferimento agli artt. 12 e 15 del Regolamento.

Con le memorie difensive, inviate in data 18 aprile 2025, la Società ha rappresentato che:

- “la Scrivente precisa che il 9 settembre, per il tramite del personale della Direzione Risorse Umane, ha contattato telefonicamente l’interessato e che, pertanto, la pratica era stata presa in carico. Tuttavia, conferma di non aver fornito evidenza per iscritto all’interessato a seguito della richiesta pervenuta in data 8 settembre 2024 e si scusa dell’erronea gestione di comunicazione interna che, tuttavia, in una società così grande con un numero di dipendenti elevato come quello della Scrivente, può costituire, nostro malgrado, una ipotesi sicuramente possibile seppure eccezionale. […] il numero di dipendenti medio del Gruppo è 28.139 e le richieste di produzione documentale da parte degli stessi, che riguardano diverse casistiche, verso gli Uffici della Direzione HR, sono molteplici. Dette richieste, nella maggior parte dei casi, hanno ad oggetto copia di documentazione amministrativa e, per tale ragione, vengono gestite direttamente dalla Direzione Risorse Umane e Organizzazione che fornisce riscontro agli interessati. La Società ritiene che la non corretta gestione della richiesta dell’interessato, del tutto occasionale, sia stata la conseguenza di un errore umano di gestione della richiesta” (v. nota 18/04/2025, p. 2);

- “il reclamo in oggetto è il primo reclamo ricevuto dalla stessa sia con riferimento ai dipendenti che, in generale, alle altre categorie di interessati (es. clienti). Tale dato, ad avviso della Scrivente, può essere considerato positivo e dimostra l’impegno della Società nella corretta gestione dei diritti degli interessati; ad eccezione del caso di specie la cui condotta, nostro malgrado, è stata determinata […] da un errore di gestione” (v. nota cit., p. 2);

- “con riferimento alla validità della richiesta ricevuta tramite PEC, la Scrivente non intendeva non riscontrare l’interessato, ma solo portare all’attenzione dell’Autorità che tale richiesta è stata erroneamente classificata come richiesta connessa alla gestione del rapporto di lavoro e alla sua cessazione, che la Direzione Risorse Umane e Organizzazione gestisce autonomamente” (v. nota cit., pp. 2, 3);

- “nella procedura adottata dalla Società «[…] gestione diritti degli interessati […]», si riporta che «L’interessato effettua la richiesta secondo le modalità definite all’interno delle Informative fornite agli interessati ossia mediante canale di posta elettronica dedicato alla gestione delle richieste: […]. Qualora l’interessato inoltri la richiesta mediante canali differenti quali, a titolo esemplificativo: […] P.E.C. esselunga@legalmail.it […] la richiesta sarà indirizzata a cura della segreteria della Direzione Generale ovvero del DPO alla casella di ruolo denominata “privacy”, fatto salvo i casi in cui la richiesta pervenga direttamente all’indirizzo dell’Ufficio competente a gestire la richiesta dell’interessato. In base alla categoria di interessato si procede, a titolo esemplificativo, come segue: - dipendenti/ex dipendenti: il soggetto autorizzato che gestisce la casella “privacy” ovvero il soggetto autorizzato che gestisce la differente casella di posta (es. Pec) inoltra la richiesta all’Ufficio competente della Direzione RUO»” (v. nota cit., p. 3);

- “tali richieste sono, quindi, indirizzate anche sulla base della Procedura citata, ma, nel caso di specie, non è stata pedissequamente gestita dopo l’inoltro, come previsto dalla procedura, dalla direzione competente. La Società si scusa, quindi, in quanto questa erronea gestione ha comportato la categorizzazione della richiesta come una richiesta connessa alla gestione del rapporto di lavoro e alla sua cessazione” (v. nota cit., pp. 3, 4);

- “alla luce del reclamo in oggetto, la Direzione Risorse Umane e Organizzazione ha successivamente provveduto a sensibilizzare ulteriormente e verbalmente tutta la Direzione in relazione alle corrette tempistiche di riscontro da fornire a seguito delle richieste degli interessati” (v. nota cit., p. 4);

- “la Società […] si è già attivata perché inconvenienti simili non si ripetano più e sta formalizzando una serie di ulteriori attività, anche informative e/o formative, dedicate alle Direzione Risorse Umane e Organizzative, volte anche a presidiare correttamente la gestione delle PEC anche in relazione ai contenuti delle richieste” (v. nota cit., p. 4);

- “la Scrivente conferma di non aver richiesto la proroga per iscritto, tenuto conto della mole dei dati personali richiesti, ai sensi dell’art. 12.3 GDPR in quanto tale pratica non è gestita in coerenza con la procedura ed in costanza della quale ci scusiamo” (v. nota cit., p. 4);

- “tuttavia, la Scrivente, come anche confermato dal riscontro dell’Interessato del 6 dicembre 2024, tenuto conto della mole elevata della documentazione richiesta, si è comunque attivata per recuperare tutte le informazioni e fornire, nel minor tempo possibile, riscontro” (v. nota cit., p. 4); - con riferimento agli “elementi di cui all’art. 83, par. 2, del GDPR” “la Scrivente indica che il trattamento dei dati personali per cui l’interessato ha proposto reclamo all’Autorità è: - con riferimento alla natura riferito esclusivamente a dati comuni ossia registrazione delle presenze; - con riferimento agli interessati coinvolti, il reclamante è n. 1 dipendente; - relativamente alla finalità, i dati personali, oggetto del reclamo, sono raccolti e trattati in esecuzione del rapporto di lavoro per finalità contrattuali ai sensi dell’art. 6.1, lett. b) GDPR nonché per adempiere a specifici obblighi di legge in materia di diritto del lavoro, amministrativo e contabili ai sensi dell’art. 6.1 lett. c) GDPR” (v. nota cit., pp. 4, 5);

- “la violazione di cui alla Comunicazione non ha comportato elementi di nocumento per l’interessato e […] la stessa è legata ad una erronea gestione da parte della Società che tiene conto anche dell’elevato numero di dipendenti ed ex dipendenti da gestire” (v. nota cit., p. 5);

- “la violazione di cui alla Comunicazione si è protratta per un arco temporale limitato e [la Società] ha provveduto a fornire tutti i dati personali richiesti il 6 dicembre 2024, attivandosi con tutti i mezzi di comunicazione a propria disposizione (mail, PEC e corriere espresso) per dare seguito alla richiesta” (v. nota cit., p. 5);

- “considerato anche l’impegno profuso e il riscontro completo fornito, non risulta che possa in alcun modo essere ravvisato in capo alla Società un comportamento doloso o colposo. La Società ha, infatti, attivato, a seguito del reclamo, con diligenza la propria procedura sui diritti degli interessati per fornire riscontro puntuale” (v. nota cit., p. 5);

- “la Società […] si è già attivata perché inconvenienti simili non si ripetano più e sta formalizzando una serie di attività, anche informative e/o formative, dedicate alla Direzione Risorse Umane e Organizzative, volte a presidiare correttamente la gestione delle PEC anche in relazione ai contenuti delle richieste. La Società ha anche definito una attività di controllo per verificare la corretta gestione dell’esercizio dei diritti” (v. nota cit., p. 6);

- “la Società ha adottato un livello di sicurezza adeguato al rischio, per i diritti e le libertà delle persone fisiche, nonché l’attuazione della protezione dei dati fin dalla progettazione e per impostazione predefinita. La Società si è, inoltre, dotata di Procedure/linee guida data protection tra le quali ad esempio: - Procedura per la gestione dei diritti degli interessati […]; - Procedura per la gestione dei data breach […]; - Procedura per la DPIA e consultazione preventiva […]; - Procedura per la gestione delle informative e dei consensi […];  - Procedura di privacy by design e by default […]; - Procedura per il registro dei trattamenti […]; - Procedura risk based misure cybersicurity […]; - Procedura e metodologia di analisi dei rischi […]; - Linee guida per il trasferimento dei dati personali extra UE […]. Sono presenti ulteriori procedure e linee guida in ambito di Information Technology e Cybersicurity” (v. nota cit., pp. 6, 7);

- “come prassi la Società eroga ad ogni nuovo assunto una pillola formativa in materia di protezione dei dati personali; inoltre, vengono erogati corsi di gestione e aggiornamento del registro dei trattamenti ai soggetti preposti alla tenuta. Sono anche effettuate sessioni di formazione verticale in ragione dell’entrata in vigore di nuove normative (es. AI Act) o delle particolari tematiche gestite dalle diverse direzioni aziendali (es. videosorveglianza)” (v. nota cit., p. 7); “con riferimento alla Direzione Risorse Umane e Organizzative, è stata prevista anche formazione verticale e, in particolare, nel 2022, sono state erogate n. 5 sessioni formative composte da diversi incontri” (v. nota cit., p. 7);

- “la formazione, comprendente anche un focus sui diritti degli interessati, è stata erogata per i seguenti Uffici: - Amministrazione del personale e relazioni sindacali & Gestione personale […]; - Ufficio formazione e sviluppo e Ufficio Organizzazione; - Uffici HSE e Servizi Generali Direzione Corporate Sustainability e Ufficio Welfare; - Ufficio Selezione & ed Employer branding; - Ufficio Sicurezza e Tutela del patrimonio” (v. nota cit., p. 7);

- “il grado di cooperazione della Società con Codesta Autorità può considerarsi, a parere della Scrivente, adeguato” (v. nota cit., p. 8).

3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

3.1 Il quadro normativo applicabile.

L’art. 12 del Regolamento, da leggere anche in combinato disposto con le norme relative agli specifici diritti riconosciuti dall’ordinamento all’interessato, dispone che “il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro […]. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovato con altri mezzi l’identità dell’interessato” (par. 1). Viene, inoltre, disposto che “il titolare del trattamento agevola l’esercizio dei diritti dell’interessato ai sensi degli articoli da 15 a 22” (par. 2). 

Il paragrafo 3, del medesimo articolo, precisa che “il titolare del trattamento fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il titolare del trattamento informa l’interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta. Se l’interessato presenta la richiesta mediante mezzi elettronici, le informazioni sono fornite, ove possibile, con mezzi elettronici, salvo diversa indicazione dell’interessato”. 

In base al paragrafo 4 del medesimo articolo, il titolare del trattamento, qualora non ottemperi all’istanza dell’interessato, “informa l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale”. 

L’art. 15 del Regolamento dispone che “l'interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l'accesso ai dati personali e alle […] informazioni” indicate nello stesso articolo (par. 1) e che “il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento. In caso di ulteriori copie richieste dall'interessato, il titolare del trattamento può addebitare un contributo spese ragionevole basato sui costi amministrativi. Se l'interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dell'interessato, le informazioni sono fornite in un formato elettronico di uso comune” (par. 3).

3.2 Esito dell’istruttoria. Violazione degli artt. 12 e 15 del Regolamento. 

All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, risulta che la Società, in qualità di titolare, ha effettuato alcune operazioni di trattamento, riferite al reclamante, che risultano non conformi alla disciplina in materia di protezione dei dati personali.

In proposito, si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

Nel merito, è emerso che la Società non ha fornito idoneo riscontro all’istanza di esercizio del diritto di accesso presentata dal reclamante in data 8 settembre 2024; infatti la Società ha fornito un riscontro completo solo dopo la presentazione del reclamo e dell’avvio dell’istruttoria da parte dell’Autorità.

In particolare, la condotta della Società ha violato gli artt. 12 e 15 del Regolamento in quanto, a fronte di una istanza scritta presentata dal reclamante ai sensi dell’art. 15 del Regolamento avente un contenuto chiaro (relativa alle “registrazioni delle presenze come lavoratore” “a partire dal 09 dicembre 1997 al 15 maggio 2024”), la Società non ha fornito riscontro scritto, se non in data 10 dicembre 2024, dopo che l’Autorità, in data 18 novembre 2024 ha inviato alla stessa un invito ad aderire, considerato il contenuto del reclamo. 

L’istanza di esercizio del diritto di accesso è stata inviata all’indirizzo pec indicato nella visura della Società e quest’ultima, come riconosciuto dalla stessa, ha preso visione della richiesta tanto che, in base a quanto dichiarato da quest’ultima, in data 9 settembre 2024 la Direzione Risorse Umane ha “contattato l’interessato al fine di poter fornire un riscontro puntuale rispetto alla mole di dati personali richiesti dallo stesso”.

Dell’interlocuzione telefonica del 9 settembre 2024 è stato dato conto anche nel reclamo nel quale, però, viene anche precisato che la telefonata ha riguardato “i motivi della richiesta”.

Si sottolinea in proposito che del contenuto del contatto telefonico che la Società ha avuto con il reclamante in data 9 settembre 2024 comunque non vi è evidenza; in ogni caso, dunque, si rammenta che qualora l’istante presenti una istanza di esercizio dei diritti per iscritto e non chieda di volere ricevere un riscontro oralmente, il riscontro del titolare del trattamento, sia ai sensi dell’art. 12 par. 3 sia ai sensi dell’art. 12 par. 4 del Regolamento, deve essere fornito per iscritto. 

Inoltre, sia del riscontro fornito oralmente, sia di quello fornito per iscritto, il titolare del trattamento deve fornire evidenza ai sensi dell’art. 5 par. 2 del Regolamento (“il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»)”). 

Pertanto, qualora il titolare del trattamento possa consentire l’esercizio del diritto di accesso deve fornire idoneo riscontro, senza ritardo, e comunque entro un mese dal ricevimento della richiesta (prorogabile di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste), all’interessato (art. 12 par. 3 del Regolamento).

Nel caso in cui il titolare del trattamento ritenga di dovere usufruire della proroga del termine ai sensi dell’art. 12 par. 3 del Regolamento, “informa l’interessato di tale proroga e dei motivi del ritardo, entro un mese dal ricevimento della richiesta”. 

Qualora il titolare del trattamento ritenga, invece, di non potere dare seguito a istanze di esercizio dei diritti, deve comunque fornire un riscontro all’istante, comunicando i motivi del diniego nonché l’esistenza del diritto di presentare ricorso all’autorità giudiziaria o reclamo al Garante per la protezione dei dati personali (art. 12 par. 4 del Regolamento). 

Nel caso di specie la stessa Società ha riconosciuto di non avere fornito evidenza per iscritto al reclamante a seguito dell’istanza dell’8 settembre 2024 e ritiene che vi sia stato un errore di gestione dell’istanza medesima.

Si osserva inoltre che le Linee guida 1/2022 sui diritti degli interessati – Diritto di accesso adottate dall’EDPB il 28 marzo 2023 (alle quali sono state apportate lievi modifiche il 30 maggio 2024) precisano che “il GDPR non impone requisiti agli interessati per quanto riguarda la forma della richiesta di accesso ai dati personali. Pertanto in linea di principio gli interessati non devono rispettare alcun requisito ai sensi del GDPR al momento di scegliere il canale di comunicazione attraverso il quale entrare in contatto con il titolare del trattamento” (v. par. 3.1.2., punto 52). 

Sempre nelle Linee guida citate viene precisato che “l'EDPB incoraggia i titolari del trattamento a fornire i canali di comunicazione più semplici e appropriati, ai sensi dell'articolo 12, paragrafo 2, e dell'articolo 25 GDPR, per consentire all'interessato di presentare una richiesta valida. Se tuttavia un interessato presenta una richiesta utilizzando un canale di comunicazione fornito dal titolare del trattamento, diverso da quello indicato come preferibile, tale richiesta, in generale, è considerata valida e il titolare del trattamento dovrebbe gestirla di conseguenza […]. I titolari del trattamento dovrebbero compiere ogni ragionevole sforzo per agevolare l'esercizio dei diritti dell'interessato (ad esempio qualora un interessato invii una richiesta di accesso a un dipendente in ferie, un messaggio automatico che indichi all'interessato un canale di comunicazione alternativo per la sua richiesta potrebbe costituire un ragionevole sforzo)”.

Infine si richiamano ancora le citate Linee guida in materia di diritto di accesso laddove precisano che “Data l'ampia finalità del diritto di accesso, non è opportuno che il titolare del trattamento, nel valutare le richieste di accesso, analizzi la finalità come precondizione per l'esercizio del diritto di accesso. I titolari del trattamento pertanto non dovrebbero valutare il motivo per cui l'interessato richiede l'accesso, ma soltanto l'oggetto della richiesta […]; dovrebbero inoltre accertarsi di detenere dati personali concernenti l'interessato” (v. punto 13 par. 2.1. “Finalità del diritto di accesso”).

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Per i suesposti motivi, l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati personali effettuato dalla Società e segnatamente l’omesso riscontro alla richiesta di accesso del reclamante inviata in data 8 settembre 2024, risulta infatti illecito, nei termini su esposti, in relazione agli artt. 12 e 15 del Regolamento.

La violazione accertata nei termini di cui in motivazione non può essere considerata “minore”, tenuto conto della natura delle plurime violazioni accertate, che hanno riguardato l’esercizio del diritto di accesso ai dati.

Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2, del Regolamento si dispone l’irrogazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) del Regolamento).

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

All’esito del procedimento risulta pertanto che la Società ha violato gli artt. 12 e 15 del Regolamento.

Per la violazione delle predette disposizioni è prevista l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. b), del Regolamento, mediante adozione di un’ordinanza ingiunzione (art. 18, l. 24.11.1981, n. 689).

Il Garante, ai sensi dell’art. 58, par. 2, lett. i), del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83 del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18, L. 24 novembre 1981, n. 689), in relazione al trattamento dei dati personali posto in essere dalla Società, di cui è stata accertata l’illiceità, nei termini sopra esposti.

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

L’Autorità, alla luce delle Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR adottate in data 24 maggio 2023, alle quali sono state apportate lievi modifiche in data 29 giugno 2023, ritiene che il livello di gravità della violazione sia medio, tenuto conto di tutti i fattori rilevanti nel caso concreto.

In particolare sono state prese in considerazione la natura, la gravità e la durata della violazione, tenendo conto della natura, dell'oggetto o della finalità del trattamento in questione nonché del numero di interessati lesi dal danno e del livello del danno da essi subito (v. art. 83, par. 2, lett. a), del Regolamento). In particolare, è stato considerato che, solo a seguito dell’apertura dell’istruttoria, la Società ha fornito riscontro all’istanza di accesso del reclamante e che è pari a uno il numero di interessati coinvolti dalla violazione.

L’Autorità ha altresì preso in considerazione i criteri relativi al carattere doloso o colposo della violazione e le categorie di dati personali interessate dalla violazione, nonché la maniera in cui l'autorità di controllo ha preso conoscenza della violazione (v. art. 83, par. 2, lett. b) e g), e Considerando 148 del Regolamento).

Con riferimento agli altri elementi elencati dall’art. 83, par. 2, del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, per quanto riguarda la Società, ritenuto che il livello di gravità della violazione sia medio, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

a) la Società, dopo essere venuta a conoscenza della violazione dei dati personali, ha adottato le misure volte a mitigare i rischi per i diritti e le libertà degli interessati (art. 83, par. 2, lett. c), del Regolamento);

b) non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento (art. 83, par. 2, lett. e), del Regolamento);

c) si è tenuto conto della cooperazione con l’Autorità di controllo (art. 83, par. 2, lett. f), del Regolamento).

Si ritiene inoltre che assumano rilevanza, nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base al conto economico della Società con riferimento al bilancio ordinario d’esercizio per l’anno 2024, ultimo disponibile.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti della Società la sanzione amministrativa del pagamento di una somma pari a euro 5.000 (cinquemila).

In tale quadro si ritiene che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l’ordinanza ingiunzione sul sito Internet del Garante.

Ciò in considerazione della tipologia delle violazioni accertate che hanno riguardato l’esercizio del diritto di accesso ai dati.

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), del Regolamento rileva l’illiceità del trattamento effettuato da Esselunga S.p.A., con sede legale in Via Vittor Pisani 20, Milano, C.F. 01255720169, P.IVA 04916380159, descritto nei termini di cui in motivazione, per la violazione degli artt. 12 e 15 del Regolamento;

ORDINA

a Esselunga S.p.A.ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, di pagare la somma di euro 5.000 (cinquemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento; 

INGIUNGE

a Esselunga S.p.A. di pagare la predetta somma di euro 5.000 (cinquemila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);

DISPONE

- ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito Internet del Garante;

- ai sensi dell’art. 154-bis, comma 3, del Codice e dell’art. 37 del Regolamento del garante n. 1/2019, la pubblicazione del presente provvedimento sul sito Internet del Garante;

- ai sensi dell’art. 17 del Regolamento n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2, del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u), del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 26 marzo 2026                     

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Montuori