[doc. web n. 9751137]

Ordinanza ingiunzione nei confronti di Costampress S.p.A. - 10 febbraio 2022

Registro dei provvedimenti
n. 42 del 10 febbraio 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, l’avv. Guido Scorza, componente e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presentato ai sensi dell’art. 77 del Regolamento in data 2 dicembre 2018 dal Sig. XX nei confronti di Costampress S.p.A.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento delGarante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. Il reclamo nei confronti della società e l’attività istruttoria.

1.1. Con reclamo presentato in data 2 dicembre 2018 il Sig. XX ha lamentato presunte violazioni del Regolamento da parte di Costampress S.p.A. (di seguito, la società), con riferimento alla mancata cancellazione dell’account di posta elettronica aziendale XX a seguito di cessazione del rapporto di lavoro tra la società e il reclamante e alla impossibilità di vedersi attribuito il numero di telefono aziendale, ma che in passato era un numero privato, utilizzato dal reclamante per esigenze sia lavorative sia personali. Il 28 gennaio 2019 il reclamante, integrando quanto contenuto nel reclamo, ha, inoltre, lamentato l’impossibilità, in data 5 ottobre 2018, di “entrare nel computer portatile” allo stesso assegnato; in pari data ha, altresì, comunicato all’autorità di avere ricevuto copia dell’atto di citazione depositato dalla società presso il Tribunale di Venezia Sezione specializzata in materia di imprese, precisando che nello stesso “si può notare come l’azienda ha dato il consenso a persone terze di parte ad accedere alle mie conversazioni private whatsapp tra me e mia moglie”.

Per quanto riguarda il trattamento dei dati personali effettuato nel corso del procedimento dinanzi al Tribunale di Venezia, durante l’istruttoria, in data 14 maggio 2019, l’Ufficio ha precisato che ai sensi dell’art. 160-bis del Codice “la validità, l’efficacia e l’utilizzabilità nel procedimento giudiziario di atti, documenti, e provvedimenti basati sul trattamento di dati personali non conforme a disposizioni di legge o regolamento restano disciplinate dalle pertinenti disposizioni processuali”.

Con nota del 25 febbraio 2019 la società, nel fornire riscontro alle richieste dell’Ufficio formulate in data 15 gennaio 2019, ha dichiarato che:

a. “tra gli incarichi affidati al Reclamante […] v’era la predisposizione del regolamento aziendale, concernente – inter alia – la regolamentazione dell’utilizzo dell’account di posta aziendale dei lavoratori e la nomina dell’Amministratore di sistema autorizzato a visionare, per conto della Società, i messaggi in entrata negli account aziendali. L’incarico in questione non è però mai stato portato a termine dall’odierno reclamante” (nota 25.02.2019, p. 3);

b. “l’impossibilità da parte della Resistente di fornire […] un regolamento aziendale «definitivo» è circostanza addebitabile esclusivamente al ricorrente […]” (nota cit., p. 3);

c. “con riferimento al trattamento effettuato sull’account di posta elettronica aziendale del reclamante è importante sottolineare che […] dopo il licenziamento [il reclamante], unilateralmente, provvedeva a cancellare tutte le comunicazioni presenti nella propria casella email aziendale” (nota cit., p. 4);

d. “al fine di tutelare il proprio legittimo interesse, la società, a partire dal giorno 8.10.2018, provvedeva correttamente a impostare, sull’account email aziendale d[el reclamante], un sistema di risposta automatico che avvisasse gli utenti dell’avvenuta disattivazione della casella postale del reclamante, con contestuale indicazione di un indirizzo di posta elettronica alternativo cui inviare i messaggi attinenti l’attività svolta e i rapporti gestiti da quest’ultimo.” (nota cit., p. 4);

e. l’IT Manager della società ha affermato in proposito che è “possibile attivare la risposta automatica esclusivamente su caselle di posta esistenti”, “per attivare il messaggio di posta non è stato necessario accedere alla casella di posta abbinata all’alias XX”, “nessun dipendente di Costampress ha avuto accesso alla casella di posta” (nota cit., p. 4);

f. “il trattamento dei dati effettuato sulla casella di posta del reclamante […] si concludeva in data 26.11.2018 quando la casella di posta veniva definitivamente chiusa” (nota cit., p. 4);

g. “la […] sim [aziendale del reclamante] veniva restituita da[l reclamante], assieme al telefono aziendale, in data 13.11.2018, senza che però quest’ultimo fornisse i codici (PIN e PUK) che avrebbero eventualmente consentito di sbloccare la SIM e il dispositivo, che, pertanto, risultavano già inutilizzabili da parte della Società” (nota cit., p. 6);

h. “non potendo di fatto utilizzare la scheda SIM in mancanza dei relativi codici PIN e PUK, la Società provvedeva a richiedere all’operatore telefonico l’assegnazione del numero XX ad una SIM «vergine»” (nota cit., p. 6);

i. “nemmeno la nuova SIM – cui veniva assegnato il [predetto] numero […] – è mai stata riassegnata ad altro utente e, pertanto, risulta ad oggi inutilizzata”.

A seguito di una richiesta di ulteriori chiarimenti formulata dall’Autorità in data 14 maggio 2019 in relazione alla quale è stata tenuta in considerazione l’integrazione del reclamo fornita dal reclamante il 28 gennaio 2019, Costampress S.p.A., il 13 giugno 2019, ha dichiarato che:

a. “la Società nel «bloccare» provvisoriamente […] a[l reclamante] l’accesso al proprio account, in data 5.10.2018, […] ha operato legittimamente al fine di tutelare il patrimonio aziendale” (nota 13.06.2019, p. 6);

b. i due computer aziendali, fisso e portatile, assegnati al reclamante sono stati formattati (nota cit., p. 7);

c. “il trattamento sui dati personali [del reclamante] rinvenuti all’interno del pc aziendale, già in uso al Reclamante, è stato svolto dalla Società ai fini dell’accertamento e dell’esercizio di un diritto della società in sede giudiziaria (nota cit., p. 9)”;

d. “Costampress S.p.A. incaricava il […] consulente […] di eseguire una consulenza tecnica di parte volta ad analizzare il contenuto del personal computer in uso a[l reclamante], presso Costampress, in data 31.10.2018” (nota cit., p. 10);

e. “con riferimento alla […] richiesta di chiarimenti [relativa alla scheda Sim e al numero associato assegnati al reclamante durante il rapporto di lavoro] la Società ha eseguito un cambio di SIM ed evidenzia che la SIM «vergine», cui è stata assegnata l’utenza [oggetto di reclamo] […] è stata oggetto di verifiche di funzionamento da parte del responsabile IT della Società […], il quale, dalla restituzione (13.11.2018) ad oggi, ne ha supervisionato la conservazione” (nota cit., p. 12);

f. “[…] la società si rende sin da ora disponibile a richiedere all’operatore competente la cessazione dell’utenza riconducibile al numero di telefono [oggetto di reclamo] o, eventualmente, a restituirla al Reclamante autorizzando la portabilità, su ordine di questa Autorità” (nota cit., p. 13).

In data 13 ottobre 2019 il reclamante ha inviato le proprie controdeduzioni. Successivamente, l’11 marzo 2020, l’Autorità ha inviato un’ulteriore richiesta di chiarimenti alla società, in relazione alla quale Costampress S.p.A., il 10 aprile 2020 ha dichiarato che:

a. “in data 26/11/2018 la casella di posta elettronica [oggetto di reclamo] è stata cessata” (nota cit., 10.04.2020, p. 1);

b. “la Sim non è in uso ed è opportunamente custodita in modo che non possa essere usata. Confermiamo quindi che il numero di telefono aziendale [oggetto di reclamo] non è stato utilizzato e tantomeno assegnato ad altre persone” (nota cit., p. 1);

c. “tale Sim e relativa utenza telefonica, salvo diverse indicazioni, verrà cessata entro la data del 15/05/2020” (nota cit., p. 1).

Con nota del 15 aprile 2020 il reclamante ha inviato proprie considerazioni in merito a quanto richiesto dall’Autorità alla società con l’invito a fornire ulteriori chiarimenti dell’11 marzo 2020.

2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e le deduzioni della società.

Il 29 luglio 2020 l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione alla società delle presunte violazioni del Regolamento riscontrate, con riferimento agli artt. 5, par. 1, lett. a), c), 6, 12, 13, 20 del Regolamento.

Con memorie difensive inviate in data 2 novembre 2020 la società, con riferimento a quanto contestato nella notifica delle violazioni, ha dichiarato che:

a. il reclamante “ha svolto per svariati anni la funzione di Amministratore Delegato e di dirigente della Società” (v. nota cit. 2 novembre 2020, p. 3);

b. la società ha “delibera[to] il licenziamento del [reclamante] dal proprio ruolo di dirigente; detta decisione veniva formalizzata dalla Società con comunicazione del 05.10.2018” (v. nota cit., p. 3);

c. “pochi giorni dopo il licenziamento del Reclamante, la Società […] veniva a scoprire, all’interno del fascicolo personale del [reclamante], l’esistenza di due documenti sino ad allora del tutto sconosciuti, segnatamente: […] un documento denominato «Patto di stabilità» [e] un documento denominato «Assegnazione premio annuo»” (v. nota cit., p. 3);

d. “Si decideva, quindi, di sottoporre il portatile ad […] perizia in base al legittimo sospetto che sulla memoria del PC potessero residuare elementi utili a sconfessare l’autenticità dei due documenti” (v. nota cit., p. 4);

e. “le indagini peritali condotte dal [consulente] si concludevano dando evidenza di come risultasse eseguito, sul supporto di memoria del portatile, un back up del dispositivo smartphone in uso al [reclamante]” (v. nota cit., p. 5);

f. “l’organo giudicante nel procedimento Tribunale di Venezia sez. specializz. Impresa […] richiesto dal patrocinio di Costampress s.p.a. di ammettere consulenza tecnica d’ufficio, [ha] accolto tale istanza […] autorizzando il deposito in giudizio dell’hard disk” (v. nota cit., p. 10);

g. in merito alle “contestazioni inerenti il trattamento dati operato sull’hard disk” “con riferimento alla mancata redazione del regolamento aziendale sull’utilizzo dei sistemi informatici […] val la pena rammentare come tra gli incarichi affidati al Reclamante […], vi fosse per l’appunto la predisposizione del regolamento aziendale” (v. nota cit., p. 18, 19);

h. “il documento sottoposto all’esame dell’(allora) Amministratore Delegato per approvazione (e mai adottato per esclusiva inconcludenza di quest’ultimo), seppur ancora allo stato di bozza, prevedeva espressamente all’art. 6: «- la casella di posta, assegnata dall’Azienda all’Utente, è uno strumento di lavoro ed è, quindi, accessibile in ogni momento da parte del Titolare della gestione dati o da suoi incaricati per l’espletamento delle sue funzioni o di interessi aziendali (art. 6.1); - Le persone assegnatarie delle caselle di posta elettronica sono responsabili del corretto utilizzo delle stesse (art. 6.2). - È fatto divieto di utilizzare la casella di posta elettronica aziendale per l’invio di messaggi personali interni ed esterni […] salvo diversa ed esplicita autorizzazione (art. 6.3)»” (v. nota cit., p. 19);

i. “quindi, il [reclamante] era inconfutabilmente a conoscenza di quella che di lì a poco sarebbe dovuta divenire la policy aziendale in tema di gestione delle infrastrutture informatiche e della posta elettronica”; (v. nota cit., p. 19);

j. “al [reclamante] venne innegabilmente concessa la possibilità, come di fatto è avvenuto, di esercitare il diritto di cancellazione ex art. 17 GDPR di tutti i propri dati: invero […] il PC del Reclamante - inizialmente bloccato per evitare il rischio di «svuotamento» di files riservati a cui il [reclamante] aveva accesso attraverso il server aziendale - veniva immediatamente sbloccato il giorno stesso della comunicazione del licenziamento onde consentire all’ex-dipendente di recuperare i propri dati personali” (v. nota cit., p. 19);

k. “si evidenzia in ogni caso […] come di seguito la Società abbia diligentemente adottato con delibera consigliare un «Disciplinare interno per l’utilizzo della strumentazione informatica aziendale, della rete internet, della posta elettronica e del numero telefonico aziendale» facente funzioni anche di informativa ex art. 13 GDPR” (v. nota cit., p. 21);

l. “con riferimento al mantenimento della e-mail individuale [assegnata al reclamante]” “questa l’esatta cronologia degli avvenimenti in relazione alla disattivazione del [predetto account]:

5 ottobre 2018 Costampress s.p.a. licenzia il [reclamante] per giustificato motivo oggettivo;

5 ottobre 2018 alle ore 15.30 circa, Costampress s.p.a. blocca provvisoriamente al [reclamante] l’accesso al proprio account per evitare iniziative ritorsive conseguenti alla notizia del licenziamento (il Reclamante aveva libero accesso al server aziendale); l’account viene riattivato circa un’ora e mezza dopo in presenza del[l’amministratore di sistema] di Costampress s.p.a.;

5 ottobre 2018 Costampress s.p.a. richiede al [reclamante] la restituzione di SIM, telefono aziendale e accessori; il [reclamante] declina la richiesta dell’azienda.

8 ottobre 2018 Costampress s.p.a. disattiva definitivamente l’account aziendale e abilita il sistema di risposta automatica;

11 ottobre 2018 Costampress s.p.a. conferisce mandato ad [un] avv[ocato] per l’esercizio di eventuali azioni penali nei confronti del [reclamante];

19 ottobre 2018 Costampress s.p.a. sollecita nuovamente al [reclamante] la restituzione di SIM e telefono […];

31 ottobre 2018 l’avv[ocato] incarica il perito […] della [società specializzata in in Digital Forensics and incident response];

13 novembre 2018 il [reclamante] restituisce la SIM aziendale senza PIN e PUK e il telefono;

26 novembre 2018 Costampress s.p.a., rimuove definitivamente la casella di posta [assegnata al reclamante]” (v. nota cit., p. 21, 22);

m. “al fine di meglio comprendere le esigenze che hanno indotto Costampress s.p.a. a non rimuovere immediatamente la casella di posta del Reclamante, pur disattivandola e impostando il messaggio di risposta automatica per un periodo di circa un mese e mezzo, occorre preliminarmente tenere presente che il [reclamante] rivestiva una funzione apicale al momento in cui veniva comunicato il licenziamento; non solo, quest’ultimo, negli ultimi mesi prima del licenziamento stava negoziando alcuni contratti di primaria importanza per la Società, quali, a mero titolo esemplificativo, contratti per la gestione delle utenze luce e gas” (v. nota cit., p. 22);

n. “la Società […]  non ha operato alcun reindirizzamento automatico delle e-mail ricevute all’account [assegnato al reclamante] verso un nuovo account alternativo per contattare la Società” (v. nota cit., p. 22);

o. “la tempestiva cancellazione dell’account [assegnato al reclamante] non avrebbe consentito la possibilità di attivare il messaggio di risposta automatica” (v. nota cit., p. 23);

p. “ricevuta la comunicazione del licenziamento, il [reclamante], unilateralmente, provvedeva a cancellare tutte le comunicazioni presenti nella propria casella e-mail aziendale” (v. nota cit., p. 24);

q. “non corrisponde al vero […] che al [reclamante] sia stata vietata la possibilità di cancellare i propri dati personali presenti sul telefono e/o sulla SIM. Infatti, dal 05.10.2018 - data del licenziamento in cui il [reclamante] alla presenza del[l’amministratore di sistema] cancellava tutte le proprie e-mail - al 13.11.2018, il Reclamante continuava a disporre, in assoluta libertà del telefono e della SIM. Solo in data 13.11.2018, dopo i ripetuti solleciti dell’azienda [il reclamante] finalmente restituiva la SIM e il cellulare smartphone […] a Costampress s.p.a. senza, tuttavia, condividere i codici PIN e PUK” (v. nota cit., p. 24, 25);

r. “telefono aziendale e SIM restavano, quindi, nella disponibilità del Reclamante per ben 39 giorni. Il cellulare, veniva riconsegnato dal Reclamante dopo che quest’ultimo si era adoperato per ripristinare le impostazioni di fabbrica, secondo le procedure ufficiali […] per cui, come attestato dal[l’amministratore di sistema], al momento della ricezione «al suo interno non risultano presenti file, cartella, conversazione, contatti e/o altri dati personali riconducibili al [reclamante]» come ad esempio conversazioni sull’app «WhatsApp»” (v. nota cit., p. 25);

s. "l’utenza [oggetto del presente reclamo], pur originariamente riconducibile al [reclamante], è stata in seguito scientemente ceduta da quest’ultimo a favore della Società in via definitiva dal 2013 al 2018 […]. Ne consegue che il succitato numero telefonico è divenuto, in tutto e per tutto, un’utenza aziendale. Ed infatti, il documento di consegna […] predisposto dalla Società, nella persona dello stesso [reclamante] prevedeva appunto «quanto sopra elencato (n.d.r.: Pc aziendale, SIM aziendale, Telefono cellulare […]) dovrà essere restituito al termine della collaborazione con l’azienda. Nell’utilizzo dei dispositivi di cui sopra, Lei sarà comunque tenuto al rispetto delle seguenti limitazioni: - non farà utilizzare cellulare e pc a terzi compresi familiari - si impegna a non modificare o installare programmi software e/o applicazioni esterne senza esplicita autorizzazione da parte della nostra società o reparto IT […]»” (v. nota cit., p. 25);

t. “quindi, il Reclamante non poteva usare il cellulare per fini personali come senz’altro ben sapeva, per essersi dato e aver ricevuto il documento con le istruzioni contenenti la policy aziendale sull’utilizzo dei cd. «devices». Ed infatti, il contratto per l’utilizzo della SIM associata al numero [oggetto del presente reclamo] è stato stipulato tra Telecom Italia s.p.a. (TIM) e Costampress s.p.a e non già tra TIM e il [reclamante]” (v. nota cit., p. 26);

u. “in ogni caso, anche nella denegata ipotesi in cui si volesse, comunque, ritenere verificatosi un illecito trattamento dei dati contenuti nell’archivio chat riconducibile alla applicazione «WhatsApp», giova rammentare che il [reclamante], alla consegna della SIM a cui è associata l’utenza [oggetto di reclamo], come espressamente riconosciuto da quest’ultimo, ometteva di fornire alla Società – pur essendovi obbligato data l’appartenenza della SIM alla Società, il codice PIN e il codice PUK che ne avrebbero consentito l’utilizzo. Di conseguenza, la Resistente, ha dovuto richiedere all’operatore telefonico una nuova SIM vergine con identico numero telefonico” (v. nota cit., p. 26);

v. “sul mancato esercizio al diritto alla cancellazione e alla portabilità” “preme osservare […] come il D. Lgs. n. 101 del 2018, nel rispetto dell’art. 23 del GDPR, ha ricompreso l’interesse a svolgere investigazioni difensive tra quelli meritevoli di particolare protezione. […] Ne deriva […] che la richiesta del Reclamante – per inciso del tutto illegittima oltre che infondata […] – vada limitata in ossequio a quanto previsto dall’art. 2-undecies del Codice della Privacy” (v. nota cit., p. 26, 27);

w. “la scrivente Società, dopo essersi resa disponibile - sia con la nota integrativa del 13.06.2019 che con l’Allegato A) alla nota difensiva del 10.04.2020 – a consentire l’intestazione della SIM in capo al [reclamante] - «su ordine di questa Autorità» (giammai pervenuto), anziché cessare l’utenza [oggetto del presente reclamo], ha ritenuto opportuno - prudenzialmente e melius re perpensa - continuare in buona fede a pagare il relativo canone in modo da poter ottemperare all’eventuale ordine di portabilità di questa Autorità. Nelle more la SIM non è mai stata utilizzata da chicchessia” (v. nota cit., p. 27);

x. “l’art. 22 comma 13 del D.Lgs. 101/2018 del 10.08.2018 […] ha sancito che «Per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie»” (v. nota cit., p. 27);

y. “come si può facilmente constatare, nel settembre/ottobre 2018 vi era una assoluta incertezza sul contesto normativo in cui i titolari del trattamento dovessero muoversi, una sorta di limbo in cui anche per gli addetti al settore risultava estremamente difficile individuare linee guida illuminanti per assicurare la compliance al GDPR e al Codice Privacy. In altre parole, durante tale periodo, in assenza di un’espressa abrogazione del d. lgs. 196/2003 e in attesa di nuovi provvedimenti attuativi di questa Autorità, non era in alcun modo chiaro quale fosse la disciplina applicabile per assicurare l’impegno dei titolari del trattamento dati a garantire la compliance alla nuova normativa (in particolare in termini di privacy by design e privacy by default)” (v. nota cit., p. 28);

In data 2 novembre 2021 la società ha inviato un’integrazione alle memorie difensive del 15 settembre 2020.

3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

3.1. All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, risulta che la Società, in qualità di titolare, ha effettuato alcune operazioni di trattamento, riferite al reclamante, che risultano non conformi alla disciplina in materia di protezione dei dati personali. In proposito si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

3.2. Principio di trasparenza e assenza di informazioni all’interessato.

Nel merito è emerso che la società, attraverso un consulente esperto in materia di «Digital Forensics and incident response», ha effettuato il trattamento di dati contenuti nel personal computer in uso al reclamante nel periodo in cui svolgeva l’attività lavorativa per la società, in assenza di un regolamento o altro specifico documento aziendale con il quale si fosse potuto rendere edotto l’interessato dei possibili controlli che Costampress S.p.A. si riservava di porre in essere nei confronti dei pc aziendali o di altri strumenti forniti ai propri lavoratori, nell’ambito del rapporto di lavoro.

La società, in proposito, ha precisato che la predisposizione del regolamento aziendale, concernente, tra l’altro, la regolamentazione dell’utilizzo dell’account di posta aziendale dei lavoratori e la nomina dell’amministratore di sistema autorizzato a visionare, per conto della società, i messaggi in entrata negli account aziendali, sarebbe spettata al reclamante e che lo stesso documento era presente in versione “bozza” al tempo del trattamento.

La società ha, inoltre, precisato di avere adottato “con delibera consigliare un «Disciplinare interno per l’utilizzo della strumentazione informatica aziendale, della rete internet, della posta elettronica e del numero telefonico aziendale» facente funzioni anche di informativa ex art. 13 GDPR”. Tale documento, che è stato fornito in allegato alle memorie difensive del 15 settembre 2020, risulta essere stato approvato dal Consiglio di Amministrazione durante l’assemblea del 24 settembre 2019 e reca la data del 23 settembre 2019.

Ciò posto, risulta quindi accertato che, nel periodo in cui è stato effettuato il controllo sui dati contenuti nel computer assegnato al reclamante, la società non aveva adottato alcun documento, in versione definitiva e comunque resa nota ai dipendenti, che regolamentasse i possibili controlli del datore di lavoro sugli strumenti forniti dallo stesso ai lavoratori. A conferma di ciò, la società, allegando la delibera del Consiglio di Amministrazione di approvazione del regolamento contenente l’informativa ai sensi dell’art. 13 del Regolamento, ha fornito un documento redatto tuttavia in un periodo di molto successivo, rispetto ai fatti oggetto di reclamo.

A nulla rileva che la società abbia dichiarato che il compito di redigere il regolamento in merito all’utilizzo dell’account di posta aziendale dei lavoratori e alla nomina dell’amministratore di sistema autorizzato a visionare, per conto della società, i messaggi in entrata negli account aziendali fosse attribuito al reclamante. Ferma restando, infatti, l’eventuale responsabilità civile dell’amministratore nei confronti della società, l’eventuale responsabilità derivante da inadempimento di obblighi di legge, da parte dello stesso, ricade comunque sulla società in quanto quest’ultima assume il ruolo di titolare del trattamento.

L’obbligo di fornire la c.d. informativa di cui all’art. 13 del Regolamento, inoltre, grava sul titolare del trattamento che, nell’ambito del rapporto di lavoro, è, di regola, il datore di lavoro, ruolo ricoperto, nel caso di specie, da Costampress S.p.A.

In proposito, si rileva preliminarmente che, conformemente al costante orientamento della Corte europea dei diritti dell’uomo, la protezione della vita privata si estende anche all’ambito lavorativo, considerato che proprio in occasione dello svolgimento di attività lavorative e/o professionali si sviluppano relazioni dove si esplica la personalità del lavoratore (v. artt. 2 e 41, comma 2, Cost).

Tenuto anche conto che la linea di confine tra ambito lavorativo/professionale e ambito strettamente privato non sempre può essere tracciata con chiarezza, la Corte ritiene applicabile l’art. 8 della Convenzione europea dei diritti dell’uomo posto a tutela della vita privata senza distinguere tra sfera privata e sfera professionale (v. Niemietz c. Allemagne, 16.12.1992 (ric. n. 13710/88), spec. par. 29; Copland v. UK, 03.04.2007 (ric. n. 62617/00), spec. par. 41; Bărbulescu v. Romania [GC], 5.9.2017 (ric. n. 61496/08), spec. par. 70-73; Antović and Mirković v. Montenegro, 28.11. 2017 (ric. n. 70838/13), spec. par. 41-42). Pertanto il trattamento dei dati effettuato mediante tecnologie informatiche nell’ambito del rapporto di lavoro deve conformarsi al rispetto dei diritti e delle libertà fondamentali nonché della dignità dell’interessato, a tutela di lavoratori e di terzi (v. Raccomandazione CM/Rec (2015)5 del Comitato dei Ministri agli Stati Membri sul trattamento di dati personali nel contesto occupazionale, spec. punto 3).

Il trattamento effettuato dalla società risulta, per quanto riguarda la mancanza di informativa all’interessato, quindi, in violazione dell’art. 13 del Regolamento, in base al quale il titolare è tenuto a fornire all’interessato - prima dell’inizio dei trattamenti - tutte le informazioni relative alle caratteristiche essenziali del trattamento stesso, nonché dell’art. 12 del Regolamento che dispone che “il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14” del Regolamento. Nell’ambito del rapporto di lavoro l’obbligo di informare l’interessato è, altresì, espressione del principio generale di correttezza dei trattamenti, sancito dall’art. 5, par. 1, lett. a) del Regolamento.

Con riferimento alla persistente attività dell’account di posta elettronica aziendale, a seguito della cessazione del rapporto di lavoro (5.10.2018) fino alla sua definitiva disattivazione (sulla base di quanto dichiarato dalla società, avvenuta in data 26.11.2018), tenuto conto del breve lasso di tempo intercorso e considerato che la società ha dichiarato di non avere avuto accesso alle comunicazioni pervenute sull’account in oggetto successivamente alla cessazione del rapporto di lavoro, si ritiene di archiviare lo specifico rilievo oggetto di contestazione.

Con riferimento ai profili relativi alla scheda SIM, a cui era associato il numero di telefono utilizzato dal reclamante anche per lo svolgimento dell’attività lavorativa, considerate le memorie difensive presentate dalla società, visto il documento di consegna al lavoratore, tra l’altro, della SIM e dell’associato numero di telefono, sottoscritto dallo stesso reclamante nel quale viene precisato che il materiale consegnato “dovrà essere restituito al termine della collaborazione con l’azienda”, si considerano superati i rilievi in proposito contestati e pertanto si ritiene di archiviare la relativa contestazione.

Con riferimento alla richiesta di portabilità del numero di telefono, considerato quanto previsto dall’art. 20 del Regolamento in merito ai presupposti necessari per l’esercizio di tale diritto, non si ritiene sussistano, nel caso di specie, gli estremi per adottare provvedimenti sanzionatori in relazione alla violazione dell’art. 20 del Regolamento, contenuta nella notifica di violazione e si ritiene, dunque, di archiviare nella parte riguardante tale specifico profilo oggetto di contestazione.

Infine, in merito alla lamentata impossibilità di accedere al computer del reclamante in data 5 ottobre 2018 non sono state riscontrate evidenze della violazione di disciplina dei dati personali e pertanto non sussistono gli estremi per adottare provvedimenti sanzionatori in proposito.

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Per i suesposti motivi l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento con riferimento agli artt. 5, par. 1, lett. a), 12, 13 e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro, con riferimento a tali profili, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati personali effettuato dalla società risulta infatti illecito, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a) (principio di correttezza), , 12 e 13 (informativa all’interessato) del Regolamento.

Visti i poteri correttivi attribuiti dall’art. 58, par. 2, del Regolamento, si dispone una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) del Regolamento).

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

All’esito del procedimento risulta che Costampress S.p.A. ha violato gli artt. 5, par. 1, lett. a), 12 e 13 del Regolamento. Per la violazione delle predette disposizioni è prevista l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. a) e b) del Regolamento, mediante adozione di un’ordinanza ingiunzione (art. 18, l. 24.11.1981, n. 689).

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

a) in relazione alla natura, gravità e durata della violazione è stata considerata rilevante la natura della violazione che ha riguardato i principi generali del trattamento, tra cui il principio di correttezza;

b) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare è stata presa in considerazione la condotta della Società e il grado di responsabilità della stessa che non si è conformata alla disciplina in materia di protezione dei dati relativamente a una pluralità di disposizioni;

c) a favore della Società si è tenuto conto dell’assenza di precedenti specifici.

Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla società con riferimento al bilancio ordinario d’esercizio per l’anno 2020. Da ultimo si tiene conto dell’entità delle sanzioni irrogate in casi analoghi.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Costampress S.p.A la sanzione amministrativa del pagamento di una somma pari ad euro 10.000 (diecimila).

In tale quadro si ritiene, altresì, in considerazione della tipologia delle violazioni accertate che hanno riguardato i principi generali del trattamento, in particolare il principio di correttezza, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante.

Si ritiene, altresì, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO, IL GARANTE

rileva l’illiceità del trattamento effettuato da Costampress S.p.A., in persona del legale rappresentante, con sede legale in Via Taliercio 13, Scorzè (VE), C.F. 00273100271, ai sensi dell’art. 143 del Codice, per la violazione degli artt. 5, par. 1, lett. a), 12, 13 del Regolamento;                                               

DETERMINA

di archiviare la contestazione adottata nei confronti di Costampress S.p.A. in persona del legale rappresentante pro-tempore, con atto del 29 luglio 2020, limitatamente alla violazione degli artt. 5, par. 1, lett. a) e c), 6 nonché dell’art. 20 del Regolamento;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento a Costampress S.p.A., di pagare la somma di euro 10.000 (diecimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

quindi alla medesima Società di pagare la predetta somma di euro 10.000 (diecimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/20129, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 10 febbraio 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei