[doc. web n. 9795350]

Ordinanza ingiunzione nei confronti di Unicredit S.p.A. - 16 giugno 2022*

*Il provvedimento è stato impugnato

Registro dei provvedimenti
n. 225 del 16 giugno 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presentato ai sensi dell’art. 77 del Regolamento in data 15 ottobre 2019 dal Sig. XX nei confronti di Unicredit S.p.A.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. Il reclamo nei confronti della Società e l’attività istruttoria.

1.1. Con reclamo del 15 ottobre 2019, il Sig. XX ha lamentato presunte violazioni del Regolamento, da parte di Unicredit S.p.A. (di seguito, la Società), con riferimento al mancato riscontro alla richiesta di accedere ai dati personali trattati nell’ambito del rapporto di lavoro ai sensi dell’art. 15 del Regolamento. In particolare il reclamante lamenta di aver presentato un’istanza di accesso, in data 28 marzo 2019, a cui la Società ha risposto il 3 aprile 2019 con un riscontro meramente interlocutorio.

Il reclamante lamenta, altresì, la violazione degli artt. 16 e 17 del Regolamento, in relazione al mancato adeguamento della valutazione della prestazione lavorativa relativa al 2008 e, di conseguenza, alla corretta “ricostru[zion]e [della] carriera lavorativa”, a seguito della dichiarazione di illegittimità, da parte dell’Autorità giudiziaria, della sanzione disciplinare irrogata dalla Società nei confronti del reclamante e di inefficacia del giudizio negativo per l’anno 2008 formulato nei confronti dello stesso.

Con il reclamo è stato chiesto all’Autorità di ingiungere alla Società di soddisfare la richiesta di esercizio del diritto di accesso di cui all’art. 15 del Regolamento nonché di “avvertire o ammonire che il modulo predisposto per l’esercizio dei diritti dell’interessato” ha violato o può violare le disposizioni in materia e di ordinare di rettificare e/o cancellare i dati personali dell’interessato “in relazione al giudizio negativo per l’anno 2008 (dichiarato inefficace) e la sanzione disciplinare (dichiarata illegittima)”.

1.2. La Società, nel fornire riscontro all’invito ad aderire dell’Autorità del 3 dicembre 2019, con nota del 9 gennaio 2020 ha dichiarato che:

a. “alla data di ricezione della […] lettera [inviata dall’Ufficio] non era stato dato riscontro all’istanza di accesso presentata dal [reclamante] perché, non avendo egli dato alcun seguito – neppure per contestarla – alla nostra comunicazione del 3 aprile 2019, con la quale gli chiedevamo di inoltrarci la richiesta compilando il modulo presente sul Portlet Privacy della banca, avevamo ritenuto non fosse più interessato all’esercizio del diritto di accesso ed avesse fatto decadere la richiesta. A seguito della ricezione della […] lettera [inviata dall’Ufficio], abbiamo provveduto, in data 23 dicembre 2019, a consegnare tramite corriere […] le informazioni richieste” (nota 9/1/2020 cit., p. 1);

b. con riferimento alle modalità attraverso le quali la Società riscontra le istanze di esercizio dei diritti previsti dal Regolamento (Ue) 2016/679 (di seguito “Regolamento”) “Unicredit ha predisposto modalità di riscontro differenziate per tipologia di interessati, distinguendo tra dipendenti in servizio, ex dipendenti, altri interessati (clienti, potenziali clienti, ecc.). Con specifico riferimento al diritto di accesso: per i dipendenti in servizio è previsto che la richiesta pervenga tramite il canale HR web ticket […] allegando il modulo […] che può essere recuperato in una specifica sezione […] del Portlet Privacy dell’Intranet del gruppo” (nota cit., p. 1, 2);

c. “per gli ex-dipendenti è previsto che la richiesta venga inviata via mail ad un indirizzo della funzione HR, allegando il modulo […]. La risposta viene fornita tramite mail o posta ordinaria” (nota cit., p. 2);

d. “la compilazione del modulo predisposto ha il solo scopo di agevolare il richiedente e rendere più facilmente intellegibile l’oggetto della richiesta, riducendo il rischio di dover chiedere chiarimenti o di fornire risposte non adeguate” (nota cit., p. 2);

e. “per quel che riguarda le richieste dei clienti, esse sono sempre state accolte anche se formulate senza l’utilizzo del modulo predisposto dalla banca, mentre per le richieste dei dipendenti, considerato che […] il modulo è agevolmente scaricabile dal portale, la compilazione dello stesso è stata considerata una condizione necessaria per accogliere le richieste. Abbiamo peraltro deciso di prevedere che, fermo restando l’attuale processo, laddove la richiesta priva del modulo contenga comunque tutte le informazioni necessarie ad evaderla correttamente, verrà comunque accolta, e stiamo provvedendo a dare istruzioni in tal senso all’ufficio che elabora tali richieste” (nota cit., p. 2);

f. “Unicredit si è conformata alla sentenza della Corte d’Appello rimborsando il [reclamante] dei dieci giorni di retribuzione relativi al periodo di sospensione dal servizio, ed aveva già comunicato […], a maggio [del 2019], […] che la valutazione di «prestazione insufficiente» era inefficace. Si è ora provveduto a rettificare tale valutazione nel fascicolo del [reclamante], passandola a «prestazione nel complesso in linea con le aspettative»” (nota cit., p. 2);

g. “i documenti relativi alle valutazioni sono conservati come pdf scansionati ed inseriti nel fascicolo digitale di ciascun dipendente fino all’anno 2010, mentre, con riferimento alle valutazioni aziendali e ai giudizi professionali relativi agli anni dal 2011 in poi, i dati sono visibili negli applicativi HR in modalità self-service” (nota cit., p. 2);

h. “la correzione del dato riferito alla valutazione per l’anno 2008 e la «cancellazione» della sospensione dal servizio non hanno comportato l’eliminazione del dato precedente” (nota cit., p. 2);

i. la Società ha “ritenuto che fosse corretto e nel miglior interesse tanto del titolare quanto dell’interessato conservare la registrazione degli eventi prodottisi nel tempo, in modo da poterli ricostruire in caso di necessità, integrando le registrazioni con delle note che chiariscono che il vecchio dato – nella fattispecie, la sospensione ed il giudizio di prestazioni insufficienti – è stato corretto in adempimento di una decisione giudiziaria. Naturalmente, eventuali documenti da produrre per l’esterno riporteranno solo il dato rettificato” (nota cit., p. 2).

In data 14 maggio 2020 il reclamante ha inviato le proprie controdeduzioni, precisando che:

a. “i dati personali inviati tardivamente da Unicredit S.p.A. (soltanto dopo il reclamo e il conseguente invito a riscontrare del Garante) non hanno comunque soddisfatto il diritto di accesso dell’interessato […]. Unicredit S.p.A. si è limitata a inviare un insieme di dati indistinti ed indifferenziati, estratto dagli archivi aziendali, senza fornire però le informazioni previste dal[l’]art. 15 e richieste dall’interessato. In particolare, non sono state fornite le informazioni su: finalità dei trattamenti dei dati personali dell’interessato; categorie di dati personali oggetto dei trattamenti; destinatari o categorie di destinatari dei dati personali; periodo di conservazione dei dati personali o quantomeno criteri utilizzabili per determinare tale periodo; informazioni sull’origine dei dati personali non raccolti presso l’interessato; esistenza di processi decisionali automatizzati e informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento automatizzato per l’interessato” (nota 14/5/2020 cit., p. 2);

b. “Unicredit S.p.A. incorre […] in una ulteriore violazione, in quanto il cosiddetto «passaggio di valutazione» è avvenuto con l’inserimento di un dato personale ancora una volta inesatto. Infatti, la sostituzione del giudizio posto nel nulla dalla sentenza della Corte di Appello di Milano, sezione lavoro (che doveva essere cancellato) aveva quale atto presupposto e necessario la convocazione del [reclamante] da parte dei superiori gerarchici e lo svolgimento della procedura con la quale, in contraddittorio tra le parti, si sarebbe formulata la nuova valutazione” (nota cit., p. 3).

Il 22 luglio 2020, a seguito di una richiesta di ulteriori chiarimenti inviati da questo Dipartimento (il 18/6/2020), la Società ha dichiarato che:

a. “in data 23 dicembre 2019 abbiamo spedito [al reclamante] un plico contenente tutta la documentazione richiesta. La stessa documentazione la stiamo inviando […] a codesta spett.le Autorità, confermando che si tratta della totalità delle informazioni riguardanti il [reclamante], detenute da Unicredit in qualità di datore di lavoro. Non abbiamo invece inviato i documenti che il [reclamante], come qualsiasi altro dipendente in servizio, può autonomamente scaricare dal sistema, come ad esempio valutazioni aziendali e giudizi professionali relativi agli anni dal 2011 in poi” (nota 22/7/2020 cit., p. 1);

b. “in ordine alle modalità e finalità dei trattamenti effettuati, abbiamo richiamato il contenuto dell’informativa, fornita al [reclamante] ed allegata alla documentazione inviata, che riporta le finalità dei trattamenti, le categorie di dati personali trattati, le categorie di destinatari dei dati personali, il periodo di conservazione dei dati. Non ci sono informazioni su processi decisionali automatizzati perché Unicredit non utilizza tali processi nel trattamento dei dati dei dipendenti” (nota cit., p. 1);

c. con riferimento alla “lamentata persistente inesattezza del dato riferito al «passaggio di valutazione»” “ritenevamo fosse corretto, e nel miglior interesse tanto del titolare quanto dell’interessato, conservare la registrazione degli eventi prodottisi nel tempo, in modo da poterli ricostruire in caso di necessità. Non ricorre infatti nel caso […] un diritto alla cancellazione di cui all’art. 17 del GDPR, ma una rettifica di cui all’art. 16” (nota cit., p. 1, 2);

d. la Società ha provveduto a “rettificare la valutazione nel fascicolo del [reclamante], inserendo la prima valutazione non negativa (“Prestazione nel complesso in linea con le aspettative”) ed integrando le registrazioni con delle note che chiariscono che il vecchio dato – nella fattispecie, la sospensione ed il giudizio di prestazioni insufficienti - è stato corretto in adempimento di una decisione giudiziaria” (nota cit., p. 2).

Il 21 settembre 2020, a seguito dell’invito a fornire ulteriori chiarimenti del 4 settembre 2020, il reclamante ha dichiarato che:

a. “il titolare si è limitato a comunicare, in data 3 aprile 2019, di avere preso in carico la richiesta di accesso del 27 marzo 2019, senza che poi, a tale comunicazione, facesse seguito né la comunicazione all’interessato delle informazioni ex art. 15 GDPR, né la comunicazione di un motivato differimento dei termini stante la complessità delle informazioni da fornire all’interessato” (nota 21/9/2020 cit., p. 1);

b. “il titolare […] non ha comunicato l’esistenza del trattamento relativo al processo di valutazione della prestazione dei dipendenti (cosiddetto Unicredit Performance Management […])” (nota cit., p. 3);
c. con riferimento alla valutazione della prestazione del dipendente “l’interessato è stato sottoposto a una decisione basata unicamente sul trattamento automatizzato (senza intervento umano), decisione che produce effetti giuridici che lo hanno riguardato o che ha comunque significativamente inciso sulla sua persona” (nota cit., p. 5).

In data 13 gennaio 2021, a seguito di un’ulteriore richiesta di elementi dell’Autorità, la Società ha infine dichiarato che:

a. “non siamo purtroppo in grado di dire se il testo dell’informativa sia stato o meno allegato al plico di documenti inviati […] a luglio scorso ma, in ogni caso, il [reclamante] ne era già in possesso ed inoltre poteva e può in qualsiasi momento agevolmente scaricarlo dal sito aziendale” (nota 13/1/2021 cit., p. 1);

b. “le informazioni che a norma dell’art. 15 del Regolamento l’interessato ha diritto di ottenere [sono] tutte già contenute nell’informativa. […]. L’informativa indica già chiaramente quali siano le finalità del trattamento (Sez. 2 dell’informativa), quali siano le categorie di dati trattati (Sez. 3 dell’informativa), quali siano i destinatari o categorie di destinatari cui i dati possono essere comunicati (Sez. 4 dell’informativa), e quale sia il periodo di conservazione Sezione 7.1 dell’informativa), nonché elenca i diritti dell’interessato e la possibilità di proporre reclamo alle Sez. 7 e 10” (nota cit., p.1);

c. non è stato effettuato “un procedimento automatizzato, senza intervento umano, nel trattamento dei dati dei dipendenti. L’attribuzione al [reclamante] di una valutazione «nel complesso in linea con le aspettative» non è stata il frutto di un processo decisionale automatizzato senza l’intervento umano, ma una decisione assunta da un dipendente di Unicredit, Head of Operations Italy, ed è una corretta applicazione della decisione della Corte di Appello di Milano come confermata dalla Corte di Cassazione, che prevedeva esclusivamente l’inefficacia del giudizio negativo per l’anno 2008 e non la «ricostruzione della storia professionale» del [reclamante]. Tutti gli elementi per procedere alla sostituzione della valutazione dichiarata inefficace erano già stati acquisiti; non era pertanto necessaria alcuna nuova convocazione del dipendente […] né alcun contraddittorio” (nota cit., p.1, 2).

2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e le deduzioni della Società.

Il 1° marzo 2021 l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione alla Società delle presunte violazioni del Regolamento riscontrate, con riferimento agli artt. 5, par. 1, lett. a), 12 e 15 del Regolamento.

Con memorie difensive inviate in data 29 marzo 2021 la Società ha dichiarato che:

a. “le modalità seguite [dalla Società] nel riscontrare la richiesta di accesso da parte del [reclamante] sono il risultato della genericità della richiesta inviata”; infatti il reclamante ha formulato “una richiesta di accesso che faceva riferimento a qualsiasi tipologia di dato, di trattamento e informazione che può essere richiesta ai sensi del Regolamento, il che evidentemente non consentiva alla Società, a causa della sua ampiezza e genericità, di comprendere in modo puntuale quali dati personali e quali informazioni il [reclamante] era interessato ad ottenere” (nota 29/3/2021, punto 2);

b. “UniCredit ha preso in carico e dato seguito alla istanza del [reclamante] entro 4 giorni dalla richiesta, segnalando all’interessato la necessità di compilare il modulo messo a disposizione sul portale della società”; “La compilazione di detto modulo […] era […] volta […] ad agevolare l’esercizio dei diritti attraverso l’adozione di un sistema organizzativo idoneo atto a permettere al medesimo interessato, che aveva effettuato una richiesta generica, di indicare con precisione quali informazioni erano allo stesso necessarie” (nota cit., punto 2.1);

c. “la Società tratta sicuramente una notevole quantità di dati personali non solo rispetto ai singoli interessati che hanno un rapporto continuativo con la stessa (come ad esempio nel caso del [reclamante], dipendente della società da 18 anni) ma anche, essendo una delle più grandi banche europee con oltre 8 milioni di clienti e con circa 34 mila dipendenti, rispetto a numerosi soggetti” (nota cit., punto 2.1);

d. “La circostanza che il [reclamante] non abbia mai inviato il modulo e che la richiesta del suo avvocato comprendesse qualsiasi informazione sul trattamento dei dati personali del suo assistito conferma […] che ci troviamo di fronte ad una richiesta “manifestamente infondata” ed “eccessiva” da parte del [reclamante]” (nota cit., punto 2.1);

e. “la modalità in cui le informazioni richieste sono state fornite al [reclamante] è dovuta alla circostanza che lo stesso non ha chiarito a quali informazioni fosse interessato senza compilare il modulo fornito da UniCredit. In ogni caso, le informazioni fornite sono certamente intellegibili dal [reclamante] perché riguardavano la sua vita lavorativa che lo stesso certamente conosce in modo approfondito” (nota cit., punto 2.2);

f. l’informativa predisposta dalla Società, fornita ai dipendenti al momento dell’assunzione e messa a disposizione “sul sito aziendale accessibile direttamente ed in qualsiasi momento al dipendente […], delinea, nel dettaglio ed in maniera esaustiva, le attività di trattamento svolte dalla società, ivi incluse informazioni circa le finalità del trattamento, le categorie di dati personali trattati, le categorie di destinatari a cui i dati personali sono comunicati, il periodo di conservazione dei dati personali” (nota cit., punto 2.3);

g. pertanto la società “ha specificatamente indicato al [reclamante] dove queste informazioni erano accessibili nell’ambito dell’informativa. In presenza di sufficienti informazioni sulle modalità di trattamento dei dati personali nell’ambito dell’informativa, non si vede quali ulteriori informazioni dovrebbero essere state fornite al [reclamante]” (nota cit., punto 2.3);

h. “non si è verificato alcun ritardo nel riscontro da parte di UniCredit alla richiesta di accesso da parte del [reclamante]. La Società ha prontamente inviato al [reclamante] il modulo finalizzato a comprendere in dettaglio le informazioni a cui lo stesso era interessato e non ha ricevuto alcun riscontro dallo stesso. In mancanza di un riscontro, il termine per l’esercizio dei diritti deve considerarsi sospeso perché il titolare del trattamento non è nella condizione di poter dar seguito alla stessa” (nota cit., punto 3);

i. la Società “chiede al Garante […] di riconoscere e dichiarare che non sussistono i presupposti per l’applicazione delle sanzioni amministrative per la violazione degli articoli (i) 5 par. 1, lett a) del Regolamento, (ii) 12, par 2 e 3 del Regolamento o, in via subordinata, che ricorrono i presupposti per l’applicazione di sanzioni nella misura minima prevista dalla legge”.

In data 15 giugno 2021 si è tenuta l’audizione della Società su richiesta della stessa. La parte ha rappresentato che “in base alle disposizioni aziendali, al fine di riscontrare le istanze di esercizio dei diritti da parte dei propri dipendenti, Unicredit ha predisposto l’attivazione di una funzione di ticketing nell’ambito del quale è prevista la compilazione di un modulo. La richiesta è presa in carico anche in assenza della compilazione del modulo, purché sia chiaramente indicata la tipologia di dati di cui si ha interesse ad accedere e, eventualmente, le finalità sottese. Ciò in ossequio al principio espresso dal GDPR in base al quale le richieste non devono essere pretestuose”. La Società ha sottolineato “l’approccio pienamente collaborativo tenuto nei confronti dell’istante e nei confronti dell’Autorità […] e la mancanza di alcun danno subito dall’istante che ha ricevuto tutte le informazioni richieste”. È stato infine precisato che in base alle procedure in uso “la società fornisce copia dei dati personali trattati, mentre con riferimento alle altre informazioni di cui all’art. 15 del GDPR rinvia al contenuto dell’informativa, considerato che l’informativa è già di per sé trasparente”.

3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

3.1. Esito dell’istruttoria.

All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, risulta che la Società, in qualità di titolare, ha effettuato alcune operazioni di trattamento, riferite al reclamante, che risultano non conformi alla disciplina in materia di protezione dei dati personali. In proposito si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

Nel merito è emerso che la Società, in data 3 aprile 2019, ha fornito all’istanza di accesso ai propri dati personali, presentata il 28 marzo 2019 dal reclamante, un riscontro meramente interlocutorio (“abbiamo preso in carico la richiesta […] a cui daremo riscontro nei tempi previsti dall’art. 12 del Regolamento”), accompagnato dalla richiesta al richiedente di compilare e sottoscrivere un modulo predefinito “per dare corso alla richiesta di accesso”.

Solo a seguito della presentazione di un reclamo all’Autorità e dell’avvio del relativo procedimento amministrativo, la Società ha collaborato con il Garante ed ha fornito all’interessato un effettivo riscontro mediante l’invio di documentazione contenente i dati personali già oggetto di istanza di accesso e, quanto alla indicazione di informazioni relative al trattamento e ai diritti dell’interessato (di cui all’art. 15, lett. da a) a h) del Regolamento), tramite rinvio al contenuto dell’informativa generale fornita ai dipendenti.

3.2. Violazione degli artt. 12 e 15 del Regolamento in relazione all’obbligo di compilare un modulo predefinito.

La Società ha previsto, sia nel caso concreto oggetto di reclamo sia in termini generali in base ad una procedura riguardante tutte le istanze presentate da propri dipendenti ed ex dipendenti che, al fine di dare corso alla richiesta di accesso ai sensi dell’art. 15 del Regolamento, l’interessato debba necessariamente compilare un modulo predefinito a campi multipli, ciò al dichiarato scopo di “agevolare il richiedente e rendere più facilmente intellegibile l’oggetto della richiesta, riducendo il rischio di dover chiedere chiarimenti o di fornire risposte non adeguate”.

Posto che la predisposizione di un modulo può, in termini generali, costituire una modalità organizzativa volta ad agevolare gli interessati nella presentazione delle istanze, non è, invece, conforme alla disciplina vigente in materia di protezione dei dati personali condizionare, al previo invio del predetto modulo compilato, l’avvio della procedura preordinata a dare corso all’esercizio del diritto, e non prendere in considerazione nel merito le istanze presentate in forma libera.

Ciò a maggior ragione se, come nel caso oggetto di reclamo, l’istanza presentata indica in modo dettagliato - tramite il riferimento al contenuto dell’art. 15 - il novero dei dati personali in relazione ai quali si esercitava il diritto. Ciò indipendentemente dalla facoltà del titolare di chiedere all’interessato – se necessario – chiarimenti sull’oggetto dell’istanza.

Si rileva inoltre che il modello messo a disposizione dalla Società (in particolare quello inviato al reclamante in allegato al riscontro del 3/4/2019), per quanto riguarda la sezione che riguarda l’accesso (“Accesso ai dati personali – Art. 15 del Regolamento (UE)2016/679”), non riporta l’elenco completo e dettagliato delle informazioni indicate nell’art. 15 del Regolamento, con conseguente possibilità di indurre in errore gli interessati circa l’effettivo contenuto del diritto azionabile e, in ogni caso, fornendone una rappresentazione parziale (il predetto modello contiene infatti esclusivamente il riferimento alla possibilità di chiedere la conferma che sia in corso un trattamento e di chiedere la comunicazione dei medesimi dati, indicando nello specifico “i dati personali, le categorie di dati o il trattamento cui si fa riferimento”; inoltre due delle categorie di informazioni specificamente menzionate nell’art. 15 si trovano inserite nella diversa sezione “Richiesta di informazioni sul trattamento dei dati personali – Art. 13 e 14 del Regolamento (UE)2016/679”, in particolare le finalità del trattamento e i soggetti o le categorie dei soggetti ai quali gli stessi possono essere comunicati).

L’esercizio del diritto di accesso ai propri dati personali è strettamente correlato alla individuazione delle specifiche modalità e limiti temporali con i quali il titolare è tenuto a soddisfare le richieste dell’interessato, individuate dall’art. 12 del Regolamento al fine di rendere effettivi i principi di trasparenza e correttezza (cons. 58 e 60 del Regolamento). In particolare il titolare è tenuto ad “agevola[re] l’esercizio dei diritti dell’interessato ai sensi degli articoli da 15 a 22” (art. 12, par. 2, del Regolamento), e a “forni[re] all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa” (termine che può essere prorogato di due mesi, dando adeguata informazione all’interessato, nel caso di complessità ed elevato numero delle richieste ricevute; art. 12, par. 3, del Regolamento).

Per converso l’obbligo di compilare un modulo predefinito in aggiunta e indipendentemente dallo specifico contenuto di un’istanza di esercizio di un diritto riconosciuto dall’ordinamento aggrava (anziché facilitare attraverso l’adozione di misure appropriate) l’esercizio del diritto medesimo, peraltro distinguendo le categorie di interessati soggetti a tale obbligo (dipendenti e ex dipendenti) e le categorie esenti da tale vincolo (clienti), in base a considerazioni che non paiono conformi al principio di ragionevolezza (in particolare, secondo quanto dedotto dalla Società, la circostanza che, per quanto riguarda i dipendenti, il modulo predefinito sia “agevolmente scaricabile dal portale”).

Né può essere condivisa la tesi della Società in base alla quale, nel caso oggetto di reclamo, la mancata compilazione del modulo da parte dell’interessato e la circostanza che la richiesta presentata avesse a oggetto “qualsiasi informazione sul trattamento dei dati personali” del reclamante fossero in sé indice di una istanza “manifestamente infondata” e “eccessiva”.

Da un lato, infatti, la richiesta rivolta dal reclamante non appare “infondata” posto che l’art. 15 del Regolamento non prevede alcuna limitazione in ordine alle informazioni che possono essere oggetto di accesso, ben potendo darsi l’ipotesi che l’interessato chieda di conoscere proprio l’intero novero di dati trattati dal titolare (tanto che l’art. 12, par. 3 del Regolamento prevede la proroga dei termini per fornire riscontro all’istanza “tenuto conto della complessità e del numero delle richieste”). Ciò anche in considerazione del fatto che il diritto di accesso, nel sistema della protezione dei dati, consente all’interessato di esercitare il controllo sui dati personali che lo riguardano ponendosi anche in rapporto di propedeuticità rispetto a possibili ulteriori attività volte a tutelare i propri diritti (cons. 63 del Regolamento).

Tantomeno la richiesta dell’interessato poteva essere ritenuta “eccessiva” considerato che tale termine, letto anche alla luce della successiva formulazione (“in particolare per il […] carattere ripetitivo”), si riferisce per lo più all’ipotesi di pluralità delle richieste presentate e, nel caso di specie, non risulta che il reclamante avesse formulato in precedenza istanze di accesso.

In ogni caso, infine, si rappresenta che in base all’art. 12, comma 4, del Regolamento, il titolare “Se non ottempera alla richiesta dell'interessato, […] informa l'interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell'inottemperanza e della possibilità di proporre reclamo a un'autorità di controllo e di proporre ricorso giurisdizionale”.

Nel caso di specie il titolare avrebbe pertanto dovuto informare l’interessato circa i motivi per i quali non si dava corso all’istanza e i rimedi previsti dall’ordinamento avverso tale decisione.

La Società, per i motivi su esposti, ha pertanto violato gli artt. 15 e 12, par. 2, del Regolamento. L’Autorità prende atto che la Società nel corso del procedimento ha dichiarato che allo stato “la richiesta è presa in carico anche in assenza di compilazione del modulo”.

3.3. Violazione degli artt. 5, par. 1, lett. a), 12 e 15 del Regolamento in relazione al rinvio al contenuto dell’informativa.

È altresì emerso che la Società, successivamente all’apertura di un procedimento amministrativo da parte dell’Autorità, ha inviato al reclamante le copie dei documenti in suo possesso contenenti i dati personali riferiti all’interessato. Si evidenzia in proposito che la mole considerevole di documentazione cartacea inviata in copia al reclamante – e trasmessa anche all’autorità di controllo per conoscenza - non risulta essere stata fornita con modalità tali da facilitare l’accesso e la comprensione da parte dell’interessato, consentendo una sia pur minima organicità di fruizione.

Con il riscontro, non sono state fornite, tuttavia, le informazioni relative al trattamento dei dati richieste dal reclamante ai sensi dell’art. 15 del Regolamento (par. 1, lettere da a) a h) e par. 2). La Società ha infatti dichiarato di ritenere di avere già adempiuto a quanto in proposito previsto dal Regolamento posto che tutte le informazioni richieste dal reclamante possono essere rinvenute nel testo dell’informativa sul trattamento dei dati che lo stesso “poteva e può in qualsiasi momento agevolmente scaricar[e] dal sito aziendale”.

A tale ultimo proposito si evidenzia che il diritto, riconosciuto all’interessato, di accedere alle informazioni previste dall’art. 15 del Regolamento, in applicazione dei principi di trasparenza e correttezza (art. 5, par. 1, lett. a) del Regolamento), non può ritenersi soddisfatto per il solo fatto di aver fornito l’informativa di cui agli artt. 13 e 14 del Regolamento. Il diritto di accesso e il c.d. diritto di informativa, seppur correlati, sono, infatti, diritti differenti, sanciti da distinte disposizioni dell’ordinamento, rispondenti ad esigenze di tutela e garanzia dell’interessato non completamente sovrapponibili.

Come recentemente chiarito anche dalle Guidelines 01/2022 on data subject rights - Right of access, adottate il 18 gennaio 2022 (sottoposte a consultazione pubblica conclusa l’11 marzo 2022), in sede di riscontro all’istanza di accesso il titolare deve adattare alla specifica condizione dell’interessato quanto indicato in termini necessariamente generali nell’informativa (o nel registro dei trattamenti). Pertanto tutte le informazioni fornite nell’informativa, in sede di comunicazione all’interessato delle informazioni ai sensi dell’art. 15 del Regolamento, devono essere verificate e declinate alla luce delle concrete operazioni di trattamento effettuate nei confronti del richiedente (v. Guidelines 01/2022 cit., punto 110 e ss.; in termini generali v. par. 111 “In the context of an access request under Art. 15, any information on the processing available to the controller may therefore have to be updated and tailored for the processing operations actually carried out with regard to the data subject making the request. Thus, referring to the wording of its privacy policy would not be a sufficient way for the controller to give information required by Art. 15(1)(a) to (h) and (2) unless the « tailored » information is the same as the « general » information”, (trad. non ufficiale: “Nel contesto della comunicazione delle informazioni di cui all'articolo 15, tutte le informazioni sul trattamento di cui dispone il titolare del trattamento devono pertanto essere aggiornate e adattate alle operazioni di trattamento effettivamente svolte nei confronti dell'interessato che presenta la richiesta. Pertanto, il rinvio all’informativa privacy generale (privacy policy) non sarebbe un mezzo sufficiente per consentire al titolare del trattamento di fornire le informazioni di cui all'articolo 15, paragrafo 1, lettere a) -h), e (2), a meno che le informazioni "su misura" non coincidano con le informazioni "generali").

In base alle suesposte ragioni la Società ha violato i principi di trasparenza e correttezza (v. art. 5, par. 1, lett. a) del Regolamento) e, in particolare, l’obbligo di fornire un riscontro intelligibile e facilmente accessibile (art. 12 del Regolamento) all’istanza di accesso presentata ai sensi dell’art. 15 del Regolamento, contenente tutte le specifiche informazioni richieste dall’interessato con riferimento alle categorie di dati allo stesso riferiti trattati dal titolare.

L’Autorità prende atto che nel corso del procedimento la Società ha fornito riscontro al reclamante relativamente alle informazioni indicate nell’art. 15, par. 1, lett. h) del Regolamento con riguardo alle concrete attività di trattamento effettuate sui dati dell’interessato (assenza di decisioni basate unicamente su trattamenti automatizzati, anche con riferimento ai procedimenti valutativi).

3.4. Adempimento all’istanza di rettifica dei dati riferiti all’interessato.

Da ultimo è emerso che la Società, nel corso del procedimento davanti all’Autorità, ha provveduto a completare l’attività di rettifica dei dati riferiti al reclamante, contenuti nel fascicolo personale, a seguito della decisione dell’autorità giudiziaria, modificando la valutazione (dichiarata inefficace), a suo tempo formulata nell’ambito del procedimento valutativo delle prestazioni del reclamante. La condotta del titolare del trattamento che ha provveduto a effettuare la rettifica dei dati, e ha altresì inserito nel fascicolo note interne volte a rappresentare che “il vecchio dato […] è stato corretto in adempimento di una decisione giudiziaria”, precisando inoltre che “eventuali documenti da produrre per l’esterno riporteranno solo il dato rettificato”, risulta conforme a quanto previsto dal Regolamento in materia di rettifica e cancellazione, tenuto anche conto che, con il reclamo, era stata formulata all’Autorità la richiesta di voler, in relazione ai predetti dati, alternativamente “ordinare di rettificare e/o cancellare”, e che comunque il reclamante, anche nel corso del procedimento, non ha rappresentato i motivi specifici, tra quelli indicati dall’art. 17 del Regolamento, in virtù dei quali sussisterebbe in capo al titolare l’obbligo di procedere alla cancellazione dei dati personali.

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Per i suesposti motivi l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati personali effettuato dalla Società e segnatamente l’omesso riscontro all’istanza di accesso presentata dal reclamante, risulta infatti illecito, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a), 12 e 15 del Regolamento.

La violazione accertata nei termini di cui in motivazione non può essere considerata “minore”, tenuto conto della natura, della gravità e della durata della violazione stessa, del grado di responsabilità, della maniera in cui l'autorità di controllo ha preso conoscenza della violazione e di precedenti violazioni pertinenti (cons. 148 del Regolamento).

Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento:

si ingiunge al titolare di soddisfare le richieste dell’interessato riguardanti l’accesso alle informazioni indicate dall’art. 15, par. 1, lett. a) – g) (posto che in relazione a quanto previsto dalla lett. h) la Società ha fornito già, nel corso del procedimento, un riscontro riferito alle concrete attività di trattamento effettuate sui dati dell’interessato) (art. 58, par. 2, lett. c) Regolamento);

si dispone l’applicazione una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) Regolamento).

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

All’esito del procedimento risulta che Unicredit S.p.A. ha violato gli artt. 5, par. 1, lett. a), 12 e 15 del Regolamento. Per la violazione delle predette disposizioni è prevista l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. a) e b) del Regolamento, mediante adozione di un’ordinanza ingiunzione (art. 18, l. 24.11.1981, n. 689).

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

a) in relazione alla natura, gravità e durata della violazione è stata considerata rilevante la natura della violazione che ha riguardato i principi generali del trattamento nonché l’esercizio dei diritti dell’interessato;

b) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare è stata presa in considerazione la condotta della Società e il grado di responsabilità della stessa che non si è conformata alla disciplina in materia di protezione dei dati relativamente a una pluralità di disposizioni;

c)  che la Società è risultata destinataria di quattro provvedimenti adottati dal Garante uno dei quali, in particolare, a seguito dell’accertamento della violazione dell’obbligo di fornire riscontro all’esercizio dei diritti degli interessati con le specifiche modalità di cui all’art. 12 del Regolamento (v. Provv.to 25/11/2021, n. 408, doc. web n. 9731887); la precedente violazione accertata denota l’insufficiente predisposizione di misure volte a consentire agli interessati di esercitare il controllo sui propri dati personali, attraverso la messa a disposizione di elementi informativi relativi al trattamento, così come, nel caso di specie, all’interessato non è stato consentito il controllo sui propri dati attraverso l’esercizio del diritto di accesso (in relazione al parametro di cui all’art. 83, par. 2, lett. e), v. Gruppo di lavoro Articolo 29 per la protezione dei dati, Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679, 3.10.2017);

d) a favore della Società si è tenuto conto della cooperazione con l’Autorità di controllo e della circostanza che la violazione accertata ha riguardato il solo reclamante.

Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla società con riferimento al bilancio ordinario d’esercizio per l’anno 2021. Da ultimo si tiene conto dell’entità delle sanzioni irrogate in casi analoghi.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Unicredit S.p.A., la sanzione amministrativa del pagamento di una somma pari ad euro 70.000 (settantamila).

In tale quadro si ritiene, altresì, in considerazione della tipologia delle violazioni accertate che hanno riguardato i principi generali del trattamento e l’esercizio dei diritti dell’interessato, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante.

Si ritiene, altresì, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO, IL GARANTE

rileva l’illiceità del trattamento effettuato da Unicredit S.p.A., in persona del legale rappresentante, con sede legale in Piazza Gae Aulenti, 3, Tower A, Milano (MI), C.F. 00348170101, ai sensi dell’art. 143 del Codice, per la violazione degli artt. 12 e 15 del Regolamento;

INGIUNGE

ai sensi dell’art. 58, par. 2, lett. c) del Regolamento a Unicredit S.p.A. di soddisfare la richiesta dell’interessato riguardante l’accesso alle informazioni indicate dall’art. 15, par. 1, lett. a) – g), nei termini di cui in motivazione, entro 60 giorni dal ricevimento del presente provvedimento;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento a Unicredit S.p.A., di pagare la somma di euro 70.000 (settantamila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

quindi alla medesima Società di pagare la predetta somma di euro 70.000 (settantamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/20129, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

Richiede a Unicredit S.p.A. di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto disposto con il presente provvedimento e di fornire comunque riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice, entro il termine di 90 giorni dalla data di notifica del presente provvedimento; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 5, lett. e) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 16 giugno 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei