[doc. web n. 10122998]

Provvedimento del 27 febbraio 2025

Registro dei provvedimenti
n.  93 del 27 febbraio 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presentato dal sig. XX in data 07/01/2024, ai sensi dell’art. 77 del Regolamento con cui è stata lamentata una violazione della disciplina in materia di protezione dei dati personali da parte di Security Service s.r.l.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Il reclamo nei confronti della Società e l’avvio dell’attività istruttoria.

Con il reclamo presentato a questa Autorità in data 7/01/2024, il Sig. XX ha lamentato di aver presentato un’istanza di esercizio dei diritti nei confronti di Security Service s.r.l. (di seguito “la società”) formulata ai sensi dell’art. 15 del Regolamento UE 679/2016, e di non aver ricevuto tempestivamente riscontro.

In particolare, con l’istanza notificata via e-mail in data 05/09/2023 e successivamente sollecitata in data 17/10/2023, il reclamante ha chiesto di accedere ai propri dati personali e, in particolare, a quelli contenuti nella seguente documentazione: “primo contratto di assunzione Gennaio 2015; successivo contratto indeterminato; due busta paga per anno lavorativo da gennaio 2015 fino a luglio 2019”. Tali richieste sono rimaste prive di riscontro da parte della Società.

Con nota datata 01/02/2024, il Garante ha invitato la Società a fornire osservazioni, in ordine ai fatti oggetto di reclamo, nonché ad aderire all’istanza di esercizio dei diritti avanzata dal reclamante.

La Società, con la nota del 13/02/2024, ha riscontrato l’invito ricevuto da questa Autorità, affermando che:

- “il venir meno dell'impiego dei dati personali [dell’interessato]esonera la scrivente dalle incombenze previste per il caso di trattamento e da ogni onere finanche di identificazione degli stessi ex art. 11 Regolamento n.2016/679 UE”;

- “l'istanza [dell’interessato] è stata da noi esaminata rivelandosi pertinente a documenti tutti già consegnati: Il primo contratto di assunzione a termine è stato consegnato in data 17.01.2015 e sottoscritto per ricevuta [dall’interessato], altrettanto è avvenuto in data 17.02.15 per la proroga del detto contratto nonché in data 30.05.15 per il contratto a tempo indeterminato le buste paga sono state consegnate attraverso impiego di password personale assegnata [all’interessato] per l'accesso alla nostra piattaforma digitale. Della avvenuta consegna dà evidenza la corrispondenza intervenuta tra la scrivente e [l’interessato]nonché il ricorso ex art 414 c.p.c dal predetto proposto”;

- “le osservazioni di cui sopra manifestano l'infondatezza del reclamo ed il carattere abusivo della richiesta poiché pertinente a documentazione tutta già fornita [all’interessato] nel corso del rapporto di lavoro, con manifesta ripetitività che consente di non dar seguito alla richiesta anche ex art. 12 del Regolamento n.2016/679/UE”;

- “per rispetto verso l'Autorità Garante e al fine di scongiurare tempi più lunghi di procedimento si allegano alla presente i chiesti documenti relativi al rapporto di lavoro [dell’interessato] e le buste paga dal 2015 al 2019 in misura di due per anno come richiesto; nonché la documentazione attestante la cessazione del rapporto di lavoro nonché anche il ricorso ex art 414 c.p.c. e attestante il possesso delle buste paga da parte [dell’interessato]”.

2. L’avvio del procedimento.

Per quanto sopra, l’Ufficio provvedeva a notificare alla Società, con nota del 25/06/2024, l’atto di avvio del procedimento, ai sensi dell’art. 166, comma 5, del Codice in relazione alla violazione degli artt. 12, par. 3, e 15 del Regolamento.

La Società inviava, in data 08/07/2024, i propri scritti difensivi, ai sensi dell’art. 18 della legge n. 689/1981, con cui argomentava che:

- “[l’interessato] ha rinunciato al reclamo e al procedimento in oggetto con nota del 26.06.24 già trasmessavi dal predetto e che si allega alla presente. Con detta nota [l’interessato] ha anche dichiarato di avere rinvenuto i documenti per i quali ha avviato il reclamo in occasione della proposizione di azione giudiziaria del gennaio 2024, ossia proposta prima della notifica del reclamo alla scrivente e del riscontro di cui alla nostra nota del 09.02.24”;

- “La rinuncia [dell’interessato] fa venir meno l'interesse alla prosecuzione del procedimento e produce la necessità di sua archiviazione senza emissione di provvedimenti, tantomeno in danno della scrivente”;

- “Va, comunque, ribadito che il rapporto di lavoro [dell’interessato] si è concluso per dimissioni del 23.07.19 data dalla quale sono cessate sia le esigenze e le causali legittimanti il trattamento dei dati personali del predetto a nostra cura; sia anche l'autorizzazione già concessaci [dall’interessato], limitatamente al periodo di servizio, per il trattamento dei suoi dati”;

- “Dalla data del 23.07.19 la scrivente non effettua alcun trattamento dei dati personali [dell’interessato] né è legittimata e autorizzata a tanto e non può, quindi, e individuata come titolare/ responsabile del trattamento dei dati personal predetto. Con l'ulteriore conseguenza che dal 23.07.19 la scrivente non sottoposta agli obblighi già derivanti da tale posizione”;

- “Cass. Civ. n. 32533 del 2018 citata nella nota in riscontro si è espressa su fattispecie relative a dipendenti in servizio che, appunto durante il rapporto di lavoro, non avevano ricevuto accesso ad alcuni documenti. La statuizione conferma che il datore di lavoro è sottoposto agli oneri derivanti dal trattamento dei personali dei dipendenti, quale titolare del relativo trattamento, solo quando i rapporti di lavoro sono in essere poiché solo in costanza di rapporto di lavoro esiste la necessità e la causa legale che legittima il datore di lavoro all'impiego dei relativi dati personali, così individuandolo come responsabile del trattamento. In questi termini l'art. 88 del Reg. n.2016/679/UE che circoscrive la protezione e il trattamento dei dati dei dipendenti nell'ambito del rapporto di lavoro ossia esclusivamente in costanza di esso. Diversamente, l'imposizione al datore di lavoro del trattamento dei dati di lavoratori ormai cessati dal servizio risulterebbe non solo abusiva perché priva di causale ma anche in manifesta violazione dell'art. 41 Cost. procurando la sottoposizione dell'impresa a oneri estremamente gravosi ancorché ingiustificati”;

- “Di qui l'infondatezza del reclamo presentato [dall’interessato] che aveva già ricevuto i documenti in corso di rapporto di lavoro e senz'altro prima del reclamo stesso e non aveva, comunque, titolo a pretendere dalla scrivente l'adempimento degli oneri previsti in capo al titolare del trattamento dei dati per essere cessato il suo rapporto di lavoro e con questo ogni legittimazione della scrivente in merito ex art. 6 e 11 Reg.n.2016/679 UE, non più ricoprendo la posizione di titolare del trattamento dei dati già rivestita in corso di rapporto di lavoro”;

- “Del tutto gradatamente si evidenzia che lo stesso [interessato] ha riconosciuto di avere "rinvenuto" i documenti che, quindi, erano già stati consegnati al predetto in corso di rapporto. Si tratta, inoltre, del primo e unico caso di reclamo a Codesta Autorità notificato alla scrivente, circostanza che dimostra l'estrema lievità e l’assoluta mancanza di intenzionalità della condotta, a tal fine dovendosi considerare che l'organico della scrivente supera le mille unità. Le modalità impiegate dalla scrivente per consentire l'accesso del personale dipendente ai documenti e alle informazioni di lavoro - ossia la password personale consegnata a ogni dipendente che ne consente l'immediato collegamento con piattaforma digitale di raccolta della documentazione - dimostra la piena attuazione di misure di tutela dei dati personali e, nel contempo, di immediata rilevazione dei medesimi da parte degli interessati”;

- “Infine i documenti chiesti [dall’interessato] (contratto di lavoro e alcune buste paga) raccolgono dati tecnici senza rientrare nella categoria dei dati personali tantomeno particolari, il che conferma il rilievo minimo della condotta ingiustamente imputata alla scrivente da esaminare anche tenendo conto dell'immediata cooperazione manifestata all'Autorità in indirizzo attraverso la consegna dei documenti allegati alla precedente nota del 13.02.24”.

3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, risulta che la Società, in qualità di titolare del trattamento, ha effettuato alcune operazioni di trattamento, riferite al reclamante, che risultano non conformi alla disciplina in materia di protezione dei dati personali.

In proposito si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

Nel merito, è emerso che la Società non ha dato riscontro all’istanza di esercizio dei diritti, presentata dal reclamante ai sensi dell’art. 15 del Regolamento, e che, solo a seguito della presentazione del reclamo e dell’apertura dell’istruttoria da parte del Garante, è stato consentito l’accesso ai dati personali e alle ulteriori informazioni riferite al rapporto di lavoro intercorso con la parte.

L’adempimento è dunque avvenuto oltre il termine previsto dall’art. 12, par. 3 del Regolamento, il quale prevede che il titolare del trattamento deve fornire “all'interessato le informazioni relative all'azione intrapresa riguardo a una richiesta ai sensi degli articoli 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa”.

In particolare, dagli atti dell’istruttoria si rileva che la Società non ha dato idoneo riscontro all’istanza di accesso ex art. 15 del Regolamento presentata dal reclamante relativamente ai dati personali contenuti nella seguente documentazione: “primo contratto di assunzione Gennaio 2015; successivo contratto indeterminato; due busta paga per anno lavorativo da gennaio 2015 fino a luglio 2019”.

Si evidenzia che qualora il titolare non possa o non ritenga di dovere dare seguito a una istanza di esercizio dei diritti (tra cui, quindi, anche quelle di esercizio del diritto di accesso), deve comunque comunicare all’interessato gli specifici motivi del diniego, oltre che la possibilità di presentare reclamo al Garante o ricorso all’autorità giudiziaria ordinaria ai sensi dell’art. 12 par. 4 del Regolamento.

Nel caso di specie la Società non ha invece tenuto la predetta condotta. Inoltre, come confermato dalle azioni poste in essere dalla Società in sede di istruttoria, la stessa era in grado di recuperare la documentazione contenente i dati personali riferiti all’interessato e oggetto di specifica istanza di accesso.

A riguardo, si sottolinea che le già citate Guidelines 1/2022 sui diritti degli interessati - Diritto di accesso dell’EDPB in merito all’oggetto dell’istanza di accesso ai dati precisano che “la valutazione dei dati in corso di trattamento rispecchia nella misura più rigorosa possibile la situazione del momento in cui il titolare del trattamento riceve la richiesta, e la risposta dovrebbe comprendere tutti i dati disponibili in quel momento. Ciò significa che il titolare del trattamento deve cercare di individuare tutte le attività di trattamento dei dati riguardanti l'interessato senza ingiustificato ritardo. I titolari del trattamento non sono pertanto tenuti a fornire dati personali che hanno trattato in passato ma di cui non dispongono più. Ad esempio il titolare del trattamento potrebbe aver cancellato dati personali conformemente alla propria politica di conservazione dei dati e/o alle disposizioni di legge e pertanto potrebbe non essere più in grado di fornire i dati personali richiesti. Si ricordi in tale contesto che l'arco di tempo per cui i dati sono conservati dovrebbe essere stabilito conformemente all'articolo 5, paragrafo 1, lettera e), GDPR, dal momento che qualsiasi conservazione di dati dev'essere giustificabile in maniera oggettiva” (v. punto 37, par. 2.3.3.)”.

Ciò conferma, dunque, che se il titolare ancora dispone dei dati personali dell’interessato, è tenuto a soddisfare le richieste avanzate ai sensi degli artt. 15-22 del Regolamento. Difatti, l’interruzione del rapporto di lavoro non coincide necessariamente con la cessazione del trattamento dei dati personali del lavoratore.

Relativamente alla circostanza che, secondo quanto sostenuto, l’interessato avesse già ricevuto la documentazione richiesta nel corso del rapporto di lavoro e dunque la Società fosse esclusa dall’obbligo di riscontrare l’istanza di esercizio dei diritti di cui all’art. 15 del Regolamento, si osserva come tale assunto risulti privo di fondamento.

Non si verte, infatti, in uno di quei casi in cui il titolare del trattamento può esimersi dal fornire all'interessato le informazioni relative all'azione intrapresa relativamente alla sua richiesta, ai sensi dell’art. 12 del Regolamento.

Sul punto, si richiama quanto già sancito dalla giurisprudenza di legittimità, secondo la quale il diritto di accesso ai propri dati personali, anche nell’ambito del rapporto di lavoro, “non può intendersi, in senso restrittivo, come il mero diritto alla conoscenza di eventuali dati nuovi ed ulteriori rispetto a quelli già entrati nel patrimonio di conoscenza e, quindi, nella disposizione dello stesso soggetto interessato al trattamento dei propri dati, atteso che lo scopo della norma [che attribuisce il relativo diritto] è garantire, a tutela della dignità e riservatezza del soggetto interessato, la verifica ratione temporis dell’avvenuto inserimento, della permanenza ovvero della rimozione di dati, indipendentemente dalla circostanza che tali eventi fossero già stati portati per altra via a conoscenza dell’interessato” (v. Corte di Cass. 14/12/2018, n. 32533).

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ai sensi dell’art. 58, par. 2, del Regolamento.

Per i suesposti motivi, l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Risulta, quindi, accertato che la condotta posta in essere dal titolare, con riferimento al mancato riscontro all’istanza di accesso presentata dal reclamante, risulta infatti illecito, nei termini su esposti, in relazione agli artt. 12, par. 3, e 15 del Regolamento.

Preso atto di tutti gli elementi acquisiti nel corso dell’istruttoria, in particolare tenuto conto del carattere colposo della violazione, dell’assenza di precedenti violazioni pertinenti e della condotta complessivamente tenuta dal titolare del trattamento, tenuto anche conto delle circostanze in concreto della fattispecie, in particolare del fatto che, con la nota del 26/06/2024, l’interessato abbia rinunciato al reclamo e abbia, nelle more del procedimento, rinvenuto la documentazione richiesta, prima della notifica del reclamo contro la società, si ritiene che il caso possa essere qualificato come “violazione minore” ai sensi dell’art. 83, par. 2 e cons. 148 del Regolamento.

Tenuto inoltre conto che, ai sensi del considerando 148 del Regolamento, “in caso di violazione minore o se la sanzione pecuniaria che dovrebbe essere imposta costituisse un onere sproporzionato per una persona fisica, potrebbe essere rivolto un ammonimento anziché imposta una sanzione pecuniaria”, si ritiene sufficiente ammonire il titolare del trattamento ai sensi dell’art. 58, par. 2, lett. b), del Regolamento.

Si rappresenta, inoltre, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

rileva l’illiceità del trattamento effettuato da Security Service s.r.l., con sede legale in Roma, Via Cristoforo Colombo, 163, P.I. 01281061000, ai sensi dell’art. 143 del Codice, per la violazione degli artt. 12, par. 3, e 15 del Regolamento;

ai sensi dell’art. 58, par. 2, lett. b), del Regolamento ammonisce Security Service s.r.l., quale titolare del trattamento in questione, per aver effettuato un trattamento di dati personali in violazione della disciplina in materia di protezione dei dati personali;

DISPONE

l’annotazione nel registro interno dell’Autorità delle violazioni e delle misure adottate ai sensi dell’art. 58, par. 2, del Regolamento con il presente provvedimento, come previsto dall’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 27 febbraio 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei