[doc. web n. 10145871]

Provvedimento del 29 aprile 2025

Registro dei provvedimenti
n. 250 del 29 aprile 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, segretario generale reggente;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presentato dal sig.XX ai sensi dell’art. 77 del Regolamento con cui è stata lamentata una violazione della disciplina in materia di protezione dei dati personali da parte di Monte Titoli S.p.A.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Il reclamo nei confronti della Società e l’avvio dell’attività istruttoria.

Con il reclamo presentato in data 02/01/2023, regolarizzato il 17/02/2023, il sig. XX ha rappresentato a questa Autorità di aver presentato un’istanza di esercizio dei diritti, ai sensi dell’art. 15 del Regolamento, nei confronti di Monte Titoli S.p.A. (di seguito “la Società”) chiedendo in particolare di ottenere copia dei propri dati personali, trattati dalla Società nell’ambito del rapporto di lavoro.

Dopo aver ottenuto dalla Società un riscontro ritenuto non soddisfacente, il reclamante inviava un’ulteriore richiesta volta ad accedere alle ulteriori informazioni riguardanti “corsi di formazione frequentati, valutazioni di performance e documentazione riguardante i relativi ricorsi presentati, informazioni raccolte al momento dell’assunzione e in pendenza del rapporto di lavoro (…), informazioni raccolte riferite al ruolo di RSA (…) e di RLS”. Tuttavia, a fronte di tale richiesta e dei numerosi solleciti inviati, la Società non forniva alcun riscontro limitandosi a comunicare la difficoltà a reperire tutta la documentazione richiesta.

A fronte dell’invito ad aderire formulato dall’Autorità in data 04/04/2023, la Società trasmetteva la nota di riscontro, inviata al reclamante il 18/04/2023, in cui venivano indicate le tipologie di dati personali oggetto di trattamento (a integrazione delle precedenti interlocuzioni avute con l’interessato) e con cui veniva allegata in una cartella .zip tutta la documentazione oggetto della richiesta.

2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

Alla luce di quanto emergeva dall’istruttoria, l’Ufficio provvedeva a notificare alla Società, con nota del 28/06/2023, l’atto di avvio del procedimento, ai sensi dell’art. 166, comma 5, del Codice in relazione alla violazione degli artt. 12, par. 3, e 15 del Regolamento.

La Società inviava in data 27/07/2023 propri scritti difensivi, ai sensi dell’art. 18 della legge n. 689/1981, con cui forniva le proprie osservazioni rispetto a quanto sollevato con l’atto di notifica delle violazioni, rappresentando che:

- a fronte dell’istanza di esercizio dei diritti formulata dal reclamante in data 12 maggio 2022 “Monte Titoli S.p.A. (anche “Società”) provvedeva ad un’analisi della richiesta, che risultava alquanto generica. La Società, con l’intento di fornire un riscontro puntuale all’Interessato ma anche necessitando di ulteriori delucidazioni per individuare puntualmente le informazioni da rendere, provvedeva ad inviare un riscontro in data 6 giugno 2022”;

- “In data 10 giugno, l’Interessato riscontrava le informazioni ricevute, con toni apparentemente soddisfatti, richiedendo, però, un’integrazione della documentazione relativa al suo impiego (…). La Società confermava, in data 14 giugno 2022, la presa in carico della richiesta (…). A fronte di una richiesta di aggiornamento da parte dell’Interessato (inviata in data 22 luglio 2022), la Società confermava, prima in data 27 luglio 2022 e poi in data 10 agosto 2022, che avrebbe provveduto ad un riscontro, precisando che la raccolta della documentazione avrebbe richiesto più tempo del previsto (…). La Società, nel frattempo, si era infatti attivata per recuperare i dati richiesti e per predisporre un riscontro che fosse intellegibile e di facile comprensione. Hanno poi fatto seguito alcuni solleciti dell’Interessato (11 ottobre e 9 novembre 2022), al fine di ricevere aggiornamenti. Purtroppo, come descritto successivamente, per un errore umano, tali solleciti sono rimasti senza risposta”;

- “La Società è consapevole di essere incorsa in un ritardo nel fornire all’Interessato le informazioni integrative, richieste il 10 giugno 2022. (…) I motivi del ritardo sono legati ad un errore umano, dovuto alla contingenza nella quale si trovava la Società nel periodo di presentazione della richiesta integrativa e dei solleciti. Infatti, a seguito della stipula degli accordi per l’acquisizione da parte del XX della Società, avvenuta il 29 aprile 2021, la Società ha subito una profonda e significativa trasformazione (…), che ha comportato un aggravio del carico di lavoro sulle risorse interne, nonché alcune sostituzioni delle risorse presenti, in particolare nell’anno 2022. In particolare, il funzionario deputato al controllo della casella di posta dedicata alla gestione delle richieste di esercizio dei diritti privacy ha purtroppo omesso di dar seguito alla richiesta integrativa dell’Interessato, non essendosene fatto carico. A ciò è seguito il malinteso che la richiesta fosse stata in realtà gestita”.

- “La sola violazione effettivamente intercorsa è quella relativa al mancato rispetto del termine di cui all’Art. 12, par. 3 GDPR, con riferimento al ritardato invio della documentazione integrativa a causa di un errore umano. Non ricorrono gli estremi di una violazione dell’Art. 15 GDPR, in quanto l’esercizio del diritto di accesso esercitato è stato soddisfatto mediante i riscontri forniti all’Interessato”.

In data 25/02/2025, veniva svolta l’audizione della parte, come richiesto nelle memorie difensive, nel corso della quale la Società ha fornito aggiornamenti in merito alle misure implementate per rafforzare l’osservanza della disciplina in materia di protezione dei dati personali, volte a evitare il ripetersi di analoghe situazioni e, soprattutto, a gestire le richieste di esercizio dei diritti in maniera indipendente dal fenomeno di sovraccarico lavorativo, che aveva caratterizzato la gestione del caso specifico.

3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

All’esito dell’esame della documentazione prodotta e delle dichiarazioni rese all’Autorità nel corso del procedimento, premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice (“Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”), è emerso che la Società, in qualità di titolare del trattamento, a fronte dell’istanza di esercizio dei diritti avanzata dal reclamante in data 22/05/2022, ha fornito un primo riscontro parziale e, solo a seguito dell’avvio dell’istruttoria da parte dell’Autorità, ha consegnato l’ulteriore documentazione richiesta dall’istante.
Il diritto dell’interessato di ottenere dal titolare la conferma di un trattamento di dati che lo riguardavano e l’accesso ai dati stessi è stato soddisfatto in data 18/04/2023, quasi a un anno di distanza dalla presentazione della prima richiesta, e solo a seguito dell’invito ad aderire formulato dall’Autorità. Emerge chiaramente dalla documentazione prodotta in atti che, dopo i solleciti del reclamante presentati l’11/10/2022 e il 09/11/2022, la Società non aveva fornito alcuna informazione, nemmeno su eventuali difficoltà a reperire i dati richiesti. Solo dopo l’intervento dell’Autorità, invece, la Società ha consentito l’accesso completo alla documentazione richiesta.

Per tale motivo, non può ritenersi accolta l’argomentazione della parte secondo cui non sarebbe ravvisabile, al caso di specie, la violazione dell’art. 15 del Regolamento.

Quanto, invece, alla tardività del riscontro reso, si richiama in primo luogo la disposizione di cui all’art. 12, par. 3 del Regolamento, in base alla quale “Il titolare fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 12 a 15 senza ingiustificato ritardo e, comunque, al più tardi, entro un mese dal ricevimento della richiesta stessa”.

È opportuno richiamare anche quanto specificato dall’EDPB nelle Linee guida sui diritti dell’interessato n. 1/2022, approvate il 28/03/2023, ovvero che “In determinate circostanze il titolare del trattamento può prorogare, se necessario, il termine per rispondere a una richiesta di accesso di altri due mesi, tenendo conto della complessità e del numero delle richieste. Occorre sottolineare che questa possibilità è un’esenzione dalla regola generale e non se ne dovrebbe abusare. Se i titolari del trattamento sono spesso costretti a prorogare il termine, ciò può costituire un indizio della necessità di sviluppare ulteriormente le procedure generali per gestire le richieste” (par. 5.3, n. 162).

Nel caso in esame, la Società ha comunicato all’interessato la necessità di usufruire di maggior tempo per svolgere delle verifiche interne che avrebbero consentito di dare un contributo quanto più possibile completo e di facile comprensione (e-mail del 14/06/2022 e del 10/08/2022). Tuttavia, anche l’ulteriore proroga di due mesi prevista dalla normativa non è stata rispettata dalla Società che, infatti, a seguito dell’integrazione dell’istanza presentata a giugno, si è limitata a comunicare che le informazioni sarebbero state rese “a stretto giro”.

Alla luce di quanto sopra, si conferma la violazione in capo alla Società delle disposizioni di cui agli artt. 12, par. 3, e 15 del Regolamento.

Si prende atto che la Società, nel corso dell’istruttoria, ha documentato di aver attivato misure aggiuntive per consentire una gestione più efficace delle istanze di esercizio dei diritti.

4.    Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ai sensi dell’art. 58, par. 2, del Regolamento.

Alla luce di quanto complessivamente rilevato, l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento posto in essere dalla Società, con riferimento al mancato riscontro all’istanza di accesso presentata dal reclamante, risulta infatti illecito, nei termini su esposti, in relazione agli artt. 12, par. 3, e 15 del Regolamento.

Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2, del Regolamento si prende atto della circostanza che la Società, nel corso del procedimento, ha provveduto ad aderire all’istanza di esercizio dei diritti dell’interessato provvedendo a inoltrare tutta la documentazione in suo possesso.

Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

[OMISSIS]

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi degli artt. 57, par. 1, lett. f) e 83, del Regolamento, rileva l’illiceità del trattamento effettuato da Monte Titoli S.p.A. nei termini di cui in motivazione, per la violazione degli artt. 12, par. 3, e 15 del Regolamento;

[OMISSIS]

DISPONE

ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web dell’Autorità;

ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 29 aprile 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE REGGENTE
Filippi