Diritti interna

Doveri interna

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Cavauto s.r.l. - 26 marzo 2020 [9446730]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
9446730
Data:
26/03/20
Argomenti:
Lavoro privato , Licenziamento
Tipologia:
Ordinanza ingiunzione o revoca

[doc. web n. 9446730]

Ordinanza ingiunzione nei confronti di Cavauto s.r.l. - 26 marzo 2020

Registro dei provvedimenti
n. 65 del 26 marzo 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTE le “Linee guida per posta elettronica e internet”, adottate con provvedimento n. 13 del 1° marzo 2007 (pubblicato nella G.U. 10 marzo 2007, n. 58);

VISTO il reclamo presentato al Garante ai sensi dell’articolo 77 del Regolamento da XX concernente il trattamento di dati personali riferiti all’interessata effettuato da Cavauto s.r.l.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Antonello Soro;

PREMESSO

1.  Il reclamo nei confronti della società e l’attività istruttoria.

1.1 Con reclamo del 24 luglio 2018 la Sig.ra XX (rappresentata e difesa dall’avvocato XX) ha chiesto all’Autorità di disporre il blocco o il divieto del trattamento di dati personali, ritenuto illecito, effettuato da Cavauto s.r.l. (di seguito: la società) attraverso l’accesso alla cronologia di navigazione e ad altri dati raccolti nel corso del rapporto di lavoro anche attraverso il pc aziendale, successivamente utilizzati in un procedimento disciplinare a carico della reclamante conclusosi con il licenziamento (cfr. contestazione disciplinare del 29.5.2018 e lettera di licenziamento del 5.6.2018, in allegato al reclamo). Con il reclamo si chiede altresì di voler ingiungere alla società di soddisfare “il […] diritto di accesso […] al pc in dotazione fino alla data di cessazione del rapporto di lavoro al fine di individuare e ottenere la cancellazione dei files contenenti dati personali […]; all’archivio di posta elettronica dell’indirizzo customercare@cavauto.com al fine di individuare e ottenere la cancellazione delle email di contenuto personale […]; ai locali aziendali onde ottenere il recupero di tutti i documenti personali conservati in forma cartacea nella scrivania e cassettiera di suo utilizzo; alle pagine dell’agenda personale trattenute dall’azienda, al fine di individuare e ottenere la distruzione dei contenuti personali” (cfr. reclamo cit., p. 6-7).

Secondo quanto rappresentato tali operazioni di trattamento ˗ ed in particolare l’accesso al pc fornito in dotazione “ad uso esclusivo […] e dotato di password” per lo svolgimento delle proprie mansioni, contenente anche dati “di carattere personale e familiare” ˗ sarebbero avvenute “senza che [la reclamante] fosse avvisata né tantomeno presente” (cfr. reclamo cit., p. 3). La società, inoltre, non avrebbe informato l’interessata circa “il divieto di utilizzare il pc aziendale e internet per scopi non lavorativi” o di consultare “la mail personale che utilizzava oltretutto anche per ragioni lavorative”, né della possibilità per il datore di lavoro di effettuare controlli, specificandone la tipologia, sul corretto utilizzo degli strumenti aziendali.

1.2. La società, in risposta alla richiesta di elementi (del 24.9.2018) formulata dall’Ufficio, ha dichiarato che:

a.  il “PC assegnato alla ex dipendente […] era dotato di password singola ma aziendale, così da consentirne l’accesso alla sola [reclamante] e, in caso di necessità, al signor XX, in qualità di diretto superiore”;

b. l’accesso al PC della reclamante “si è limitato […] a rilevare la cronologia dei siti visitati dalla lavoratrice e non si è esteso ad altri dati, né all’account customarecare@cavauto, né all’account gmail personale”;

c. l’accesso al PC è stato effettuato “nel contesto di indagini difensive, […] dal signor XX, legale rappresentante della società, alla presenza del tecnico esterno della stessa [...]”;

d. il PC in uso alla reclamante “utilizzava il browser Google Chrome il quale registra la cronologia dei dati di navigazione, non essendoci un server aziendale su cui tali dati vengono registrati […]”;

e. la società “ha fornito un’informativa orale e scritta all’atto dell’assegnazione degli strumenti di lavoro successivamente resa nota tramite pubblicazione del regolamento interno sull’uso degli strumenti elettronici nella bacheca virtuale disponibile nella intranet aziendale”;

f. “a fini difensivi non si è potuto dare seguito alla richiesta di accesso da parte della [reclamante] al PC ed ai dati ivi contenuti, posto che lo strumento elettronico dopo l’ispezione del legale rappresentante […] è stato sigillato e non è più in uso di alcuno, poiché costituisce fonte di prova in sede giudiziaria”.

1.3. Con note di replica del 19 dicembre 2018 e del 1° marzo 2019 la reclamante ha ribadito le richieste già avanzate all’Autorità, rappresentando ˗ tra l’altro ˗ che “l’utilizzo […] del pc aziendale è sempre avvenuto in conformità alle direttive ricevute e qualsiasi utilizzo diverso da quello strettamente lavorativo è sempre stato [...] conosciuto e tollerato” in quanto non ha influito sul rendimento lavorativo (nota 19.12.2018, p. 3). Inoltre si è lamentato che il regolamento richiamato dalla società, riguardante l’uso degli strumenti aziendali ed i possibili relativi controlli, reca una data (21.5.2018) successiva a quella in cui è stato effettuato l’accesso al pc della reclamante (16.5.2018) (nota 1.3.2019, p. 4-5).

1.4. Il 17 maggio 2019 l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione alla società delle presunte violazioni del Regolamento riscontrate. Con nota del 16 giugno 2019 la società, rappresentata e difesa dagli avvocati XX e XX, ha rappresentato che:

a. l’attribuzione alla (ex) dipendente di una password di accesso al PC condivisa con il legale rappresentante è stata valutata quale “misura «adeguata»”, sia perché “nessun dato personale avrebbe dovuto essere trasmesso, conservato o comunque elaborato tramite il PC aziendale, così come imposto dalla prassi aziendale, dalle istruzioni fornite all’atto dell’assunzione e dalle policy aziendali che vietavano l’uso degli strumenti elettronici di lavoro per fini privati” sia perché alla dipendente non era stato assegnato un account “aziendale personale” (nota 16.6.2019, p. 2);

b. è stata fornita “una informativa orale e scritta all’atto dell’assegnazione degli strumenti di lavoro successivamente resa nota tramite pubblicazione del regolamento interno […] nella bacheca virtuale disponibile nell’intranet aziendale” (nota cit., p. 2);

c. “una mera elencazione di siti Internet non [può] ritenersi «dato personale»” (nota cit., p. 3);

d. “anche a voler qualificare i dati di traffico Internet quali «dati personali», la base giuridica a fondamento del trattamento […] deve essere rinvenuta nel «perseguimento di un legittimo interesse» del titolare in accordo all’art. 6.1 lettera f) e del considerando 47 del Regolamento” (nota cit., p. 3);

e. in riscontro alle istanze di accesso avanzate dalla reclamante la società, conformemente a quanto previsto dall’ordinamento, ha consegnato una chiavetta USB nonché l’agenda, ancorché privata di alcune pagine, mentre in relazione alla totalità dei dati presenti nel PC ed alle pagine espunte dall’agenda “non ha potuto dare seguito a tali richieste per ragioni «difensive»”, coerentemente con quanto previsto dall’art. 2-undecies, lett. e) del Codice; infatti al momento della presentazione dell’istanza “era già in essere un contenzioso tra le parti” poi sfociato nell’impugnazione del licenziamento; l’esistenza di “condizioni che legittimavano una parziale limitazione del diritto di accesso” è stato comunicato, conformemente a quanto previsto dall’art. 2-undecies, comma 3, del Codice, con nota del legale della società del 10 luglio 2018 (nota cit., p. 5);

f. non è applicabile la disciplina vigente in materia di controlli a distanza, sia perché “la mera conoscenza del traffico internet […] non costituisce «dato personale»”, sia perché “nel caso di specie [trattasi] di controllo […] «difensivo» […] al di fuori dell’ambito di applicabilità dell’art. 4 dello statuto dei lavoratori” (nota cit., p. 5-6).

1.5. In sede di audizione richiesta dalla società e tenutasi il 24 luglio 2019, il rappresentante legale ha sottolineato che il comportamento ritenuto “scorretto” della dipendente è avvenuto in contrasto con quanto previsto (anche) dal Regolamento aziendale interno datato 17 ottobre 2017, fornito in copia. La società inoltre ha ritenuto di aver agito legittimamente nella propria attività di controllo anche in base a quanto pubblicato su un sito collegato ad un quotidiano specializzato (Il Sole 24 Ore, 29.5.2018, “I pc dei dipendenti sono controllabili”).

2. L’esito dell’istruttoria.

All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, risulta che la società, in qualità di titolare, ha effettuato alcune operazioni di trattamento di dati personali riferiti alla reclamante − in un periodo di tempo immediatamente precedente e immediatamente successivo all’applicazione nell’ordinamento nazionale, a partire dal 25 maggio 2018, del Regolamento (UE) 2016/679 − che risultano non conformi alla disciplina in materia di protezione dei dati personali, nei termini di seguito descritti.

2.1. Premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”, nel merito è emerso che la società, nella persona del legale rappresentante, in data 16 maggio 2018 (secondo quanto attestato dallo stesso titolare nella contestazione disciplinare del 29.5.2018) ha effettuato l’accesso al PC fornito in uso alla reclamante estraendo la cronologia degli accessi ad Internet resa disponibile da Google Chrome. L’accesso da parte del datore di lavoro è stato consentito dalla condivisione della password di accesso tra la reclamante e il legale rappresentante della società. Non risulta, allo stato, che la società abbia disposto di modificare la descritta prassi di gestione delle password.
Tale condivisione risulta in contrasto con l’obbligo di adottare misure di sicurezza volte ad assicurare “un livello minimo di protezione dei dati personali” (v. art. 33, del d. lgs. 30.6.2003, n. 196, Codice in materia di protezione dei dati personali, testo vigente all’epoca dei fatti).

Infatti, nell’ambito dei sistemi di autenticazione informatica, le credenziali di autenticazione assegnate agli incaricati consistono, quantomeno, in un codice di identificazione associato ad una parola chiave conosciuta esclusivamente dall’interessato. In luogo della parola chiave, avuto riguardo alla concreta natura delle informazioni contenute nel sistema, possono essere consegnati dispositivi posti nella esclusiva disponibilità dell’interessato (v. quanto già stabilito nel Disciplinare tecnico in materia di misure minime di sicurezza, regole 1-11, All. B del Codice, testo precedente alle modifiche poste con d. lgs. n. 101/2018).

Tale principio è confluito nell’art. 32 del Regolamento, in base al quale il titolare del trattamento, al fine di garantire la riservatezza e l’integrità dei sistemi informatici, deve adottare “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”. Inoltre, in base all’art. 5, par. 1, lett. f) del Regolamento, il titolare deve garantire “un’adeguata sicurezza dei dati personali” applicando i principi di “integrità e riservatezza” ai trattamenti effettuati.

2.2. Risulta inoltre che l’accesso al PC assegnato alla reclamante, in assenza della medesima, è avvenuto senza che all’interessata fosse stata fornita un’idonea informativa. Infatti l’informativa individuale, sottoscritta dalla reclamante in data 14.10.2016, non contiene alcuna indicazione sull’uso della posta elettronica, dell’accesso ad internet e degli altri strumenti di lavoro, né sulla tipologia di controlli che il datore di lavoro si riserva di attivare.

Quanto all’asserita informativa che, per ammissione della stessa reclamante (vedi lettera del 4 giugno 2018 in atti), risulterebbe essere stata data informalmente, non è stata fornita dalla società alcuna prova che essa fosse esaustiva e comunque rispondente  ai criteri più volti espressi dalla giurisprudenza del Garante (cfr. per tutti provvedimento contenente le "Linee guida del Garante per posta elettronica e Internet" (adottato dall’Autorità il 1° marzo 2007 e pubblicato in Gazzetta Ufficiale n. 58 del 10 marzo 2007). D’altra parte si osserva che i documenti contenenti il “Regolamento interno” relativo (anche) all’uso degli strumenti di lavoro adottato dalla società, sia nella versione datata 17.10.2017 (consegnata all’Autorità solo il 24.7.2019) che in quella che risulta datata 21.5.2018 (successiva, comunque, ai fatti oggetto di reclamo), risultano privi di sottoscrizione e di elementi idonei ad indicarne la data certa.

Ciò posto, in ogni caso, la previsione contenuta nel testo del predetto regolamento in relazione ai controlli attivabili sulla navigazione in Internet (“E’ proibita la navigazione in Internet per motivi diversi da quelli funzionali all’attività lavorativa stessa; ai fini della tutela del patrimonio aziendale con regolarità si provvederà a verificare i collegamenti internet su ogni client nel rispetto delle norme sulla privacy”), laddove sembra prevedere controlli “regolari”(senza specificarne le modalità) sui collegamenti alla rete internet non appare conforme ai principi di liceità e proporzionalità (v. art. 5, par. 1, lett. a) e c), del Regolamento; v. altresì “Linee guida per posta elettronica e internet”, citate in premessa, punti 5.2. e 6.1.).

Il titolare del trattamento, pertanto, non ha adempiuto all’obbligo di fornire una preventiva informativa all’interessato in ordine alle caratteristiche essenziali dei trattamenti effettuati (v. art. 13 del Codice, testo vigente all’epoca dell’accesso al PC della reclamante; l’obbligo di fornire l’informativa all’interessato è, a legislazione vigente, stabilito dall’art. 13 del Regolamento). Nell’ambito del rapporto di lavoro l’obbligo di informare il dipendente è altresì espressione del principio generale di correttezza dei trattamenti (v. 11, comma 1, lett. a), del Codice testo vigente all’epoca dell’accesso al PC della reclamante; principio confluito in art. 5, par. 1, lett. a) del Regolamento; v. European Court of Human Rights, Grand Chamber, case of Bărbulescu v. Romania, Application no. 61496/08, 5 September 2017, spec. n. 140). Risultano altresì violate le disposizioni poste dall’art. 6 del Regolamento in materia di criteri di legittimazione.

2.3. Il titolare del trattamento ha riscontrato le istanze di accesso presentate dalla reclamante (in data 4 e 12 luglio 2018) solo parzialmente, rigettando l’accesso ai dati contenuti nel PC ad eccezione di quelli riversati in una chiavetta USB e ad alcune pagine dell’agenda utilizzata dalla reclamante rimosse prima della consegna nonché la richiesta di verificare l’esistenza di ulteriori documenti personali all’interno della stanza a suo tempo assegnata alla reclamante.

Le limitazioni all’esercizio dei diritti, tra i quali quello di accesso, sono state disciplinate, ai sensi dell’art. 23 del Regolamento, dall’art. 2-undecies del Codice entrato in vigore in data successiva alla presentazione dell’istanza e della nota di riscontro da parte del titolare del trattamento. Tuttavia, in applicazione di principi generali e conformemente a quanto previsto dal Codice previgente, in base alla richiamata norma vigente il diritto di accesso può essere limitato dal titolare solo in presenza di una delle specifiche condizioni indicate e purché ne sia data motivata comunicazione all’interessato. Nel caso di specie nel rigettare l’istanza di accesso non sono state indicate specifiche ragioni di tutela dei diritti riferite ai dati in concreto oggetto di istanza. Infatti, con la nota del 10.7.2018 (All. 5, nota della società 26.10.2018), è stato comunicato alla reclamante che sul computer aziendale e sulla casella di posta elettronica “non dovrebbero essere presenti «files contenenti dati personali, salvati nella memoria del pc stesso, e della cronologia internet riconducibile alla […] vita privata»” e che “i beni personali della lavoratrice […] s[o]no stati tutti restituiti”. Nulla, pertanto, è stato rappresentato in ordine ad un eventuale rinvio o limitazione o esclusione del diritto di accesso fatto valere nei confronti del titolare.

3. Conclusioni: illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Per i suesposti motivi, il trattamento dei dati personali effettuato dalla società risulta certamente illecito ai sensi degli artt. 5 e 6, del Regolamento, e configura altresì una violazione dell’art. 4 legge n. 300/1970 come modificato dal d. lgs. n. 151/2015. Ulteriori profili di illiceità sono stati accertati in relazione alla violazione delle misure di sicurezza, disciplinata all’epoca dei fatti dall’art. 33 del Codice vigente al momento dell’accesso al PC della reclamante. Considerato anche che la società non ha modificato la propria policy al riguardo, è in proposito applicabile l’art. 32 del Regolamento. Il trattamento è avvenuto altresì in violazione dell’art. 13 del Codice vigente all’epoca dell’accesso al PC della reclamante nei termini su esposti. Considerato anche che la società non ha modificato sul punto i propri documenti informativi, è in proposito applicabile l’art. 13 del Regolamento. È risultato altresì illecito l’inidoneo e parziale riscontro fornito all’istanza di accesso in relazione all’art. 23 del Regolamento.

In questa sede non si rende invece necessario effettuare una valutazione in ordine alla legittimità del controllo di carattere asseritamente «difensivo» effettuato dalla società successivamente alla rilevazione della inosservanza dei doveri di ufficio da parte della reclamante, in quanto tale questione potrà, semmai, essere oggetto del vaglio da parte dell’autorità giudiziaria.

Alla luce di quanto sopra, visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento, alla luce delle circostanze del caso concreto:

- si dispone il divieto dell’ulteriore trattamento dei dati estratti dalla cronologia Internet (art. 58, par. 2, lett. f) Regolamento), fatta salva la loro conservazione per esclusiva finalità di tutela dei diritti in sede giudiziaria − in relazione al giudizio pendente dinnanzi all’autorità giudiziaria ordinaria − tenuto conto che, ai sensi dell’art. 160-bis del Codice, “La validità, l'efficacia e l’utilizzabilità nel procedimento giudiziario di atti, documenti e provvedimenti basati sul trattamento di dati personali non conforme a disposizioni di legge o di Regolamento restano disciplinate dalle pertinenti disposizioni processuali”;

- si ingiunge alla società di soddisfare la richiesta di accesso ai dati della reclamante (art. 58, par. 2, lett. c) Regolamento) contenuti nel PC aziendale nonché agli altri dati personali allo stato detenuti (anche, eventualmente, nell’account di posta customercare@cavauto.com, ancorché trattasi di indirizzo di tipo non individualizzato), con particolare riferimento alle pagine dell’agenda trattenute dalla società al momento della restituzione e ad eventuali dati contenuti in ulteriori documenti se del caso presenti negli spazi e negli arredi a suo tempo assegnati alla dipendente (v. nota di replica della reclamante 1.3.2019);

- si ingiunge alla società di conformare i propri trattamenti a quanto disposto dall’art. 32 del Regolamento in materia di misure di sicurezza (art. 58, par. 2, lett. d) Regolamento);

- si ingiunge alla società di conformare al Regolamento i propri trattamenti, anche con riferimento a quanto previsto nel regolamento interno, prevedendo misure volte a prevenire il rischio di utilizzi impropri o promiscui dei PC e dei sistemi aziendali, anche con riferimento alla navigazione in Internet dei dipendenti, comunque astenendosi da previsioni eccessivamente generiche relative alle modalità dei controlli;

- si dispone, in aggiunta alle misure correttive, una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) Regolamento).

4. Ordinanza ingiunzione.

Ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166, commi 3 e 7 del Codice, il Garante dispone l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, mediante adozione di un’ordinanza ingiunzione (art. 18, l. 24.11.1981, n. 689), in relazione ai trattamenti dei dati personali riferiti alla reclamante effettuato dalla società attraverso le modalità di accesso  alla cronologia della navigazione in Internet, nonché attraverso l’inidoneo e parziale riscontro fornito all’istanza di accesso, nei termini su esposti, in relazione agli artt. 5, 6, 13, 32 e 88 del Regolamento, all’esito del procedimento di cui all’art. 166, comma 5 svolto in contraddittorio con il titolare del trattamento (v. precedente punto 1.4. e 1.5).

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, considerato che le accertate violazioni dell’art. 5 del Regolamento, sono da considerarsi più gravi, in quanto relative alla inosservanza di una pluralità di principi di carattere generale applicabili al trattamento di dati personali, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto per la predetta violazione. Conseguentemente si applica la sanzione prevista dall’art. 83, par. 5, lett. a) e c) del Regolamento, che fissa il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore.

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

a) in relazione alla natura, gravità e durata della violazione è stata considerata rilevante la natura della violazione che ha riguardato i principi generali del trattamento; le violazioni hanno anche riguardato le disposizioni sull’esercizio dei diritti, sulle misure di sicurezza, sulla base giuridica del trattamento e sull’informativa;

b) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare è stata presa in considerazione la negligente condotta della società e il grado di responsabilità della stessa che non si è conformata alla disciplina in materia di protezione dei dati relativamente ad una pluralità di disposizioni;

c) la società ha complessivamente e attivamente cooperato con l’Autorità nel corso del procedimento;

e) l’assenza di precedenti specifici (relativi alla stessa tipologia di trattamento) a carico della società.

Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla società con riferimento al bilancio d’esercizio per l’anno 2018. Si ritiene altresì di dover tener conto del complesso delle misure correttive in concreto adottate nei confronti della società. Da ultimo si tiene conto della comminatoria edittale disposta, nel regime previgente, per gli illeciti amministrativi corrispondenti e dell’entità delle sanzioni irrogate in casi analoghi.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Cavauto s.r.l. la sanzione amministrativa del pagamento di una somma pari ad euro 10.000,00 (diecimila).

In tale quadro si ritiene altresì, in considerazione della natura e della gravità delle violazioni accertate, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante.

Si ritiene, altresì, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Si ricorda che, ai sensi dell’articolo 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni; in ogni caso può essere applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e), del Regolamento.

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi degli artt. 57, par. 1, lett. f) e 58, par. 2, lett. c), d), f) e i) del Regolamento:

1. dispone nei confronti di Cavauto s.r.l. la limitazione del trattamento dei dati estratti dalla cronologia Internet (art. 58, par. 2, lett. f) Regolamento), alla sola conservazione per esclusiva finalità di tutela dei diritti in sede giudiziaria, nei limiti di cui all’art. 160-bis del Codice;

2. ingiunge a Cavauto s.r.l. di soddisfare l’istanza di accesso ai dati contenuti nel PC aziendale nonché agli altri dati personali allo stato detenuti, con particolare riferimento alle pagine dell’agenda trattenute dalla società al momento della restituzione (art. 58, par. 2, lett. c) Regolamento);

3. ingiunge a Cavauto s.r.l. di conformare i propri trattamenti a quanto disposto dall’art. 32 del Regolamento in materia di misure di sicurezza, entro 60 giorni dal ricevimento del presente provvedimento (art. 58, par. 2, lett. d) Regolamento);

4. ingiunge a Cavauto s.r.l. di conformare al Regolamento la propria policy interna prevedendo misure volte a prevenire il rischio di utilizzi impropri o promiscui dei PC e dei sistemi aziendali, anche con riferimento alla navigazione in Internet dei dipendenti, entro 60 giorni dal ricevimento del presente provvedimento (art. 58, par. 2, lett. d) Regolamento);

5. infligge a Cavauto s.r.l., in aggiunta alle misure correttive, la sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, ordinando e contestualmente ingiungendo al predetto trasgressore, di pagare la somma di euro 10.000,00 (diecimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981; ciò ferma restando la facoltà per Cavauto s.r.l. di definire la controversia mediante il pagamento di un importo pari alla metà della sanzione irrogata entro 30 giorni dalla data della notifica del presente provvedimento, ai sensi dell’art. 166, comma 8 del Codice;

6. dispone, ai sensi dell’art. 166, comma 7, del Codice la pubblicazione del presente provvedimento/ordinanza ingiunzione sul sito web del Garante;

7. ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante;

8. richiede a Cavauto s.r.l. di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto disposto con il presente provvedimento e di fornire comunque riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice, entro il termine di 90 giorni dalla data di notifica del presente provvedimento; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 5, lett. e) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 26 marzo 2020

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia