Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Concentrix Cvg Italy s.r.l. - 26 novembre 2020 [9509515]

 

VEDI ANCHE NEWSLETTER DEL 23 DICEMBRE 2020

 

[doc. web n. 9509515]

Ordinanza ingiunzione nei confronti di Concentrix Cvg Italy s.r.l. - 26 novembre 2020

Registro dei provvedimenti
n. 235 del 26 novembre 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTA la segnalazione presentata al Garante concernente il trattamento di dati personali effettuati da Concentrix Cvg Italy s.r.l.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1.  La segnalazione nei confronti della società e l’attività istruttoria.

1.1. Con segnalazione del 2 agosto 2019 UILCOM Sardegna ha lamentato presunte violazioni del Regolamento da parte di Concentrix Cvg Italy s.r.l. (di seguito, la società), con particolare riferimento all’adozione di un Regolamento aziendale (in vigore dal 17 giugno 2019 in base a quanto indicato nel punto 5 del medesimo regolamento) con il quale, al fine di garantire la segretezza dei dati trattati per conto dei clienti, sarebbe stato disposto il divieto per i dipendenti della società di detenere determinati oggetti e/o indumenti nonché “l’obbligo di tenere a vista sulla scrivania scatole di medicinali e assorbenti”. L’Autorità ha aperto un’istruttoria ai sensi dell’art. 144 del Codice.

1.2. La società, in risposta alla richiesta di elementi (nota del 17 settembre 2019) formulata dall’Ufficio, con nota del 28.10.2019 ha dichiarato che:

a. il regolamento interno è stato adottato nell’ambito della implementazione di un “sistema di gestione della sicurezza delle informazioni” del quale fa parte una “clean desk policy” […] “per garantire che oggetti come borsette, borse di grandi dimensioni, telefoni cellulari o altri dispositivi elettronici non possano essere utilizzati per catturare le informazioni personali per scopi illeciti” (v. nota 28.10.2019, p. 2);

b. “sono state fornite linee guida che consentono eccezioni nei casi in cui farmaci o articoli relativi alla salute debbano essere immediatamente reperibili per il dipendente durante il turno di lavoro, in questo caso possono essere tenuti sulla scrivania […]. Tuttavia, non è stata implementata un’eccezione di processo che consenta al dipendente di conservare tali articoli in un piccolo astuccio porta oggetti alla scrivania per garantire la privacy delle informazioni personali e di salute” (v. nota cit., p. 2);

c. successivamente all’adozione della policy oggetto di segnalazione è stato costituito un “comitato supervisore e garante di ogni policy” con il compito di verificare, prima della applicazione degli atti che recano discipline interne, l’eventuale conflitto “con altre policy, con le normative di legge o di contratto, o [la violazione dei] diritti e le libertà altrui” (v. nota cit., p. 3);

d. pertanto “quando la policy in questione è stata introdotta in Italia, dal momento che il Comitato non era ancora stato creato, non è stata introdotta un’eccezione al processo che prevedesse la possibilità di portare nell’area produttiva […] una piccola borsa nella quale riporre farmaci o oggetti relativi alla salute del dipendente stesso” (v. nota cit., p. 3);

e. “a partire dal 1° novembre 2019 […] sarà garantito al lavoratore, previa preventiva comunicazione alle Risorse Umane, di […] tenere al proprio desk i farmaci o gli articoli sanitari necessari, contenuti in una piccola borsa o astuccio. In questo modo sarà impedita la divulgazione di qualsiasi condizione di salute e sarà garantita al dipendente la tutela della propria privacy” (v. nota cit., p. 3);

f.  "la borsa deve essere abbastanza grande da contenere gli oggetti necessari, ma non abbastanza grande da contenere un telefono cellulare, o altro dispositivo che potrebbe essere utilizzato per scopi illeciti” (v. nota cit., p. 3);

g. la nuova procedura comporta l’effettuazione dei seguenti passaggi: “il dipendente informa le Risorse Umane di un problema di salute che richiede che i farmaci o gli articoli sanitari siano riposti alla propria scrivania […]”; “le risorse umane possono richiedere di fornire al medico aziendale un documento medico che indichi il motivo per cui i farmaci devono essere a portata di mano del dipendente”; “una volta ricevuta la conferma del medico aziendale, le risorse umane documenteranno l’eccezione alla policy e invieranno una nota al reparto produttivo, in cui verrà comunicato che l’uso di una piccola borsa è approvato” (v. nota cit., p. 3);

h. con riferimento alla specificazione della data in cui il regolamento aziendale oggetto di segnalazione è divenuto efficace la società ha dichiarato che “una comunicazione a tutti i dipendenti è stata inviata via e-mail il 20 giugno 2019. […] Ogni singolo dipendente ha preso debitamente nota della policy e l’ha accettata per iscritto. […] La policy aziendale è entrata in vigore con l’accettazione individuale” (v. nota cit., p. 3).

1.3. Con nota del 5 dicembre 2019 l’organizzazione segnalante ha inviato le proprie controdeduzioni con le quali, tra l’altro, ha sostenuto che: “nessun lavoratore ha ricevuto comunicazione alcuna”, pertanto non è chiaro “se il processo che l’azienda dice di aver implementato il 1° novembre sia già operativo o meno”; “il fatto che i lavoratori abbiano sottoscritto la policy (non tutti l’hanno fatto) […] non libera l’azienda dalle responsabilità che comporta mantenere un adeguato livello di privacy”; il segnalante ha altresì ribadito la ritenuta illiceità di quanto stabilito nella policy aziendale, anche a seguito delle modifiche annunciate dalla società in sede di riscontro all’Autorità.

1.5. Il 20 gennaio 2020 l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione alla società delle presunte violazioni riscontrate, con riferimento agli artt. 5, par. 1, lett. a) e c), 6, par. 1, lett. b) e c), 9, par. 2, lett. b) del Regolamento. Con nota del 19 febbraio 2020 la società, rappresentata e difesa dall’avvocato Francesca Rubina Gaudino, ha dichiarato che:

a. “il regolamento interno sull’uso degli armadietti adottato nel mese di giugno 2019 […] non comporta alcun trattamento di dati relativi alla salute” (v. nota 19.2.2020, p. 1);

b. in base alla policy adottata nel giugno 2019 “nulla impedisce al dipendente di conservare i farmaci in un contenitore scuro, privo di etichetta” (v. nota cit., p. 1);

c. “al fine di evitare qualsiasi incomprensione [la società] ha modificato la policy e ha chiarito che un dipendente può conservare i farmaci sulla propria scrivania in piccoli contenitori opachi in plastica o in portapillole privi di qualsiasi etichetta” (v. nota cit., p. 1);

d. i lavoratori “sono autorizzati a lasciare la propria postazione di lavoro per prendere e fare uso di farmaci, dispositivi medici, assorbenti, salviette e liquidi conservati in armadietti loro assegnati” (v. nota cit., p. 2);

e. la società “a partire dal 18 febbraio 2020 […] ha revisionato la policy e ha […] stabilito che un operatore che utilizzi un dispositivo medico più grande di uno smartphone presso la propria postazione di lavoro può utilizzare una borsa di dimensioni maggiori […] previa comunicazione scritta e approvazione da parte dell’Ufficio risorse umane locale” (v. nota cit., p. 2);

f. “la […] policy, approvata a dicembre 2019, indicava la possibilità per le risorse umane di chiedere conferma ad un medico della necessità per gli operatori di tenere un farmaco a portata di mano”; tuttavia la società “non ha mai applicato la policy modificata [e] non ha intenzione di farlo in futuro”; la versione rivista il 18 febbraio 2020 “non contiene alcuna previsione che richieda la presentazione di un certificato medico” (v. nota cit., p. 3);

g. l’ultima versione della policy (del 18 febbraio 2020) è, allo stato, “in fase di implementazione” anche al fine di prendere in considerazione le osservazioni e le decisioni dell’Autorità nel presente procedimento; inoltre la società intende condividere le ultime revisioni della policy con i rappresentanti dei lavoratori (v. nota cit., p. 3);

h. tale versione della policy prevede che l’operatore debba informare per iscritto l’ufficio delle risorse umane qualora “intenda utilizzare una borsa opaca non più grande di uno smartphone per conservare farmaci, dispositivi medici e/o assorbenti, salviette e liquidi sulla scrivania della propria postazione di lavoro”; qualora il lavoratore intenda utilizzare una borsa più grande di uno smartphone deve comunicare all’ufficio risorse umane la “dimensione approssimativa della borsa […] necessaria per conservare il dispositivo medico” e richiederne “l’autorizzazione all’utilizzo”; l’ufficio delle risorse umane “crea e mantiene un registro per ciascuna comunicazione o richiesta di utilizzo di una borsa per la conservazione di farmaci, dispostivi medici e/o assorbenti, salviette e liquidi e, nel caso, di una borsa più grande, la dimensione approssimativa di quest’ultima” (v. nota cit., p. 4);

i. la società effettuerà ispezioni casuali sul contenuto delle borse collocate sulle scrivanie (v. nota cit., p. 4);

j. la base giuridica dei trattamenti effettuati in base a quanto stabilito con la policy interna risiede nell’art. 6, par. 1, lett. f) del Regolamento (legittimo interesse) in relazione alla finalità di prevenzione frodi; qualora i trattamenti effettuati in base alla policy interna fossero qualificati dall’Autorità come trattamento di dati relativi alla salute, la società “considera tale trattamento legittimo sulla base dell’art. 9 (2) (B) RGPD in combinato disposto con l’art. 32 RGPD” (v. nota cit., p. 5-8).

1.6. In data 4.8.2020, in sede di audizione richiesta dalla parte, la società ha dichiarato che:

- la “locker policy” oggetto di reclamo, “adottata per conformare la disciplina interna alle direttive del gruppo”, è stata effettivamente operante dal 20 giugno al 24 luglio 2019, data in cui è stata sospesa dall’azienda;

- le nuove versioni della policy inviate all’Autorità nel corso del procedimento “non sono state attuate”;

- le pause consentite di lavoro sono le seguenti: una pausa di 15 minuti ogni due ore e la pausa pranzo, nonché la possibilità di recarsi ai servizi igienici al di fuori delle pause consentite.

2. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

2.1. All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, risulta che la società, in qualità di titolare, ha effettuato alcune operazioni di trattamento di dati personali riferiti ai dipendenti che risultano non conformi alla disciplina in materia di protezione dei dati personali, nei termini di seguito descritti.

Premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”, è emerso che la società ha adottato un regolamento interno (Regolamento aziendale – Assegnazione e utilizzo dei lockers), applicato a partire dal 20 giugno 2019 e la cui efficacia è stata sospesa il 24 luglio 2019, che, nel fare “espresso ed integrale richiamo a quanto previsto in Appendix 1.0 (“Employee information Security Responsibilities Policies”) e Procedure 1.0 (“Clean desk and Screen saver”)”, ha stabilito che “è possibile introdurre i seguenti oggetti all’interno delle aree di lavoro, solo se riposti secondo il seguente schema”, ed in particolare “al Desk”, i seguenti oggetti di uso personale: “medicinali o presidi medici in uso; salviette umidificate […], assorbenti” (v. punto 4, regolamento cit.). In proposito la richiamata “Appendix 1.0” prevede che “Agli agenti è proibito portare oggetti personali (come borse, zaini, borse, ecc.) nelle aree operative dei call center nei siti dove sono presenti gli armadietti, forniti per proteggere gli effetti personali” (v. All. trasmesso il 30.10.2019).

Pertanto, in base alle richiamate disposizioni interne, gli operatori addetti al call center in servizio presso la società sono stati tenuti ad esporre sul tavolo di lavoro oggetti prettamente personali quali medicinali, presidi medici, assorbenti, salviette umidificate, che il lavoratore utilizza nel corso della prestazione lavorativa anche al di fuori delle ipotesi in cui è possibile recarsi previamente presso l’armadietto assegnato per prelevare tali oggetti di uso personale (in particolare al di fuori delle pause consentite di 15 minuti ogni due ore e nel corso della pausa pranzo). Ciò senza la possibilità di posizionare tali oggetti all’interno di astucci o comunque contenitori di piccole dimensioni al fine di sottrarli alla visibilità altrui (di colleghi e superiori gerarchici) con conseguente possibilità per costoro di apprendere, indirettamente, stati o situazioni personali o informazioni relative allo stato di salute estranei al contenuto della prestazione lavorativa e lesive della dignità e riservatezza del dipendente.

In proposito si osserva che la società nel corso del procedimento non ha fornito concreti elementi in base ai quali poter accertare che “nella prassi” fosse consentito agli operatori di posizionare i menzionati oggetti di uso personale all’interno di contenitori (come sostenuto nelle memorie difensive del 19.2.2020 e nell’audizione del 4.8.2020). Infatti la stessa società ha più volte dichiarato che solo in un momento successivo all’applicazione della policy è stata prevista (a titolo di “eccezione”) la possibilità di conservare i predetti oggetti di uso personale presso una piccola borsa o astuccio (v. precedente punto 1.2., lett. b., c. e d.) e che gli schemi di regolamento interno elaborati successivamente (rispettivamente approvati nel dicembre 2019 e il 18 febbraio 2020 e mai applicati: v. precedente punto 1.5., lett. f. e g.) prevedevano una particolare procedura autorizzatoria relativa proprio alla possibilità di tenere presso la propria postazione lavorativa un contenitore o una borsa piccola o di “dimensioni più grandi”.

Considerato che in base all’ordinamento vigente il datore di lavoro può trattare le informazioni necessarie e pertinenti rispetto alla gestione del rapporto di lavoro secondo quanto previsto dalle leggi, dai regolamenti e dalle disposizioni dei contratti collettivi applicabili e/o del contratto di lavoro individuale (v. artt. 5, par. 1, lett. a) e c) e 6, par. 1, lett. b) e c), Regolamento), mentre i dati c.d. particolari possono essere trattati esclusivamente se “il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell'Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell'interessato” (v. art. 9, par. 2, lett. b), Regolamento), è emerso che i trattamenti oggetto di segnalazione sono stati effettuati in assenza di alcuno dei predetti criteri di legittimazione. Né, in proposito, può essere preso in considerazione il regolamento aziendale interno, che non rientra nel novero delle fonti indicate dall’ordinamento (v. artt. 6, par. 1, lett. c) e 88, nonché considerando 45 del Regolamento sul significato di “obbligo legale”). Né la “accettazione” per iscritto del regolamento interno, qualora tale manifestazione di volontà fosse in concreto accertata, avrebbe potuto costituire base giuridica idonea a legittimare il trattamento di dati personali (limitatamente a quelli diversi dai dati “particolari” di cui all’art. 9, Regolamento (UE) 2016/679), ciò alla luce della asimmetria tra le rispettive parti del rapporto di lavoro e la conseguente, eventuale, necessità di accertare di volta in volta e in concreto l’effettiva libertà del consenso espresso (v. provv. 13.12.2018, n. 500, in www.garanteprivacy.it, doc. web n. 9068983). Quanto al prospettato legittimo interesse della società (v. precedente punto 1.5., lett. j.) in relazione alla finalità di prevenire frodi, si osserva che tale criterio di legittimazione, peraltro ammissibile solo per i dati “comuni”, può essere utilizzato previa effettuazione di un test comparativo sulla non prevalenza nel caso concreto di interessi o diritti e libertà fondamentali dell’interessato (v. art. 6, par. 1, lett. f) del Regolamento). Non risulta che tale valutazione sia stata effettuata dalla società, posto che il regolamento interno è stato adottato nel giugno 2019 prima che venisse istituito l’organismo deputato a verificare eventuali conflitti delle discipline aziendali con “altre policy, con le normative di legge o di contratto, o [la violazione dei] diritti e le libertà altrui” (v. precedente punto 1.2., lett. c.).

Inoltre, in ogni caso, i trattamenti effettuati dal 20 giugno al 24 luglio 2019 non risultano conformi ai principi di liceità e minimizzazione dei dati (v. art. 5, par. 1, lett. a) e c), Regolamento): la legittima finalità di prevenire possibili accessi illeciti ai dati trattati per conto dei committenti nell’ambito della fornitura del servizio di call center, infatti, può e deve essere perseguita astenendosi dal trattare dati personali dei lavoratori, anche di natura “particolare” (con riferimento ai farmaci ed ai dispositivi medici che l’interessato ha necessità di avere a disposizione anche nel corso della prestazione lavorativa: v. art. 9, par. 1, del Regolamento), la cui sottoposizione alla altrui conoscibilità comporta l’eliminazione di ogni spazio di riservatezza e di intimità sul luogo di lavoro, consentendo a terzi di apprendere sia lo stato di salute che la sussistenza di condizioni normalmente tenute riservate dagli interessati nella vita di relazione, con conseguente violazione della dignità della persona, intesa come “valore costituzionale che permea di sé il diritto positivo” (v. Corte Cost., 17.7.2000, n.293; si veda anche Corte Cost., 19.12.1991, n.467; art. 1, Carta dei diritti fondamentali dell’Unione europea; art. 1 del Codice; v. altresì art. 88, par. 2 del Regolamento).

2.2. Con riferimento alla procedura di comunicazione e/o autorizzazione relativa alla possibilità per i lavoratori di portare con sé presso la propria postazione di lavoro un astuccio o una borsa contenente oggetti di uso strettamente personale − compresi farmaci, dispositivi medici e assorbenti − preso atto che, in base a quanto dichiarato dalla società nel corso del procedimento, tale procedura, laddove prevedeva il rilascio di un certificato da parte del medico competente, non è mai stata applicata né lo schema allo stato in fase di elaborazione prevede il coinvolgimento del medico, si prescrive alla società di conformare i trattamenti di dati personali connessi a tale procedura (ivi compresa la prospettata tenuta di registri: v. precedente punto 1.5., lett. h.) ai principi generali di liceità e minimizzazione, in modo da impedire il trattamento (ivi compresa la registrazione) di informazioni specifiche relative agli oggetti da collocare nei contenitori (salva la possibilità di effettuare controlli successivi, come dichiarato alla società, nei limiti previsti dalla disciplina di settore applicabile).

3. Conclusioni: illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Per i suesposti motivi, il trattamento dei dati personali riferiti agli operatori in servizio presso il call center, effettuato dalla società in base a quanto previsto dal regolamento aziendale applicato nel periodo compreso tra il 20 giugno e il 24 luglio 2019, risulta illecito, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a) e c), 6, par. 1, lett. b) e c) e 9, par. 1, lett. b) del Regolamento.

Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento, alla luce delle circostanze del caso concreto:

- si ingiunge alla società di conformare ai principi di liceità e minimizzazione previsti dal Regolamento i trattamenti effettuati con il regolamento aziendale relativo alla “locker policy”, allo stato in fase di elaborazione, impedendo il trattamento di informazioni specifiche relative agli oggetti di uso strettamente personale che gli operatori chiedono di poter collocare in astucci o borse presso la propria postazione;

- si dispone, in aggiunta alla misura correttiva, una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) Regolamento).

4. Ordinanza ingiunzione.

Ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166, commi 3 e 7 del Codice, il Garante dispone l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, mediante adozione di un’ordinanza ingiunzione (art. 18, l. 24.11.1981, n. 689), in relazione ai trattamenti dei dati personali degli operatori in servizio presso il call center effettuati dalla società in base a quanto previsto dal regolamento aziendale applicato nel periodo compreso tra il 20 giugno e il 24 luglio 2019, di cui è risultata accertata l’illiceità, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a) e c), 6, par. 1, lett. b) e c) e 9, par. 1, lett. b) del Regolamento, all’esito del procedimento di cui all’art. 166, comma 5 svolto in contraddittorio con il titolare del trattamento (v. precedente punto 1.5. e 1.6.).

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, considerato che le accertate violazioni dell’art. 5 del Regolamento sono da considerarsi più gravi, in quanto relative alla inosservanza di una pluralità di principi di carattere generale applicabili al trattamento di dati personali, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto per la predetta violazione. Conseguentemente si applica la sanzione prevista dall’art. 83, par. 5, lett. a), del Regolamento, che fissa il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore.

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

a) in relazione alla natura, gravità e durata della violazione è stata considerata rilevante la natura della violazione che ha riguardato i principi generali del trattamento in relazione ad un numero significativo di interessati (in base alle visure la società risulta avere 253 dipendenti alla data del 30.9.2019); le violazioni hanno anche riguardato le condizioni di liceità del trattamento (disposizioni più specifiche riguardo ai trattamenti nell’ambito dei rapporti di lavoro);

b) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare è stata presa in considerazione la negligente condotta della società e il grado di responsabilità della stessa che non si è conformata alla disciplina in materia di protezione dei dati relativamente ad una pluralità di disposizioni;

c) la società ha complessivamente e attivamente cooperato con l’Autorità nel corso del procedimento;

f) l’assenza di precedenti specifici (relativi alla stessa tipologia di trattamento) a carico della società.

Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla società con riferimento al bilancio d’esercizio per l’anno 2019.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Concentrix Cvg Italy s.r.l. la sanzione amministrativa del pagamento di una somma pari ad euro 20.000,00 (ventimila).

In tale quadro si ritiene, altresì, in considerazione della tipologia delle violazioni accertate che hanno riguardato le condizioni di liceità del trattamento, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante.

Si ritiene, altresì, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Si ricorda che in caso di inosservanza di un ordine dell’Autorità può essere applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e) del Regolamento.

TUTTO CIÒ PREMESSO, IL GARANTE

rileva l’illiceità del trattamento effettuato da Concentrix Cvg Italy s.r.l. in persona del legale rappresentante, con sede legale in Cagliari, Strada statale 195 – Km 2300 snc, C.F. 11414850153, ai sensi dell’art. 144 del Codice, per la violazione degli artt. 5, par. 1, lett. a) e c), 6, par. 1, lett. b) e c) e 9, par. 1, lett. b) del Regolamento;

INGIUNGE

ai sensi dell’art. 58, par. 2, lett. d) Regolamento a Concentrix Cvg Italy s.r.l. di conformare al Regolamento i trattamenti effettuati con il regolamento aziendale in fase di elaborazione relativamente alla definizione della “locker policy”, entro 60 giorni dal ricevimento del presente provvedimento;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento a Concentrix Cvg Italy s.r.l. di pagare la somma di euro 20.000,00 (ventimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

altresì alla medesima Società di pagare la predetta somma di euro 20.000,00 (ventimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/20129, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

Richiede a Concentrix Cvg Italy s.r.l. di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto disposto con il presente provvedimento e di fornire comunque riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice, entro il termine di 90 giorni dalla data di notifica del presente provvedimento; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 5, lett. e) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 26 novembre 2020

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei