g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Stay Over s.r.l. - 21 luglio 2022 [9809466]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9809466]

Ordinanza ingiunzione nei confronti di Stay Over s.r.l. - 21 luglio 2022

Registro dei provvedimenti
n. 255 del 21 luglio 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presentato ai sensi dell’art. 77 del Regolamento in data 5 settembre 2019 dalla Sig.ra XX nei confronti di Stay Over s.r.l.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

PREMESSO

1. Il reclamo nei confronti della Società e l’attività istruttoria.

Con reclamo del 5 settembre 2019 la Sig.ra XX ha lamentato presunte violazioni del Regolamento da parte di Stay Over s.r.l. (di seguito, la Società), con riferimento al riscontro tardivo e non idoneo ad un’istanza di accesso ai dati riferiti alla reclamante trattati dalla Società e all’illecito trattamento dell’account di posta elettronica XX effettuato dalla Società a seguito della cessazione del rapporto di lavoro intercorso tra la reclamante e la Società.

In particolare, con riferimento all’istanza di accesso ai dati è stato lamentato che la Società avrebbe dichiarato, tra l’altro tardivamente, “non essere in corso un trattamento di dati che riguardino la [reclamante]”; con riferimento all’account di posta elettronica aziendale assegnato alla reclamante durante il rapporto di lavoro è stato lamentato che la Società avrebbe mantenuto attivo lo stesso a seguito della cessazione del rapporto di lavoro operando un reindirizzamento delle comunicazioni in entrata ad altro indirizzo di posta assegnato ad altri dipendenti della Società. Ciò in assenza di adeguata informativa ex art. 13 del Regolamento.

Con nota del 13 dicembre 2019, nel fornire riscontro alle richieste dell’Autorità del 28 ottobre 2019, la Società ha dichiarato che:

a. “quanto al trattamento dei dati personali della ex dipendente […], la Società […], a seguito della cessazione del rapporto di lavoro e degli adempimenti conseguenti, si limita all'attività di conservazione dei dati personali della ex dipendente, relativi al rapporto di lavoro con la stessa intercorso sino al 30.09.2018, ai fini dell'osservanza e dell'adempimento degli obblighi di conservazione, posti a suo carico dalla normativa in materia di lavoro, previdenza e assistenza sociale e fiscale” (v. nota 13.12.2019, p. 1);

b. “l'account di posta aziendale [oggetto di reclamo] è stato sempre utilizzato esclusivamente ai fini lavorativi e non personali e conteneva in via esclusiva mail aziendali, necessarie per l'operatività d[ella Società]. Dato il contenuto esclusivamente aziendale delle mail circolanti sull'account aziendale, non sussiste alcun illecito trattamento di dati personali da parte dell'azienda” (v. nota cit., p. 2);

c. “dopo la cessazione del rapporto di lavoro con l'ex dipendente, la Società […], si rivolgeva […] all'amministratore di sistema […], affinché, in vista della disattivazione dell'account di mail aziendale [oggetto di reclamo], venisse impostato un messaggio automatico diretto ad informare i terzi che l'account non era più attivo […], ottenendo il suo impegno all'immediato intervento, per il giorno successivo” (v. nota cit., p. 2);

d. la Società nominata amministratore di sistema è stata “anche designata quale «Responsabile del trattamento dei dati personali, conseguenti alla gestione dei sistemi informatici aziendali e delle attività connesse»” (v. nota cit., p. 3);

e. il rappresentante legale della Società nominata amministratore di sistema “il giorno 11.10.2018 […] si avvedeva che sia la cartella «posta in arrivo» sia la cartella «posta eliminata» dell’account aziendale [in oggetto] non contenevano mail. Informata la Società dell'anomalia, per consentire a[lla Società] il recupero delle mail aziendali, costituenti patrimonio aziendale, [l’amministratore di sistema] […] «operava un blocco dell’account […] senza disattivarlo, mettendo peraltro in atto delle misure di protezione dell’account, inserimento del messaggio automatico di mail non attiva, deviazione delle mail in entrata su altro indirizzo di posta aziendale, inibizione dell’invio di mail». Si precisa che la procedura di sospensione dell'account per un periodo di 6 mesi durante il quale lo stesso rimane attivo in sola ricezione è stato recepito nel «Regolamento per l'utilizzo degli strumenti informatici», adottato in data 20.10.2018. Il Regolamento è stato redatto e predisposto con la consulenza specialistica della Società Ergon S.r.l., che fornisce consulenza in materia di privacy […], ed è stato approvato e avvallato dal DPO” (v. nota cit., p. 3);

f. “ciò consentiva […] di dare corso alla procedura per il recupero delle mail aziendali cancellate, che risultavano pari a circa 34.000” (v. nota cit., p. 3);

g. “l'account aziendale veniva disattivato in data 17.03.2019” (v. nota cit., p. 3);

h. “l'account è stato disattivato il 17.03.2019, per soddisfare medio tempore le seguenti esigenze: consentire al datore di lavoro il recupero delle mail aziendali cancellate, necessarie per garantire l'operatività aziendale, e poter verificare le cause di cancellazione delle mail aziendali; consentire la tutela della Società Stay Over S.r.l. nel contenzioso nel frattempo insorto con la ex dipendente in relazione alla cancellazione delle mail […] assicurare medio tempore la continuità aziendale, facente capo alla ex dipendente […] prima della cessazione del suo rapporto di lavoro; si fa presente in proposito che l'ex dipendente si occupava dei seguenti rapporti: amministrazione del personale, verifica delle presenze dei dipendenti impiegati negli appalti di pulizie, procedimenti disciplinari, tutti strategici per la concreta operatività della Società” (v. nota cit., p. 4, 5);

i. “quanto ai criteri di legittimazione del trattamento e alle modalità di trattamento dei dati circolanti sull'account sino alla sua disattivazione e in riferimento ai soggetti autorizzati, si precisa che, oltre alla Società […] che in qualità di «amministratore di sistema» e di «Responsabile del trattamento dei dati personali conseguenti alla gestione dei sistemi informatici aziendali e delle attività connesse» […] ha svolto l'attività di cui all[a] relazione del 07.11.2018 […] e alla relazione […] allegata […] -, per garantire la continuità del lavoro svolto dalla ex dipendente […], i messaggi in entrata sull'account venivano deviati all'account «XX», in uso alle dipendenti […], subentrate alla [reclamante] nelle mansioni che a questa erano state affidate” (v. nota cit., p. 5);

j. “la Società Stay Over S.r.l. ha adottato il «Regolamento per l'utilizzo degli strumenti informatici» in data 20.10.2018 […]” (v. nota cit., p. 5);

k. “essendo l'adozione successiva alla cessazione del rapporto con la ex dipendente […], detto regolamento non è stato a quest'ultima consegnato. Si fa presente che la ex dipendente aveva sottoscritto, alla data della sua assunzione, l'informativa privacy” (v. nota cit., p. 6);

l. “si rileva che con il Regolamento è stata recepita la prassi, già in uso nella Società, relativamente all'utilizzo da parte del personale dipendente degli indirizzi di posta elettronica aziendale, sia per quanto riguarda le finalità di utilizzo degli account (esclusivamente come strumenti di lavoro per fini aziendali), sia per quanto riguarda la proprietà in capo alla Società e il contenuto (aziendale) delle mail circolanti sugli account” (v. nota cit., p. 6).

In data 11 giugno 2020 la reclamante ha presentato le proprie controdeduzioni.

Il 6 agosto 2020, a seguito dell’invito a fornire ulteriori chiarimenti dell’Autorità, la Società ha dichiarato che:

a. “la richiesta [ex art. 15 del Regolamento] seguiva di oltre 6 mesi la cessazione del rapporto di lavoro (risalente al 30.09.2018): sotto questo aspetto veniva anche in rilievo il fatto che l'ex dipendente era a conoscenza che i suoi dati personali sarebbero stati conservati dalla Società anche dopo la cessazione del rapporto di lavoro (per consentire l'espletamento di tutti gli eventuali adempimenti connessi o derivanti dalla conclusione del rapporto stesso), come risultava dall'informativa privacy, sottoscritta dalla reclamante” (v. nota cit., p. 2, 3);

b. “è quindi in questo specifico contesto che va inquadrato il riferimento al «non essere in corso un trattamento di dati personali che riguardano la [reclamante]», contenuto nella comunicazione del 20.05.2019, che la Società ha inteso rendere non nel senso strettamente letterale indicato dall’art 4.2 del Regolamento, ma in senso «atecnico», riferendosi, nella risposta, non ai dati personali per i quali è obbligatoria la conservazione per legge a seguito della cessazione del rapporto di lavoro (conservazione di cui l'ex dipendente era resa edotta […]), ma ai dati la cui trattazione non era più necessaria da parte della Società” (v. nota cit., p. 3);

c. “il fatto che Stay Over riscontrasse la diffida […] pervenuta a mezzo pec alla Società in data 11.03.2019 […], con comunicazione di data 20.05.2019, è stato determinato dai seguenti fattori: la richiesta ex art. 15 Regolamento UE 2016/679 è stata formulata nel corpo di una diffida a firma dei legali dell'ex dipendente, senza essere riportata […] nell'oggetto della comunicazione […]; la richiesta di accesso agli atti non era quindi di immediata individuazione per la Società, che trattava la diffida ricevuta in data 11.03.2019 come parte di una vertenza legale già pendente, e non come una autonoma richiesta ex art. 15, che avrebbe seguito, se quantomeno fosse stata ben individuata almeno nell'oggetto, un diverso iter; si aggiunga che, nello stesso periodo, era in corso all'interno della Società un processo di turn over e di riorganizzazione del personale in sede, così che la gestione del riscontro alle richieste subiva un generale iniziale rallentamento, a causa di detta improvvisa e inaspettata riduzione dell’organico aziendale incaricato, che determinava un problema nel flusso di comunicazione. Tale situazione ha rappresentato un evento del tutto isolato, cui poi la Società ha fatto fronte attraverso un rafforzamento dei meccanismi organizzativi volti a sopperire alla temporanea/improvvisa mancanza di personale; nel frattempo aveva anche luogo […] l'avvicendamento dei nuovi difensori nell'assistenza della Società nella vertenza contro la ex dipendente; di detto avvicendamento i legali della reclamante venivano tempestivamente avvisati con comunicazione a mezzo mail di data 03.05.2019. La comunicazione veniva ricevuta dal[…] legale della reclamante, in data 06.05.2019 […]; in data 09.05.2019 la stessa [avvocatessa della reclamante] dava riscontro ai nuovi difensori della Società, prendendo atto dell'intervento e dichiarando di attendere un riscontro alla citata diffida del 08.03.2019” (v. nota cit., p. 4, 5);

d. in merito alle finalità e alle modalità di conservazione delle e-mail inviate e ricevute attraverso l’account aziendale della reclamante “la finalità è relativa alla gestione delle esigenze organizzative e produttive della Società, con l’utilizzo di strumenti elettronici forniti per rendere la prestazione lavorativa […]. La conservazione dei messaggi (inviati e ricevuti) su tutti gli account aziendali alla data della cessione del rapporto di lavoro con la reclamante […] era a cura del Sistema OFFICE365 di Microsoft; fisicamente la posta risiedeva in cloud su server Microsoft” (v. nota cit., p. 5, 6);

e. relativamente alla prassi della Società in merito alle modalità di conservazione delle e-mail inviate e ricevute attraverso gli account aziendali dei propri dipendenti “I messaggi ricevuti o inviati, se non cancellati, erano presenti nella cartella degli account aziendali per un tempo non superiore al termine di anni 10” (v. nota cit., p. 6);

f. “prima della adozione della predetta policy, la Società adottava una prassi operativa per essere GDPR compliant, nella quale era assistita dalla consulenza specialistica della Società Ergon S.r.l. […], poi sfociata nell'adozione del Regolamento in conformità alla normativa vigente” (v. nota cit., p. 6);

g. “al fine di conformarsi all’art. 4 L.300/40 la Società ha reso l’informativa di cui all’art. 13 del Regolamento a tutti gli interessati ed ha ottemperato a quanto previsto dal Provvedimento dell’Autorità Garante 1° marzo 2007 anche attraverso l’adozione del Regolamento per l’utilizzo dei sistemi informatici in vigore dal 2018, a cui ci si riporta. La Società ha inoltre svolto un percorso di formazione dei dipendenti su «gdpr normativa privacy»” (v. nota cit., p. 6);

h. “non viene effettuato alcun monitoraggio dei flussi telematici in ingresso ed in uscita dalla Società” (v. nota cit., p. 7).

In data 2 febbraio 2021 la reclamante ha presentato le proprie controdeduzioni.

Il 19 ottobre 2021, a seguito dell’invito dell’Autorità a fornire ulteriori chiarimenti, la Società ha dichiarato che:

a. “il periodo di conservazione di 10 anni per l’account [oggetto di reclamo] e per tutti gli account aziendali decorre dalla data di registrazione del messaggio nella casella di posta elettronica” (v. nota 19.10.2021, p. 2);

b. “il periodo di conservazione di 10 anni risponde all'esigenza aziendale di conservazione, anche e soprattutto ai fini probatori, dei messaggi di posta elettronica a contenuto e rilevanza giuridica e commerciale, trattandosi di documenti informatici, che, in quanto corrispondenza, devono essere conservati ordinatamente per ciascun affare secondo le prescrizioni dettate dall'art. 2214 cod. civ. Le e-mail a contenuto commerciale vanno inoltre tenute e conservate anche a fini fiscali secondo l'art. 22 del D.p.r. 600/1973. Anche la normativa in materia di messaggi di posta elettronica certificata (PEC) impone l’obbligo di conservazione di 10 anni. L’art. 43 del Codice dell’amministrazione Digitale (CAD) dispone infatti che la conservazione degli stessi deve essere eseguita nella modalità digitale secondo le regole tecniche in materia di sistema di conservazione” (v. nota cit., p. 2);

c. le e-mail “con dei job vengono cancellate rispettando il predetto periodo di conservazione” (v. nota cit., p. 2);

d. “la reclamante […] risulta avere sottoscritto unicamente l'informativa sul trattamento dei dati personali […], dove è contenuta l'informativa che il trattamento poteva avvenire con il supporto di mezzi cartacei, informatici o telematici” (v. nota cit., p. 2);

e. “la reclamante ha dato […] le dimissioni prima che la Società concludesse l'iter di adozione del «Regolamento sull'utilizzo degli strumenti informatici»” (v. nota cit., p. 2, 3).
2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e le deduzioni della Società.

Il 24 gennaio 2022 l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione alla Società delle presunte violazioni del Regolamento riscontrate, con riferimento agli artt. 5, 6, 12, 13, 15, 88 del Regolamento e 114 del Codice.

Con gli scritti difensivi inviati in data 22 febbraio 2022, la Società ha dichiarato che:

a. “l’accesso alla casella di posta elettronica dell'ex dipendente non è stata compiuto al fine di conseguire benefici finanziari o profitti di alcun tipo, ma è stata motivato dalla necessità per la Società di garantire la prosecuzione della propria attività e nel contempo ai fini di tutela dei propri diritti, nell’ambito di una situazione precontenziosa […] quanto all'elemento soggettivo per una eventuale sanzione, la condotta della Società è stata connotata dalla colpa e non dal dolo” (v. nota 22.2.2022 cit., p. 2);

b. “in tema di protezione di dati personali la Società si è dotata di un Regolamento per l’utilizzo degli strumenti informatici in data 20.10.2018; si è avvalsa – e si avvale tutt’oggi - delle prestazioni specialistiche di Società accreditate nel settore e, in particolare, della consulenza specialistica di Ergon S.r.l., designata anche quale D.P.O. […], e, per la gestione dei sistemi informatici, della prestazione della Società […] nominata “Amministratore di sistema” e “Responsabile del trattamento dei dati personali, conseguenti alla gestione dei sistemi informatici aziendali e della attività connesse” (v. nota cit., p. 2);

c. “nonostante negli ultimi due anni si sia trovata ad operare in un contesto molto complicato a causa dell'emergenza sanitaria in corso, che ha colpito in particolare il settore dei servizi in cui opera, Stay Over S.r.l. ha continuato a prestare attenzione al tema della privacy e della protezione dei dati personali” (v. nota cit., p. 2, 3);

d. con riferimento agli “esiti dei recenti audit dei giorni 15 e 16 febbraio 2022” è stato riconosciuto dal Lead Auditor che “l'Organizzazione ha raggiunto gli obiettivi di mantenimento della conformità al GDPR” e che “In base ai risultati del presente audit, l'Auditor propone quindi che la conformità al GDPR di Stay Over S.r.l. sia confermata” (v. nota cit., p. 3);

e. “la Società, nell’ottica della completa collaborazione con questa Ecc.ma Autorità che ha sin dal principio contraddistinto il suo intervento nel procedimento, si rende pienamente disponibile a recepire e ad attuare tutte le indicazioni, che dovessero pervenire dal Garante” (v. nota cit., p. 3);

f. “nel corso del procedimento la Società ha complessivamente e attivamente cooperato con questa Ecc.ma Autorità, riscontrando ogni richiesta e allegando a comprova ampia ed articolata documentazione, nell’ottica di una completa disclosure degli elementi utili a fornire ogni chiarimento richiesto” (v. nota cit., p. 3);

g. “la Società non ha a suo carico precedenti, tanto meno specifici (relativi alla stessa tipologia di trattamento), né è mai stata prima d’ora sottoposta ad un procedimento davanti all’Autorità Garante” (v. nota cit., p. 3);

h “la Società versa attualmente in una situazione economica grandemente compromessa e sostanzialmente precaria, trovandosi a fronteggiare per il secondo anno consecutivo l’importante contraccolpo causato al proprio equilibrio economico-finanziario dall’emergenza sanitaria in corso. Stay Over S.r.l. opera infatti nel settore dei servizi alberghieri, uno degli ambiti più compromessi e che ha maggiormente risentito della crisi economica conseguente all’emergenza sanitaria” (v. nota cit., p. 3).

A seguito della richiesta della Società, in data 24 maggio 2022 si è tenuta l’audizione della stessa. In tale occasione la parte ha rappresentato di “essersi immediatamente attivata per eliminare le conseguenze delle irregolarità relative al caso oggetto di reclamo ed emerse nel corso dell’istruttoria davanti all’Autorità” e che “fin dalla seconda metà del mese di settembre 2018 la Società ha adeguato i propri trattamenti di dati e le proprie policy aziendali alle disposizioni del Regolamento Ue 2016/679 […] anche attraverso l’ausilio di consulenti specializzati. Le dimissioni della reclamante si collocano all’interno del periodo in cui la Società si stava adeguando a dette disposizioni. […] I comportamenti posti in essere in tale circostanza non costituiscono una prassi aziendale, ma sono stati limitati al caso concreto in considerazione della peculiarità del caso. […] Il sistema di reinoltro delle e-mail inviate all’account della reclamante era impostato solo sull’account del dipendente che ha sostituito la reclamante nelle medesime funzioni”.

3. Esito del procedimento.

3.1. Fatti accertati e osservazioni sulla normativa in materia di protezione dei
dati personali.

All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, risulta che la Società, in qualità di titolare, ha effettuato alcune operazioni di trattamento riferite alla reclamante, che risultano non conformi alla disciplina in materia di protezione dei dati personali, sia per quanto riguarda l’esercizio del diritto di accesso ai dati ex art. 15 del Regolamento in quanto la Società ha fornito alla reclamante un riscontro tardivo ed inidoneo, sia per quanto riguarda il trattamento dell’account di posta elettronica aziendale.

In proposito si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

L’art. 5 del Regolamento, nell’enunciare i principi generali del trattamento, precisa che i dati devono essere trattati “in modo lecito, corretto e trasparente nei confronti dell’interessato (“liceità, correttezza e trasparenza”)”, che devono essere trattati dati “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (“minimizzazione dei dati”)” e che i dati devono essere “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”. L’art. 6 del Regolamento indica le condizioni di liceità per il trattamento dei dati c.d. comuni.

L’art. 12 del Regolamento, da leggere anche in stretto collegamento con le norme relative agli specifici diritti riconosciuti dall’ordinamento all’interessato, dispone che “il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento” (par. 1) e che “il titolare del trattamento agevola l’esercizio dei diritti dell’interessato ai sensi degli articoli da 15 a 22” (par. 2). Il paragrafo 3 del medesimo articolo precisa che “il titolare del trattamento fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il titolare del trattamento informa l’interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta”. In base al paragrafo 4 del medesimo articolo il titolare del trattamento, qualora non ottemperi all’istanza dell’interessato, “informa l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale”.

In base all’art. 15, par. 1, del Regolamento “l’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso di ottenere l’accesso ai dati personali e alle […] informazioni [indicate nello stesso articolo 15].

L’art. 13 del Regolamento indica le informazioni relative al trattamento che il titolare del trattamento deve fornire all’interessato prima del trattamento.
L’art. 88 del Regolamento ha fatto salve le norme nazionali di maggior tutela (“norme più specifiche”) volte ad assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei lavoratori. Il legislatore nazionale ha approvato, quale disposizione più specifica, tra l’altro, l’art. 114 del Codice che tra le condizioni di liceità del trattamento ha stabilito l’osservanza di quanto prescritto dall’art. 4, legge 20 maggio 1970, n. 300.

3.2. Violazioni accertate.

3.2.1. Account di posta elettronica aziendale.

Dagli elementi acquisiti nel corso dell’attività istruttoria è emerso, in particolare, che la Società, in base a quanto dalla stessa dichiarato, dopo la cessazione del rapporto di lavoro con la reclamante (rapporto intercorso fino al 30.9.2018) ha mantenuto attivo, fino al 17 marzo 2019, l’account di posta elettronica individualizzato assegnato alla reclamante al fine di recuperare le e-mail aziendali dell’account predetto  per “garantire l'operatività aziendale, e poter verificare le cause di cancellazione delle mail aziendali” nonché per “consentire la tutela della Società Stay Over S.r.l. nel contenzioso nel frattempo insorto con la ex dipendente in relazione alla cancellazione delle mail [e] assicurare medio tempore la continuità aziendale, facente capo alla ex dipendente […] prima della cessazione del suo rapporto di lavoro”.

E’ emerso, inoltre, che la persistente attività dell’account di posta elettronica aziendale ha consentito alla Società di recuperare 34000 e-mail che, secondo quanto dichiarato dalla Società, erano state cancellate dal predetto account, nonché che la Società ha proceduto ad attivare un sistema di reindirizzamento automatico delle e-mail ricevute dal predetto account, successivamente alla cessazione del rapporto di lavoro, ad altro indirizzo di posta elettronica della Società gestito da alcune dipendenti della stessa.

La Società ha dichiarato altresì di conservare le e-mail inviate e ricevute attraverso gli account aziendali, compreso quello assegnato alla reclamante, per dieci anni “dalla data di registrazione del messaggio nella casella di posta elettronica”, “anche e soprattutto ai fini probatori […] trattandosi di documenti informatici, che, in quanto corrispondenza, devono essere conservati ordinatamente per ciascun affare secondo le prescrizioni dettate dall'art. 2214 cod. civ.”, quindi per fini fiscali ai sensi dell’art. 22 del D.P.R. 600/1973 e in base all’art. 43 del Codice dell’amministrazione Digitale.

Si rileva preliminarmente che, conformemente al costante orientamento della Corte europea dei diritti dell’uomo, la protezione della vita privata si estende anche all’ambito lavorativo, considerato che proprio in occasione dello svolgimento di attività lavorative e/o professionali si sviluppano relazioni dove si esplica la personalità del lavoratore (v. artt. 2 e 41, comma 2, Cost). Tenuto anche conto che la linea di confine tra ambito lavorativo/professionale e ambito strettamente privato non sempre può essere tracciata con chiarezza, la Corte ritiene applicabile l’art. 8 della Convenzione europea dei diritti dell’uomo posto a tutela della vita privata senza distinguere tra sfera privata e sfera professionale (v. Niemietz c. Allemagne, 16.12.1992 (ric. n. 13710/88), spec. par. 29; Copland v. UK, 03.04.2007 (ric. n. 62617/00), spec. par. 41; Bărbulescu v. Romania [GC], 5.9.2017 (ric. n. 61496/08), spec. par. 70-73; Antović and Mirković v. Montenegro, 28.11. 2017 (ric. n. 70838/13), spec. par. 41-42). Pertanto il trattamento dei dati effettuato mediante tecnologie informatiche nell’ambito del rapporto di lavoro deve conformarsi al rispetto dei diritti e delle libertà fondamentali nonché della dignità dell’interessato, a tutela di lavoratori e di terzi (v. Raccomandazione CM/Rec (2015)5 del Comitato dei Ministri agli Stati Membri sul trattamento di dati personali nel contesto occupazionale, spec. punto 3).

In relazione a quanto emerso nel corso dell’istruttoria, è necessario rilevare come la Società non abbia previamente informato adeguatamente la reclamante del trattamento posto in essere da Stay Over s.r.l. sull’account di posta elettronica aziendale a lei assegnato.

La Società, infatti, ha dichiarato di avere adottato il “Regolamento per l'utilizzo degli strumenti informatici” solo in data 20 ottobre 2018, quindi successivamente alla cessazione del rapporto di lavoro con la reclamante e di non avere fatto sottoscrivere alla stessa altro documento in materia di trattamento dei dati personali ad eccezione di un documento denominato “informativa ai sensi e per gli effetti dell’art. 13 del D. Lgs. 30/06/2003 n. 196 «Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali»”, datato 2 agosto 2013, che non contiene alcuna indicazione in merito al trattamento dei dati relativi all’account di posta elettronica assegnato alla dipendente né riferimenti ai controlli che il datore di lavoro avrebbe potuto effettuare sullo stesso.

Ciò risulta in contrasto con quanto stabilito dall’art. 13 del Regolamento, in base al quale il titolare del trattamento è tenuto a fornire preventivamente all’interessato tutte le informazioni relative alle caratteristiche essenziali del trattamento (cfr. Provv. 1° marzo 2007, n. 13 “Linee guida per posta elettronica e internet”, in G. U. n. 58 del 10.3.2007; con riferimento a casi specifici, v. tra i tanti, Provv. 29.10.2020, n. 214, doc. web n. 9518890; Provv. 29.9.2021, n. 353, in www.garanteprivacy.it doc. web. n. 9719914; Provv. 16.12.2021, n. 440, doc. web n. 9739653) e con quanto disposto dall’art. 12 del Regolamento (“Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14”).

Risulta inoltre violato l’art. 5, par. 1, lett. a) del Regolamento in quanto nell’ambito del rapporto di lavoro l’obbligo di informare il dipendente è, altresì, espressione del principio generale di correttezza.

Con riferimento al contenuto del “Regolamento per l'utilizzo degli strumenti informatici”, adottato dalla Società il 20 ottobre 2018, e in particolare alle disposizioni ivi contenute dedicate al trattamento dei dati relativi all’account di posta elettronica aziendale (oggetto specifico di accertamento) si osserva, inoltre ed in ogni caso, come lo stesso non sia conforme ai principi contenuti nell’art. 5 del Regolamento in merito alle attività di controllo che Stay Over s.r.l. intende esercitare nei confronti dei propri dipendenti.

Nello specifico non risulta conforme alla disciplina di protezione dei dati la procedura indicata nello stesso relativa al trattamento dell’account di posta elettronica aziendale assegnato al lavoratore successivamente alla cessazione del rapporto di lavoro in base alla quale “in caso di cessazione del rapporto lavorativo, la mail aziendale affidata all’incaricato verrà sospesa per un periodo di 6 mesi, successivamente disattivata. Nel periodo di sospensione l’account rimarrà attivo e visibile ad un soggetto incaricato dall’Azienda solo in ricezione, che tratterà i dati e le informazioni pervenute per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale, trasmettendone il contenuto ad altri dipendenti (se il messaggio ha contenuto lavorativo) ovvero cancellandolo (se il messaggio non ha contenuto lavorativo)” (p. 20). Ciò in quanto tale procedura risulta in contrasto con l’art. 5, par. 1, lett. c) del Regolamento che enuncia il principio di minimizzazione dei dati.

Non risulta, inoltre, conforme alla disciplina di protezione dei dati neppure la prevista “conserva[zione] per dieci anni sui propri Server di Posta Elettronica [di] tutti i messaggi di posta elettronica a contenuto e rilevanza giuridica e commerciale provenienti da e diretti a domini aziendali” (p. 20), considerato, tra l’altro, che nello stesso regolamento aziendale viene precisato che “in caso di assenza improvvisa o prolungata del dipendente ovvero per imprescindibili esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale ovvero per motivi di sicurezza del sistema informatico, l’Azienda, per il tramite dell’Amministratore di Sistema può, secondo le procedure indicate al successivo punto 5 del presente Regolamento, accedere all’account di posta elettronica aziendale, prendendo visione dei messaggi, salvando o cancellando file”.

Attraverso tale trattamento - quindi la conservazione sistematica dei dati esterni e del contenuto di tutte le e-mail scambiate dai dipendenti attraverso gli account aziendali -, infatti, la Società in violazione dell’art. 5, par. 1, lett. a) del Regolamento (principio di liceità del trattamento) può ricostruire l’attività dei propri dipendenti ed effettuare un controllo sulla stessa, ben al di là delle finalità tassativamente ammesse dall’art. 4, l. 20.5.1970, n. 300 (richiamato dall’art. 114 del Codice) e comunque in assenza delle garanzie procedurali ivi previste.

Ciò anche tenuto conto del fatto che l’individuazione, fra i messaggi di posta elettronica inviati o ricevuti, di quelli “…a contenuto e rilevanza giuridica e commerciale provenienti da e diretti a domini aziendali…” presuppone un’attiva di analisi delle e-mail continuativa e pervasiva.

La condotta della società viola, inoltre, il principio di minimizzazione dei dati. In relazione alle necessità prospettate dalla Società di conservazione delle e-mail, l’Autorità ha già avuto modo di precisare che la legittima necessità di assicurare l’ordinario svolgimento e la continuità dell’attività aziendale nonché di provvedere alla dovuta conservazione di documentazione in base a specifiche disposizioni dell’ordinamento è assicurata, in primo luogo, dalla predisposizione di sistemi di gestione documentale con i quali, attraverso l’adozione di appropriate misure organizzative e tecnologiche, individuare i documenti che, nel corso dello svolgimento dell’attività lavorativa, devono essere via via archiviati con modalità idonee a garantire le caratteristiche di autenticità, integrità, affidabilità, leggibilità e reperibilità prescritte dalla disciplina di settore applicabile (si veda quanto stabilito dal D.P.C.M. 3 dicembre 2013, recante le Regole tecniche in materia di sistema di conservazione ai sensi degli articoli 20, commi 3 e 5-bis, 23-ter, comma 4, 43, commi 1 e 3, 44, 44-bis e 71, comma 1, del Codice dell´amministrazione digitale di cui al decreto legislativo n. 82 del 2005; parimenti i documenti che rivestano la qualità di "scritture contabili" devono essere memorizzati e conservati con modalità determinate: artt. 2214 c.c.; artt. 43 e 44, d. lgs. 7 marzo 2005, n. 82, "Codice dell’amministrazione digitale").

I sistemi di posta elettronica non consentono, per loro stessa natura, di assicurare tali caratteristiche. Lo scopo di predisporre strumenti per l’ordinaria ed efficiente gestione dei flussi documentali aziendali, pertanto, può ben essere perseguito, conformemente alle disposizioni vigenti, con strumenti meno invasivi per il diritto alla riservatezza dei dipendenti e dei terzi, rispetto alla sopra descritta attività di sistematica ed estesa conservazione delle e-mail effettuata dalla Società, che risulta pertanto non necessaria né proporzionata rispetto allo scopo (v. provv. 1° febbraio 2018, n. 53, doc. web 8159221).

La Società ha, altresì, rappresentato, in merito alla conservazione delle e-mail per dieci anni, la necessità di conservazione soprattutto per fini probatori.

In proposito si precisa che il trattamento di dati personali effettuato per finalità di tutela dei propri diritti in giudizio deve riferirsi a contenziosi in atto o a situazioni precontenziose, non ad astratte e indeterminate ipotesi di possibile difesa o tutela dei diritti (v. tra i vari, provv. ti 1° febbraio 2018, n. 53, doc. web 8159221 e 19 marzo 2015, doc. web n. 4039439).

In merito a quanto riportato nel predetto regolamento aziendale si evidenzia che le procedure ivi descritte devono essere rispettose della disciplina di protezione dei dati.

È stato inoltre accertato che la Società, verificata attraverso l’amministratore di sistema in data 11 ottobre 2018 l’assenza di e-mail in entrata e in uscita sull’account assegnato alla reclamante durante lo svolgimento del rapporto di lavoro, proprio in virtù della conservazione delle e-mail per dieci anni, ha effettuato il recupero di ben 34.000 e-mail che erano presenti sullo stesso account, prendendo così visione delle comunicazioni inviate e ricevute dalla reclamante durante tutto lo svolgimento del rapporto di lavoro che erano ivi contenute.

In proposito si osserva quindi come la condotta della Società che è consistita nel recupero di 34000 e-mail scambiate attraverso l’account di posta elettronica aziendale assegnato alla reclamante durante lo svolgimento del rapporto di lavoro, considerata la pratica della conservazione di tutte le e-mail scambiate attraverso gli account aziendali per dieci anni decorrenti “dalla data di registrazione del messaggio nella casella di posta elettronica”, è stata idonea a consentire di ricostruire l’attività della lavoratrice e di effettuare un controllo sulla stessa attività al di là delle finalità tassativamente ammesse dall’art. 4, l. 20.5.1970, n. 300 e comunque in assenza delle garanzie procedurali  previste nello stesso articolo 4.

La condotta tenuta dalla Società ha comportato, quindi, un trattamento di dati personali illecito in quanto effettuato in violazione del principio di liceità del trattamento (art. 5, par. 1, lett. a) del Regolamento) in relazione all’art. 114 del Codice laddove richiama l’art. 4 della l. 20 maggio 1970, n. 300, come condizione di liceità del trattamento, nonché dell’art. 88 del Regolamento in quanto l’artt. 114 costituisce una delle norme del diritto nazionale “più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro” individuate dall’art. 88 del Regolamento.

Tale disciplina, infatti, pure a seguito delle modifiche disposte con l’art. 23 del d. lgs. 14 settembre 2015, n. 151 non consente l’effettuazione di attività idonee a realizzare il controllo massimo, prolungato e indiscriminato dell’attività del lavoratore (v. “Linee guida per posta elettronica e internet”, cit.; Consiglio di Europa, Raccomandazione dell’1° aprile 2015, CM/Rec (2015)5, spec. Princ. 14) (v. Provv. 1° febbraio 2018, n. 53, doc. web 8159221).

Dall’istruttoria è altresì emerso che, successivamente alla cessazione del rapporto di lavoro, la Società, nel mantenere attivo l’account di posta elettronica assegnato alla reclamante dalla data di cessazione del rapporto di lavoro (30 settembre 2018) fino al 17 marzo 2019 ha impostato un sistema di reindirizzamento automatico delle e-mail in entrata sul predetto account ad altro indirizzo di posta elettronica (“XX”) gestito dalle dipendenti che erano, secondo quanto precisato dalla Società, “subentrate alla [reclamante] nelle mansioni che a questa erano state affidate”.

Inoltre, nonostante la persistente attività dell’account a seguito della cessazione del rapporto di lavoro volta a consentire al titolare del trattamento di attivare un messaggio di risposta automatico per informare i terzi della disattivazione e successiva rimozione dell’account di posta elettronica, non risulta che la Società abbia in concreto attivato un tale sistema automatico. La Società, infatti, si è limitata a produrre la relazione del responsabile del trattamento dalla quale emerge che era stato attivato “il messaggio automatico di mail non attiva”, senza fornire però ulteriori evidenze al riguardo.
La condotta della Società non risulta pertanto conforme al principio di minimizzazione e al principio di limitazione della conservazione considerato che la stessa ha attivato un sistema di reindirizzamento automatico, per di più per un periodo considerevole di tempo (quasi cinque mesi e mezzo), senza avere, tra l’altro, indicato le concrete esigenze alla base di questa decisione; non risulta peraltro comprovato che la Società abbia attivato un messaggio di risposta automatico che avvisasse dell’imminente disattivazione del predetto account.

L’attività di reindirizzamento non risulta, inoltre, essere stata posta in essere in presenza di alcuna delle condizioni di liceità previste dall’art. 6 del Regolamento considerato che la Società non ha adeguatamente motivato, con riferimento al caso di specie, la necessità del suddetto reindirizzamento.
In proposito si rammenta che lo scambio di corrispondenza elettronica − estranea o meno all’attività lavorativa − su un account aziendale di tipo individualizzato configura un’operazione che consente di conoscere alcune informazioni personali relative all’interessato (v. "Linee guida del Garante per posta elettronica e Internet", cit., spec. punto 5.2, lett. b), pertanto il Garante ha già ritenuto conforme ai principi in materia di protezione dei dati personali (v. Provv.ti 4 dicembre 2019, n. 216, doc. web 9215890; 1° febbraio 2018, n. 53, doc. web n. 8159221, punto 3.4.) che dopo la cessazione del rapporto di lavoro il titolare provveda alla rimozione dell’account previa disattivazione dello stesso e contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti alla sua attività professionale.

Ciò complessivamente considerato, la Società, con la propria condotta, ha violato l’art. 5, par. 1, lett. a), c), e) nonché l’art. 6 del Regolamento.

3.2.2. Diritto di accesso ai dati

Risulta altresì accertato che la Società non ha fornito idoneo e tempestivo riscontro all’istanza di accesso presentata dalla reclamante, ai sensi dell’art. 15 del Regolamento, in data 11 marzo 2019.
Un primo (seppur formale) riscontro, infatti, è stato inviato solo in data 3 maggio 2019; in tale occasione, i legali della Società hanno dichiarato che “a seguito della revoca del mandato ai precedenti difensori, [la Società li] ha incaricati del riscontro alla […] comunicazione [della reclamante]” e che “provvederemo perciò a dare riscontro in nome e per conto della cliente, non appena esaminata la documentazione a nostre mani”. In data 20 maggio 2019, poi, la Società, con riferimento all’istanza di accesso, ha dichiarato che “non [è] in corso un trattamento di dati personali che riguardano la [reclamante]”.

Risulta quindi comprovato che la Società ha violato gli artt. 12 e 15 del Regolamento in quanto il primo riscontro (formale) all’istanza di accesso ai dati è stato fornito oltre il termine di un mese dal ricevimento della richiesta senza che, entro tale termine, fosse stata avvisata la reclamante della necessità di proroga dello stesso.

L’art. 12, par. 3, del Regolamento precisa in proposito che il termine di un mese entro il quale il titolare del trattamento deve fornire all’interessato le informazioni relative all’istanza di esercizio dei diritti “può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il titolare del trattamento informa l’interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta”.

Tenuto conto di ciò, non si ritengono pertinenti le motivazioni sostenute dalla Società per giustificare il proprio ritardo ed in particolare che  l’istanza fosse stata presentata dal legale della reclamante, che nell’oggetto della stessa  non fosse precisato che si trattava di  un’istanza di esercizio del diritto di accesso, che sia stata presentata 6 mesi dopo la cessazione del rapporto di lavoro e che la reclamante fosse comunque a conoscenza del trattamento che la Società avrebbe effettuato sui dati della stessa una volta cessato il rapporto di lavoro.

Il Regolamento, infatti, non richiede che l’istanza di esercizio dei diritti debba rivestire una determinata forma né che l’oggetto dell’istanza debba necessariamente contenere determinati riferimenti (v. sul punto le Linee guida dell’EDPB sui diritti degli interessati – diritto di accesso, sottoposte a consultazione pubblica terminata in data 11 marzo 2022 che precisano che “It should be noted that the GDPR does not introduce any formal requirements for persons requesting access to data”, “Va osservato che il regolamento generale sulla protezione dei dati non introduce alcun requisito formale per le persone che chiedono l'accesso ai dati”, traduzione non ufficiale, punto 50)

L’istanza, inoltre, può essere presentata da un terzo adeguatamente autorizzato dall’interessato (v. sul punto le Linee guida dell’EDPB sui diritti degli interessati – diritto di accesso, sottoposte a consultazione pubblica terminata in data 11 marzo 2022, punto 79).

Per tali motivi l’istanza, firmata anche dalla reclamante, presentata dall’avvocato della stessa che aveva ricevuto apposito incarico, facendo tra l’altro esplicito riferimento all’art. 15 del Regolamento, si considera idonea ad essere considerata come istanza di esercizio del diritto di accesso ai sensi dell’art. 15 del Regolamento e quindi come tale il titolare del trattamento avrebbe dovuto fornire riscontro alla stessa nei termini di legge. In ogni caso, si sottolinea come la Società non ha contestato l’irricevibilità della richiesta per i motivi che ha indicato durante l’istruttoria, essendosi limitata, seppur tardivamente, a informare la reclamante del cambio dei propri legali, in un primo momento, e poi, con il riscontro del 20 maggio 2019, a negare di trattare dati relativi alla stessa, nonostante un trattamento di dati riferiti alla reclamante avesse effettivamente luogo.

In merito, in particolare, al riscontro fornito dalla Società il 20 maggio 2019, nel quale è stato dichiarato che “non [è] in corso un trattamento di dati personali che riguardano la [reclamante]”, si ritiene lo stesso inidoneo in quanto la Società, pur continuando a trattare dati relativi alla reclamante, tra cui anche l’account di posta elettronica aziendale, ha negato l’effettuazione di ogni tipo di trattamento riferito alla stessa.

In tal modo risulta violato l’art. 15 del Regolamento che riconosce all’interessato il diritto di conoscere i dati relativi allo stesso ed oggetto di trattamento nonché determinate informazioni relativamente al trattamento medesimo.

Si precisa, con riferimento all’istanza di accesso ex art. 15 del Regolamento, che verteva, come la stessa reclamante ha osservato nelle controdeduzioni del 2 febbraio 2021, “sull’utilizzo illegittimo dell’account” precisando che “non è vero che si trattava di diffida inserita in un altro contesto”.

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Per i suesposti motivi l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati personali effettuato dalla Società e segnatamente il tardivo e inidoneo riscontro all’istanza di accesso presentata dalla reclamante e il trattamento effettuato sull’account di posta elettronica assegnato alla stessa, risulta infatti illecito, nei termini su esposti, in relazione agli artt. 5, 6, 12, 13, 15, 88 del Regolamento e 114 del Codice.

La violazione accertata nei termini di cui in motivazione non può essere considerata “minore”, tenuto conto della natura e della gravità della violazione stessa, del grado di responsabilità, della maniera in cui l'autorità di controllo ha preso conoscenza della violazione (v. Considerando 148 del Regolamento).

Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento, alla luce del caso concreto:

- si dispone il divieto dell’ulteriore trattamento dei dati estratti dall’account di posta elettronica aziendale riferito alla reclamante, fatta salva la loro conservazione per esclusiva finalità di tutela dei diritti in sede giudiziaria, per il tempo necessario a tale scopo, tenuto conto che, ai sensi dell’art. 160-bis del Codice, “La validità, l'efficacia e l’utilizzabilità nel procedimento giudiziario di atti, documenti e provvedimenti basati sul trattamento di dati personali non conforme a disposizioni di legge o di Regolamento restano disciplinate dalle pertinenti disposizioni processuali” (art. 58, par. 2, lett. f) del Regolamento);

-si ingiunge alla Società di conformare il regolamento aziendale per l’utilizzo degli strumenti informatici alla disciplina di protezione dei dati, nei termini esposti in motivazione (art. 58, par. 2, lett. d) del Regolamento);

-si dispone l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) Regolamento).

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

All’esito del procedimento risulta che Stay Over s.r.l. ha violato gli artt. 5, 6, 12, 13, 15, 88 del Regolamento e 114 del Codice. Per la violazione delle predette disposizioni è prevista l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. b) del Regolamento, mediante adozione di un’ordinanza ingiunzione (art. 18, l. 24.11.1981, n. 689).

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

a) in relazione alla natura, gravità e durata della violazione è stata considerata rilevante la natura della violazione che ha riguardato, tra l’altro, i principi generali del trattamento, tra cui i principi di liceità, correttezza e minimizzazione; in particolare le violazioni hanno riguardato anche la disciplina di settore in materia di controlli a distanza; la violazione ha riguardato, altresì, l’esercizio del diritto di accesso ai dati;

b) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare è stata presa in considerazione la condotta della Società e il grado di responsabilità della stessa che non si è conformata alla disciplina in materia di protezione dei dati relativamente a una pluralità di disposizioni;

c) a favore della Società si è tenuto conto della cooperazione con l’Autorità di controllo dimostrata nel corso del procedimento fornendo tutte le informazioni e i documenti richiesti.

Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla Società con riferimento al bilancio ordinario d’esercizio per l’anno 2020. Da ultimo si tiene conto dell’entità delle sanzioni irrogate in casi analoghi.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Stay Over s.r.l. la sanzione amministrativa del pagamento di una somma pari ad euro 10.000 (diecimila).

In tale quadro si ritiene, altresì, in considerazione della tipologia delle violazioni accertate che hanno riguardato i principi generali del trattamento, la disciplina di settore in materia di controlli a distanza e l’esercizio del diritto di accesso ai dati, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante.

Si ritiene, altresì, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO, IL GARANTE

rileva l’illiceità del trattamento effettuato da Stay Over s.r.l., in persona del legale rappresentante, con sede legale in Via Antonio Pacinotti, 1/B, Villorba (TV), C.F. 04741030268, ai sensi dell’art. 143 del Codice, per la violazione degli artt. 5, 12, 13, 15 e 88 del Regolamento e 114 del Codice;

DISPONE

ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, il divieto dell’ulteriore trattamento dei dati estratti dall’account di posta elettronica aziendale riferito alla reclamante nei confronti di a Stay Over s.r.l., fatta salva la loro conservazione per esclusiva finalità di tutela dei diritti in sede giudiziaria, per il tempo necessario a tale scopo, nei limiti di cui all’art. 160-bis del Codice;

INGIUNGE

a Stay Over s.r.l.,

ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di conformare il regolamento aziendale per l’utilizzo degli strumenti informatici alla disciplina di protezione dei dati nei termini esposti in motivazione entro 60 giorni dal ricevimento del presente provvedimento;

di pagare la somma di euro 10.000 (diecimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento a Stay Over s.r.l., di pagare la somma di euro 10.000 (diecimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/20129, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

Richiede a Stay Over s.r.l. di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto disposto con il presente provvedimento e di fornire comunque riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice, entro il termine di 90 giorni dalla data di notifica del presente provvedimento; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 5, lett. e) del Regolamento. In caso di inosservanza del provvedimento di divieto si applica quanto previsto dall’art. 170 del Codice.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 21 luglio 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei