[doc. web n. 9888206]

Provvedimento del 23 marzo 2023

Registro dei provvedimenti
n. 93 del 23 marzo 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presentato ai sensi dell’art. 77 del Regolamento dal dott. XX nei confronti di La Risorsa Umana.it s.r.l.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. Il reclamo nei confronti della società e l’attività istruttoria.

Con reclamo del 31 dicembre 2020, regolarizzato il 25 maggio 2021, il dott. XX ha lamentato presunte violazioni del Regolamento da parte di La Risorsa Umana.it s.r.l. (di seguito, la Società), con riferimento ai trattamenti di dati personali effettuati mediante l’account di posta elettronica XX, assegnato al reclamante nell’ambito del rapporto di lavoro intercorso con la Società.

Più specificamente, con il reclamo è stato lamentato che la corrispondenza scambiata dal reclamante mediante il predetto account, in esecuzione delle proprie mansioni, sarebbe stata “quotidianamente controllata dalla direttrice […]” mediante l’account individualizzato di quest’ultima ed è stata allegata in proposito copiosa documentazione.

Ciò in assenza di alcuna informativa fornita ai dipendenti/collaboratori della Società in ordine alla visibilità da parte della direzione degli scambi di e-mail (intercorsi tra il personale della Società, tra questi ultimi e i dipendenti e collaboratori della controllata Form-App s.r.l. nonché con i collaboratori e consulenti esterni), avvenuti utilizzando anche account aziendali condivisi. Tali operazioni di trattamento sarebbero state effettuate dalla Società, pertanto, in violazione dell’art. 13 del Regolamento e dei “principi di necessità, pertinenza e non eccedenza che non consentono i controlli massivi e prolungati”.

La Società, nel fornire riscontro alla richiesta di informazioni dell’Ufficio, con nota del 28 ottobre 2021, ha dichiarato che:

a. “il reclamante non è mai stato né un dipendente né un collaboratore della società scrivente. L’unico contratto realmente sottoscritto dal [reclamante] è quello stipulato con la società Form-App s.r.l. controllata al 100% da La Risorsa Umana.it s.r.l.” (nota 28/10/2021, p. 1-2);

b. la Società “ha la piena titolarità dei dati trattati dai vari uffici aziendali, mediante account di posta” (nota cit., p. 2);

c. “non vi sono situazioni di controllo delle e-mail da parte della Direzione che, viceversa, ha facoltà di accesso alle comunicazioni e-mail derivate dagli account condivisi ed utilizzate da più utenti” (nota cit., p. 2);

d. la Società “ha mappato i propri trattamenti, evidenziato ed autorizzato le persone che possono accedere ai vari trattamenti” (nota cit., p. 3);
e.    “dal momento che Form-App s.r.l. è responsabile esterno del trattamento de La Risorsa Umana s.r.l. poteva trattare i dati anche della scrivente” (nota cit., p. 3);

f. “il titolare dei dati trattati dall’account [assegnato al reclamante] è La Risorsa Umana s.r.l.” (nota cit., p. 4);

g. il reclamante “ha svolto prestazioni a favore di entrambe le società”, in relazione ai trattamenti effettuati in base ai relativi contratti sono stati forniti una informativa e un Codice di comportamento; è stato altresì fornito il documento relativo alla “procedura I.OP.26 attualmente in revisione […] dove viene spiegata la gestione degli adempimenti privacy anche legati all’uso della posta elettronica” (nota cit., p. 4);

h. “Vi sono molti account aziendali che non sono personali, ma sono legati a settori operativi o a uffici specifici e che pertanto sono visibili da più persone per una funzionalità operativa maggiore” (nota cit., p. 4);

i. “l’account admin@larisorsaumana.it è visibile dagli amministratori di sistema e dalla Direzione”; “l’account somministrazione@larisorsaumana.it viene condivisa e visionata dall’ufficio del personale, dai consulenti esterni del lavoro […] e […] dalla Direzione aziendale”; “l’account sicurquality@larisorsaumana.it viene utilizzata oltre che dalla Direzione, dai responsabili del sistema sicurezza, qualità ISO900, dal responsabile del servizio di prevenzione e protezione” (nota cit., p. 5);

j. “il personale interno […] è qualificato come autorizzato al trattamento dei dati […]. Il personale esterno […] vengono qualificati come Responsabili esterni del trattamento” (nota cit., p. 5);

k. “La società Form APP srl è parte del gruppo de La Risorsa Umana.it srl […] ma ognuna ha finalità operative differenti e tipologie di attività differenti, ma tra di loro connesse”; “Le due società operano inoltre nella medesima sede operativa, condividono perciò i locali fisici, ed utilizzano molte funzionalità gestionali anche legate alla possibilità che alcuni dipendenti possano operare sia per un’azienda che per attività utili anche all’altra società del gruppo […]. Come accaduto al [reclamante]” (nota cit., p. 6);

l. “per far fronte a tale esigenza operativa […] è stata contrattualizzata e formalizzata la nomina di responsabile esterno del trattamento tra le due società. Si allegano le documentazioni che formalizzano la reciproca nomina di responsabile esterno del trattamento” (nota cit., p. 6).

Con controdeduzioni del 17 gennaio 2022, il reclamante ha sostenuto che:

a. non è vero che “non abbia prestato alcuna attività di collaborazione con la suddetta azienda, altrimenti non si spiegherebbe né la presenza della documentazione comprovante il mio incarico […], né il motivo perché io abbia avuto attivato un account di posta elettronica da parte della Risorsa Umana” (nota 17/1/2022, p. 1);

b. la Società “non spiega il perché […], tramite l’indirizzo [XX] poteva accedere e controllare tutte le comunicazioni email in cui non era citata, intervenendo in maniera palese e con comunicazioni fuori luogo a volte per il tipo di ruolo e funzione esercitata” (nota cit., p. 2).

Con successiva nota del 14 giugno 2022, inviata in riscontro a una richiesta di ulteriori informazioni formulata dall’Ufficio (del 26/5/2022), la Società ha rappresentato che:

a. è stato predisposto un “ELENCO AUTORIZZATI AL TRATTAMENTO con il Profilo di autorizzazione” (nota 14/6/2022, p. 3);

b. “ai fini di una ottimale gestione dell’attività lavorativa aziendale […] molti settori operativi aziendali utilizzano account e-mail condivisi” (nota cit., p. 3);

c. “al fine di migliorare la comprensione degli account condivisi e la suddivisione dei profili di autorizzazione abbiamo predisposto […] organigramma con indicazione degli account condivisi utilizzati per Unità Operativa” (nota cit., p. 3).

2.  L’avvio del procedimento per l’adozione dei provvedimenti correttivi e le deduzioni della società.

Il 1° settembre 2022 l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione alla Società delle presunte violazioni del Regolamento riscontrate, con riferimento agli artt. 5, par. 1, lett. a) e c), 6, 13 e 28 del Regolamento.

Con memorie difensive, inviate in data 28 settembre 2022, la Società ha rappresentato che:

a. si allega “tutta la documentazione, anche quella non più vigente, perché sostituita medio tempore” riferita alla “completa gestione del sistema privacy” (nota 28/9/2022, p. 2);

b. al reclamante “esclusivamente per richiesta personale e facilitazione operativa era stata fornita email aziendale” (nota cit., p. 3);

c. “l’informativa è stata fornita verbalmente e rimandando le formalità a un momento successivo cosa purtroppo non avvenuta […] per mera dimenticanza” (nota cit., p. 3);

d. “tutti gli operatori […] sono a conoscenza del fatto che, come evidenziato nel Manuale della Qualità, e come in qualsiasi istruzione di lavoro, la Direzione deve essere sempre tenuta a conoscenza” (nota cit., p. 3);

e. “il personale è formato ed informato sui flussi comunicativi e l’Azienda ha preferito privilegiare la prassi operativa e la conoscenza verbale di tutti è piena” (nota cit., p. 3);

f. “il trattamento e la gestione operativa delle comunicazioni vede nelle e-mail l’unico strumento utilizzabile per le comunicazioni infra-aziendali, dato che vi sono uffici e sedi sparse nel territorio nazionale e non è possibile sempre effettuare riunioni in presenza”; “l’intervento della [Direzione] rendeva immediatamente informati tutti gli interessati sulle decisioni della Direzione e senza necessità di ulteriori scambi di e-mail evitando così sovrapposizioni e con risparmio di tempo degli operatori interessati” (nota cit., p. 4);

g. in ogni caso la Società ha attualmente provveduto “ad evidenziare meglio il flusso comunicativo e le tipologie di rapporto tra Direzione e uffici e collaboratori per le decisioni importanti o per colloqui più riservati” (nota cit., p. 4);

h. “si ritiene che la direzione della ditta Form-App srl e LaRisorsaUmana.it srl, identificate nella stessa persona fisica della [direttrice], è giustificata ed autorizzata a trattare i dati in nome e per conto delle due ditte e nel caso specifico poter colloquiare anche con personale operativo avente e-mail con estensione form-app.it” (nota cit., p. 4-5);

i.  quanto ai rapporti tra la Società e Form-App srl dal 15/11/2017 “era presente documentazione che evidenziava le necessità operative tra le aziende e indicazione di trattamenti correlati a tali attività”; come previsto dal d. lgs. 196/2003 all’epoca vigente “era formalizzata la nomina di un Responsabile esterno del trattamento tra le due aziende, sempre in modalità di addendum al contratto” (nota cit., p. 5);

j. “Successivamente al 25 maggio 2018 […] si sono pertanto formalizzati nuovi contratti in forma di addendum […] e, contestualmente, verificata la struttura delle due aziende […] è parso logico e adeguato formalizzare nuovamente la nomina tra le due aziende di Responsabili esterni nell’ottica futura di una eventuale contestualizzazione delle contitolarità dei dati per alcune tipologie di trattamenti”; dato che entrambe le società “hanno sistemi di qualità similari e sono […] gestite dal medesimo gruppo di controllo non si era formalizzata una istruzione specifica di trattamento reciproco dei dati” (nota cit., p. 6);

k. tra le misure adottate nel corso del procedimento si evidenzia che “è stata verificata la coerenza delle email condivise con i singoli settori operativi eliminando le email non più utilizzate e controllando permessi di accesso alle email sulla base delle autorizzazioni interne al trattamento dei dati”; è stato inoltre redatto un “Codice di comportamento per la gestione della posta elettronica e di internet che comprende anche l’informazione sulle email condivise e sulle caratteristiche legate anche alla possibilità di accesso da più utenti alle comunicazioni per motivi lavorativi” (nota cit., p. 7);

l. la Società ha, da ultimo, fornito tutti gli elementi di cui all’art. 83, par. 2 del Regolamento.

Nel corso dell’audizione, tenutasi in data 9 novembre 2022, la Società ha ulteriormente precisato dichiarato che:

a. “la società è molto dispiaciuta per le contestazioni formulate dal Garante, considerato anche che trattasi della prima contestazione di violazioni relative alla disciplina posta in materia di trattamento di dati personali”;

b. “Eventuali violazioni che si ritiene che la società possa avere commesso non sono mai state poste in essere (neanche a livello di gruppo) per trarre un indebito vantaggio. Se violazioni ci sono state hanno riguardato l’architettura interna relativamente all’utilizzo della e-mail aziendale”;

c. “La società, in proposito, ha prodotto con le memorie difensive del 28.9.2022 l’allegato 17 che contiene il regolamento aziendale per l’uso della posta elettronica aziendale e di internet. All’interno di questo regolamento sono confluiti anche elementi già presenti all’interno di documenti elaborati in precedenza dalla società e messi a disposizione dei dipendenti attraverso il server aziendale”;

d. “La Form-App è una s.r.l. a unico socio che è LaRisorsaUmana.it. Il rapporto tra le due società è contrattualizzato attraverso un contratto di service. [la direttrice della Società] è institore di entrambe le società”.

3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

3.1. Esito dell’istruttoria.

All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, risulta che la Società, in qualità di titolare, ha effettuato alcune operazioni di trattamento, riferite al reclamante, che risultano non conformi alla disciplina in materia di protezione dei dati personali.

In proposito si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

Nel merito è emerso che la Società ha assegnato al reclamante un account di posta elettronica di tipo individualizzato (XX), nell’ambito di un rapporto di lavoro (v. incarico professionale ex art. 2222 c.c. sottoscritto dalle parti in data 23/4/2019, con decorrenza dal 3/6/2019, fornito in copia dal reclamante con nota del 17/1/2022).

L’incarico professionale si è protratto fino al 2 giugno 2020 (v. disdetta incarico professionale del 27/2/2020, con effetti decorrenti dal 2/6/2020, fornito in copia dal reclamante con nota del 17/1/2022).

In pari data un incarico professionale è stato stipulato anche tra il reclamante e Form-App s.r.l., a decorrere dalla medesima data (3/6/2019). Anche in relazione a questo contratto la disdetta ha avuto effetto dal 2/6/2020.

Nell’ambito della sua attività lavorativa in qualità di consulente del lavoro, il reclamante ha intrattenuto, attraverso il suo account aziendale, una corrispondenza con altri dipendenti e collaboratori della Società che utilizzavano account individualizzati o non individualizzati aventi estensione larisorsaumana.it. Gli scambi di corrispondenza elettronica sono avvenuti anche con altri utenti che utilizzavano indirizzi di posta elettronica aventi la diversa estensione form-app.it e con soggetti terzi (clienti e consulenti).

In numerosi casi, documentati in atti, nel corso della corrispondenza è intervenuta anche la direttrice della Società, mediante il proprio account individualizzato (XX), fornendo indicazioni e formulando commenti su quanto esposto all’interno di precedenti e-mail dal reclamante (peraltro esprimendo biasimo sull’operato di quest’ultimo e di altri collaboratori, anche con l’uso di espressioni poco commendevoli: v. copia delle numerose e-mail in allegato al reclamo).

Ciò ha comportato, da parte della Società (nella persona della direttrice, che ricopre la carica di institrice e rappresentante), l’effettuazione di attività di trattamento di dati personali riferiti al reclamante contenuti nella corrispondenza elettronica da questi scambiata tramite l’account aziendale.

Nell’ambito dell’istruttoria, è altresì emerso che, in data 10 luglio 2018, la Società ha designato Form-App s.r.l. (società controllata al 100% da LaRisorsaUmana.it) responsabile del trattamento “limitatamente all’ambito dell’incarico affidatovi e con riferimento ai dati personali di cui potete venire a conoscenza nello svolgimento delle vostre attività e a quelle che in futuro Vi verranno affidate”.

Tale documento non indica specificamente le operazioni di trattamento affidate a FormApp srl, né contiene le istruzioni relative alle modalità con le quali effettuare i trattamenti.

Inoltre è emerso che, in pari data, anche Form-App s.r.l. ha designato LaRisorsaUmana.it responsabile del trattamento con la medesima formula che, ugualmente, non individua le operazioni di spettanza del titolare affidate al responsabile (“limitatamente all’ambito dell’incarico affidatovi e con riferimento ai dati personali di cui potete venire a conoscenza nello svolgimento delle vostre attività e a quelle che in futuro Vi verranno affidate”: v. All. 14 e 15, nota della Società 28/10/2021).

In allegato alle memorie difensive, è stata anche prodotta copia del contratto di fornitura di servizi, stipulato in data 15 novembre 2017, tra la Società e Form-App s.r.l., con il quale la capogruppo si impegna a fornire prestazioni e servizi in relazione a: servizi contabili e amministrativi; servizi di gestione finanziaria; utilizzo della piattaforma informatica e delle fotocopiatrici multifunzione; servizi di centralino telefonico; utilizzo di autovetture in via continuativa su apposita richiesta (v. All. 1, memorie 28/9/2022; con l’All. 3 è stata prodotta copia dell’addendum datato 30/6/2018 contenente l’affidamento di ulteriori prestazioni e servizi).

È stata altresì allegata copia di due atti di “nomina del responsabile del trattamento, ai sensi e per gli effetti dell’art 29 del D.Lgs 30 Giugno 2003 n. 196”, datate 15 novembre 2017, effettuati, rispettivamente, dalla Società nei confronti di Form-App s.r.l. e di quest’ultima nei confronti della Società, aventi entrambi a oggetto la “gestione dei sistemi di elaborazione elettronica” (v. All. 2, memorie 28/9/2022).

3.2. Violazione degli artt. 5, par. 1, lett. a) e 13 del Regolamento.

All’esito dell’esame delle risultanze istruttorie si rileva, in primo luogo, che non risulta che la Società abbia informato il reclamante circa la possibilità per quest’ultima di effettuare i descritti trattamenti, né più in generale risulta essere stata fornita alcuna informativa relativa alle modalità d’uso dell’account di posta elettronica individualizzato nonché alla gestione degli account non individualizzati aventi estensione larisorsaumana.it, tutti visibili dalla Direzione aziendale, come emerge dalla copiosa corrispondenza allegata al reclamo, anche ulteriori rispetto a quelli espressamente indicati dalla Società nella nota di riscontro del 28/10/2021: (vedasi in particolare: pesaro@larisorsaumana.it; commercialepesaro@larisorsaumana.it; somministrazionepesaro@larisorsaumana.it, ma anche account con estensione riconducibili a una distinta società, come commerciale@form-app.it e pugliaformazione@form-app.it).

È emerso infatti che il modello di “Informativa per il trattamento dei dati personali fornitori”, fornito dalla Società, versione ottobre 2021, in ogni caso successiva ai fatti oggetto di reclamo, non contiene alcun riferimento in proposito (All. 2, nota della società 28/10/2021).

Ugualmente nulla è previsto nella informativa fornita da Form App “Informativa ai sensi del Codice in materia di trattamento dei dati personali”, anch’essa nella versione di ottobre 2021, successiva ai fatti oggetto di reclamo (il riferimento a tale informativa non sarebbe comunque rilevante nel caso di specie, posto che il titolare del trattamento effettuato mediante l’account assegnato al reclamante, avente estensione larisorsaumana.it è la Società in indirizzo, come sostenuto anche da quest’ultima, v. All. 2A, nota della Società 28/10/2021).

Il Codice etico e comportamentale, approvato in data 8/5/2020, dunque anch’esso successivo ai fatti oggetto di reclamo, non fornisce alcuna indicazione in relazione alla gestione degli account di posta elettronica (v. All. 3, nota della Società 28/10/2021). Anche l’Istruzione operativa - procedura per la corretta applicazione del Gdpr 679-2016 - I.Op 26 (v. All. 4, nota della Società 28/10/2021), comunque successiva ai fatti oggetto di reclamo posto che la prima emissione è del 31 agosto 2021, non contiene riferimenti alla corretta gestione degli account di posta elettronica.

I documenti informativi allegati alle memorie difensive, recanti data antecedente ai fatti oggetto di reclamo (Procedura Operativa Gestione adempimenti Privacy, 25/5/2018; Documento programmatico sulla sicurezza, 14/2/2917; Istruzione operativa procedura per la corretta applicazione del Gdpr 679-2016, luglio 2018, v. memorie difensive, All. 10, 12 e 16), non contengono alcuna informazione in proposito.

Né può essere ritenuto conforme alla disciplina vigente l’aver fornito l’informativa “verbalmente”, come sostenuto dalla Società nelle memorie difensive (v. nota del 28/9/2022), posto che, in base all’art. 12, par. 1, del Regolamento, “le informazioni sono fornite per iscritto o con altri mezzi anche se del caso con mezzi elettronici” e solamente su richiesta dell’interessato le informazioni possono essere fornite oralmente.

Si prende atto in ogni caso che, nel corso del procedimento, la Società ha predisposto un “Regolamento aziendale per l’uso della posta elettronica e di internet”, datato luglio 2022; analogo regolamento è stato predisposto da Form-App s.r.l., che reca in allegato alcune sottoscrizioni per presa visione datate settembre 2022.

In relazione al contenuto di tali documenti si invita la Società, ai sensi dell’art. 57, par. 1, lett. d) del Regolamento, a tener conto di quanto stabilito dall’Autorità in materia di trattamenti di dati relativi alla posta elettronica e alla navigazione web dei dipendenti, anche con riguardo all’applicazione della disciplina in materia di controlli a distanza e di divieto di indagini sulle opinioni richiamata dagli artt. 114 e 113 del Codice (in relazione all’art. 88 del Regolamento), da ultimo con i provv.ti 1° dicembre 2022, n. 409 (doc. web n. 9833530), 13 maggio 2021, n. 190 (doc. web n. 9669974) e 15 aprile 2021, n. 137 (doc. web n. 9670738).

Risulta pertanto accertato che la Società ha omesso di informare il reclamante circa la sistematica visibilità, da parte della direzione aziendale, dei messaggi di posta elettronica scambiati con account non individualizzati (sebbene in alcuni casi associati a singoli dipendenti, ad es. ‘Dott.ssa […] - La Risorsa Umana.it’ <sicurquality@larisorsaumana.it>) e, attraverso questi, della corrispondenza scambiata, utilizzando anche account individualizzati, tra i colleghi, con i clienti della Società e con i dipendenti e i collaboratori che operano per conto della controllata Form-App s.r.l..

L’informativa relativa al regime di visibilità degli account da parte della direzione aziendale, avrebbe dovuto essere resa anche, e soprattutto, tenuto conto che l’accesso agli scambi di corrispondenza elettronica ha consentito non solo di coordinare le attività (come dichiarato dalla Società), ma anche di fornire indicazioni su condotte da tenere e valutazioni sull’operato del reclamante e di altri dipendenti e collaboratori.

Il datore di lavoro deve infatti indicare ai propri dipendenti e collaboratori, in ogni caso, chiaramente e in modo adeguato, quali siano le modalità di utilizzo degli strumenti messi a disposizione ritenute corrette e se, in che misura e con quali modalità vengano effettuati controlli che devono comunque essere conformi ai principi di liceità, proporzionalità e gradualità (v. Linee guida del Garante per posta elettronica e internet, Provv. 1/3/2007, n. 13, in G. U. n. 58 del 10/3/2007, doc. web n. 1387522).

La condotta della Società sopra descritta ha pertanto violato l’art. 13 del Regolamento, laddove prevede che il titolare del trattamento ha l’obbligo di informare gli interessati circa la specifica modalità di trattamento in concreto posta in essere, nel caso di specie mediante la visibilità delle comunicazioni effettuate attraverso l’account aziendale e gli account non individualizzati (peraltro anche riferiti a distinto titolare del trattamento, come nel caso di indirizzi di posta elettronica aventi estensione form-app.it: v. in particolare e-mail del 15/10/2019, h. 10.36 e del 3/12/2019, ore 08.53 inviate dalla direttrice della Società).

Al riguardo si rileva che, nell’ambito di un rapporto di lavoro, l’obbligo di informare il lavoratore è espressione del principio generale di correttezza dei trattamenti (art. 5, par. 1, lett. a) del Regolamento).

3.3. Violazione dell’art. 5, par. 1, lett. c) del Regolamento.

In base alla disciplina posta in materia di protezione dei dati personali nell’ambito del rapporto di lavoro, indipendentemente dalla natura del rapporto, il titolare/datore di lavoro può trattare lecitamente i dati personali, di regola, solo se il trattamento è necessario per la gestione del rapporto di lavoro oppure se è necessario per adempiere a specifici obblighi o compiti posti dalle discipline di settore applicabili (art. 6, par. 1, lett. a) e c) del Regolamento, con riferimento ai dati c.d. comuni; art. 88 del Regolamento).

Il titolare del trattamento è, comunque, tenuto a rispettare i principi in materia di protezione dei dati, segnatamente i principi di liceità, correttezza e trasparenza (art. 5, par. 1, lett. a) del Regolamento) e di minimizzazione, in base al quale i dati trattati sono adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (art. 5, par. 1, lett. c) del Regolamento).

In particolare, poi, il trattamento dei dati effettuato mediante tecnologie informatiche, nell’ambito del rapporto di lavoro, deve conformarsi al rispetto dei diritti e delle libertà fondamentali nonché della dignità dell’interessato, a maggior ragione se il trattamento riguarda comunicazioni effettuate mediante account di posta elettronica, considerate le particolari tutele che l’ordinamento ricollega alle diverse forme di comunicazione (v. Raccomandazione CM/Rec (2015)5 del Comitato dei Ministri agli Stati Membri sul trattamento di dati personali nel contesto occupazionale, spec. punti 3 e 14).

Nel caso di specie è emerso che la direzione aziendale, attraverso la sistematica visione (e conseguente apprensione del contenuto) degli account non individualizzati, anche qualora siano utilizzati da singoli dipendenti o collaboratori della Società (come si evince dalla stessa denominazione di account presenti in atti, del tipo ‘Dott.ssa […] - La Risorsa Umana.it’ <sicurquality@larisorsaumana.it> oppure ‘Dott.ssa […] – Form App <commerciale@form-app.it>’), e di conseguenza delle comunicazioni effettuate anche attraverso account di tipo individualizzato (come quello assegnato al reclamante) da propri dipendenti e collaboratori – ma anche, almeno in due casi documentati in atti, da collaboratori della società controllata Form App s.r.l. – attraverso la ricostruzione a ritroso della “catena” dei messaggi inviati, ha fornito indicazioni, chiesto chiarimenti ed espresso commenti e valutazioni (spesso di biasimo) sull’operato di dipendenti e collaboratori, lasciando e/o mettendo in copia tutti gli interlocutori della comunicazione originaria (in alcuni casi inserendone altri), in modo tale che tutti i partecipanti alla conversazione ne apprendessero il contenuto.

Si prende atto che la Società ha, secondo quanto ritenuto di rivolgere una nota di richiamo alla direzione aziendale per il comportamento, come emerso dalle e-mail oggetto del presente procedimento, ritenuto “non […] consono” e “censurabile” (v. memorie difensive, p. 4 e 7).

Ferma restando la necessità di garantire la continuità di adeguati flussi comunicativi all’interno dell’azienda (v. memorie difensive e All. 13 e 14), le modalità adottate dalla Società nella gestione dei messaggi di posta elettronica oggetto di reclamo non risultano conformi al richiamato principio di minimizzazione e proporzionalità, rispetto alle finalità perseguite, considerato anche che gli scopi in concreto perseguiti vanno oltre la necessità di assicurare il coordinamento delle attività svolte, risolvendosi nell’intervento sistematico sull’operato di singoli dipendenti e collaboratori, reso noto anche ad altri colleghi/collaboratori, utilizzando in alcuni casi espressioni che risultano lesive della dignità anche professionale dei destinatari e realizzando in tal modo una interferenza nella sfera privata e professionale di collaboratori e dipendenti.

Il coordinamento dell’attività e, a maggior ragione, l’assunzione di decisioni che rientrino nella sfera di competenza della direzione aziendale e la relativa comunicazione ai destinatari ben può avvenire con modalità individualizzate e che comunque non comportino la lesione della riservatezza di collaboratori e dipendenti.

I trattamenti sono pertanto avvenuti in violazione dell’art. 5, par. 1, lett. c) del Regolamento.

3.4. Violazione dell’art. 28 del Regolamento.

È infine emerso che la Società ha effettuato la designazione della controllata Form-App s.r.l., quale responsabile del trattamento, in virtù, secondo quanto rappresentato, di una “esigenza operativa” legata all’utilizzo di “molte funzionalità gestionali” da parte di dipendenti e collaboratori delle rispettive società. Contestualmente Form App s.r.l. ha, a sua volta, designato la Società quale responsabile del trattamento.

Tale configurazione risulta essere stata effettuata già nel novembre 2017, attraverso la sottoscrizione di due atti speculari di reciproca nomina, da parte della Società e di Form-App s.r.l., a responsabile del trattamento, avente il medesimo oggetto (la “gestione dei sistemi di elaborazione elettronica”, v. All. 2, memorie 28/9/2022).

In pari data (15/11/2017) risulta essere stato stipulato un contratto di servizi tra la Società e Form-App srl, con il quale la capogruppo si impegna a fornire alla controllata una pluralità di prestazioni e servizi, il cui novero è stato successivamente ampliato (in data 30/6/2018: v. All. 1 e 3, memorie 28/9/2022).

Sia la reciproca nomina a responsabile del trattamento relativamente al medesimo oggetto (il 15/11/2017), sia la successiva reciproca designazione quale responsabile del trattamento (10/7/2018), mediante atti - anche in questo caso redatti e sottoscritti nella stessa data – aventi peraltro contenuto generico e puramente formale, non sono conformi a quanto stabilito dalla disciplina posta in materia di protezione dei dati personali, posto che non sono individuati gli specifici trattamenti che il titolare affida alla gestione del responsabile impartendo in proposito specifiche istruzioni,

Premesso che tale configurazione contraddice l’affidamento da parte di Form-App s.r.l. di specifici servizi alla Società capogruppo (con contratto del 15/11/2017, come visto sopra), in ragione della maggiore capacità gestionale e disponibilità di risorse di quest’ultima, si rileva che, allo stato, ai sensi dell’art. 28, par. 3 del Regolamento, la designazione da parte del titolare di un responsabile del trattamento scelto in base alle “garanzie sufficienti” che può fornire, in relazione all’effettuazione di determinati trattamenti in ordine ai quali solo il titolare stesso decide fini e mezzi, anche in relazione alle misure di sicurezza, non rappresenta un mero adempimento formale.

Infatti l’atto giuridico posto alla base della designazione deve individuare “la materia disciplinata e la durata del trattamento, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati”, ciò in vista dell’effettivo rispetto delle prescrizioni del Regolamento anche in relazione alla necessità di tutelare i diritti e le libertà degli interessati (v. cons. 81 del Regolamento).

La responsabilità del rispetto delle norme in materia di protezione dei dati personali deve infatti essere attribuita chiaramente ai distinti soggetti che effettuano operazioni di trattamento.

La reciproca designazione delle due società nei termini emersi dall’istruttoria - e di conseguenza i trattamenti effettuati sulla base dei due atti - non è pertanto conforme a quanto stabilito dall’art. 28 del Regolamento.

Al riguardo, la circostanza che trattamenti di dati personali siano effettivamente avvenuti in base ai predetti atti emerge sia dalle dichiarazioni della Società (utilizzo di funzionalità gestionali da parte dei dipendenti delle rispettive società) nonché dal fatto che la direzione avesse la visibilità anche di account aventi estensione form-app.it, come sopra rilevato (v. e-mail del 15/10/2019, h. 10.36 e del 3/12/2019, ore 08.53, inviate dalla direzione, in atti).

Le operazioni di trattamento effettuate dalla Società in base ai citati atti di reciproca designazione per le ragioni su esposte risultano pertanto effettuate in violazione dell’art. 28 del Regolamento.

Con riguardo, infine, alla contestata violazione dell’art. 6 del Regolamento, effettuata in relazione alla possibilità per la direzione della Società di apprendere il contenuto di comunicazioni avvenute anche con account aventi estensione form-app.it, ossia riconducibile a distinta società (Form-App s.r.l.), e il conseguente trattamento di dati personali di dipendenti e collaboratori che utilizzano i relativi account, preso atto di quanto dichiarato dalla Società nelle memorie difensive (“la Direzione della Ditta Form-App srl e La RisorsaUmana.it srl, identificate nella medesima persona fisica […], è giustificata ed autorizzata a trattare i dati in nome e per conto delle due ditte e nel caso specifico poter colloquiare anche con personale operativo avente email con estensione form-app.it”) e vista la documentazione allegata (All. 1, Verbale di riunione presieduta dall’Amministratore unico della società Form-App srl, datato 15/11/2017, contenente l’organigramma aziendale ove l’institore della società risulta assumere la rappresentanza della società e la funzione di direzione aziendale), si ritiene di archiviare la relativa contestazione.

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Per i suesposti motivi l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati personali effettuato dalla Società e segnatamente i trattamenti di dati mediante la posta elettronica aziendale e i trattamenti effettuati in base a reciproche designazioni a responsabile del trattamento risulta infatti illecito, nei termini suesposti, in relazione agli artt. 5, par. 1, lett. a) e c), 13 e 28 del Regolamento.

La violazione accertata nei termini di cui in motivazione non può essere considerata “minore”, tenuto conto della natura e della gravità della violazione stessa, del grado di responsabilità, della maniera in cui l'autorità di controllo ha preso conoscenza della violazione (v. cons. 148 del Regolamento).

Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento, si dispone una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) Regolamento).

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

All’esito del procedimento risulta pertanto che La Risorsa Umana.it s.r.l. ha violato gli artt. 5, par. 1, lett. a) e c), 13 e 28 del Regolamento. Per la violazione delle predette disposizioni è prevista l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 4, lett. a) e 5, lett. a) e b) del Regolamento, mediante adozione di un’ordinanza ingiunzione (art. 18, l. 24.11.1981, n. 689).

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

a) in relazione alla natura e alla gravità della violazione è stata considerata rilevante la natura della violazione che ha riguardato i principi generali del trattamento (in particolare i principi di correttezza e minimizzazione), l’obbligo di informativa e la disposizione sul responsabile del trattamento (art. 83, par. 1, lett. a) del Regolamento);

b) con riguardo al grado di responsabilità del titolare è stata presa in considerazione la condotta negligente della Società che non si è conformata alla disciplina in materia di protezione dei dati nell’ambito del rapporto di lavoro con i propri collaboratori (art. 83, par. 1, lett. b) del Regolamento);

c) con riguardo al grado di cooperazione con l’Autorità di controllo è stato considerato che la Società ha cooperato con il Garante nel corso del procedimento (art. 83, par. 1, lett. f) del Regolamento);

d) con riferimento al carattere doloso o colposo della violazione è stato considerato che la Società, con la sua condotta, ha inteso monitorare le comunicazioni di dipendenti e collaboratori (art. 83, par. 1, lett. b) del Regolamento);

e) a favore della Società si è altresì tenuto conto dell’assenza di precedenti violazioni in materia di protezione di dati personali (art. 83, par. 1, lett. a), e) e g) del Regolamento).

Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla Società con riferimento al bilancio ordinario d’esercizio per l’anno 2021.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di La Risorsa Umana.it s.r.l. la sanzione amministrativa del pagamento di una somma pari ad euro 40.000 (quarantamila).

In tale quadro si ritiene, altresì, in considerazione della tipologia delle violazioni accertate che hanno riguardato i principi generali del trattamento (in particolare i principi di correttezza e minimizzazione), l’obbligo di informativa e la disposizione sul responsabile del trattamento, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante.

Si ritiene, altresì, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO, IL GARANTE

rileva l’illiceità del trattamento effettuato da La Risorsa Umana.it s.r.l., in persona del legale rappresentante, con sede legale in Via Carlo Marx, 95, Modena (MO), P.I. 01971890353, ai sensi dell’art. 143 del Codice, per la violazione degli artt. 5, par. 1, lett. a) e c), 13 e 28 del Regolamento;

DETERMINA

di archiviare la contestazione adottata nei confronti di La Risorsa Umana.it s.r.l., in persona del legale rappresentante, con atto del 1° settembre 2022, limitatamente alla violazione dell’art. 6 del Regolamento;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento a La Risorsa Umana.it s.r.l., di pagare la somma di euro 40.000 (quarantamila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

quindi alla medesima Società di pagare la predetta somma di 40.000 (quarantamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/20129, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 23 marzo 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei