VEDI ANCHE Newsletter dell'11 settembre 2023

[doc. web n. 9927300]

Provvedimento del 6 luglio 2023

Registro dei provvedimenti
n. 290 del 6 luglio 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presentato ai sensi dell’art. 77 del Regolamento in data 15 novembre 2021 dal Sig. XX nei confronti di AcegasApsAmga S.p.A.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. Il reclamo nei confronti della società.

Con reclamo del 15 novembre 2021 il Sig. XX ha lamentato presunte violazioni del Regolamento da parte di AcegasApsAmga S.p.A. (di seguito, la Società), con riferimento al mancato riscontro alla richiesta di accedere ai dati personali trattati dalla Società per elevare una contestazione disciplinare.
In particolare il reclamante ha lamentato che, a fronte dell’esercizio del diritto di accesso effettuato con comunicazione e-mail del 25 febbraio 2021 - con la quale ha chiesto alla Società “al fine di esercitare il proprio diritto alla difesa, […] l'accesso ai propri dati aventi ad oggetto i fatti ed i comportamenti asseritamente irregolari indicati nella lettera di contestazione di addebito” -, e con successiva e-mail del 2 marzo 2021 - con la quale la richiesta è stata rinnovata precisando che la comunicazione dei propri dati sarebbe potuta avvenire “eventualmente anche estrapolando dalla documentazione dati e nomi se pregiudizievoli del diritto di riservatezza di terzi” -, la Società non avrebbe fornito un riscontro idoneo.

Ciò avrebbe comportato l’impossibilità per l’interessato di esercitare i propri diritti in materia di protezione dei dati personali e, come ulteriore conseguenza, l’impossibilità di esercitare pienamente il proprio diritto di difesa nell’ambito del procedimento giurisdizionale di impugnazione dell’atto di licenziamento con il quale si è concluso il procedimento disciplinare.

Con successiva memoria dell’8 marzo 2022, il reclamante ha inoltre rappresentato di aver appreso, nel corso del giudizio avviato con ricorso per l’impugnazione del licenziamento, depositato il 2 dicembre 2021 davanti al Tribunale di Trieste, sez. civile, controversie del lavoro, che la Società “si è rivolta a una agenza investigativa alla quale ha affidato lo svolgimento di complesse indagini che hanno rilevato il comportamento illegittimo oggetto di contestazione”.

L’attività effettuata mediante la predetta agenzia investigativa sarebbe stata illecita in quanto avrebbe realizzato un “controllo […] contrario alle norme vigenti (condotta non iure) e lesivo di una situazione giuridica soggettiva altrui protetta dalla legge (condotta contra ius) e, conseguentemente l'inutilizzabilità dei dati raccolti”.

Il reclamante ha pertanto chiesto all’Autorità di ingiungere al titolare del trattamento di soddisfare le richieste di esercizio dei diritti nonché di imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento.

2. L’attività istruttoria.

La Società, nel fornire riscontro alla richiesta di informazioni inviata dall’Autorità il 21 marzo 2022, con nota del 19 aprile 2022 ha dichiarato che:

a. il reclamante “ha presentato il Reclamo a codesta spett.le Autorità, in pendenza di un procedimento per licenziamento disciplinare per giusta causa promosso dalla Società e successivamente fatto oggetto di ricorso da parte dello stesso Reclamante, incardinato avanti il Tribunale di Trieste, Sezione Civile […]. […] nel corso del Procedimento giudiziale, il Reclamante ha rappresentato all’autorità giudiziaria le medesime obiezioni e argomentazioni in merito al trattamento dei suoi dati personali effettuati dalla Società oggetto ora del Reclamo”; “In data 29/03/2022, il menzionato Tribunale ha emanato un’ordinanza con la quale il ricorso avverso il licenziamento è stato rigettato” (nota 19/4/2022, p. 1);

b. “Nel corso del 2020, a seguito di ripetute segnalazioni da parte dei responsabili gerarchici della struttura operativa di cui il [reclamante] era parte in relazione a presunti comportamenti “anomali” riconducibili allo stesso, la Società […], in data 23/11/2020, incaricava una società di investigazioni, appositamente autorizzata […] di effettuare un’attività di indagine con accertamento visivo specifico. Sulla base della relazione successivamente inviata dall’Istituto, la Società era così in grado di formulare una contestazione disciplinare, in data 22/02/2021” (nota cit., p. 2);

c. a seguito della richiesta presentata dal reclamante il 25/2/2021, “La Società, anche in considerazione dei puntuali riferimenti già indicati nella lettera di contestazione, riscontrava, in pari data, […], dichiarandosi disponibile a mettergli a disposizione la documentazione, previa individuazione da parte dello stesso” (nota cit., p. 2);

d. in risposta alla successiva richiesta presentata dal reclamante il 2/3/2021, “Attesa la perdurante genericità della richiesta, la Società ribadiva la necessità di ricevere la puntuale individuazione delle informazioni richieste, rinnovando la disponibilità a svolgere l’audizione orale” (nota cit., p. 2);

e. “In data 04/03/2021 il Reclamante dettagliava compiutamente le sue richieste, chiedendo in particolare: - “di poter accedere […] al computer aziendale da lui usato nel periodo oggetto delle Vostre indagini (1° dicembre 2020 – 18 gennaio 2021) e fino all’invio della lettera di contestazione”; - “di ricevere comunque, in forma cartacea o su chiavetta usb, copia di tutta la corrispondenza elettronica da lui inviata, ricevuta e archiviata, con i relativi allegati, nel periodo medesimo”; - “di ricevere la precisazione della durata e collocazione spazio/temporale delle singole attività asseritamente non lavorative addebitategli dall’Azienda, unitamente alla descrizione delle medesime”; - “di conoscere quale sarebbe la media degli Ordini di Lavoro inseriti dai Colleghi e quale il numero dei suoi ordini, asseritamente sensibilmente inferiore.” (Allegato 8: richiesta del [reclamante] di data 04/03/2021). Il reclamante aggiungeva, altresì, che “La presente riordina e precisa le precedenti comunicazioni del sottoscritto in argomento, da intendersi conseguentemente sostituite ad ogni effetto” (nota cit., p. 3);

f. “La Società provvedeva, quindi, a dare puntuale riscontro al [reclamante], dando seguito a ciascuna richiesta con comunicazione del 09/03/2021” (nota cit., p. 3);

g. “La ricostruzione in fatto […], e le ulteriori precisazioni qui esposte, testimoniano che la Società ha improntato il proprio comportamento ai principi sanciti dagli articoli 12 e 15 del Regolamento, fornendo al Reclamante tempestivo ed esaustivo riscontro. In particolare la prima richiesta, seppur generica, dell’interessato è stata inviata in data 22/02/2021 e il completo accesso, anche fisico, ai propri dati, nonostante la genericità delle richieste, è avvenuto il 10/03/2021” (nota cit., p. 6);

h. la Società “ha conferito mandato a una società di investigazioni, per un accertamento visivo specifico finalizzato a verificare comportamenti configuranti condotte illecite. In merito alla liceità e correttezza del trattamento, si evidenzia come, in base all’orientamento consolidato in materia, il datore di lavoro ha la possibilità di incaricare un soggetto esterno che sia preposto all’attività investigativa finalizzata alla tutela e alla difesa dei propri interessi, con l’unico limite dell’impossibilità di sconfinare in una generalizzata vigilanza sull’attività lavorativa vera e propria” (nota cit., p. 6);

i. “Per quanto riguarda il rispetto della proporzionalità e minimizzazione dei dati, le informazioni fornite dall’Istituto sono state utilizzate dalla Società per i soli fini della contestazione disciplinare e del conseguente Procedimento giudiziale e sono state puntualmente esplicitate al Reclamante; non sono stati riportati dati ultronei o irrilevanti ai fini degli stessi” (nota cit., p. 7).

In risposta ad una richiesta di ulteriori informazioni e chiarimenti, la Società, con nota del 9 febbraio 2023, ha successivamente dichiarato che:

a. “l’individuazione dell’esatta estensione del diritto di accesso formulato dall’interessato è stata frutto di interlocuzioni con l’interessato stesso, sfociate nella precisazione di quest’ultimo, formulata nella comunicazione di data 4.03.2021 […]. A seguito di tale precisazione, che secondo le stesse parole dell’interessato “riordina e precisa le precedenti comunicazioni del sottoscritto in argomento, da intendersi conseguentemente sostituite ad ogni effetto”, la Società ha provveduto a fornire integrale riscontro a quanto in tal modo richiesto” (nota 9/2/2023, p. 2);

b. “La Società, peraltro, avrebbe potuto, in tale contesto, invocare l’eccezione di cui all’articolo 2-undecies Cod. Priv., secondo la quale i diritti di cui agli articoli da 15 a 22 del GDPR non possono essere esercitati se da essi possa derivare un pregiudizio effettivo e concreto ‘allo svolgimento delle investigazioni difensive o all’esercizio di un diritto in sede giudiziaria’, dandone comunicazione all’interessato stesso” (nota cit., p. 2);

c. “Avendo, tuttavia, la Società valutato che il riferimento alla relazione investigativa fosse fuori dal perimetro della richiesta, tale comunicazione non è stata fornita al [reclamante]” (nota cit., p. 2);
d.    “La contestazione di addebito è stata comunque redatta in modo tale da consentire al lavoratore di predisporre un’adeguata difesa rispetto ai fatti contestati” (nota cit., p. 2).

3. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e le deduzioni della società.

Il 13 aprile 2023, l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione alla Società delle presunte violazioni del Regolamento riscontrate, con riferimento agli artt. 5, par. 1, lett. a), 12 e 15 del Regolamento.

Con memorie difensive inviate in data 11 maggio 2023, la Società, dopo aver precisato come “ci sia stata solo in un secondo tempo una graduale acquisizione di consapevolezza […] circa la natura e portata della richiesta presentata dal [reclamante] e, di conseguenza, quali siano stati i passaggi chiave che hanno portato la Società a compiere delle valutazioni interne che […] hanno avuto come base l’errata interpretazione della richiesta stessa”, ha rappresentato che:

1. “le varie richieste del reclamante giungeva(no) a mezzo e-mail ad indirizzi diversi (dapprima ad indirizzi di posta ordinaria, quindi ad indirizzi PEC) nel pieno corso di un delicato e complesso procedimento disciplinare che, come di norma accade, vedeva coinvolti in prima linea i settori ed uffici di Acegas dedicati alla gestione del personale e per loro natura focalizzati essenzialmente su profili giuslavoristici” (nota 11/5/2023, p. 2);

2. “la stessa mancata applicazione dell’art. 2-undecies del d.lgs. n. 196/2003 (introdotto dal d.lgs. n. 101/2018) – che come noto prevede la possibilità per il titolare di limitare, in talune circoscritte ipotesi, l’esercizio del diritto di accesso dell’interessato previo adempimento di alcuni obblighi informativi attraverso una comunicazione motivata e resa senza ritardo- conferma sia pure a contrario l’errore di prospettiva nel quale è incorsa Acegas” (nota cit., p. 3);

3. “Il processo ordinario delle comunicazioni in ingresso verso la [Società], è gestito attraverso l’Ufficio Protocollo, con processo informatizzato e, quindi, tracciato. In particolare, per quanto riguarda l’esercizio dei diritti di accesso, nelle informative sono indicati indirizzi email di contatto anch’essi presidiati dall’Ufficio Protocollo” (nota cit., p. 4);

4. "Nel caso del [reclamante], la prima richiesta del 25 febbraio 2021 è stata inviata ad un indirizzo diverso da quelli indicati in informativa e assegnata dal Protocollo solo alle funzioni competenti (dedicate alla gestione del personale), che l’hanno gestita con ripetute interlocuzioni con il reclamante, sfociate nella comunicazione di data 04.03.2021 con cui il [reclamante] precisava che questa: «riordina e precisa le precedenti comunicazioni del sottoscritto in argomento, da intendersi conseguentemente sostituite ad ogni effetto»” (nota cit., p. 4);

5. con riguardo agli elementi da tenere in considerazione ai sensi dell’art. 83, co. 2, del Regolamento è stato rappresentato che: “la Società non ha inteso negare tout court l’esercizio del diritto di accesso da parte del [reclamante]”; “Quanto alla gravità della contestata violazione, […] essa ha riguardato la richiesta di accesso di un solo interessato (il reclamante) e, nella sostanza, stando al Tribunale di Trieste non ha leso il diritto di difesa [dello stesso]”; “la contestata violazione è riconducibile ad una condotta colposa”; la Società “riconoscendo in via generale quella necessità di migliorare il processo di risposta ai diritti degli interessati che la vicenda qui sottesa ha indicato, ha proceduto a svolgere ulteriori e specifiche sessioni di formazione”; “la Società, al fine di migliorare costantemente la propria operatività̀ a beneficio degli interessati, è in procinto di adottare ulteriori misure correttive”; la Società si è attivata “per garantire il massimo grado di cooperazione possibile ad ogni richiesta di precisazioni o chiarimenti riguardo la vicenda in esame”; “La vicenda ha avuto ad oggetto essenzialmente dati personali cd. “comuni” contenuti nella Relazione Investigativa, comprensivi di immagini fotografiche e posizione rilevata a vista”; “La Società non è mai stata destinataria di Provvedimenti ai sensi dell’art. 58 par. 2 del Regolamento”; “le suesposte circostanze relative alle azioni intraprese dal titolare del trattamento (sia prima che nel corso del procedimento dinanzi all’Autorità̀), alla collaborazione con l’Autorità nel corso del procedimento e all’assenza di precedenti violazioni per la medesima fattispecie (in uno con il riferirsi la fattispecie ad un solo interessato) potrebbero consentire di inquadrare la fattispecie in esame quale “violazione minore”, ai sensi dell’art. 83, par. 2 e del Considerando 148 del Regolamento, coerentemente con quanto concluso da Codesta Ecc.ma Autorità nel proprio Provvedimento GPDP del 25 novembre 2021 [9731887]” (nota cit., p. 5, 6, 7, 8, 9 e 11).

4. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

4.1. La ricostruzione dei fatti.

All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, risulta che la Società, in qualità di titolare, ha effettuato alcune operazioni di trattamento, riferite al reclamante, che risultano non conformi alla disciplina in materia di protezione dei dati personali.

In proposito si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

Nel merito è emerso che la Società ha inviato al reclamante, in data 22 febbraio 2021, una contestazione disciplinare contenente, tra l’altro, puntuali riferimenti ad attività diverse dall’effettuazione dell’attività lavorativa, svolte dal reclamante stesso tra il 1° dicembre 2020 e il 18 gennaio 2021 dopo aver attestato la presenza in servizio mediante timbratura (Doc. 2, reclamo 15/11/2021).

I riferimenti specifici alle attività del reclamante, contenuti nella contestazione disciplinare, sono stati tratti dalla relazione investigativa, redatta in data 25 gennaio 2021, dalla “Agenzia Investigativa Privacy”, commissionata dalla Società il 23 novembre 2020.

Il 25 febbraio 2021, il reclamante ha inviato alla Società, tramite e-mail, la richiesta, riferita alla predetta contestazione disciplinare, “al fine di esercitare il proprio diritto di difesa”, di “accesso ai propri dati aventi ad oggetto i fatti ed i comportamenti asseritamente irregolari indicati nella lettera di contestazione di addebito” (Doc. 3, reclamo cit.).

In pari data, la Società ha fornito al reclamante una risposta con lettera avente ad oggetto: “richiesta di accesso al personal computer Aziendale”, con la quale è stato comunicato che “la Sua richiesta di avere accesso al computer aziendale non può essere accolta, anche in ragione del provvedimento di sospensione cautelare disposto nei Suoi confronti con contestazione disciplinare del 22/02/2021 ns lettera prot. n. 197/2021. Tuttavia, Le comunichiamo la disponibilità della Scrivente a metterLe a disposizione, nelle forme ritenute più opportune, la documentazione che vorrà indicarci nel dettaglio entro il 5 marzo p.v.” (Doc. 4, reclamo cit.).

Con successiva e-mail del 2 marzo 2021, il reclamante ha ribadito alla Società la precedente richiesta nei seguenti termini: “Con riferimento alla Vostra del 26/2 u.s. mi corre l’obbligo di precisare che nella mia del 25.2. u.s., non ho richiesto di avere accesso al computer aziendale ma di accedere ai dati aventi ad oggetto i fatti e i comportamenti asseritamente irregolari che mi sono stati addebitati e dunque tutta la documentazione da Voi utilizzata per elevarmi la contestazione. Rinnovo pertanto la richiesta che vorrete evadere eventualmente anche estrapolando dalla documentazione dati e nomi se pregiudizievoli del diritto di riservatezza di terzi” (Doc. 5, reclamo cit.).

A fronte di tali richieste la Società, con comunicazione del 3 aprile 2021, ha risposto, tra l’altro, che “In ogni caso Lei, contrariamente a quanto richiesto dalla Scrivente, non ha indicato la specifica documentazione di cui chiedeva l'esibizione a fini difensivi; le Sue generiche richieste di esibizione di "tutta la documentazione utilizzata per elevare la contestazione disciplinare" non possono essere accolte” (All. 7, nota della Società 19/4/2022).

Dopo aver ricevuto tale missiva il reclamante, con e-mail del 4 marzo 2021, ha precisato, come da richiesta della Società, l’oggetto della domanda nei seguenti termini: “di poter accedere […] al computer aziendale […] usato nel periodo oggetto delle Vostre indagini (1° dicembre 2020 – 18 gennaio 2021) e fino all’invio della lettera di contestazione; -di ricevere comunque, in forma cartacea o su chiavetta usb, copia di tutta la corrispondenza elettronica da lui inviata, ricevuta e archiviata, con i relativi allegati, nel periodo medesimo; -di ricevere la precisazione della durata e collocazione spazio/temporale delle singole attività asseritamente non lavorative addebitategli dall’Azienda, unitamente alla descrizione delle medesime; -di conoscere quale sarebbe la media degli Ordini di Lavoro inseriti dai Colleghi e quale il numero dei suoi ordini, asseritamente sensibilmente inferiore”.

Dagli atti acquisiti in istruttoria emerge pertanto che, a fronte di una richiesta di “accesso ai dati” riferiti al reclamante e in particolare alle contestazioni disciplinari elevate dalla Società con lettera del 25 febbraio 2021, la Società ha dapprima qualificato unilateralmente tale richiesta come “accesso al personal computer Aziendale”, ritenendola peraltro non accoglibile, invitando nel contempo l’interessato a indicare “nel dettaglio” la “documentazione” oggetto della richiesta.

Anche a seguito della precisazione del reclamante, relativa all’oggetto della domanda (“non ho richiesto di avere accesso al computer aziendale ma di accedere ai dati aventi ad oggetto i fatti e i comportamenti asseritamente irregolari che mi sono stati addebitati e dunque tutta la documentazione da Voi utilizzata per elevarmi la contestazione”), la Società ha insistito nella sua posizione e ha definito “generiche” le richieste “di esibizione di "tutta la documentazione utilizzata per elevare la contestazione disciplinare"”, concludendo che queste “non possono essere accolte”.

A fronte della richiesta, da parte della Società, di “dettagliare” la domanda di accesso, il reclamante ha inviato la nota del 4 marzo 2021, sopra sinteticamente riportata. In ogni caso si osserva che pure con tale terza richiesta, il reclamante ha chiesto alla Società di precisare gli aspetti specifici delle proprie condotte oggetto della contestazione disciplinare (“ricevere la precisazione della durata e collocazione spazio/temporale delle singole attività asseritamente non lavorative addebitategli dall’Azienda, unitamente alla descrizione delle medesime”).

Infine è emerso che, come rappresentato dall’interessato con l’integrazione inviata all’Autorità in data 8 marzo 2022, l’esistenza e il contenuto della relazione investigativa sono stati conosciuti dal reclamante (che ne ha acquisito anche copia) solo in occasione della costituzione della Società nel giudizio di impugnazione del licenziamento proposto dal reclamante stesso davanti alla competente autorità giudiziaria (con memoria datata 4/1/2022).

Con riguardo, invece, al trattamento commissionato alla agenzia investigativa in data 23 novembre 2020, all’esito dell’attività istruttoria non sono emerse evidenze di violazioni della disciplina in materia di protezione dei dati personali.

4.2. La violazione degli artt. 5, par. 1, lett. a), 12 e 15 del Regolamento.

Preliminarmente si osserva che, diversamente da quanto sostenuto dalla Società nel corso del procedimento, con il ricorso presentato davanti all’Autorità giudiziaria ordinaria per l’impugnazione del licenziamento, il reclamante non ha dedotto “le medesime obiezioni e argomentazioni in merito al trattamento dei suoi dati personali effettuati dalla Società oggetto ora del Reclamo”.

Infatti il ricorso, relativamente al punto specifico, ha prospettato la violazione dell’art. 7, l. 20/5/1970, n. 300 con riguardo alla ritenuta “genericità della contestazione” e “omessa consegna” delle informazioni su cui è stata fondata la contestazione disciplinare, con conseguente violazione del diritto di difesa, senza alcun riferimento al diritto di accesso ai propri dati personali e alla disciplina di protezione dei dati personali (punti 1 e 3, ricorso ex art. 1 co. 48 L. 28.6.2012 N. 92, depositato il 2/12/2021; All. 1 nota di regolarizzazione 13/1/2022).

Nel merito, si ritiene in primo luogo che le richieste di accesso ai propri dati formulate dal reclamante siano qualificabili come esercizio del diritto di accesso garantito dall’art. 15 del Regolamento, anche se tale norma specifica non è stata espressamente richiamata (sul punto si vedano le Guidelines 01/2022 on data subject rights - Right of access, EDPB, 28 marzo 2023, 3.1.1, n. 47: “Data subjects are not required to specify the legal basis in their request”; “Gli interessati non sono tenuti a specificare la base giuridica nella loro richiesta”, traduzione non ufficiale). Ciò considerato che dal contenuto delle richieste risulta chiaro che il reclamante volesse avere accesso a dati allo stesso riferiti.

Ciò posto, si osserva, in primo luogo, che non è conforme a quanto stabilito dal richiamato art. 15 subordinare il riscontro all’istanza di accesso alla indicazione dettagliata da parte dell’interessato dei “documenti” cui si chiede di accedere, come invece prospettato dalla Società nei riscontri del 25/2 e 3/4/2022.

Tanto più che la richiesta del reclamante era tutt’altro che generica, riferendosi espressamente a tutti i dati utilizzati per effettuare la contestazione disciplinare. Sul punto le richiamate Guidelines 01/2022 on data subject rights - Right of access, hanno affermato che l’istanza di accesso ai dati ha, di regola, ad oggetto tutti i dati detenuti dal titolare e che quest’ultimo può avere dubbi sul contenuto della richiesta solo se questa sia stata formulata in termini estremamente generici (si veda in particolare par.  2.3.1, n. 35: “Data subjects have the right to obtain, with the exceptions mentioned below, full disclosure of all data relating to them […]. Unless explicitly requested otherwise by the data subject, a request to exercise the right of access shall be understood in general terms, encompassing all personal data concerning the data subject”; “Gli interessati hanno il diritto di ottenere, con le eccezioni di seguito indicate, la piena divulgazione di tutti i dati che li riguardano […]. Salvo diversa richiesta esplicita dell'interessato, la richiesta di esercitare il diritto di accesso è intesa in termini generali, comprendendo tutti i dati personali che lo riguardano”, traduzione non ufficiale; tra le eccezioni le Guidelines, n. 35 cit., menzionano i casi in cui “il titolare del trattamento tratti una grande quantità di dati che riguardano l'interessato” e la “richiesta di accesso [sia stata] espressa in termini molto generali”, traduzione non ufficiale: “In situations where the controller processes a large quantity of data concerning the data subject, the controller may have doubts if a request of access, that is expressed in very general terms, really aims at receiving information on all kind of data being processed or on all branches of activity of the controller in detail”).

Il menzionato art. 15 del Regolamento, quanto all’oggetto del diritto di accesso, chiarisce che questo ricomprende anche le “categorie di dati personali” nonché “qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine” (v. art. 15, par. 1, lett. b) e g) del Regolamento).

Pertanto la Società, riscontrando le istanze del reclamante, avrebbe dovuto fornire tutti i dati raccolti con la relazione investigativa del 25/1/2021, considerato che la stessa contiene anche categorie di dati relative al reclamante (fotografie, una rilevazione Gps, descrizioni di luoghi, persone e situazioni: v. relazione investigativa cit., p. da 7 a 10) che non sono state trasferite nella contestazione disciplinare.

Inoltre, come già rilevato, l’art. 15 prevede che qualora i dati non siano raccolti direttamente presso l’interessato (come nel caso di specie) il titolare del trattamento debba indicare la loro origine. Anche tale informazione non è stata fornita in sede di riscontro all’istanza di accesso.

Quanto alle modalità del riscontro che il titolare del trattamento deve fornire a seguito della richiesta di esercizio dei diritti da parte dell’interessato, l’art. 12 prescrive, poi, che il titolare “agevola l’esercizio dei diritti” e fornisce “le informazioni relative all’azione intrapresa […] senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta”.

Inoltre “se non ottempera alla richiesta dell’interessato, il titolare del trattamento informa l’interessato senza ritardo […] dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale”.

Pertanto anche la circostanza, rappresentata nelle memorie difensive, che la prima richiesta di accesso da parte del reclamante sia stata “inviata ad un indirizzo diverso da quelli indicati in informativa”, non può essere presa in considerazione rispetto a tale profilo, visto anche che i soggetti incaricati della gestione del personale, ricevuta la richiesta, hanno comunque proceduto a fornire riscontro senza – quantomeno – ritrasmettere l’istanza agli indirizzi indicati nella informativa.

In ogni caso si osserva sul punto che le menzionate Guidelines 01/2022 on data subject rights - Right of access hanno chiarito che “il GDPR non impone agli interessati alcun requisito in merito alla forma della richiesta di accesso ai dati personali. Pertanto, non vi sono, in linea di principio, requisiti ai sensi del GDPR che gli interessati debbano osservare nella scelta di un canale di comunicazione attraverso il quale entrano in contatto con il titolare del trattamento”, n. 52, traduzione non ufficiale (“the GDPR does not impose any requirements on data subjects regarding the form of the request for access to the personal data. Therefore, there are, in principle, no requirements under the GDPR that the data subjects must observe when choosing a communication channel through which they enter into contact with the controller”).

Inoltre, se pure la Società avesse ritenuto che, nel caso specifico, ricorresse una delle concrete condizioni previste dall’art. 2-undecies del Codice, avrebbe dovuto comunicarlo all’interessato con motivato riscontro.

La condotta della Società, a fronte delle richieste del reclamante, non appare inoltre conforme al principio di correttezza del trattamento, che costituisce uno dei principi generali in materia anche con particolare riguardo all’ambito del rapporto di lavoro (art. 5, par. 1, lett. a) del Regolamento), posto che il titolare non ha indicato la specifica origine dei dati utilizzati per la contestazione disciplinare né ha rappresentato la sussistenza di un concreto pregiudizio all’esercizio di un proprio diritto.

La Società, pertanto, nei termini sopra descritti, non ha ottemperato all’obbligo di fornire riscontro all’interessato a seguito dell’esercizio di uno dei diritti previsti dal Regolamento - nel caso di specie il diritto di accesso ai sensi dell’art. 15 -, nei termini e con le modalità prescritte dall’art. 12 del Regolamento. La condotta è altresì avvenuta anche in violazione del principio generale di correttezza stabilito dall’art. 5, par. 1, lett. a) del Regolamento.

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Per i suesposti motivi l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati personali effettuato dalla Società e segnatamente l’inidoneo riscontro alle istanze di accesso presentate dal reclamante, risulta infatti illecito, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a), 12 e 15 del Regolamento.

La violazione accertata nei termini di cui in motivazione non può essere considerata “minore”, tenuto conto della natura della violazione che ha riguardato l’esercizio dei diritti dell’interessato, della gravità e della durata della violazione stessa (considerato che il reclamante ha avuto conoscenza dell’esistenza della relazione investigativa solo nel corso del procedimento giurisdizionale di impugnazione del licenziamento), del grado di responsabilità e della maniera in cui l'autorità di controllo ha preso conoscenza della violazione (v. Considerando 148 del Regolamento).

Inoltre, diversamente da quanto stabilito dal Garante con il provv. 25 novembre 2021, doc. web n. 9731887, richiamato nelle memorie difensive, nel caso di specie non vi è stata adesione alle richieste dell’interessato nel corso del procedimento davanti all’Autorità dato che il procedimento stesso è stato avviato dopo che il reclamante aveva appreso che i propri dati erano stati raccolti da una agenzia investigativa.

Si rammenta che ai sensi dell’art. 160-bis del Codice “La validità, l'efficacia e l’utilizzabilità nel procedimento giudiziario di atti, documenti e provvedimenti basati sul trattamento di dati personali non conforme a disposizioni di legge o di Regolamento restano disciplinate dalle pertinenti disposizioni processuali”.

Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento, si dispone una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) Regolamento).

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

All’esito del procedimento risulta che AcegasApsAmga S.p.A. ha violato gli artt. artt. 5, par. 1, lett. a), 12 e 15 del Regolamento. Per la violazione delle predette disposizioni è prevista l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. a) e b) del Regolamento, mediante adozione di un’ordinanza ingiunzione (art. 18, l. 24.11.1981, n. 689).

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

a) in relazione alla natura, gravità e durata della violazione è stata considerata rilevante la natura della violazione che ha riguardato l’esercizio dei diritti dell’interessato nonché la durata della violazione stessa che si è protratta per circa un anno;

b) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare è stata presa in considerazione la condotta della società e il grado di responsabilità della stessa che non si è conformata alla disciplina in materia di protezione dei dati relativamente a una pluralità di disposizioni;

c) a favore della Società si è tenuto conto della cooperazione con l’Autorità di controllo, della circostanza che la violazione accertata ha riguardato il solo reclamante e della adozione di misure volte ad agevolare l’attività di riscontro alle istanze di esercizio dei diritti degli interessati.

Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla Società con riferimento al bilancio ordinario d’esercizio per l’anno 2022. Da ultimo si tiene conto dell’entità delle sanzioni irrogate in casi analoghi.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di AcegasApsAmga S.p.A. la sanzione amministrativa del pagamento di una somma pari ad euro 10.000 (diecimila).

In tale quadro si ritiene, altresì, in considerazione della tipologia delle violazioni accertate che hanno riguardato l’esercizio dei diritti dell’interessato, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante.

Si ritiene, altresì, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO, IL GARANTE

rileva l’illiceità del trattamento effettuato da AcegasApsAmga S.p.A., in persona del legale rappresentante, con sede legale in Via del Teatro, 5, Trieste (TS), C.F. 00930530324, ai sensi dell’art. 143 del Codice, per la violazione degli artt. 5 par. 1 lett. a), 12 e 15 del Regolamento;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento a AcegasApsAmga S.p.A., di pagare la somma di euro 10.000 (diecimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

quindi alla medesima Società di pagare la predetta somma di 10.000 (diecimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/20129, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 6 luglio 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei