VEDI Newsletter del 15 dicembre 2023

[doc. web n. 9960875]

Provvedimento del 16 novembre 2023

Registro dei provvedimenti
n. 530 del 16 novembre 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presentato dal sig. XX, tramite il proprio legale  Avv. XX, in data 01/12/2021, ai sensi dell’art. 77 del Regolamento con cui è stata lamentata una violazione della disciplina in materia di protezione dei dati personali da parte di Amazon Italia Transport s.r.l.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. Il reclamo nei confronti della Società e l’avvio dell’attività istruttoria.

Con il reclamo presentato in data 01/12/2021, il sig. XX ha rappresentato a questa Autorità di aver presentato un’istanza di esercizio dei diritti ai sensi dell’art. 15 del Regolamento, nei confronti di Amazon Italia Transport s.r.l. (di seguito “la Società”), di cui era stato dipendente dal 1/01/2018 al 06/04/2021. Tale richiesta, volta a conoscere e ottenere “copia dei dati personali oggetto di trattamento e le informazioni di cui al citato art. 15 (…)”, veniva regolarmente notificata in data 28/09/2021 tramite pec all’indirizzo della Società, come risultava dalla ricevuta di avvenuta consegna prodotta in atti, ma la Società non forniva alcun riscontro nei termini previsti dall’art. 12, par. 3, del citato Regolamento.

Con la nota datata 26/01/2022, l’Autorità invitava la Società a fornire osservazioni in ordine a quanto lamentato e ad aderire alle richieste del reclamante.

Con la comunicazione datata 04/02/2022, la Società forniva riscontro all’istante, e per conoscenza all’Autorità, rappresentando che:

- “poiché la richiesta ricevuta era molto ampia e generica riguardando, di fatto tutti i trattamenti dei dati del sig.  operati da Amazon, è stato necessario un coordinamento interno tra i vari dipartimenti interessati. Questo ha comportato una lentezza che non ha consentito ad Amazon di dare seguito alla richiesta entro i termini stabiliti dall’art. 12 GDPR”;

- “Nell’ambito del rapporto di lavoro con il proprio personale e dunque anche con riferimento al rapporto di lavoro in essere (…) con il sig. , Amazon tratta i dati in conformità alla propria informativa privacy UE per il personale di Amazon, in ogni momento disponibile per i dipendenti sulla intranet della società”.

Venivano, pertanto, forniti i dati personali del reclamante, estratti dal suo fascicolo personale, e le ulteriori informazioni attinenti al trattamento dei dati personali oggetto della specifica richiesta.

Sulla base delle dichiarazioni rese dalla società, l’Ufficio provvedeva a notificare alla Società, con nota del 21/03/2022, prot. n. 16328, l’atto di avvio del procedimento sanzionatorio ai sensi dell’art. 166, comma 5, del Codice in relazione alla violazione degli artt. 12, par. 3, e 15 del Regolamento.

La Società inviava in data 20/04/2022 propri scritti difensivi, ai sensi dell’art. 18 della legge n. 689/1981, con cui sottolineava la propria buona fede nel trattamento in esame, In quanto il “ritardo non è affatto dovuto alla volontà di danneggiare il Sig. , ovvero di impedirgli il legittimo esercizio dei propri diritti, bensì ad una serie di circostanze sfortunate (…)”.

In particolare, si rappresentava che:

- la violazione in oggetto non è di natura dolosa, in quanto è stata determinata da “una sostanziale difficoltà interna a fare fronte alla quantità notevole ed in costante aumento delle richieste di accesso ai dati ex art. 15 del Regolamento non solo da parte di dipendenti, ma anche di ex dipendenti. Nella maggior parte dei casi, tali richieste si accompagnano – come nel caso di specie – all'impugnazione del licenziamento da parte dell'ex-dipendente. Tale circostanza comporta un necessario coordinamento tra i diversi uffici e dipartimenti interni, al fine di ricostruire quanto accaduto di volta in volta e valutare la sussistenza di eventuali esimenti ai sensi dell'art. 23 del Regolamento, così come implementato dall'art. 2-undecies del Codice (…);

- nel caso di specie, “la Società ha dovuto necessariamente valutare eventuali ripercussioni in relazione al proprio diritto di difesa derivanti dal soddisfacimento della Richiesta, a fronte delle circostanze specifiche del licenziamento e della sua impugnazione da parte dell'interessato. Tale valutazione non è stata purtroppo effettuata in maniera efficiente dalle funzioni competenti e ciò ha determinato il ritardo di Amazon nel riscontrare la Richiesta entro i termini stabiliti dalla legge”;

- “A seguito dell'episodio in oggetto, Amazon, consapevole dell’errore e della necessità di migliorare la propria organizzazione interna al fine di rispondere in maniera quanto più efficace e proattiva alle richieste di accesso, sta predisponendo a livello centrale un’unica funzione per la gestione delle richieste ex art. 15 del Regolamento in ambito HR (dipendenti ed ex dipendenti). Tale procedura prevede uno screening iniziale della richiesta, seguito dalla trattazione della stessa in maniera sinergica, coinvolgendo sia la funzione centrale privacy che le funzioni locali HR. Ciò garantirà una migliore collaborazione interdipartimentale, assicurando che eventi di questo tipo non avvengano più in futuro e consolidando l’approccio di privacy by design e by default già adottato dalla Società”.

2. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, risulta che la Società, in qualità di titolare del trattamento, ha effettuato alcune operazioni di trattamento, riferite al reclamante, che risultano non conformi alla disciplina in materia di protezione dei dati personali.

In proposito si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

Nel merito, è emerso che la Società non ha dato riscontro all’istanza di esercizio dei diritti, presentata dal reclamante ai sensi dell’art. 15 del Regolamento, se non in dara 04/02/2022 e solo a seguito della presentazione del reclamo e dell’apertura dell’istruttoria da parte del Garante, inviandogli copia dei dati personali e delle informazioni riferite al rapporto di lavoro intercorso con la parte. L’adempimento è dunque avvenuto quasi sei mesi oltre il termine previsto dal Regolamento.

Va, altresì, rilevato che la Società, nel corso dell’istruttoria ha dichiarato di non aver dato tempestivo riscontro alla predetta istanza, anche a causa della vastità e genericità delle informazioni richieste che hanno impedito di circostanziare il riscontro.

Si osserva, a tal proposito, che le Linee guida sul diritto di accesso, approvate dall’EDPB in data 28/03/2023, chiariscono che “un responsabile del trattamento che tratta una grande quantità di informazioni relative all'interessato può chiedere all'interessato di specificare le informazioni o il trattamento cui si riferisce la richiesta prima che le informazioni siano fornite” (par. 2.3.1) conformemente a quanto anche stabilito nel considerando 63 del Regolamento.

Pertanto, a fronte della dichiarata difficoltà di evadere la richiesta di esercizio dei diritti nei termini previsti dalla normativa, la Società non si è avvalsa della facoltà riconosciuta dal Regolamento di rivolgere all’interessato le opportune specificazioni.

Tantomeno ha informato l’istante dei motivi del ritardo con ciò venendo meno al rispetto della disposizione di cui all’art. 12, par. 3, del Regolamento laddove stabilisce che “tale termine [trenta giorni dal ricevimento della richiesta] può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il titolare del trattamento informa l’interessato di tale proroga e dei motivi del ritardo, entro un mese dal ricevimento della richiesta”.

3. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ai sensi dell’art. 58, par. 2, del Regolamento.

Per i suesposti motivi, l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento posto in essere dalla società, con riferimento al mancato riscontro all’istanza di accesso presentata dal reclamante, risulta infatti illecito, nei termini su esposti, in relazione agli artt. 12 e 15 del Regolamento.

Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento si dispone l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) Regolamento).

4. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. legge 24 novembre 1981 n. 689).

La violazione, accertata nei termini di cui in motivazione, non può essere considerata "minore", tenuto conto della natura, della gravità e della durata della violazione stessa, del grado di responsabilità e della maniera in cui l'autorità di controllo ha preso conoscenza della violazione (cons. 148 del Regolamento).

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

- in relazione alla natura, gravità e durata della violazione, sono stati considerati rilevanti la natura della violazione che ha riguardato l’esercizio dei diritti dell’interessato e il ritardo nel riscontro all’esercizio dei diritti;

- con riferimento al carattere colposo o doloso della violazione e al grado di responsabilità del titolare, si  è tenuto conto della condotta tenuta dalla Società che si è prontamente adeguata alle indicazioni rese nel corso del procedimento nonché la circostanza che la violazione ha riguardato un solo interessato;

- la cooperazione fornita nel corso dell’istruttoria e gli adeguamenti disposti nell’ottica della privacy by design e by default.

Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla Società con riferimento al bilancio ordinario d’esercizio per l’anno  2022. Da ultimo si tiene conto dell’entità delle sanzioni irrogate in casi analoghi.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Amazon Italia Transport s.r.l., la sanzione amministrativa del pagamento di una somma pari ad euro 40.000,00 (quarantamila).

In tale quadro si ritiene, altresì, in considerazione della tipologia delle violazioni accertate che hanno riguardato l’esercizio dei diritti dell’interessato, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante.

Si ritiene, altresì, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO, IL GARANTE

rileva l’illiceità del trattamento effettuato da Amazon Italia Transport s.r.l., in persona del legale rappresentante pro tempore, con sede legale in Viale Monte Grappa 3/5 - 20124 Milano (MI), C.F. 09598330968, ai sensi dell’art. 143 del Codice, per la violazione degli artt. 12 e 15 del Regolamento;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, a Amazon Italia Transport s.r.l., di pagare la somma di euro 40.000,00 (quarantamila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

quindi alla medesima Società di pagare la predetta somma di euro 40.000,00 (quarantamila) secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 16 novembre 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL VICE SEGRETARIO GENERALE
Filippi