[doc. web n. 9942133]

Provvedimento del 31 agosto 2023

Registro dei provvedimenti
n. 464 del 31 agosto 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTA la segnalazione inviata dal sig. XX in data 02/01/2021, ai sensi dell’art. 144 del Codice con cui è stata lamentata una violazione della disciplina in materia di protezione dei dati personali da parte della Assicurazioni in Genova s.r.l.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. L’attività istruttoria

Con la segnalazione inviata in data 02/01/2021, il sig. XX lamentava presunte violazioni del Regolamento e chiedeva l’intervento di questa Autorità, non avendo ricevuto riscontro da Assicurazioni in Genova s.r.l. (di seguito, la Società), in merito all’esercizio dei diritti in materia di protezione dei dati personali e, segnatamente, del diritto alla cancellazione dei propri dati personali, di cui all’art. 17 del Regolamento.

In particolare, il segnalante aveva formulato nei confronti della Società una richiesta di cancellazione dell’account di posta elettronica aziendale individualizzato (XX) “per cessazione del rapporto di lavoro come intermediario assicurativo avvenuto in data 07/11/2020”, nonché “l’attestazione che il titolare ha informato altri titolari di trattamento della richiesta dell’interessato di cancellare […] i suoi dati personali”.

Più specificatamente la richiesta riguardava:

a. “rimozione immediata account di posta elettronica XX”;

b. rimozione immediata degli archivi e qualunque copia esistente relativi all’account di posta elettronica XX;

c. adozione di accorgimenti tecnici per impedire la visualizzazione dei messaggi in arrivo;

d. adozione di un sistema automatico di re-indirizzamento alla nuova casella di posta […];

e. rimozione di fotografie riguardanti la mia persona presenti sul sito https://www.assicurazioniingenova.com/ o su altri siti social e/o aziendali facenti riferimento alla Società e/o agli Amministratori della stessa;

f.  formattazione dell’hard disk del computer HP Pro Desktop assegnato al medesimo”.

Con nota del 19/04/2021 (prot. n. 0021397/21), l’Ufficio invitata la Società a fornire informazioni in merito a quanto rappresentato nella segnalazione e in particolare a fornire chiarimenti riguardo alla persistente attività dell’account di posta elettronica del reclamante

La Società forniva riscontro alle richieste dell’Ufficio con nota del 18/05/2021, inviata in copia all’interessato, rappresentando, tra l’altro, che: “la segnalazione del [segnalante] fu dallo stesso formata a seguito della diffida rivoltagli dalla Assicurazioni in Genova Srl con pec dell’08.11.2020 e relativa all’astensione da atti di concorrenza sleale di cui si avevano già avuto riscontri” [nonché della] “richiesta della password di accesso al pc aziendale, che era stato fornito [al segnalante] per lo svolgimento della sua attività all’interno della nostra società e richiesta di comunicazione del nome utente e della password per accedere ad una partizione della memoria, non autorizzata e non avente ragione di esistere, il cui accesso è protetto da password criptata conosciuta solo [dal segnalante]”.

Osservava, inoltre, la Società che:

- “la email a cui attengono le richieste del [segnalante …] era mail aziendale […] e ha di fatto interessato pochissime email – nemmeno una decina – provenienti da clienti dell’Agenzia e nessuna di carattere privato […]”;

- “il fatto che il pc e relativo account di posta elettronica fossero funzionali alla esclusiva attività di agenzia e soggetti a controllo per esigenze connesse ai servizi resi agli assicurati, era fatto chiarito al sig. [segnalante] in occasione dell’avvio della sua collaborazione […] con la ns società e da lui talmente noto e condiviso, che lo stesso replicava alla richiesta di password di accesso al pc fornitogli dalla scrivente affermando che: “Al momento in cui ho lasciato definitivamente l’ufficio l’utenza era unica e la password era “XX” o “xx”, come Le ho notificato verbalmente e tramite supporto cartaceo (post-it fucsia) applicato sul monitor presente sulla scrivania a me assegnata.”

- “Non esisteva di tale account di posta elettronica nessuna forma di archivio, nessuna copia né back up.”

- “Quanto alla richiesta di reindirizzamento della posta v/ un indirizzo privato del [segnalante], stante il fatto che trattavasi di corrispondenza relativa a clienti e pratiche dell’Agenzia e non privata del [segnalante], la sua richiesta era ingiustificata […]”;

-  “la richiesta di formattazione del pc, anch’essa è destituita di fondamento, in quanto trattasi di bene di proprietà della Assicurazioni in Genova.”

- “Inoltre, non essendo noto il contenuto della partizione della memoria del computer creata dal [segnalante] senza alcun motivo né tantomeno autorizzazione, ma anzi a nostra insaputa e trovandosi la stessa su pc di proprietà della scrivente società, la stessa è esposta al rischio di - in oggi - ignote corresponsabilità, che rendono peraltro necessario procedere ad esame peritale da parte dell’Autorità Giudiziaria”.

Alla predetta nota, la Società allegava copia della corrispondenza scambiata via pec con il segnalante nei giorni successivi alle dimissioni dello stesso.

In relazione a tali riscontri, l’Ufficio inviava una richiesta di ulteriori informazioni il 17/02/2022 (reiterata con nota del 19/09/2022), finalizzata, in particolare, a chiarire: l’ultrattività (o meno) dell’account del segnalante; l’esistenza (o meno) di una policy/regolamento aziendale che disciplinasse l’uso degli strumenti aziendali, inclusi i possibili controlli sugli account di posta elettronica, nonché a chiarire se la relativa informativa fosse stata resa all’interessato e con quali modalità.

A riguardo, la Società forniva riscontro con nota del 4/10/2022, dichiarando, altresì, che:

- “l’account aziendale in uso al [segnante] fu disattivato a seguito della sua richiesta in tal senso. Per quanto riguarda la data esatta di disattivazione, richiesta tale informazione alla società che gestisce il dominio, la stessa ci ha riferito che non è in grado di fornire tale informazione [si allega risposta]”;

- “quanto alla informativa relativa alla privacy e all’uso dei mezzi di lavoro, premesso che la ns Agenzia è una realtà di dimensioni estremamente limitate (3 soli dipendenti […] ed alcuni collaboratori autonomi fra cui per l’appunto lo stesso [segnalante]) ciò ci consente e consentiva, all’atto della instaurazione di un rapporto di collaborazione, di specificare, in apposito colloquio individuale, gli obblighi ed i diritti connessi alla privacy sia rispetto ai dati della clientela, che rispetto a quella dei soggetti che, a diverso titolo, prestano la loro attività lavorativa in favore della nostra società.”

- “In particolare, veniva raccomandato di non utilizzare l’account aziendale per fini extra lavorativi e ciò a maggior ragione veniva richiesto ai collaboratori liberi professionisti […e] li si invitava a non utilizzare strumenti aziendali a fini personali […]”;

- “i dati relativi al [segnalante] vengono ancora conservati per quanto risultanti dai documenti che, per obbligo di Legge, siamo tenuti a conservare (ad esempio le fatture da lui emesse nei nostri confronti) […], nessun altro uso di tali dati viene effettuato dalla ns Società”;

- “i dati personali del [segnalante] non sono stati comunicati a nessuno, né sono a noi pervenute richieste di comunicazione degli stessi”;

- “la contestazione di pratiche di concorrenza sleale nei confronti della nostra società è stata sollevata nell’ambito di vertenza giudiziale insorta con il [segnalante] e a tutt’oggi pendente nanti il Tribunale di Genova RG XXXX/2021”.

Al riscontro venivano allegati due documenti, denominati “dichiarazione delle impiegate in merito all’utilizzo dell’e-mail”, corredati di carta di identità e firmati da due impiegate in cui le stesse dichiaravano che “al momento dell’assunzione presso la società Assicurazioni in Genova s.r.l. mi sono state affidate delle e-mail aziendali da utilizzare esclusivamente per scopi lavorativi”.

2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e le deduzioni della Società

Per quanto sopra, l’Ufficio provvedeva a notificare alla società l’atto di avvio del procedimento, ai sensi dell’art. 166, comma 5, del Codice, in relazione alla violazione degli artt. 5, par. 1, lett. a), c) ed e), 12 (anche in relazione all’art. 17) e 13 del Regolamento (prot. n. 16516 del 31/01/2023).

La Società, in data 01/03/2023, inviava i propri scritti difensivi, ribadendo, sostanzialmente, quanto affermato nei precedenti riscontri all’Ufficio e precisando che:

“la richiesta di cancellazione dell’account aziendale in uso al collaboratore-libero professionista [segnalante] venne dallo stesso formulata, non in occasione della cessazione del rapporto di lavoro […] ma solo successivamente alla diffida con cui la ns società contestava allo stesso atti di concorrenza sleale poi sfociati in una domanda giudiziale”;

“come dichiarò lo stesso [segnalante] nella sua risposta del 21.11.2020 in replica alla diffida da noi rivoltagli, egli avrebbe addirittura lasciato la password del pc aziendale in suo uso su un <<supporto cartaceo (post-it fucsia) applicato sul monitor presente sulla scrivania a me assegnata>>, affermazione che depone in senso contrario alla eventuale (e contestata) coscienza del [segnalante] di aver lasciato nella disponibilità/accessibilità di Assicurazioni in Genova informazioni attinenti alla sua sfera personale”;

“si evidenzia che il [segnalante] non ha saputo indicare un solo episodio nel quale si sarebbe perpetrata in concreto una violazione della sua sfera privata e ciò in quanto e come già rappresentato, proprio per le caratteristiche del suo rapporto con la nostra società, essendo libero professionista, egli aveva libertà di espletare la sua collaborazione in modo del tutto autogestito, in particolare, senza necessità di sua presenza fisica presso i ns locali […] e con totale libertà di avvalersi di mezzi di comunicazione estranei a quelli da noi messi a sua disposizione solo ed esclusivamente per corrispondere con ns assicurati in merito alle relative polizze”;

“anche rispetto alla data di disattivazione dell’account aziendale di cui si discute, la nostra società ha dimostrato di essersi attivata al fine di ottenere prova documentale (ed imparziale) dell’informazione da Voi richiesta, mediante allegazione della richiesta al dominio di competenza. L’impossibilità oggettiva rappresentata dal gestore del dominio di reperimento del dato, non priva comunque di valore la condotta della ns società che, nella consapevolezza di aver dato seguito alla richiesta del [segnalante], si “esponeva” interrogando il dominio ed in ciò dimostrando la sua buona fede”;

“quanto sopra si ritiene possa essere idoneo a dimostrare la strumentalità della richiesta oggetto di segnalazione nell’ambito di una controversia di ben più ampio respiro caratterizzata dal riscontro, da parte di Assicurazioni in Genova, di atti di concorrenza sleale, vicenda rispetto alla quale sono già state fornite a questa Autorità:

• le diffide al tempo inoltrate al [segnalante];

•  la schermata che dava atto di una ripartizione interna di memoria creata dal [segnalante] all’interno del pc in suo uso e non autorizzata;

• e per la quale ancora si allegano:

• la dichiarazione di uno dei clienti di Assicurazioni in Genova (sig. XX) contattati dal [segnalante] tre mesi dopo la cessazione - per sua iniziativa - dal rapporto di collaborazione con la ns società in favore di XX Assicurazioni, ossia una delle compagnie assicurative […] per la quale il [segnalante] prestava già attività solo dopo 11 gg dalla cessazione del rapporto con Assicurazioni in Genova”.

3. L’esito dell’istruttoria e le valutazioni dell’Autorità

Alla luce delle risultanze istruttorie e, in particolare, dell’esame della documentazione prodotta nel corso del procedimento, risulta che la Assicurazioni in Genova s.r.l., in qualità di titolare, ha effettuato trattamenti di dati personali riferiti al segnalante non conformi alla disciplina in materia di protezione dei dati personali, riguardo alla quale, preliminarmente, si osserva quanto segue.

Il titolare del trattamento, in base alla normativa vigente, è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” (art. 4 (7) del Regolamento).

Il titolare del trattamento, in base all’art. 13 del Regolamento, prima di effettuare il trattamento, fornisce all’interessato, nel momento in cui i dati sono ottenuti, “tutte le informazioni relative alle caratteristiche essenziali del trattamento”. Nell’ambito del rapporto di lavoro informare compiutamente il lavoratore sul trattamento dei suoi dati è anche espressione del principio generale di correttezza e trasparenza dei trattamenti (v. art. 5, par. 1, lett. a) del Regolamento).

L’art. 12 del Regolamento, da leggere in combinato disposto con le norme relative agli specifici diritti riconosciuti all’interessato, dispone che “il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro” (par. 1) e che “il titolare del trattamento agevola l’esercizio dei diritti dell’interessato ai sensi degli articoli da 15 a 22” (par. 2).

Lo stesso art. 12 (par. 3) dispone che “Il titolare del trattamento fornisce all'interessato le informazioni relative all'azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il titolare del trattamento informa l'interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta”.

Inoltre, il titolare del trattamento, qualora non ottemperi all’istanza dell’interessato, “informa l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale” (art. 12, par. 4).

In base all’art. 17 del Regolamento, “l'interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l'obbligo di cancellare senza ingiustificato ritardo i dati personali” se sussiste uno dei motivi ivi indicati (tra i quali: “i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati” oppure “i dati personali sono stati trattati illecitamente”).

Infine, si rammenta che la disciplina in materia di protezione dei dati personali stabilisce che un trattamento di dati deve essere attuato secondo i principi indicati all’art. 5 del Regolamento (e.g., correttezza, trasparenza, finalità limitate, minimizzazione, esattezza, integrità e riservatezza dei dati) e che, per essere lecito, deve fondarsi su una chiara base giuridica (art. 6 del Regolamento).

La violazione delle predette disposizioni rende applicabili, qualora ricorrano i presupposti previsti dalla legge, i poteri correttivi previsti dall’art. 58 par. 2 del Regolamento .
In base agli elementi acquisiti nel corso dell’attività istruttoria, si deve ritenere che i trattamenti effettuati dalla Società configurino una violazione della disciplina applicabile nei termini di seguito specificati.

3.1. Mancato riscontro all’istanza di esercizio dei diritti

Innanzitutto, risulta che la Società non ha fornito riscontro nei termini all’istanza di esercizio dei diritti presentata dall’interessato.

Solo a seguito della segnalazione all’Autorità e dell’avvio dell’istruttoria preliminare da parte di quest’ultima, la Società ha infatti inviato un riscontro anche all’interessato. Come ricordato nel paragrafo precedente, ai sensi dell’art. 12, para. 4, il titolare è invece tenuto a dare conto all’interessato, entro un mese, di eventuali motivi di inottemperanza (v. anche Art. 2-undecies, comma 3, del Codice), cosa non avvenuta nel caso di specie.

Ciò risulta in contrasto con l’obbligo di fornire riscontro all’interessato, a seguito dell’esercizio di uno dei diritti previsti dal Regolamento - nel caso di specie il diritto di cancellazione dei dati propri dati personali, ai sensi dell’art. 17 - così come prescritto dall’art. 12 del Regolamento, sopra richiamato.

3.2. Violazione del principio di minimizzazione, necessità e conservazione limitata, integrità e riservatezza dei dati personali

Riguardo all’account di posta aziendale, con riferimento all’affermazione della Società secondo cui “l’account in uso al [segnalante] [XX] fu disattivato a seguito della sua richiesta in tal senso […]”, si rileva che la Società non è stata in grado di fornire la data esatta di disattivazione, come dalla stessa riferito (“richiesta tale informazione alla società che gestisce il dominio, la stessa ci ha riferito che non è in grado di fornire tale informazione”, v. nota del 4/10/2022, cit. pag. 1).

Tuttavia, nel primo riscontro fornito (v. nota del 18/05/2021) è stato rappresentato che “la email a cui attengono le richieste del [segnalante…] è stata tenuta attiva al solo fine di non interrompere il servizio nei confronti degli assicurati […]”.

Peraltro, dalla documentazione in atti prodotta dalla stessa Società, premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice, è emerso che la stessa, anche dopo la cessazione del rapporto di lavoro con l’interessato (avvenuta il 7/11/2020), ha mantenuto attivo l’account di posta elettronica di tipo individualizzato (XX), quanto meno fino al 21/11/2020, data di presentazione dell’istanza di cancellazione da parte dell’interessato nei confronti del titolare: la Società ha quindi potuto accedere alle comunicazioni elettroniche pervenute sul medesimo account anche dopo la cessazione del rapporto di lavoro dell’interessato.

Il trattamento dei dati contenuti in un account di posta elettronica aziendale di tipo individualizzato configura un’operazione che consente di conoscere informazioni personali dell’interessato, come più volte sottolineato dal Garante e pertanto deve essere effettuato in conformità ai principi fondamentali della normativa in materia.

La finalità (pur legittima) di mantenere i contatti con i propri clienti per lo svolgimento della propria attività, si sarebbe potuta perseguire con trattamenti meno invasivi e, quindi, conformi alla disciplina di protezione dei dati, rispetto a quello posto in essere nel caso di specie.

In particolare, il Garante ha ritenuto che possa considerarsi conforme ai principi di necessità, pertinenza e non eccedenza la condotta del titolare che provveda, dopo la cessazione del rapporto di lavoro dell’interessato, alla rimozione del relativo account, previa disattivazione dello stesso e contestuale adozione di sistemi automatici atti a informarne i terzi e a fornire a questi ultimi indirizzi di posta elettronica alternativi riferiti all’attività professionale del medesimo titolare (non dell’interessato). Nel caso di specie, nessun sistema di risposta automatico è stato attivato.

A riguardo, il Garante ha adottato specifiche linee guida in materia (cfr. “Linee guida per posta elettronica e internet, del 10 marzo 2007 [doc. web n. 1387522]) e si è pronunciato in diversi provvedimenti relativi al trattamento di dati personali effettuato sugli account di posta elettronica aziendale (cfr., mutatis mutandis, i numerosi provvedimenti in materia di trattamento effettuato sulle e-mail di dipendenti ed ex dipendenti, tra cui: Provvedimento del 30 luglio 2015, n. 456 [doc. web n. 4298277]; Provvedimento del 4 dicembre 2019, n. 216, [doc. web n. 9215890]; Provvedimento del 9 luglio 2020 [doc. web n. 9474649]; Provvedimento del 29 ottobre 2020 [doc. web n. 9518890]; Provvedimento del 29 settembre 2021 [doc-web n. 9719914]; Provvedimento del 16 dicembre 2021, n. 440 [doc. web n. 9739653]); Provvedimento del 9 marzo 2023 n. 68 [doc. web n. 9877754] e Provvedimento del 23 marzo 2023, n.93 [doc. web n. 9888206]).

Peraltro, secondo l’orientamento costante della Corte europea dei diritti dell’Uomo, la protezione della vita privata si estende anche all’ambito lavorativo, dato che proprio in occasione dello svolgimento di attività lavorative/professionali si sviluppano relazioni dove si esplica la personalità del lavoratore e non potendo essere sempre tracciata con chiarezza la linea di confine tra ambito lavorativo e ambito strettamente privato, la Corte ritiene applicabile l’art. 8 della CEDU a tutela della vita privata, senza distinguere tra sfera privata e sfera professionale (v. Niemietz c. Allemagne, 16.12.92; Copland v. UK, 03.04.2007; Barbulescu v. Romania, 5.9.2017).

In merito poi alla dichiarazione secondo cui la segnalazione al Garante da parte dell’interessato “venne dallo stesso formulata […] solo successivamente alla diffida con cui la ns società contestava allo stesso atti di concorrenza sleale poi sfociati in una domanda giudiziale”, si rileva che la descritta circostanza non inficia la legittimità dell’esercizio dei diritti da parte dell’interessato.

I diritti di cui agli artt. da 15 a 22 del Regolamento (incluso il diritto alla cancellazione dei dati, ex art. 17) posso essere esercitati senza necessità di motivazione ed essere limitati solo alle condizioni indicate nei medesimi articoli.

Peraltro, come già più volte illustrato da questa Autorità, il legittimo interesse a trattare dati personali per difendere un proprio diritto in sede giudiziaria non può comportare per se un annullamento del diritto alla protezione dei dati personali, considerato, peraltro, che il contenuto dei messaggi di posta elettronica, come pure i dati esteriori delle comunicazioni e gli allegati, riguardano forme di corrispondenza la cui segretezza è tutelata anche costituzionalmente (art. 2 e 15 Cost.).

Si rileva che tali principi risultano applicabili anche (o meglio, a fortiori) con riferimento a relazioni collegate all’ambito lavorativo, che pur non caratterizzate da una relazione di dipendenza, tipica del rapporto di lavoro subordinato, attribuiscono comunque, al titolare del trattamento, un ampio potere organizzativo, elemento sussistente anche nel caso di specie in quanto la condotta ha riguardato l’account di posta elettronica assegnato all’interessato nel contesto di un rapporto di collaborazione.

Il trattamento di cui sopra, risulta, quindi, in contrasto con i principi di necessità, minimizzazione e conservazione limitata, integrità e riservatezza dei dati personali (art. 5, par. 1, lett. c), e) ed f) del Regolamento).

3.3. Violazione dell’obbligo di informativa

Il trattamento di dati personali attraverso l’account di posta aziendale da parte della Società, inoltre, è stato effettuato senza fornire un’idonea informativa all’interessato, ai sensi dell’art. 13 del Regolamento.

In particolare, non risulta che l’interessato fosse stato previamente informato, in modo adeguato, delle modalità di funzionamento e gestione della posta elettronica da parte della Società, sia durante che dopo la cessazione del rapporto di lavoro.

In proposito la Società non ha infatti fornito documentazione idonea a dimostrare l’adempimento di quanto previsto dall’art. 13 del Regolamento, non potendosi ritenere sufficiente a soddisfare gli obblighi di informativa quanto dichiarato dalla stessa, ovvero che “[essendo] la ns Agenzia è una realtà di dimensioni estremamente limitate […] ciò ci consente e consentiva, all’atto della instaurazione di un rapporto di collaborazione, di specificare, in apposito colloquio individuale, gli obblighi ed i diritti connessi alla privacy sia rispetto ai dati della clientela, che rispetto a quella dei soggetti che, a diverso titolo, prestano la loro attività lavorativa in favore della nostra società”, o che “veniva raccomandato di non utilizzare l’account aziendale per fini extra lavorativi e ciò a maggior ragione veniva richiesto ai collaboratori liberi professionisti […e] li si invitava a non utilizzare strumenti aziendali a fini personali […]”.

Né può essere tenuta in conto la documentazione in atto con cui la Società si è limitata a far firmare un foglio a due impiegate (peraltro con data successiva alla richiesta di ulteriori informazioni dell’Ufficio) in cui le stesse dichiarano che sono state affidate alle stesse “delle email aziendali da utilizzare esclusivamente per scopi lavorativi”.

Come più volte ribadito da questa Autorità, l’informativa deve riguardare le modalità e i tempi di conservazione dei contenuti e dei file di log relativi alla posta elettronica in transito sugli account aziendali, nonché le operazioni di trattamento eventualmente effettuate per finalità di fornitura del servizio (provv. del 30 luglio 2015 n. 456, cit.).

La condotta descritta risulta in contrasto, quindi, con quanto previsto dall’art. 13 e dall’art. 12, para. 1, del Regolamento, sopra richiamati (cfr. infra para. 3).

Inoltre, si rileva che l’obbligo di informare il soggetto che presta attività di collaborazione, nell’ambito del rapporto di lavoro, costituisce diretta espressione del principio generale di correttezza e trasparenza (v. art. 5, par. 1, lett. a) del Regolamento).

4. Conclusioni

Per i suesposti motivi questa Autorità ritiene che la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Mentre si deve ritenere soddisfatta la richiesta di cancellazione dei dati, per cui non è, allo stato, necessario adottare un provvedimento correttivo a riguardo, tuttavia, il trattamento dei dati personali effettuato dalla Società mediante posta elettronica aziendale e segnatamente l’accesso all’account di posta elettronica individualizzato assegnato all’interessato (seppur per un limitato lasso di tempo),  accompagnato dall’assenza di informativa sulla gestione della posta aziendale, risulta illecito, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a), c), e), f) e 12 e 13 del Regolamento.

Pertanto, considerati i vari elementi della condotta nel loro complesso, che inducono a qualificare il caso come “violazione minore”, ai sensi dell’art. 83, par. 2 e del Considerando 148 del Regolamento, nell’esercizio dei poteri correttivi attribuiti all’Autorità ai sensi dell’art. 58, par. 2, del Regolamento, si ritiene sufficiente disporre la misura dell’ammonimento per la violazione degli artt. 5, par. 1, lett. a) c) e) ed f), 12 e 13 da parte della Assicurazioni in Genova s.r.l.

A tal fine, sono state tenute in considerazione le seguenti circostanze:

la natura della violazione, che ha riguardato, tra l’altro, i principi generali (in particolare, i principi di correttezza, trasparenza e minimizzazione) gli obblighi del titolare (informativa) e l’esercizio dei diritti (adeguato riscontro all’istanza di cancellazione);

a favore, sono state considerate le ridotte dimensioni della società (circa 3 dipendenti, oltre a qualche collaboratore, tra cui l’interessato), nonché l’assenza di precedenti violazioni pertinenti commesse dal titolare del trattamento;

sempre a favore, è stata considerata la durata limitata della violazione (circa due settimane), il fatto che il trattamento ha riguardato un solo interessato e l’avvenuta cancellazione dell’account di posta elettronica richiesta dall’interessato;

il grado sufficiente di collaborazione con l’Autorità (pur essendo stato necessario inviare un sollecito dopo la richiesta di ulteriori informazioni);

sono state, inoltre, prese in considerazione le condizioni economiche del titolare del trattamento, determinate in base ai ricavi conseguiti e riferiti al bilancio d’esercizio per l’anno 2021 (ultimo disponibile);

In tale quadro, anche in considerazione della violazione accertata, si ritiene che, ai sensi dell’art. 37, comma 1, del regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito internet del Garante.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

a) ai sensi degli artt. 57, par. 1, lett. f) del Regolamento, dichiara l’illiceità del trattamento effettuato, nei termini di cui in motivazione;

b) ai sensi dell’art. 57, par. 1, lett. d) del Regolamento, invita Assicurazioni in Genova s.r.l. ad una scrupolosa e costante osservanza della normativa in materia di protezione dei dati personali e in particolare delle indicazioni fornite da questa Autorità in materia di trattamenti di dati relativi alla posta elettronica dei dipendenti ed ex dipendenti sia nelle linee guida che nei relativi provvedimenti;

c) ai sensi dell’art. 58, par. 2, lett. b), del Regolamento, ammonisce “Assicurazioni in Genova s.r.l.”, con sede legale in Genova, piazza Colombo 4/15, 16121, P.I. 02183490990 per le violazioni della normativa in materia, di cui in motivazione;

d) ai sensi dell’art. 37, comma 1, del regolamento del Garante n. 1/2019, dispone la pubblicazione del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del regolamento n. 1/2019.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 31 agosto 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei