Provvedimento del 16 novembre 2023 [9960854]

Ascolta

Stampa Stampa

Trasforma contenuto in PDF

VEDI Newsletter del 15 dicembre 2023

[doc. web n. 9960854]

Provvedimento del 16 novembre 2023

Registro dei provvedimenti
n. 529 del 16 novembre 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTI i reclami presentati ai sensi dell’art. 77 del Regolamento da cinquanta dipendenti nei confronti di Autostrade per l’Italia S.p.A.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

PREMESSO

1. I reclami nei confronti della società e l’attività istruttoria.

I signori XX, XX, XX, XX, XX, XX, XX, XX ,XX, XX, XX, XX, XX, XX, XX,XX, XX, XX, XX, XX, XX, XX, XX, XX, XX, XX, XX, XX, XX, XX, XX XX, XX, XX, XX, XX, XX, XX, XX, XX, XX, XX, XX, XX, XX, XX, XX, XX, XX XX hanno presentato a questa Autorità, in data 22 febbraio 2021, dieci reclami con cui sono state lamentate presunte violazioni del Regolamento da parte di Autostrade per l’Italia S.p.A. (di seguito, la Società), con particolare riferimento al mancato riscontro alle istanze di esercizio del diritto di accesso e di rettifica degli interessati ai propri dati personali relativi alle “voci rientranti nel calcolo della quota annuale di TFR e, in particolare, la frequenza e la modalità del riconoscimento in busta paga, nonché la logica di elaborazione delle stesse e la loro rilevanza ai fini degli accantonamenti delle quote di TFR” e ad una serie di specifiche informazioni relative al trattamento dei predetti dati.

Il Dipartimento, con nota del 22 aprile 2021, ha avviato il procedimento invitando la Società a comunicare la propria eventuale adesione spontanea alle istanze di esercizio dei diritti o comunque a fornire un riscontro sui fatti oggetto dei reclami.

Con nota del 25 maggio 2021, la Società ha dichiarato che:

- “ricevute dai […] reclamanti, in data 3.12.2020 e 9.12.2020, le istanze di accesso ai dati personali […], ha accertato […] che 1. Con riferimento all’accesso e all’acquisizione del trattamento dei dati personali consistenti nelle «voci rientranti nel calcolo della quota annuale di TFR e, in particolare, la frequenza e le modalità di riconoscimento in busta paga, nonché la logica di elaborazione nelle stesse e la loro rilevanza ai fini degli accantonamenti delle quote di TFR»” e gli altri dati richiesti “sono pendenti tra la […] Società e i reclamanti, [specifici] giudizi davanti al Tribunale di Roma, sezione lavoro […] promossi dai lavoratori, aventi ad oggetto il preteso errato accantonamento del Trattamento di Fine Rapporto. A dire dei reclamanti, il diritto vantato dinanzi al Giudice deriverebbe dal presunto carattere non occasionale di alcune voci retributive che la […] Società ha corrisposto, così come previsto dal contratto collettivo di categoria. È da evidenziare che, nel procedimento, gli odierni reclamanti hanno avanzato anche richiesta di esibizione delle buste paga, per cercare di ovviare al difetto di allegazione in cui sono incorsi, giuste le previsioni dell’art. 414 cod. proc. Civ. e dell’art. 2697 c.c.” (v. nota 25.5.2021 cit., p. 2);

-“considerato […] l’art. 2-undecies, comma 1, lett. e) del D. Lgs. 196/2003 […] alla […] Società è sembrato opportuno non procedere in merito al riscontro all’istanza dei […] reclamanti” (v. nota cit., p. 3);

- “con riferimento alla richiesta dei […] reclamanti in merito al mancato adempimento [della] Società a consentire loro l’accesso e/o l’acquisizione delle «buste paga», la […] Società fa presente che tutti i dipendenti, in ogni momento, come a loro stessi noto, hanno accesso alla propria documentazione retributiva mediante un applicativo informativo aziendale, fruibile sia tramite Intranet aziendale che mediante opportune postazioni (chioschi) per consentirne la fruizione a chi non accede alla detta intranet aziendale, con le credenziali di autenticazione fornite in dotazione a ciascuno di loro (user ID/numero di matricola e password); da tale applicativo, i documenti retributivi possono essere scaricati, in formato pdf, e stampati in modalità cartacea, su qualsiasi supporto elettronico” (v. nota cit., p. 3);

- “2. Con riferimento alla richiesta di riscontro alle informazioni […] in merito a: «a) il titolare del trattamento ed al responsabile della protezione dei dati; b) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento, e l’eventuale conservazione e/o trattamento; d) il fondamento giuridico dei trattamenti effettuati; e) la fonte da cui hanno origine i dati utilizzati ai fini dei trattamenti descritti; g) le modalità di conservazione dei dati retributivi e delle buste paga, nonché i soggetti che hanno accesso alle stesse» […] la […] Società fa presente che, come da procedura provvede, all’atto dell’assunzione, ad informare tutti i dipendenti sul trattamento dei dati personali e a fornire loro l’«informativa sul trattamento dei dati personali», ai sensi dell’art. 13 del GDPR, in modalità cartacea; tale informativa esplicita le modalità di raccolta e di utilizzo dei dati del dipendente per le finalità connesse alla gestione del rapporto di lavoro […]. Per tutta la vigenza del rapporto di lavoro, la […] Società informa tutti i dipendenti sugli aggiornamenti normativi e/o procedurali in materia di protezione dei dati personali, mediante comunicazione tramite i succitati applicativi ovvero con appositi corsi di formazione/aggiornamento, e rende disponibili ai dipendenti medesimi le Informative aggiornate presso la Direzione del personale (DHCO), e, dal 2018, anche presso il responsabile della protezione dei dati” (v. nota cit., p. 3);

- “per quanto attiene alla lamentela dei […] reclamanti in ordine alla mancata comunicazione di informazione sul trattamento dei dati personali al fine di esercitare i diritti di accesso, verifica e rettifica degli stessi, la […] società precisa che ha provveduto a fornire i […] reclamanti, all’atto dell’assunzione, ovvero durante la vigenza del rapporto di lavoro, dell’Informativa vigente a tale momento, e, successivamente, delle versioni aggiornate nelle modalità sopraindicate. Per quanto sopra, si è ritenuto che i […] reclamanti conoscessero già tutte le informazioni richieste nelle istanze succitate, tutte contenute, appunto, nell’anzidetta informativa” (v. nota cit., p. 3, 4);

- “per quanto attiene, nel dettaglio, alla tipologia dei dati trattati nel caso di cui si tratta, la […] Società, nel rispetto dei principi di correttezza e trasparenza, fornisce, di seguito, riscontro alla richiesta di informazioni sul trattamento dei dati personali dei […] reclamanti, comunicando che: - con riferimento alla richiesta di cui alla lett. a) […] il titolare del trattamento è Autostrade per l’Italia S.p.A. […] ed il Data protection Officer è domiciliato presso la sede della società e contattabile all’indirizzo di posta elettronica: dpo@pec.autostrade.it; - con riferimento alla richiesta di cui alla lett. b) […] la finalità del trattamento cui sono destinati i dati personali di che trattasi è la corretta gestione del rapporto di lavoro e dei connessi adempimenti di legge e di contratto in materia di diritto del lavoro e di previdenza sociale, come meglio dettagliato al punto 3 dell’informativa […]; la base giuridica è, ai sensi dell’art. 6, co. 1, lett. b) e c), e dell’art. 9, lett. b) del GDPR, l’esecuzione del rapporto contrattuale e l’adempimento di previsioni di legge e del contratto collettivo applicabile. Tali dati non vengono diffusi bensì solo messi a conoscenza ovvero comunicati (i) ai dipendenti «incaricati dal titolare ed autorizzati a compiere operazioni di trattamento» […] nonché (ii) a «soggetti terzi» quali, nel caso di specie, la società EssediEsse S.p.A., che è tenuta a trattare i dati personali per le medesime finalità di cui sopra ed è stata all’uopo nominata responsabile del trattamento, ai sensi dell’art. 28 GDPR. Tali dati personali sono trattati e/o conservati soltanto per il tempo necessario alle finalità per le quali vengono raccolti, nel rispetto del principio di minimizzazione ex art. 5.1, c) GDPR, ed, in particolare, per il tempo della vigenza del rapporto contrattuale e anche dopo la cessazione dello stesso, secondo i termini indicati al punto 5 della predetta informativa […]; con riferimento alla richiesta di cui alle lett. d) ed e) degli atti suindicati: il trattamento di tali dati personali trova fondamento nella base giuridica rappresentata al precedente alinea e gli stessi sono stati acquisiti direttamente dagli interessati all’atto di assunzione; - la conservazione dei dati retributivi avviene in modalità elettronica, mediante conservazione sostitutiva ai sensi della vigente normativa in materia, e i soggetti che vi hanno accesso sono i dipendenti del titolare, autorizzati dal titolare medesimo per le operazioni di trattamento nell’ambito delle attività di loro competenza, nonché la società Essediesse S.p.A., nominata responsabile del trattamento, che cura, per conto del titolare, in forza di apposito contratto di service, tutti gli adempimenti amministrativi, compreso il pagamento del corrispettivo mensile, con accredito sui conti correnti dei dipendenti. […] gli interessati hanno accesso alle buste paga mediante appositi applicativi, con proprie credenziali di autenticazione; - con riferimento […] alla richiesta di cui alle lett. c) ed f) degli atti suindicati, si rinvia a quanto già specificato al precedente punto 1” (v. nota cit., p. 4);

- “ritiene che quanto fin qui espresso possa costituire riscontro anche alle istanze dei […] reclamanti, ai quali la presente è anche indirizzata” (v. nota cit., p. 5).

In data 28 maggio 2021, i reclamanti hanno precisato che “alla luce del riscontro fornito da Autostrade per l'Italia Spa con Pec del 25 maggio 2021, di cui si contesta totalmente il contenuto, si ritiene che la Società non abbia adempiuto all'invito formulato dal Garante e, pertanto, si insiste nella richiesta di cui ai reclami del 22 febbraio 2021”.

A seguito di una richiesta di ulteriori chiarimenti del 16 luglio 2021, la Società, in data 11 agosto 2021, ha dichiarato che:

- “con il reclamo avanzato al Garante (ma prima ancora con la richiesta formulata alla Società), [i reclamanti] hanno cercato di ovviare all’evidente difetto di allegazione in cui sono incorsi nei predetti giudizi incardinati dinanzi al Giudice del lavoro di Roma” (v. nota 11.8.2021 cit., p. 2);

- “i reclamanti hanno avanzato la richiesta di cui si discute successivamente alla proposizione della domanda giudiziale ed all’esito della costituzione in giudizio di Autostrade, in cui è stato espressamente eccepito il difetto di allegazione” (v. nota cit., p. 2);

- “al caso in esame trova, comunque, applicazione quanto previsto dall’art. 140-bis, secondo comma, «Codice privacy» […]. Identità di oggetto risultante dal confronto tra il contenuto degli atti processuali con quello dei reclami avanzati” (v. nota cit., p. 3).

A seguito di una richiesta di informazioni del 21 ottobre 2022, la Società, il 15 novembre 2022, ha dichiarato che:

- “(per il tramite di EssediEsse S.p.A.) ha, a più riprese, comunicato ai dipendenti che è possibile accedere alla propria documentazione retributiva (rectius: buste paga e CUD), mediante un applicativo informatico aziendale, fruibile sia tramite Intranet aziendale che mediante postazioni presso i luoghi aziendali, con le credenziali fornite in dotazione. [Ciò] emerge dai documenti: 1. Comunicazione 12.9.2009, con oggetto «SAPHR – ESS – IMPORTANTE NOVITA’ – CEDOLINO ON LINE», con cui si informano i dipendenti che, a partire da settembre 2008, dopo una prima sperimentazione, è stata estesa a tutti «la possibilità di visualizzare on line il proprio cedolino paga», anche per i cedolini paga degli anni precedenti; sempre nella comunicazione sono chiarite le modalità di accesso, essendo stato evidenziato che «per operare, dovrai selezionare, all’interno dell’applicativo ESS, la scelta “documenti retributivi”» […]; 2. Comunicazione 20.3.2009, con oggetto «ESS IMPORTANTE NOVITA’: IL CUD 2010 E’ ON LINE», con cui si informano i dipendenti che è «a disposizione, on line, il CUD 2009»; sempre nella comunicazione si precisa: «come già avviene per il cedolino paga, questo documento potrà essere reperito nella sezione “documentazione retributiva” con le solite modalità operative» […]; 3. Comunicazioni che, ogni anno, sono state inviate per ribadire che il CUD è «on line» […]; 4. Comunicazione 21.2.2022, con cui si informa della «Nuova Funzionalità di lettura cedolini», allegando il «manuale» […]” (v. nota 15.11.2022 cit., p. 1);

- “si allega la «Procedura norme interne sulla privacy»” che indica, tra l’altro, “le modalità per la presentazione delle istanze di esercizio dei diritti (in particolare il diritto di accesso ex art. 15 del Regolamento)” (v. nota cit., p. 2);

- “nel caso in esame, dall’analisi della documentazione già acquisita nel corso del procedimento, emerge che i reclamanti hanno ritenuto di avanzare la richiesta, non nel rispetto delle modalità indicate nella procedura aziendale, ma per il tramite del proprio avvocato di fiducia, con una mail inviata all’indirizzo di posta elettronica certificata «istituzionale» di Autostrade per l’Italia” (v. nota cit., p. 4).

2. L’apertura del procedimento.

In data 6 marzo 2023, l’Ufficio, valutati tutti gli elementi acquisti nell’ambito dell’istruttoria, ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione alla Società delle presunte violazioni del Regolamento riscontrate, con riferimento agli artt. 12 e 15 del Regolamento.
In data 27 aprile 2023, la Società ha presentato i propri scritti difensivi nei quali ha rappresentato che:

- “i dati oggetto di richiesta ben potrebbero essere autonomamente reperiti dai reclamanti per il tramite del sistema c.d. «Employee Self Services», ovverosia una piattaforma messa a disposizione dalla Società in cui ciascun dipendente ha la possibilità di accedere, agevolmente e senza necessità dell’intervento di terzi, alle proprie buste paga e alle relative voci retributive” (v. nota 27.4.2023 cit., p. 3);

- “la scelta di non fornire un riscontro formale ai reclamanti (i.e. per il tramite del modulo di risposta di diniego previsto dalla policy interna della Società) ha, invero, trovato il suo fondamento, non già nella convinzione che questi ultimi fossero a conoscenza dei dati richiesti, bensì nel combinato disposto degli articoli 2-undecies, comma III, del Codice e 23, comma II, lett. h) del Regolamento […]. In particolare, ferma la […] necessità per [la Società] di limitare l’esercizio del diritto di accesso dei reclamanti al fine di non compromettere il proprio diritto di difesa in giudizio, la Società ha infatti ritenuto che una simile risposta espressa di diniego – o comunque di differimento – sarebbe stata certamente prodotta come mezzo di prova da parte dei reclamanti nel corso dei giudizi pendenti, al fine di ingenerare nel giudice la convinzione che [la Società], abusando della propria posizione di forza in qualità di datore di lavoro, stesse effettivamente compromettendo il diritto di produzione degli atti, con il concreto rischio che venisse accolta la richiesta di acquisizione dei dati e si vanificassero, di fatto, le ragioni stesse che hanno condotto la Società alla scelta di limitare il diritto di accesso agli stessi” (v. nota cit., p. 5, 6);

- la Società “ha comunque inteso fornire un tempestivo e motivato riscontro all’interno degli atti processuali e, in particolare, attraverso la propria memoria di comparsa e costituzione in cui si è fatta espressa opposizione «alla richiesta di acquisire dalla società convenuta i dati di erogazione e riconoscimento e la frequenza delle voci indicati in ricorso, in quanto meramente esplorativa e, comunque, tendente a sopperire alle evidenti lacune di allegazioni contenute nel ricorso, in violazione dell’art. 414 cod. proc. civ.» […], così di fatto motivando le ragioni sottese alla scelta della Società di non fornire accesso a tali dati e differendo una simile limitazione alla conclusione dei procedimenti pendenti; le medesime motivazioni sono poi state altresì debitamente fornite per il tramite dei Riscontri, che la Società ha indirizzato per opportuna conoscenza anche ai reclamanti. Sul punto, si osserva come l’art. 12, comma I, del Regolamento si limita infatti a richiedere ai titolari di fornire un riscontro «in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro», senza prevedere ulteriori requisiti circa le modalità e gli strumenti di risposta” (nota cit., p. 6);

- “laddove tuttavia codesta Autorità non reputi conformi le ragioni della Società di non chiarire la propria posizione per il tramite di una risposta formale agli interessati e di limitarsi a fornire un riscontro all’interno degli atti processuali, [la Società], con il massimo spirito di collaborazione, resta comunque certamente disponibile a porre in essere qualsivoglia differente misura ritenuta maggiormente idonea dall’Autorità” (nota cit., p. 6);

- in merito all’art. 83 par. 2 del Regolamento si precisa che “il trattamento oggetto di contestazione non coinvolge i dati di soggetti che, per loro natura, sarebbero maggiormente «vulnerabili»” (nota cit., p. 7);

- il trattamento “coinvolge un numero estremamente circoscritto di soggetti interessati, riguardando infatti solamente 50 di 5175 dipendenti in forza presso la Società” (nota cit., p. 7);

- “la violazione qui contestata non ha arrecato un danno ai soggetti interessati” (nota cit., p. 7);

- “tale condotta non ha comunque causato […] alcun danno fisico, materiale o immateriale […], trattandosi – al più – di un danno meramente informativo” (nota cit., p. 7);

- “in fase di decisione circa la necessità di limitare il diritto di accesso degli interessati e di non comunicare tale limitazione per il tramite di un formale modulo di risposta di diniego, [la Società] non ha certamente avuto alcun esplicito intento di violare le disposizioni di legge applicabili, trattandosi, se del caso, di un mero errore umano di valutazione” (v. nota cit., p. 8);

- “non appena l’Autorità ha comunicato a[lla Società] l’avvio del procedimento e ha chiesto di «comunicare la propria eventuale adesione spontanea alle istanze di accesso o comunque a fornire un riscontro sui fatti oggetto dei reclami», quest’ultima ha effettivamente fornito un riscontro puntuale e motivato, peraltro indirizzato anche agli stessi soggetti interessati, in cui ha ulteriormente chiarito, […], la propria posizione in merito alla limitazione del diritto di accesso ai dati. Riteniamo che un simile atteggiamento di collaborazione, volto a porre rimedio alla situazione originaria viziata e ad attenuare eventuali pregiudizi informativi subìti dagli interessati, dovrebbe essere valutato alla luce di quanto indicato nelle Linee Guida WP253” (v. nota cit., p. 8);

- la Società “ha implementato ogni misura tecnica e organizzativa richiesta ex artt. 25 e 32 del Regolamento” (v. nota cit., p. 8);

- la Società “ha altresì implementato specifiche procedure interne volte a gestire il corretto e tempestivo esercizio del diritto di accesso degli interessati” (v. nota cit., p. 9);

- “nel corso della propria attività [la Società] ha riscontrato tempestivamente e adeguatamente tutte le richieste pervenute dai soggetti interessati (ca. 2900 dal 2021 a oggi)” (v. nota cit., p. 9);

- “i dati personali oggetto del trattamento qui contestato sono dati c.d. «comuni»” (v. nota cit., p. 9);

- “l’Autorità di controllo è venuta a conoscenza della violazione prospettata per il tramite di reclami da parte dei soggetti interessati” (v. nota cit., p. 10);

- la Società “non ha conseguito alcun beneficio economico dalla condotta qui contestata” (v. nota cit., p. 10);

- “de[vono] essere prese in considerazione le tempistiche con cui l’Autorità ha condotto l’attività ispettiva e, in particolare, ha notificato la prospettata violazione in oggetto alla Società. Si ritiene, infatti, che il decorrere di un prolungato lasso di tempo tra l’ultima comunicazione [della Società] all’Autorità (15.11.2022) e l’invio della comunicazione in oggetto (06.03.2023), abbiano inevitabilmente ingenerato [nella Società] la convinzione che la condotta qui contestata fosse stata ritenuta conforme dall’Autorità” (v. nota cit., p. 10);

- “tale violazione è stata notificata […] solamente il 06.03.2023, ben oltre il termine di novanta giorni previsto dalla legge decorrente dalla conclusione dell’attività ispettiva” (v. nota cit., p. 11).

3. L’esito dell’istruttoria.

3.1. Fatti accertati e osservazioni sulla normativa in materia di protezione dei dati personali.

Premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”, in base agli elementi acquisiti nel corso dell’attività istruttoria (richiamati nel precedente paragrafo 1) nonché delle successive valutazioni di questo Dipartimento, risulta accertato che la Società, in qualità di titolare, ha tenuto una condotta non conforme alla disciplina in materia di protezione dei dati con riferimento all’esercizio del diritto di accesso, non fornendo alcun riscontro alle istanze presentate dai reclamanti.

In proposito, si richiama l’art. 12 del Regolamento, da leggere anche in combinato disposto con le norme relative agli specifici diritti riconosciuti dall’ordinamento all’interessato, in base al quale “il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro […]. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovato con altri mezzi l’identità dell’interessato” (par. 1).

Si prevede inoltre che “il titolare del trattamento agevola l’esercizio dei diritti dell’interessato ai sensi degli articoli da 15 a 22” (par. 2).

Il paragrafo 3 del medesimo articolo precisa che “il titolare del trattamento fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il titolare del trattamento informa l’interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta. Se l’interessato presenta la richiesta mediante mezzi elettronici, le informazioni sono fornite, ove possibile, con mezzi elettronici, salvo diversa indicazione dell’interessato”.

In base al paragrafo 4 del medesimo articolo, il titolare del trattamento, qualora non ottemperi all’istanza, “informa l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale”.

L’art. 15 del Regolamento prevede che “l’interessato ha diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali” e a una serie di informazioni indicate nello stesso articolo (par. 1).

Inoltre, in base al par. 3 del medesimo articolo, “il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento. […] Se l’interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dall’interessato, le informazioni sono fornite in un formato elettronico e di uso comune” (par. 3).

3.2. Violazioni accertate.

Nel merito, dagli atti dell’istruttoria si rileva che la Società, a seguito della presentazione delle istanze di esercizio dei diritti, in data 3 dicembre 2020, da parte di alcuni reclamanti e, in data 9 dicembre 2020, da parte di altri, non ha fornito loro alcun riscontro, neanche per comunicare l’inottemperanza alle richieste stesse.

Solo a seguito della presentazione dei reclami in esame e, quindi, dell’apertura dell’istruttoria nei suoi confronti, la Società ha dichiarato al Dipartimento, inviando il riscontro anche ai reclamanti, di non avere ritenuto “opportuno” rispondere alle istanze di esercizio dei diritti considerato quanto previsto dall’art. 2-undecies, comma 1, lett. e) del Codice.

Ciò visto che, al momento della presentazione delle istanze, pendevano diversi procedimenti dinanzi al giudice ordinario tra la stessa e i reclamanti aventi ad oggetto “il preteso errato accantonamento del Trattamento di Fine Rapporto”.

In particolare, la Società, per tutelare il proprio diritto di difesa in giudizio, ha ritenuto necessario non fornire neppure una risposta di diniego - o comunque di differimento - in quanto la stessa “sarebbe stata certamente prodotta come mezzo di prova da parte dei reclamanti nel corso dei giudizi pendenti, al fine di ingenerare nel giudice la convinzione che [la Società], abusando della propria posizione di forza in qualità di datore di lavoro, stesse effettivamente compromettendo il diritto di produzione degli atti, con il concreto rischio che venisse accolta la richiesta di acquisizione dei dati e si vanificassero, di fatto, le ragioni stesse che hanno condotto la Società alla scelta di limitare il diritto di accesso agli stessi” (v. nota 27.4.2023, cit., p. 5, 6).

La Società, sempre nel corso dell’istruttoria, ha comunicato alcune delle informazioni richieste dai reclamanti con le istanze di esercizio dei diritti, senza, però, fornire un riscontro completo.

La descritta condotta della Società è stata posta in essere in violazione degli artt. 12 e 15 del Regolamento per i motivi di seguito indicati.

Per quanto riguarda quei dati che la Società ha dichiarato “essere autonomamente reperiti dai reclamanti per il tramite del sistema c.d. «Employee Self Services»” (v. scritti difensivi del 27.4.2023, p. 3) che comunque, si osserva, non esaurivano l’oggetto delle istanze dei reclamanti, - la Società avrebbe dovuto fornire un riscontro ai reclamanti, seppur con la mera indicazione della piattaforma sulla quale reperire i dati richiesti; ciò, anche considerato che la circostanza della disponibilità di quei dati appare incompatibile con la tesi della Società secondo la quale dall’esercizio dei diritti degli interessati potesse derivare un pregiudizio effettivo e concreto all’esercizio di un diritto in sede giudiziaria (caso di limitazione dell’esercizio dei diritti prevista dall’art. 2-undecies comma 3 lett. e) del Codice). Con riferimento a questi specifici dati, quindi, non poteva, in concreto, ritenersi sussistente il presupposto per invocare la lett. e) del comma 3 dell’art. 2-undecies citato.

Tra l’altro, in proposito, si rammenta l’orientamento della giurisprudenza di legittimità, ripreso costantemente dal Garante, in base al quale la posizione giuridica soggettiva del lavoratore di accedere al proprio fascicolo personale costituisce un diritto soggettivo tutelabile in quanto tale che trae la sua fonte dal rapporto di lavoro.

Secondo i giudici di legittimità, infatti, il suddetto diritto deriva, oltre che dalla normativa in materia di protezione dei dati personali, dal “rispetto dei canoni di buona fede e correttezza che incombe sulle parti del rapporto di lavoro ai sensi degli artt. 1175 e 1375 c.c., come del resto è confermato dal fatto che, da tempo, la contrattazione collettiva del settore in oggetto prevede che l'azienda datrice di lavoro debba conservare, in un apposito fascicolo personale, tutti gli atti e i documenti, prodotti dall'ente o dallo stesso dipendente, che attengono al percorso professionale, all'attività svolta ed ai fatti più significativi che lo riguardano e che il dipendente ha diritto di prendere visione liberamente degli atti e documenti inseriti nel proprio fascicolo personale” (Corte di Cass. 7 aprile 2016, n. 6775).

Il diritto di accesso, inoltre, “non può intendersi, in senso restrittivo, come il mero diritto alla conoscenza di eventuali dati nuovi ed ulteriori rispetto a quelli già entrati nel patrimonio di conoscenza e, quindi, nella disposizione dello stesso soggetto interessato al trattamento dei propri dati, atteso che lo scopo del [diritto] è garantire, a tutela della dignità e riservatezza del soggetto interessato, la verifica ratione temporis dell’avvenuto inserimento, della permanenza ovvero della rimozione di dati, indipendentemente dalla circostanza che tali eventi fossero già stati portati per altra via a conoscenza dell’interessato, verifica attuata mediante l’accesso ai dati raccolti sulla propria persona in ogni e qualsiasi momento della propria vita relazionale” (Corte di Cass. 14 dicembre 2018, n. 32533).

Relativamente, poi, “alla richiesta di riscontro alle informazioni […] in merito a: «a) il titolare del trattamento ed al responsabile della protezione dei dati; b) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento, e l’eventuale conservazione e/o trattamento; d) il fondamento giuridico dei trattamenti effettuati; e) la fonte da cui hanno origine i dati utilizzati ai fini dei trattamenti descritti; g) le modalità di conservazione dei dati retributivi e delle buste paga, nonché i soggetti che hanno accesso alle stesse»” la Società ha rappresentato che, all’atto dell’assunzione, informa i dipendenti sul trattamento dei dati personali, fornendo l’informativa ai sensi dell’art. 13 del Regolamento; ha inoltre dichiarato di comunicare gli aggiornamenti normativi e procedurali in materia di protezione dei dati, mediante gli applicativi messi a disposizione, con corsi di formazione e mettendo a disposizione le informative aggiornate presso la Direzione del personale e, dal 2018, anche presso il responsabile della protezione dei dati (v. nota 25.5.2021, p. 3).

In proposito, si rammenta che il diritto riconosciuto all’interessato di accedere ai propri dati oggetto di trattamento, nonché alle informazioni previste dall’art. 15 del Regolamento, in applicazione dei principi di trasparenza e correttezza (art. 5, par. 1, lett. a) del Regolamento), non può ritenersi soddisfatto attraverso il mero rinvio a quanto contenuto nell’informativa sul trattamento dei dati di cui agli artt. 13 e 14 del Regolamento, senza alcun riferimento al trattamento effettuato nel concreto.

Il diritto di accesso e il diritto di ricevere la c.d. informativa, seppur correlati, sono, infatti, diritti differenti, sanciti da distinte disposizioni dell’ordinamento, rispondenti ad esigenze di tutela e garanzia dell’interessato non completamente sovrapponibili.

Come recentemente chiarito anche dalle Guidelines 01/2022 on data subject rights – Right of access, EDPB, 28 marzo 2023, in sede di riscontro all’istanza di accesso il titolare deve adattare, alla specifica condizione dell’interessato, quanto indicato in termini necessariamente generali nell’informativa (o nel registro dei trattamenti).

Pertanto tutte le informazioni fornite nell’informativa, in sede di comunicazione all’interessato ai sensi dell’art. 15 del Regolamento, devono essere verificate e declinate alla luce delle concrete operazioni di trattamento effettuate nei confronti del richiedente (v. Guidelines 01/2022 cit., punto 112 e ss.; in termini generali v. par. 113 “In the context of an access request under Art. 15, any information on the processing available to the controller may therefore have to be updated and tailored for the processing operations actually carried out with regard to the data subject making the request. Thus, referring to the wording of its privacy policy would not be a sufficient way for the controller to give information required by Art. 15(1)(a) to (h) and (2) unless the «tailored and updated» information is the same as the information provided at the beginning of the processing”, trad. non ufficiale: “Nel contesto della comunicazione delle informazioni di cui all'articolo 15, tutte le informazioni sul trattamento di cui dispone il titolare del trattamento devono pertanto essere aggiornate e adattate alle operazioni di trattamento effettivamente svolte nei confronti dell'interessato che presenta la richiesta. Pertanto, il rinvio all’informativa privacy generale (privacy policy) non sarebbe un mezzo sufficiente per consentire al titolare del trattamento di fornire le informazioni di cui all'articolo 15, paragrafo 1, lettere a) -h), e (2), a meno che le informazioni «su misura e aggiornate» non coincidano con le informazioni fornite all’inizio del trattamento”).

L’esame dell’informativa da parte dell’interessato, quindi, non può sopperire all’assenza di riscontro da parte del titolare del trattamento a una istanza di accesso ex art. 15 del Regolamento, stante la diversa funzione del diritto all’informativa, da un lato, e del diritto di accesso, dall’altro.

Nel caso di specie, quindi, non può ritenersi soddisfatto il diritto di accesso alle informazioni relative al trattamento con la messa a disposizione dell’informativa da parte della Società.

Per quanto riguarda, poi, i dati che la Società ha ritenuto di non potere fornire in quanto l’ostensione degli stessi le avrebbe comportato un pregiudizio in termini di difesa in giudizio (art. 2-undecies comma 1 lett. 3) del Codice), la condotta tenuta dalla Società si pone in contrasto con l’art. 12 par. 4 del Regolamento con riferimento all’art. 15 del Regolamento: il titolare del trattamento, infatti, qualora sussistano fondate ragioni per non consentire l’esercizio del diritto, deve tempestivamente informare l’interessato dei motivi del diniego oltre che della possibilità di presentare reclamo al Garante o ricorso all’autorità giudiziaria.

In base all’art. 2-undecies del Codice viene in proposito previsto che l’esercizio ritardato, la limitazione o l’esclusione dell’esercizio dei diritti riconosciuti dal Regolamento possono essere disposti solo per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata, con comunicazione motivata e resa senza ritardo all’interessato; la predetta comunicazione può non essere inviata solo qualora la stessa “possa compromettere la finalità della limitazione”. Circostanza, quest’ultima, che non ricorre nel caso di specie.

In particolare, non può considerarsi corretto il richiamo alla possibilità di non inviare la comunicazione del diniego ai reclamanti; la Società ha argomentato in proposito ritenendo che tale comunicazione espressa “sarebbe stata certamente prodotta come mezzo di prova da parte dei reclamanti nel corso dei giudizi pendenti, al fine di ingenerare nel giudice la convinzione che [la Società], abusando della propria posizione di forza in qualità di datore di lavoro, stesse effettivamente compromettendo il diritto di produzione degli atti, con il concreto rischio che venisse accolta la richiesta di acquisizione dei dati e si vanificassero, di fatto, le ragioni stesse che hanno condotto la Società alla scelta di limitare il diritto di accesso agli stessi” (v. scritti difensivi 27.4.2023, p. 5, 6).

Non fornire la comunicazione di diniego nella prospettiva che i reclamanti potessero utilizzare il riscontro per esercitare il diritto di difesa nelle forme previste dall’ordinamento non può essere idonea condizione per fare valere l’ipotesi della ricorrenza di una sorta di esenzione dalla comunicazione del diniego dell’esercizio dei diritti.

In merito ai contorni del diritto di accesso ai dati, le citate Guidelines 01/2022 on data subject rights – Right of access, EDPB, 28 marzo 2023, precisano, tra l’altro, lo stretto rapporto che lega quanto previsto dall’art. 15 del Regolamento con gli altri diritti riconosciuti agli interessati dal Regolamento, sottolineando la funzione propria del diritto di accesso stesso (v. punto 10 “the purpose of the right of access is to make it possible for the data subjects to understand how their personal data are being processed as well as the consequences of such processing, and to verify the accuracy of the data processed without having to justify their intention”, trad. non ufficiale “lo scopo del diritto di accesso è quello di consentire all'interessato di comprendere il trattamento dei dati personali e le conseguenze di tale trattamento, di verificare l'esattezza dei dati trattati senza dover giustificare la sua intenzione”; v. anche punto 12 “In accordance with CJEU decisions, the right of access serves the purpose of guaranteeing the protection of the data subjects’ right to privacy and data protection with regard to the processing of data relating to them and may facilitate the exercise of their rights flowing from, for example, Art. 16 to 19, 21 to 22 and 82 GDPR”, trad. non ufficiale “Conformemente alle decisioni della CGUE, il diritto di accesso ha lo scopo di garantire la tutela del diritto degli interessati alla vita privata e alla protezione dei dati in rapporto al trattamento dei dati che li riguardano e può facilitare l'esercizio dei loro diritti derivanti, per esempio, dagli articoli da 16 a 19, da 21 a 22 e dall'articolo 82 del RGPD”).

Non può inoltre ritenersi quale idoneo riscontro, l’opposizione presentata dalla Società dinanzi all’autorità giudiziaria ordinaria, rispetto alle differenti richieste istruttorie di produzione documentale in giudizio, tenuto anche conto dell’autonomia dei procedimenti in sede amministrativa e giudiziaria.

Nel presente procedimento, infatti, sono state prese in considerazioni le istanze di esercizio del diritto di accesso ex art. 15 del Regolamento presentate il 3 dicembre 2020 e il 9 dicembre 2020, non le istanze istruttorie dinanzi all’autorità giudiziaria.

Tra l’altro, la memoria di comparsa della Società, richiamata da quest’ultima come atto nel quale sarebbe stato fornito un riscontro alle richieste dei reclamanti, è datata 5 giugno 2020, quindi è relativa a un periodo antecedente rispetto alla formulazione delle istanze di esercizio dei diritti.

In ogni caso, resta fermo che l’ambito temporale della limitazione del diritto di accesso è circoscritto a quanto strettamente necessario ad evitare un pregiudizio all’esercizio del diritto nei termini su esposti (cfr. art. 2-undecies cit., comma 3). Pertanto, una volta venute meno le ragioni del pregiudizio, nessun ostacolo può essere frapposto all’esercizio del diritto previsto dall’art. 15 del Regolamento.

Non si può inoltre accogliere il rilievo della Società secondo cui le istanze di esercizio dei diritti sono state presentate “non nel rispetto delle modalità indicate nella procedura aziendale, ma per il tramite del proprio avvocato di fiducia, con una mail inviata all’indirizzo di posta elettronica certificata «istituzionale» di Autostrade per l’Italia (v. nota 15.11.2022, p. 5), posto che il Regolamento non impone agli interessati alcun requisito riguardo al formato della richiesta di accesso ai dati personali.

Inoltre e in ogni caso, come indicato dalla stessa Società, le istanze di esercizio dei diritti sono state presentate all’indirizzo di posta certificata della Società e non a un indirizzo qualunque.

In proposito, le citate Guidelines 01/2022 on data subject rights – Right of access, EDPB, 28 marzo 2023, hanno chiarito che sugli interessati non grava l’obbligo di adottare un determinato formato per presentare le istanze di esercizio del diritto di accesso (v. Guidelines 01/2022 cit., punto 52 “the GDPR does not impose any requirements on data subjects regarding the form of the request for access to the personal data. Therefore, there are, in principle, no requirements under the GDPR that the data subjects must observe when choosing a communication channel through which they enter into contact with the controller”, trad. non ufficiale “il Regolamento generale sulla protezione dei dati non impone agli interessati alcun requisito riguardo al formato della richiesta di accesso ai dati personali. Pertanto, in linea di principio, non vi sono requisiti che l'interessato sia tenuto a rispettare al momento di scegliere un canale di comunicazione attraverso il quale entrare in contatto con il titolare del trattamento dei dati”).

Inoltre, si ritiene di non poter accogliere la ricostruzione della Società in merito all’applicabilità dell’art. 140-bis del Codice al caso di specie posto il differente oggetto del procedimento dinanzi al Garante rispetto a quello dinanzi all’autorità giudiziaria ordinaria.

L’oggetto dei reclami, infatti, è l’illiceità della condotta tenuta dalla Società che non ha fornito riscontro alle istanze di esercizio dei diritti presentate dai reclamanti; dinanzi all’autorità giudiziaria ordinaria, invece, le domande sono state volte a fare accertare e dichiarare il diritto a vedere computati ai fini dell’accantonamento del TFR determinate voci contrattuali e per l’effetto condannare la Società a conteggiare tali voci negli importi dovuti agli interessati.

Si sottolinea, altresì, come le ragioni che spingono l’interessato a richiedere l’accesso ai dati allo stesso riferiti non sono rilevanti, qualora sia rispettato quanto previsto dall’art. 15 del Regolamento. Chiare sul punto le Guidelines 01/2022 on data subject rights – Right of access citate (v. par. 6.1, punto 167 “As long as the requirements of Art. 15 GDPR are met the purposes behind the request should be regarded as irrelevant”, trad. non ufficiale “A condizione che siano soddisfatti i requisiti di cui all'articolo 15 del RGPD, le finalità della richiesta dovrebbero essere considerate irrilevanti”).

Infine, si evidenzia che, diversamente da quanto sostenuto dalla Società, al procedimento in oggetto non si applica il termine di 90 giorni di cui alla l. del 24 novembre 1981, n. 689, art. 14, ma quello specificatamente individuato dal Garante, ai sensi dell’art. 154, comma 3 e dell’art. 166, comma 9 del Codice, con il Regolamento del Garante n. 2/2019, entrato in vigore a seguito della sua pubblicazione nella Gazzetta Ufficiale n. 107 del 9 maggio 2019.

L’art. 166 co. 7 D. Lgs 196/2003, nello stabilire quali disposizione della L. 689/1981 siano applicabili, infatti, non richiama l’art. 14.

Il Regolamento del Garante n. 2/2019 stabilisce che la notifica, di cui all’art. 166, comma 5 del Codice, inerente alle presunte violazioni, debba essere effettuata entro il termine di 120 giorni dall’accertamento delle stesse (cfr. Tabella B, parte 2) del Reg. n. 2/2019) (v. Trib. Milano n. 9613 del 5.12.2022, “l’art. 14 comma 2 L. 689/1981 non è applicabile al procedimento per l’irrogazione delle sanzioni da parte del Garante, poiché i termini dei procedimenti amministrativi presso tale autorità sono disciplinati dal Regolamento interno n. 2/2019, adottato dalla stessa, che prescrive il termine di 120 giorni per la comunicazione delle violazioni ai sensi dell’art. 166 co. 5 D.lgs. 196/2003; l’art. 166 co. 7 D. Lgs 196/2003, nello stabilire quali disposizione della L. 689/81 siano applicabili, non richiama l’art. 14”).

Sul punto si fa peraltro presente che, come rilevato dalla giurisprudenza di legittimità, in caso di più violazioni connesse fra di loro “la congruità del tempo complessivamente impiegato” dall’amministrazione procedente ai fini dell’accertamento delle predette violazioni è comunque strettamente connessa “alla complessità dell'attività di indagine” posta in essere dalla medesima (Cass. Sez. I civ. del 4 aprile 2018, n. 8326). Il predetto termine decorre da quando l’attività di accertamento si è realizzata, cioè da quando sono state compiute sia la raccolta degli elementi istruttori sia la valutazione dei medesimi da parte dell’amministrazione (cfr., in tal senso, Corte di Cass. 8 agosto 2005, n. 16642; v., anche, Corte di Cass. Sez. II civ. 28 novembre 2012, n. 21114 e Corte di Cass. Sez. II civ. 22 aprile 2016, n. 8204).

Il termine di 120 giorni pertanto è stato rispettato dall’Autorità considerato che l’ultimo riscontro della Società è del 15 novembre 2022 e la notifica delle violazioni è stata inviata, via pec, in data 6 marzo 2023, all’esito del complessivo esame dei numerosi documenti e delle dichiarazioni acquisite dalla Società e dai reclamanti nell’ambito dell’istruttoria.

Per tutte le ragioni esposte, la Società ha violato gli artt. 12 e 15 del Regolamento.

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Per i suesposti motivi l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento, nel corso dell’istruttoria, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

La condotta posta in essere dalla Società che è consistita nel non fornire alcun riscontro alle istanze di accesso presentate dai reclamanti risulta infatti illecita, nei termini su esposti, in relazione agli artt. 12 e 15 del Regolamento.

La violazione, accertata nei termini di cui in motivazione, non può essere considerata “minore”, tenuto conto della natura, della gravità della violazione stessa, del grado di responsabilità e della maniera in cui l’autorità di controllo ha preso conoscenza della violazione (cons. 148 del Regolamento).

Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento, alla luce del caso concreto:

- si ingiunge al titolare di soddisfare le richieste degli interessati riguardanti l’accesso ai dati e alle informazioni indicate dall’art. 15 del Regolamento, come indicate nelle istanze inviate dai reclamanti, al netto delle informazioni che sono già state fornite nel corso del procedimento;

- si dispone l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) Regolamento).

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

All’esito del procedimento risulta che Autostrade per l’Italia S.p.A. ha violato gli artt. 12 e 15 del Regolamento. Per la violazione delle predette disposizioni è prevista l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. b) del Regolamento, mediante adozione di un’ordinanza ingiunzione (art. 18, l. 24.11.1981, n. 689).

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento, laddove prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

a) in relazione alla natura, gravità e durata della violazione è stata considerata la natura della violazione che ha riguardato l’esercizio dei diritti dell’interessato; è stato considerato, inoltre, il numero degli interessati pari a cinquanta;

b) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare è stata presa in considerazione la mancanza di idoneo riscontro alle istanze di esercizio del diritto di accesso;

c) che la Società è risultata destinataria di un provvedimento adottato dal Garante a seguito dell’accertamento della violazione degli artt. 5, par. 1, lett. a), 13, 28 del Regolamento (v. Provv. 22.6.2023 n. 264, doc. web n. 9909702) che individua un precedente da considerare ai fini della valutazione della generale attitudine della Società a conformare la propria condotta alla disciplina di protezione dei dati;

Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla Società con riferimento al bilancio ordinario d’esercizio per l’anno 2022. Da ultimo si tiene conto dell’entità delle sanzioni irrogate in casi analoghi.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Autostrade per l’Italia S.p.A. la sanzione amministrativa del pagamento di una somma pari ad euro 100.000 (centomila).

In tale quadro si ritiene, altresì, in considerazione della tipologia delle violazioni accertate che hanno riguardato l’esercizio dei diritti dell’interessato che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante.

Si ritiene, altresì, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO, IL GARANTE

rileva l’illiceità del trattamento effettuato da Autostrade per l’Italia S.p.A., con sede legale in Via Alberto Bergamini, 50, Roma, P. IVA 07516911000, ai sensi dell’art. 143 del Codice, per la violazione degli artt. 12 e 15 del Regolamento;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento ad Autostrade per l’Italia S.p.A., di pagare la somma di euro 100.000,00 (centomila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

ad Autostrade per l’Italia S.p.A.:

- ai sensi dell’art. 58, par. 2, lett. c) del Regolamento, di soddisfare la richiesta degli interessati riguardante l’accesso alle informazioni e ai dati ai sensi dell’art. 15 del Regolamento, nei termini di cui in motivazione, entro 60 giorni dal ricevimento del presente provvedimento;

- di pagare la predetta somma di euro 100.000,00 (centomila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento - sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/20129, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

Richiede ad Autostrade per l’Italia S.p.A. di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto disposto con il presente provvedimento e di fornire comunque riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice, entro il termine di 90 giorni dalla data di notifica del presente provvedimento; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 5, lett. e) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 16 novembre 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL VICE SEGRETARIO GENERALE
Filippi

Scheda

Doc-Web
9960854

Argomenti

Lavoro dipendente Lavoro privato

Tipologie

Ordinanza ingiunzione o revoca

Header seguici su

Selettore lingua

Garante per la protezione dei dati personali

GGpdp5SearchToggleBar

I miei diritti

Imprese ed enti

Menù di navigazione

Provvedimento del 16 novembre 2023 [9960854]

g-docweb-display Portlet