Blog

gdpr-13
Con i provvedimenti nn. 529 e 530 del 16 novembre 2023,qui commentati, il Garante per la Protezione dei Dati Personali ha stabilito che il lavoratore ha diritto ad accedere ai dati personali conservati dall’ex datore di lavoro nei termini previsti dal GDPR, anche se la richiesta è generica (Finocchiaro, Il quadro d’insieme sul Regolamento europeo, in Finocchiaro (a cura di), La protezione dei dati personali in Italia – Regolamento UE n. 2016/679 e d.lgs. 10 agosto 2018, n. 101, Bologna, 2019, 9). Il Garante, a seguito di un reclamo, sanzionava una società datrice di lavoro per non avere dato seguito entro il termine di trenta giorni alla richiesta di accesso ai dati personali ex art. 15 GDPR presentata da un ex dipendente dopo il termine del rapporto di lavoro e diretta a conoscere e ottenere copia di tutti i dati personali oggetto di trattamento da parte del datore di lavoro. Secondo l’Autorità, le motivazioni addotte dalla società datrice di lavoro per giustificare il proprio ritardo non sono accettabili: non rileva, infatti, che la richiesta avanzata dal lavoratore fosse molto generica, riguardando tutti i dati personali conservati dal datore di lavoro, in quanto la società avrebbe potuto chiedere al lavoratore di specificare la propria domanda (Romei, Diritto alla riservatezza del lavoratore, in QDLRI, 1994, n. 15, 68, osserva come con l’entrata in vigore della Costituzione e dello Statuto dei lavoratori si sia assistito ad un arricchimento dei contenuti del contratto di lavoro, del quale il legislatore disciplina non più soltanto aspetti patrimoniali relativi allo scambio tra prestazione e retribuzione, ma anche significativi profili del rapporto contrattuale tra la persona del lavoratore e datore. Alla base di tale cambiamento – secondo l’A. – vi è una diversa concezione di “impresa” intesa non più soltanto come proiezione dell’azione dell’imprenditore sul mercato, ma come «formazione sociale» nella quale la protezione dei diritti della personalità diviene necessaria). Per comprendere la rilevanza delle decisioni in analisi, occorre prendere le mosse dal provvedimento n.529/2023 del Garante. Si precisa che, a livello sostanziale, il contenuto del successivo provvedimento n. 530/ 2023 dell’Autorità medesima è sostanzialmente coincidente, in considerazione anche delle questioni giuridiche trattate Taluni dipendenti, in data 22 febbraio 2021, presentavano dieci reclami con cui sono state lamentate presunte violazioni del Regolamento da parte di Autostrade per l’Italia S.p.A., con particolare riferimento al mancato riscontro alle istanze di esercizio del diritto di accesso e di rettifica degli interessati ai propri dati personali relativi alle “voci rientranti nel calcolo della quota annuale di TFR e, in particolare, la frequenza e la modalità del riconoscimento in busta paga, nonché la logica di elaborazione delle stesse e la loro rilevanza ai fini degli accantonamenti delle quote di TFR” e ad una serie di specifiche informazioni relative al trattamento dei predetti dati. Il Dipartimento, con nota del 22 aprile 2021, ha avviato il procedimento invitando la Società a comunicare la propria eventuale adesione spontanea alle istanze di esercizio dei diritti o comunque a fornire un riscontro sui fatti oggetto dei reclami. Con nota del 25 maggio 2021, la Società ha dichiarato che “ricevute dai reclamanti le istanze di accesso ai dati personali ha accertato che con riferimento all’accesso e all’acquisizione del trattamento dei dati personali consistenti nelle «voci rientranti nel calcolo della quota annuale di TFR e, in particolare, la frequenza e le modalità di riconoscimento in busta paga, nonché la logica di elaborazione nelle stesse e la loro rilevanza ai fini degli accantonamenti delle quote di TFR»” e gli altri dati richiesti erano pendenti tra la Società e i reclamanti, giudizi davanti al Tribunale di Roma, sezione lavoro promossi dai lavoratori, aventi ad oggetto il preteso errato accantonamento del Trattamento di Fine Rapporto. Secondo i reclamanti, il diritto vantato dinanzi al Giudice deriverebbe dal presunto carattere non occasionale di alcune voci retributive che la Società ha corrisposto, così come previsto dal contratto collettivo di categoria. È da evidenziare che, nel procedimento, i reclamanti hanno avanzato anche richiesta di esibizione delle buste paga, per cercare di ovviare al difetto di allegazione in cui sono incorsi, giuste le previsioni dell’art. 414 cod. proc. civ. e dell’art. 2697 c.c. La Società destinataria dell’istanza prende le mosse dall’art. 2-undecies, comma 1, lett. e) del D. Lgs. 196/2003 per non procedere in merito al riscontro all’istanza dei reclamanti. Sulla base della medesima disposizione, infatti, i diritti di cui agli articoli da 15 a 22 del Regolamento non possono essere esercitati con richiesta al titolare del trattamento ovvero con reclamo ai sensi dell’articolo 77 del Regolamento, qualora dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto allo svolgimento delle investigazioni difensive o all’esercizio di un diritto in sede giudiziaria (Ferri,, Persona e privacy, in RDComm, 1982, 115-116; Bianca, Diritto civile, Giuffrè, 1991, vol. 1, 170). Con riferimento alla richiesta dei reclamanti in merito al mancato adempimento della Società a consentire loro l’accesso e/o l’acquisizione delle «buste paga», la Società faceva presente che tutti i dipendenti, in ogni momento, come a loro stessi noto, hanno accesso alla propria documentazione retributiva mediante un applicativo informativo aziendale, fruibile sia tramite Intranet aziendale che mediante opportune postazioni per consentirne la fruizione a chi non accede alla detta intranet aziendale, con le credenziali di autenticazione fornite in dotazione. Con riguardo alla richiesta di riscontro alle informazioni in merito a: «a) il titolare del trattamento ed al responsabile della protezione dei dati; b) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento, e l’eventuale conservazione e/o trattamento; d) il fondamento giuridico dei trattamenti effettuati; e) la fonte da cui hanno origine i dati utilizzati ai fini dei trattamenti descritti; g) le modalità di conservazione dei dati retributivi e delle buste paga, nonché i soggetti che hanno accesso alle stesse», la Società medesima faceva presente che, come da procedura provvedeva, regolarmente, all’atto dell’assunzione, ad informare tutti i dipendenti sul trattamento dei dati personali e a fornire loro l’«informativa sul trattamento dei dati personali», ai sensi dell’art. 13 del GDPR, in modalità cartacea; tale informativa esplicita le modalità di raccolta e di utilizzo dei dati del dipendente per le finalità connesse alla gestione del rapporto di lavoro. Per tutta la vigenza del rapporto di lavoro, la Società informava, tempestivamente, tutti i dipendenti sugli aggiornamenti normativi e/o procedurali in materia di protezione dei dati personali, mediante comunicazione tramite i succitati applicativi ovvero con appositi corsi di formazione/aggiornamento, e rende disponibili ai dipendenti medesimi le Informative aggiornate presso la Direzione del personale (DHCO), e, dal 2018, anche presso il responsabile della protezione dei dati. In riferimento alla lamentela dei reclamanti in ordine alla mancata comunicazione di informazione sul trattamento dei dati personali al fine di esercitare i diritti di accesso, verifica e rettifica degli stessi, la Società precisa che ha provveduto a fornire i reclamanti, all’atto dell’assunzione, ovvero durante la vigenza del rapporto di lavoro, dell’Informativa vigente a tale momento, e, successivamente, delle versioni aggiornate nelle modalità sopraindicate. In data 28 maggio 2021, i reclamanti hanno precisato che alla luce del riscontro fornito da Autostrade per l’Italia Spa con Pec del 25 maggio 2021, di cui si contestava totalmente il contenuto, si ritiene che la Società non abbia adempiuto all’invito formulato dal Garante e, pertanto, si insiste nella richiesta di cui ai reclami del 22 febbraio 2021. A seguito di una richiesta di ulteriori chiarimenti del 16 luglio 2021, la Società, in data 11 agosto 2021, ha dichiarato che: – “con il reclamo avanzato al Garante (ma prima ancora con la richiesta formulata alla Società), [i reclamanti] hanno cercato di ovviare all’evidente difetto di allegazione in cui sono incorsi nei predetti giudizi incardinati dinanzi al Giudice del lavoro di Roma”; – “i reclamanti hanno avanzato la richiesta di cui si discute successivamente alla proposizione della domanda giudiziale ed all’esito della costituzione in giudizio di Autostrade, in cui è stato espressamente eccepito il difetto di allegazione”; – “al caso in esame trova, comunque, applicazione quanto previsto dall’art. 140-bis, secondo comma, «Codice privacy». Identità di oggetto risultante dal confronto tra il contenuto degli atti processuali con quello dei reclami avanzati”. Il Garante, nel proprio percorso logico-interpretativo e motivazionale, prende le mosse dal disposto di cui all’art. 168 del Codice per la protezione dei dati personali. La disposizione citata, salvo che il fatto non costituisca più grave reato, punisce chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi. L’Autorità statuisce che, in base agli elementi acquisiti nel corso dell’attività istruttoria, risulta accertato che la Società, in qualità di titolare, ha tenuto una condotta non conforme alla disciplina in materia di protezione dei dati con riferimento all’esercizio del diritto di accesso, non fornendo alcun riscontro alle istanze presentate dai reclamanti. In proposito, si richiama l’art. 12 del Regolamento, in combinato disposto con le norme relative agli specifici diritti riconosciuti dall’ordinamento all’interessato, in base al quale “il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovato con altri mezzi l’identità dell’interessato”. Peraltro, viene previsto che – in una prospettiva collaborativa – “il titolare del trattamento agevola l’esercizio dei diritti dell’interessato ai sensi degli articoli da 15 a 22”. Il paragrafo 3 del medesimo articolo precisa che “il titolare del trattamento fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il titolare del trattamento informa l’interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta. Se l’interessato presenta la richiesta mediante mezzi elettronici, le informazioni sono fornite, ove possibile, con mezzi elettronici, salvo diversa indicazione dell’interessato”. Il Garante opera una lettura restrittiva del disposto di cui al paragrafo 4 del medesimo articolo: il titolare del trattamento, qualora non ottemperi all’istanza, “informa l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale”. L’Autorità precisa, altresì, che art. 15 del Regolamento prevede che “l’interessato ha diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali” e a una serie di informazioni indicate nello stesso articolo. Il titolare del trattamento è tenuto a fornire una copia dei dati personali oggetto di trattamento. Se l’interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dall’interessato, le informazioni sono fornite in un formato elettronico e di uso comune. Tra l’altro, in proposito, si rammenta l’orientamento della giurisprudenza di legittimità, ripreso costantemente dal Garante, in base al quale la posizione giuridica soggettiva del lavoratore di accedere al proprio fascicolo personale costituisce un diritto soggettivo tutelabile in quanto tale che trae la sua fonte dal rapporto di lavoro (Rodotà, Persona, riservatezza, identità. Prime note sistematiche sulla protezione dei dati personali, in Rivista critica del diritto privato, 1997, 698). Secondo i giudici di legittimità, infatti, il suddetto diritto deriva, oltre che dalla normativa in materia di protezione dei dati personali, dal “rispetto dei canoni di buona fede e correttezza che incombe sulle parti del rapporto di lavoro ai sensi degli artt. 1175 e 1375 c.c., come del resto è confermato dal fatto che, da tempo, la contrattazione collettiva del settore in oggetto prevede che l’azienda datrice di lavoro debba conservare, in un apposito fascicolo personale, tutti gli atti e i documenti, prodotti dall’ente o dallo stesso dipendente, che attengono al percorso professionale, all’attività svolta ed ai fatti più significativi che lo riguardano e che il dipendente ha diritto di prendere visione liberamente degli atti e documenti inseriti nel proprio fascicolo personale” (Corte di Cass. 7 aprile 2016, n. 6775). Il diritto di accesso, inoltre, “non può intendersi, in senso restrittivo, come il mero diritto alla conoscenza di eventuali dati nuovi ed ulteriori rispetto a quelli già entrati nel patrimonio di conoscenza e, quindi, nella disposizione dello stesso soggetto interessato al trattamento dei propri dati, atteso che lo scopo del diritto è garantire, a tutela della dignità e riservatezza del soggetto interessato, la verifica ratione temporis dell’avvenuto inserimento, della permanenza ovvero  della rimozione di dati, indipendentemente dalla circostanza che tali eventi fossero già stati portati per altra via a conoscenza dell’interessato, verifica attuata mediante l’accesso ai dati raccolti sulla propria persona in ogni e qualsiasi momento della propria vita relazionale” (Corte di Cass. 14 dicembre 2018, n. 32533). Relativamente, poi, “alla richiesta di riscontro alle informazioni in merito a: «a) il titolare del trattamento ed al responsabile della protezione dei dati; b) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento, e l’eventuale conservazione e/o trattamento; d) il fondamento giuridico dei trattamenti effettuati; e) la fonte da cui hanno origine i dati utilizzati ai fini dei trattamenti descritti; g) le modalità di conservazione dei dati retributivi e delle buste paga, nonché i soggetti che hanno accesso alle stesse»” la Società ha rappresentato che, all’atto dell’assunzione, informa i dipendenti sul trattamento dei dati personali, fornendo l’informativa ai sensi dell’art. 13 del Regolamento; ha inoltre dichiarato di comunicare gli aggiornamenti normativi e procedurali in materia di protezione dei dati, mediante gli applicativi messi a disposizione, con corsi di formazione e mettendo a disposizione le informative aggiornate presso la Direzione del personale e, dal 2018, anche presso il responsabile della protezione dei dati. In proposito, il Garante rammentava che il diritto riconosciuto all’interessato di accedere ai propri dati oggetto di trattamento, nonché alle informazioni previste dall’art. 15 del Regolamento, in applicazione dei principi di trasparenza e correttezza (art. 5, par. 1, lett. a) del Regolamento), non può ritenersi soddisfatto attraverso il mero rinvio a quanto contenuto nell’informativa sul trattamento dei dati di cui agli artt. 13 e 14 del Regolamento, senza alcun riferimento al trattamento effettuato nel concreto. Il diritto di accesso e il diritto di ricevere la c.d. informativa, seppur correlati, sono, infatti, diritti differenti, sanciti da distinte disposizioni dell’ordinamento, rispondenti ad esigenze di tutela e garanzia dell’interessato non completamente sovrapponibili. Come recentemente chiarito anche dalle Guidelines 01/2022 on data subject rights – Right of access, EDPB, 28 marzo 2023, in sede di riscontro all’istanza di accesso il titolare deve adattare, alla specifica condizione dell’interessato, quanto indicato in termini necessariamente generali nell’informativa (o nel registro dei trattamenti). Pertanto tutte le informazioni fornite nell’informativa, in sede di comunicazione all’interessato ai sensi dell’art. 15 del Regolamento, devono essere verificate e declinate alla luce delle concrete operazioni di trattamento effettuate nei confronti del richiedente. Nel contesto della comunicazione delle informazioni di cui all’articolo 15, tutte le informazioni sul trattamento di cui dispone il titolare del trattamento devono pertanto essere aggiornate e adattate alle operazioni di trattamento effettivamente svolte nei confronti dell’interessato che presenta la richiesta. Pertanto, il rinvio all’informativa privacy generale (privacy policy) non sarebbe, secondo il Garante, un mezzo sufficiente per consentire al titolare del trattamento di fornire le informazioni di cui all’articolo 15, paragrafo 1, lettere a) -h), e (2), a meno che le informazioni «su misura e aggiornate» non coincidano con le informazioni fornite all’inizio del trattamento”. L’esame dell’informativa da parte dell’interessato, quindi, non può sopperire all’assenza di riscontro da parte del titolare del trattamento a una istanza di accesso ex art. 15 del Regolamento, stante la diversa funzione del diritto all’informativa, da un lato, e del diritto di accesso, dall’altro. Nel caso di specie, quindi, non può ritenersi soddisfatto il diritto di accesso alle informazioni relative al trattamento con la messa a disposizione dell’informativa da parte della Società. Per quanto riguarda, poi, i dati che la Società ha ritenuto di non potere fornire in quanto l’ostensione degli stessi le avrebbe comportato un pregiudizio in termini di difesa in giudizio (art. 2-undecies comma 1 lett. 3) del Codice), la condotta tenuta dalla Società si pone in contrasto con l’art. 12 par. 4 del Regolamento con riferimento all’art. 15 del Regolamento: il titolare del trattamento, infatti, qualora sussistano fondate ragioni per non consentire l’esercizio del diritto, deve tempestivamente informare l’interessato dei motivi del diniego oltre che della possibilità di presentare reclamo al Garante o ricorso all’autorità giudiziaria. In base all’art. 2-undecies del Codice viene in proposito previsto che l’esercizio ritardato, la limitazione o l’esclusione dell’esercizio dei diritti riconosciuti dal Regolamento possono essere disposti solo per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata, con comunicazione motivata e resa senza ritardo all’interessato; la predetta comunicazione può non essere inviata solo qualora la stessa “possa compromettere la finalità della limitazione”. Circostanza, quest’ultima, che non ricorrerebbe . secondo il Garante – nel caso di specie. In particolare, non può considerarsi corretto il richiamo alla possibilità di non inviare la comunicazione del diniego ai reclamanti; la Società ha argomentato in proposito ritenendo che tale comunicazione espressa “sarebbe stata certamente prodotta come mezzo di prova da parte dei reclamanti nel corso dei giudizi pendenti, al fine di ingenerare nel giudice la convinzione che [la Società], abusando della propria posizione di forza in qualità di datore di lavoro, stesse effettivamente compromettendo il diritto di produzione degli atti, con il concreto rischio che venisse accolta la richiesta di acquisizione dei dati e si vanificassero, di fatto, le ragioni stesse che hanno condotto la Società alla scelta di limitare il diritto di accesso agli stessi”. Non fornire la comunicazione di diniego nella prospettiva che i reclamanti potessero utilizzare il riscontro per esercitare il diritto di difesa nelle forme previste dall’ordinamento non può essere idonea condizione per fare valere l’ipotesi della ricorrenza di una sorta di esenzione dalla comunicazione del diniego dell’esercizio dei diritti (Bellavista, I poteri dell’imprenditore e la privacy del lavoratore, in DL, 2002, I, 149; Chieco, Privacy e lavoro, Cacucci, 2000; Ferrante, La privacy del lavoratore: brevi considerazioni alla luce delle fonti internazionali e della normativa comparata, in QDLRI, 2000, n. 24, 279). In merito ai contorni del diritto di accesso ai dati, le citate Guidelines 01/2022 on data subject rightsRight of access, EDPB, 28 marzo 2023, precisano, tra l’altro, lo stretto rapporto che lega quanto previsto dall’art. 15 del Regolamento con gli altri diritti riconosciuti agli interessati dal Regolamento, sottolineando la funzione propria del diritto di accesso steso: conformemente alle decisioni della CGUE, il diritto di accesso ha lo scopo di garantire la tutela del diritto degli interessati alla vita privata e alla protezione dei dati in rapporto al trattamento dei dati che li riguardano e può facilitare l’esercizio dei loro diritti derivanti, per esempio, dagli articoli da 16 a 19, da 21 a 22 e dall’articolo 82 del RGPD. Secondo il Garante, non può inoltre ritenersi quale idoneo riscontro, l’opposizione presentata dalla Società dinanzi all’autorità giudiziaria ordinaria, rispetto alle differenti richieste istruttorie di produzione documentale in giudizio, tenuto anche conto dell’autonomia dei procedimenti in sede amministrativa e giudiziaria. Tra l’altro, la memoria di comparsa della Società, richiamata da quest’ultima come atto nel quale sarebbe stato fornito un riscontro alle richieste dei reclamanti, è datata 5 giugno 2020, quindi è relativa a un periodo antecedente rispetto alla formulazione delle istanze di esercizio dei diritti (per una disamina più approfondita si vedano Barraco, Sitzia, La tutela della privacy nei rapporti di lavoro, Ipsoa, 2008, 73 ss.; da ultimo A. Sitzia, Il diritto alla “privatezza” nel rapporto di lavoro tra fonti comunitarie e nazionali, Cedam, 2013, 127 ss.). In ogni caso, resta fermo che l’ambito temporale della limitazione del diritto di accesso è circoscritto a quanto strettamente necessario ad evitare un pregiudizio all’esercizio del diritto nei termini su esposti (cfr. art. 2-undecies cit., comma 3). Pertanto, una volta venute meno le ragioni del pregiudizio, nessun ostacolo può essere frapposto all’esercizio del diritto previsto dall’art. 15 del Regolamento. Secondo il Garante, non sarebbe possibile accogliere il rilievo della Società secondo cui le istanze di esercizio dei diritti sono state presentate “non nel rispetto delle modalità indicate nella procedura aziendale, ma per il tramite del proprio avvocato di fiducia, con una mail inviata all’indirizzo di posta elettronica certificata «istituzionale» di Autostrade per l’Italia, posto che il Regolamento non impone agli interessati alcun requisito riguardo al formato della richiesta di accesso ai dati personali. Inoltre e in ogni caso, come indicato dalla stessa Società, le istanze di esercizio dei diritti sono state presentate all’indirizzo di posta certificata della Società e non a un indirizzo qualunque. In proposito, le citate Guidelines 01/2022 on data subject rights – Right of access, EDPB, 28 marzo 2023 – hanno chiarito che sugli interessati non grava l’obbligo di adottare un determinato formato per presentare le istanze di esercizio del diritto di accesso: il Regolamento generale sulla protezione dei dati non impone agli interessati alcun requisito riguardo al formato della richiesta di accesso ai dati personali. Pertanto, in linea di principio, non vi sono requisiti che l’interessato sia tenuto a rispettare al momento di scegliere un canale di comunicazione attraverso il quale entrare in contatto con il titolare del trattamento dei dati”. Inoltre, l’Autorità Garante per la protezione dei dati personali riteneva di non poter accogliere la ricostruzione della Società in merito all’applicabilità dell’art. 140-bis del Codice al caso di specie, posto il differente oggetto del procedimento dinanzi al Garante rispetto a quello dinanzi all’autorità giudiziaria ordinaria. L’oggetto dei reclami, infatti, è l’illiceità della condotta tenuta dalla Società che non ha fornito riscontro alle istanze di esercizio dei diritti presentate dai reclamanti; dinanzi all’autorità giudiziaria ordinaria, invece, le domande sono state volte a fare accertare e dichiarare il diritto a vedere computati ai fini dell’accantonamento del TFR determinate voci contrattuali e per l’effetto condannare la Società a conteggiare tali voci negli importi dovuti agli interessati. Il Garante sottolinea, altresì, come le ragioni che spingono l’interessato a richiedere l’accesso ai dati allo stesso riferiti non sono rilevanti, qualora sia rispettato quanto previsto dall’art. 15 del Regolamento. Chiare sul punto le Guidelines 01/2022 on data subject rights – Right of access citate (v. par. 6.1, punto 167). Tale disposizione sancisce che, a condizione che siano soddisfatti i requisiti di cui all’articolo 15 del RGPD, le finalità della richiesta dovrebbero essere considerate irrilevanti”). Infine, si evidenzia che, diversamente da quanto sostenuto dalla Società, al procedimento in oggetto non si applica il termine di 90 giorni di cui alla l. del 24 novembre 1981, n. 689, art. 14, ma quello specificatamente individuato dal Garante, ai sensi dell’art. 154, comma 3 e dell’art. 166, comma 9 del Codice, con il Regolamento del Garante n. 2/2019, entrato in vigore a seguito della sua pubblicazione nella Gazzetta Ufficiale n. 107 del 9 maggio 2019. L’art. 166 co. 7 D. Lgs 196/2003, nello stabilire quali disposizione della L. 689/1981 siano applicabili, infatti, non richiama l’art. 14. Il Regolamento del Garante n. 2/2019 stabilisce che la notifica, di cui all’art. 166, comma 5 del Codice, inerente alle presunte violazioni, debba essere effettuata entro il termine di 120 giorni dall’accertamento delle stesse (cfr. Tabella B, parte 2) del Reg. n. 2/2019) (v. Trib. Milano n. 9613 del 5.12.2022, “l’art. 14 comma 2 L. 689/1981 non è applicabile al procedimento per l’irrogazione delle sanzioni da parte del Garante, poiché i termini dei procedimenti amministrativi presso tale autorità sono disciplinati dal Regolamento interno n. 2/2019, adottato dalla stessa, che prescrive il termine di 120 giorni per la comunicazione delle violazioni ai sensi dell’art. 166 co. 5 D.lgs. 196/2003; l’art. 166 co. 7 D. Lgs 196/2003, nello stabilire quali disposizione della L. 689/81 siano applicabili, non richiama l’art. 14”). Sul punto, Il Garante richiama talune decisioni della Suprema Corte. Si fa, peraltro, presente che, come rilevato dalla giurisprudenza di legittimità, in caso di più violazioni connesse fra di loro “la congruità del tempo complessivamente impiegato” dall’amministrazione procedente ai fini dell’accertamento delle predette violazioni è comunque strettamente connessa “alla complessità dell’attività di indagine” posta in essere dalla medesima (Cass. Sez. I civ. del 4 aprile 2018, n. 8326). Il predetto termine decorre da quando l’attività di accertamento si è realizzata, cioè da quando sono state compiute sia la raccolta degli elementi istruttori sia la valutazione dei medesimi da parte dell’amministrazione (cfr., in tal senso, Corte di Cass. 8 agosto 2005, n. 16642; v., anche, Corte di Cass. Sez. II civ. 28 novembre 2012, n. 21114 e Corte di Cass. Sez. II civ. 22 aprile 2016, n. 8204). Il termine di 120 giorni pertanto è stato rispettato dall’Autorità considerato che l’ultimo riscontro della Società è del 15 novembre 2022 e la notifica delle violazioni è stata inviata, via pec, in data 6 marzo 2023, all’esito del complessivo esame dei numerosi documenti e delle dichiarazioni acquisite dalla Società e dai reclamanti nell’ambito dell’istruttoria. La Società avrebbe violato gli artt. 12 e 15 del Regolamento. All’esito del procedimento risulta che Autostrade per l’Italia S.p.A. ha violato gli artt. 12 e 15 del Regolamento. Per la violazione delle predette disposizioni è prevista l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. b) del Regolamento, mediante adozione di un’ordinanza ingiunzione. IL garante riteneva di dover applicare il paragrafo 3 dell’art. 83 del Regolamento, laddove prevede che “se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave”: l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5. Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresentava che, nel caso di specie, sono state considerate le seguenti circostanze: a) in relazione alla natura, gravità e durata della violazione è stata considerata la natura della violazione che ha riguardato l’esercizio dei diritti dell’interessato; è stato considerato, inoltre, il numero degli interessati pari a cinquanta; b) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare è stata presa in considerazione la mancanza di idoneo riscontro alle istanze di esercizio del diritto di accesso; c) che la Società è risultata destinataria di un provvedimento adottato dal Garante a seguito dell’accertamento della violazione degli artt. 5, par. 1, lett. a), 13, 28 del Regolamento che individua un precedente da considerare ai fini della valutazione della generale attitudine della Società a conformare la propria condotta alla disciplina di protezione dei dati; Secondo il Garante, inoltre, assumerebbero rilevanza, nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo, le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla Società con riferimento al bilancio ordinario d’esercizio per l’anno 2022. Da ultimo si tiene conto dell’entità delle sanzioni irrogate in casi analoghi. La condotta posta in essere dalla Società che è consistita nel non fornire alcun riscontro alle istanze di accesso presentate dai reclamanti risulta, infatti, illecita, nei termini già esposti, in relazione agli artt. 12 e 15 del Regolamento. La violazione, accertata nei termini di cui in motivazione, non può essere considerata “minore”, tenuto conto della natura, della gravità della violazione stessa, del grado di responsabilità e della maniera in cui l’autorità di controllo ha preso conoscenza della violazione (cons. 148 del Regolamento). Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento, alla luce del caso concreto: – l’Autorità ingiungeva al titolare di soddisfare le richieste degli interessati riguardanti l’accesso ai dati e alle informazioni indicate dall’art. 15 del Regolamento, come indicate nelle istanze inviate dai reclamanti, al netto delle informazioni che sono già state fornite nel corso del procedimento; – la medesima disponeva l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) Regolamento). Il contenuto sostanziale del decisum del provvedimento del Garante n. 530 del 16 novembre 2023 è, quasi del tutto, coincidente con quello del n. 529 della medesima Autorità. Con il reclamo un ex dipendente ha rappresentato a questa Autorità di aver presentato un’istanza di esercizio dei diritti ai sensi dell’art. 15 del Regolamento, nei confronti di Amazon Italia Transport s.r.l. Tale richiesta, volta a conoscere e ottenere “copia dei dati personali oggetto di trattamento e le informazioni di cui al citato art. 15 ”, veniva regolarmente notificata tramite pec all’indirizzo della Società, come risultava dalla ricevuta di avvenuta consegna prodotta in atti, ma la Società non forniva alcun riscontro nei termini previsti dall’art. 12, par. 3, del citato Regolamento. L’Autorità invitava la Società a fornire osservazioni in ordine a quanto lamentato e ad aderire alle richieste del reclamante. Con successiva comunicazione, la Società stessa forniva riscontro all’istante, e per conoscenza all’Autorità, rappresentando che: – poiché la richiesta ricevuta era molto ampia e generica riguardando, di fatto tutti i trattamenti dei dati del dipendente operati dalla Società, è stato necessario un coordinamento interno tra i vari dipartimenti interessati. Questo avrebbe comportato una lentezza che non ha consentito al precedente datore di lavoro di dare seguito alla richiesta entro i termini stabiliti dall’art. 12 GDPR”; – nell’ambito del rapporto di lavoro con il proprio personale e dunque anche con riferimento al rapporto di lavoro in essere con l’istante, la società medesima avrebbe trattato i dati in conformità alla propria informativa privacy UE per il personale di Amazon, in ogni momento disponibile per i dipendenti sulla intranet della società. All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, risulta che la Società, in qualità di titolare del trattamento, ha effettuato alcune operazioni di trattamento, riferite al reclamante, che risultano non conformi alla disciplina in materia di protezione dei dati personali. In proposito, si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”. Nel merito, emergeva che la Società non avrebbe dato riscontro all’istanza di esercizio dei diritti, presentata dal reclamante ai sensi dell’art. 15 del Regolamento, se non in dara 04/02/2022 e solo a seguito della presentazione del reclamo e dell’apertura dell’istruttoria da parte del Garante, inviandogli copia dei dati personali e delle informazioni riferite al rapporto di lavoro intercorso con la parte. L’adempimento è dunque avvenuto quasi sei mesi oltre il termine previsto dal Regolamento. Va, altresì, rilevato che la Società, nel corso dell’istruttoria ha dichiarato di non aver dato tempestivo riscontro alla predetta istanza, anche a causa della vastità e genericità delle informazioni richieste che hanno impedito di circostanziare il riscontro. Si osserva, a tal proposito, che le Linee guida sul diritto di accesso, approvate dall’EDPB in data 28/03/2023, chiariscono che “un responsabile del trattamento che tratta una grande quantità di informazioni relative all’interessato può chiedere all’interessato di specificare le informazioni o il trattamento cui si riferisce la richiesta prima che le informazioni siano fornite” conformemente a quanto anche stabilito nel considerando 63 del Regolamento. Pertanto, a fronte della dichiarata difficoltà di evadere la richiesta di esercizio dei diritti nei termini previsti dalla normativa, la Società non si è avvalsa della facoltà riconosciuta dal Regolamento di rivolgere all’interessato le opportune specificazioni (Alpa, La normativa sui dati personali. Modelli di lettura e problemi esegetici, in Diritto dell’informazione e dell’informatica, 1997, 732). Tantomeno, secondo il Garante, essa ha informato l’istante dei motivi del ritardo con ciò venendo meno al rispetto della disposizione di cui all’art. 12, par. 3, del Regolamento laddove stabilisce che “tale termine,  pari a trenta giorni dal ricevimento della richiesta, può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il titolare del trattamento informa l’interessato di tale proroga e dei motivi del ritardo, entro un mese dal ricevimento della richiesta”. Per i suesposti motivi, l’Autorità riteneva che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentivano di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento; esse, pertanto, erano inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019. Il trattamento posto in essere dalla società, con riferimento al mancato riscontro all’istanza di accesso presentata dal reclamante, risultava, secondo il Garante, illecito, nei termini delineati, in relazione agli artt. 12 e 15 del Regolamento. Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento, il Garante disponeva l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) Regolamento). Il Garante stesso, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. legge 24 novembre 1981 n. 689). La violazione, secondo l’Autorità, accertata nei termini di cui in motivazione, al pari del decisum di cui al provvedimento n. 529/2023, non può essere considerata “minore”, tenuto conto della natura, della gravità e della durata della violazione stessa, del grado di responsabilità e della maniera in cui l’autorità di controllo ha preso conoscenza della violazione (cons. 148 del Regolamento). Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso essere effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze: – in relazione alla natura, gravità e durata della violazione, sono stati considerati rilevanti la natura della violazione che ha riguardato l’esercizio dei diritti dell’interessato e il ritardo nel riscontro all’esercizio dei diritti; – con riferimento al carattere colposo o doloso della violazione e al grado di responsabilità del titolare, si  è tenuto conto della condotta tenuta dalla Società che si è prontamente adeguata alle indicazioni rese nel corso del procedimento nonché la circostanza che la violazione ha riguardato un solo interessato; – la cooperazione fornita nel corso dell’istruttoria e gli adeguamenti disposti nell’ottica della privacy by design e by default. Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo, le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla Società con riferimento al bilancio ordinario d’esercizio per l’anno 2022. Da ultimo si tiene conto dell’entità delle sanzioni irrogate in casi analoghi. In tale quadro, Il Garante, riteneva, altresì, in considerazione della tipologia delle violazioni accertate che hanno riguardato l’esercizio dei diritti dell’interessato, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si dovesse procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante (Santoni, La privacy nel rapporto di lavoro: dal diritto alla riservatezza alla tutela dei dati personali, in Tullini (a cura di), Tecnologie della comunicazione e riservatezza nel rapporto di lavoro, Cedam, 2010, 34). I provvedimenti analizzati, come evidente, hanno il pregio di operare un attento bilanciamento di interessi tra il diritto di accesso – a fronte di una generica istanza dell’ex dipendente – e la privacy. Giuseppe Maria Marsico, dottorando di ricerca in diritto privato e dell’economia e funzionario giuridico-economico-finanziario Visualizza i documenti: Garante privacy, 16 novembre 2023, n. 529; Garante privacy, 16 novembre 2023, n. 530 Scarica il commento in PDF L'articolo Il Garante per la protezione dei dati personali determina il difficile bilanciamento tra diritto di accesso, GDPR, trattamento dati e riservatezza  sembra essere il primo su Rivista Labor - Pacini Giuridica.

Gestionali per studi e uffici professionali

Hai bisogno di nuovi strumenti per aumentare la produttività del tuo studio?
Chiamaci a questi numeri 0815374534 o 3927060481 (anche via whatsapp)
Lo staff di Safio ti aiuterà ad individuare la soluzione più adatta alle tue esigenze

    Accetta la Privacy Policy

    Please prove you are human by selecting the flag.