Il mancato riscontro alle istanze di accesso ai dati di tre dipendenti che, per verificare la correttezza della propria busta paga, richiedano di conoscere le informazioni utilizzate per elaborare i rimborsi chilometrici e la retribuzione mensile oraria, comporta l’irrogazione di una sanzione da parte del Garante per la protezione dei dati personali. Lo ha ribadito la stessa Autorità con il provvedimento n. 403 del 14 settembre 2023. Il Garante medesimo censura la condotta della società, rea di essersi limitata ad indicare ai dipendenti coinvolti soltanto le modalità e gli scopi per i quali erano stati trattati i dati rinvenuti mediante il GPS.
In particolare, per il provvedimento in commento (n. 403 del 14 settembre 2023), detta condotta risulta essere illecita, in quanto la geolocalizzazione dei dipendenti comporta un trattamento di dati personali, che la società è tenuta a fornire ai lavoratori.
La Società ha dichiarato che con riferimento alle finalità, al periodo, alle modalità di conservazione ed ai processi di elaborazione dei dati, essa abbia già dato ampio riscontro, a mezzo comunicazioni ad hoc in cui ha inoltrato al legale dei reclamanti: le Informative ex art. 13 GDPR debitamente sottoscritte dai reclamanti; il Regolamento relativo al trattamento ed alle norme di sicurezza da osservare nell’impiego degli strumenti elettronici e non; le Dichiarazioni di consenso al trattamento debitamente sottoscritte; l’Indicazione dei dati utilizzati, con il relativo periodo di conservazione, nonché dei criteri atti a giustificarne l’utilizzo; l’Indicazione del responsabile del trattamento dei dati personali.
La Società esistente ha controdedotto affermando che si sarebbe provveduto, altresì, a specificare le modalità e gli strumenti di geolocalizzazione satellitare. La stessa ha evidenziato che la geolocalizzazione risulta necessaria al fine di permettere all’operatore l’individuazione del tragitto da effettuare per giungere ai contatori, posto che il terminale indica dove effettuare le rilevazioni. Tale modus operandi permette inoltre di riscontrare le richieste del committente, finalizzate alla verifica del luogo esatto dell’effettuazione delle letture (qualora si verifichino irregolarità e/o anomalie nelle letture). Si è provveduto altresì a precisare che la localizzazione satellitare si attiva ed è limitata soltanto al momento dell’accensione dei dispositivi e si disattiva con lo spegnimento del terminale in possesso all’operatore a cui è rimessa, in via esclusiva, ogni attività e discrezione in merito.
In data 13 ottobre 2021, la Società, a seguito dell’invito del Dipartimento del 17 settembre 2021, ha presentato ulteriori chiarimenti dichiarando che “l’asserita disponibilità a fornire copia del fascicolo personale è stata peraltro travisata dal Garante, avendo la Società chiaramente dedotto che la consultazione del fascicolo sarebbe potuta avvenire (ed ancora una volta) con riferimento alla documentazione già fornita «(nei limiti e compatibilmente con quanto effettivamente in suo possesso)»”. In data 22 settembre 2022, a seguito di ulteriori richieste dell’Autorità dell’8 agosto 2022, la Società ha dichiarato inoltre che:
– “i contenziosi relativi alle posizioni dei reclamanti, si sono conclusi con provvedimenti emessi dall’autorità giudiziaria ordinaria, che ha, fra gli altri, accertato il diritto dei medesimi al riconoscimento delle differenze retributive richieste, ragion per cui, anche con riferimento a tali posizioni, è venuto meno ogni interesse alla prosecuzione del presente procedimento avanti il Garante, con conseguente archiviazione dello stesso”;
– “le argomentazioni del datore di lavoro risultano confermate dalle stesse dichiarazioni della società fornitrice del sistema Applicativo Mercurio e applicativo denominato MDM. Dunque, l’attività lavorativa dei reclamanti veniva gestita da remoto tramite una piattaforma che indicava giornalmente i contatori da «leggere» e fotografare geolocalizzando la posizione e il percorso al fine anche di procedere ad una quantificazione oraria della prestazione e il rimborso chilometrico al quale gli istanti avevano diritto”. Dunque, l’attività lavorativa dei reclamanti è stata, quindi, sempre monitorata, gestita e coordinata dalla Società datrice di lavoro tramite l’utilizzo di server aziendali al quale si collegava un terminale modello smartphone dotato di un sistema di geolocalizzazione che consentiva di memorizzare gli interventi di lettura”.
Si precisa che tale sistema di geolocalizzazione indicava ai reclamanti il luogo in cui effettuare la lettura del contatore nonché il posizionamento dello stesso e quantificava lo spostamento kilometrico casa/lavoro anche ai fini del rimborso benzina.
Il Garante ha precisato che i reclamanti hanno tutti ottenuto il riconoscimento da parte del Tribunale di Milano nei confronti della convenuta Shardana Working soc. coop. del diritto al conteggio nell’orario di lavoro del percorso casa – prima lettura/ultima lettura – casa, oltre al riconoscimento come orario di lavoro delle interruzioni nelle rilevazioni del palmare superiori ai 15 minuti tra una lettura e l’altra, illegittimamente conteggiate dalla Shardana Working”.
Di assoluto rilievo sistematico è la precisazione del Garante, secondo cui il predetto accertamento giurisdizionale non esaurisce affatto l’interesse al presente procedimento che invece rimane in essere per tutti i reclamanti atteso che i dati richiesti sono necessari e funzionali alla quantificazione delle differenze retributive dovute rispetto agli emolumenti ricevuti, oggetto di ulteriore contenzioso relativo al quantum della domanda già accertata.
Peraltro, l’Autorità Garante precisa che l’affermazione che «nessun controllo e/o monitoraggio è stato effettuato in ordine all’attività svolta e/o ai percorsi chilometrici (“chilometraggio”) effettuati dai reclamanti» è contraddetta dalle stesse buste paga elaborate dalla Società nelle quali è indicato l’orario di lavoro come illegittimamente riconosciuto dall’azienda e il chilometraggio rimborsato e dalle dichiarazioni rese dalla Società stessa che nel presente procedimento ha dichiarato che il sistema software fornito ai dipendenti è dotato di sistema di geolocalizzazione”.
In data 14 ottobre 2022, l’Ufficio preposto del Garante ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione alla Società delle presunte violazioni del Regolamento riscontrate, con riferimento agli artt. 12 e 15 del Regolamento. Con gli scritti difensivi inviati in data 11 novembre 2022, la Società ha dichiarato che:
– la Società ha evidenziato che i tragitti effettuati dai lavoratori non sono oggetto di alcuna verifica da parte degli strumenti tecnologici, essendo i terminali concessi in dotazione e utilizzati al solo fine di effettuare le rilevazioni e le letture dei contatori (gas ed energia); la finalità di tale utilizzo è peraltro correlata alle specifiche richieste del committente (il quale richiede a Shardana una verifica del luogo esatto dell’effettuazione delle letture, al fine di “scongiurare” irregolarità e/o anomalie dei dati rilevati);
– le asserite violazioni hanno riguardato n. 3 lavoratori e per i seguenti periodi: 1 anno e 8 mesi; 1 anno e 9 mesi.
Secondo il datore di lavoro si sarebbe fornito fin da subito riscontro alle richieste dei reclamanti. Con riferimento alla geolocalizzazione, non vi sarebbe stata violazione dei dati dei reclamanti, in quanto i dispositivi in dotazione non forniscono alcuna rilevazione degli spostamenti e dei percorsi effettuati, né delle relative pause/riposi. Tali dispositivi (GPS) sono forniti in dotazione al solo fine di consentire ai lavoratori di effettuare una corretta ed automatica lettura dei dati dei contatori gas e energia, in ottemperanza alle richieste del committente. Né, secondo la resistente, sussisterebbe alcuna condotta dolosa della Società. Eventuali violazioni/irregolarità – secondo la Società – sarebbero ascrivibili a mero titolo di colpa, avendo la Società sempre operato in totale buona fede”. Il datore di lavoro, sulla sorta dei canoni di proporzionalità e adeguatezza del trattamento dei dati personali, ribadisce che l’utilizzo dei dispositivi è stato limitato al solo momento della lettura dei contatori da parte del lavoratore, il quale: decide autonomamente quanto accendere/spegnere il terminale; non è soggetto ad alcuna forma di controllo a distanza (né è tenuto a mantenere il suddetto strumento attivo durante i propri spostamenti: ad esempio dalla propria abitazione al luogo di lettura e/ nei tragitti fra i diversi luoghi di lettura)”.
Peraltro, secondo la Società, sarebbero state adottate misure tecniche ed organizzative finalizzate alla minimalizzazione dei dati raccolti. Ai lavoratori sarebbero state fornite apposite policy per la gestione ed utilizzo dei terminali GPS. Tale documentazione, unitamente alle informative privacy, è stata fin da subito inviata i reclamanti. Inoltre, i terminali messi in dotazione non raccolgono alcun dato relativo agli spostamenti effettuati dai lavoratori nel corso della presentazione lavorativa. Ed anzi, i medesimi rimarrebbero accesi soltanto al momento della lettura dei contatori, al fine di garantire certezza e correttezza egli effettivi consumi.
La condotta de qua integrerebbe la fattispecie di cui all’art. 168 del Codice, rubricata “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”, in base agli elementi acquisiti nel corso dell’attività istruttoria: secondo l’Autorità, risulterebbe accertato che la Società, in qualità di titolare, avrebbe tenuto una condotta non conforme alla disciplina in materia di protezione dei dati con riferimento all’esercizio del diritto di accesso.
La violazione avrebbe riguardo al Regolamento che riconosce all’interessato un diritto di accesso, ai sensi dell’art. 15, in caso di un inidoneo riscontro alle istanze presentate dai reclamanti. In proposito si richiamava l’art. 12 del Regolamento, da leggere anche in combinato disposto con le norme relative agli specifici diritti riconosciuti dall’ordinamento all’interessato, in base al quale “il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovato con altri mezzi l’identità dell’interessato”. Secondo il Garante, il titolare del trattamento è tenuto – in un’ottica collaborativa – ad agevolare l’esercizio dei diritti dell’interessato ai sensi degli articoli da 15 a 22 (Romei,
Diritto alla riservatezza del lavoratore, in
QDLRI, 1994, n. 15, 68).
L’Autorità, inoltre, prende le mosse dal paragrafo 3 del medesimo articolo: esso precisa che “il titolare del trattamento fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il titolare del trattamento informa l’interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta. Se l’interessato presenta la richiesta mediante mezzi elettronici, le informazioni sono fornite, ove possibile, con mezzi elettronici, salvo diversa indicazione dell’interessato”. In base al paragrafo 4 del medesimo articolo il titolare del trattamento, qualora non ottemperi all’istanza dell’interessato, “informa l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale”. L’art. 15 del Regolamento – da cui il Garante trae spunto ai fini dell’irrogazione delle sanzioni – prevede che “l’interessato ha diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali” e a una serie di informazioni indicate nello stesso articolo. Inoltre, in base al par. 3 del medesimo articolo il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento. Se l’interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dall’interessato, le informazioni sono fornite in un formato elettronico e di uso comune” (Ferri,
Persona e privacy,
in RDComm, 1982, 115-116; Bianca,
Diritto civile, Giuffrè, 1991, vol. 1, 170).
Il Garante, altresì, richiama le Guidelines 01/2022 on data subject rights – Right of access, EDPB, 28 marzo 2023. Esse chiariscono che per accesso ai dati personali si intende l’accesso ai dati personali effettivi, non solo una descrizione generale dei dati, né un semplice riferimento alle categorie di dati personali trattati dal titolare. Gli interessati hanno il diritto di accedere a tutti i dati trattati che li riguardano, o a parti di essi, a seconda dell’oggetto della richiesta.
Nel merito è emerso che la Società non ha dato idoneo riscontro all’istanza di accesso ex art. 15 del Regolamento presentata da due dei reclamanti, in data 22 novembre 2019 e 23 gennaio 2020. Nonostante, infatti, il 3 dicembre 2019 e il 25 marzo 2020 la Società abbia fornito riscontro alle istanze presentate, comunicando agli interessati limitate informazioni in merito ai trattamenti oggetto di richiesta, anche con invio di alcuni documenti, non si ritiene che, per ciò solo, la condotta tenuta dalla Società sia conforme agli artt. 12 e 15 del Regolamento.
In proposito, è necessario, infatti, esaminare nel merito il riscontro e la documentazione allegata.
Ciò in quanto non può considerarsi sufficiente, per conformarsi alle citate norme, fornire un riscontro se quest’ultimo risulta avere un contenuto insufficiente.
In particolare, sulla base dell’istruttoria operata dal Garante, sarebbe emerso che la Società non avrebbe fornito in modo completo quanto richiesto attraverso le istanze de reclamanti né si ritiene che i documenti forniti dalla Società contenessero in modo esaustivo le informazioni stesse, nonostante la chiarezza e l’analiticità delle istanze.
I reclamanti, infatti, hanno presentato un’istanza di accesso ai dati relativi ai trattamenti effettuati dalla Società al fine di calcolare i tempi della prestazione lavorativa e i rimborsi chilometrici, in
particolare relativamente ai trattamenti effettuati attraverso un device fornito dalla Società.
La Società, nel riscontrare formalmente le richieste, secondo l’Autorità, non avrebbe però comunicato gli specifici dati relativi ai reclamanti trattati, tra l’altro, attraverso la geolocalizzazione sul terminale loro fornito nell’ambito della prestazione lavorativa né tutte le informazioni richieste dai reclamanti in proposito al trattamento dei predetti dati; si è limitata, infatti, ad indicare le modalità e le finalità del trattamento dei dati relativi alla geolocalizzazione. Ciò, nonostante l’art. 12 par. 3 del Regolamento disponga che il titolare del trattamento fornisca all’interessato che esercita uno dei diritti riconosciuti dal Regolamento le informazioni richieste dallo stesso.
La Società, quindi, nei limiti dei dati conservati, avrebbe dovuto fornire ai reclamanti i dati relativi alle specifiche rilevazioni/coordinate geografiche effettuate con il GPS dello smartphone attivato dai lavoratori in prossimità del contatore per la lettura del medesimo.
In proposito, il Garante rammenta che il diritto riconosciuto all’interessato di accedere ai propri dati oggetto di trattamento nonché alle informazioni previste dall’art. 15 del Regolamento, in applicazione dei principi di trasparenza e correttezza (art. 5, par. 1, lett. a) del Regolamento), non può ritenersi soddisfatto attraverso il mero rinvio a quanto contenuto nell’informativa sul trattamento dei dati di cui agli artt. 13 e 14 del Regolamento, senza alcun riferimento al trattamento effettuato nel concreto.
L’Autorità, in particolare, offre una digressione di carattere sistematico, affermando che diritto di accesso e il diritto di ricevere la c.d. informativa, seppur correlati, sono, infatti, diritti differenti, sanciti da distinte disposizioni dell’ordinamento, rispondenti ad esigenze di tutela e garanzia dell’interessato non completamente sovrapponibili (Per una disamina più approfondita si vedano Barraco, Sitzia,
La tutela della privacy nei rapporti di lavoro, Ipsoa, 2008, 73 ss.; da ultimo A. Sitzia,
Il diritto alla “privatezza” nel rapporto di lavoro tra fonti comunitarie e nazionali, Cedam, 2013, 127 ss.).
Come recentemente chiarito anche dalle Guidelines 01/2022 on data subject rights – Right of access, EDPB, 28 marzo 2023, in sede di riscontro all’istanza di accesso il titolare deve adattare, alla specifica condizione dell’interessato, quanto indicato in termini necessariamente generali nell’informativa (o nel registro dei trattamenti).
Di notevole rilevanza è la statuizione del Garante, secondo cui tutte le informazioni fornite nell’informativa, in sede di comunicazione all’interessato ai sensi dell’art. 15 del Regolamento, devono essere verificate e declinate alla luce delle concrete operazioni di trattamento effettuate nei confronti del richiedente.
Nel contesto della comunicazione delle informazioni di cui all’articolo 15, tutte le informazioni sul trattamento di cui dispone il titolare del trattamento devono pertanto essere aggiornate e adattate alle operazioni di trattamento effettivamente svolte nei confronti dell’interessato che presenta la richiesta. Pertanto, il rinvio all’informativa privacy generale (privacy policy) non sarebbe un mezzo sufficiente per consentire al titolare del trattamento di fornire le informazioni di cui all’articolo 15, paragrafo 1, lettere a) -h), e (2), a meno che le informazioni “su misura e aggiornate” non coincidano con le informazioni fornite all’inizio del trattamento.
Secondo l’istruttoria del Garante, la Società, in qualità di titolare, avrebbe trattato, tra l’altro, dati relativi alla geolocalizzazione degli smartphone forniti ai reclamanti per lo svolgimento della prestazione lavorativa e, quindi, dati dei reclamanti: in particolare, quantomeno, la posizione geografica degli stessi nel momento della lettura dei contatori di acqua, gas e luce alla quale erano preposti considerato che la geolocalizzazione aveva il dichiarato fine di “permettere all’operatore l’individuazione del tragitto da effettuare per giungere ai contatori, posto che il terminale indica dove effettuare le rilevazioni.
In proposito, infatti, contrariamente a quanto ritenuto dalla Società, vista la definizione di “dato personale”, considerato che dalla geolocalizzazione degli smartphone in uso ai reclamanti è derivata indirettamente la geolocalizzazione dei reclamanti stessi, emerge quindi che la Società medesima ha trattato dati relativi ai reclamanti, in particolare la loro posizione geografica, quantomeno nel momento della lettura dei contatori.
In merito al diritto di accesso ai dati si ritiene necessario, inoltre, il Garante richiama l’orientamento della Corte di Giustizia dell’Unione europea in base al quale “il diritto di accesso [ex art. 15 del Regolamento] è caratterizzato dall’ampia portata delle informazioni che il titolare del trattamento dei dati deve fornire all’interessato”: essa costituisce una delle disposizioni volte a garantire la trasparenza delle modalità di trattamento dei dati personali nei confronti dell’interessato”; il Garante ribadisce, in chiave sistematica, che “il diritto di una persona di accedere ai propri dati personali e alle altre informazioni menzionate all’articolo 15, paragrafo 1, di detto regolamento ha lo scopo, anzitutto, di consentire a tale persona di essere consapevole del trattamento e di verificarne la liceità” (punto 56), “tale diritto di accesso è necessario affinché l’interessato possa esercitare, se del caso, il suo diritto di rettifica, il suo diritto alla cancellazione (“diritto all’oblio”) e il suo diritto di limitazione di trattamento, diritti questi che gli sono riconosciuti, rispettivamente, dagli articoli da 16 a 18 del RGPD, il suo diritto di opposizione al trattamento dei suoi dati personali, previsto dall’art. 21 del RGPD, nonché il suo diritto di agire in giudizio nel caso in cui subisca un danno, previsto dagli articoli 79 e 82 del RGPD”. Secondo l’Autorità, l’articolo 15, paragrafo 1, del GDPR costituisce una delle disposizioni volte a garantire che le modalità attraverso le quali i dati personali sono trattati siano trasparenti per l’interessato” (sentenza CGUE del 22 giugno 2023, C-579/21).
Ciò posto, secondo il Garante, la Società avrebbe dovuto fornire un completo riscontro alle istanze di esercizio del diritto di accesso anche comunicando i dati relativi alla geolocalizzazione dei reclamanti nonché le informazioni espressamente richieste; neppure durante l’istruttoria condotta dall’Autorità la Società ha invece fornito un riscontro completo.
La Società, pertanto, avrebbe violato gli artt. 12 e 15 del Regolamento.
Infine e in ogni caso, il Garante sancisce come la Società, anche qualora non avesse ritenuto di poter soddisfare pienamente le richieste di esercizio del diritto di accesso avrebbe dovuto esplicitamente indicare, contrariamente a quanto ha fatto, nel riscontro agli interessati, conformemente all’art. 12 par. 4 del Regolamento, quantomeno i motivi specifici per i quali non potesse (eventualmente) soddisfare quelle specifiche istanze di accesso con la precisazione della possibilità di presentare reclamo al Garante o ricorso giurisdizionale (cfr. art. 12, par. 4 del Regolamento). Per i suesposti motivi l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019. La condotta posta in essere dalla Società che è consistita nel fornire un non idoneo riscontro alle istanze di accesso presentate dai reclamanti risulta infatti illecita, nei termini su esposti, in relazione agli artt. 12 e 15 del Regolamento. La violazione, accertata nei termini di cui in motivazione, non può essere considerata “minore”, tenuto conto della natura, della gravità e della durata della violazione stessa, del grado di responsabilità e della maniera in cui l’autorità di controllo ha preso conoscenza della violazione (cons. 148 del Regolamento). Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento, alla luce del caso concreto:
– Il Garante ingiunge alla Società di soddisfare le richieste dei reclamanti di accesso, così come formulate in data 22 novembre 2019 e 23 gennaio 2020 (art. 58, par. 2, lett. c), Regolamento), fornendo ai reclamanti i dati relativi agli stessi nonché le informazioni espressamente richieste nelle istanze dei reclamanti al netto di quanto già limitatamente indicato in data 3 dicembre 2019 e 25 marzo 2020;
– l’Autorità medesima dispone l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) Regolamento).
All’esito del procedimento, dunque, risulta che Shardana Working Società Coop. a r.l. ha violato gli artt. 12 e 15 del Regolamento. Per la violazione delle predette disposizioni è prevista l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. b) del Regolamento, mediante adozione di un’ordinanza ingiunzione.
Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini della applicazione
della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), il Garante rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:
a) in relazione alla natura, gravità e durata della violazione è stata considerata la natura della violazione che ha riguardato l’esercizio dei diritti dell’interessato nonché la durata della violazione stessa in quanto il titolare del trattamento non ha fornito idoneo riscontro neanche a seguito dell’intervento dell’Autorità; è stato anche valutato il numero di interessati pari a tre;
b) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare è stata presa in considerazione la persistente mancanza di idoneo riscontro alle istanze di esercizio del diritto di accesso;
c) a favore del titolare è stata considerata l’assenza di precedenti violazioni pertinenti commesse dalla Società.
Il Garante stesso ritiene, inoltre, che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla Società con riferimento al bilancio abbreviato d’esercizio per l’anno 2021.
Da ultimo, l’Autorità considera – ex art. 3 Cost. – anche l’entità delle sanzioni irrogate in casi analoghi (Finocchiaro,
Il quadro d’insieme sul Regolamento europeo, in Finocchiaro (a cura di),
La protezione dei dati personali in Italia – Regolamento UE n. 2016/679 e d.lgs. 10 agosto 2018, n. 101, Bologna, 2019, 9).
Alla luce degli elementi sopra indicati e delle valutazioni effettuate, il Garante ritiene, nel caso di specie, di applicare nei confronti della società datrice di lavoro la sanzione amministrativa del
pagamento di una somma di denaro.
In tale quadro, l’Autorità indipendente, altresì, ha preso in considerazione la tipologia delle violazioni accertate che hanno riguardato l’esercizio dei diritti dell’interessato che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante (Bellavista,
I poteri dell’imprenditore e la privacy del lavoratore, in
DL, 2002, I, 149; Chieco,
Privacy e lavoro, Cacucci, 2000; Ferrante,
La privacy del lavoratore: brevi considerazioni alla luce delle fonti internazionali e della normativa comparata, in
QDLRI, 2000, n. 24, 279).
Giuseppe Maria Marsico, dottorando di ricerca in diritto privato e dell’economia e funzionario giuridico-economico-finanziario
Visualizza il documento:
Garante privacy, 14 settembre 2023, n. 403
Scarica il
commento in PDF
L'articolo
Il Garante per la protezione dei dati personali delimita i confini dell’ammissibilità del diritto di accesso ai dati sulla geo-localizzazione dei dipendenti sembra essere il primo su
Rivista Labor - Pacini Giuridica.