g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di FCA Italy s.p.a. - 16 dicembre 2021 [9742908]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9742908]

Ordinanza ingiunzione nei confronti di FCA Italy s.p.a. - 16 dicembre 2021

Registro dei provvedimenti
n. 439 del 16 dicembre 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il Prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Claudio Filippi, vice segretario generale;

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il reclamo presentato da un cittadino inglese (sig. XX) all’Autorità di controllo inglese (ICO) con cui lo stesso ha lamentato la violazione del proprio diritto di accesso ai sensi dell’art 15 del Regolamento europeo 2016/679;

CONSIDERATA la procedura IMI art. 56 (n. 47577) caricata dall’Autorità di controllo inglese (ICO) e comunicata a tutte le altre Autorità di controllo europee in data 17 agosto 2018;

CONSIDERATA l’osservazione con cui il Garante ha dichiarato di essere Autorità capofila nella procedura in quanto il titolare del trattamento ha lo stabilimento principale in Italia;

VISTA la nota di FCA Italy s.p.a. del 17 aprile 2019, con cui la Società ha inviato al Garante le informazioni richieste relative al trattamento, dalla stessa effettuato, dei dati personali del reclamante;

VISTA la nota del 25 ottobre 2019, con cui il Garante ha notificato alla Società, ai sensi dell’art. 166, comma 5, del Codice, le presunte violazioni riscontrate, con specifico riferimento agli artt. 12, par. 3 e 4, e 15 del Regolamento, invitandola a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, legge n. 689 del 24 novembre 1981);

VISTA la nota pervenuta il 15 novembre 2019, con cui FCA Italy s.p.a. ha chiesto una formale audizione al Garante;

VISTO il verbale dell’audizione svoltasi in data 5 ottobre 2020 presso gli Uffici del Garante;

VISTA la nota del 2 ottobre 2020 con cui FCA Italy s.p.a. ha inviato al Garante i propri scritti difensivi;

VISTA la bozza di decisione (“Draft Decision”) approvata dal Collegio del Garante nell’adunanza dell’11 marzo 2021;

CONSIDERATA la procedura “art. 60 Draft Decision” aperta dal Garante nel sistema informatico IMI nel rispetto dei principi di cooperazione e coerenza fissati dall’art. 60 del Regolamento;

CONSIDERATE le obiezioni pertinenti e motivate presentate, ai sensi dell’art. 60, comma 4, del Regolamento, dall’Autorità di controllo austriaca, la quale ha ritenuto che FCA Italy s.p.a. avrebbe dovuto fornire all’interessato solo i dati personali allo stesso relativi contenuti nella documentazione in suo possesso (trascrizioni telefoniche, note interne del caso) e non anche la copia dei suddetti documenti;

VISTA la bozza di decisione riveduta (“Revised Draft Decision”) approvata dal Collegio del garante nell’adunanza del 16 settembre 2021 con cui il Garante ha dato seguito all’obiezione pertinente e motivata sollevata dall’Autorità di controllo austriaca;

VISTA la procedura “art. 60 Revised Draft Decision” aperta dal Garante nel sistema informatico IMI nel rispetto dei principi di cooperazione e coerenza fissati dall’art. 60 del Regolamento;

CONSIDERATO che nessuna delle Autorità di controllo interessate ha sollevato ulteriori obiezioni al progetto di decisione riveduto ai sensi dell’art. 60, comma 6, del Regolamento;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Sintesi del reclamo

Il reclamante, cittadino inglese, presentava un reclamo all’Autorità di controllo inglese (ICO) sostenendo che il 28 maggio 2018 aveva richiesto ad FCA Italy s.p.a. l’invio sia delle trascrizioni delle conversazioni telefoniche intercorse tra lo stesso e il centro di assistenza alla clientela gestito dalla società FCA Customer Services Centre s.r.l. (di seguito “CSC”) - a cui si era precedentemente rivolto a seguito del malfunzionamento della strumentazione di un proprio veicolo - sia della documentazione relativa alla vicenda (“c.d. case notes”). A seguito di tale istanza, FCA avrebbe dichiarato, telefonicamente, di non poter dar seguito alle suddette richieste in ragione di alcune non specificate norme italiane in materia di privacy e che comunque non avrebbe potuto fornire risposta fin tanto che la vicenda relativa al malfunzionamento del veicolo non si fosse conclusa.

2. Attività istruttoria svolta dal Garante

Il Garante ha dichiarato di essere Autorità capofila nella procedura in esame in quanto il titolare del trattamento ha lo stabilimento principale in Italia.

Sulla base di tale reclamo, il Garante ha richiesto al titolare del trattamento (FCA Italy s.p.a.) con sede a Torino, di fornire le sue osservazioni in merito al trattamento dei dati personali del reclamante.

Con nota del 17 aprile 2019, FCA Italy s.p.a. ha inviato le informazioni richieste dal Garante e ha dichiarato che il CSC, nell’ambito della politica di gestione delle chiamate, prevede la registrazione delle telefonate solo in fase di entrata (c.d. inbound) e solo per finalità formative e di monitoraggio della qualità (c.d. primo livello); successivamente la chiamata viene trasferita ad altro operatore competente per materia (c.d. help desk di secondo livello) la cui registrazione, così come per le chiamate c.d. outbound, non è prevista. In tali casi, gli operatori provvedono ad eseguire delle annotazioni (“note”) riferite al colloquio intercorso con il cliente. In relazione alla richiesta formulata dal sig. XX di ottenere le registrazioni delle telefonate di secondo livello, FCA ha dichiarato che essendo le stesse affidate all’help desk e non oggetto di registrazione, tale richiesta non poteva essere accolta.

Per quanto concerne invece la richiesta di ottenere il rilascio di copia delle “note” dei casi derivanti dalle suddette telefonate, FCA ha dichiarato che le stesse non sarebbero state fornite all’interessato in quanto le stesse costituiscono “documenti interni e confidenziali” utili ai fini della ricostruzione dei fatti accaduti e della gestione dei casi.

Alla luce delle risultanze istruttorie, l’Ufficio ha ritenuto che i dati del reclamante siano stati trattati da FCA Italy s.p.a. in violazione degli art. 12, par. 3 e 4, e 15 del RGPD per le seguenti motivazioni:

avendo l’interessato il diritto di ottenere l’accesso a tutte le informazioni ed ai dati personali che lo identifichino o lo rendano identificabile (art. 15 e 4 (1) del RGPD), FCA Italy s.p.a. avrebbe dovuto fornire, al reclamante, sia la trascrizione delle telefonate, ove registrate, sia i dati personali allo stesso riferibili contenuti nelle c.d. “note ad uso interno”;

essendo il titolare del trattamento tenuto a fornire all’interessato le informazioni richieste, senza ingiustificato ritardo o al più tardi entro un mese dalla richiesta, specificando le eventuali ragioni ostative all’ostensione dei documenti richiesti (art. 12 (3) del RGPD), FCA Italy s.p.a. avrebbe dovuto fornire riposta al reclamante, specificando le ragioni del rifiuto al fine di permettere all’interessato di formulare reclamo all’autorità di controllo, ove non si fosse ritenuto soddisfatto, indipendentemente dal fatto che la vicenda relativa al malfunzionamento del veicolo si fosse o meno risolta;

l’art. 23 del Regolamento, che richiama la possibilità per gli Stati membri di limitare, in talune circoscritte ipotesi, l’esercizio del diritto di accesso dell’interessato, condiziona tale possibilità, fra l’altro, alla salvaguardia del corrispettivo diritto dell’interessato di essere informato di tale limitazione. L’art. 2-undecies del d.lgs. 196/2003 (come modificato dal d.lgs. 101/2018) ha, poi, espressamente previsto le ipotesi in cui può essere limitato l’esercizio dei diritti dell’interessato, purché, si dice, quest’ultimo ne venga informato dal titolare con “comunicazione motivata e resa senza ritardo”. Nel caso di specie, le informazioni al riguardo fornite all’interessato sono risultate incomplete e parziali e, solo nella più recente fase di riscontro all’Autorità, sono state avanzate delle riserve, peraltro non adeguatamente motivate, invocando il temporaneo diniego all’accesso finalizzato alla tutela dei diritti in fase giudiziaria.

Pertanto, alla luce delle suesposte motivazioni, l’Ufficio ha ritenuto illecito il trattamento svolto da FCA Italy s.p.a. e, con nota del 25 ottobre 2019, ha notificato alla società, ai sensi dell’art. 166, comma 5 del Codice, le presunte violazioni riscontrate, con riferimento agli artt. 12, par. 3 e 4, e 15 del Regolamento, invitandola a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, legge n. 689 del 24 novembre 1981).

FCA Italia s.p.a., con nota pervenuta il 15 novembre 2019, ha chiesto una formale audizione al Garante (svoltasi in data 5 ottobre 2020, successivamente ad una complessa fase di richiesta di accesso ai documenti ed alla sospensione dei termini causata dall’emergenza sanitaria) e, con nota del 2 ottobre 2020, ha inviato i propri scritti difensivi; con tale ultima comunicazione la società ha sostenuto che:

- FCA non ha violato la disciplina in materia di protezione dei dati personali, in quanto la società avrebbe fornito riscontro, nei tempi stabiliti dal Regolamento e dal Codice, ad ogni istanza dell’interessato, chiarendo, tuttavia, che non avrebbe potuto fornire all’istante né le registrazioni delle telefonate intercorse tra lo stesso e il servizio di Customer centre (in quanto non oggetto di registrazione) né i c.d. “case notes” in quanto, richiamandosi all’art. 8, comma 3, lett. e) – coincidente con l’art. 2-undecies, lett. e) del Codice - l’ostensione degli stessi sarebbe stata pregiudizievole per l’esercizio del diritto di difesa della società in sede giudiziaria (avendo più volte l’istante manifestato l’intenzione di rivolgersi al Motor Ombudsman); 

- essendo la richiesta dell’istante datata 14 maggio 2018 (data precedente all’entrata in vigore del Regolamento) dovrebbe applicarsi, al caso di specie, la normativa prevista dal previgente dal d.lgs. n. 196 del 2003;

- dal momento che l’istante, nel reclamo presentato all’ICO, avrebbe richiesto l’applicazione di misure correttive e non anche di misure sanzionatorie, il Garante dovrebbe limitarsi a pronunciare solo sulle prime e che, comunque, il regime sanzionatorio applicabile sarebbe quello del previgente d.lgs. n. 196 del 2003, essendo quest’ultimo il regime normativo vigente al momento della richiesta di accesso dell’interessato. 

In sede di audizione, tenutasi il 5 ottobre 2020 presso gli Uffici del Garante, la società, nel riportarsi ai propri scritti difensivi, ha rappresentato che:

- il riscontro fornito dalla società alla richiesta di accesso del reclamante ai propri dati personali sarebbe stato “tempestivo” in quanto l’operatrice del call center non avrebbe opposto un rifiuto all’accesso, ma avrebbe rinviato il riscontro ad un momento successivo, dopo la conclusione della controversia;

- in ogni caso, la normativa applicabile dovrebbe essere quella vigente al momento in cui si è verificato il fatto, cioè la data della richiesta di accesso del reclamante; pertanto sarebbe applicabile il regime normativo previsto dal d.lgs. 196/2003;

- nell’ipotesi di applicabilità del d.lgs. 196/2003, le violazioni contestate non sarebbero sussistenti in quanto, sulla base dell’applicazione dell’art. 8, comma 2, lett. e) del Codice, il diritto di accesso troverebbe limitazione nella possibilità per la società di esercitare il diritto di difesa.

La società ha altresì fatto richiesta al Garante di non pubblicare l’eventuale provvedimento conclusivo del procedimento e di tener conto, sotto il profilo sanzionatorio, del periodo di prima applicazione delle disposizioni sanzionatorie del Regolamento, beneficiando del c.d. “grace period”.

3. Valutazioni dell’Autorità

Alla luce delle valutazioni che precedono, si rileva che le dichiarazioni rese dal titolare del trattamento negli scritti difensivi e in sede di audizione ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentirne l’archiviazione, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019, concernente le procedure interne all’Autorità aventi rilevanza esterna.

In particolare, si rappresenta che:

- contrariamente a quanto argomentato dalla società nei propri scritti difensivi, la disciplina applicabile al caso di specie è quella del Regolamento (UE) 679/2016 nonché del Codice, come modificato dal d.lgs. 101/2018. Infatti, sebbene l’istanza del reclamante sia stata rivolta a FCA pochi giorni prima dell’entrata in vigore del Regolamento, il reclamo stesso è stato presentato all’ICO successivamente, ovvero in data 31 maggio 2018 determinando, per ciò solo, la trattazione dello stesso secondo la normativa appena intervenuta. Inoltre, ancor più rilevante ai fini dell’applicabilità del Regolamento al caso in esame, è la circostanza che il mancato riscontro alle istanze del reclamante ha determinato una violazione della disciplina in materia di protezione dei dati personali che, seppur iniziata prima del 25 maggio 2018, si è protratta anche successivamente all’entrata in vigore del Regolamento. Il titolare, una volta ricevuta l’istanza del reclamante, avrebbe dovuto fornire riscontro, sulla base delle disposizioni di cui agli artt. 15 e 12 del Regolamento, al più tardi entro il 14 giugno 2018 (in piena vigenza del Regolamento). Poiché “il trattamento già in corso alla data di applicazione del (…) Regolamento dovrebbe essere reso conforme al (…) Regolamento” (Considerando 171), il momento di determinazione della normativa applicabile è il momento della commessa violazione da parte del titolare; non avendo FCA provveduto, neanche successivamente alla data del 14 giugno 2018, a riscontrare la richiesta dell’interessato, si è determinata la continuazione della violazione fino a quando FCA vi ha posto rimedio. Si deve, perciò, ritenere che la violazione da parte della società sia avvenuta nella vigenza delle disposizioni del Regolamento e del Codice - come modificato dal d.lgs. 101/2018 - e che, dunque, ai fini della determinazione del quadro normativo applicabile, sotto il profilo temporale, queste costituiscono le disposizioni di riferimento in ordine alla violazione;

- conseguentemente, anche ai fini della determinazione della disciplina sanzionatoria applicabile, la normativa di riferimento è il Regolamento;

- non possono neanche essere accolte le argomentazioni della società relative al “tempestivo” riscontro fornito all’istante (per e-mail o per telefono tramite call center), con cui la stessa avrebbe anche motivato il diniego all’esibizione dei documenti richiesti. Come detto sopra, non può trovare applicazione, al caso in esame, l’art. 2-undecies del d.lgs. 196/2003 (come modificato dal d.lgs. 101/2018) - che prevede la possibilità per il titolare di limitare, in talune circoscritte ipotesi, di limitare l’esercizio del diritto di accesso dell’interessato – previa una “comunicazione motivata e resa senza ritardo”. Nel caso di specie, le informazioni al riguardo fornite all’interessato sono invece risultate incomplete e parziali e solo nella più recente fase di riscontro all’Autorità, sono state avanzate delle riserve, peraltro non adeguatamente motivate, invocando il temporaneo diniego all’accesso finalizzato alla tutela dei diritti in fase giudiziaria. Posto che l’interessato, a fronte dell’esercizio di un diritto, quale quello riconosciuto dall’art. 15 del Regolamento, deve essere messo in condizioni di conoscere tempestivamente la eventuale sussistenza di limitazioni all’esercizio del proprio diritto, il richiamo generico alla “privacy law” indicato dalla società non può considerarsi sufficientemente esaustivo. Allo stesso modo, il pregiudizio all’esercizio del diritto di difesa che il titolare teme di subire, solo a fronte della manifestata intenzione dell’istante di rivolgersi al Motor Ombudsman, non è idoneo a integrare di per sé il caso di limitazione ai diritti dell’interessato previsto dall’art. 2-undecies, comma 1, lett. e) del Codice. Conseguentemente, la decisione di non comunicare all’istante i dati richiesti rinviando a un momento successivo non è supportata da idonei elementi e, come tale, determina la violazione delle già richiamate disposizioni.

Per i suesposti motivi, si confermano le valutazioni preliminari dell’Ufficio in base alle quali la società non ha ottemperato all’obbligo di fornire riscontro alle richieste di accesso ai dati avanzate dall’interessato, come prescritto dall’art. 12 del Regolamento in base al quale “il titolare del trattamento fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa”.

Ciò pertanto è avvenuto in violazione degli artt. 12 e ss. del Regolamento.

4. Ordinanza di ingiunzione

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5 del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. L. 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali riferiti al reclamante, di cui è risultata accertata l’illiceità, nei termini sopra esposti, degli artt. 12 e ss. del Regolamento, all’esito del procedimento di cui all’art. 166, comma 5 svolto in contraddittorio con il titolare del trattamento (v. punti 1.2., 1.3, 1.4 del presente).

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che le sanzioni deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state tenute in considerazione le circostanze sotto riportate.
Con riguardo alla natura, gravità e durata, la violazione è stata considerata rilevante riguardando le disposizioni sull’esercizio dei diritti degli interessati e la circostanza che quanto avvenuto è, in gran parte, stato causato dalla mancata implementazione, da parte del titolare del trattamento, di misure appropriate volte a garantire all’interessato l’accesso ai dati personali; nonché alla circostanza che la violazione si è protratta dalla data entro la quale il titolare doveva dare adempimento alle richieste avanzate dall’interessato ad oggi (non essendo mai stato fornito riscontro). 

Si prende atto che non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento e che la Società ha complessivamente e attivamente cooperato con l’Autorità nel corso del procedimento.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 20.000 (ventimila) per la violazione degli artt. 12 e ss. del Regolamento ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

In tale quadro, anche in considerazione della tipologia di violazione accertata, che ha riguardato i diritti dell’interessato, si ritiene che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito internet del Garante.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

dichiara, ai sensi degli artt. 57, par. 1, lett. f) e 83 del Regolamento, l’illiceità del trattamento effettuato, nei termini di cui in motivazione, da FCA Italy s.p.a., per la violazione degli artt. 12 e ss. del Regolamento;

INGIUNGE

ai sensi dell’art. 58, par. 2, lett. c), di comunicare all’interessato, nel termine di 30 giorni dalla ricezione del presente provvedimento, i dati personali allo stesso riferiti contenuti nei c.d. “case notes” relativi alla vicenda in questione;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, a FCA Italy s.p.a., in persona del legale rappresentante pro-tempore, con sede legale in Torino, C.so G. Agnelli 200, C.F. e P. IVA n. 07973780013, di pagare la somma di euro 20.000 (ventimila euro) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione;

INGIUNGE

quindi alla medesima società di pagare la somma di euro 20.000 (ventimila euro), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981. Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato;

DISPONE

ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del regolamento n. 1/2019.

Richiede a FCA Italy s.p.a. di comunicare l’avvenuto adempimento a quanto disposto con il presente provvedimento e di fornire riscontro, adeguatamente documentato, ai sensi dell’art. 157 del Codice, entro il termine di 90 giorni dalla data di notifica del presente provvedimento; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 5, lett. e) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 16 dicembre 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL VICE SEGRETARIO GENERALE
Filippi

Scheda

Doc-Web
9742908
Data
16/12/21

Tipologie

Ordinanza ingiunzione o revoca