g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Consorzio Concessioni Reti Gas S.c.a.r.l. - 9 marzo 2023 [9877754]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9877754]

Ordinanza ingiunzione nei confronti di Consorzio Concessioni Reti Gas S.c.a.r.l. - 9 marzo 2023

Registro dei provvedimenti
n. 68 del 9 marzo 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presentato ai sensi dell’art. 77 del Regolamento dal dott. XX nei confronti di Consorzio Concessioni Reti Gas S.c.a.r.l.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. Il reclamo nei confronti del Consorzio e l’attività istruttoria.

Con reclamo del 12 febbraio 2020, poi regolarizzato il 23 marzo e il 21 maggio 2020, il dott. XX ha lamentato presunte violazioni del Regolamento da parte di Consorzio Concessioni Reti Gas S.c.a.r.l. (di seguito, Consorzio), in particolare l’impossibilità di accedere all’account “XX” a seguito dell’interruzione, in data 11 febbraio 2020, del tirocinio intrapreso con il Consorzio, nonché la persistente attività dell’account predetto, a seguito della interruzione del tirocinio, e l’assenza di informativa in merito al trattamento dei dati relativi all’account di posta elettronica.

Con nota del 27 ottobre 2020, nel fornire riscontro alle richieste dell’Ufficio, il Consorzio ha dichiarato che:

− “l’attività lavorativa del Consorzio Concessioni Reti Gas […] riguarda esclusivamente l’instaurazione di rapporti con Enti Pubblici e Pubbliche Amministrazioni, aventi ad oggetto il supporto ai medesimi nella fase di compilazione della documentazione di gara” (v. nota 27.10.2020 cit., p. 1);

− “in data 18 ottobre 2019 il presente Consorzio costituiva un rapporto di tirocinio formativo con il [reclamante], della durata di 6 mesi” (v. nota cit., p. 1);

− “in data 11 febbraio 2020 […] il […] Consorzio provvedeva ad inoltrare una formale comunicazione a mezzo pec al [reclamante], avente ad oggetto l’interruzione unilaterale del tirocinio formativo. Alla stessa seguiva l’inoltro al [reclamante] del c.d. Modulo di Comunicazione Cessazione Anticipata Tirocinio con la relativa giusta causa” (v. nota cit., p. 1);

− “a seguito dell’interruzione del rapporto di tirocinio formativo il [reclamante] pretendeva di ottenere nuovamente l’accesso dell’account di posta elettronica aziendale che il presente Consorzio aveva provveduto a rendergli inaccessibile dalla data di interruzione del relativo rapporto” (v. nota cit., p. 1);

− “il Consorzio e, soprattutto, il […] responsabile tirocinio del [reclamante], impartivano verbalmente allo stesso le istruzioni e gli indirizzi guida per l’utilizzazione dell’account di posta elettronica a lui destinato e ripetutamente non ottemperati dallo stesso. Infatti, [il reclamante] è stato più volte richiamato alla correttezza nelle comunicazioni via e-mail e, per questo, all’inserimento in copia degli altri responsabili del Consorzio, secondo le procedure previste” (v. nota cit., p. 2);

− “essendo il Consorzio certificato ISO 9001, ai sensi della normativa vigente, è tenuto a seguire procedimenti rigorosi nell’uso della corrispondenza, in particolare operando a supporto di soggetti pubblici ed in un contesto sia di responsabilità che di riservatezza dei documenti inviati prevalentemente nell’ambito di procedure di gara ad evidenza pubblica” (v. nota cit., p. 2);

− “durante il mese di mancata utilizzazione della predetta e-mail, il Consorzio ha meramente visionato la eventuale esistenza di possibili contenuti utili per lo stesso” (v. nota cit., p. 2);

− “il Consorzio possiede l’archivio delle comunicazioni pervenute nel mese precedente alla disattivazione del relativo account aziendale, tutte e-mail di contenuto e interesse rigorosamente aziendale ed alle quali, a nostro avviso, [il reclamante] non ha interesse ad accedervi in quanto non contengono dati personali del reclamante” (v. nota cit., p. 2);

− "il Consorzio non ha ritenuto opportuno procedere ad alcuna comunicazione automatizzata della disattivazione dell’account di posta elettronica aziendale del [reclamante]. Si trattava, infatti, di un tirocinio formativo che comportava una mole di corrispondenza ridotta e prevalentemente con gli altri dipendenti del Consorzio in copia” (v. nota cit., p. 2);

− “si sarebbe potuto verificare, altresì, l’inoltro di comunicazioni non autorizzate da parte dell’e-mail aziendale, nell’ambito di procedure di gara pubbliche, con risultati estremamente dannosi per il Consorzio e soprattutto per le Amministrazioni locali supportate” (v. nota cit., p. 2, 3).

In data 19 febbraio 2021, il Consorzio, a seguito di un invito a fornire ulteriori chiarimenti formulato dal Dipartimento, ha dichiarato che:

- “[l’]account aziendale veniva disattivato in data 06 aprile 2020. Nel periodo di tempo intercorso tra la cessazione del rapporto di tirocinio e la disattivazione dell’account, il Consorzio ha potuto reperire le informazioni pervenute all’account aziendale del [reclamante] da parte delle Pubbliche Amministrazioni, proprie clienti.” (v. nota 19.2.2022, cit., p. 1);

- “la corrispondenza contenuta nell’account aziendale relativo al [reclamante] è di tipo aziendale ed è intercorsa tra il Consorzio Reti Gas e le Pubbliche Amministrazioni sue clienti e viene conservata per esigenze connesse all’espletamento degli obblighi e rapporti intercorrenti con le Amministrazioni stesse” (v. nota cit., p. 1);

- “l’accesso […] all’account aziendale [del reclamante] è stato effettuato solo a seguito della cessazione del relativo rapporto e mai prima” (v. nota cit., p. 2).

In data 21 giugno 2021 il reclamante ha presentato proprie controdeduzioni.

In data 21 dicembre 2021, il Consorzio, a seguito di un invito a fornire ulteriori chiarimenti, ha dichiarato che:

- “ha provveduto ad instaurare un canale comunicativo con il provider del servizio del dominio di posta elettronica aziendale […] ottenendo quale ufficiale data di eliminazione dell’account di posta [del reclamante], quella del 06.04.2020” (v. nota 21.12.2021 cit., p. 1);

- “la ricevuta di accettazione datata 21 maggio 2020 e prodotta da controparte, nulla prova circa la perdurante attività e vita dell’account aziendale in questione. Innanzitutto, poiché […] i due sistemi operativi di posta ordinaria e posta certificata sono tra loro incompatibili. Inoltre, la ricevuta di accettazione relativa all’inoltro di una mail-pec è priva di qualsivoglia valore giuridico probatorio circa l’avvenuta ricezione della stessa, trattandosi, piuttosto, di mera conferma circa la presa in carico dell’inoltro, prodotta dallo stesso server del mittente” (v. nota cit., p. 2);

- “con il […] tentativo effettuato dalla posta elettronica certificata del CRG, oltre alla regolare e automatica generazione della ricevuta di accettazione, si autoproduce anche […] l’inoltro fallito per irreperibilità e irraggiungibilità dell’account [assegnato al reclamante], poiché non più esistente” (v. nota cit., p. 2).

In data 16 marzo 2022 il reclamante ha inviato proprie controdeduzioni.

2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e le deduzioni della Società.

Il 18 marzo 2022, l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione alla Società delle presunte violazioni del Regolamento riscontrate, con riferimento agli artt. 5, par. 1, lett. a), c) ed e), 12 anche con riferimento all’art. 15, e 13 del Regolamento.

Con gli scritti difensivi inviati in data 11 aprile 2022, la Società ha dichiarato che:

- “in ordine alla contestazione […] concernente la violazione dell’art. 5, par. 1, lett. c) ed e) [Regolamento], si rileva che l'account mail gestito dal [reclamante] per il periodo successivo alla cessazione del rapporto di tirocinio con lo stesso è stato mantenuto accessibile da parte del Consorzio scrivente per un lasso di tempo, dall'11.2.2020 al 6.4.2020, che non risulta incongruo rispetto all’esigenza non solo di prendere cognizione delle comunicazioni intercorse con le amministrazioni pubbliche clienti del Consorzio, ma anche a quelle di monitorare eventuali risposte che sarebbero eventualmente pervenute da parte delle clienti medesime” (v. nota 11.4.2022 cit., p. 1);

- il reclamante “al momento della cessazione del tirocinio si è rifiutato di effettuare un ordinario passaggio di consegne. Tale circostanza non ha consentito al Consorzio di avere precisa contezza delle comunicazioni inviate dal [reclamante] relativamente alla partecipazione a procedure ad evidenza pubblica” (v. nota cit., p. 1);

- “alla luce del principio di accountability che ispira l’attuale assetto normativo della protezione dei dati personali, le previsioni delle […] Linee guida [in materia di posta elettronica e internet nell’ambito del rapporto di lavoro adottate dal Garante], se costituiscono un utile punto di riferimento, non escludono che le finalità ivi perseguite ed i principi che le ispirano possano essere raggiunte con differenti misure e modalità, rimanendo in capo al titolare del trattamento le valutazioni sulle misure da adottare, all’uopo ritenute congrue, tenuto conto delle dimensioni e delle caratteristiche del titolare e della natura e della mole dei trattamenti di dati personali. Nel caso in questione, anziché adottare il meccanismo di risposta automatico suggerito dalle Linee Guida, stante il numero limitato di interlocutori da informare, come attesta peraltro il limitato numero di conversazioni rinvenute nell’account del [reclamante], il Consorzio ha preferito comunicare telefonicamente alle poche amministrazioni interessate l’avvenuta disattivazione dell’account stesso e i nuovi contatti ai quali rivolgersi” (v. nota cit., p. 1, 2);

- “non poteva determinarsi in capo [al reclamante] alcuna aspettativa di confidenzialità delle comunicazioni dell’account, che poteva essere utilizzato solo per motivi relativi alle esigenze aziendali, nell’ambito delle quali [il reclamante] svolgeva la propria attività di tirocinio, tale da escludere esigenze personali di altro tipo […] tanto più che le istruzioni fornite dal tutor al reclamante, tirocinante, hanno anche riguardato l’obbligo di inviare in copia al tutor stesso o ad altri responsabili del Consorzio, ogni comunicazione inviata [dal reclamante] a terzi. Ciò che ha peraltro trovato riscontro concreto, in quanto nell’account non erano presenti comunicazioni diverse da quelle strettamente inerenti ai rapporti lavorativi intrattenuti dall’impresa” (v. nota cit., p. 2);

- “la successiva conservazione dei messaggi di posta elettronica a seguito della cancellazione dell’account è stata finalizzata al perseguimento di esigenze di gestione dei rapporti lavorativi con le committenti e di eventuale tutela giurisdizionale sia nei confronti di queste ultime sia nei confronti [del reclamante]” (v. nota cit., p. 2);

- “i tempi di mantenimento dell’accesso all’account risultano a maggior ragione congrui se si considera che il periodo in questione ha inciso con le chiusure generalizzate delle attività e la riduzione degli spostamenti per le […] esigenze di tutela della salute pubblica insorte a causa della pandemia da Covid19, a ragione delle quali si è determinato un allungamento dei tempi a causa della materiale riduzione dell’attività aziendale” (v. nota cit., p. 2);

- “in relazione alla contestazione [della violazione degli artt. 12 e 13 del Regolamento] il Consorzio ha impartito nel corso del rapporto le indicazioni per l’utilizzo dell’account di posta elettronica aziendale” (v. nota cit., p. 2);

- “con riferimento […] alla contestazione [della violazione dell’art. 12 con riferimento all’art. 15 del Regolamento], [il reclamante] nella sua nota dell’11.2.2020 non ha in realtà chiesto l’accesso ai suoi dati personali né ha domandato copia delle comunicazioni dell’account di posta elettronica da lui gestito in costanza di rapporto, ma ha piuttosto diffidato il Consorzio a riabilitare l’utilizzo da parte sua del medesimo account. Dopo la cessazione del rapporto tra le parti, questa richiesta si appalesava evidentemente infondata, dal momento che le poche comunicazioni pervenute e trasmesse dall’account avevano esclusiva valenza aziendale e non attenevano a corrispondenza personale del reclamante. Non si dubita infatti che a seguito del venir meno del rapporto lavorativo o di altro tipo l’impresa sia legittimata a precludere l’utilizzo dell’account di posta elettronica aziendale da parte del prestatore di lavoro e di acquisire i relativi contenuti entro un limitato margine di tempo” (v. nota cit., p. 3).

In data 7 giugno 2022, nel corso dell’audizione del Consorzio, quest’ultimo ha dichiarato che:

- “il consorzio lavora per una buona parte dei comuni italiani fornendo consulenza agli stessi”;

- “il consorzio ha allo stato tre dipendenti che lavorano in tre sedi diverse (una a Perugia e due a Roma). È una realtà molto piccola il cui fatturato annuale ammonta a circa euro 300.000, nata dieci anni fa e che peraltro sta anche terminando la sua fase principale”;

- “con riferimento ai fatti oggetto di reclamo si precisa che con il reclamante ci sono stati alcuni fraintendimenti e incomprensioni sin dall’inizio […]. Il rapporto con il reclamante si è concluso rapidamente quasi subito dopo il suo inizio e in modo non collaborativo. Infatti il reclamante non ha consentito un regolare passaggio di consegne in relazione alle comunicazioni effettuate con i clienti né circa l’elenco dei clienti stessi. Tale circostanza è stata aggravata dal mancato rispetto da parte del reclamante dell’indicazione di mettere per conoscenza altro personale del consorzio in caso di contatti con clienti. Per questi motivi si è reso necessario mantenere attivo l’account al fine di controllare la corrispondenza intercorsa e verificare che non pervenissero comunicazioni di riscontro da parte delle amministrazioni clienti”;

- “il consorzio ha fatto un approfondito lavoro per conformarsi alla disciplina di protezione dei dati, anche sovradimensionato tenuto conto che i dati personali trattati nello svolgimento della sua attività non sono molti (relativi principalmente ai tre dipendenti considerato che i clienti sono per lo più amministrazioni comunali)”.

3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, risulta che il Consorzio, in qualità di titolare, ha effettuato alcune operazioni di trattamento, riferite al reclamante, che risultano non conformi alla disciplina in materia di protezione dei dati personali.

Il Consorzio, in particolare, successivamente alla cessazione del rapporto di tirocinio con il reclamante (rapporto intercorso fino al giorno 11.2.2020), ha mantenuto attivo, fino al 6 aprile 2020, l’account di posta elettronica individualizzato assegnato al reclamante (“XX”) accedendo alle comunicazioni elettroniche pervenute sul medesimo, a seguito della cessazione del tirocinio predetto. Nessun sistema di risposta automatico è stato attivato.

Non vi sono, inoltre, evidenze dell’adempimento di quanto previsto dall’art. 13 del Regolamento in merito al trattamento effettuato sull’account di posta elettronica assegnato al reclamante.

In proposito è necessario rammentare, innanzitutto, che lo scambio di corrispondenza elettronica − estranea o meno all’attività svolta in un ambito lavorativo − su un account aziendale di tipo individualizzato configura un’operazione che consente di conoscere alcune informazioni personali relative all’interessato, e che, per tale ragione, il Garante ha già ritenuto conforme ai principi in materia di protezione dei dati personali (v. Provv.ti 4 dicembre 2019, n. 216, doc. web 9215890; 1° febbraio 2018, n. 53, doc. web n. 8159221, punto 3.4.) che, dopo la cessazione del rapporto di lavoro, il titolare provveda alla rimozione dell’account, previa disattivazione dello stesso e contestuale adozione di sistemi automatici volti ad informarne i terzi e a fornire a questi ultimi indirizzi alternativi riferiti alla sua attività professionale.

Si rileva che tali principi risultano applicabili anche con riferimento a relazioni ricollegate all’ambito lavorativo, che pur non traducendosi nell’instaurazione di un rapporto di lavoro subordinato e, pur non caratterizzate da una relazione di dipendenza, attribuiscono comunque, al titolare del trattamento, un ampio potere organizzativo, sia interno che esterno, elemento da ritenersi sussistente anche nel caso di specie in quanto la condotta ha riguardato l’account di posta elettronica assegnato al reclamante nel contesto di un rapporto di tirocinio.

In relazione a quanto emerso nel corso dell’istruttoria, è necessario rilevare come il Consorzio non abbia previamente informato adeguatamente il reclamante del trattamento posto in essere sull’account di posta elettronica aziendale a lui assegnato durante il rapporto di tirocinio.

Ciò considerato che il Consorzio stesso si è limitato ad affermare che, insieme al responsabile del tirocinio, “impartivano verbalmente [al reclamante] le istruzioni e gli indirizzi guida per l’utilizzazione dell’account di posta elettronica a lui destinato”, senza, in ogni caso, fornire evidenza alcuna di ciò.

In proposito si osserva come l’art. 12 del Regolamento dispone che “il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 […]. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato”. Nel caso di specie non risulta che l’interessato abbia chiesto che le informazioni sul trattamento gli fossero fornite oralmente.

In proposito è necessario inoltre osservare come l’esigenza che le regole in merito al funzionamento dell’account di posta elettronica fossero scritte, in base al principio di trasparenza che deve caratterizzare ogni tipo di trattamento, risulta ancor più stringente considerato che lo stesso Consorzio ha dichiarato che al reclamante era stato imposto di inviare in copia, al proprio tutor o ad altri responsabili del Consorzio, ogni comunicazione inviata a terzi.

Ciò considerato, si osserva che spetta al titolare del trattamento, conformemente al principio di responsabilizzazione (art. 5, par. 2 del Regolamento), documentare le attività svolte per adempiere a quanto stabilito dalla disciplina in materia di protezione dei dati personali.

Tale condotta, quindi, risulta in contrasto con quanto previsto dall’art. 13 del Regolamento in base al quale il titolare del trattamento è tenuto a fornire preventivamente all’interessato tutte le informazioni relative alle caratteristiche essenziali del trattamento e con quanto disposto dall’art. 12 del Regolamento.

Risulta violato anche l’art. 5, par. 1, lett. a) del Regolamento (principio di correttezza) considerato che l’obbligo di informare il soggetto che presta attività di tirocinio in un contesto lavorativo nel quale è incardinato per lo svolgimento del tirocinio stesso e del quale deve rispettare le disposizioni impartite è espressione del principio generale di correttezza.

È inoltre stato accertato che il Consorzio che, sulla base di quanto dichiarato da quest’ultimo, nel periodo tra la cessazione del rapporto di tirocinio e la cancellazione dell’account individualizzato ha potuto “reperire le informazioni pervenute all’account aziendale del [reclamante] da parte delle Pubbliche Amministrazioni, proprie clienti”, ha acceduto all’account stesso, ponendo così in essere una condotta in violazione dell’art. 5, par. 1, lett. c) del Regolamento.

Il Consorzio ha infatti acceduto direttamente all’account predetto, prendendo così visione del contenuto dello stesso, trattando l’account di posta elettronica individualizzato, successivamente alla cessazione del rapporto di tirocinio, per porre in essere una condotta non conforme alla disciplina di protezione dei dati personali.

In merito alla dichiarata necessità di accedere all’account di posta elettronica individualizzato assegnato al reclamante “al fine di ottemperare agli incarichi lavorativi” del Consorzio (v. nota 19.2.2021, p. 1), è necessario rammentare che l’Autorità ha già avuto modo di precisare che la legittima necessità di assicurare l’ordinario svolgimento e la continuità dell’attività aziendale nonché di provvedere alla dovuta conservazione di documentazione in base a specifiche disposizioni dell’ordinamento è assicurata, in primo luogo, dalla predisposizione di sistemi di gestione documentale con i quali, attraverso l’adozione di appropriate misure organizzative e tecnologiche, individuare i documenti che, nel corso dello svolgimento dell’attività lavorativa, devono essere via via archiviati con modalità idonee a garantire le caratteristiche di autenticità, integrità, affidabilità, leggibilità e reperibilità prescritte dalla disciplina di settore applicabile (si veda quanto stabilito dal D.P.C.M. 3 dicembre 2013, recante le Regole tecniche in materia di sistema di conservazione ai sensi degli articoli 20, commi 3 e 5-bis, 23-ter, comma 4, 43, commi 1 e 3, 44, 44-bis e 71, comma 1, del Codice dell´amministrazione digitale di cui al decreto legislativo n. 82 del 2005; parimenti i documenti che rivestano la qualità di "scritture contabili" devono essere memorizzati e conservati con modalità determinate: artt. 2214 c.c.; artt. 43 e 44, d. lgs. 7 marzo 2005, n. 82, "Codice dell’amministrazione digitale").

I sistemi di posta elettronica non consentono, per loro stessa natura, di assicurare tali caratteristiche.
Lo scopo di predisporre strumenti per l’ordinaria ed efficiente gestione dei flussi documentali aziendali, pertanto, può ben essere perseguito, conformemente alle disposizioni vigenti, con strumenti meno invasivi per il diritto alla riservatezza degli interessati, rispetto alla sopra descritta attività di accesso da parte del Consorzio al contenuto delle comunicazioni pervenute sull’account assegnato al tirocinante che risulta pertanto non necessaria né proporzionata rispetto allo scopo (v. provv. 1° febbraio 2018, n. 53, doc. web 8159221).

Inoltre, sempre in merito alle dichiarate esigenze di “prendere cognizione delle comunicazioni intercorse con le amministrazioni pubbliche clienti del Consorzio, [e di] quelle di monitorare eventuali risposte che sarebbero eventualmente pervenute da parte delle clienti medesime” (v. nota 11.4.2022 cit., p. 1), si ricorda come, secondo l’orientamento consolidato del Garante (tra i più recenti v. Provv. n. 440 del 16 dicembre 2021, doc. web n. 9739653), realizzi un adeguato bilanciamento degli interessi in gioco (necessità di prosecuzione dell’attività economica del titolare e diritto alla riservatezza dell’interessato) l’attivazione di un sistema di risposta automatico con il quale vengono forniti indirizzi alternativi ai quali contattare il titolare, senza che il titolare del trattamento prenda visione delle comunicazioni in entrata sull’account individualizzato assegnato all’interessato.

Ciò discende anche dal principio di minimizzazione dei dati (art. 5, par. 1, lett. c) del Regolamento) per cui il titolare del trattamento deve trattare solo i dati “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”.

La finalità (legittima) di mantenere i contatti con le proprie clienti per lo svolgimento della propria attività, quindi, si sarebbe potuta perseguire con trattamenti meno invasivi e, quindi, conformi alla disciplina di protezione dei dati, rispetto a quello posto in essere nel caso di specie.

Seppur, infatti, sia centrale, nell’attuale contesto normativo, il principio di responsabilizzazione (accountability) ciò non toglie che le attività poste in essere dal titolare del trattamento debbano essere conformi alla disciplina di protezione dei dati personali.

In ogni caso la dichiarazione del Consorzio di avere “comunica[to] telefonicamente alle poche amministrazioni interessate l’avvenuta disattivazione dell’account stesso e i nuovi contatti ai quali rivolgersi” non è stata supportata da evidenza alcuna.

In merito poi all’esigenza di “trattare ulteriormente alcuni dati per la necessità di precostituirsi elementi di difesa in giudizio” (v. verbale audizione 7.6.2022) indicata dal Consorzio si osserva come il legittimo interesse a trattare dati personali per difendere un proprio diritto in giudizio non possa comportare un aprioristico annullamento del diritto alla protezione dei dati personali riconosciuto agli interessati considerato, tra l’altro, che il contenuto dei messaggi di posta elettronica – come pure i dati esteriori delle comunicazioni e i file allegati – riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente, la cui ratio risiede nel proteggere il nucleo essenziale della dignità umana e il pieno sviluppo della personalità nelle formazioni sociali; un’ulteriore protezione deriva dalle norme penali a tutela dell’inviolabilità dei segreti (artt. 2 e 15 Cost.; Corte cost. 17 luglio 1998, n. 281 e 11 marzo 1993, n. 81; art. 616, quarto comma, c.p.; art. 49 Codice dell’amministrazione digitale).

Considerati, in proposito, i chiarimenti prestati dal Consorzio con gli scritti difensivi e nel corso dell’audizione, con riguardo alla prospettata violazione dell’art. 5, par, 1, lett. e), del Regolamento, contenuta nella notifica di violazione del 18 marzo 2022, non sussistono gli estremi per adottare provvedimenti con riferimento a tale specifico profilo oggetto di contestazione e si ritiene, dunque, di archiviare la predetta notifica nella parte riguardante tale specifico profilo oggetto di contestazione.

Con riferimento infine alla contestazione relativa alla violazione dell’art. 12, con riferimento all’art. 15 del Regolamento, si ritiene che gli elementi forniti in sede difensiva consentano di superare il rilievo.

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Per i suesposti motivi l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati personali effettuato dal Consorzio, e segnatamente l’accesso all’account di posta elettronica individualizzato assegnato al reclamante a seguito della cessazione del rapporto di tirocinio e l’assenza di informativa, risulta infatti illecito, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a), c), 12 e 13 del Regolamento.

La violazione accertata nei termini di cui in motivazione non può essere considerata “minore”, tenuto conto della natura e della gravità della violazione stessa, del grado di responsabilità, della maniera in cui l'autorità di controllo ha preso conoscenza della violazione (v. Considerando 148 del Regolamento).

Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento, alla luce del caso concreto si dispone l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) Regolamento).

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

All’esito del procedimento risulta che Consorzio Concessioni Reti Gas S.c.a.r.l. ha violato agli artt. 5, par. 1, lett. a), c), 12 e 13 del Regolamento. Per la violazione delle predette disposizioni è prevista l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. a) e b) del Regolamento, mediante adozione di un’ordinanza ingiunzione (art. 18, l. 24.11.1981, n. 689).

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

a) in relazione alla natura, gravità e durata della violazione è stata considerata rilevante la natura della violazione che ha riguardato, tra l’altro, i principi generali del trattamento, tra cui i principi di correttezza e minimizzazione (art. 83, par. 2, lett. a) del Regolamento);

b) con riferimento al carattere doloso o colposo della violazione è stato considerato che la condotta del Consorzio è stata meramente colposa (art. 83, par. 2, lett. b) del Regolamento);

c) con riferimento al grado di responsabilità del titolare è stata presa in considerazione la condotta del Consorzio che non si è conformato alla disciplina in materia di protezione dei dati relativamente a una pluralità di disposizioni (art. 83, par. 2, lett. d) del Regolamento);

d) a favore del Consorzio si è tenuto conto della cooperazione con l’Autorità di controllo dimostrata nel corso del procedimento (v. art. 83, par. 2, lett. f) del Regolamento);

e) sempre a favore del Consorzio è stato considerato che il trattamento ha riguardato un solo interessato (art. 83, par. 2, lett. k) del Regolamento).

Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dal Consorzio con riferimento al bilancio abbreviato d’esercizio per l’anno 2021. Da ultimo si tiene conto dell’entità delle sanzioni irrogate in casi analoghi.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Consorzio Concessioni Reti Gas S.c.a.r.l. la sanzione amministrativa del pagamento di una somma pari ad euro 2.000 (duemila).

In tale quadro si ritiene, altresì, in considerazione della tipologia delle violazioni accertate che hanno riguardato i principi generali del trattamento che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante.

Si ritiene, altresì, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO, IL GARANTE

rileva l’illiceità del trattamento effettuato da Consorzio Concessioni Reti Gas S.c.a.r.l., in persona del legale rappresentante, con sede legale in Via Fratelli Cairoli, 24, C.F. 03185810540, ai sensi dell’art. 143 del Codice, per la violazione degli artt. 5, par. 1, lett. a), c), 12 e 13 del Regolamento;

DETERMINA

di archiviare la contestazione adottata nei confronti di Consorzio Concessioni Reti Gas S.c.a.r.l., in persona del legale rappresentante, con atto del 18 marzo 2022, limitatamente alla violazione dell’art. 5, par. 1, lett. e) del Regolamento e dell’art. 12 con riferimento all’art. 15 del Regolamento;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento a Consorzio Concessioni Reti Gas S.c.a.r.l., di pagare la somma di euro 2.000 (duemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

quindi a Consorzio Concessioni Reti Gas S.c.a.r.l. di pagare la predetta somma di euro 2.000 (duemila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/20129, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 9 marzo 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei