Provvedimento del 7 marzo 2024 [10007853]
Provvedimento del 7 marzo 2024 [10007853]
Condividi
VEDI ANCHE Newsletter del 3 maggio 2024
[doc. web n. 10007853]
Provvedimento del 7 marzo 2024
Registro dei provvedimenti
n. 137 del 7 marzo 2024
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;
VISTO il reclamo presentato dalla sig.ra XX, ai sensi dell’art. 77 del Regolamento, con cui è stata lamentata una violazione della disciplina in materia di protezione dei dati personali da parte di Banca di Credito Cooperativo Appulo Lucana soc. cooperativa (già Banca di Credito Cooperativa di Spinazzola);
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE l’avv. Guido Scorza;
PREMESSO
1. L’istruttoria preliminare.
Con il reclamo presentato a questa Autorità in data 19/12/2020, regolarizzato il 10/11/2021, la sig.ra XX rappresentava di aver formulato un’istanza di esercizio dei diritti, ai sensi dell’art. 15 del Regolamento, nei confronti della Banca di Credito Cooperativa di Spinazzola (oggi Banca di Credito Cooperativo Appulo Lucana soc. cooperativa a seguito di fusione, di seguito “la Banca”), di cui era stata dipendente, e di aver ricevuto un riscontro non idoneo.
L’istanza, in particolare, era volta ad ottenere “l’accesso ai dati personali contenuti nel proprio fascicolo personale, una copia degli stessi e segnatamente ai dati racchiusi nel fascicolo del procedimento disciplinare (…) per conoscere, in maniera precisa e puntuale, tutte le informazioni che la riguardano (dati valutativi e non) aventi ad oggetto i fatti e i comportamenti (…) confluiti nella sanzione disciplinare irrogata dalla Banca” (istanza del 07/10/2020).
La reclamante lamentava che il riscontro fornito dalla Banca, in data 03/11/2020, non fosse idoneo, in quanto consistente in una “comunicazione ed elencazione, peraltro non completa, della sola corrispondenza intercorsa tra le parti relativa al suindicato procedimento disciplinare” mancando delle ulteriori informazioni in base alle quali le era stata irrogata la sanzione disciplinare.
In relazione al reclamo, l’Ufficio invitava la Banca a fornire osservazioni in merito a quanto rappresentato, a chiarire se tutti i dati contenuti nel fascicolo personale della reclamante, e in particolare gli atti relativi al procedimento disciplinare, fossero stati già comunicati all’istante e, in caso negativo, a fornirne copia (nota del 29/04/2022).
Con comunicazione datata 17/05/2022, la Banca rappresentava, preliminarmente, di aver dato immediato riscontro all’istanza di esercizio dei diritti formulata dalla reclamante “fornendo un’ampia congerie di informazioni relative ai trattamenti dei suoi dati personali, attraverso documentazione riferita al procedimento disciplinare a suo carico”, ritenendo, in tal modo, di averle consentito di conoscere le motivazioni all’origine del procedimento e delle valutazioni condotte.
Con la medesima nota, la Banca provvedeva a trasmettere ulteriore documentazione, riferita al procedimento disciplinare, “nella quale sono stati resi opportunamente illeggibili quei dati personali non riferiti alla sua persona, ai sensi dell’art. 15, comma 4, del GDPR”.
2. L’avvio del procedimento.
Esaminati gli atti ricevuti, l’Ufficio provvedeva a notificare alla Banca l’atto di avvio del procedimento sanzionatorio, ai sensi dell’art. 166, comma 5, del Codice in relazione alla violazione degli artt. 12, par. 3 e 4, e 15 del Regolamento (nota del 07/09/2022).
La Banca, in data 06/10/2022, inviava propri scritti difensivi, ai sensi dell’art. 18 della legge n. 689/1981, con cui ribadiva, preliminarmente, il proprio convincimento riguardo all’esaustivo e tempestivo riscontro all’istanza della reclamante.
Sosteneva, infatti, la Banca che:
- “la documentazione fornita (…) in riscontro alla prima istanza avanzata in data 09.10.2020 consentiva, (…), di ‹‹conoscere tutte le informazioni che la riguardavano aventi ad oggetto i fatti e i comportamenti ritenuti irregolari confluiti nella sanzione disciplinare›› in ordine ai fatti sottesi al procedimento disciplinare, le valutazioni effettuate, le motivazioni sottese che hanno condotto al licenziamento”;
- “la reclamante, in definitiva, si è lamentata del fatto che nulla dall’istituto di credito veniva allegato in ordine alla corrispondenza scambiata con la (omissis), ossia in ordine a un oggetto ben diverso da quello relativo alla originaria richiesta”;
- “l’ostensione, inizialmente rifiutata da questa Banca, della corrispondenza intervenuta tra la Banca e la (omissis) avrebbe potuto ledere non solo la riservatezza di quest’ultima, ma anche i suoi diritti in sede giudiziaria (…)”;
- “al contempo, va evidenziato che il corrispondente diritto di difesa nel procedimento disciplinare in capo alla (reclamante) non trova alcuna ragione di essere tutelato attraverso l’accesso alle informazioni” essendo intervenuto in un momento in cui il procedimento disciplinare non poteva più essere impugnato;
- “da quanto sopra, deriva il naturale, ragionevole e pieno convincimento di aver ottemperato esattamente alla richiesta e quindi in conformità alla vigente normativa (…). Se ne evince come la scrivente Banca ritenga di aver agito, correttamente e coerentemente, anche rispetto alla propria decisione di non provvedere all’ulteriore comunicazione di cui al par. 4, dell’art. 12 del Regolamento, la cui omissione pure viene contestata in questa sede e che invece, (…) non può essere invocata. Ciò in quanto la norma (la quale prevede l’obbligo di comunicare i motivi del mancato riscontro e il puntuale avviso sulle tutele esperibili) assume un ruolo operativo suppletivo subordinato alla mancata risposta entro i termini previsti dall’art. 12, par. 3, del Regolamento”;
Sotto altro profilo, la Banca osservava che:
- “il diritto di accesso dovrebbe riguardare i dati personali nonché le informazioni previste dal par. 1 dell’art. 15 e, almeno di regola, non i documenti che li contengono, né tantomeno i documenti contenenti le informazioni riferite a vicende e soggetti terzi e può (rectius deve) essere limitato per tutelare i diritti e le libertà altrui, come il diritto di difesa della banca titolare del trattamento”;
- “nell’occasione, pare potersi rilevare che il generale diritto di accesso ex art. 15 del GDPR non possa essere utilizzato dal lavoratore per ottenere un’utilità che il medesimo non può richiedere in base alle normative settoriali di riferimento, come quella giuslavoristica (…)”.
Infine, la Banca comunicava, in data 24/01/2024, di rinunciare all’audizione inizialmente richiesta “ritenendo non sussistenti ulteriori elementi e argomentazioni da portare all’attenzione, oltre a quanto già esposto nelle memorie difensive”.
3. L’esito dell’istruttoria.
All’esito dell’esame della documentazione prodotta e delle dichiarazioni rese dalla parte nel corso del procedimento, premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice, è emerso che la Banca, a fronte dell’istanza di esercizio dei diritti formulata dalla reclamante in data 07/10/2020, ha fornito un riscontro parziale e, solo a seguito dell’avvio dell’istruttoria da parte dell’Autorità, ha consegnato l’ulteriore documentazione, contenuta nel fascicolo personale della reclamante.
Preliminarmente, si evidenzia che la Banca di Credito Cooperativa di Spinazzola, alle cui dipendenze lavorava la reclamante e nei cui confronti è stata rivolta l’istanza di esercizio dei diritti ex art. 15 del Regolamento, è stata cancellata a seguito di fusione, mediante incorporazione, in Banca di Credito Cooperativo Appulo Lucana soc. cooperativa in data 06/05/2022 e che, pertanto, sulla base di quanto previsto dall’art. 2504-bis c.c. e delle “Prescrizioni in materia di operazioni di fusione e scissione fra società” adottate dall’Autorità in data 08/04/2009 (reperibile sul sito web doc. n. 1609999), il presente provvedimento viene adottato nei confronti della società incorporante che subentra nei rapporti attivi e passivi della società incorporata.
Ciò posto, con riferimento alle argomentazioni addotte dalla Banca nelle memorie difensive sopra richiamate, si evidenza che l’Autorità, esaminato il reclamo e le richieste ad esso sottese, ha invitato la Banca a chiarire se fossero in suo possesso ulteriori dati e informazioni relative alla reclamante (riferite in particolare al procedimento disciplinare avviato nei suoi confronti) che non fossero state già consegnate, invitandola, se del caso, a provvedere (nota del 29/04/2022).
A fronte dell’invito ad aderire, la Banca procedeva a trasmettere documentazione integrativa, consistente nella corrispondenza intercorsa tra la Banca stessa e un terzo e che, sulla base di quanto emerso dall’istruttoria svolta nonché delle dichiarazioni della Banca stessa, costituiva parte integrante degli atti sottesi al procedimento disciplinare (si veda, a tal proposito, il riscontro della Banca del 17/05/2022 in cui dichiarava: “si trasmette in allegato la seguente documentazione integrativa riferita al procedimento disciplinare a Suo carico (…)”).
Si trattava, in particolare, della corrispondenza intrattenuta dalla Banca con un terzo che lamentava l’illecita comunicazione di informazioni riservate di un correntista (fratello della reclamante) e utilizzate dalla reclamante nell’ambito di un procedimento giudiziario.
La Banca, nelle note di riscontro a questa Autorità, ha motivato la mancata iniziale ostensione di tale documentazione per le implicazioni che ne sarebbero derivate al diritto di difesa e alla tutela della riservatezza del terzo.
Tuttavia, non risulta che tali motivi siano stati resi noti alla reclamante, a cui è stata solo omessa la documentazione integrativa e segnalato “il difetto di interesse all’accesso sia perché il rapporto di lavoro è cessato nel lontano 2014 sia perché la sanzione disciplinare emessa (…) non è stata impugnata nei termini” (v. nota del 03/11/2020 in riscontro all’istanza di accesso).
Alla luce di quanto sopra, la condotta della Banca è stata ritenuta non conforme alla disposizione dell’art. 12, par. 4, del Regolamento, non avendo provveduto a rendere noti i motivi della mancata consegna della documentazione ulteriore, pur essendo stata oggetto di specifica richiesta.
Quanto, invece, alle esigenze sottese alla richiesta di accesso avanzata dalla reclamante, occorre fare alcune osservazioni.
In via generale, si osserva che il diritto di accesso ha lo scopo di consentire all’interessato di avere il controllo sui dati personali che lo riguardano e, in particolare, di “essere consapevole del trattamento e verificarne la liceità” (v. Cons.63); tuttavia, ciò non comporta che tale diritto debba essere negato o limitato quando alla base della richiesta vi sia il perseguimento di un obiettivo diverso.
Infatti, dalla lettura del combinato disposto degli artt. 12 e 15 del Regolamento non risulta la necessità per gli interessati di indicare un motivo o una particolare esigenza per giustificare le proprie richieste di esercizio dei diritti, né risulta riconosciuta al titolare del trattamento la possibilità di chiedere i motivi della richiesta.
Tale interpretazione è stata chiarita anche dall’EBDP mediante l’approvazione delle Linee guida sul diritto di accesso (si veda, in particolare, il punto 2.1 in cui si legge che “i titolari del trattamento non dovrebbero valutare "perché" l'interessato richiede l'accesso, ma solo "cosa" richiede l'interessato (cfr. sezione 3 sull'analisi della richiesta) e se detengono dati personali relativi a tale persona (cfr. sezione 4). Pertanto, ad esempio, il titolare del trattamento non dovrebbe negare l'accesso per motivi o il sospetto che i dati richiesti possano essere utilizzati dall'interessato per difendersi in giudizio in caso di licenziamento o di controversia commerciale con il responsabile del trattamento) ed è frutto di un costante orientamento giurisprudenziale della Corte di Giustizia (si veda, da ultimo la sentenza C307/22).
Pertanto, posto che la richiesta della reclamante di accedere a tutti i dati e alle informazioni facenti parte del suo fascicolo personale e sottese al procedimento disciplinare che la riguarda è lecita, si rileva che la sua evasione non poteva essere subordinata al verificarsi di determinate condizioni o al perseguimento di particolari obiettivi, tra l’altro non previsti dal legislatore.
La pronuncia della Cassazione civile, richiamata dalla parte nelle proprie memorie difensive, secondo cui il datore di lavoro non è obbligato a mettere a disposizione del lavoratore la documentazione aziendale riferita ai fatti alla base di un procedimento disciplinare, attiene a una situazione differente e non comparabile con quella in esame. Tale pronuncia, infatti, si riferisce alla particolare situazione in cui la richiesta è avanzata dal lavoratore nell’ambito del procedimento disciplinare di cui all’art. 7 della legge n. 300/1970.
Diversamente, la giurisprudenza di merito ha in diverse occasioni ribadito che il diritto di accesso deriva, oltre che dalla normativa in materia di protezione dei dati personali, dal “rispetto dei canoni di buona fede e correttezza che incombe sulle parti del rapporto di lavoro ai sensi degli artt. 1175 e 1375 c.c., come del resto è confermato dal fatto che, da tempo, la contrattazione collettiva del settore in oggetto prevede che l'azienda datrice di lavoro debba conservare, in un apposito fascicolo personale, tutti gli atti e i documenti, prodotti dall'ente o dallo stesso dipendente, che attengono al percorso professionale, all'attività svolta ed ai fatti più significativi che lo riguardano e che il dipendente ha diritto di prendere visione liberamente degli atti e documenti inseriti nel proprio fascicolo personale” (Corte di Cass. 7 aprile 2016, n. 6775).
Coerentemente con questa impostazione, l’Autorità, nei propri provvedimenti, ha spesso richiamato i titolari del trattamento a dare riscontro alle istanze provenienti dagli interessati in relazione alle richieste attinenti al rapporto di lavoro e, quindi, relative a dati e informazioni contenute nel fascicolo personale, anche quando si tratta di informazioni sottese a procedimenti disciplinari (da ultimo si veda il provvedimento n. 290 del 06/07/2023, doc. web n. 9927300).
In ultimo, con riferimento al formato con cui i dati devono essere resi disponibili all’istante e, cioè, se sia sufficiente fornire i dati e non anche i documenti in cui gli stessi sono presenti, deve osservarsi che, ai sensi dell’art. 12, del Regolamento “Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro”.
Tale norma, correttamente interpretata, attribuisce al titolare del trattamento, nell’ambito del principio di accountability, il compito di individuare la forma più completa e soddisfacente con cui riscontrare le istanze di accesso, nel rispetto di quanto previsto dall’art. 12 sopra richiamato.
Anche in tal caso, giova ricordare i chiarimenti resi dall’EBDP nelle Linee Guida sul diritto di accesso laddove, rispetto a tale particolare questione, si precisa che “L'obbligo di fornire una copia non va inteso come un diritto supplementare dell'interessato, ma come modalità di accesso ai dati” e che, dunque, “non mira ad ampliare la portata del diritto di accesso: si riferisce (solo) a una copia dei dati personali oggetto di trattamento, non necessariamente a una riproduzione dei documenti originali” (si veda sezione 2, punto 23, delle Linee Guida).
Per cui, “fare una sorta di compilazione e/o estrazione dei dati in modo da rendere le informazioni facili da comprendere potrebbe, in alcuni casi, essere un modo per soddisfare questi requisiti. In altri casi le informazioni sono meglio comprese fornendo una copia dell'effettivo documento contenente i dati personali. Pertanto, la forma più adatta deve essere decisa caso per caso” (v. punto 153 delle Linee Guida).
Rispetto al caso in esame, si osserva come la consegna della documentazione contenente i dati personali della reclamante sottesa al procedimento disciplinare costituiva l’unica modalità idonea a consentire l’accesso secondo i richiamati principi di correttezza e trasparenza.
4. Conclusioni: illiceità dei trattamenti effettuati.
Alla luce delle valutazioni che precedono, si rileva che le dichiarazioni rese dal titolare del trattamento negli scritti difensivi ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentirne l’archiviazione, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del regolamento del Garante n. 1/2019, concernente le procedure interne all’Autorità aventi rilevanza esterna.
Per i suesposti motivi, pertanto, si dichiara fondato il reclamo presentato ai sensi dell’art. 77 del Regolamento e, nell’esercizio dei poteri correttivi attribuiti all’Autorità ai sensi dell’art. 58, par. 2, del Regolamento si dispone l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, del Regolamento.
5. Ordinanza di ingiunzione.
Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. L. 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali riferito al reclamante, di cui è stata accertata l’illiceità, nei termini sopra esposti.
Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state tenute in considerazione le circostanze sotto riportate:
- con riguardo alla natura, gravità e durata della violazione è stata considerata rilevante la natura della violazione che ha riguardato le disposizioni relative all’esercizio dei diritti degli interessati;
- l’assenza di precedenti violazioni pertinenti commesse dal titolare del trattamento;
- la circostanza che il titolare ha fornito riscontro all’istanza della reclamante, nel corso del procedimento.
In considerazione dei richiamati principi di effettività, proporzionalità e dissuasività (art. 83, par. 1, del Regolamento) ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione, sono state prese in considerazione le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti e riferiti al bilancio d’esercizio per l’anno 2022.
In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 20.000,00 (ventimila) per la violazione degli artt. 12, par. 3 e 4, e 15 del Regolamento.
In tale quadro, anche in considerazione della tipologia di violazione accertata, che ha riguardato i diritti dell’interessato, si ritiene che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito internet del Garante.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
TUTTO CIÒ PREMESSO, IL GARANTE
dichiara, ai sensi degli artt. 57, par. 1, lett. f) e 83 del Regolamento, l’illiceità del trattamento effettuato, nei termini di cui in motivazione, per la violazione degli artt. 12, par. 3. e 4, e 15 del Regolamento;
ORDINA
a Banca di credito cooperativo Appulo Lucana, in persona del legale rappresentante pro-tempore, con sede legale in Spinazzola (BT), Corso Umberto I n. 65, P.I. 00256810722, ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, di pagare la somma di euro 20.000,00 (ventimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;
INGIUNGE
alla medesima Società di pagare la somma di euro 20.000,00 (ventimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.
Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.
DISPONE
ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del regolamento n. 1/2019.
Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.
Roma, 7 marzo 2024
IL PRESIDENTE
Stanzione
IL RELATORE
Scorza
IL SEGRETARIO GENERALE
Mattei
