[doc. web n. 10210078]

Provvedimento del 18 dicembre 2025

Registro dei provvedimenti
n. 756 del 18 dicembre 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Luigi Montuori segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presentato dal sig. XX ai sensi dell’art. 77 del Regolamento con cui è stata lamentata una violazione della disciplina in materia di protezione dei dati personali da parte di CIVIS S.p.A.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. Il reclamo nei confronti della Società e l’avvio dell’attività istruttoria.

Con il reclamo presentato in data 06/11/2023, il sig. XX, tramite il proprio legale XX, segnalava a questa Autorità di aver presentato un’istanza di esercizio dei diritti, ai sensi dell’art. 15 del Regolamento, nei confronti di CIVIS S.p.A. (di seguito “la Società”) al fine di ottenere dalla stessa, ex datore di lavoro, copia dei contratti di collaborazione sottoscritti negli anni 2019 e 2020.

La richiesta, presentata in data 08/06/2023, veniva rigettata dalla Società sul presupposto che la stessa non era “formulata secondo la normativa sulla privacy” con l’invito “a riformulare la richiesta nel rispetto delle norme previste dal GDPR” (riscontro della società del 14/06/2023).

La richiesta veniva, quindi, riformulata dall’interessato, in data 16/06/2023, “nel rispetto del diritto di accesso ai dati personali, nonché alla portabilità degli stessi, in forza del combinato disposto degli art. 15 e 20 del Regolamento”, unitamente alla richiesta di ricevere copia dell’informativa sul trattamento dei dati personali. Benché l’istanza venisse regolarmente notificata all’indirizzo pec della Società, la stessa non riceveva alcun riscontro, nel termine previsto dall’art. 12, par. 3, del Regolamento.

Con nota datata 27/03/2024, si invitava la Società a fornire osservazioni in ordine ai fatti oggetto di reclamo, nonché ad aderire all’istanza di esercizio dei diritti avanzata dal reclamante.

La Società, tramite il proprio Responsabile della protezione dati, riscontrava la richiesta dell’Autorità, con nota del 12/04/2024, con cui trasmetteva all’interessato anche la documentazione oggetto di istanza, comprensiva dei contratti lavoro, sottoscritti dal 2012 al 2015, e dei contratti di collaborazione dal 2015 al 2018, unitamente all’informativa resa disponibile a tutti i propri dipendenti e collaboratori.

Il reclamante faceva pervenire le proprie osservazioni, con e-mail del 29/04/2024, evidenziando come, solo a seguito dell’intervento dell’Autorità, fosse stato soddisfatto il suo diritto di accesso, in violazione della disciplina in materia di protezione dei dati personali.

2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

Alla luce di quanto emergeva dall’istruttoria, l’Ufficio provvedeva a notificare alla Società, con nota del 03/09/2024, l’atto di avvio del procedimento, ai sensi dell’art. 166, comma 5, del Codice in relazione alla violazione degli artt. 12, par. 3, e 15 del Regolamento.

La Società, informata della facoltà di far pervenire scritti difensivi ai sensi dell’art. 18 della legge n. 689/1981, faceva pervenire le proprie osservazioni, con nota del 02/10/2024, con cui rappresentava che:

-“la società [ha] tempestivamente dato riscontro alla richiesta di Codesta Autorità del 27/03/2024, con pec del proprio Responsabile del Trattamento del 12/04/2024 fornendo all’interessato, tramite il proprio legale, tutte le informazioni e dati personali richiesti e in possesso dell’azienda”;

- “La violazione contestata dall’Autorità ha riguardato unicamente il reclamante e non sono stati coinvolti altri interessati; tale condotta della Società non risulta aver comunque arrecato alcun danno ….”;

- “i contratti di collaborazione dal 2019 al 2020 non sono mai esistiti in quanto in quegli anni il rapporto contrattuale ha avuto esecuzione sulla base di un tacito rinnovo dei precedenti contratti di collaborazione (…). Anche una risposta più tempestiva non avrebbe pertanto consentito al ricorrente di entrare in possesso della documentazione richiesta, in quanto inesistente (…)”;

- “Si aggiunga che il reclamante era inoltre nella piena disponibilità della documentazione contrattuale precedente, come dimostra il fatto che la richiesta ha riguardato solo gli anni dal 2019 al 2020, e che essendo intervenuto un rinnovo contrattuale tacito dei precedenti accordi, lo stesso avrebbe ben potuto ricavare quelle informazioni richieste alla scrivente Società con un minimo di maggior diligenza”;

- “Si ritiene che la supposta violazione sia in ogni caso di carattere puramente colposo. Il titolare non aveva infatti alcuna intenzione di realizzare una condotta illecita. (…) La mancata tempestiva risposta della Civis è dipesa tutt’al più dalla circostanza che il ricorrente non ha inviato la richiesta ex art. 15 GDPR rispettando il canale messo a disposizione dell’azienda, ovvero gli indirizzi di posta elettronica a ciò espressamente dedicati. (…)E’ utile sottolineare, al riguardo, che lo stesso European Data Protection Board, lo scorso 23/03/2023, ha evidenziato come l’interessato, per l’esercizio dei propri diritti, debba rispettare il canale di comunicazione appropriato messo a disposizione dal titolo del trattamento, il quale potrebbe anche non rispondere legittimamente alla richiesta qualora dovesse essere utilizzato un indirizzo di posta non destinato a ricevere le richieste relative ai diritti degli interessati, come in effetti è accaduto nel caso di specie”;

- “La Civis quale titolare del trattamento ha predisposto misure organizzative finalizzate a dare seguito alle richieste degli interessati, predisponendo una procedura per la gestione dei diritti dell’interessati e di un modulo per il loro esercizio”;

- “Non risulta siano mai state effettuate violazioni precedenti pertinenti con la violazione contestata, né che la Società abbia ricevuto da Codesta Autorità alcuna sanzione al riguardo.

Per massima trasparenza si comunica che nel 2019 la Società era stata destinataria di un reclamo ex articolo 77 GDPR da parte di un interessato il quale lamentava la violazione del suo diritto di accesso; avendo provveduto la Società scrivente a fornire all’interessato le informazioni richieste in merito al trattamento dei dati personali, anche all’epoca in risposta all’invito a fornire i dati formulato sempre da Codesta Autorità Garante, il procedimento avviato in relazione reclamo dell’interessato si è concluso e definito senza alcun provvedimento nei riguardi della Civis S.p.a. non essendosi ravvisati gli estremi per una prosecuzione dell’istruttoria”.

3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

All’esito dell’esame della documentazione prodotta e delle dichiarazioni rese all’Autorità nel corso del procedimento, premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice (“Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”), è emerso che la Società, in qualità di titolare del trattamento, ha effettuato operazioni di trattamento riferite al reclamante che non risultano conformi alla disciplina in materia di protezione dei dati personali.

In particolare, in base agli elementi acquisiti nel corso dell’attività istruttoria, nonché delle successive valutazioni svolte dall’Ufficio, risulta accertato che, a fronte dell’istanza di esercizio dei diritti avanzata dal reclamante in data 16/06/2023, la Società non ha fornito riscontro, nei termini indicati dalla normativa, provvedendo a consegnare la documentazione richiesta, solo a seguito dell’avvio dell’istruttoria da parte dell’Autorità.

Tale circostanza, interpretata dalla Società in termini di positiva e fattiva collaborazione, in realtà costituisce di per sé un adempimento tardivo dell’obbligo di cui all’art. 12, par. 3, del Regolamento in base al quale “Il titolare del trattamento fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa”.

Nel caso di specie, infatti, il riscontro, comprensivo della documentazione oggetto di richiesta, è stato reso all’interessato, circa dieci mesi dopo la presentazione dell’istanza (ovvero con la nota del 12/04/2024).

Rispetto alle argomentazioni che la Società ha addotto nelle memorie difensive, relativamente alla circostanza che l’istanza non è stata tempestivamente riscontrata perché non inviata agli indirizzi e-mail predisposti dall’azienda per la specifica finalità, occorre considerare, preliminarmente, che la prima richiesta formulata dal reclamante (e indirizzata alla pec societaria) è stata riscontrata dalla Società con e-mail del 14/06/2023, con l’invito a ripresentare l’istanza attenendosi alle “norme previste dal GDPR” soprattutto per quel che riguarda la forma della richiesta.

In questa comunicazione, il titolare non ha fornito nessuna indicazione sullo specifico indirizzo e-mail a cui l’interessato avrebbe dovuto inviare l’istanza, inducendolo piuttosto a ritenere che non vi fossero diversi canali di comunicazione.

Tra l’altro, non risulta che l’interessato sia stato messo in grado di conoscere le specifiche modalità di contatto, considerato che, nel reclamo, lo stesso dichiara di aver cercato nell’informativa, presente sul sito web, i dati di contatto del Responsabile della protezione dati, senza tuttavia trovarlo.

Posto, quindi, che non risulta provata in atti la modalità con cui la Società ha reso disponibili i documenti informativi ai propri dipendenti (e al reclamante in particolare modo), si fa presente in ogni caso che l’informativa prodotta nel corso dell’istruttoria (datata, tra l’altro, aprile 2024, quindi successivamente alla fuoriuscita del dipendente) riportta un indirizzo e-mail per l’esercizio dei diritti che è diverso da quello indicato nel “Modulo esercizio dei diritti dell’interessato” (allegato alle memorie difensive).

La circostanza, poi, che il reclamante disponesse dei contratti sottoscritti negli anni precedenti e che, quindi, potesse ricavare autonomamente le informazioni di cui aveva bisogno, non può essere accolta perché, come spesso sottolineato dal Garante in altri provvedimenti, la finalità del diritto di accesso è quello di consentire all’interessato di avere il controllo sui dati personali che lo riguardano e, in particolare, di “essere consapevole del trattamento e verificarne la liceità” (v. Cons. 63).

Come chiarito anche dall’EDPB nelle Linee guida n. 1/2022 sui diritti degli interessati - diritto di accesso” (adottato il 28/03/2023, cap. 2.1, par. 10) “Il diritto di accesso è quindi concepito per consentire alle persone fisiche di avere il controllo dei dati personali che le riguardano, in quanto permette loro di “essere consapevoli del trattamento e verificarne la liceità”. Più specificamente il diritto di accesso intende far sì che l'interessato possa comprendere il modo in cui sono trattati i suoi dati personali nonché le conseguenze di tale trattamento, e possa verificare l'esattezza dei dati trattati senza dover giustificare le proprie intenzioni. In altre parole l'obiettivo del diritto di accesso consiste nel fornire alle persone informazioni sufficienti, trasparenti e facilmente accessibili in merito al trattamento dei dati, indipendentemente dalle tecnologie utilizzate, e nel metterle in grado di verificare aspetti diversi di una specifica attività di trattamento ai sensi del GDPR (ad esempio liceità ed esattezza)” (sul punto si veda anche il provv. n. 323 del 4 giugno 2025, doc web n. 10164251).

In ultimo, si fa presente che la definizione di un precedente procedimento avviato nei confronti della Società, sempre con oggetto il tardivo riscontro all’istanza di esercizio dei diritti, non può costituire una circostanza attenuante, ai fini della valutazione del presente procedimento; piuttosto essa costituisce un precedente che evidenzia come la Società, nonostante abbia nel tempo adottato una specifica policy per la gestione delle istanze di esercizio dei diritti (come risulta documentato dal modello prodotto in atti), ancora non riesce a garantire agli interessati un riscontro agevole e tempestivo alle richieste formulate ai sensi degli artt. 15 e ss. del Regolamento.

Per quanto sopra, si conferma, in capo alla Società, la violazione degli artt. 12, par. 3, e 15 del Regolamento.

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ai sensi dell’art. 58, par. 2, del Regolamento.

Alla luce di quanto complessivamente rilevato, l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento, nel corso dell’istruttoria, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento posto in essere dalla Società, con riferimento al mancato riscontro all’istanza di accesso presentata dal reclamante, risulta infatti illecito, nei termini su esposti, in relazione agli artt. 12, par. 3, e 15 del Regolamento.

Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2, del Regolamento si prende atto della circostanza che la Società, nel corso del procedimento, ha provveduto ad aderire all’istanza di esercizio dei diritti dell’interessato.

Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

[OMISSIS]

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi degli artt. 57, par. 1, lett. f) e 83, del Regolamento, rileva l’illiceità del trattamento effettuato da CIVIS S.p.A., in persona del legale rappresentante pro tempore con sede in Milano, via Piero della Francesca n. 45, P.I. 04060080159, nei termini di cui in motivazione, per la violazione degli artt. 12, par. 3, e 15 del Regolamento;

[OMISSIS]

DISPONE

[OMISSIS]

ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 18 dicembre 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Montuori