Ordinanza ingiunzione nei confronti di FCA Italy S.p.A. - 15 settembre...
Ordinanza ingiunzione nei confronti di FCA Italy S.p.A. - 15 settembre 2022 [9827119]
Condividi[doc. web n. 9827119]
Ordinanza ingiunzione nei confronti di FCA Italy S.p.A. - 15 settembre 2022
Registro dei provvedimenti
n. 303 del 15 settembre 2022
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);
VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);
VISTO il reclamo presentato ai sensi dell’art. 77 del Regolamento in data 22 marzo 2021 dal Sig. XX nei confronti di FCA Italy S.p.A.;
ESAMINATA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE l’avv. Guido Scorza;
PREMESSO
1. Il reclamo nei confronti della Società e l’attività istruttoria.
Con reclamo del 22 marzo 2021, il Sig. XX ha lamentato presunte violazioni del Regolamento, da parte di FCA Italy S.p.A. (di seguito, la Società), con riferimento al mancato riscontro alla richiesta di accedere ai dati personali trattati nell’ambito del rapporto di lavoro ai sensi dell’art. 15 del Regolamento. In particolare il reclamante ha lamentato che, a fronte dell’esercizio del diritto di accesso ai propri dati detenuti nel fascicolo personale − nonché nelle note di qualifica, nelle annotazioni e/o valutazioni sulla attività svolta, negli atti relativi al percorso professionale e all'attività svolta in esecuzione del rapporto di lavoro e l’elenco, dalla data di assunzione sino alla data di presentazione della domanda, della mansione giornaliera assegnata sulla linea di lavoro, con specificazione della linea di lavoro − effettuato mediante raccomandata A/R del 5 gennaio 2021, la Società non ha inviato alcuna risposta.
La Società, nel fornire riscontro all’invito ad aderire dell’Autorità del 24 giugno 2021, con nota del 29 luglio 2021 (e relativi allegati il cui invio è stato completato con nota del 2/8/2021, con la quale i documenti sono stati trasmessi anche al reclamante), ha dichiarato che:
a. il reclamante “è solito avere colloqui con l’ufficio Risorse Umane […] e con l’ufficio del Responsabile del Servizio di Prevenzione e Protezione (RSPP)”; “Tutte le richieste di incontro sono sempre state celermente gestite con apposite riunioni”;
b. “in coerenza con tale modus operandi, dopo la ricezione della richiesta di accesso atti al fascicolo personale dell’11.1.2021, l’ufficio Risorse Umane dello Stabilimento ritenne di poter gestire la questione mediante un incontro individuale dedicato; tuttavia, a causa di eventi di natura organizzativa legati alla sospensione delle attività dello Stabilimento per ricorso alla cassa integrazione collegata anche all’emergenza Covid, il colloquio in presenza è stato […] posticipato più volte”;
c. “le informazioni di cui il dipendente chiede l’accesso consistono prevalentemente in dati già nella sua disponibilità e, in parte, riferiti a documenti che […] nella realtà non esistono in quanto l’Azienda non li predispone”;
d. “nel confermare la volontà della […] Società di aderire alla istanza di accesso, come si evince da quanto sopra riferito e dai relativi documenti che si allegano, riteniamo sia possibile comprendere come lo Stabilimento di Verrone di FCA non abbia mai avuto volontariamente l’intenzione di disattendere o eludere la richiesta di accesso pervenuta dai legali del [reclamante]”.
Il reclamante, con nota del 5 agosto 2021 ha ritenuto inidoneo il riscontro fornito, ribadendo la richiesta di accedere a tutte le informazioni già indicate. In proposito la Società, con nota del 25 agosto 2021, ha ulteriormente dichiarato:
a. di aver provveduto a “trasmettere, nei tempi previsti e direttamente allo stesso [reclamante], la documentazione disponibile in azienda riferita alle specifiche indicazioni riportate nella richiesta dell’interessato”;
b. che il reclamante ha formulato “una richiesta più dettagliata riferibile, ancora una volta, a documentazione che è già nella disponibilità dello stesso, come ad esempio i cedolini che ogni mese vengono consegnati al dipendente, oppure altri documenti riferiti al processo valutativo che nella realtà non esistono in quanto non previsti dalle procedure interne”; inoltre “tutto ciò che è riferibile alle visite mediche periodiche eseguite nell’ambito della sorveglianza sanitaria ex T.U. 81/08, non è presente nella cartella personale del dipendente in quanto titolare del trattamento dei dati è, per legge, il Medico Competente”;
c. che la società “con atteggiamento collaborativo sta inviando tutto quanto richiesto con trasparenza e senza nulla opporre pur sussistendo nel caso di specie, un legittimo interesse in capo alla stessa connesso al diritto di difesa ex art. 2-undecies, comma 1 lettera e) del D.lgs. 196/2003 aggiornato al D.lgs 101/2018, a mantenere il riserbo sulla produzione documentale interna, nel caso in cui vi sia un rischio di contenzioso e, nel caso in questione, tale ipotesi è del tutto evidente”;
d. di conseguenza ha chiesto all’Autorità di voler “In via preliminare: esprim[ere] un giudizio in ordine alla ammissibilità del Reclamo proposto ai sensi dell’art. ex art. 2-undecies, comma 1 lettera e) del D.lgs. 196/2003 aggiornato al D.lgs 101/2018. In via subordinata: […], l’Autorità consideri il comportamento di FCA Italy S.p.A. esente da responsabilità e quindi non sanzionabile”.
Il reclamante, con nota del 12 settembre 2021, ha ribadito le proprie richieste ritenendo, tra l’altro, che la Società “conferma di essere in possesso della documentazione in ordine alla quale è stata formalizzata richiesta di accesso e di ottenimento in copia, ma che l'accesso viene inibito perché, a loro dire, utile ad avviare un contenzioso nei confronti di FCA”.
In riscontro ad una richiesta dell’Autorità di fornire ulteriori chiarimenti (in data 10.3.2022), la Società con nota del 29 marzo 2022 ha dichiarato:
a. “si conferma che FCA ha provveduto a produrre tutto quanto richiesto [dal reclamante] dopo aver ricevuto la Vostra richiesta […]. Non vi sono pertanto, altre informazioni o documenti che debbano essere ulteriormente prodotti”;
b. “il rapporto di lavoro di FCA con il [reclamante] è […] cessato dal 21 ottobre 2021, avendo il lavoratore sottoscritto con l’azienda un verbale di risoluzione consensuale del rapporto di lavoro”.
2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e le deduzioni della Società.
L’8 aprile 2022, l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione alla Società delle presunte violazioni del Regolamento riscontrate, con riferimento agli artt. 12 e 15 del Regolamento.
Preliminarmente l’Autorità ha ritenuto di non poter accogliere la richiesta della Società, formulata in data 25 agosto 2021, di dichiarare inammissibile il reclamo ai sensi dell’art. 2-undecies, comma 1, lett. e) del Codice, considerato che il richiamato articolo prevede che in predeterminate e tassative ipotesi “i diritti di cui agli artt. da 15 a 22 del Regolamento non possono essere esercitati con richiesta al titolare del trattamento ovvero con reclamo ai sensi dell’art. 77 del Regolamento qualora dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto […]”. Inoltre il successivo comma 3 specifica che “L’esercizio dei medesimi diritti può, in ogni caso, essere ritardato, limitato o escluso con comunicazione motivata resa senza ritardo all’interessato”. Nel caso di specie la Società non ha indicato, nelle comunicazioni all’Autorità, quale “pregiudizio effettivo e concreto” potesse derivare dall’esercizio del diritto di accesso da parte del reclamante. Anzi, la Società stessa ha provveduto a trasmettere al reclamante i dati personali contenuti nel fascicolo personale nel corso del procedimento, dichiarando – da ultimo con nota del 29 marzo 2022 – che “Non vi sono […] altre informazioni o documenti che debbano essere ulteriormente prodotti”.
Con nota del 6 maggio 2022 la Società ha chiesto di essere sentita in audizione, con riserva di integrare in quella sede le difese già proposte, anche mediante controdeduzioni scritte e/o produzione di ulteriore documentazione.
La società, nel corso dell’audizione, tenutasi il 24 maggio 2022, ha dichiarato che:
a. “a seguito del ricevimento della notifica delle violazioni da parte dell’Autorità la società ha ritenuto opportuno riferire, a supporto di quanto già indicato nelle memorie trasmesse nel corso del procedimento, quanto la stessa ha implementato al fine di supportare i propri dipendenti nell’ambito dell’acquisizione della documentazione amministrativa/contabile riferita al rapporto di lavoro adottando altresì misure specifiche per fornire riscontro alle richieste di esercizio dei diritti da parte degli interessati. Si sottolinea che i dipendenti del gruppo in Italia sono 49.000 e la società titolare in Italia ha 34.000 dipendenti. Nel novembre 2020 la società ha, in particolare, attivato un portale dedicato all’esercizio dei diritti degli interessati, sia dipendenti che clienti, al quale si può accedere attraverso un apposito link (Home (fcagroup.com)), raggiungibile anche dal sito internet della società. Il link viene inviato automaticamente ogni volta che si scrive al Dpo.” (verbale audizione 25/5/2022, p. 1-2);
b. “Inoltre, per quanto riguarda i dipendenti, all’interno della intranet sono disponibili strumenti informativi relativi ai diritti degli interessati, i documenti privacy prodotti dalla società, gli adempimenti della società in materia di privacy e le procedure utilizzate. In particolare, all’interno della intranet ciascun dipendente, previa iscrizione alla piattaforma “The Hub”, può accedere ai documenti contenuti nel proprio fascicolo personale e scaricarli” (verbale audizione cit., p. 2);
c. “il reclamante, al momento della presentazione dell’istanza di accesso, risultava iscritto alla piattaforma “The Hub” e aveva scaricato dalla stessa i cedolini dello stipendio: questo dato di dettaglio non è emerso precedentemente poiché l'iscrizione a "The Hub" non rientra tra i dati contenuti nel fascicolo personale del dipendente, oggetto della richiesta d'accesso del reclamante.” (verbale audizione cit., p. 2);
d. “Ulteriore strumento messo a disposizione della società è un servizio telefonico (Infocenter) attraverso il quale è possibile chiedere informazioni ed esercitare il diritto di accesso. In base agli ulteriori accertamenti è emerso che il reclamante ha utilizzato tale servizio […]. La società mette infine a disposizione uno sportello fisico presso lo stabilimento che effettua la stessa attività del servizio telefonico.” (verbale audizione cit., p. 2);
e. “il reclamante aveva chiesto in varie occasioni incontri con la società, cui ha partecipato insieme al rappresentante sindacale, nel corso dei quali ha presentato anche richiesta di documenti che la società ha provveduto a fornirgli. Per tale ragione, al momento del ricevimento della richiesta di accesso, la società ha ritenuto di poter affidarsi anche in tale occasione a tale prassi. La società non aveva intenzione pertanto di non rispondere all’interessato. Si ritiene dunque che la condotta della società non possa essere qualificata come violazione. In ogni caso qualora questo non fosse ritenuto configurabile la violazione dovrebbe essere qualificata come “violazione minore”, tenuto anche conto di precedenti decisioni dell’Autorità” (verbale audizione cit., p. 2);
f. “Ai dipendenti sono state fornite informazioni relative alla registrazione e all'accesso su "The Hub" anche contestualmente alla consegna dei cedolini dello stipendio. Inoltre la società ha organizzato corsi di formazione privacy per sensibilizzare i dipendenti anche in relazione all’esercizio dei diritti” (verbale audizione cit., p. 3).
Con memorie inviate in data 24 maggio 2022, la Società ha infine dichiarato che:
a. la Società ha adottato specifiche misure per fornire riscontro alle istanze di esercizio dei diritti da parte degli interessati, sia di tipo organizzativo (compresa l’adozione di una procedura di "gestione dei diritti degli interessati", aggiornata periodicamente), che volte ad implementare la data protection awareness (compresa l’implementazione della piattaforma corporate "The Hub"), sia di tipo tecnico organizzativo (realizzazione di un "Privacy Portal" “mediante il quale tutti gli interessati (compresi i dipendenti) possono agevolmente e rapidamente esercitare i diritti previsti dagli artt. 15 e ss. del GDPR”); in particolare all’interno della piattaforma The Hub è presente un’area “dalla quale è possibile accedere direttamente a tutta la documentazione relativa al rapporto di lavoro, di fatto (per quanto riguarda il procedimento in esame) sostanzialmente coincidente con il fascicolo personale del lavoratore”; in particolare attraverso tale sezione è possibile accedere ai seguenti documenti: “cedolini; certificazioni uniche; modelli 730; […] documentazione rilevante ai fini del trattamento dei dati personali dell'interessato in questione (informative, procedure); dichiarazioni aziendali; lettere premio; documentazione in materia di "assegni unici"; riepilogo di tutti i dati dell'interessato, e dei suoi familiari, trattati dalla Società (compresa la posizione aziendale, la retribuzione percepita, il diritto a eventuali detrazioni di imposta, ecc.); giustificativi (per assenze e spese); tutte le comunicazioni istituzionali ivi intercorse tra la Società e l'Interessato; eventuali ulteriori documenti personali trasmessi dall'Interessato alla Società; eventuali ulteriori documenti aziendali relativi al rapporto” (memorie difensive 24/5/2022, p. 2-3);
b. “dopo le necessarie verifiche, è emerso che il [reclamante] si è iscritto a The Hub il 27 novembre 2020 e si è avvalso anche delle funzioni di download previste nell'ambito di tale piattaforma (elencate in precedenza), ad esempio per ottenere copia dei propri cedolini” (memorie difensive cit., p. 3)
c. la Società ha altresì verificato che il reclamante ha “anche esercitato il proprio diritto d'accesso mediante Infocenter: nel corso del rapporto, ciò è avvenuto 15 volte (l'ultima delle quali il 15 ottobre 2021) e l'Interessato ha sempre ricevuto riscontro il giorno stesso della richiesta, ottenendo - tra il resto - informazioni/dati relativi a: buste paga; presenze; certificazioni uniche; orario di lavoro svolto; dichiarazioni in materia di lavoro usurante; retribuzione percepita; dichiarazioni per cessione del quinto e/o pignoramenti; appartenenza aziendale; dichiarazioni in materia di ammortizzatori sociali; anticipazione TFR; detrazioni di imposta; congedo matrimoniale” (memorie difensive cit., p. 3);
d. “Quanto sopra vale a chiarire l'affermazione della Società secondo cui «le informazioni di cui il dipendente chiede l'accesso consistono prevalentemente in dati già nella sua disponibilità»: nella vicenda oggetto del Reclamo, infatti, tale disponibilità non va riferita soltanto a dati «già entrati nel patrimonio di conoscenza dell'interessato», con portata retrospettiva, ma al contrario è consistita in una disponibilità attuale, immediata e costante” (memorie difensive cit., p. 3);
e. pertanto il reclamante “avrebbe potuto ricevere riscontro alle proprie richieste in tempo reale, poiché tutti i dati che ha richiesto a FCA (dapprima, con elenco più ridotto e, nel corso del presente procedimento, con una successiva amplissima integrazione) erano già all'interno della sua area personale in "The Hub"” (memorie difensive cit., p. 4);
f. tra la Società e il reclamante “vi era una «evidente conflittualità», [che] si è manifestata anche con la reiterata e costante richiesta di incontri sindacalmente assistiti […]. In particolare, oltre ai numerosi incontri "formali" svolti nel 2019 e nel 2020 (anche alla presenza dell'RSPP), e agli ulteriori incontri "informali" presso la linea di produzione (cd. "UTE", Unità Tecnologica Elementare), tra la fine del 2020 e la cessazione del rapporto di lavoro – intervenuta nell'ottobre 2021 – vi sono stati cinque incontri "formali" con l'Interessato […]. Come già chiarito […], tuttavia, nel periodo che ha preceduto il Reclamo tale prassi è stata ostacolata sia dal ricorso agli ammortizzatori sociali, sia dalle assenze del [reclamante]” (memorie difensive cit., p. 4);
g. quanto agli elementi indicati dall’art. 83, par. 2, del Regolamento, la Società ha rappresentato che: la violazione contestata ha riguardato un solo interessato ed ha natura colposa; la Società ha aggiornato periodicamente la propria policy per la gestione dei diritti degli interessati del 25 marzo 2020, in particolare e da ultimo il 6 aprile 2022; la Società ha adottato diverse misure tecniche e organizzative ai sensi degli artt. 25 e 32 del Regolamento ed ha costantemente cooperato con l’Autorità di controllo nel corso del procedimento; i dati personali oggetto del trattamento sono “comuni”.
3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.
3.1. Esito dell’istruttoria.
All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, risulta che la Società, in qualità di titolare, ha effettuato alcune operazioni di trattamento, riferite al reclamante, che risultano non conformi alla disciplina in materia di protezione dei dati personali. In proposito si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.
Nel merito è emerso che la Società, a fronte di una richiesta inviata in data 5 gennaio 2021, contenente l’indicazione di specifiche informazioni, anche qualora non contenute nel fascicolo personale, raccolte e detenute nell’ambito del rapporto di lavoro, non ha fornito riscontro al reclamante.
Solo a seguito della presentazione di un reclamo all’Autorità e dell’avvio del relativo procedimento amministrativo, la Società ha collaborato con il Garante ed ha fornito all’interessato un effettivo riscontro mediante l’invio di documentazione contenente i dati personali già oggetto di istanza di accesso (con note del 2 e 25 agosto 2021), dichiarando sotto proprio responsabilità di non trattare dati ulteriori rispetto a quelli trasmessi.
3.2. Violazione degli artt. 12 e 15 del Regolamento.
La Società ha dichiarato di aver ritenuto di poter fornire riscontro alla richiesta dell’interessato nel corso di un incontro di persona con rappresentanti dell’Ufficio risorse umane, conformemente ad una “prassi” che si sarebbe instaurata con il reclamante, posto che quest’ultimo in passato aveva più volte chiesto di incontrare l’azienda. Nel corso di alcuni di questi incontri la Società avrebbe anche provveduto a fornire documenti all’interessato, su sua richiesta. Tuttavia l’incontro non avrebbe avuto corso a causa della “sospensione delle attività dello Stabilimento per ricorso alla cassa integrazione collegata anche all’emergenza Covid”.
Tale condotta non è conforme a quanto stabilito dal Regolamento in materia di esercizio dei diritti.
L’esercizio del diritto di accesso ai propri dati personali è strettamente correlato alla individuazione delle specifiche modalità e dei limiti temporali con i quali il titolare è tenuto a soddisfare le richieste dell’interessato, individuati dall’art. 12 del Regolamento al fine di rendere effettivi i principi di trasparenza e correttezza (cons. 58 e 60 del Regolamento). In particolare il titolare è tenuto ad “agevola[re] l’esercizio dei diritti dell’interessato ai sensi degli articoli da 15 a 22” (art. 12, par. 2, del Regolamento), e a “forni[re] all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa” (termine che può essere prorogato di due mesi, dando adeguata informazione all’interessato, nel caso di complessità ed elevato numero delle richieste ricevute; art. 12, par. 3, del Regolamento). Le informazioni richieste, poi, “sono fornite per iscritto o con altri mezzi, anche se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente” (art. 12, par. 1, del Regolamento).
Pertanto la Società avrebbe dovuto rispondere alla richiesta del reclamante con le modalità (“per iscritto”) e nei termini previsti dall’ordinamento. In relazione al caso specifico, poi, si osserva che a differenza del passato in cui lo stesso reclamante aveva chiesto di interloquire con l’azienda mediante incontri di persona, nel gennaio 2021 l’interessato aveva invece presentato una formale istanza con raccomandata A/R, per il tramite di due legali, recante la specifica indicazione che la documentazione richiesta avrebbe dovuto essere inviata “anche via Pec” all’indirizzo di posta elettronica di uno dei legali. Pertanto la Società non avrebbe dovuto confidare nella “prassi” che si sarebbe instaurata con il reclamante.
La Società ha inoltre appurato, nel corso del procedimento, che il reclamante avrebbe utilizzato alcuni strumenti messi a disposizione dei dipendenti per accedere in via diretta ad alcuni dati trattati dalla stessa nel corso del rapporto di lavoro (piattaforma “The Hub”, attiva dal novembre 2020, e sistema telefonico Infocenter). Da ciò se ne trarrebbe la conseguenza che “le informazioni di cui il dipendente chiede l'accesso consistono prevalentemente in dati già nella sua disponibilità”.
In proposito si rileva in primo luogo che, in base alla documentazione in atti e secondo quanto affermato dalla stessa Società, non tutti i dati oggetto di richiesta di accesso sono disponibili attraverso i richiamati strumenti (“The Hub” e Infocenter) (come si evince anche dalle stesse espressioni utilizzate dalla Società: le informazioni oggetto di accesso consistono “prevalentemente in dati già nella sua disponibilità”; attraverso The Hub è possibile accedere alla “documentazione relativa al rapporto di lavoro […] sostanzialmente coincidente con il fascicolo personale del lavoratore”, enfasi aggiunta). La documentazione così ottenuta dal reclamante, inoltre, in base a quanto ricostruito dalla Società, costituisce solo una parte di quanto richiesto.
Inoltre, e soprattutto, l’istanza di accesso ai dati personali può essere presentata anche in relazione a dati già nella disponibilità dell’interessato o a questi già consegnati. Ciò coerentemente con lo scopo del diritto di accesso, che è quello di consentire all’interessato di verificare (anche a “intervalli ragionevoli” di tempo: v. cons. 63 del Regolamento) che sia in corso o meno un determinato trattamento e verificarne la liceità e correttezza (tenuto anche conto che modalità e novero dei dati trattati possono cambiare nel tempo).
L’art. 15 del Regolamento non prevede alcuna limitazione in ordine alle informazioni riferite all’interessato che possono essere oggetto di accesso e lo stesso Regolamento, peraltro, prevede espressamente la possibilità che l’interessato presenti più richieste di accesso (salva la possibilità per il titolare del trattamento, in caso di richieste “eccessive, in particolare per il loro carattere ripetitivo” di addebitare un contributo spese ragionevole; art. 12, par. 5, del Regolamento; sulla interpretazione delle norme del Regolamento qui richiamate si vedano le Guidelines 01/2022 on data subject rights - Right of access, adottate il 18 gennaio 2022 dal Comitato europeo per la protezione dei dati, sottoposte a consultazione pubblica conclusa l’11 marzo 2022).
Tale ricostruzione è anche confermata dalla giurisprudenza di legittimità, secondo la quale il diritto di accesso ai propri dati personali, anche nell’ambito del rapporto di lavoro, “non può intendersi, in senso restrittivo, come il mero diritto alla conoscenza di eventuali dati nuovi ed ulteriori rispetto a quelli già entrati nel patrimonio di conoscenza e, quindi, nella disposizione dello stesso soggetto interessato al trattamento dei propri dati, atteso che lo scopo della norma [che attribuisce il relativo diritto] è garantire, a tutela della dignità e riservatezza del soggetto interessato, la verifica ratione temporis dell’avvenuto inserimento, della permanenza ovvero della rimozione di dati, indipendentemente dalla circostanza che tali eventi fossero già stati portati per altra via a conoscenza dell’interessato” (v. Corte di Cass. 14.12.2018, n. 32533).
Infine si rappresenta che in base all’art. 12, comma 4, del Regolamento, il titolare “Se non ottempera alla richiesta dell'interessato, […] informa l'interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell'inottemperanza e della possibilità di proporre reclamo a un'autorità di controllo e di proporre ricorso giurisdizionale”. Nel caso di specie, pertanto, la Società avrebbe dovuto comunque, se del caso, informare l’interessato circa i motivi per i quali non si dava corso all’istanza e i rimedi previsti dall’ordinamento avverso tale decisione.
La Società, per i motivi su esposti, ha pertanto violato gli artt. 12, parr. 1, 2, 3 e 4, e 15 del Regolamento. L’Autorità prende comunque atto che, nel corso del procedimento, è stato fornito riscontro alle richieste dell’interessato.
4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.
Per i suesposti motivi l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Il trattamento dei dati personali effettuato dalla Società e segnatamente l’omesso riscontro all’istanza di accesso presentata dal reclamante, risulta infatti illecito, nei termini su esposti, in relazione agli artt. 12, par. 1, 2, 3 e 4, e 15 del Regolamento.
La violazione accertata nei termini di cui in motivazione non può essere considerata “minore”, tenuto conto della natura, della gravità e della durata della violazione stessa, del grado di responsabilità, della maniera in cui l'autorità di controllo ha preso conoscenza della violazione e di una precedente violazione pertinente (cons. 148 del Regolamento).
Differentemente dai precedenti provvedimenti dell’Autorità richiamati nelle memorie difensive (provv.ti 25/3/2021, n. 104, doc. web n. 9583835; 11/2/2021, n. 63, doc. web n. 9567218; 23/4/2020, n., 76, doc. web n. 9426302), nel caso di specie la condotta del titolare del trattamento non è consistita in un errore riguardante la trasmissione dei dati richiesti né nell’aver fornito un riscontro parziale, bensì nell’omesso riscontro a una formale istanza di accesso, sul presupposto che il riscontro avrebbe potuto essere fornito nel corso di un incontro che, peraltro, non risulta essere stato offerto al reclamante.
Inoltre, anche in considerazione della dimensione della Società, del numero di dipendenti e clienti annoverati, e dunque della rilevanza dei trattamenti effettuati nell’ambito della propria attività, si ritiene che FCA Italy S.p.A. avrebbe potuto predisporre misure idonee a fornire effettivo riscontro alle istanze di esercizio dei diritti, senza consentire disallineamenti come quello verificatosi nel caso oggetto di reclamo.
Ciò, in particolare, tenuto conto che in un precedente provvedimento l’Autorità ha già accertato, nei confronti della medesima Società, la violazione delle disposizioni del Regolamento poste in materia di esercizio dei diritti e, in particolare, del diritto di accesso (Provv.to n. 439 del 16 dicembre 2021).
Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento si dispone l’applicazione una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) Regolamento).
5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).
All’esito del procedimento risulta pertanto che FCA Italy S.p.A. ha violato gli artt. 12, par. 1, 2, 3 e 4, e 15 del Regolamento. Per la violazione delle predette disposizioni è prevista l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. b) del Regolamento, mediante adozione di un’ordinanza ingiunzione (art. 18, l. 24.11.1981, n. 689).
Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.
Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:
a) in relazione alla natura, gravità e durata della violazione (che si è protratta per circa sette mesi, dalla data di presentazione dell’istanza, ricevuta l’11/1/2021 al completamento del riscontro con nota del 25/8/2021), è stata considerata rilevante la natura della violazione che ha riguardato l’esercizio dei diritti da parte dell’interessato;
b) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare, è stata presa in considerazione la condotta della Società e il grado di responsabilità della stessa che non si è conformata alla disciplina in materia di protezione dei dati relativamente a una pluralità di disposizioni riguardanti l’esercizio dei diritti;
c) è stato considerato, nell’ambito di “precedenti violazioni pertinenti” commesse dal titolare del trattamento, un precedente provvedimento adottato nei confronti della Società e, per la violazione degli artt. 12 e 15 del Regolamento, in relazione al diritto di accesso ai dati dell’interessato, dunque in relazione alla medesima violazione oggetto del presente provvedimento (v. Provv.to n. 439 del 16 dicembre 2021, doc. web n. 9742908); la precedente violazione accertata denota l’insufficiente predisposizione di misure organizzative volte a consentire agli interessati l’effettivo controllo sui propri dati personali, attraverso la messa a disposizione di elementi informativi relativi ai trattamenti effettuati;
d) a favore della Società si è tenuto conto della cooperazione con l’Autorità di controllo e della circostanza che la violazione accertata ha riguardato il solo reclamante, essendo un caso isolato, e che l’invocazione della protezione dei dati personali, nel caso di specie, appare essere per certi aspetti emulativa in relazione agli eventi che hanno riguardato l’interessato.
Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla società con riferimento al bilancio ordinario d’esercizio per l’anno 2021. Da ultimo si tiene conto dell’entità delle sanzioni irrogate in casi analoghi.
Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di FCA Italy S.p.A., la sanzione amministrativa del pagamento di una somma pari ad euro 40.000 (quarantamila).
In tale quadro si ritiene, altresì, in considerazione della tipologia delle violazioni accertate che hanno riguardato i principi generali del trattamento e l’esercizio dei diritti dell’interessato, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante.
Si ritiene, altresì, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.
TUTTO CIÒ PREMESSO, IL GARANTE
rileva l’illiceità del trattamento effettuato da FCA Italy S.p.A., in persona del legale rappresentante, con sede legale in Corso Giovanni Agnelli, 300, Torino (TO), C.F. 07973780013, ai sensi dell’art. 143 del Codice, per la violazione degli artt. 12 e 15 del Regolamento;
ORDINA
ai sensi dell’art. 58, par. 2, lett. i) del Regolamento a FCA Italy S.p.A., di pagare la somma di euro 40.000 (quarantamila a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;
INGIUNGE
quindi alla medesima Società di pagare la predetta somma di euro 40.000 (quarantamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);
DISPONE
la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/20129, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.
Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.
Roma, 15 settembre 2022
IL PRESIDENTE
Stanzione
IL RELATORE
Scorza
IL SEGRETARIO GENERALE
Mattei
