g-docweb-display Portlet

Provvedimento del 13 aprile 2023 [9891673 ]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9891673]

Provvedimento del 13 aprile 2023

Registro dei provvedimenti
n. 127 del 13 aprile 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presentato ai sensi dell’art. 77 del Regolamento dal prof. XX nei confronti di SWG S.p.A.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. Il reclamo nei confronti della società e l’attività istruttoria.

Con reclamo del 22 luglio 2020, il prof. XX ha lamentato presunte violazioni del Regolamento, da parte di SWG S.p.A. (di seguito, la Società), con riferimento alla sostituzione delle credenziali di accesso all’account di posta elettronica di tipo individualizzato, assegnato al reclamante, nell’ambito di una pluralità di rapporti di collaborazione coordinata e continuativa stipulati con la Società (XX@swg.it) e alla disattivazione del telefono aziendale disposti, prima della concordata cessazione del rapporto di lavoro con l’interessato, con conseguente lamentata impossibilità, per il reclamante, di accedere ai propri dati personali, anche di tipo privato e di natura particolare (art. 9 del Regolamento), contenuti nell’account.

In proposito il reclamante ha chiesto alla Società (in data 17/7/2020) di effettuare “l’immediato sblocco della email aziendale”, fornendo nuove credenziali di accesso.

La Società, nel fornire riscontro alla richiesta di informazioni, con nota del 26 aprile 2021 ha rappresentato che:

a. “il 3 luglio 2020 […] il Reclamante ha […] comunicato tramite PEC al […] Presidente di SWG, la propria volontà di risolvere il contratto di collaborazione con effetto dal 1° settembre 2020” (nota 26/4/2021, p. 4-5);

b. la Società “addiveniva quindi ad un accordo di risoluzione consensuale del contratto di collaborazione […], con decorrenza anticipata dal 31 luglio 2020, inviato da SWG il 10 luglio 2020 a mezzo PEC e sottoscritto successivamente dal [reclamante] l’11 luglio 2020” (nota cit., p. 5);

c. “nell’ambito di una verifica tecnica programmata per il mese di luglio 2020 e volta ad assicurare la corretta trasmigrazione dei dati a seguito del trasferimento logistico della sede della Società, la sera del 10 luglio 2020, l’amministratore del sistema […] rilevava una serie di inusuali accessi alla VPN aziendale in data 3 luglio 2020. Dopo alcune verifiche […] è emerso che, esattamente nell’ora che aveva preceduto l’invio della comunicazione PEC per la cessazione del rapporto, fosse stato effettuato uno scarico massivo, inusuale ed ingiustificato, di oltre 600 file dai server della società […] da un solo account” risultato essere quello assegnato al reclamante (nota cit., p. 5);

d. al fine di “tutelare il proprio interesse legittimo e prevalente alla tutela del patrimonio aziendale” la Società ha “dispo[sto] il blocco della casella di posta elettronica e della SIM aziendali […]” (nota cit., p. 6);

e. “l’11 luglio 2020 il [reclamante] contattava telefonicamente per delucidazioni sul punto il [presidente della Società], il quale rappresentava […] come il blocco degli accessi fosse stato disposto in ragione delle accertate plurime condotte illecite dell’ormai ex Collaboratore” (nota cit., p. 6);

f. non è stato arrecato “alcun pregiudizio al [reclamante] che, infatti, non avrebbe mai dovuto memorizzare presso le predette utenze propri dati personali, anche di natura particolare” (nota cit., p. 8);

g. in base al regolamento interno sull’utilizzo dei dispositivi informatici, c.d. “Documento Normativo DN02”, è stato reso noto che “La casella di posta, assegnata dall’Azienda all’utente, è uno strumento di lavoro. […] È fatto divieto di utilizzare le proprie caselle di posta elettronica aziendale per l’invio di messaggi personali”; inoltre “Il mancato rispetto o la violazione delle regole contenute nel presente regolamento sono perseguibili con provvedimenti disciplinari” (nota cit., p. 8 e All. 10);

h. il reclamante è stato informato del contenuto del regolamento interno “i) in occasione della sua designazione ad incaricato del trattamento, intervenuta sin dal precedente contratto relativo al periodo 2015-2017 (Allegato 11) ed ii) in occasione degli eventi formativi sul sistema di gestione qualità del 13 aprile 2015, del 9 novembre 2017 e del 15 gennaio 2020 (Allegato 12)”; inoltre la Società “ha […] provveduto […] ad informare il proprio collaboratore sulle finalità e modalità del trattamento dei propri dati personali, ai sensi e per gli effetti della normativa vigente al tempo della sottoscrizione del contratto di collaborazione” (nota cit., p. 9);

i. allo stato “l’account non è attivo, in quanto disattivato contestualmente alla rilevazione degli intervenuti plurimi accessi abusivi” (nota cit., p. 10);

j. le ragioni per le quali la Società ha inibito l’accesso all’account aziendale risiedono “nel contenimento di un incidente di sicurezza sostanziatosi nel prelevamento di documenti ed informazioni riservate (ben 600 file)” (nota cit., p. 10);

k. le attività successive alla “rilevazione dell’accesso abusivo […], ad opera dell’amministratore di sistema” sono contemplate “dall’apposita procedura di Gestione della privacy e della data security adottata da SWG (Allegato 13), anch’essa comunicata al [reclamante] i) in occasione della sua designazione ad incaricato del trattamento (Allegato 11) ed ii) in occasione degli eventi formativi sul sistema di gestione qualità del 13 aprile 2015, del 9 novembre 2017 e del 15 gennaio 2020 (Allegato 12)” (nota cit., p. 10-11);

l. “Attualmente nessuna comunicazione relativa alla casella aziendale del [reclamante] è detenuta su server aziendali, fatto salvo il relativo backup” (nota cit., p. 11);

m. “l’amministratore di sistema […] i) in data 10 luglio 2020 provvedeva alla variazione delle password relative alla casella email aziendale del [reclamante]; ii) in data 11 luglio 2020 provvedeva a contattare il gestore telefonico dell’azienda al fine di richiedere il blocco anche della SIM aziendale, che veniva perfezionato circa due giorni dopo la richiesta; iii) intervenuta la cessazione del rapporto di lavoro provvedeva alla disattivazione dell’utenza ed all’inserimento dell’apposito messaggio automatico” (nota cit., p. 12);

n. “Nel caso di specie la disattivazione è stata precedente di (soli) 15 giorni alla formale cessazione del rapporto di lavoro in ragione delle accertate condotte illecite poste in essere dall’interessato” (nota cit., p. 13);

o. “il diniego alla richiesta di accesso all’utenza aziendale del Collaboratore è intervenuto a fronte del […] legittimo interesse di SWG, di natura prevalente rispetto ai diritti ed alle libertà del [reclamante], ex art. 6, par. 1, lett. f), GDPR” (nota cit., p. 13);

p. “l’accesso del Collaboratore alla propria utenza aziendale avrebbe ulteriormente esposto – forse irreversibilmente – la Società ad ulteriori danni, consistenti appunto nella sottrazione di informazioni confidenziali e, quindi, di segreti aziendali” (nota cit., p. 15);

q. con riferimento alla richiesta di accedere all’account formulata dal reclamante “a fronte della ricezione della PEC del 13 luglio 2020, già il giorno successivo (14 luglio 2020) [il legale che ha agito in nome e per conto della Società], nel contestare le rilevate condotte illecite, provvedeva a comunicare […] il diniego di accesso, argomentando che esso risiedesse proprio nella garanzia del patrimonio aziendale e nella difesa dei diritti del titolare in giudizio. Infatti, come previsto dall’art. 15 GDPR, comma quarto, il diritto in parola non deve ledere i diritti e le libertà altrui, fermo quanto già riportato sulla previsione del Considerando 63 GDPR, di esplicita tutela del segreto industriale e aziendale e della proprietà intellettuale” (nota cit., p. 17).

Con controdeduzioni dell’11/8/2021, il reclamante ha rappresentato che:

a. “alla data dei presunti illeciti compiuti dal reclamante era ancora in essere il contratto stipulato dalle parti il 18 dicembre 2018” (nota 1/8/2021, p. 4);

b. “in data 11 luglio 2020 le parti formalizzavano gli accordi verbali intercorsi ratificando la risoluzione del rapporto in essere e confermando «reciprocamente la volontà di risolvere consensualmente il contratto di collaborazione con effetto al 31 luglio 2020»” (nota cit., p. 4);

c. “lo scarico dei dati è occorso in costanza di rapporto contrattuale e dunque è tutt’altro che abusivo” (nota cit., p. 4);

d. “non è dato comprendere come mai siano state bloccate le credenziali di accesso all’account […] e non solo l’accesso al server aziendale […] parimenti dicasi per il blocco del cellulare aziendale” (nota cit., p. 4);

e. il documento denominato DN02, “la cui data di formazione è incerta”, non è mai stato consegnato o comunque reso noto al reclamante (nota cit., p. 6);

f. con riguardo agli eventi formativi “da tali eventi non si evince una formazione specifica in materia di protezione e trattamento dati e/o utilizzo dei sistemi informativi […] Perdipiù […] nessuna prova viene fornita in ordine alla effettiva partecipazione [del reclamante] a tali eventi” (nota cit., p. 7);

g. “a nulla rileva l’asserito esercizio di un diritto di difesa in sede giudiziale […] in quanto l’attenuazione degli obblighi informativi […] non incide sull’obbligo del titolare di indicare, previamente e in modo trasparente, le attività di controllo che possono essere effettuate” (nota cit., p. 8);

h. non emerge da alcun documento che il reclamante avesse l’obbligo di “non riportare sulla sua email o sulla sua SIM informazioni di carattere personale” (nota cit., p. 11);

Con successive memorie del 18 ottobre 2021, la Società ha replicato che:

a. non sarebbe stato sufficiente, come sostenuto dal reclamante, l’azione di cambio password di accesso al server, posto che la Società in tal modo non avrebbe potuto “tutelare le informazioni oggetto del download massivo se non impedendo la loro diffusione mediante il blocco delle utenze aziendali ed il contestuale recupero dei dispositivi” e dunque “l’accesso del [reclamante] alla propria utenza aziendale avrebbe esposto la società ad ulteriori danni, consistenti appunto nella sottrazione di informazioni confidenziali” (nota 18/10/2021, p. 3);

b. il regolamento sull’utilizzo dei dispositivi informatici è stato “reso noto” al reclamante “in occasione della sua designazione ad incaricato del trattamento” e “in occasione degli eventi informativi sul sistema di gestione qualità”; in proposito è altresì precisato che “il documento prodotto in atti […] costituisce […] copia digitale del Regolamento, come tale non richiedente la sottoscrizione del collaboratore […]” (nota cit., p. 5-6);

c. “l’accertamento sul traffico sospetto in occasione del controllo per la trasmigrazione dei dati integra scenario contemplato dall’apposita procedura di Gestione della privacy e della data security adottata da SWG (Allegato 13), anch’essa comunicata al [reclamante]” (nota cit., p. 7);

d. con riferimento al blocco delle utenze aziendali del reclamante, disposto dalla Società, “il rimedio da intraprendere non avrebbe dovuto avere ad oggetto tanto la migrazione dal server al dispositivo locale (ormai tenutasi e conclusasi, nei sette giorni antecedenti all’evento della scoperta) quanto quella della diffusione” (nota cit., p. 7-8);

e. nella Intranet aziendale “tutte le procedure implementate dalla società trovano collocazione ed aggiornamento” (nota cit., p. 8).

Con l’ulteriore nota del 18 marzo 2022, inviata in riscontro alla richiesta di ulteriori chiarimenti da parte dell’Ufficio (del 28/2/2022), la Società ha dichiarato che:

a. quanto alla procedura in concreto adottata dall’amministratore di sistema, in vista del trasferimento della sede principale, la Società “ha predisposto un piano di migrazione completo […]. Il piano prevedeva in particolare, lo spegnimento, spostamento e riaccensione del Network Attached Storage […]. In base agli obiettivi appena descritti, venerdì 10 luglio 2020 [l’amministratore di sistema] procedeva all’analisi del traffico generato […]. In tale occasione [l’amministratore] rilevava una anomalia ossia che un importante numero di file fosse stato aperto in lettura nella giornata di venerdì 3 luglio 2020: considerato che, dall’esame dei log delle settimane e dei mesi precedenti, veniva stimata un’attività media su pochi file al giorno o a settimana da parte dei collaboratori, tale evento si rappresentava del tutto anomalo e come tale sospetto” (nota 18/3/2022, p. 2);

b. a fronte di tale rilevazione, l’amministratore di sistema “dava immediata applicazione alla Procedura di gestione della privacy e della data security adottata da SWG (Allegato 13)” (nota cit., p. 2-3);

c. successivamente l’amministratore di sistema “ha quindi: […] segnalato la situazione alla Società […]; sospeso l’utenza che ha generato l’evento, ai fini di approfondimento e in attesa di indicazioni da parte della società; sospeso definitivamente l’utenza a seguito delle indicazioni della Società” (nota cit., p. 3);

d. con lettera del 27 novembre 2020, era stato conferito incarico a un consulente tecnico di effettuare la copia forense, l’indicizzazione e l’analisi del notebook assegnato al reclamante; la relazione tecnica del consulente era stata consegnata alla Società in data 18 dicembre 2020 (nota cit., p. 4-5).

2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e le deduzioni della Società.

Il 2 maggio 2022, l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notifica alla Società delle presunte violazioni del Regolamento riscontrate, con riferimento agli artt. 5, par. 1, lett. a) e 13 del Regolamento.

Con memorie difensive inviate in data 1° giugno 2022, la Società ha rappresentato che:

a. non ha svolto né svolge “controlli preventivi e continui sull’utilizzo degli strumenti aziendali”; “l’unica tipologia di «controllo» contemplata dal Regolamento [interno] risultava, infatti, quella volta alla verifica ed al contrasto di «quegli usi scorretti che, oltre ad esporre l’azienda a rischi tanto patrimoniali quanto penali, possono di per sé considerarsi contrari ai doveri di diligenza e fedeltà […] (cfr. punto 6 del Regolamento), […]. Tale aspetto è stato portato a conoscenza di dipendenti e collaboratori” (v. memoria 1/6/2022, p. 9);

b. “le attività di verifica svolte [dalla Società] hanno costituito una eccezione, ampiamente motivata dall’esigenza di accertare e contrastare una condotta dolosa – dopo che la stessa si è realizzata – […], e comunque contemplata dalle procedure aziendali” (v. memoria cit., p. 10);

c. “l’attività di accertamento svolta […] nella serata del 10 luglio 2020 è stata posta in essere in occasione di altra attività programmata dell’amministratore di sistema […] che di per sé non avrebbe comportato alcun trattamento di dati personali se non a seguito della rilevazione di una anomalia dal carattere eccezionale, consistente in uno scarico massivo di dati aziendali confidenziali che non poteva essere […] ignorato” (v. memoria cit., p. 10);

d. “non appare ravvisabile una totale assenza di informazione né una inadeguata informazione del collaboratore”, posto che, come già dichiarato nel corso del procedimento, informazioni in proposito sono state fornite in occasione della designazione ad incaricato del trattamento e nel corso degli eventi formativi (v. memoria cit., p. 12);

e. qualora l’Autorità ritenesse di confermare l’accertamento della violazione dell’art. 13 del Regolamento, si dovrebbe tener conto che l’attività della Società “è stata svolta unicamente allo scopo di tutelare i propri diritti in giudizio, sia in ambito civile, sia in ambito penale, eseguendo […] attività di investigazione difensiva prevista e disciplinata nel codice di procedura penale” (ciò tenuto conto di quanto stabilito dall’art. 23 del Regolamento e dall’art. 11 delle regole deontologiche relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per far valere o difendere un diritto in sede giudiziaria; v. memoria cit., p. 13);

f. successivamente alla conclusione del rapporto con il reclamante, la Società, nel quadro di un’ampia attività di compliance in materia di trattamento dei dati personali di dipendenti e collaboratori, ha aggiornato i documenti informativi redatti ai sensi degli artt. 13 e 14 del Regolamento e il regolamento relativo all’uso degli strumenti aziendali; inoltre la Società ha attivato azioni migliorative nell’ambito della cibersicurezza, in particolare con il rilascio di un nuovo sistema VPN e la “modifica alla configurazione del file server […] per ottenere maggiore granularità alla definizione dei permessi in lettura, attualmente segmentati per singola commessa” (v. memoria cit., p. 15);

g. la Società ha, infine, fornito tutti gli elementi di cui all’art. 83, par. 2 del Regolamento.

Nel corso dell’audizione, tenutasi in data 26 luglio 2022, la Società ha infine dichiarato che:

a. sono allo stato pendenti, nei confronti del reclamante, alcuni procedimenti davanti all’autorità giudiziaria ordinaria, attivati dalla Società a sua tutela;

b. l’attività di verifica sui sistemi informativi ha consentito di accertare che i file coinvolti “riguardavano diverse commesse in corso e che coprivano un esteso intervallo temporale dal 2014 al 2020. […] Si è trattato dello scaricamento di un’intera banca dati con informazioni aziendali confidenziali (non dati personali)”;

c. “non può essere ravvisata alcuna condotta illecita della Società, dato che il controllo è avvenuto una sola volta, con carattere di urgenza per far fronte ad una consistente anomalia (i) dopo che questa si è prodotta, (ii) con riferimento ad un solo collaboratore, (iii) a difesa del patrimonio aziendale e dell’interesse legittimo di SWG”;

d. "nel corso delle verifiche effettuate, l’amministratore di sistema ha accertato la presenza di un’anomalia, ma non di un data breach in quanto le informazioni trafugate non contenevano dati personali. Ciò in quanto, in applicazione del principio di privacy by design, il sistema consentiva di accedere ai dati sulla base della diversa granularità dei permessi, in particolare il reclamante non aveva accesso a dati che non fossero aggregati”.

3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

3.1. Esito dell’istruttoria.

All’esito dell’esame delle dichiarazioni rese all’Autorità, nel corso del procedimento nonché della documentazione acquisita, risulta che la Società, in qualità di titolare, ha effettuato alcune operazioni di trattamento, riferite al reclamante, che risultano non conformi alla disciplina in materia di protezione dei dati personali.

In proposito si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

Nel merito, è emerso che l’amministratore di sistema, nell’ambito delle attività preordinate all’efficiente gestione della migrazione dei sistemi in occasione del trasferimento della sede della Società, in data 10 luglio 2020, analizzando il traffico generato, ha riscontrato “una anomalia ossia che un importante numero di file fosse stato aperto in lettura nella giornata di venerdì 3 luglio 2020”.

Rilevata l’anomalia, l’amministratore di sistema ha effettuato ulteriori controlli accertando che: l’utenza interessata era quella del reclamante; gli accessi “erano stati effettuati “in lettura” e riguardavano una notevole quantità di file diversi, tratti dalle cartelle condivise”; alla luce “[del]l’orario di download dei file, ravvicinato e sequenziale” doveva concludersi “che l’attività fosse stata di copiatura massiva”.

A questo punto, l’amministratore di sistema ha avvisato la Società e, contestualmente, sospeso temporaneamente le utenze del reclamante, in attesa di ulteriori istruzioni, ricevute le quali le predette utenze sono state definitivamente sospese.

L’amministratore di sistema, una volta accertata un’anomalia che avrebbe potuto essere indice di un pericolo in atto per la sicurezza dei sistemi, ha quindi proceduto ad effettuare accertamenti che hanno portato all’identificazione di un utente (il reclamante) dei medesimi sistemi, alla sospensione cautelativa dell’account e al successivo definitivo blocco della casella di posta elettronica e della SIM.

All’esito del procedimento, è altresì emerso, con riguardo alla lamentata violazione dell’esercizio del diritto del reclamante di accedere all’account, che la richiesta (contenuta nell’atto di diffida del 17/7/2020) aveva in realtà ad oggetto la comunicazione di nuove credenziali di accesso e che la Società aveva già rappresentato all’interessato (con nota del 14/7/2020) che in presenza di specifiche esigenze di tutela di propri diritti, manifestatesi dopo la scoperta di sospette attività illecite da parte del reclamante, non sarebbe stato possibile reintegrare il reclamante nell’accesso alla casella di posta elettronica.

Con riguardo ai procedimenti pendenti davanti all’Autorità giudiziaria ordinaria tra le medesime parti del presente procedimento, in relazione a diversi profili, di cui sono stati prodotti in atti alcuni estratti e la copia di un provvedimento, si rammenta che ai sensi dell’art. 160-bis del Codice “La validità, l'efficacia e l’utilizzabilità nel procedimento giudiziario di atti, documenti e provvedimenti basati sul trattamento di dati personali non conforme a disposizioni di legge o di Regolamento restano disciplinate dalle pertinenti disposizioni processuali”.

3.2. Violazione degli artt. 5, par. 1, lett. a) e 13 del Regolamento.

In relazione alla descritta attività effettuata a seguito della rilevazione di una “anomalia” da parte dell’amministratore di sistema, in un momento in cui l’utente/reclamante era ancora legittimato ad effettuare le operazioni ordinariamente consentite per lo svolgimento dell’attività professionale (dato che solamente il giorno stesso era stato pattuito un accordo tra la Società e l’interessato per la risoluzione anticipata del contratto che avrebbe comunque avuto decorrenza a fine mese), risulta accertato che la Società ha omesso di informare il reclamante circa la possibilità, per quest’ultima, di effettuare indagini sui contenuti memorizzati sui dispositivi aziendali (notebook e smartphone), nonché di analizzare le attività svolte attraverso i dispositivi medesimi, individuando, pur all’esito di una ricognizione improntata a gradualità, il singolo utilizzatore di un’utenza cui sono ricollegate attività ritenute “anomale”.

Infatti il regolamento interno sull’utilizzo dei dispositivi informatici, c.d. “Documento Normativo DN02”, versione del 1° ottobre 2018 (All. 10, nota SWG 26.4.2021), non contiene alcun riferimento alla possibilità di effettuare controlli preordinati alla verifica dell’osservanza delle regole (“E’ fatto divieto di utilizzare le caselle di posta elettronica aziendale per l’invio di messaggi personali”) contenute nel documento stesso, posto che tale non può considerarsi l’avviso che “il mancato rispetto o la violazione delle regole contenute nel presente regolamento sono perseguibili con provvedimenti disciplinari nonché con le azioni civili e penali consentite” (punto 9), trattandosi esclusivamente della indicazione delle conseguenze della eventuale violazione di regole aziendali.

Nemmeno il “Documento DN01 – Gestione della Privacy e della Data security”, versione del 1° ottobre 2018 (All. 13, nota SWG 26.4.2021), contiene specifici elementi informativi circa la tipologia dei controlli sugli strumenti aziendali che la Società si riserva di effettuare, tanto meno riferibili a quelli in concreto effettuati nel caso di specie (raccolta di dati riferiti ad attività “anomale”, individuazione della singola postazione, esame dei dati contenuti nei dispositivi aziendali riconsegnati).

Infatti, il punto 4.2 di tale documento (“Gestione della data security informatica”) contiene l’indicazione delle misure di sicurezza adottate (distinte in: “Situazione dei server dati”; “Gestione di USERNAMES e PASSWORDS”; “Protezione dalle intrusioni da software” [“virus informatici”]), mentre il punto 6 (Regolamento aziendale per l’utilizzo dei sistemi informatici) rappresenta in linea di principio la necessità di “porre in essere adeguati sistemi di controllo sull’utilizzo [degli strumenti informatici forniti dall’azienda] da parte dei collaboratori” senza tuttavia indicarli.

Né il successivo riferimento a “controlli preventivi e continui sull’uso degli strumenti informatici [che] devono garantire tanto il diritto del datore di lavoro di proteggere la propria organizzazione […] quanto il diritto del lavoratore a non vedere invasa la propria sfera personale, e quindi il diritto alla riservatezza e alla dignità come sanciti dallo Statuto e dal Codice sulla privacy” consente di conoscere in dettaglio le prospettate attività di verifica, tanto più che il paragrafo si chiude con il rinvio al sopra menzionato Documento Normativo DN02 (“onde contemperare le summenzionate esigenze”), che, come sopra già rilevato, non contiene informazioni su possibili attività di controllo sull’utilizzo dei dispositivi.

Preso atto che la Società ha dichiarato nelle memorie difensive che, pur a fronte della indeterminatezza della formulazione su richiamata, non svolge né ha svolto “controlli preventivi e continui sull’utilizzo degli strumenti aziendali”, l’attività di verifica svolta dall’amministratore di sistema è consistita proprio nella “verifica e […] contrasto di «quegli usi scorretti che, oltre ad esporre l’azienda a rischi tanto patrimoniali quanto penali, possono di per sé considerarsi contrari ai doveri di diligenza e fedeltà […]»” (v. memorie difensive, p. 9), senza tuttavia che all’interessato fossero state preventivamente rese note finalità e modalità dei prospettati controlli nonché le conseguenze degli stessi, anche in termini di accessibilità e disattivazione degli strumenti aziendali messi a disposizione per l’esecuzione della prestazione lavorativa.

Peraltro non risulta che, all’epoca dei fatti oggetto di reclamo, fossero attive misure, anche di tipo tecnologico, preordinate a impedire le attività contestate al reclamante. Si prende atto, in proposito che, nel corso del procedimento, la Società ha apportato alcune modifiche anche in relazione alla definizione dei permessi di lettura, improntati a maggiore granularità e “attualmente segmentati per singola commessa”.

Inoltre, nel corso del procedimento, non è emerso che idonei elementi informativi siano stati forniti al reclamante al momento della stipula del contratto o della designazione a incaricato del trattamento o in occasione dello svolgimento di “eventi formativi sul sistema di gestione qualità” (cui peraltro non risulta che l’interessato abbia partecipato).

Non risulta, infine, conferente il richiamo alla c.d. “teoria dei controlli difensivi”, di pura creazione giurisprudenziale, effettuato nelle memorie difensive, posto che, nel caso di specie, l’Autorità non ha formulato rilievi in ordine alla disciplina di settore in materia di controlli a distanza (art. 114 del Codice).

Il datore di lavoro ha l’onere di indicare ai propri dipendenti e collaboratori, in ogni caso, chiaramente e in modo particolareggiato, quali siano le modalità di utilizzo degli strumenti messi a disposizione ritenute corrette e se, in che misura e con quali modalità, anche all’esito di eventi imprevisti o eccezionali, vengano effettuati controlli che devono comunque essere conformi ai principi di liceità, proporzionalità e gradualità (v. Linee guida del Garante per posta elettronica e internet, Provv. 1/3/2007, n. 13, in G. U. n. 58 del 10/3/2007, doc. web n. 1387522).

Nell’ambito del rapporto di lavoro, indipendentemente dalla natura di quest’ultimo, l’obbligo di informare gli interessati circa i trattamenti effettuati o che ci si riserva di effettuare costituisce altresì espressione del principio generale di correttezza (art. 5, par. 1, lett. a) del Regolamento).

La Società, nel caso oggetto di reclamo, ha pertanto omesso di informare il reclamante circa la specifica modalità di trattamento in concreto effettuata mediante i controlli svolti sull’uso dei dispostivi informatici e l’analisi dei dati contenuti all’interno dei propri dispositivi oggetto di riconsegna (successivamente sottoposti ad attività di indagine forense), in violazione di quanto previsto dall’art. 13 del Regolamento nonché dell’art. 5, par. 1, lett. a) del Regolamento che stabilisce il principio generale di correttezza dei trattamenti.

Con riferimento ai documenti informativi predisposti nel corso del procedimento (recanti data 26/5/2022), allegati alle memorie difensive del 1° giugno 2022 (Informativa ex art. 13 GDPR per i collaboratori; Informativa ex art. 13 GDPR per i dipendenti; Informativa ex art. 4, c. 3 St. Lav. e 13 GDPR per i dipendenti; Regolamento per l’utilizzo degli strumenti aziendali e sui controlli effettuati dal datore di lavoro relativamente al loro corretto utilizzo), si invita la Società, ai sensi dell’art. 57, par. 1, lett. d) del Regolamento, a tener conto di quanto stabilito dall’Autorità in materia di trattamenti di dati relativi alla posta elettronica e alla navigazione web dei dipendenti, anche con riguardo all’applicazione della disciplina in materia di controlli a distanza e di divieto di indagini sulle opinioni richiamata dagli artt. 114 e 113 del Codice (in relazione all’art. 88 del Regolamento), da ultimo con i provv.ti 1° dicembre 2022, n. 409 (doc. web n. 9833530), 13 maggio 2021, n. 190 (doc. web n. 9669974) e 15 aprile 2021, n. 137 (doc. web n. 9670738).

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Per i suesposti motivi l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati personali effettuato dalla Società e segnatamente l’effettuazione di verifiche e controlli sulle attività svolte mediante dispositivi aziendali risulta infatti illecito, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a) e 13 del Regolamento.

La violazione accertata nei termini di cui in motivazione non può essere considerata “minore”, tenuto conto della natura e della gravità della violazione stessa, del grado di responsabilità, della maniera in cui l'autorità di controllo ha preso conoscenza della violazione (v. Considerando 148 del Regolamento).

Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento, si dispone una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) Regolamento).

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

All’esito del procedimento risulta che SWG S.p.A. ha violato gli artt. 5, par. 1, lett. a) e 13 del Regolamento. Per la violazione delle predette disposizioni è prevista l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. a) e b) del Regolamento, mediante adozione di un’ordinanza ingiunzione (art. 18, l. 24.11.1981, n. 689).

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

a) in relazione alla natura e alla gravità della violazione, è stata considerata rilevante la natura della violazione che ha riguardato i principi generali del trattamento e l’obbligo di informativa (art. 83, par. 2, lett. a) del Regolamento);

b) con riguardo al grado di responsabilità del titolare, è stata presa in considerazione la condotta della Società che non si è conformata alla disciplina in materia di protezione dei dati nell’ambito del rapporto di lavoro con i propri dipendenti; in proposito non può essere preso in considerazione nel caso di specie, come dedotto nelle memorie difensive, quanto stabilito nell’art. 23 del Regolamento in relazione all’art 11 delle Regole deontologiche relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria pubblicate ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101, considerato che la condotta oggetto di contestazione è stata effettuata prima dell’incarico affidato al consulente nell’ambito di un procedimento davanti al giudice penale (art. 83, par. 2, lett. b) del Regolamento);

c) con riguardo al grado di cooperazione con l’Autorità di controllo, è stato considerato che la Società ha costantemente cooperato con il Garante nel corso del procedimento (art. 83, par. 2, lett. f) del Regolamento);

d) a favore della Società si è tenuto conto dell’assenza di precedenti violazioni in materia di protezione di dati personali e del numero ridotto di interessati coinvolti (art. 83, par. 2, lett. a) e e) del Regolamento).

Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla Società con riferimento al bilancio ordinario d’esercizio per l’anno 2021.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di SWG S.p.A. la sanzione amministrativa del pagamento di una somma pari ad euro 15.000 (quindicimila).

In tale quadro si ritiene, altresì, in considerazione della tipologia delle violazioni accertate che hanno riguardato i principi generali del trattamento e l’obbligo di informativa, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante.

Si ritiene, altresì, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO, IL GARANTE

rileva l’illiceità del trattamento effettuato da SWG S.p.A., in persona del legale rappresentante, con sede legale in Via san Giorgio, 1, Trieste (TS), P.I. 00532540325, ai sensi dell’art. 143 del Codice, per la violazione degli artt. 5, par. 1, lett. a) e 13 del Regolamento;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento a SWG S.p.A., di pagare la somma di euro 15.000 (quindicimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

quindi alla medesima Società di pagare la predetta somma di euro 15.000 (quindicimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/20129, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 13 aprile 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei