Con provvediemnto in data 2 luglio 2020 (Registro dei provvedimenti n. 115 del 2 luglio 2020) il Garante ha adottato una Ordinanza ingiunzione nei confronti di Mapei S.p.A., di pagare la somma di euro 15.000 (quindicimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;
Continua a leggere
Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il dott. Antonello Soro, presidente, la dott.ssa Giovanna Bianchi Clerici e la prof.ssa Licia Califano, componenti, e il dott. Giuseppe Busia, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);
VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);
VISTE le “Linee guida per posta elettronica e internet”, adottate con provvedimento n. 13 del 1° marzo 2007 (pubblicato nella G.U. 10 marzo 2007, n. 58);
VISTO il reclamo presentato al Garante ai sensi dell’articolo 77 del Regolamento da XX concernente il trattamento di dati personali riferiti all’interessato effettuato da Mapei S.p.A.;
ESAMINATA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE il dott. Antonello Soro;
PREMESSO
1. Il reclamo nei confronti della società e l’attività istruttoria.
1.1. Con reclamo del 3 agosto 2018 il Sig. XX (rappresentato e difeso dagli avvocati XX e XX) ha lamentato presunte violazioni del Regolamento da parte di Mapei S.p.A. (di seguito, la società), con particolare riferimento al mancato riscontro all’istanza di accesso al contenuto delle comunicazioni pervenute sull’account di posta elettronica di tipo individualizzato (XX), mantenuto attivo e funzionante anche dopo l’interruzione del rapporto di lavoro (avvenuta in data 31.7.2017), nonché all’istanza di ottenere la cancellazione dell’account medesimo, richiesta formulata in apposito atto di diffida inviato alla società con comunicazione del 4.6.2018 reiterata il 27.7.2018, alla quale la società non avrebbe fornito alcun riscontro. In particolare il reclamante lamenta di aver appreso che il predetto account era ancora attivo ed i messaggi ivi pervenuti venivano letti e riscontrati dalla società, solo dopo aver effettuato un apposito test (in data 21.2.2018) e dopo aver inviato una comunicazione (il 27.2.20218) sull’account oggetto di reclamo utilizzando l’account di un terzo. È stato altresì lamentato che la società avrebbe attivato “una casella di posta elettronica […], denominata «mapeicopy», tenuta occulta ai dipendenti […] ma a disposizione della Direzione generale e relativa segreteria […] che raccoglie […] l’intera […] corrispondenza in entrata e in uscita”.
Con l’istanza è stato pertanto chiesto al Garante di voler dichiarare l’illiceità dei trattamenti effettuati in violazione del Regolamento nonché di ingiungere alla società la cessazione dei trattamenti medesimi e di soddisfare tutte le istanze di esercizio dei diritti rimaste insoddisfatte.
Con riferimento alla prospettata violazione di talune disposizioni penali risulta dagli atti che sia stata presentata denuncia querela presso la competente autorità giudiziaria, con conseguente applicazione, sotto tale profilo, dell’art. 140-bis del Codice.
1.2. La società, in risposta alla richiesta di elementi (del 12.10.2018) formulata dall’Ufficio, con nota del 29.11.2018 ha dichiarato che:
a. al momento della cessazione del rapporto di lavoro tra la società ed il reclamante “si è reso necessario affidare tutte le attività fino ad allora seguite [dal reclamante]” al superiore gerarchico del reclamante stesso, in qualità di “responsabile della divisione MAPEI UTT” (nota 29.11.2018, p. 2);
b. in data 31.7.2017 (data della cessazione del rapporto) “i sistemi informatici [della società] hanno avviato le attività di recupero delle dotazioni informatiche e di disabilitazione utente con la sola sopravvivenza dell’inoltro […] dei messaggi in entrata. Ossia, per […] ragioni di necessità di garantire la business continuity in relazione ai cantieri e ai progetti che [il reclamante] seguiva […] si è proceduto con il «forward» dei messaggi in ingresso nella casella di posta elettronica XX verso la casella […] del superiore gerarchico […] con effetto a partire dal 1.8.2017” (nota cit., p. 4);
c. al fine di “tutelare la propria continuità aziendale utilizzando uno strumento di sua proprietà (posta elettronica)” la società, in riscontro ad un messaggio pervenuto (in data 27.2.2018) sull’account già assegnato al reclamante “ha espressamente specificato che [il reclamante] non lavorava più” con la società (nota cit., p. 5);
d. “a seguito del ricevimento della lettera di diffida [da parte del reclamante] datata 4.6.2018, la casella di posta […] è stata definitivamente distrutta” (nota cit., p. 5);
e. “copia integrale” dei messaggi (in numero di 238) ricevuti “a seguito di «forward» automatico dalla casella di posta elettronica [riferita al reclamante] è stata inviata ai legali del reclamante a mezzo PEC del 27 novembre 2018 […]. Si tratta di […] messaggi […] tutti connessi all’attività lavorativa: dunque, nessun dato personale del [reclamante] è mai stato conosciuto né acquisito dall’azienda” (nota cit., p. 5);
f. la società “sta codificando” una “prassi operativa attualmente già applicata”, la quale prevede che “alla cessazione del rapporto di lavoro gli account riconducibili al dipendente vengano rimossi previa disattivazione, con contestuale attivazione di sistemi automatici volti ad informarne i terzi e fornire indirizzi alternativi da utilizzare per la prosecuzione dei rapporti professionali con l’azienda” (nota cit., p. 6);
g. “la casella di posta elettronica «mapeicopy» è ad oggi inesistente e non più in uso dal 2016” (nota cit., p. 9).
La società ha inoltre allegato copia del documento “Sicurezza e corretto utilizzo dei sistemi informativi” datato 20.2.2017 (nota cit., Doc. 2).
1.3. Con nota di replica del 23 aprile 2019 il reclamante − nel confermare le proprie richieste all’Autorità − ha tra l’altro lamentato che:
a. solo in data 27.11.2018 la società ha fornito copia dei dati personali oggetto dell’istanza di accesso (presentata in data 4.6.2018), tuttavia il riscontro è parziale “mancando la trasmissione della corrispondenza cartacea, asseritamente non pervenuta, e notandosi un vistoso quanto inspiegabile buco […] in quella elettronica” posto che “tra il 13 marzo 2018 e il 4 giugno 2018 (data di asserita disattivazione della email […]) si registra una totale […] assenza di comunicazioni in entrata” (nota cit., p. 5);
b. la società non ha fornito evidenze circa il fatto che il regolamento aziendale datato 20.2.2017 sia stato portato a conoscenza del reclamante e in ogni caso “in nessun punto della policy aziendale prodotta vi è una previsione che renda edotto il dipendente della «libertà» del datore di lavoro di mantenere attivo l’account […] una volta cessato il rapporto lavorativo e di accedere indiscriminatamente […] alle future comunicazioni in ingresso” (nota cit., p. 6).
1.4. Il 10 settembre 2019 l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione alla società delle presunte violazioni del Regolamento riscontrate, con riferimento agli artt. 5, par. 1, lett. a), c) e e), 12, 13 e 15 del Regolamento. Con nota del 10 ottobre 2019 la società, rappresentata e difesa dall’avvocato Luigi Neirotti, ha dichiarato che:
a. al momento della cessazione del rapporto di lavoro con il reclamante la società ha dovuto affidare tutte le attività da questi seguite al suo superiore gerarchico, “ciò non soltanto per la gestione del rapporto corrente ma anche per garantire la reperibilità dell’azienda e comunque il mantenimento dei contatti seguiti [dal reclamante] nell’interesse della società” (nota 10.10.2019, p. 2);
b. il documento “Sicurezza e corretto utilizzo dei sistemi informatici – Procedura” adottata il 1° luglio 2012 e “da ultimo revisionata il 20.2.2017” è stata messa a conoscenza del reclamante e di tutti i dipendenti, oltre ad essere disponibile sulla Intranet aziendale (nota cit., p. 3 e All. 5, contenente nota di invio a tutti gli users Mapei in data 9.7.2017);
c. all’interno del documento di cui alla lettera precedente è stato specificato che “la posta elettronica è di esclusiva proprietà dell’azienda ed è uno strumento di lavoro che deve essere impiegato dai lavoratori esclusivamente per fini professionali in relazione alle specifiche mansioni a loro assegnate”; inoltre la società ha chiarito che “in qualunque momento, a fronte di una dichiarata, motivata e documentata necessità/richiesta (es. garantire la business continuity, prevenire e contrastare comportamenti illeciti o abusi), si riserva la possibilità di accedere a qualunque casella di posta elettronica attraverso i Sistemi Informativi Aziendali” (nota cit., p. 3);
d. coerentemente con tali procedure al momento della cessazione del rapporto di lavoro, precisamente in data 1° agosto 2017, la società “ha avviato le attività di recupero delle dotazioni informatiche e di disabilitazione utente con la sola sopravvivenza dell’inoltro (forward) dei messaggi in entrata” (nota cit., p. 4).
1.5. In sede di audizione tenutasi il 3 dicembre 2019, la società ha ribadito, sotto propria responsabilità, di aver inviato tramite Pec al reclamante copia di tutta la corrispondenza pervenuta sull’account oggetto di reclamo durante il periodo in cui è stato attivato il reinoltro sull’account dell’ex superiore gerarchico del reclamante. La società ha altresì dichiarato che nessuna corrispondenza indirizzata al reclamante è pervenuta via posta ordinaria. È stato altresì rappresentato che la società ha agito in buona fede, considerato che il documento “Sicurezza e corretto utilizzo dei sistemi informatici – Procedura” del 2012 prevedeva la possibilità di reinoltro dell’account in caso di assenza prolungata del lavoratore. La società ha infine rappresentato di aver avviato la revisione delle procedure interne come parte della applicazione del processo di responsabilizzazione previsto dal Regolamento. In particolare, a partire dal 2018, è stata avviata una procedura di “revisione della prassi aziendale (completata il 24 settembre 2019) in base alla quale gli account di posta elettronica individualizzati, non più in uso, vengono immediatamente disabilitati alla cessazione del rapporto di lavoro”.
2. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.
All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, risulta che la società, in qualità di titolare, ha effettuato alcune operazioni di trattamento di dati personali riferiti al reclamante che risultano non conformi alla disciplina in materia di protezione dei dati personali.
Con riferimento alla ritenuta inesistenza di trattamenti di dati personali del reclamante effettuati in occasione della gestione di messaggi contenuti nell’account individualizzato di posta elettronica attribuito nel corso del rapporto di lavoro, si rileva preliminarmente che, conformemente al costante orientamento della Corte europea dei diritti dell’uomo, la protezione della vita privata si estende anche all’ambito lavorativo, considerato che proprio in occasione dello svolgimento di attività lavorative e/o professionali si sviluppano relazioni dove si esplica la personalità del lavoratore (v. artt. 2 e 41, comma 2, Cost). Tenuto anche conto che la linea di confine tra ambito lavorativo/professionale e ambito strettamente privato non sempre può essere tracciata con chiarezza, la Corte ritiene applicabile l’art. 8 della Convenzione europea dei diritti dell’uomo posto a tutela della vita privata senza distinguere tra sfera privata e sfera professionale (v. Niemietz c. Allemagne, 16.12.1992 (ric. n. 13710/88), spec. par. 29; Copland v. UK, 03.04.2007 (ric. n. 62617/00), spec. par. 41; Bărbulescu v. Romania [GC], 5.9.2017 (ric. n. 61496/08), spec. par. 70-73; Antović and Mirković v. Montenegro, 28.11. 2017 (ric. n. 70838/13), spec. par. 41-42). Pertanto il trattamento dei dati effettuato mediante tecnologie informatiche nell’ambito del rapporto di lavoro deve conformarsi al rispetto dei diritti e delle libertà fondamentali nonché della dignità dell’interessato, a tutela di lavoratori e di terzi (v. Raccomandazione CM/Rec(2015)5 del Comitato dei Ministri agli Stati Membri sul trattamento di dati personali nel contesto occupazionale, spec. punto 3).]
2.1. Premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”, è emerso che la società, ricevuta il 4.6.2018 l’istanza di esercizio dei diritti (in relazione agli artt. 15, 17 e 20 del Regolamento; v. All. 4 e 5 del reclamo) e il sollecito del 27.7.2018 (v. All. 6 del reclamo), ha inviato ai legali del reclamante in data 7.8.2018 una nota con la quale sono state “contesta[te] integralmente […] le pretese e richieste avanzate”, in base al “legittimo interesse di gestione di ordini e comunicazioni in transito nella casella di posta elettronica aziendale, anche dopo la cessazione del rapporto di lavoro” (v. All. 1, 1a e 1b, nota della società 29.11.2018). In data 27.11.2018 (successivamente all’apertura del procedimento su reclamo da parte di questa Autorità con nota del 12.10.2018) la società ha fornito riscontro al reclamante (v. All. 4, nota della società 29.11.2018) trasmettendo “file pdf contenente l’integrale corrispondenza e-mail ricevuta [sull’account riferito al reclamante] successivamente al 31 luglio 2017” e dichiarando che i dati personali dell’interessato erano stati “integralmente cancellati in conformità della richiesta del medesimo […] del 1/4 giugno e 27 luglio 2018”.
Risulta pertanto che la società non ha fornito riscontro alle istanze relative all’esercizio dei diritti di accesso e di cancellazione avanzate dal reclamante (né ha comunicato la ritenuta sussistenza di una ipotesi di limitazione dei diritti dell’interessato, nei termini previsti dall’art. 2-undecies del Codice) solo successivamente al ricevimento dell’invito a fornire riscontro da parte dell’Autorità. Ciò è avvenuto in violazione dell’art. 15 del Regolamento, vigente all’epoca della presentazione dell’istanza di accesso. Risulta altresì violato l’art. 12 del medesimo Regolamento, anche con riferimento al tardivo riscontro all’istanza di cancellazione presentata ai sensi dell’art. 17 dello stesso (cancellazione che, secondo quanto dichiarato, sarebbe avvenuta dopo la presentazione della diffida da parte dell’interessato, ma in data anteriore alla presentazione del reclamo al Garante).
2.2. La società inoltre, in base a quanto dichiarato, ha mantenuto attivo l’account di posta elettronica riferito al reclamante dal momento della cessazione del rapporto di lavoro − il 31.7.2017 −, con reindirizzamento automatico di tutti i messaggi in entrata sull’account assegnato all’ex superiore gerarchico del reclamante a partire dal 1.8.2017 (dunque per un periodo significativo di tempo, poco più di 10 mesi) fino alla cancellazione avvenuta a seguito della presentazione di diffida da parte dell’interessato in data 4.6.2018. Tale trattamento si è protratto oltre la data di applicazione del Regolamento (15 maggio 2018)
Al riguardo, non risulta che il reclamante fosse stato previamente informato della possibilità del trattamento − asseritamente preordinato ad assicurare continuità all’attività aziendale – effettuato dalla società dopo la cessazione del rapporto di lavoro. Infatti il documento “Sicurezza e corretto utilizzo dei sistemi informatici – Procedura”, datato 20.2.2017 (v. All. 2, nota della società 29.11.2018), per quanto chiarisca che la posta elettronica è uno “strumento di comunicazione aziendale” da utilizzarsi esclusivamente per fini professionali, non contiene, contrariamente a quanto sostenuto dalla società, alcun riferimento alla possibilità che la stessa mantenga attivi gli account dopo la cessazione del rapporto con reindirizzamento automatico su diverso indirizzo di posta elettronica. Vi si prospetta, invece, la sola e diversa possibilità per la società di accedere, in costanza del rapporto di lavoro, alle caselle di posta a fronte di specifiche, motivate e documentate necessità aziendali, nonché di abilitare temporaneamente l’inoltro automatico ad altra casella di posta in caso di assenza prolungata dell’utente destinatario del messaggio, senza indicarne le relative modalità (v. “Sicurezza e corretto utilizzo dei sistemi informatici – Procedura”, punto 4.4.). Procedure queste peraltro difformi dalle indicazioni fornite ai datori di lavoro nelle "Linee guida del Garante per posta elettronica e Internet" volte a contemperare le legittime esigenze di ordinato svolgimento dell’attività lavorativa con la prevenzione di possibili intrusioni nella sfera personale dei lavoratori, nonché violazioni della disciplina sull’eventuale segretezza della corrispondenza (Provv. 1.3.2007, in G. U. n. 58 del 10.3.2007, spec. punto 5.2, lett. b),
Ciò, risulta in contrasto con quanto stabilito dall’art. 13 del d. lgs. 30.6.2003, n. 196, del Codice (testo vigente all’epoca dell’inizio del trattamento), in base al quale il titolare è tenuto a fornire all’interessato - prima dell’inizio dei trattamenti - tutte le informazioni relative alle caratteristiche essenziali del trattamento. Nell’ambito del rapporto di lavoro l’obbligo di informare il dipendente è altresì espressione del principio generale di correttezza (v. art. 11, comma 1, lett. a) del Codice, testo vigente all’epoca dei fatti; considerato che il trattamento è proseguito fino al 4 giugno 2018, v. anche, artt. 5, par. 1, lett. a) e 13 del Regolamento).
2.3. È emerso, infine, che nel corso del periodo durante il quale l’account è rimasto attivo dopo la cessazione del rapporto di lavoro, la società, mediante il reinoltro su diverso account aziendale, ha avuto accesso ai 238 messaggi pervenuti alla casella di posta elettronica individualizzata riferita al reclamante. Tale modalità di trattamento ha consentito alla società di prendere visione della corrispondenza elettronica in arrivo (estranea o meno all’attività lavorativa) alla casella di posta di tipo individualizzato riferita al reclamante e proveniente da soggetti interni ed esterni all’ambito lavorativo. In questo modo, la società è venuta a conoscenza di alcune informazioni personali relative all’interessato e riguardanti non solo i dati c.d. esterni delle predette comunicazioni e gli eventuali file allegati, ma anche il contenuto delle stesse (v., da ultimo, provv. 4.12.2019, n. 216, in www.garanteprivacy.it, doc. web n. 9215890). In particolare, dall’esame delle comunicazioni ricevute sull’account riferito al reclamante dopo la cessazione del rapporto di lavoro (v. Doc. 4-A, nota della società 10.10.2019) emerge la presenza di alcuni contenuti che non attengono soltanto all’attività professionale svolta dall’interessato presso la società, ma anche ad aspetti della sfera personale del reclamante (notifiche relative all’account su LinkedIn, messaggi pubblicitari relativi a prestazioni estranee all’attività lavorativa) rispetto ai quali l’interessato e i terzi coinvolti (i cui diritti vanno parimenti tutelati) avrebbero potuto vantare legittime aspettative di riservatezza. Come rilevato nelle "Linee guida del Garante per posta elettronica e Internet", tali esigenze di tutela devono essere tenute in considerazione dal datore di lavoro anche nell’ipotesi in cui venga a cessare il rapporto di lavoro tra le parti (v. Provv. cit., spec. punto 5.2, lett. b e, da ultimo, provv.to 4.12.2019 cit. ed altri provvedimenti ivi richiamati). A tal fine, il datore di lavoro, in conformità ai principi in materia di protezione dei dati personali e alle indicazioni contenute nelle predette Linee guida, avrebbe dovuto invece adottare misure tecnologiche ed organizzative atte a consentire di contemperare il legittimo interesse del titolare ad accedere alle informazioni necessarie all’efficiente gestione della propria attività e a garantirne la continuità con l’aspettativa di riservatezza della corrispondenza da parte dei lavoratori e dei terzi. In particolare, in linea con le predette Linee guida, dopo la cessazione del rapporto di lavoro, la società avrebbe dovuto provvedere alla rimozione dell’account del dipendente previa disattivazione dello stesso e alla contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti alla sua attività professionale. Procedura che, peraltro, sulla base delle dichiarazioni in atti, la medesima società ha adottato dal settembre del 2019, all’esito della revisione delle policy interne, “come parte della applicazione del processo di responsabilizzazione previsto dal Regolamento” a riprova del possibile diverso contemperamento dei predetti interessi.
Il trattamento effettuato dalla società ha pertanto violato i principi di necessità, liceità e di proporzionalità (v. artt. 3 e 11, comma 1, lett. a) d) e e) del Codice, testo vigente all’epoca in cui il trattamento è iniziato; Considerato che il trattamento è proseguito fino al 4 giugno 2018 v. anche art. 5, par. 1, lett. a), c) e e) del Regolamento).
3. Conclusioni: illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.
Per i suesposti motivi, il trattamento dei dati personali riferiti al reclamante effettuato dalla società attraverso l’omesso riscontro alle istanze di esercizio dei diritti nei termini previsti dall’ordinamento, nonché attraverso la prolungata attività dell’account individualizzato di posta elettronica dopo la cessazione del rapporto di lavoro e conseguente accesso ai messaggi ivi pervenuti (fino alla diffida dell’interessato e comunque per più di dieci mesi), senza che tale prassi fosse stata esplicitata nel documento dedicato alle policy riguardanti l’utilizzo dei sistemi informatici della società, risulta illecito, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a), c) e e), 12, 13 e 15 del Regolamento.
Si prende atto che la società, nel corso del procedimento, ha fornito all’interessato riscontro all’istanza di accesso ed ha, altresì, avviato un percorso di revisione della propria policy interna con particolare riferimento alla gestione degli account di posta elettronica dopo la cessazione del rapporto di lavoro (v. Corporate IT Operative lnstructions for hiring, termination and relocation of employees, 24.9.2019, in All. 7, nota della società 10.10.2019).
Al fine di conformare i trattamenti dei dati personali dei dipendenti alle disposizioni del Regolamento è necessario che la società adotti, altresì, misure volte a fornire agli interessati tutte le informazioni e le comunicazioni previste a seguito dell’esercizio dei diritti nonché ad agevolare l’esercizio dei diritti da parte degli interessati, nei termini previsti dall’art. 12 del Regolamento.
Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento, alla luce delle circostanze del caso concreto:
- si ingiunge alla società di conformare a quanto previsto dall’art. 12 del Regolamento i propri trattamenti, con particolare riferimento all’obbligo di adottare misure appropriate per fornire riscontro all’interessato, agevolando l’esercizio dei diritti previsti dagli artt. 15-22 del Regolamento;
- si dispone, in aggiunta alla misura correttiva, una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) Regolamento).
4. Ordinanza ingiunzione.
Ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166, commi 3 e 7 del Codice, il Garante dispone l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, mediante adozione di un’ordinanza ingiunzione (art. 18, l. 24.11.1981, n. 689), in relazione ai trattamenti dei dati personali riferiti al reclamante , di cui è risultata accertata l’illiceità, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a), c) e e), 12, 13, 15 del Regolamento, all’esito del procedimento di cui all’art. 166, comma 5 svolto in contraddittorio con il titolare del trattamento (v. precedente punto 1.4. e 1.5).
Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, considerato che le accertate violazioni dell’art. 5 del Regolamento sono da considerarsi più gravi, in quanto relative alla inosservanza di una pluralità di principi di carattere generale applicabili al trattamento di dati personali, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto per la predetta violazione. Conseguentemente si applica la sanzione prevista dall’art. 83, par. 5, lett. a) del Regolamento, che fissa il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore.
Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:
a) in relazione alla natura, gravità e durata della violazione è stata considerata rilevante la natura della violazione che ha riguardato i principi generali del trattamento; le violazioni hanno anche riguardato le disposizioni sull’esercizio dei diritti e sull’informativa;
b) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare è stata presa in considerazione la negligente condotta della società e il grado di responsabilità della stessa che non si è conformata alla disciplina in materia di protezione dei dati relativamente ad una pluralità di disposizioni;
c) la società ha complessivamente e attivamente cooperato con l’Autorità nel corso del procedimento;
d) l’assenza di precedenti specifici (relativi alla stessa tipologia di trattamento) a carico della società.
Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla società con riferimento al bilancio d’esercizio per l’anno 2018. Da ultimo si tiene conto della comminatoria edittale disposta, nel regime previgente, per gli illeciti amministrativi corrispondenti e dell’entità delle sanzioni irrogate in casi analoghi.
Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Mapei S.p.A. la sanzione amministrativa del pagamento di una somma pari ad euro 15.000,00 (quindicimila).
In tale quadro si ritiene, altresì, in considerazione della tipologia di violazione accertata, che ha riguardato la corrispondenza elettronica di un lavoratore e si è protratta per oltre 10 mesi, nonché la mancanza di previa informativa e l’adozione di misure organizzative non conformi alla disciplina vigente, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito web del Garante.
Si ritiene, altresì, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
Si ricorda che, ai sensi dell’articolo 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni; in ogni caso può essere applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e) del Regolamento.
TUTTO CIÒ PREMESSO, IL GARANTE
rileva l’illiceità del trattamento effettuato da Mapei S.p.A. in persona del legale rappresentante pro-tempore, con sede legale in Milano, Via Cafiero Carlo 22, C.F. 01649960158, ai sensi degli artt. 57, par. 1, lett. f) e 83 del Regolamento, nonché dell’art. 166 del Codice, per la violazione degli artt. 5, par. 1, lett. a), c) ed e), 12, 13 e 15 del Regolamento, nonché degli artt. 3 e 11, comma 1, lett. a), d) ed e) del Codice, vigenti all’epoca in cui il trattamento è iniziato e ora corrispondenti, nell’ordinamento vigente, all’art. 5, par. 1, lett. a), c) ed e) cit. del Regolamento);
INGIUNGE
ai sensi dell’art. 58, par. 2, lett. d) del Regolamento a Mapei S.p.A. di conformare i propri trattamenti a quanto disposto dall’art. 12 del Regolamento, con particolare riferimento all’obbligo di adottare misure appropriate per fornire riscontro all’interessato, agevolando l’esercizio dei diritti previsti dagli artt. 15-22 del Regolamento, entro 60 giorni dal ricevimento del presente provvedimento (art. 58, par. 2, lett. d) Regolamento);
ORDINA
ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, a Mapei S.p.A., di pagare la somma di euro 15.000 (quindicimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;
INGIUNGE
altresì alla medesima Società di pagare la somma di euro 15.000,00 (quindicimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1/9/2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);
DISPONE
la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice, e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, e ritiene che ricorrano i presupposti di cui all’art. 17 del regolamento n. 1/2019.
Richiede a Mapei S.p.A. di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto disposto con il presente provvedimento e di fornire comunque riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice, entro il termine di 90 giorni dalla data di notifica del presente provvedimento; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 5, lett. e) del Regolamento.
Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.