LA VICENDA
Alcuni lavoratori depositavano un reclamo all’Autorità Garante per la Protezione dei Dati Personali per lamentare nei confronti della Società per cui lavoravano, l’impossibilità di esercitare in modo pieno e completo il diritto di accesso ex art. 15 del Regolamento relativamente al “trattamento dei dati personali e [al]le informazioni utilizzate al fine di elaborare i rimborsi chilometrici e la retribuzione mensile oraria […].
LE DIFESE DELLA SOCIETA’
La Società si difendeva evidenziando che “nessun controllo e/o monitoraggio era stato effettuato in ordine all’attività svolta e/o ai percorsi (“chilometraggi”) effettuati dai reclamanti”.
LE CONCLUSIONI DEL GARANTE
Tuttavia, tale assunto veniva contraddetto dalle stesse buste paga elaborate dalla Società nelle quali veniva indicato l’orario di lavoro come illegittimamente riconosciuto dall’azienda e il chilometraggio rimborsato e dalle dichiarazioni rese dalla Società stessa che nel presente procedimento ha dichiarato che il sistema software fornito ai dipendenti è dotato di sistema di geolocalizzazione”.
Ed invero, secondo il Garante, l’Azienda, acquisendo in tempo reale la posizione del contatore su cui il dipendente stava operando, indirettamente acquisiva anche la posizione geografica del lavoratore stesso che per l’effetto veniva geolocalizzato.
In merito al diritto di accesso ai dati il Garante richiamava l’orientamento della Corte di Giustizia dell’Unione europea in base al quale “il diritto di accesso [ex art. 15 del Regolamento] è caratterizzato dall’ampia portata delle informazioni che il titolare del trattamento dei dati deve fornire all’interessato. Tale diritto di accesso è necessario affinché l’interessato possa esercitare, se del caso, il suo diritto di rettifica, il suo diritto alla cancellazione (“diritto all’oblio”) e il suo diritto di limitazione di trattamento.
Ciò posto, la Società avrebbe, viceversa, dovuto fornire, senza indugio, un completo riscontro alle istanze di esercizio del diritto di accesso anche comunicando i dati relativi alla geolocalizzazione dei reclamanti nonché le informazioni espressamente richieste; ciò che non è avvenuto neppure durante l’istruttoria condotta dall’Autorità. Da qui la sanzione comminata dal Garante avendo la Società violato gli artt. 12 e 15 del Regolamento.
IL PROVVEDIMENTO –> Fonte: Garante Privacy
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, vice segretario generale;
VISTO il Regolamento (UE) 2016/679 del
Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);
VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);
VISTO il reclamo presentato ai sensi dell’art. 77 del Regolamento dai sig.ri XX, XX, XX e XX nei confronti di Shardana Working Soc. Coop. a r.l.;
ESAMINATA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE la prof.ssa Ginevra Cerrina Feroni;
PREMESSO
1. Il reclamo nei confronti della società e l’attività istruttoria.
In data 28 maggio 2020, i sig.ri XX, XX, XX e XX hanno presentato un reclamo nei confronti di Shardana Working Soc. Coop. a r.l. (di seguito, la Società), regolarizzato, infine, il 23 settembre 2020, con il quale sono state lamentate presunte violazioni del Regolamento.
A seguito di conciliazione dinanzi al Tribunale di Milano, il sig. XX ha rinunciato al reclamo presentato al Garante, pertanto il reclamo, esclusivamente con riferimento alle questioni relative al sig. XX, è stato archiviato.
In particolare, con il reclamo è stata lamentata l’impossibilità di esercitare in modo pieno e completo il diritto di accesso ex art. 15 del Regolamento relativamente al “trattamento dei dati personali e [al]le informazioni utilizzate al fine di elaborare i rimborsi chilometrici e la retribuzione mensile oraria nonché la logica di elaborazione” da parte della Società e i “dati afferenti ai [reclamanti] nonché ai documenti di autorizzazione in […] possesso [della Società] con i quali viene formulata una informativa sul trattamento dei dati e del terminalino”.
Ciò anche a seguito di istanza di esercizio dei diritti del 22 novembre 2019, con riferimento ai sig.ri XX e XX, e del 23 gennaio 2020, per quanto riguarda il sig. XX, stante il ritenuto parziale riscontro che con riferimento ai sig.ri XX e XX la Società avrebbe fornito il 3 dicembre 2019 e, in merito al sig. XX, avrebbe fornito il 25 marzo 2020.
In data 11 febbraio 2021, a seguito di un invito ad aderire, la Società ha dichiarato che:
“con riferimento alle finalità, al periodo, alle modalità di conservazione ed ai processi di elaborazione dei dati […], si rileva come la Società abbia già dato ampio riscontro, a mezzo comunicazioni in data 3.12.2019 e 25.03.2020 […], in cui ha inoltrato al legale dei reclamanti: le Informative ex art. 13 GDPR debitamente sottoscritte dai [reclamanti]; il Regolamento relativo al trattamento ed alle norme di sicurezza da osservare nell’impiego degli strumenti elettronici e non; le Dichiarazioni di consenso al trattamento debitamente sottoscritte; l’Indicazione dei dati utilizzati, con il relativo periodo di conservazione, nonché dei criteri atti a giustificarne l’utilizzo; l’Indicazione del responsabile del trattamento dei dati personali” (v. nota 11.2.2021, cit., p. 1, 2);
“si è provveduto altresì a specificare le modalità e gli strumenti di geolocalizzazione satellitare (effettuata tramite dispositivi – smartphone- di telefonia mobile: modelli Samsung Galaxy Xcover2 Xcover3 Galaxy 7, con Sistema operative Android, dotati di sistemi di localizzazione satellitare GPS, assegnati ai dipendenti come strumenti di lavoro). La Società ha evidenziato che la geolocalizzazione risulta necessaria al fine di permettere all’operatore l’individuazione del tragitto da effettuare per giungere ai contatori, posto che il terminale indica dove effettuare le rilevazioni. Tale modus operandi permette inoltre di riscontrare le richieste del committente, finalizzate alla verifica del luogo esatto dell’effettuazione delle letture (qualora si verifichino irregolarità e/o anomalie nelle letture). Si è provveduto altresì a precisare che la localizzazione satellitare si attiva ed è limitata soltanto al momento dell’accensione dei dispositivi e si disattiva con lo spegnimento del terminale in possesso all’operatore a cui è rimessa, in via esclusiva, ogni attività e discrezione in merito” (v. nota cit., p. 2);
“nessun controllo e/o monitoraggio è stato effettuato in ordine all’attività svolta e/o ai percorsi (“chilometraggi”) effettuati dai reclamanti” (v. nota cit., p. 2);
“Shardana, ai sensi dell’art. 4 L. 300/70, ha inoltrato specifica istanza in data 16.06.2017 alla allora DTL di Como, chiedendo l’autorizzazione all’installazione ed all’utilizzo di localizzazione satellitare GPS sui terminali per la rilevazione delle letture dei contatori. In data 27.07.2017 la DTL comunicava la non necessarietà di concessione di autorizzazione alcuna, essendo il suddetto sistema satellitare strumento necessario per lo svolgimento della prestazione lavorativa” (v. nota cit., p. 2);
“in relazione alla ulteriore […] richiesta di acquisire «il contenuto del fascicolo personale, comprensivo del monitoraggio chilometrico della prestazione lavorativa, durata giornaliera della geolocalizzazione, nonché gli atti tutti che hanno riguardato la prestazione lavorativa in qualunque modo trattati e conservati» è qui solo il caso di rilevare come Shardana abbia già provveduto ad inviare ai reclamanti ogni idonea documentazione” (v. nota cit., p. 3);
“il presente procedimento avanti l’Autorità Garante [è] stato (del tutto strumentalmente) attivato al solo fine di «supportare» e sopperire le carenze probatorie dei reclamanti nelle cause di lavoro già pendenti dinanzi al Tribunale di Milano sezione lavoro fra le medesime parti, avente ad oggetto il riconoscimento di asseriti crediti a titolo di differenze retributive” (v. nota cit., p. 3);
“si dà atto che Shardana: – tratta i dati contenuti nel fascicolo del dipendente esclusivamente per finalità connesse al rapporto di lavoro; – il trattamento dei dati presenti nel fascicolo personale può comunque essere effettuato per far valere o difendere un diritto, anche da parte di un terzo, in sede giudiziaria, nonché in sede amministrativa; – le modalità adottate per il trattamento dei dati sono essenzialmente di natura automatizzata e telematica e sono debitamente secretate e comunque nel rigoroso rispetto dei principi di necessità, pertinenza, non eccedenza e di gradualità; – la consultazione e/o estrazione delle informazioni ivi contenute è disposta unicamente nei casi in cui il trattamento sia essenziale per proseguire l’attività lavorativa o qualora ciò sia necessario per esercitare o difendere un diritto in giudizio; – la logica applicata al trattamento effettuato con strumenti elettronici (ai fini di geolocalizzazione) risulta strettamente correlata alle finalità lecite di cui sopra; – oltre al titolare del trattamento, eventuali soggetti ai quali i dati possono essere comunicati, sono esclusivamente quelli indicati nell’informativa (già spontaneamente fornite ai reclamanti)” (v. nota cit., p. 3, 4);
“la Società […] si rende (ancora una volta e per quanto occorrer possa) disponibile a fornire copia dei «fascicoli personali» (nei limiti e compatibilmente con quanto effettivamente in suo possesso), che potranno essere messi a disposizione degli interessati per ogni ulteriore consultazione” (v. nota cit., p. 4).
In data 13 ottobre 2021, la Società, a seguito dell’invito del Dipartimento del 17 settembre 2021, ha presentato ulteriori chiarimenti dichiarando che “l’asserita disponibilità a fornire copia del fascicolo personale è stata peraltro travisata dal Garante, avendo la Società chiaramente dedotto che la consultazione del fascicolo sarebbe potuta avvenire (ed ancora una volta) con riferimento alla documentazione già fornita «(nei limiti e compatibilmente con quanto effettivamente in suo possesso)»” (v. nota 13.10.2022 cit., p. 3).
In data 22 settembre 2022, a seguito di ulteriori richieste dell’Autorità dell’8 agosto 2022, la Società ha dichiarato inoltre che:
– “i contenziosi relativi alle posizioni dei [reclamanti], si sono conclusi con provvedimenti emessi dall’autorità giudiziaria ordinaria, che ha, fra gli altri, accertato il diritto dei medesimi al riconoscimento delle differenze retributive richieste, ragion per cui, anche con riferimento a tali posizioni, è venuto meno ogni interesse alla prosecuzione del presente procedimento avanti il Garante, con conseguente archiviazione dello stesso” (v. nota 22.9.2022 cit., p. 2);
– “le argomentazioni [della Società] risultano confermate dalle stesse dichiarazioni della società fornitrice […] del sistema Applicativo Mercurio e applicativo MDM, la quale ha precisato che: (i) l’App Mercurio consente la rilevazione delle letture dei misuratori; (ii) la stessa società fornisce la manutenzione ed assistenza remota dell’applicativo Mercurio installato sugli smartphone Android (utilizzando l’applicativo MDM Mobicontrol); (iii) l’App Mercurio memorizza la rilevazione della coordinata GPS solo quando l’operatore inserisce una acquisizione (lettura, rilascio cartolina, rilevazione altre note), quando l’azienda committente richiede nel capitolato d’appalto le coordinate del luogo ove viene inserita la rilevazione; (iv) l’applicativo MDM Mobicontrol permette alla società fornitrice di dare assistenza da remoto in caso di malfunzionamento; (v) in caso di smarrimento dell’apparato, vi è la possibilità di monitorare in quel momento la posizione dello stesso (laddove risulti in funzione) per un eventuale recupero dell’apparecchio ed eventualmente disporre la cancellazione delle anagrafiche delle letture e salvaguardare i dati presenti sull’apparecchio; (vi) non viene effettuata alcuna tracciatura degli eventuali spostamenti dello smartphone in dotazione all’operatore” (v. nota cit., p. 2).
In data 10 ottobre 2022 i reclamanti hanno presentato le proprie controdeduzioni, inviate per conoscenza anche alla Società, nelle quali hanno dichiarato che:
– “l’attività [lavorativa] de[i] reclamanti veniva gestita da remoto tramite una piattaforma che indicava giornalmente i contatori da «leggere» e fotografare geolocalizzando la posizione e il percorso al fine anche di procedere ad una quantificazione oraria della prestazione e il rimborso chilometrico al quale gli istanti avevano diritto” (v. nota 10.10.2022 cit., p. 1);
– “l’attività lavorativa dei reclamanti è stata, quindi, sempre monitorata, gestita e coordinata dalla [Società] tramite l’utilizzo di server aziendali al quale si collegava un terminale modello smartphone dotato di un sistema di geolocalizzazione che consentiva di memorizzare gli interventi di lettura” (v. nota cit., p. 1, 2);
– “il detto sistema di geolocalizzazione indicava ai reclamanti il luogo in cui effettuare la lettura del contatore nonché il posizionamento dello stesso e quantificava lo spostamento kilometrico casa/lavoro anche ai fini del rimborso benzina” (v. nota cit., p. 2);
– “i reclamanti hanno ritenuto che l’elaborazione delle loro buste paga fosse il frutto di un trattamento di dati errato rispetto ai parametri acquisiti tramite il terminalino” (v. nota cit., p. 2);
– “[i] reclamanti hanno tutti ottenuto il riconoscimento da parte del Tribunale di Milano nei confronti della convenuta Shardana Working soc. coop. del diritto al conteggio nell’orario di lavoro del percorso casa – prima lettura/ultima lettura – casa, oltre al riconoscimento come orario di lavoro delle interruzioni nelle rilevazioni del palmare superiori ai 15 minuti tra una lettura e l’altra, illegittimamente conteggiate dalla Shardana Working” (v. nota cit., p. 4);
– “il predetto accertamento giurisdizionale non esaurisce affatto l’interesse al presente procedimento che invece rimane in essere per tutti i reclamanti atteso che i dati richiesti sono necessari e funzionali alla quantificazione delle differenze retributive dovute rispetto agli emolumenti ricevuti, oggetto di ulteriore contenzioso relativo al quantum della domanda già accertata” (v. nota cit., p. 4);
– “l’affermazione che «nessun controllo e/o monitoraggio è stato effettuato in ordine all’attività svolta e/o ai percorsi chilometrici (“chilometraggio”) effettuati dai reclamanti» è contraddetta dalle stesse buste paga elaborate dalla Società nelle quali è indicato l’orario di lavoro come illegittimamente riconosciuto dall’azienda e il chilometraggio rimborsato e dalle dichiarazioni rese dalla Società stessa che nel presente procedimento ha dichiarato che il sistema software fornito ai dipendenti è dotato di sistema di geolocalizzazione” (v. nota cit., p. 4);
– “non corrisponde al vero che la società avrebbe già trasmesso idonea documentazione” (v. nota cit., p. 4);
– “anche [la dichiarazione della Tecna SA] conferma l’esistenza di un sistema di geolocalizzazione della prestazione di lavoro” (v. nota cit., p. 4).
In data 14 ottobre 2022, l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione alla Società delle presunte violazioni del Regolamento riscontrate, con riferimento agli artt. 12 e 15 del Regolamento.
Con gli scritti difensivi inviati in data 11 novembre 2022, la Società ha dichiarato che:
– “la Società ha evidenziato che i tragitti effettuati dai lavoratori non sono oggetto di alcuna verifica da parte degli strumenti tecnologici, essendo i terminali concessi in dotazione e utilizzati al solo fine di effettuare le rilevazioni e le letture dei contatori (gas ed energia); la finalità di tale utilizzo è peraltro correlata alle specifiche richieste del committente (il quale richiede a Shardana una verifica del luogo esatto dell’effettuazione delle letture, al fine di “scongiurare” irregolarità e/o anomalie dei dati rilevati)” (v. nota 11.11.2022 cit., p. 2);
– “le asserite violazioni hanno riguardato n. 3 lavoratori e per i seguenti periodi: 1 anno e 8 mesi […]; 1 anno […] e 9 mesi […]. La Società ha dato fin da subito riscontro alle richieste dei reclamanti […]. Con riferimento alla geolocalizzazione, non vi è stata violazione dei dati dei reclamanti, in quanto i dispositivi in dotazione non forniscono alcuna rilevazione degli spostamenti e dei percorsi effettuati, né delle relative pause/riposi. Tali dispositivi (GPS) sono forniti in dotazione al solo fine di consentire ai lavoratori di effettuare una corretta ed automatica lettura dei dati dei contatori gas e energia, in ottemperanza alle richieste del committente” (v. nota cit., p. 3);
– “non sussiste alcuna condotta dolosa della Società. Eventuali (e non credute) violazioni/irregolarità sono (semmai) ascrivibili a mero titolo di colpa, avendo la Società sempre operato in totale buona fede” (v. nota cit., p. 3);
– “l’utilizzo dei dispositivi è stato limitato al solo momento della lettura dei contatori da parte del lavoratore, il quale: decide autonomamente quanto accendere/spegnere il terminale; non è soggetto ad alcuna forma di controllo a distanza (né è tenuto a mantenere il suddetto strumento attivo durante i propri spostamenti: ad esempio dalla propria abitazione al luogo di lettura e/ nei tragitti fra i diversi luoghi di lettura)” (v. nota cit., p. 3, 4);
– “Shardana ha adottato misure tecniche ed organizzative finalizzate alla minimalizzazione dei dati raccolti. Ai lavoratori sono state fornite apposite policy per la gestione ed utilizzo dei terminali GPS. Tale documentazione, unitamente alle informative privacy, è stata fin da subito inviata i reclamanti. Inoltre, […] i […] terminali messi in dotazione non raccolgono alcun dato relativo agli spostamenti effettuati dai lavoratori nel corso della presentazione lavorativa. Ed anzi, i medesimi rimangono accesi soltanto al momento della lettura dei contatori, al fine di garantire certezza e correttezza egli effettivi consumi” (v. nota cit., p. 4);
– “nel corso del presente procedimento Shardana ha fornito fin da subito la documentazione in suo possesso […], ottemperando (seppur parzialmente e per quanto nelle proprie possibilità) alle richieste dei reclamanti” (v. nota cit., p. 4);
– “nel caso di specie non è stata riscontrata alcuna violazione dei dati di cui all’art. 9 GDPR […]. Parimenti non vi è stata trattazione illecita dei dati di cui all’art. 10 del GDPR” (v. nota cit., p. 4);
– “le circostanze oggetto di accertamento sono state portate a conoscenza dell’Autorità Garante, a fronte delle richieste formalizzate dai reclamanti” (v. nota cit., p. 4);
– “non sussistono ulteriori pregressi accertamenti in ambito privacy a carico di Shardana” (v. nota cit., p. 5);
A seguito della richiesta della Società, in data 15 marzo 2023, si è tenuta l’audizione della stessa. In tale occasione la parte ha rappresentato che:
– “l’accertamento nasce da una situazione di disallineamento: la Società ha offerto la documentazione richiesta dai tre reclamanti comprensiva di informativa debitamente sottoscritta, copia delle dichiarazioni al consenso del trattamento dati, copia della policy sulla gestione degli strumenti elettronici, ma con riferimento alla cd geolocalizzazione non ha potuto dare riscontro alla richiesta di accesso poiché la Società stessa non gestisce alcun tipo di dato relativo al percorso e alla tracciabilità dei dati (diversamente da quanto sostengono i tre lavoratori)”;
– “la Società ha consegnato ai lavoratori un dispositivo che registra solo la lettura del dato relativo allo specifico contatore. Tale dispositivo non ha alcuna finalità di geolocalizzare i dipendenti o effettuare controlli a distanza. La Società lavora per enti che distribuiscono gas. Da contratto deve rilevare la posizione specifica del contatore nel momento in cui il lavoratore inserisce la lettura. Quindi il dispositivo affidato ai lavoratori è uno smartphone che ha una funzionalità gps che viene attivata solo e soltanto nel momento in cui il lavoratore effettua la lettura del contatore. Il gps rileva che il contatore è lì. Quando la lettura è finita, dopo l’invio della foto del contatore, il gps si spegne. Non viene rilevato il tragitto da una rilevazione all’altra”;
– “in merito ai tempi di conservazione si rappresenta che questi dipendono da ciascun contratto stipulato con il cliente, a volte si tratta di un anno, altre volte la conservazione si interrompe alla conclusione del contratto”;
– “Shardana è una piccola realtà, con fatturati modesti e che ha risentito massimamente della crisi connessa all’emergenza epidemiologica legata alla diffusione del virus (Covid19) e conseguenti restrizioni, perdendo peraltro alcuni appalti”.
2. L’esito dell’istruttoria.
2.1. Fatti accertati e osservazioni sulla normativa in materia di protezione dei dati personali.
Premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”, in base agli elementi acquisiti nel corso dell’attività istruttoria (richiamati nel precedente paragrafo 1) nonché delle successive valutazioni di questo Dipartimento, risulta accertato che la Società, in qualità di titolare, ha tenuto una condotta non conforme alla disciplina in materia di protezione dei dati con riferimento all’esercizio del diritto di accesso che il Regolamento riconosce all’interessato (art. 15), non fornendo un idoneo riscontro alle istanze presentate dai reclamanti.
In proposito si richiama l’art. 12 del Regolamento, da leggere anche in combinato disposto con le norme relative agli specifici diritti riconosciuti dall’ordinamento all’interessato, in base al quale “il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro […]. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovato con altri mezzi l’identità dell’interessato” (par. 1). Viene, inoltre, disposto che “il titolare del trattamento agevola l’esercizio dei diritti dell’interessato ai sensi degli articoli da 15 a 22” (par. 2).
Il paragrafo 3 del medesimo articolo precisa che “il titolare del trattamento fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il titolare del trattamento informa l’interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta. Se l’interessato presenta la richiesta mediante mezzi elettronici, le informazioni sono fornite, ove possibile, con mezzi elettronici, salvo diversa indicazione dell’interessato”.
In base al paragrafo 4 del medesimo articolo il titolare del trattamento, qualora non ottemperi all’istanza dell’interessato, “informa l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale”.
L’art. 15 del Regolamento prevede che “l’interessato ha diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali” e a una serie di informazioni indicate nello stesso articolo (par. 1). Inoltre, in base al par. 3 del medesimo articolo “il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento. […] Se l’interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dall’interessato, le informazioni sono fornite in un formato elettronico e di uso comune” (par. 3).
Le Guidelines 01/2022 on data subject rights – Right of access, EDPB, 28 marzo 2023, chiariscono che “Access to personal data hereby means access to the actual personal data themselves, not only a general description of the data nor a mere reference to the categories of personal data processed by the controller. If no limits or restrictions apply, data subjects are entitled to have access to all data processed relating to them, or to parts of the data, depending on the scope of the request” (par. 2.2.1.2., punto 19, trad. non ufficiale “Per accesso ai dati personali si intende l’accesso ai dati personali effettivi, non solo una descrizione generale dei dati, né un semplice riferimento alle categorie di dati personali trattati dal titolare. Gli interessati hanno il diritto di accedere a tutti i dati trattati che li riguardano, o a parti di essi, a seconda dell’oggetto della richiesta”).
2.2. Violazioni accertate.
Nel merito è emerso che la Società non ha dato idoneo riscontro all’istanza di accesso ex art. 15 del Regolamento presentata da due dei reclamanti, in data 22 novembre 2019 e 23 gennaio 2020.
Nonostante, infatti, il 3 dicembre 2019 e il 25 marzo 2020 la Società abbia fornito riscontro alle istanze presentate, comunicando agli interessati limitate informazioni in merito ai trattamenti oggetto di richiesta, anche con invio di alcuni documenti, non si ritiene che, per ciò solo, la condotta tenuta dalla Società sia conforme agli artt. 12 e 15 del Regolamento.
In proposito, è necessario, infatti, esaminare nel merito il riscontro e la documentazione allegata. Ciò in quanto non può considerarsi sufficiente, per conformarsi alle citate norme, fornire un riscontro se quest’ultimo risulta avere un contenuto insufficiente.
In particolare è emerso che la Società non ha fornito in modo completo quanto richiesto attraverso le istanze dei reclamanti né si ritiene che i documenti forniti dalla Società contenessero in modo esaustivo le informazioni stesse, nonostante la chiarezza e l’analiticità delle istanze.
I reclamanti, infatti, hanno presentato un’istanza di accesso ai dati relativi ai trattamenti effettuati dalla Società al fine di calcolare i tempi della prestazione lavorativa e i rimborsi chilometrici, in particolare relativamente ai trattamenti effettuati attraverso un “terminalino” fornito dalla Società (smartphone).
La Società, nel riscontrare formalmente le richieste, non ha però comunicato gli specifici dati relativi ai reclamanti trattati, tra l’altro, attraverso la geolocalizzazione sul terminale loro fornito nell’ambito della prestazione lavorativa né tutte le informazioni richieste dai reclamanti in proposito al trattamento dei predetti dati; si è limitata, infatti, ad indicare le modalità e le finalità del trattamento dei dati relativi alla geolocalizzazione. Ciò, nonostante l’art. 12 par. 3 del Regolamento disponga che il titolare del trattamento fornisca all’interessato che esercita uno dei diritti riconosciuti dal Regolamento le informazioni richieste dallo stesso.
La Società, quindi, nei limiti dei dati conservati, avrebbe dovuto fornire ai reclamanti i dati relativi alle specifiche rilevazioni/coordinate geografiche effettuate con il gps dello smartphone attivato dai lavoratori in prossimità del contatore per la lettura del medesimo.
In proposito, si rammenta che il diritto riconosciuto all’interessato di accedere ai propri dati oggetto di trattamento nonché alle informazioni previste dall’art. 15 del Regolamento, in applicazione dei principi di trasparenza e correttezza (art. 5, par. 1, lett. a) del Regolamento), non può ritenersi soddisfatto attraverso il mero rinvio a quanto contenuto nell’informativa sul trattamento dei dati di cui agli artt. 13 e 14 del Regolamento, senza alcun riferimento al trattamento effettuato nel concreto.
Il diritto di accesso e il diritto di ricevere la c.d. informativa, seppur correlati, sono, infatti, diritti differenti, sanciti da distinte disposizioni dell’ordinamento, rispondenti ad esigenze di tutela e garanzia dell’interessato non completamente sovrapponibili.
Come recentemente chiarito anche dalle Guidelines 01/2022 on data subject rights – Right of access, EDPB, 28 marzo 2023, in sede di riscontro all’istanza di accesso il titolare deve adattare, alla specifica condizione dell’interessato, quanto indicato in termini necessariamente generali nell’informativa (o nel registro dei trattamenti).
Pertanto tutte le informazioni fornite nell’informativa, in sede di comunicazione all’interessato ai sensi dell’art. 15 del Regolamento, devono essere verificate e declinate alla luce delle concrete operazioni di trattamento effettuate nei confronti del richiedente (v. Guidelines 01/2022 cit., punto 112 e ss.; in termini generali v. par. 113 “In the context of an access request under Art. 15, any information on the processing available to the controller may therefore have to be updated and tailored for the processing operations actually carried out with regard to the data subject making the request. Thus, referring to the wording of its privacy policy would not be a sufficient way for the controller to give information required by Art. 15(1)(a) to (h) and (2) unless the «tailored and updated» information is the same as the information provided at the beginning of the processing”, (trad. non ufficiale: “Nel contesto della comunicazione delle informazioni di cui all’articolo 15, tutte le informazioni sul trattamento di cui dispone il titolare del trattamento devono pertanto essere aggiornate e adattate alle operazioni di trattamento effettivamente svolte nei confronti dell’interessato che presenta la richiesta. Pertanto, il rinvio all’informativa privacy generale (privacy policy) non sarebbe un mezzo sufficiente per consentire al titolare del trattamento di fornire le informazioni di cui all’articolo 15, paragrafo 1, lettere a) -h), e (2), a meno che le informazioni “su misura e aggiornate” non coincidano con le informazioni fornite all’inizio del trattamento).
Dalla documentazione prodotta e dalle dichiarazioni della Società (anche durante l’audizione è stato precisato che “Da contratto deve rilevare la posizione specifica del contatore nel momento in cui il lavoratore inserisce la lettura. Quindi il dispositivo affidato ai lavoratori è uno smartphone che ha una funzionalità gps che viene attivata solo e soltanto nel momento in cui il lavoratore effettua la lettura del contatore. Il gps rileva che il contatore è lì”) nonché dalle riportate dichiarazioni di Tecna SA, fornitrice dell’applicativo per la geolocalizzazione (v. nota 22.9.2022), è emerso che la Società, in qualità di titolare, ha trattato, tra l’altro, dati relativi alla geolocalizzazione degli smartphone forniti ai reclamanti per lo svolgimento della prestazione lavorativa e, quindi, dati dei reclamanti: in particolare, quantomeno, la posizione geografica degli stessi nel momento della lettura dei contatori di acqua, gas e luce alla quale erano preposti considerato che la geolocalizzazione aveva il dichiarato fine di “permettere all’operatore l’individuazione del tragitto da effettuare per giungere ai contatori, posto che il terminale indica dove effettuare le rilevazioni. Tale modus operandi permette inoltre di riscontrare le richieste del committente, finalizzate alla verifica del luogo esatto dell’effettuazione delle letture” (v. nota 11.2.2021, p. 2).
In proposito, infatti, contrariamente a quanto ritenuto dalla Società, vista la definizione di “dato personale” (“qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”: art. 4, n. 1 del Regolamento), vista la definizione di “trattamento” (“qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”: art. 4, n. 2, del Regolamento), considerato che dalla geolocalizzazione degli smartphone in uso ai reclamanti è derivata indirettamente la geolocalizzazione dei reclamanti stessi, emerge quindi che la Società ha trattato dati relativi ai reclamanti, in particolare la loro posizione geografica, quantomeno nel momento della lettura dei contatori (in merito al trattamento di dati personali dei dipendenti attraverso la localizzazione di dispositivi utilizzati nell’ambito della prestazione lavorativa v., tra gli altri, provv. 1° giugno 2023, n. 231, doc. web n. 9913830, in www.garanteprivacy.it; provv. 15 dicembre 2022 n. 428, doc. web n. 9861249; provv. n. 226 del 18 maggio 2016, doc. web n. 5217175).
In merito al diritto di accesso ai dati si ritiene necessario, inoltre, richiamare l’orientamento della Corte di Giustizia dell’Unione europea in base al quale “il diritto di accesso [ex art. 15 del Regolamento] è caratterizzato dall’ampia portata delle informazioni che il titolare del trattamento dei dati deve fornire a[ll’interessato]” (punto 49), “l’art. 15, paragrafo 1, del Rgpd costituisce una delle disposizioni volte a garantire la trasparenza delle modalità di trattamento dei dati personali nei confronti dell’interessato” (punto 53), “il diritto di una persona di accedere ai propri dati personali e alle altre informazioni menzionate all’articolo 15, paragrafo 1, di detto regolamento ha lo scopo, anzitutto, di consentire a tale persona di essere consapevole del trattamento e di verificarne la liceità” (punto 56), “tale diritto di accesso è necessario affinché l’interessato possa esercitare, se del caso, il suo diritto di rettifica, il suo diritto alla cancellazione (“diritto all’oblio”) e il suo diritto di limitazione di trattamento, diritti questi che gli sono riconosciuti, rispettivamente, dagli articoli da 16 a 18 del RGPD, il suo diritto di opposizione al trattamento dei suoi dati personali, previsto dall’art. 21 del RGPD, nonché il suo diritto di agire in giudizio nel caso in cui subisca un danno, previsto dagli articoli 79 e 82 del RGPD” (punto 58), “l’articolo 15, paragrafo 1, del GDPR costituisce una delle disposizioni volte a garantire che le modalità attraverso le quali i dati personali sono trattati siano trasparenti per l’interessato” (punto 59) (sentenza CGUE del 22 giugno 2023, C-579/21).
Ciò posto, la Società avrebbe dovuto fornire un completo riscontro alle istanze di esercizio del diritto di accesso anche comunicando i dati relativi alla geolocalizzazione dei reclamanti nonché le informazioni espressamente richieste; neppure durante l’istruttoria condotta dall’Autorità la Società ha invece fornito un riscontro completo.
La Società, pertanto, ha violato gli artt. 12 e 15 del Regolamento.
Infine e in ogni caso, si osserva come la Società, anche qualora non avesse ritenuto di poter soddisfare pienamente le richieste di esercizio del diritto di accesso avrebbe dovuto esplicitamente indicare, contrariamente a quanto ha fatto, nel riscontro agli interessati, conformemente all’art. 12 par. 4 del Regolamento, quantomeno i motivi specifici per i quali non potesse (eventualmente) soddisfare quelle specifiche istanze di accesso con la precisazione della possibilità di presentare reclamo al Garante o ricorso giurisdizionale (cfr. art. 12, par. 4 del Regolamento).
3. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.
Per i suesposti motivi l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
La condotta posta in essere dalla Società che è consistita nel fornire un non idoneo riscontro alle istanze di accesso presentate dai reclamanti risulta infatti illecita, nei termini su esposti, in relazione agli artt. 12 e 15 del Regolamento.
La violazione, accertata nei termini di cui in motivazione, non può essere considerata “minore”, tenuto conto della natura, della gravità e della durata della violazione stessa, del grado di responsabilità e della maniera in cui l’autorità di controllo ha preso conoscenza della violazione (cons. 148 del Regolamento).
Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento, alla luce del caso concreto:
– si ingiunge alla Società di soddisfare le richieste dei reclamanti di accesso, così come formulate in data 22 novembre 2019 e 23 gennaio 2020 (art. 58, par. 2, lett. c), Regolamento), fornendo ai reclamanti i dati relativi agli stessi nonché le informazioni espressamente richieste nelle istanze dei reclamanti al netto di quanto già limitatamente indicato in data 3 dicembre 2019 e 25 marzo 2020;
– si dispone l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) Regolamento).
4. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).
All’esito del procedimento risulta che Shardana Working Società Coop. a r.l. ha violato gli artt. 12 e 15 del Regolamento. Per la violazione delle predette disposizioni è prevista l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. b) del Regolamento, mediante adozione di un’ordinanza ingiunzione (art. 18, l. 24.11.1981, n. 689).
Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.
Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:
a) in relazione alla natura, gravità e durata della violazione è stata considerata la natura della violazione che ha riguardato l’esercizio dei diritti dell’interessato nonché la durata della violazione stessa in quanto il titolare del trattamento non ha fornito idoneo riscontro neanche a seguito dell’intervento dell’Autorità; è stato anche valutato il numero di interessati pari a tre;
b) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare è stata presa in considerazione la persistente mancanza di idoneo riscontro alle istanze di esercizio del diritto di accesso;
c) a favore del titolare è stata considerata l’assenza di precedenti violazioni pertinenti commesse dalla Società.
Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla Società con riferimento al bilancio abbreviato d’esercizio per l’anno 2021. Da ultimo si tiene conto dell’entità delle sanzioni irrogate in casi analoghi.
Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Shardana Working Soc. Coop. a r.l. la sanzione amministrativa del pagamento di una somma pari ad euro 20.000,00 (ventimila).
In tale quadro si ritiene, altresì, in considerazione della tipologia delle violazioni accertate che hanno riguardato l’esercizio dei diritti dell’interessato che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante.
Si ritiene, altresì, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.
TUTTO CIÒ PREMESSO, IL GARANTE
rileva l’illiceità del trattamento effettuato da Shardana Working Soc. Coop. a r.l., con sede legale in Via Vincenzo Monti, 8, Milano, P. iva 03622090920, ai sensi dell’art. 143 del Codice, per la violazione degli artt. 12 e 15 del Regolamento;
INGIUNGE
ai sensi dell’art. 58 par. 2 lett. c) del Regolamento a Shardana Working Soc. Coop. a r.l. di soddisfare la richiesta degli interessati riguardante l’accesso alle informazioni e ai dati indicati dall’art. 15 del Regolamento, nei termini di cui in motivazione, entro 60 giorni dal ricevimento del presente provvedimento;
ORDINA
ai sensi dell’art. 58, par. 2, lett. i) del Regolamento a Shardana Working Soc. Coop. a r.l., di pagare la somma di euro 20.000,00 (ventimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;
INGIUNGE
quindi a Shardana Working Società Coop. a r.l. di pagare la predetta somma di euro 20.000,00 (ventimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);
DISPONE
la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/20129, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.
Richiede a Shardana Working Soc. Coop. a r.l. di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto disposto con il presente provvedimento e di fornire comunque riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice, entro il termine di 90 giorni dalla data di notifica del presente provvedimento; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 5, lett. e) del Regolamento.
Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.
Roma, 14 settembre 2023
IL VICEPRESIDENTE
Cerrina Feroni
IL RELATORE
Cerrina Feroni
IL VICE SEGRETARIO GENERALE
Filippi
