[doc. web n. 10229191]

Provvedimento del 4 marzo 2026

Registro dei provvedimenti
n. 151 del 4 marzo 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componenti e il cons. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presentato dal sig. XX ai sensi dell’art. 77 del Regolamento nei confronti di Italia Trasporto Aereo S.p.A.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. Il reclamo presentato all’Autorità e l’attività istruttoria.

In data 6 luglio 2023, il sig. XX presentava reclamo ex art. 77 del Regolamento nei confronti di Italia Trasporto Aereo S.p.A. (di seguito, anche “ITA” o la “Società”).

Con il reclamo, il reclamante ha rappresentato di aver ricoperto il ruolo di XX del Consiglio di Amministrazione di ITA nominato dal Ministero dell’Economia e delle finanze in qualità di Socio Unico, a far data 18 giugno 2021, con attribuzione di alcune deleghe in settori fondamentali per la Società fino a quando, a seguito di divergenze e contrapposizioni con l’amministratore delegato ed alcuni membri del Consiglio di amministrazione, in merito alle modalità di realizzazione dell’operazione di privatizzazione della Società, gli sarebbero state revocate le deleghe attribuite, con delibera del Consiglio di Amministrazione del 20 ottobre 2022 e l’incarico di Presidente e membro del Consiglio di Amministrazione, con delibera dell’Assemblea dei Soci di ITA del 16 novembre 2022.

Secondo quanto rappresentato nel reclamo, la Società avrebbe effettuato un trattamento di dati riferiti al reclamante, in violazione della disciplina di protezione dei dati personali; in particolare, è stato lamentato che la revoca delle deleghe e delle cariche in questione si sarebbe basata sull’acquisizione, da parte di ITA, di e-mail, documenti e informazioni contenute nella casella di posta elettronica assegnata al reclamante (“XX”) e nelle caselle di altri due dirigenti della Società, mediante un’attività di digital forensics affidata a un soggetto terzo a seguito della ricezione, in via anonima e in busta chiusa, in data 10 ottobre 2022, della copia di una e-mail dell’8 ottobre 2022 scambiata tra il reclamante, i due predetti dirigenti e un consulente esterno, relativa all’operazione di privatizzazione della Società.

Con nota del 22 novembre 2023, l’Ufficio ha invitato il reclamante a regolarizzare il reclamo e, in tale occasione, ritenendo che, relativamente ad alcuni aspetti sollevati con il reclamo, non vi fossero i presupposti per adottare un provvedimento da parte dell’Autorità, visti gli artt. 140-bis, 142, 143, 160-bis del Codice, 8, 9, 11 del regolamento interno del Garante n. 1 del 2019, ha archiviato il reclamo, con riferimento alle domande relative alla lamentata violazione degli artt. 32, 33, 34 e 28 in relazione a una società terza. Ciò, in quanto, a seguito dell’esame del reclamo presentato al Garante e della documentazione allo stesso allegata, afferente l’impugnazione in sede civile della citata delibera del 16 novembre 2022, l’Ufficio ha ritenuto che l’oggetto del reclamo fosse in parte “sovrapponibile” a quello del ricorso giurisdizionale in corso tra le medesime parti, in quanto ai sensi dell’art. 140-bis, comma 2, del Codice “il reclamo al Garante non può essere proposto se, per il medesimo oggetto e tra le stesse parti, è stata già adita l’autorità giudiziaria”.

La predetta nota del 22 novembre 2023 è stata impugnata dal reclamante, ai sensi degli artt. 143, comma 4, e 152 del Codice, dinanzi al Tribunale di Roma e il procedimento è tuttora in corso.

In data 5 dicembre 2023, il reclamante, in risposta all’invito a regolarizzare inviato dal Dipartimento il 22 novembre 2023, ha integrato il reclamo.

In merito ai profili relativamente ai quali l’Ufficio ha ritenuto di avviare l’istruttoria, il 4 marzo 2024 ha formulato, nei confronti della Società, una richiesta di informazioni, ai sensi dell’art. 157 del Codice.

La Società, con nota del 12 aprile 2024, ha inviato il proprio riscontro e in tale occasione ha dichiarato che:

- “la Società ha costantemente investito nella cultura della protezione dei dati, implementando misure e risorse adeguate a prevenire e mitigare i possibili rischi per gli interessati e realizzando numerose iniziative di formazione, revisione, analisi, studio e comunicazione, ricorrendo altresì in modo sistematico a consulenti legali esterni e specializzati per raccogliere raccomandazioni e pareri” (v. nota 12/04/2024 cit., p. 2);

- “tra il Reclamante e ITA sono attualmente pendenti due giudizi innanzi al Tribunale Civile di Roma, aventi ad oggetto rispettivamente, l’impugnazione da parte del [reclamante] della delibera del Consiglio di Amministrazione del 20 ottobre 2022 – relativa alla revoca delle deleghe operative del Presidente [reclamante] – e l’impugnazione della delibera dell’Assemblea dei Soci di ITA del 16 novembre 2022, relativa alla revoca delle cariche del Reclamante in ITA. Inoltre, sempre presso il Tribunale di Roma è pendente anche un procedimento penale nei confronti del [reclamante] a seguito di una denuncia-querela presentata da ITA per l’ipotesi di reato prevista dall’art. 2634 cod. civ.” (v. nota cit., p. 2);

-“i fatti oggetto del reclamo devono essere inquadrati nel contesto dei giudizi di cui sopra” (v. nota cit., p. 2);

-  “il Reclamante non aveva un rapporto di lavoro subordinato di natura dirigenziale con ITA bensì unicamente un incarico sociale” (v. nota cit., p. 2);

- “il Reclamante era stato messo in piena condizione di essere informato riguardo alle caratteristiche dei trattamenti cui sarebbero stati sottoposti i suoi dati personali, - posto che le policy sono rese pubbliche nella intranet aziendale, ancorché il Reclamante in oggetto non possa essere ricondotto alla categoria di soggetti interessati costituita dai dipendenti della Società, in quanto […] no-n è intercorso alcun rapporto di lavoro tra le parti” (v. nota cit., pp. 2, 3);

- “alla data in cui si scrive, si conferma che l’account di posta elettronica assegnato al reclamante […] è stato disattivato” (v. nota cit., p. 3);

- “conformemente alle procedure interne di ITA, l’account di posta elettronica assegnato al Reclamante è stato posto in stato di disable in data 16 novembre 2022, alle ore 19:47, e contestualmente è stato impostato un messaggio di risposta automatica. Chi scriveva al [reclamante riceveva] un messaggio di risposta automatica nel quale si veniva informati che la mailbox non era più attiva e invitava a contattare direttamente il presidente. In questa fase, sebbene l’account fosse in grado di ricevere e-mail, sono state adottate misure tecniche atte a garantire l’inaccessibilità da parte del datore di lavoro dell’account e delle comunicazioni ricevute” (v. nota cit., pp. 3, 4);

- “in data 08 marzo 2023 è stata disattivata definitivamente la casella di posta, e in data 08 novembre 2023 è stato cancellato l’account dagli archivi della Società. Il contenuto dell’archivio di posta, tuttavia, non è stato oggetto di cancellazione a causa dello status di litigation hold cui è stato assoggettato in considerazione della necessità di ITA di difendersi nei giudizi citati in premessa” (v. nota cit., p. 4);

- “con riferimento alle verifiche condotte sull’account, prima della disattivazione, invece, si tiene a rimarcare [che] A seguito di una segnalazione interna di illecito, ITA affidava a una primaria società di consulenza il mandato ad effettuare un’analisi dei dati informatici relativi alla casella di posta, allo SharePoint e al OneDrive afferenti all’odierno Reclamante, volta ad acquisire ulteriori elementi di prova al fine di valutare ogni più opportuna azione a tutela della Società e del suo Socio unico, il Ministero dell’Economia e delle Finanze” (v. nota cit., p. 4);

- “a tal fine, i consulenti hanno preso contatto con il referente Information Technology, indicato dalla Società, per avviare le operazioni di messa in sicurezza dei dati. Nello specifico, in data 1° marzo 2023, il referente IT della Società ha effettuato (con le proprie credenziali amministrative) un accesso al portale amministrativo Microsoft Purview (lo spazio per la gestione delle esigenze di conformità dell’infrastruttura informatica connessa a Microsoft 365), per creare uno specifico processo all’interno dell’applicativo Microsoft eDiscovery. Il tutto, al fine di individuare i dati presenti sui già citati applicativi Microsoft (Posta elettronica, SharePoint, OneDrive) e la loro successiva esportazione. Tale attività è stata svolta dal referente IT sotto la supervisione dei consulenti al fine di garantire che le operazioni di estrazione venissero svolte correttamente dal punto di vista tecnico-informatico. Sui dati così estratti, i consulenti, applicando specifiche chiavi e criteri di ricerca predefiniti dalla Società, hanno proceduto ad effettuare ricerche mirate di dati e informazioni commercialmente sensibili” (v. nota cit., pp. 4, 5);

- “l’account di posta elettronica del Reclamante è attualmente conservato, con attivazione della modalità c.d. litigation hold, al solo ed unico fine probatorio posti i contenziosi in essere già citati in premessa. In generale, invece, quando un dipendente lascia l’azienda (o, in termini generali, quando cessa la necessità di un account di posta elettronica) lo stesso viene posto in modalità disable per 30 giorni con contestuale attivazione di un messaggio di risposta automatica e l’inibizione alla lettura da parte del titolare del trattamento” (v. nota cit., p. 5);

- “la Società non effettua backup sugli archivi di posta ma adotta la misura alternativa della ridondanza, con conseguente replica del dato su più sistemi. Allo stato, pertanto, non esistono copie di backup effettuate sull’account di posta elettronica del Reclamante” (v. nota cit., pp. 5, 6);

- “nel corso degli anni e già dai primi giorni di avvio delle attività da parte della Società, erano stati predisposti due documenti fondamentali per adempiere all’obbligo informativo nei confronti degli interessati/dipendenti. Ciò sia con riguardo alle attività di trattamento ordinarie, che intercorrono normalmente durante il rapporto di lavoro, sia in caso di eventuali controlli per quelle casistiche più a carattere patologico. I due documenti citati sono la Policy sull’utilizzo corretto e sicuro delle dotazioni informatiche e le risorse ICT (di seguito “Policy”) e l’Informativa sul trattamento dei dati personali dei lavoratori dipendenti ai sensi degli artt. 13 e 14 del Regolamento […] (di seguito, “Informativa”). Sebbene i due documenti appena citati non siano rivolti espressamente agli Organi Sociali, è bene tenere a mente che i comportamenti […] ivi descritti hanno costituito le linee di indirizzo che la Società ha sempre seguito anche nei confronti del XX [odierno reclamante]” (v. nota cit., p. 6);

- “non v’è dubbio alcuno che l’obbligo informativo sia stato adempiuto posto che l’odierno Reclamante ha provato per tabulas di avere conoscenza e consapevolezza dei citati documenti, messi a disposizione sulla intranet aziendale! È stato proprio [il reclamante], infatti, a produrli nel contesto della presente procedura, allegandoli al reclamo ex art. 77 GDPR” (v. nota cit., p. 7).

In data 7 agosto 2024, il Dipartimento ha inviato alla Società una seconda richiesta di informazioni, al fine di acquisire ulteriori elementi in ordine ad alcuni particolari profili.

La Società, con nota del 30 settembre 2024, ha fornito il proprio riscontro e, in tale occasione, ha rappresentato che:

- “in seguito all’attivazione della modalità disabile, la casella di posta elettronica (i.e. il profilo digitale del Reclamante necessario per accedere alla sua casella e-mail) è stata resa inaccessibile a qualsiasi utente in possesso delle relative credenziali, pur rimanendo abilitato alla ricezione delle e-mail. Tale operazione ha impedito al Reclamante di effettuare il log-in ed eventualmente modificare il contenuto del proprio account […] Nel caso di ricezione di nuove e-mail, veniva disposto l’invio di un messaggio di risposta automatica, nel quale il mittente veniva invitato a contattare il Reclamante telefonicamente, dal momento che questi non poteva più accedere alla propria casella di posta elettronica. In ogni caso, le comunicazioni eventualmente ricevute durante questa fase sono contenute nella casella di posta elettronica ma non possono essere lette da chi dispone delle credenziali di autenticazione” (v. nota 30/09/2024 cit., pp. 2, 3);

- “l’account del Reclamante è stato disattivato definitivamente in data 8 marzo 2023, posto in RRL (risoluzione rapporto di lavoro) e non può più effettuare il login sulla rete e la casella di posta non riceve più messaggi. Pertanto, coloro i quali avessero dovuto inviare delle comunicazioni all’indirizzo in questione, avrebbero ricevuto un messaggio di errore e non più una risposta automatica come quella preimpostata dalla Società durante la fase di disable” (v. nota cit., p. 3);

- “la cancellazione avvenuta in data 08 novembre 2023 ha riguardato l’eliminazione in via definitiva dai sistemi di ITA dell’account [assegnato al reclamante]. A sistema, dunque, non risulta più alcuna informazione fatta eccezione per il contenuto della casella di posta elettronica poiché ancora attivo il flag di litigation hold in ragione delle controversie giudiziarie in corso con il Reclamante, già menzionate nella Nota. Tuttavia, appare fondamentale sottolineare che tale modalità non è stata abilitata contestualmente alla cancellazione dell’8 novembre 2023 ma ciò è avvenuto a ridosso dell’attivazione della modalità disable, precisamente in data 17 novembre 2022, alle ore 18:14:29” (v. nota cit., p. 3);

- “l’inaccessibilità di ITA all’account di posta elettronica del Reclamante in modalità disable è stata garantita dalle seguenti misure: • la Società non era a conoscenza della password di accesso all’account di posta elettronica del Reclamante […] per ITA è impossibile accedere agli account di posta elettronica dei propri dipendenti e collaboratori, non disponendo delle relative credenziali che vengono personalizzate da ciascun utente al momento del primo accesso; • in aggiunta […], la modalità disable impedisce qualsiasi accesso all’account di posta elettronica per il quale viene attivata, e tale blocco è efficace nei confronti di qualsiasi soggetto possa essere a disposizione delle credenziali dell’account interessato (ad esempio eventuali assistenti personali e/o personale di segreteria); • resta inteso che Microsoft mette a disposizione alcune funzionalità al solo Amministratore di Sistema per poter eventualmente accedere/estrarre il contenuto della casella di posta” (v. nota cit., p. 4);

- “la segnalazione interna cui si fa riferimento nella Nota [di riscontro precedentemente trasmessa dalla Società] è avvenuta in data 10 ottobre 2022, quando è stata recapitata a un componente del Consiglio di Amministrazione della Società una lettera in forma anonima e in busta chiusa contenente la copia stampata di uno scambio di e-mail” (v. nota cit., p. 4);

- “da questa segnalazione sono dunque partite le attività di accertamento, culminate con le attività di forensic” (v. nota cit., p. 5);

- “la Società ha affidato al consulente esterno PricewaterhouseCoopers Business Services S.r.l. (il “Fornitore” o “PWC”) il mandato per procedere all’acquisizione e alla successiva analisi di determinati dati informatici di ITA, dopo aver svolto uno specifico approfondimento sui profili giuslavoristici connessi all’operazione. Il Fornitore incaricato con il supporto del referente di Information Technology (“IT”) della Società ha ottenuto l’estrazione dei dati digitali costituenti il perimetro dell’attività (la “Copia Mezzo”); in altre parole, ha realizzato l’immagine forense dell’intero database informatico di Microsoft Exchange riferibile al Reclamante (“Dati Rilevanti”). Nello specifico, tale perimetro è stato individuato con riferimento al periodo compreso tra la creazione dell’account di posta elettronica del Reclamante e la data del 1° marzo 2023” (v. nota cit., pp. 5, 6);

- “in data 1° marzo 2023 il referente IT della Società ha effettuato l’accesso al portale amministrativo Microsoft nella sezione cd. “eDiscovery/ Compliance”, inserendo le proprie credenziali amministrative, al fine di creare uno specifico processo all’interno dell’applicativo Microsoft eDiscovery che permettesse l’esportazione dei Dati Rilevanti. È importante sottolineare che durante lo svolgimento delle operazioni il Fornitore ha assistito il referente IT per verificare la correttezza metodologica e il rigore adottati” (v. nota cit., p. 6);

- “in seguito all’estrazione e alla conseguente trasmissione dei Dati Rilevanti da parte della Società, PWC ha realizzato le seguenti attività: a) in primo luogo, tramite il software ad uso forense NUIX ha applicato alla Copia Mezzo un numero pari a tre (3) specifici criteri di ricerca, identificati per rispondere ai quesiti posti dalla Società (“Criteri”); b) in seguito a tale applicazione dei Criteri, ha analizzato i relativi risultati, selezionando esclusivamente gli elementi ritenuti di stretto interesse rispetto ai quesiti formulati dalla Società; c) infine, ha riportato all’interno della relazione conclusiva soltanto tali elementi essenziali, sempre tenendo conto dell’interesse di ITA manifestato mediante i quesiti originariamente posti. Si sottolinea che in occasione dell’invio della relazione conclusiva sulle attività svolte, il Fornitore non ha prodotto alcuna copia digitale dei Dati Rilevanti in favore della Società” (v. nota cit., pp. 6, 7);

- “in seguito alla conclusione del progetto, avvenuta con la finalizzazione della relazione finale al 24 marzo 2023 (“Relazione Finale”), è stata conservata una copia dei Dati Rilevanti presso gli archivi del Fornitore, limitatamente per il mese successivo al termine delle attività. Successivamente, la Copia Mezzo e i dati elaborati in ambiente NUIX sono stati cancellati dai sistemi IT di PWC, e ad oggi l’unico documento conservato dal Fornitore è costituito dalla Relazione Finale” (v. nota cit., p. 7);

- “le ricerche mirate sui Dati Rilevanti sono state realizzate applicando i tre (3) Criteri definiti dal Fornitore in accordo con la Società. Nello specifico, sono state applicate le seguenti keywords: […] “Advisor Legali” o “Advisor Legale” senza l’applicazione di filtro temporale […] “Financial Advisor” o “advisor finanziari” o “Engagement Letter”, Senza l’applicazione di filtro temporale […] Alternativamente: “Sardegna”; “Sardinia”; “Sardi”; “Sarde”; “Cagliari”; “CAG”; “AZ 330”; “AZ330”; “Senza l’applicazione di filtro temporale” (v. nota cit., pp. 7, 8);

- “l’incarico di procedere con le attività di ricerca nelle modalità descritte per l’individuazione di possibili condotte illecite è stato affidato alla società PriceWaterhouseCoopers Business Services S.r.l. (“Pwc”). Per l’esecuzione dei propri servizi, Pwc è stata designata responsabile del trattamento ai sensi dell’art. 28 del Regolamento, così come risulta dall’accordo di nomina” (v. nota cit., p. 8);

- “a parziale rettifica di quanto riportato nella Policy [sull’utilizzo corretto e sicuro delle dotazioni informatiche e le risorse ict], ITA non effettua copie di backup dei dati. Al fine di garantire disponibilità e resilienza, il fornitore Microsoft del servizio di posta elettronica provvede affinché ogni database delle cassette postali venga ospitato in un gruppo di disponibilità del database e replicato in data center geograficamente separati all'interno della stessa area” (v. nota cit., p. 9).

La Società ha anche allegato, alla nota del 30 settembre 2024, copia del documento denominato “Informativa sul trattamento dei dati personali dei lavoratori dipendenti ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 resa da ITA”.

2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori dell’Autorità.

Sulla base delle dichiarazioni rese e della documentazione prodotta nel corso dell’attività istruttoria, l’Ufficio provvedeva a notificare alla Società l’atto di avvio del procedimento correttivo-sanzionatorio, ai sensi dell’art. 166, comma 5, del Codice per la violazione degli artt. 5, par. 1, lett. a), b), c) ed e), 6, 12, 13 e 28 del Regolamento (nota del 29 gennaio 2025).

Con le memorie difensive inviate il 27 febbraio 2025, ai sensi dell’art. 18 della legge n. 689/1981 e dell’art. 166 comma 6 del Codice, la Società dichiarava che:

- in merito alla contestata violazione dell’art. 5, par. 1, 12 e 13 del Regolamento, la Società ritiene che, in ragione del ruolo apicale del reclamante, divenuto XX a far data dal 18 giugno 2021 con deleghe in settori fondamentali per la Società, “risulta estremamente improbabile che il Reclamante, operando effettivamente in nome e per conto della Società e, quindi, come legale rappresentante pro tempore del titolare del trattamento non disponesse di tutte le informazioni relative ai trattamenti di dati personali da questa realizzati. In quest’ottica deve leggersi la precisazione in merito ai destinatari dell’Informativa e della Policy, resa dalla Società nel primo riscontro all’Autorità trasmesso in data 11 aprile. Infatti, non si può sostenere che tali documenti non siano stati conosciuti dalle figure apicali della Società, per il solo fatto di non essere espressamente indirizzati agli Organi Sociali, bensì a dipendenti e collaboratori” (v. nota 27/02/2025 cit., p. 3);

- inoltre, sarebbe stato “proprio il [reclamante] a produrre nel contesto del presente procedimento sia l’Informativa che la Policy, allegandoli al reclamo […]. Appare quantomeno dubbio per un (ex) legale rappresentante del titolare del trattamento sostenere di non essere a conoscenza delle caratteristiche dei trattamenti svolti proprio dal titolare del trattamento per la sola ragione che i documenti che contengono gli elementi informativi necessari non sono espressamente rivolti alla categoria ibrida degli organi sociali di cui egli faceva parte!” (v. nota cit., p. 3);

- “con specifico riferimento all’aspetto contenutistico delle informazioni rese all’interessato, (…) deve ritenersi come lo stesso abbia potuto avere (…) un’adeguata informativa (…) secondo le modalità previste dalla legge, ai sensi degli artt. 12 e 13 del GDPR. In tal senso, (…) tali documenti contengono informazioni chiare e precise sui trattamenti realizzati nel corso dell’attività di analisi forense avente ad oggetto i dati personali del Reclamante. Più in particolare, l’Informativa menziona espressamente la possibilità che la Società tratti i dati personali eventualmente contenuti nella posta elettronica relativa alla casella aziendale, ovvero su altre dotazioni tecnologiche, “ai fini dello svolgimento di verifiche interne/audit volte all’accertamento della possibile commissione o meno di atti illeciti/frodi di cui l'azienda sia venuta a conoscenza, anche tramite segnalazioni” (Informativa, pp. 4-5, lett. D)” (v. nota cit., p. 4);

- la stessa Policy specifica che “il trattamento di informazioni e dati relativi all’uso delle dotazioni informatiche e delle risorse ICT da parte degli utenti, ivi inclusa la conservazione temporanea, potrà avvenire per una delle finalità descritte di seguito: […] qualora il trattamento si renda necessario per l’accertamento di illeciti […]; qualora il trattamento sia indispensabile per l’esercizio o la difesa di un diritto in sede giudiziaria e/o amministrativa” (Policy, pag. 17, par. 6) e che l’unica eccezione alla modalità ordinaria di svolgimento delle verifiche anonime e in forma aggregata ricorre nell’ipotesi di colpa grave (“Se nonostante ciò tali comportamenti dovessero comunque avere luogo, ITA seguirà le prescrizioni di seguito descritte per svolgere le dovute verifiche, con eccezione dei casi in cui si rilevi una condotta grave”, Policy, pag. 17, par. 6), quale quella che, a parere di ITA, avrebbe realizzato il reclamante, in potenziale danno della Società (v. nota cit., pp. 4-5);

- per quanto concerne la contestata violazione degli artt. 6 e 28 del Regolamento, in ragione della mancata sottoscrizione del documento “Atto di nomina quale Responsabile del trattamento dei dati personali ai sensi dell’articolo 28 Regolamento Europeo n° 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, nonché della Decisione di Esecuzione n° 2021/915 della Commissione Europea del 4 giugno 2021”, prodotto da ITA nel corso del procedimento, “la Società ha svolto ogni più opportuna verifica per reperire il documento firmato e poter provare in tal senso come vi sia stata una disciplina dei trattamenti affidati al responsabile Pwc. La ricerca, tuttavia, non ha avuto esito positivo” (v. nota cit., p. 5);

- “il data processing agreement che è stato prodotto costituisce un allegato del più ampio contratto siglato tra Ita e Pwc, tale da costituirne parte integrante e sostanziale. Sarebbe dunque da tenere in conto come la volontà delle parti non potesse divergere sul contenuto di quel documento e che, al contrario, esso costituisca, pur in assenza della relativa sottoscrizione, i termini degli accordi tra le parti e le prescrizioni del titolare nei confronti del responsabile” (v. nota cit. p. 6);

- “già le precedenti risposte fornite da ITA in relazione alle richieste di informazioni formulate da[ll’] Autorità illustravano nel dettaglio le modalità con le quali il fornitore Pwc aveva eseguito i servizi che gli erano stati commissionati. La descrizione di queste modalità […], appare coerente con le istruzioni impartite dal titolare all’interno dell’atto di designazione ex art. 28 del GDPR prodotto in tale sede, ancorché non sottoscritto tra le parti, e, ancora di più, con le migliori prassi e secondo i più alti standard volti a tutelare in ogni caso i diritti degli interessati, bilanciandoli con le esigenze di ITA di poter ricercare attivamente delle prove per difendersi in giudizio a fronte di comprovati e gravi comportamenti occorsi in danno della Società” (v. nota cit., p. 6);

- “l’assenza di un atto di designazione sottoscritto [è] comunque da ritenersi superato da un comportamento concludente di entrambe le parti, titolare e responsabile del trattamento, che hanno disciplinato i propri rispettivi ruoli e che hanno interpretato, ciascuno per la propria parte, in totale e rigida osservanza di quel quadro di regole condiviso” (v. nota cit., p. 7);

- per quanto concerne la contestata violazione dell’art. 5, par. 1, lett. b), c) ed e) del Regolamento, “l’attività di digital forensics è stata realizzata da Pwc per conto di ITA in conformità agli standard e alle best practices di settore, nonché in linea con le procedure interne della Società, di cui si è dato evidenza nella Policy e nell’Informativa. Nello specifico, l’estrazione dei dati digitali contenuti nel database informatico di Microsoft Exchange riferibile al [reclamante] non è stata delimitata all’arco temporale corrispondente al periodo di svolgimento dell’incarico di XX del CDA di ITA per una ragione ben precisa. La Società doveva infatti condurre tutti gli accertamenti necessari per verificare la fondatezza di quanto risultante dalla segnalazione anonima in busta ricevuta da ITA” (v. nota cit., pp. 7-8);

- “la conservazione del contenuto dell’account di posta elettronica dell’allora Presidente non può seguire le regole ordinarie di conservazione che devono valere per tutti i dipendenti. E ciò è ancor più vero in un momento storico, quale quello nel quale il [reclamante] ha ricoperto la carica di XX, nel quale ITA e il suo socio unico, il Ministero dell’Economia e delle Finanze, erano impegnati nella gestione del processo di privatizzazione, con la relativa ricerca sul mercato internazionale di un partner commerciale” (v. nota cit., p. 8);

- “Pwc non ha trasmesso alcuna copia digitale dell’Immagine Forense alla Società, bensì esclusivamente la relazione conclusiva delle operazioni, recante solo la selezione essenziale dei risultati delle investigazioni” (v. nota cit., p. 9);

- “la violazione avrebbe riguardato esclusivamente un interessato, nei cui confronti sono state realizzate le attività di digital forensics. In ogni caso, i dati personali messi a disposizione di ITA non appartengono alle categorie particolari di cui all’art. 9, par. 1, GDPR, né riguardano condanne penali, reati o connesse misure di sicurezza” (v. nota cit., p. 9);

- “da escludere ogni forma di volontà e rappresentazione di eventuali violazioni della normativa in materia di protezione dei dati personali, potendo al massimo e solo eventualmente considerarsi come conseguenze di condotte meramente colpose” (v. nota cit., pp. 9, 10);

- “si richiede di valutare […] il contesto nel quale la Società ha dovuto reagire alla gravità delle circostanze che si erano verificate, di cui la Società è venuta a conoscenza esclusivamente per via della segnalazione anonima trasmessa in busta chiusa, nonché la conseguente e assoluta necessità per la Società di procedere con le indagini interne, sfociate nelle attività di digital forensics affidate a Pwc, al fine di tutelare adeguatamente la posizione pubblica di ITA, gravemente esposta a conseguenze pregiudizievoli, anche nel contesto della ricerca di un socio privato” (v. nota cit., p. 10);

- “la Società ha dedicato risorse significative alla diffusione di una solida cultura della protezione dei dati, adottando misure e strumenti volti a prevenire e ridurre i rischi potenziali per gli interessati. Per quanto di interesse in questa sede, si menzionano inter alia: i) l’adozione di procedure interne volte alla gestione corretta di processi con un rilevante potenziale impatto sulla protezione dei dati personali (policy per la gestione dei data breach; policy sulla conservazione dei dati personali; procedura interna sull’utilizzo corretto degli strumenti e dei sistemi ICT); ii) la nomina e relative istruzioni per gli autorizzati al trattamento dei dati personali ai sensi degli artt. 29 del GDPR e 2-del Codice Privacy; iii) la nomina di un Data Protection Officer; iv) la predisposizione di dettagliate e puntuali policies aziendali sui temi della data protection” (v. nota cit., pp. 10, 11).

In data 26 marzo 2025, si è svolta l’audizione della parte richiesta dalla stessa, nel corso della quale è stato, tra l’altro, dichiarato che:

- “la seconda verifica avvenuta il 1° marzo 2023 ha riguardato solo l’account del [reclamante]”;

- la Società “è consapevole di aver potuto meglio gestire il processo di designazione del responsabile del trattamento ed è disposta a farne ammenda”.

In data 29 maggio 2025, la Società, a scioglimento della riserva formulata in sede di audizione, ha inviato quello che la stessa ha definito un “estratto della relazione finale” realizzata dalla società Price Waterhouse Coopers Business Services S.r.l.

3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

All’esito dell’esame delle dichiarazioni rese dalla parte nel corso del procedimento, nonché della documentazione acquisita - in disparte i profili che sono stati archiviati con la nota del 22 novembre 2023 che, di conseguenza, non sono stati oggetto di istruttoria -, risulta che la Società, in qualità di titolare, ha effettuato alcune operazioni di trattamento che non sono conformi alla disciplina in materia di protezione dei dati personali.

In proposito si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

3.1. Il quadro normativo di riferimento.

Il trattamento dei dati personali deve essere effettuato conformemente ai principi enunciati nell’art. 5 del Regolamento, tra cui il principio di trasparenza e il principio di correttezza (art. 5 par. 1, lett. a), del Regolamento).

Il par. 2 dell’art. 5 del Regolamento dispone che “il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»)”.

L’art. 6 del Regolamento enuncia l’elenco tassativo delle condizioni di liceità del trattamento per i dati c.d. comuni.

In base all’art. 12 del Regolamento “il titolare del trattamento adotta misure appropriate per fornire all'interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all'articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro […]. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall'interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l'identità dell'interessato”.

L’art. 13 del Regolamento dispone che il titolare del trattamento ha l’obbligo di fornire all’interessato quantomeno le informazioni relative al trattamento contenute nella medesima norma. Ciò prima che il trattamento venga effettuato.

L’art. 28 del Regolamento dispone, tra l’altro, che “i trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento”.

3.2. Violazione degli artt. 5. par. 1, lett. a), 12 e 13 del Regolamento.

In primo luogo, occorre precisare che, al di là della qualificazione del rapporto intercorso tra la Società e il reclamante, il trattamento avente ad oggetto i dati personali dell’interessato è imputabile alla Società che ha agito in qualità di titolare del trattamento, secondo la definizione di cui all’art. 4, par. 1, n. 7 del Regolamento (“titolare del trattamento: la persona fisica o giuridica,[…] che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”).

È emerso, dagli atti istruttori, che la Società ha effettuato un accesso ai dati informatici “relativi alla casella di posta, allo SharePoint e al OneDrive afferenti al[…] Reclamante”, anche mediante un’attività di digital forensics svolta da Price Waterhouse Coopers Business Services S.r.l. al fine di acquisire elementi di prova circa possibili condotte illecite dello stesso da utilizzare in giudizio a tutela della Società e del suo Socio unico, il Ministero dell’Economia e delle Finanze (v. nota del 30/09/2024, pp. 5, 6).

A fronte del trattamento effettuato, è risultato che la Società, prima che lo stesso fosse posto in essere, non avesse adeguatamente informato l’interessato al riguardo né che l’interessato ne fosse comunque venuto a conoscenza, prima dell’inizio del trattamento.

La Società non ha infatti provato che i documenti “Informativa sul trattamento dei dati personali dei lavoratori dipendenti ai sensi degli artt. 13 e 14 del Regolamento Ue 2016/679”, “Principali norme di sicurezza e nell’utilizzo dei sistemi informativi” e “Policy sull’utilizzo corretto e sicuro delle dotazioni informatiche e le risorse ict”, né altri analoghi documenti informativi fossero stati forniti al reclamante, prima che il trattamento in esame fosse posto in essere.

In proposito, deve essere rigettata l’argomentazione, addotta dalla Società, secondo la quale la produzione di tali documenti in allegato al reclamo costituirebbe elemento idoneo a provare che lo stesso reclamante fosse a conoscenza del relativo contenuto, prima che il trattamento venisse posto in essere, e quindi l’adempimento dell’obbligo informativo a carico della Società. Neppure il fatto che il reclamante abbia rivestito il ruolo di legale rappresentante della Società costituisce, di per sé, elemento idoneo a provare il corretto adempimento di quanto previsto dall’art. 13 del Regolamento (cfr. nota del 27/02/2025, p. 3).

Peraltro, se da un lato la Società ha confermato, nel corso dell’istruttoria, che i documenti citati non riguardavano il trattamento dei dati di figure come quella rivestita dal reclamante, che, come ha precisato la stessa, “non aveva un rapporto di lavoro subordinato di natura dirigenziale con ITA bensì unicamente un incarico sociale” (v. nota 12/04/2023, p. 2) (elemento questo che si evince anche dalla lettura dei medesimi documenti che, infatti, sono espressamente rivolti a dipendenti e collaboratori), dall’altro, pur sostenendo che “i comportamenti […] ivi descritti hanno costituito le linee di indirizzo che la Società ha sempre seguito anche nei confronti del XX [odierno reclamante]” (v. nota 12/04/2024, p. 6), la Società non ha prodotto evidenze dell’applicabilità di quanto contenuto nei documenti citati anche con riferimento ai dati del reclamante.

Inoltre, non è stata fornita evidenza della pubblicazione dei predetti documenti sulla intranet aziendale, né che, attraverso tale pubblicazione, il reclamante sarebbe venuto a conoscenza del trattamento in esame.

Comunque e in ogni caso, dall’analisi sopra riportata emerge che i documenti informativi predisposti dalla Società, denominati “Informativa sul trattamento dei dati personali dei lavoratori dipendenti ai sensi degli artt. 13 e 14 del Regolamento Ue 2016/679” e “Policy sull’utilizzo corretto e sicuro delle dotazioni informatiche e le risorse ict” descrivono alcune attività di trattamento che non risultano conformi alla disciplina di protezione dei dati personali.

In particolare, con riferimento allo specifico oggetto del presente provvedimento, non si ritiene conforme ai principi generali in materia di protezione dei dati personali quanto descritto nel punto D “interesse legittimo del Titolare” della predetta informativa (pp. 4, 5), punto richiamato dalla Società (v. nota 27/02/2025, p. 4) laddove viene precisato che “i suoi dati personali potranno altresì essere trattati, senza la necessità del Suo consenso, nelle seguenti ipotesi: - ai fini dello svolgimento di verifiche interne/audit volte all'accertamento della possibile commissione di atti illeciti/frodi e/o di presunte violazioni di obblighi connessi al rapporto di lavoro di cui l'azienda sia venuta a conoscenza, anche tramite segnalazioni, in conformità alla normativa aziendale e nel rispetto dei principi stabiliti dalla normativa a protezione dei dati personali; - nel rispetto della normativa applicabile, i Suoi dati personali eventualmente presenti in messaggi di posta elettronica contenuti nella casella/e aziendale/i a Lei assegnate in uso, nonché sulle dotazioni tecnologiche che la società metterà a Sua disposizione potranno essere trattati ai fini dello svolgimento di verifiche interne/audit volte all’accertamento della possibile commissione o meno di atti illeciti/frodi di cui l'azienda sia venuta a conoscenza, anche tramite segnalazioni e/o di presunte violazioni di obblighi connessi al rapporto di lavoro”.

Inoltre, sempre con riferimento allo specifico oggetto del presente provvedimento, anche alcune attività descritte nel documento “Policy sull’utilizzo corretto e sicuro delle dotazioni informatiche e le risorse ict” (pp. 16 e 17) non si ritengono conformi ai principi generali del trattamento, (cfr.“ nel caso in cui il comportamento errato e/o contrario alla presente policy, perdurasse, ITA effettuerà gli opportuni controlli su base individuale, riservandosi l’adozione di opportuni provvedimenti”).

In merito, si sottolinea infatti come la ratio di quanto previsto dall’art. 13 del Regolamento sia quella di fornire agli interessati indicazioni chiare e conformi alla disciplina di protezione dei dati sul trattamento che il titolare porrà in essere in merito ai dati personali dei soggetti a cui si riferiscono: pertanto, affinché possa dirsi rispettato quanto previsto dall’articolo citato, non è sufficiente informare l’interessato delle caratteristiche essenziali del trattamento ma è necessario che le informazioni fornite con l’informativa descrivano operazioni di trattamento di per sé lecite, quindi conformi, tra l’altro, ai principi di liceità, di minimizzazione dei dati e di limitazione della conservazione (v. “Linee guida per posta elettronica e internet”, provvedimento 1° marzo 2007, n. 13, doc web n. 1387522).

Deve, pertanto, ritenersi illecito il trattamento dei dati personali posto in essere dalla Società in quanto in violazione degli artt. 5, par. 1, lett. a) principio di trasparenza, 12 e 13 del Regolamento.

La condotta posta in essere dalla Società ha inoltre violato il principio di correttezza (art. 5, par. 1, lett. a), del Regolamento), posto che fornire un’adeguata informativa, anche nell’ambito di rapporti intercorrenti con figure societarie – quali, come nel caso di specie, il presidente del Consiglio di Amministrazione –, rappresenta espressione del principio generale di buona fede e correttezza.

La condotta posta in essere, dunque, è avvenuta in violazione degli artt. 5, par. 1, lett. a) (principi di trasparenza e correttezza), 12 e 13 del Regolamento.

3.3. Violazione dell’art. 6 e 28 del Regolamento

Come emerso nel corso dell’istruttoria, la Società ha affidato alla società di consulenza esterna Price Waterhouse Coopers Business Services S.r.l. l’incarico di svolgere una attività di digital forensics nei confronti del reclamante.

La Società ha dichiarato che Price Waterhouse Coopers Business Services S.r.l. ha trattato i dati del reclamante, in qualità di responsabile del trattamento, sulla base del documento prodotto dalla Società e denominato “Atto di nomina quale Responsabile del trattamento dei dati personali ai sensi dell’articolo 28 Regolamento Europeo n° 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, nonché della Decisione di Esecuzione n° 2021/915 della Commissione Europea del 4 giugno 2021” (All. 1 alla nota del 30/09/2024).

È emerso tuttavia che il documento predetto non è stato sottoscritto dalle parti. Né la Società è stata in grado di reperire, nel corso del procedimento e di produrre copia sottoscritta di tale atto (“la Società ha svolto ogni più opportuna verifica per reperire il documento firmato e poter provare in tal senso come vi sia stata una disciplina dei trattamenti affidati al responsabile Pwc. La ricerca, tuttavia, non ha avuto esito positivo”, v. nota del 27 febbraio 2025 p. 5).

Pertanto, il documento prodotto non può assurgere a evidenza del rispetto di quanto previsto dall’art. 28 del Regolamento, in merito alla designazione di Price Waterhouse Coopers Business Services S.r.l. quale responsabile del trattamento.

Priva di pregio - e comunque e in ogni caso in assenza di evidenze a supporto - è inoltre l’affermazione della Società secondo cui la mancanza di sottoscrizione dell’atto di nomina a responsabile sarebbe colmata dal fatto che tale documento “costituisce un allegato del più ampio contratto siglato tra Ita e Pwc, tale da costituirne parte integrante e sostanziale. Sarebbe dunque da tenere in conto come la volontà delle parti non potesse divergere sul contenuto di quel documento e che, al contrario, esso costituisca, pur in assenza della relativa sottoscrizione, i termini degli accordi tra le parti e le prescrizioni del titolare nei confronti del responsabile” (v. nota del 27/02/2025, p. 6).

Inoltre, la stessa Società, nel corso dell’audizione del 26 marzo 2025, ha riconosciuto “di aver potuto meglio gestire il processo di designazione del responsabile del trattamento ed è disposta a farne ammenda”.

Ciò considerato, si rammenta che il trattamento che il titolare effettua per il tramite del responsabile del trattamento è lecito se e in quanto, tra l’altro, l’incarico di responsabile sia stato conferito nel rispetto di quanto previsto dall’art. 28 del Regolamento. Nel caso in cui non sia stata rispettata la procedura di nomina del responsabile, il trattamento non può dirsi effettuato conformemente, per quanto riguarda i dati c.d. comuni, all’art. 6 del Regolamento che prevede le condizioni di liceità del trattamento.

La condotta posta in essere, dunque, è avvenuta in violazione degli artt. 6 e 28 del Regolamento.

3.4. Violazione dell’art. 5, par. 1, lett. b), c), e) del Regolamento.

È inoltre emerso che la Società ha trattato, in violazione della disciplina di protezione dei dati, i dati relativi al reclamante, in particolare in quanto, tramite Price Waterhouse Coopers Business Services S.r.l., ha effettuato operazioni di trattamento in violazione dell’art. 5, par. 1, lett. b), c), ed e), del Regolamento; in particolare è stata “realizzat[a] l’immagine forense dell’intero database informatico di Microsoft Exchange riferibile al Reclamante (“Dati Rilevanti”). Nello specifico, tale perimetro è stato individuato con riferimento al periodo compreso tra la creazione dell’account di posta elettronica del Reclamante e la data del 1° marzo 2023” (v. nota 30/09/2024, pp. 5, 6).

In base a quanto precisato dalla Società, “l’estrazione dei dati digitali contenuti nel database informatico di Microsoft Exchange riferibile al [reclamante] non è stata delimitata all’arco temporale corrispondente al periodo di svolgimento dell’incarico di XX del CDA di ITA” (v. nota cit., pp. 7-8).

Priva di pregio è l’affermazione della Società secondo la quale non sarebbero stati violati i principi di minimizzazione e di limitazione della finalità di cui all’art. 5, par. 1, lett. c) e b), in quanto “in seguito all’elaborazione dell’Immagine Forense, sono stati applicati esclusivamente n. 3 specifici criteri di ricerca, corrispondenti ai quesiti posti dalla Società ai fini dell’indagine” e “i risultati della ricerca sono stati accuratamente selezionati, in modo che la Società potesse conoscere soltanto gli elementi di stretto interesse connessi ai quesiti posti, e in ogni caso sempre in conformità agli scopi dell’investigazione in corso” (v. nota del 27 febbraio 2025, p. 9) .

È emerso, infatti, che la Società ha effettuato l’accesso all’intero database informatico riferito al reclamante contenente dati relativi a un periodo di tempo di circa 21 mesi, quantomeno da luglio 2021 (in quanto è emerso che la Società ha estratto alcune e-mail del luglio 2021, come si evince dall’estratto della relazione finale realizzata da Price Waterhouse Coopers Business Services S.r.l. trasmessa dalla Società il 29 maggio 2025 successivamente all’audizione) fino, come dichiarato dalla stessa Società, al 1° marzo 2023.

Infatti, in base a quanto dichiarato dalla Società, “in data 1° marzo 2023 il referente IT della Società ha effettuato l’accesso al portale amministrativo Microsoft nella sezione cd. “eDiscovery/ Compliance”, inserendo le proprie credenziali amministrative, al fine di creare uno specifico processo all’interno dell’applicativo Microsoft eDiscovery che permettesse l’esportazione dei Dati Rilevanti”” (v. nota 30/09/2024, p. 6).

L’attività di digital forensics in ogni caso, nonostante la Società abbia precisato che l’esigenza di esaminare i dati del reclamante sarebbe sorta dopo la ricezione di una segnalazione anonima, non ha riguardato esclusivamente i dati e le informazioni acquisite dopo l’insorgenza del sospetto dell’illecito, ma ha abbracciato l’intero complesso di dati e informazioni oggetto del database informatico riferito al reclamante, a partire quantomeno da luglio 2021 (quindi poco dopo l’assunzione degli incarichi per la Società) e anche successivamente alla cessazione degli stessi. Con ciò confermando che un trattamento era effettuato dalla Società già prima della ricezione della segnalazione del 10 ottobre 2022.

Si ritiene inoltre priva di pregio l’affermazione della Società secondo cui, nel caso di specie, “la conservazione del contenuto dell’account di posta elettronica dell’allora Presidente non può seguire le regole ordinarie di conservazione che devono valere per tutti i dipendenti (v. nota 27/02/2025, p. 8).

Il fatto di rivestire cariche sociali, infatti, non comporta un azzeramento del diritto alla protezione dei dati personali. La necessità del rispetto dei principi generali previsti dall’ordinamento e l’esigenza che il titolare del trattamento, nell’effettuare operazioni di trattamento, bilanci i diritti e gli interessi in gioco, nel rispetto del principio di proporzionalità, sussistono sempre, anche nel caso in cui i dati siano quelli riferiti al presidente di un consiglio di amministrazione.

L’art. 4 (1) infatti, precisa che il dato personale oggetto di trattamento e nei confronti del quale sono riconosciute le garanzie previste dall’ordinamento è “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)”.

Si sottolinea inoltre come il contenuto dei messaggi di posta elettronica –come pure i dati esteriori delle comunicazioni e i file allegati– anche nel caso di account di posta elettronica aziendale individualizzato riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente, la cui ratio risiede nel proteggere il nucleo essenziale della dignità umana e il pieno sviluppo della personalità nelle formazioni sociali; un´ulteriore protezione deriva dalle norme penali a tutela dell´inviolabilità dei segreti  (artt. 2 e 15 Cost.; Corte cost. 17 luglio 1998, n. 281 e 11 marzo 1993, n. 81; art. 616, quarto comma, c.p.; art. 49 Codice dell’amministrazione digitale).

Alla luce delle considerazioni sopra esposte, si ritiene quindi che la condotta posta in essere dalla Società ha violato il principio di minimizzazione dei dati di cui all’art. 5, par. 1, lett. c), del Regolamento, in base al quale il titolare del trattamento deve trattare solo i dati “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” e il principio di limitazione delle finalità, in base al quale “i dati personali sono raccolti per finalità determinate, esplicite e legittime” (art. 5, par. 1, lett. b) del Regolamento); nonché il principio di limitazione della conservazione in base al quale i dati sono conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati (art. 5, par. 1, lett. e) del Regolamento). (Principi richiamati anche, fra gli altri, nei provv. n. 472 del 17/07/2024, doc web n. 10053224; il provv. n. 255 del 21/07/2022, doc web n. 9809466).

4. Conclusioni: illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Per i suesposti motivi, l’Autorità ritiene che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento con riferimento agli artt. 5, par. 1, lett. a), b), c) ed e), 6, 12, 13 e 28 del Regolamento, che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro, con riferimento a tali profili, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

La violazione, accertata nei termini di cui in motivazione, non può essere considerata “minore”, tenuto conto della natura della violazione che ha riguardato i principi generali del trattamento, l’obbligo di fornire adeguata informativa e la procedura di designazione del responsabile del trattamento, della gravità e della durata della violazione stessa, del grado di responsabilità e della maniera in cui l'autorità di controllo ha preso conoscenza della violazione (v. Considerando 148 del Regolamento).

Si rammenta che, ai sensi dell’art. 160-bis del Codice “La validità, l'efficacia e l’utilizzabilità nel procedimento giudiziario di atti, documenti e provvedimenti basati sul trattamento di dati personali non conforme a disposizioni di legge o di Regolamento restano disciplinate dalle pertinenti disposizioni processuali”.

Visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento, alla luce delle circostanze del caso concreto, si dispone:

il divieto del trattamento dei dati contenuti nel database informatico riferito al reclamante, fatto salvo quanto necessario per l’esclusiva finalità di tutela dei diritti in sede giudiziaria, per il tempo necessario a tale scopo, nei limiti di cui all’art. 160-bis del Codice (art. 58, par. 2, lett. g) Regolamento);

l'applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) Regolamento).

Si ritiene, altresì, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

All’esito del procedimento risulta che Italia Trasporto Aereo S.p.A. ha violato gli artt. 5, par. 1, lett. a), b), c) ed e), 6, 12, 13 e 28 del Regolamento.

Per la violazione delle predette disposizioni è prevista l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 4 lett. a) e par. 5, lett. a) e b) del Regolamento mediante adozione di un’ordinanza ingiunzione (art. 18, l. 24.11.1981, n. 689).

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento che prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5, del Regolamento.

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

a) in relazione alla natura e alla gravità della violazione, questa ha riguardato fattispecie punite più severamente ai sensi dell’art. 83, par. 5 del Regolamento (i principi generali del trattamento e l’obbligo dell’informativa);

b) in relazione alla durata della violazione, questa si è protratta, per quanto riguarda la violazione degli artt. 5, par. 1, lett. a), b), c) ed e), 12 e 13 del Regolamento, da luglio 2021 fino al presente procedimento, mentre per quanto riguarda la violazione degli artt. 6 e 28 del Regolamento, dal 1° marzo 2023 fino al presente procedimento;

c) le violazioni oggetto dell'istruttoria hanno riguardato un singolo interessato (il reclamante);

d) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare, è stata presa in considerazione la condotta della Società e il grado di responsabilità della stessa che non si è conformata alla disciplina in materia di protezione dei dati relativamente ad una pluralità di disposizioni;

e) la Società ha cooperato con l’Autorità nel corso del procedimento.

Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla Società con riferimento al bilancio ordinario d’esercizio per l’anno 2024, ultimo disponibile.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Italia Trasporto Aereo S.p.A. la sanzione amministrativa del pagamento di una somma pari ad euro 190.000,00 (centonovantamila).

In tale quadro si ritiene che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo (quindi dell’intero capo 5) contenente l’ordinanza ingiunzione sul sito Internet del Garante.

Ciò in considerazione della tipologia delle violazioni accertate che hanno riguardato i principi generali del trattamento, l’obbligo di fornire una adeguata informativa e la procedura di designazione del responsabile del trattamento.

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f) e 83 del Regolamento, rileva l’illiceità del trattamento effettuato da Italia Trasporto Aereo S.p.A. in persona del legale rappresentante, con sede legale in con sede legale in Via Venti Settembre, 97, 00187, Roma, C.F. 15907661001 ai sensi dell’art. 143 del Codice, per la violazione degli artt. 5, par. 1, lett. a), b), c) ed e), 6, 12, 13 e 28 del Regolamento.

DISPONE

ai sensi dell’art. 58, par. 2, lett. g), del Regolamento, il divieto del trattamento dei dati contenuti nel database informatico riferito al reclamante, fatto salvo quanto necessario per l’esclusiva finalità di tutela dei diritti in sede giudiziaria, per il tempo necessario a tale scopo, nei limiti di cui all’art. 160-bis del Codice;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i), del Regolamento di pagare la somma di euro 190.000,00 (centonovantamila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

altresì alla medesima Italia Trasporto Aereo S.p.A. di pagare la predetta somma di euro 190.000,00 (centonovantamila) secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981.

Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);

DISPONE

- ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito Internet del Garante;

- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del garante n. 1/2019, la pubblicazione del presente provvedimento sul sito Internet del Garante;

- ai sensi dell’art. 17 del Regolamento n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 4 marzo 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Montuori