[doc. web n. 10230206]

Provvedimento del 4 marzo 2026

Registro dei provvedimenti
n. 152 del 4 marzo 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente e il dott. Agostino Ghiglia, componenti e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTA la segnalazione presentata dal Sig. XX nei confronti di Italia Trasporto Aereo S.p.A. e Alitalia Società Aerea Italiana S.p.A. in A.S.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. La segnalazione nei confronti delle società e l’attività istruttoria.

In data 18 luglio 2023, il sig. XX ha presentato una segnalazione, ai sensi dell’art. 144 del Codice, nei confronti di Alitalia Società Aerea Italiana S.p.A. in A.S. (di seguito, Alitalia) e Italia Trasporto Aereo (di seguito, Ita) con la quale sono state lamentate presunte violazioni del Regolamento e, in particolare, per quanto riguarda Ita, l’inidoneo riscontro all’istanza di accesso ai dati presentata dal segnalante il 17 giugno 2023 nonché il trattamento da parte di Ita di dati di dipendenti di Alitalia, comunicati da quest’ultima, in violazione della disciplina di protezione dei dati e, per quanto riguarda Alitalia, il mancato riscontro all’istanza di accesso ai dati presentata dal segnalante il 17 giugno 2023 nonché la comunicazione di dati di dipendenti di Alitalia a Ita in violazione della disciplina di protezione dei dati.

Considerata l’unicità della segnalazione presentata dinanzi all’Autorità, viste le condotte lamentate con la stessa, l’Autorità adotta un provvedimento unico nei confronti delle due società, ferme restando le valutazioni in ordine alle responsabilità che sono state adeguatamente distinte.

In data 22 marzo 2024, Ita, a seguito della richiesta di informazioni dell’Ufficio del 13 febbraio 2024, ha inviato il proprio riscontro e in tale occasione, ha dichiarato che:

“il Segnalante […] è stato un dipendente di Alitalia nonché rappresentante legale del sindacato […] e, in quest’ultima qualità, è stato autore di diverse segnalazioni ed altre tipologie di richieste, rivolte a istituzioni e autorità varie, volte a ottenere una diversa qualificazione del contratto di cessione di complessi di beni e contratti tra Alitalia Società Aerea Italiana S.p.A. in A.S. (di seguito, «Alitalia SAI») e Alitalia Cityliner S.p.A. in A.S. da una parte, e ITA dall’altra, del 14 ottobre 2021 (di seguito, la «Cessione»)” (v. nota 22/03/2024 cit., p. 1);

“secondo una lettura capziosa dell’accordo appena citato […] la Cessione sarebbe una simulazione di un vero e proprio contratto di cessione di ramo d’azienda” (v. nota cit., p. 1);

“anche attraverso l’uso della normativa in materia di protezione dei dati personali, si è tentato e ancora adesso si tenta di giungere ad ottenere elementi utili a questo fine. Dal che, infatti, scaturirebbe la necessità di applicare l’art. 2112 c.c. e tutte le garanzie ivi previste, con particolare riguardo alla continuazione del rapporto di lavoro con il cessionario e la relativa conservazione di tutti i diritti che ne derivano” (v. nota cit., pp. 1, 2);

“le parti che hanno sottoscritto il contratto di Cessione ben poco hanno potuto negoziare in ordine a titolo, oggetto e forma del negozio giuridico in questione. A ciò hanno rilevato le norme che hanno costituito ITA (decreto del Ministro dell’Economia e delle Finanze di concerto con il Ministro delle Infrastrutture e dei Trasporti, il Ministro dello Sviluppo Economico e il Ministro del Lavoro e delle Politiche Sociali del 9 ottobre 2020 ai sensi e per gli effetti dell’art. 79 del decreto legge 17 marzo 2020, n. 18, convertito, con modificazioni, dalla legge 24 aprile 2020 n. 27, come modificato dall’articolo 202 del decreto legge 19 maggio 2020, n. 34, convertito, con modificazioni, dalla legge 17 luglio 2020, n. 77 e dall’art. 87 del decreto legge 14 agosto 2020, n. 104) e la decisione della Commissione europea di cui all’art. 79, comma 4-bis del decreto legge n. 18 del 2020 che ha previsto modifiche e integrazioni al piano industriale inizialmente formulato dalla Società” (v. nota cit., p. 2);

“bisogna anche tenere conto delle tempistiche con le quali si è giunti alla cessazione dell’operatività di Alitalia e all’inizio dell’operatività di ITA” (v. nota cit., p. 2);

“la necessità di avviare rapidamente le attività operative della Società è stato un elemento critico nel mese di ottobre 2021. ITA, infatti, aveva ottenuto il nulla osta della Commissione Europea all’operazione solo in data 10 ottobre 2021 e l’avvio dei voli era stato programmato per il successivo 15 ottobre 2021. In soli 5 giorni, dunque, ITA ha avuto l’urgenza di reclutare un ingente bacino di risorse altamente qualificate per garantire l’immediata operatività della Società e affrontare il picco di attività previsto per il periodo natalizio che si sarebbe aperto immediatamente dopo l’avvio delle attività di volo. A ciò si aggiunga, inoltre, il dovere di assolvere ai compiti di garanzia di un servizio pubblico, dovendo assicurare la libera circolazione delle persone quale superiore necessità anche costituzionalmente garantita” (v. nota cit., p. 2);

“la speditezza nei processi di assunzione del personale ha altresì assolto alla centrale esigenza di tutela sociale di quei lavoratori che ITA ha assunto ex novo dal bacino di Alitalia SAI e che, candidandosi, hanno espresso la inequivocabile volontà di partecipare alla selezione indetta dalla Società nella sua fase di start-up” (v. nota cit., pp. 2, 3);

“in un simile contesto, dunque, è maturata la necessità di attingere a un bacino di riferimento dotato di specifica peculiarità. ITA doveva infatti acquisire risorse qualificate con riferimento al comparto Aviation, tenuto conto anche delle esigenze correlate in tema di abilitazioni, certificazioni e conoscenza di procedure operative” (v. nota cit., p. 3);

“per gli scopi sopra descritti, a far data dal 26 agosto 2021, tramite il portale denominato CVing (di seguito anche la «Piattaforma»), ITA ha reso possibile, a tutti coloro che erano interessati, e che fossero in possesso dei requisiti professionali richiesti, la presentazione di candidature per completare l’organico aziendale, navigante e di terra, da assumere alla data del 15 ottobre 2021” (v. nota cit., p. 3);

“la Piattaforma, che è tutt’ora utilizzata per la gestione delle campagne massive di selezione, durante la fase di start-up di ITA prevedeva la strutturazione del processo di candidatura in tre step: 1) Registrazione del candidato, presa visione dell'informativa, caricamento CV; 2) Compilazione di un questionario informativo e caricamento della documentazione richiesta a cura del candidato (es. fototessera, certificazioni tecniche, ecc.); 3) Video colloquio in differita durante il quale il candidato doveva rispondere ad un set di 5 domande (per il Personale Navigante 1 domanda era in inglese)” (v. nota cit., p. 3);

“parallelamente al processo di recruitment sopra descritto, nel periodo precedente la cessazione delle attività di volo di Alitalia SAI, sono intercorsi degli scambi di comunicazioni tra quest’ultima e ITA al fine di condividere con la Società i soli dati dei dipendenti delle strutture organizzative di Alitalia SAI del comparto Aviation” (v. nota cit., p. 3);

“a questo fine, pertanto, Alitalia SAI ha messo a disposizione di ITA i dati dei propri dipendenti che avevano inoltrato la propria candidatura attraverso la Piattaforma e che avevano superato i tre step descritti sopra. In questa fase, tuttavia, non erano oggetto di trasferimento i dati di cui all’art. 9 del GDPR” (v. nota cit., p. 3);

“appare dunque evidente che non vi sia stata una cessione integrale di banche dati contenenti dati personali, da Alitalia SAI ad ITA […]. Al contrario, la Società ha avuto accesso ai dati personali di coloro che erano risultati idonei ai criteri di selezione e già durante quel processo, all’interno della Piattaforma, aveva potuto dare la sua informativa e raccogliere conferma di presa visione della stessa, unitamente a tutti gli altri documenti e istruzioni in materia di protezione dei dati personali, ove applicabili, nonché del Modello di Organizzazione, Gestione e Controllo ex d.lgs. 231/2001 e il Codice Etico di ITA” (v. nota cit., pp. 3, 4);

“quanto alla base giuridica sulla quale è stato fondato il trattamento di dati personali degli ex dipendenti di Alitalia SAI da parte di ITA, essa è rinvenibile nell’art. 6, par. 1, lett. b) del GDPR. La Società, infatti, doveva valutare, su richiesta dell’interessato, l’esistenza delle condizioni per instaurare il rapporto di lavoro” (v. nota cit., p. 4).

In data 22 marzo 2024, Alitalia ha inviato il proprio riscontro alla richiesta di informazioni trasmessa dall’Ufficio il 13 febbraio 2024. In tale occasione, ha dichiarato che:

“il [segnalante] è stato un dipendente di Alitalia dal 15 gennaio 2016 al 27 dicembre 2023” (v. nota 22/03/2024 cit., p. 2);

“il Segnalante è stato particolarmente attivo nel formulare, per proprio conto o a nome del[sindacato], numerose richieste di accesso agli atti e ai contratti connessi alla operazione di cessione di beni e contratti afferenti al settore del trasporto aereo («Aviation») alla newco a partecipazione statale – ex articolo 79, comma 4-bis, del D.L. 18/2020 – Italia Trasporto Aereo S.p.A.” (v. nota cit., p. 2);

“in particolare fra febbraio e maggio 2023, ben 6 diverse istanze venivano rivolte rispettivamente al Tribunale di Civitavecchia, al MISE/MIMIT, all’ENAC e ad Assoclearance, oltre che ad Alitalia ed ITA. Tra le varie, segnaliamo, a puro titolo esemplificativo, l’istanza presentata al Tribunale di Civitavecchia, il 27 febbraio 2023, con formale richiesta di acquisizione di copia del suddetto contratto di cessione. A tale istanza, su richiesta del Tribunale, Alitalia ha fornito risposta in data 6 marzo 2023” (v. nota cit., p. 2);

“tutte le predette istanze di accesso erano formulate con lo scopo, dichiarato o meno, di ottenere una diversa qualificazione del contratto di cessione di beni e contratti, stipulato fra le società Alitalia e Alitalia Cityliner in as ed ITA, quale contratto di cessione di «ramo d’azienda» con la conseguente applicazione dell’art. 2112 cc. ai rapporti di lavoro” (v. nota cit., p. 2);

“nell’ambito di un procedimento istaurato da alcuni lavoratori di Alitalia presso il Tribunale del lavoro di Roma, conclusosi con sentenza […] pubbl. il 14/06/2023, il giudice aveva ordinato ad ITA la esibizione del contratto di cessione anzidetto, consentendone così la valutazione ai fini di cui al ricorso dei lavoratori” (v. nota cit., p. 2);

“pertanto, quando il 17 giugno 2023 l’Interessato ha inviato sull’indirizzo PEC dell’Amministrazione Straordinaria (l’ennesima) istanza in relazione ai rapporti tra Alitalia e ITA […] i referenti aziendali della Società hanno valutato che fosse da ritenersi superata la richiesta sia in relazione alle precedenti istanze e risposte fornite, sia alla circostanza che il principale atto di interesse del Segnalante e dei lavoratori dallo stesso rappresentati fosse ormai di pubblico dominio” (v. nota cit., pp. 2, 3);

“oltre a tale valutazione, verificatasi in totale buona fede tenuto conto dei precedenti sopra descritti, si fa presente la nota situazione contingente di Alitalia in amministrazione straordinaria” (v. nota cit., p. 3);

“con decreto del 2 maggio 2017 - pubblicato sulla Gazzetta Ufficiale n. 104 del 6 maggio 2017 - contenente misure urgenti per assicurare la continuità del servizio svolto da Alitalia, il Ministro dello Sviluppo Economico ha ammesso la società alla procedura di amministrazione straordinaria a norma dell’art. 2 comma 2, del decreto legge 347/03 in ragione della grave situazione economica, patrimoniale e finanziaria della Società” (v. nota cit., p. 3);

“in esecuzione del programma della amministrazione straordinaria e al fine di assicurare la continuità del servizio a suo tempo svolto da Alitalia, sono state implementate dalla gestione commissariale azioni necessarie alla salvaguardia e alla stabilizzazione dei ricavi, al contenimento dei costi e all’incremento dell’efficienza aziendale al fine di rendere la gestione della Società efficace, economicamente sostenibile ed in linea con il mercato di riferimento. In questo scenario e per tali motivi si è reso necessario ricorrere al trattamento straordinario di integrazione salariale previsto dall’art. 7, comma 10 ter della legge n. 236/1993 (cassa integrazione, smaltimento ferie etc.) e pertanto ad una conseguente riduzione della piena e costante operatività delle strutture organizzative di Alitalia, aggravatasi durante la pandemia da Covid 19 ed ulteriormente a seguito della operazione di cessione dei beni e contratti del settore «Aviation» e contestuale assunzione di parte del personale di Alitalia da parte di ITA, nonché a causa del costante flusso di dimissioni presentate dal personale delle Società” (v. nota cit., p. 3);

“tali circostanze hanno dunque determinato un rallentamento nella gestione delle attività lavorative, nonché complicato il raccordo tra i vari dipartimenti interni di Alitalia” (v. nota cit., p. 3);

“la mancata risposta non [è] stata in alcun modo frutto di un comportamento doloso della scrivente Società, ma un susseguirsi di elementi che hanno indotto il personale di Alitalia a ritenere la questione definitivamente chiusa, oltre che ad un contesto di riferimento societario in cui la gestione tempestiva di qualsivoglia richiesta e il raccordo tra i vari dipartimenti interni risulta, per motivi oggettivi, ridotta” (v. nota cit., p. 3);

“la mancata risposta all’istanza di accesso, non ha arrecato alcun pregiudizio, danno o effetto negativo al Segnalante” (v. nota cit., p. 3);

“per quanto riguarda il riscontro alla richiesta dell’Interessato, si segnala che allo stesso è stato dato riscontro in data odierna per mezzo della comunicazione allegata” (v. nota cit., p. 4);

“a far data dal 15 ottobre 2021, la Società ha definitivamente interrotto la propria attività di operatore aereo. Nel periodo immediatamente precedente a tale data, sono intercorse delle interlocuzioni al fine di agevolare le attività prodromiche e connesse all’operazione di cessione in via di definizione con ITA in ossequio a quanto previsto dall’art. 11-quater del decreto-legge 25 maggio 2021, n. 73 (convertito - con modificazioni - dalla Legge 23 luglio 2021, n. 106 e successivamente modificato con decreto-legge 10 settembre 2021, n. 121)” (v. nota cit., p. 4);

“in tale contesto, Alitalia ha condiviso con ITA i dati personali dei dipendenti all’epoca in forza presso la Società appartenenti alle strutture organizzative ritenute ricomprese nel comparto «Aviation», tra cui quelli del Segnalante, al fine di consentire la realizzazione delle operazioni connesse alla cessione stessa” (v. nota cit., p. 4);

“le basi giuridiche di tale condivisione di dati sono state l’adempimento di un obbligo legale al quale era soggetta Alitalia (titolare del trattamento), di cui alle norme sopra menzionate, e il legittimo interesse d[i Alitalia] (ex art. 6, primo paragrafo lett. c) e f) del Regolamento)” (v. nota cit., p. 4);

“i dipendenti di Alitalia, tra cui l’odierno Segnalante, sono stati puntualmente informati di tale trattamento poiché indicato esplicitamente (cfr. paragrafi A) e D) nelle informative privacy ex art. 13 del Regolamento rilasciate alla data dell’assunzione e, in seguito, contestualmente al rilascio delle versioni aggiornate nel 2018” (v. nota cit., p. 4).

In data 25 marzo, 25 aprile e 29 aprile 2024, il segnalante ha inviato integrazioni alla segnalazione.

In particolare, in data 25 marzo 2024, ha inviato “copia della pec ricevuta il 22.3.2024 […] da Alitalia Sai in A.S. ed indirizzata al sottoscritto […], in riscontro alla richiesta di accesso agli atti inviata alla suddetta azienda il 17.6.2023” e “copia della pec inviata dal[sindacato] il 24.3.2024 […] in riscontro alla pec trasmessa alla stessa O.S. da Alitalia Sai in A.S. il 22.3.2024”, nonché copia della richiesta inviata a Ita in pari data.

In data 25 aprile 2024, il segnalante ha trasmesso “copia della pec ricevuta il 12.4.2024 […], con i relativi allegati […] e recapitata […] da Alitalia Sai in A.S. ed indirizzata al sottoscritto, in riscontro alla richiesta di chiarimenti trasmessa il 24.3.2024 alla suddetta azienda, dopo aver ricevuto il 22.3.2024 una risposta alla prima richiesta di accesso agli atti trasmessa il 17.6.2023” e “copia della pec inviata dal [sindacato] il 25.4.2024 […] in riscontro alla pec trasmessa alla stessa O.S. da Alitalia Sai in A.S. il 12.4.2024”.

Il 29 aprile 2024, il segnalante ha inviato “copia della pec ricevuta il 24.4.2024 da ITA […] in risposta alla suddetta richiesta di Accesso agli Atti trasmessa dal [sindacato] il 25.3.2024”.

In data 26 luglio 2024, l’Ufficio ha inviato un’ulteriore richiesta di informazioni ai sensi dell’art. 157 del Codice a Ita.

Considerato che non è pervenuto alcun riscontro entro il termine del 23 settembre 2024 (indicato nella richiesta del 26 luglio 2024 come termine per fornire riscontro alla richiesta formulata), la richiesta è stata inviata nuovamente e il riscontro è pervenuto, in data 3 dicembre 2024. In tale occasione Ita ha rappresentato che:

“le categorie di dati che sono state messe a disposizione di ITA da parte di Alitalia nella fase di recruitment sono rappresentate da: i. dati anagrafici (nome, cognome, data e luogo di nascita, codice fiscale, stato civile, residenza, cittadinanza, etc.); ii. dati afferenti al precedente rapporto di lavoro (tipologia di contratto, tipo di incarico, inquadramento, matricola, numero badge, retribuzione, posizione, data assunzione, anzianità di servizio, etc.); iii. dati specifici attinenti al comparto Aviation (abilitazioni, certificazioni, anni anzianità, qualifica, etc.)” (v. nota 3/12/2024 cit., p. 2);

“durante la fase preliminare all’avvio delle attività di volo operate da ITA, Alitalia ha messo a disposizione d[i Ita] i file dei propri dipendenti rientranti nel perimetro Aviation, contenenti i soli dati identificati nel paragrafo precedente e strettamente necessarie per finalizzare l’eventuale proposta/lettera d’assunzione e per l’alimentazione dei sistemi HR, garantendo la qualità dei dati raccolti dal precedente datore di lavoro” (v. nota cit., p. 3);

“i dati sono stati messi a disposizione di ITA attraverso una cartella Sharepoint protetta da opportune misure di sicurezza che limitavano gli accessi ai soli referenti aziendali indicati da ITA e non già alla generalità delle figure professionali coinvolte nel processo di selezione del personale e successiva contrattualizzazione” (v. nota cit., p. 3);

“ITA ha dunque avuto accesso potenziale ai dati dei dipendenti che facevano parte del comparto Aviation ma, in considerazione della necessità di procedere speditamente e in brevissimo tempo ai processi di contrattualizzazione, ha concretamente utilizzato per i propri fini i dati dei soli ex dipendenti Alitalia che si sono candidati sulla piattaforma CVing e che lì sono stati selezionati secondo la procedura descritta nella risposta formulata in riscontro alla prima richiesta di informazioni ricevuta del 22 marzo 2024” (v. nota cit., p. 3);

“al termine delle operazioni di selezione c.d. emergenziale, ITA ha cessato di effettuare accessi alla cartella Sharepoint, potendo far leva sui propri processi di selezione e assunzione ordinari e non più straordinari. Conseguentemente, sono cessate in tal modo le operazioni di trattamento condiviso tra ITA e Alitalia” (v. nota cit., p. 3);

“conformemente alle procedure di trattamento descritte sopra, ITA ha avuto accesso ai dati del [segnalante]” (v. nota cit., p. 3);

“secondo le linee programmatiche condivise tra ITA e Alitalia al momento della definizione dei processi di condivisione dei dati, il Segnalante aveva già ricevuto da Alitalia un’informativa che rendeva edotti gli interessati dei possibili trattamenti di dati personali che avrebbero potuto avere luogo in occasione di operazioni societarie straordinarie, come quelle che hanno coinvolto Alitalia e ITA” (v. nota cit., p. 3);

“al momento in cui il Segnalante aveva formulato la sua richiesta (17 giugno 2023) erano già cessate le esigenze straordinarie che avevano condotto al processo semplificato di selezione e contrattualizzazione del personale descritto sopra. Erano dunque cessate del tutto le necessità di consultare i dati del personale del comparto Aviation di Alitalia, poiché la Società era già in grado di basarsi sui propri e indipendenti processi di selezione e contrattualizzazione. Pertanto, al momento del riscontro fornito da ITA all’interessato, la cartella Sharepoint contenente i dati dello stesso non era più oggetto di accesso” (v. nota cit., pp. 3, 4).

In tale occasione, Ita ha prodotto i seguenti documenti: “Informativa sul trattamento dei dati personali ex art. 13 del Regolamento (UE) 2016/679 (GDPR) – Utenti” relativamente al quale Ita ha precisato che “riporta l’informativa propria di CVing, autonomo titolare del trattamento rispetto a ITA”; “Informativa sul trattamento dei dati personali dei candidati a posizioni lavorative ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679” relativamente al quale Ita ha precisato trattarsi di “informativa ITA per i candidati”; “Informativa sul trattamento dei dati personali dei lavoratori dipendenti ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679” relativamente al quale Ita ha dichiarato essere un “documento consegnato in caso di assunzione”; “Nomina e relative istruzioni per gli autorizzati al trattamento dei dati personali ai sensi e per gli effetti del Regolamento (UE) 2016/679” relativamente al quale Ita ha precisato essere “documento consegnato in caso di assunzione”; “Principali norme di sicurezza e nell’utilizzo dei sistemi informativi” relativamente al quale Ita ha precisato essere un “documento consegnato in caso di assunzione”; “Policy sull’utilizzo corretto e sicuro delle dotazioni informatiche e le risorse ICT” relativamente al quale Ita ha precisato essere un “documento consegnato in caso di assunzione”.

In data 26 luglio 2024, l’Ufficio ha inviato un’ulteriore richiesta di informazioni ad Alitalia con la quale ha domandato “quali «dati personali dei dipendenti all’epoca in forza presso la Società appartenenti alle strutture organizzative ritenute ricomprese nel comparto “Aviation”, tra cui quelli del Segnalante» «Alitalia ha condiviso con ITA al fine di consentire la realizzazione delle operazioni connesse alla cessione stessa»” nonché “quali dati riferiti al segnalante sono stati, come ha dichiarato la Società, «messi a disposizione di ITA nell’ambito delle attività prodromiche alla definizione dell’operazione di cessione di beni e contratti afferenti al settore «Aviation» di Alitalia e Cityliner in a.s. »”.

Alitalia ha inviato il proprio riscontro, in data 20 settembre 2024, costituito da due documenti: uno denominato “dati dip.” e uno denominato “Dati [segnalante]” (nel quale viene precisato “allegato 2 - N. 3 File estrazione sistemi ADP e SAP – Dati [del segnalante])”, contenenti l’indicazione di categorie di dati, tra cui codice fiscale, nome, cognome, data di nascita, stato civile, “id seniority”, qualifica, recapiti di vario tipo, posizione, area gestionale, data di assunzione, r.a.l. e “stipendio base”.  

2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e le deduzioni delle società.

Il 28 gennaio 2025, l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione delle presunte violazioni del Regolamento nei confronti di Ita e Alitalia per i trattamenti effettuati dalle società, con riferimento agli artt. 12 e 15 del Regolamento, per non avere fornito, entrambe le società, idoneo riscontro alle istanze di accesso ai dati presentate a ciascuna dal segnalante, nonché, con riferimento agli artt. 5 par. 1 lett. a), 6, 13 e 14 del Regolamento, in concorso ai sensi dell’art. 5 l. n. 689 del 1981, in quanto il trattamento, consistente nella condivisione di dati di dipendenti del comparto “Aviation” di Alitalia a Ita è stato effettuato in assenza di una idonea condizione di liceità del trattamento e senza che sia stata fornita un’adeguata informativa.  

2.1 Le deduzioni di Ita e l’audizione della società.

Con memorie difensive inviate in data 25 febbraio 2025, Ita ha rappresentato che:

- “non si ravvisa alcuna contraddizione tra le dichiarazioni rese dalla Società al Segnalante nel riscontro all’istanza del 17 giugno 2023 e quanto successivamente riferito all’Autorità in occasione della Seconda Nota” (v. nota 25/02/2025, p. 3);

- “ITA ha infatti correttamente evidenziato al Segnalante di non trattare dati personali a lui riferibili alla data del 17 giugno 2023, né tanto meno dati di altri soggetti ex dipendenti di Alitalia che non erano stati selezionati per essere assunti dalla Società. Questo corrisponde al vero in quanto la condivisione in favore di ITA dei dati personali dei dipendenti di Alitalia nel settore Aviation (incluse le informazioni riferibili al Segnalante) è avvenuta mediante la messa a disposizione degli stessi in una cartella Sharepoint da parte di Alitalia e in favore della Società (di seguito, “Cartella Sharepoint”), nel periodo che ha riguardato la necessaria assunzione “emergenziale” e straordinaria di personale altamente qualificato. Cessate tali esigenze, ben prima della data in cui il [segnalante] formulava la sua prima richiesta, l’accesso di ITA alla Cartella Sharepoint è stato revocato da parte di Alitalia, rendendo dunque inaccessibili i dati ivi contenuti” (v. nota cit., p. 3);

- “successivamente, la Società non ha più avuto accesso a tale cartella, ed ha continuato a trattare esclusivamente i dati personali di coloro che erano stati selezionati per essere assunti da ITA attraverso il processo di selezione ordinario tutt’ora vigente. Trova dunque conferma la circostanza per la quale, alla data della trasmissione dell’istanza da parte del Segnalante (17 giugno 2023), la Società non trattava più alcun dato personale del [segnalante], come è stato effettivamente dichiarato allo stesso nel riscontro fornito dalla Società in data 17 luglio 2023” (v. nota cit., p. 3);

- “su questo tema, le stesse Linee guida 1/2022 dello European Data Protection Board (“EDPB”) sui diritti degli interessati – Diritto di accesso […] stabiliscono chiaramente che le richieste di accesso ai sensi dell’art. 15 del GDPR devono essere valutate con riferimento al momento di ricevimento dell’istanza, tant’è che «i titolari del trattamento non sono pertanto tenuti a fornire dati personali che hanno trattato in passato ma di cui non dispongono più», come può accadere nel caso in cui siano stati cancellati in applicazione di policy di conservazione dei dati ovvero in ossequio a determinati obblighi di legge (Linee Guida, par. 2.3.3, punto 37)” (v. nota cit., pp. 3, 4);

- “[Ita] ha correttamente confermato l’assenza di trattamenti di dati del [segnalante], non essendo di fatto tenuta a fornire ulteriori informazioni su operazioni di trattamento realizzate in precedenza” (v. nota cit., p. 4);

- “le informazioni concernenti le categorie di dati contenuti nella Cartella Sharepoint, nonché le modalità di accesso e di utilizzo di tali dati, sono state fornite allo scopo di rispondere esaustivamente alla richiesta di informazioni di cui all’art. 157 del Codice Privacy, trasmessa dall’Autorità a ITA il 26 luglio 2024 e rinnovata il 4 novembre 2024” (v. nota cit., p. 4);

- “sebbene le precisazioni trasmesse si riferiscano anche ai dati personali del Segnalante, poiché inclusi nella Cartella Sharepoint, rimane fermo che la Società non ha effettuato alcun accesso concreto a tali dati. Infatti, l’accesso e la consultazione ai dati personali dei dipendenti Alitalia rientranti nel comparto Aviation hanno concretamente avuto luogo solo con riguardo alle informazioni riferibili agli interessati che avevano dimostrato il loro interesse nella procedura di selezione del nuovo personale di ITA che trasmettevano il loro curriculum vitæ attraverso la piattaforma di recruiting CVing (di seguito, “CVing” o “Piattaforma”), e che venivano selezionati” (v. nota cit., pp. 4, 5);

- “dal momento che il Segnalante non ha avviato questo processo, ITA non ha consultato in alcun modo i dati personali del [segnalante]. Nel caso di specie, infatti, mancavano i presupposti logici e di fatto rispetto a un processo concordato con Alitalia, tali per cui [Ita] potesse accedere o addirittura utilizzare quei dati. In questa ottica, dunque, ben si comprende come l’accesso cui la Società fa riferimento nella Seconda Nota è di natura meramente potenziale, proprio perché non si è realmente verificato” (v. nota cit., p. 5);

- “[Ita] ha effettivamente ritenuto di dover fornire ulteriori informazioni al Segnalante, ma sempre senza alcuna contraddizione con quanto dichiarato nei precedenti scambi sia con lo stesso [segnalante] che con codesta illustrissima Autorità. In primo luogo, coerentemente con i fatti verificatisi e le dichiarazioni rese in precedenza, [Ita] ha ribadito che al momento di ricezione dell’ulteriore istanza non effettuava operazioni di trattamento sui dati del Segnalante, se non quelli necessari per rispondere alle sue richieste. In tal senso, le precisazioni contenute nel riscontro del 24 aprile 2024 si sono rese necessarie a seguito della richiesta aggiuntiva pervenuta e, in particolare, in considerazione del riscontro fornito da Alitalia, rispetto al quale [Ita] non ha ricevuto dettagli di contesto da parte dello stesso Segnalante. In ogni caso, si evidenzia che la conferma del fatto che ITA ha trattato i dati personali del Segnalante è comunque riferita al periodo in cui la Società ha utilizzato la Cartella Sharepoint, durante la fase di avvio della propria operatività. Pertanto, anche rispetto a questa istanza, le ulteriori informazioni trasmesse riguardano il trattamento di dati personali del Segnalante già ampiamente non più in essere al 23 marzo 2024, data della ricezione della richiesta. Di conseguenza, non sussisteva alcun obbligo ai sensi degli artt. 12 e 15 del Regolamento di fornire i dettagli sollecitati dal richiedente. Tuttavia, ITA ha ugualmente ritenuto di offrire ulteriori informazioni al Segnalante, in spirito di collaborazione trasparente e allo scopo di chiarire le circostanze del trattamento effettuato. Trattamento che, tuttavia, non si è mai concretizzato perché, in ragione delle caratteristiche descritte, non è mai andato oltre una remota possibilità!” (v. nota cit. p. 6);

- “sulla violazione degli artt. 5, par. 1, lett. a), 6, 13 e 14 del Regolamento” “la condizione di liceità identificata dalla Società consistente nell’esigenza di valutare la sussistenza delle condizioni per instaurare il rapporto di lavoro deve ritenersi valida anche rispetto ai dati personali dei lavoratori di Alitalia contenuti nella Cartella Sharepoint.” (v. nota cit., p. 7);

- “il trattamento dei dati dei candidati conservati nella Cartella Sharepoint ha dunque rappresentato esclusivamente la modalità più efficiente per rispondere alle esigenze di speditezza connesse al contesto assolutamente peculiare in cui ha operato [Ita]” (v. nota cit., p. 8);

- “il contesto descritto ha inevitabilmente inciso anche sulle modalità con cui la Società ha assolto ai propri obblighi in materia di informativa, ai sensi degli artt. 13 e 14 del GDPR, i quali risultano in ogni caso adeguatamente adempiuti da parte di ITA. In tal senso, si evidenzia che, nell’Informativa sul trattamento dei dati personali dei candidati a posizioni lavorative ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 («Informativa per i Candidati»), la Società dichiara agli interessati la possibilità che i dati vengano raccolti anche per il tramite di soggetti terzi agenti in qualità «autonomi titolari del trattamento» (Informativa Candidati, par. 1). Sebbene tale indicazione sia stata prevista con riferimento a processi di selezione ordinaria dei candidati, nei quali la Società potrebbe coinvolgere agenzie per il lavoro, ben può valere anche per il trattamento in analisi, dato il contesto emergenziale ed urgente in cui hanno operato ITA e Alitalia” (v. nota cit., pp. 8, 9);

- “sebbene nel testo della Notifica si faccia riferimento a una «comunicazione di dati di propri dipendenti da parte di Alitalia a Ita», si deve porre evidenza sul fatto che nelle circostanze soggette allo scrutinio di codesta Illustrissima Autorità non si è avuta una comunicazione vera e propria, nel senso tecnico del termine. Alitalia, infatti, non ha mai perso il controllo dei dati messi a disposizione della Società, al punto che, cessata la situazione emergenziale causata dalla necessità di ITA di assumere un gran numero di lavoratori altamente qualificati in pochissimo tempo, ha revocato l’accesso alla Cartella Sharepoint che aveva concesso a ITA, interrompendo quella che, letta in questa ottica, è più una condivisione che una cessione vera e propria” (v. nota cit., p. 9);

- “con riferimento alla natura, gravità e durata della violazione, nonché la natura dei dati oggetto di contestazione (art. 83, par. 2, lett. a e g) […] [g]li interessati potenzialmente coinvolti nei fatti oggetto di accertamento sono i dipendenti in forza presso Alitalia, operanti nel comparto Aviation, i cui dati personali sono stati inseriti nella Cartella Sharepoint messa a disposizione di ITA, ancorché non tutti siano stati oggetto di concreto e materiale accesso e trattamento da parte di quest’ultima. In ogni caso, i dati personali messi a disposizione di ITA non appartengono alle categorie particolari di cui all’art. 9, par. 1, GDPR, né riguardano condanne penali, reati o connesse misure di sicurezza” (v. nota cit., p. 10);

- “per quanto riguarda l’elemento oggettivo della violazione (art. 83, par. 2, lett. b), è da escludere ogni forma di volontà e rappresentazione di eventuali violazioni della normativa in materia di protezione dei dati personali, potendo al massimo e solo eventualmente considerarsi come conseguenze di condotte meramente colpose” (v. nota cit., p. 10);

- “in relazione alle misure adottate per attenuare gli effetti della violazione per gli interessati, (art. 83, par. 2, lett. c), nel periodo in cui ITA ha avuto accesso ai dati personali messi a disposizione da parte di Alitalia per il processo di gestione delle candidature, la relativa Cartella Sharepoint è stata protetta da opportune misure di sicurezza che limitavano gli accessi ai soli referenti aziendali scelti dalla stessa [Ita], escludendo ogni altra figura professionale coinvolta nel processo di selezione del personale e di successiva contrattualizzazione” (v. nota cit., pp. 10, 11);

- “per quanto riguarda le misure tecniche e organizzative messe in atto ai sensi degli articoli 25 e 32 GDPR (art. 83, par. 2, lett. d), si dà evidenza dell’elevata considerazione di ITA per la protezione dei dati personali quale valore fondamentale da salvaguardare e promuovere in via prioritaria, ben oltre i requisiti imposti dalla normativa. […] la Società ha dedicato risorse significative alla diffusione di una solida cultura della protezione dei dati, adottando misure e strumenti volti a prevenire e ridurre i rischi potenziali per gli interessati. Per quanto di interesse in questa sede, si menzionano inter alia: i) l’adozione di procedure interne volte alla gestione corretta di processi con un rilevante potenziale impatto sulla protezione dei dati personali (policy per la gestione dei data breach; policy sulla conservazione dei dati personali; procedura interna sull’utilizzo corretto degli strumenti e dei sistemi ICT); ii) la nomina e relative istruzioni per gli autorizzati al trattamento dei dati personali ai sensi degli artt. 29 del GDPR e 2-quaterdecies del Codice Privacy; iii) la nomina di un Data Protection Officer; iv) la predisposizione di dettagliate e puntuali policies aziendali sui temi della data protection” (v. nota cit., p. 11);

- “sul versante del grado di cooperazione prestato a codesta Illustrissima Autorità (art. 83, par. 2, lett. f), nonché quello relativo alle modalità con le quali sono emerse le circostanze oggetto dell’odierna contestazione (art. 83, par. 2, lett. h) è da ritenersi ampiamente soddisfacente per la qualità delle interazioni occorse, anche in relazione alle richieste di informazioni già trasmesse ai sensi dell’art. 157 del Codice Privacy, sin dal momento in cui il [segnalante] ha presentato [la segnalazione] ex art. 144 Codice Privacy, in data 18 luglio 2023, nonché in ogni altra precedente occasione di interlocuzione con ITA” (v. nota cit., p. 11);

- “per quanto riguarda eventuali altri fattori attenuanti applicabili alle circostanze del caso (art. 83, par. 2, lett. k) […] risulta utile ribadire anche che l’avvio dell’operatività di ITA entro le tempistiche previste ha garantito non solo l’interesse della Società ma anche la tutela di interessi fondamentali quali (i) l’assolvimento delle attività necessarie per la fornitura di un pubblico servizio, connesso alla libera circolazione delle persone, costituzionalmente garantita; (ii) la tutela sociale dei lavoratori di Alitalia, i quali sono stati assunti da ITA partecipando al processo di selezione che oggi si censura” (v. nota cit., p. 12)

- “si chiede: […] di voler archiviare il presente procedimento […] ovvero […] di voler considerare l’applicazione di numerose circostanze attenuanti sicuramente preponderanti rispetto a quelle eventualmente aggravanti, ai fini della determinazione di una sanzione amministrativa nella minima misura possibile, anche solo prescrittiva e non pecuniaria” (v. nota cit., p. 12).

In data 26 marzo 2025, si è tenuta l’audizione di Ita, come chiesto dalla stessa. In tale occasione la parte ha rappresentato che:

- “le questioni oggetto degli approfondimenti condotti hanno avuto a riguardo il particolare momento storico della transizione tra Alitalia e Ita. Tra le due società c’è stata una continuità operativa (es. voli e servizi da garantire), ma non formale; ciò tenuto conto della separazione netta tra le due società tra le quali non c’è stata continuità di business”;

- “nella fase di avvio dell’operatività, ITA non ha potuto usufruire della globalità degli asset di Alitalia. L’esistenza di discontinuità tra le due compagnie aeree è stata infatti uno dei requisiti imposti dalla normativa europea e alla quale la Commissione europea aveva subordinato l’approvazione del contratto di cessione di complessi di beni e contratti”;

- “il caso oggetto del presente approfondimento, susseguente alla segnalazione del [segnalante], riguarda un episodio congiunturale e non è indice di problemi strutturali della Società. In considerazione di ciò, ITA chiede una rapida conclusione e ritiene adeguata l’adozione della misura dell’ammonimento”;

- “la qualificazione dell’operazione in termini di trasferimento di ramo d’azienda avrebbe comportato l’obbligo per Ita di assumere tutti i dipendenti di Alitalia, ma così non è stato perché l’operazione realizzata deve essere qualificata come cessione di complessi di beni e contratti”;

- “dopo il via libera della Commissione europea, Ita ha avuto a disposizione un totale di cinque giorni per assumere personale qualificato nei confronti del quale avrebbe dovuto effettuare verifiche di idoneità a svolgere l’attività lavorativa. Dato il periodo di tempo limitato, Alitalia ha messo a disposizione di Ita una cartella condivisa SharePoint contenente i dati personali dei lavoratori di Alitalia relativi al comparto Aviation (tra cui piloti e assistenti di volo). Dato il poco tempo a disposizione i lavoratori non sarebbero riusciti a fornire la documentazione necessaria ad Ita per valutare le assunzioni. Comunque, la condivisione della documentazione relativa ai lavoratori del comparto Aviation è stata un’attività effettuata in buona fede – con modalità che avrebbero potuto essere meglio definite – ma che è stata condotta con lo scopo di agevolare quanto più possibile un passaggio di consegne ideale”;

- “in ogni caso, si sottolinea che non si è trattato di comunicazione vera e propria, ma solo di messa a disposizione dei dati. In particolare, Alitalia ha messo a disposizione di un numero limitato di soggetti operanti nell’area HR di Ita i fascicoli dei lavoratori del comparto Aviation attraverso una cartella SharePoint”;

- “parallelamente a questa attività, Ita si è rivolta a un fornitore esterno (che ha agito come titolare autonomo) che ha messo a disposizione una piattaforma di recruiting, CVing, per raccogliere e gestire le candidature. In proposito si sottolinea che nella informativa di Ita viene specificato che un soggetto esterno rispetto ad Ita può trattare, in qualità di titolare autonomo, i dati dei candidati a posizioni lavorative”;

- “nella fase di selezione del personale da assumere nel passaggio da Alitalia a Ita il lavoratore di quest’ultima che voleva candidarsi doveva accedere alla piattaforma predetta. Nel caso in cui Ita avesse ritenuto idoneo il profilo del lavoratore, accedeva alla cartella SharePoint al fine di poter consultare il fascicolo relativo allo stesso”;

- “per quanto riguarda la questione relativa al trattamento dei dati del segnalante […] si precisa che i suoi dati, pur essendo presenti nella cartella SharePoint, non sono mai stati consultati da Ita in quanto lo stesso non ha mai inviato la propria candidatura sulla piattaforma Cving e dunque veniva meno il presupposto logico antecedente alla necessità di una consultazione”.

In data 29 maggio 2025, Ita ha sciolto le riserve formulate in sede di audizione dichiarando che:

- “il numero totale di soggetti dipendenti di ITA autorizzati dalla stessa ad accedere alla cartella Sharepoint era pari a 5 persone, tutte riconducibili all’area delle Risorse Umane e tutti debitamente istruiti in merito alle modalità di accesso e consultazione dei dati” (v. nota 29/05/2025, pp. 1, 2);

- “ITA ha avuto accesso, consultandole, a un numero di cartelle riconducibili a circa 2000 interessati, corrispondenti al numero di persone poi effettivamente assunte e provenienti dal bacino Alitalia/Cityliner” (v. nota cit., p. 2);

- “dati trattati erano dati anagrafici, contrattuali, professionali e retributivi” (v. nota cit., p. 2);

- “[Ita] ha cessato di fare ricorso all’accesso e alla consultazione dei fascicoli […] nel mese di dicembre 2021” (v. nota cit., p. 2).

2.2  Le deduzioni di Alitalia.

Con memorie difensive inviate in data 27 febbraio 2025, Alitalia ha rappresentato che:

- “la Società riconosce il ritardo del riscontro fornito all’istanza di accesso del 17 giugno 2023, come già evidenziato nella comunicazione inviata al Segnalante il 22 marzo 2024. Tuttavia, tale ritardo è stato determinato da circostanze oggettive e non da una volontà di negare o ostacolare l’esercizio del diritto di accesso dell’Interessato” (v. nota 27/02/2025, p. 2);

- “[l’]Autorità contesta ad Alitalia anche di essersi limitata a rinviare a quanto contenuto nell’informativa sul trattamento dei dati di cui all’art. 13 del Regolamento. Invero, Alitalia ha risposto all’istanza dell’Interessato tenendo presente le precise indicazioni dello stesso qui di seguito riportate: (i) “se e come è avvenuto il trasferimento da Alitalia Sai in A.S. e Alitalia Cityliner in A.S. a Italia Trasporto Aereo dei dati personali miei e di quelli dei dipendenti della citate società in Amministrazione Straordinaria”, (ii) “come e quando è stato richiesto loro il consenso a tale operazione”, (iii) “come e quando i diretti interessati sono stati avvertiti di tale passaggio”. La scrivente Società ha dunque confermato che: (i) i suoi dati personali sono stati messi a disposizioni a ITA; (ii) tale condivisione si era resa necessaria nell’ambito delle attività prodromiche alla definizione dell’“operazione di cessione di beni e contratti” afferenti al settore “Aviation” di Alitalia e Cityliner in a.s. Esplicitando dunque la finalità per cui tale attività di trattamento era avvenuta, in linea con le finalità A) e D) indicate nell’informativa privacy ex art. 13 del Regolamento; (iii) gli interessati erano stati informati in occasione dell’aggiornamento della predetta informativa avvenuto nell’anno 2018” (v. nota cit. pp. 3, 4);

- “l’informativa privacy è stata allegata alla risposta per una maggiore trasparenza e facile reperimento del documento da parte dell’Interessato” (v. nota cit., p. 4);

- “va dunque evidenziato come sia stato l’Interessato stesso a circoscrivere la portata dell’accesso dei suoi dati personali e, pertanto, la Società ha riscontrato la richiesta valutando l’orientamento dell’European Data Protection Board secondo cui «Salvo indicazione diversa dell'interessato, la richiesta di esercitare il diritto di accesso si deve intendere in termini generali, estesi a tutti i dati personali riguardanti l’interessato. L’opportunità di limitare l’accesso a una parte delle informazioni si può prendere in considerazione nei casi seguenti: a) l’interessato ha esplicitamente limitato la richiesta a un sottoinsieme. Per evitare di fornire informazioni incomplete, il titolare del trattamento può prendere in considerazione questa limitazione della richiesta dell’interessato soltanto quando sia certo che tale interpretazione corrisponda ai desideri dell’interessato» (cfr. sezione 2.3.1. delle Linee guida 1/2022 sui diritti degli interessati – Diritto di accesso)” (v. nota cit., p. 4);

- “la base giuridica del trattamento era stata individuata nell’art. 6(1)(c) del GDPR, in quanto necessario per adempiere agli obblighi derivanti dall'art. 11-quater del decreto-legge 25 maggio 2021, n. 73 (convertito dalla Legge 23 luglio 2021, n. 106 e modificato con decreto-legge 10 settembre 2021, n. 121), che ha disciplinato l’operazione di cessione di beni e contratti tra Alitalia e ITA, nonché nell’art. 6(1)(f), considerando il legittimo interesse del titolare a una corretta gestione dell’operazione straordinaria” (v. nota cit., p. 5);

- “la cessione tra Alitalia e ITA costituisce un’operazione straordinaria di natura complessa che si è ritenuto trovare copertura nell’informativa fornita ai dipendenti (laddove è previsto il trattamento per “Finalità di legge e contrattuali necessarie” – “[…] ai fini delle operazioni societarie che comportano il trasferimento di azienda o di ramo di azienda ovvero nel caso di fusioni, scissioni o acquisizioni”, nonché per “Legittimo interesse” – “[…] nel caso di operazioni straordinarie di fusione, cessione o trasferimento di ramo d'azienda, al fine di consentire la realizzazione delle operazioni necessarie all'attività di due diligence e prodromiche alla cessione. Resta inteso che saranno oggetto di trattamento per le predette finalità i dati esclusivamente necessari, in forma quanto più possibile aggregata/anonima e con l'esclusione dei dati sensibili”)” (v. nota cit., p. 5);

- “come chiarito dalla sentenza del TAR Lazio n. 6579/2022, l’operazione in questione pur non costituendo un trasferimento di ramo d’azienda, ha rappresentato, in ogni caso, una complessa operazione di riorganizzazione del servizio pubblico essenziale di trasporto aereo” (v. nota cit., p. 5);

- “la particolarità del caso che ci occupa si evince dall’unicità delle previsioni del comma 4 del citato art. 11-quater, che ha stabilito come il programma dell’amministrazione straordinaria dovesse conformarsi alla decisione della Commissione europea di cui all’art. 79, comma 4-bis, del decreto-legge n. 18/2020” (v. nota cit., p. 6);

- “tuttavia, come rilevato nella Relazione Finale pubblicata sul sito dell’Amministrazione Straordinaria di Alitalia […], copia di tale decisione non è stata resa disponibile alla Gestione Commissariale che, per assumere le determinazioni afferenti all’esecuzione del programma, ivi inclusa l’operazione straordinaria di cessione del perimetro Aviation ad ITA, ha potuto fare affidamento sul solo comunicato stampa diffuso a seguito dell’adozione della decisione della Commissione europea” (v. nota cit., p. 6);

- “dal suindicato comunicato stampa […], si evince come il piano industriale di ITA, cui Alitalia avrebbe dovuto conformarsi, poggiasse su taluni elementi volti a garantire la discontinuità economica tra le stesse Alitalia ed ITA, oggetto di valutazione (positiva) della Commissione europea. Tra questi elementi, per quanto di interesse in questa sede, sono state ricomprese anche le modalità di assunzione del personale, con riguardo alle quali le informazioni rese disponibili hanno precisato, seppure in maniera scarna, quanto segue: «…rispetto ad Alitalia, ITA avrà una struttura dei costi più sostenibile, in termini di flotta e contratti di lavoro. Assumerà un numero significativamente ridotto di personale dal mercato, anche da Alitalia, ma con nuovi contratti di lavoro»” (v. nota cit., p. 6);

- “nell’ambito del suindicato contesto normativo, e sulla base delle predette informazioni, l’operazione straordinaria de qua è stata ricondotta, per assimilazione e agevolazione delle finalità, alle fattispecie oggetto di copertura informativa fornita ai dipendenti, considerando l’elencazione delle operazioni ivi contenuta, nell’interesse dei dipendenti, come esemplificativa e non esaustiva. Si conferma al riguardo che le informative privacy sono state rese disponibili ai dipendenti delle società, ivi compreso l’odierno Segnalante, sia al momento dell’assunzione che nell’aggiornamento del 2018” (v. nota cit., p. 6);

- “si chiede inoltre di valutare le tempistiche di definizione delle descritte operazioni e la primaria esigenza di qualsiasi procedura di Amministrazione Straordinaria di agevolare la ricollocazione del più alto numero possibile di dipendenti” (v. nota cit., pp. 6, 7);

- “si chiede pertanto a codesta Autorità di riconsiderare le contestazioni mosse, tenendo conto della natura complessa e peculiare dell’operazione tra Alitalia e ITA, nonché dell’informativa fornita ai dipendenti, che ha previsto e descritto la possibilità di operazioni straordinarie di riorganizzazione aziendale, la quale è stata valutata nella sua sostanza e nella sua capacità di garantire un’effettiva comprensione delle modalità di trattamento, piuttosto che nella sua aderenza formale a specifiche categorie giuridiche” (v. nota cit., p. 7);

- “ai fini della valutazione della gravità del fatto si rileva che il [segnalante], tutt’oggi dipendente d[i Alitalia], non ha subito alcun danno fisico, materiale, immateriale ed effetto negativo né dal ritardo nella risposta all’accesso, finalizzato a dimostrare la supposta cessione di ramo d’azienda ma evidentemente non utile a tale scopo, né dalla messa a disposizione dei dati ad ITA” (v. nota cit., pp. 8, 9);

- “a seguito della richiesta di codesta Autorità la Società ha (i) riscontrato l’Interessato e (ii) disattivato le credenziali di accesso alla cartella in questione di tutti gli utenti, ad eccezione dell’Amministratore di Sistema e della referente legale della Società” (v. nota cit., p. 10);

- “sebbene le asserite violazioni sono state determinate da circostanze eccezionali e nonostante la situazione precaria della Società, quest’ultima ha pianificato una sessione di formazione in ambito privacy rivolta a tutti i Coordinatori privacy, da tenersi entro il mese di aprile 2025, nonché la predisposizione di materiale formativo da mettere a disposizione di tutta la popolazione aziendale, con focus sui diritti privacy” (v. nota cit., p. 10);

- “Alitalia ha posto in essere le seguenti attività di adeguamento al Regolamento. 1) È stata svolta un’attività di mappatura di tutti i trattamenti, che si è tradotta nella predisposizione del registro ex art. 30 del Regolamento, oggetto di aggiornamento periodico e di un recente importante aggiornamento dell’intero documento in ragione della dismissione di numerose attività di trattamento. (ultimo del 4 febbraio 2025). 2) Sono state predisposte e rilasciate le informative sulla base di quanto prescritto dall’art. 13 del Regolamento (informativa dipendenti, informativa candidati, informativa fornitori, etc.). 3) È stata aggiornata l’informativa privacy del sito web dell’amministrazione straordinaria. 4) È stato aggiornato il Modello Organizzativo Privacy e sarà nuovamente rivisto l’organigramma privacy della Società e le relative nomine dei Coordinatori privacy ai sensi dell’art. 29 del Regolamento e art. 2 quaterdecies, primo comma, del Codice per la protezione dei dati personali, in virtù di ulteriori riassetti organizzativi interni della Società. 5) È attualmente in fase di aggiornamento la procedura sui tempi di conservazione dei dati personali. 6) Sono state predisposte, approvate e diffuse sulla intranet aziendale i seguenti documenti: a) Procedura sulla gestione delle richieste degli interessati; b) Regole utilizzo dotazioni informatiche; c) Procedura di data breach. d) Sicurezza dei sistemi e accesso alle informazioni; e) Data Retention Policy; f) Policy trattamento dati cartacei; g) Regole di comportamento contro le frodi informatiche; 7) È stato nominato il Responsabile della protezione dei dati. Tali attività vengono periodicamente riviste ed aggiornate dal Titolare” (v. nota cit., pp. 11, 12);

- “da subito Alitalia ha fornito il massimo grado di cooperazione a codesta Autorità per porre rimedio ad eventuali violazioni e attenuarne immediatamente i possibili effetti negativi” (v. nota cit., p. 12);

- “la violazione ha riguardato esclusivamente i dati personali comuni presenti nella documentazione richiesta dall’Interessato” (v. nota cit., p. 12);

- “l’Autorità è giunta a conoscenza dell’accaduto per mezzo della segnalazione inoltrata direttamente dall’Interessato” (v. nota cit., p. 12);

- “nessun provvedimento correttivo è stato sinora disposto da codesta Autorità” (v. nota cit., p. 12);

- “nel periodo di riferimento, 2023 e 2024, non vi è stata una contestazione da parte di altri interessati nonostante la Società stia ancora gestendo il processo di rimborso dei biglietti aerei e voucher, né sono pervenuti al Garante reclami su circostanze analoghe a quelle in oggetto” (v. nota cit., pp. 13, 14).

2.3 Le ulteriori considerazioni del segnalante.

In data 6 maggio 2025, il segnalante, a seguito della ricezione della documentazione oggetto di istanza di accesso agli atti e di accesso civico, ha presentato proprie “considerazioni” e, in particolare, ha dichiarato che:

- “non risulta affatto che i lavoratori del Gruppo Alitalia in A.S., all’epoca della assunzione in Alitalia Sai in A.S. e Alitalia Cityliner in A.S. abbiano ricevuto una puntuale informazione sul trattamento dei dati e che abbiano ricevuto dalle suddette società, le informative sulla privacy ex art. 13 del Regolamento UE 2016/679. […] Non risulta neppure che tale documentazione sia stata consegnata al personale delle società del Gruppo Alitalia in A.S. nel 2018, come invece si sostiene nella comunicazione firmata dal Direttore Generale di Alitalia Sai in A.S. per i suoi dipendenti” (v. nota 6/05/2025, p.2);

- “le società del Gruppo Alitalia in A.S. avevano comunicato al mercato, già il 24.8.2021, che la cessazione delle attività sarebbe decorsa dal 15.10.2021, in conseguenza della prevista operazione di ‘Cessione di complessi di beni e contratti’, afferenti al comparto ‘Aviation’, alla newCo a partecipazione statale – ex articolo 79, comma 4-bis, del D.L. 19/2020 – Ita” (v. nota cit., p. 3);

- “le assunzioni, quindi, seppure subordinate alla finalizzazione dell’operazione di ‘Cessione di complessi di beni e contratti’ da Alitalia Sai in A.S. e Alitalia Cityliner in A.S., sono iniziate già dall’estate del 2021 e sono proseguite, successivamente al decollo di Ita, anche nei mesi seguenti, comunque con una pianificazione definita da tempo, senza attendere il pronunciamento della DG Competition della UE” (v. nota cit., p. 3);

- “è necessario sottolineare che il Segnalante non ha mai trasmesso la candidatura ad Ita, né ha partecipato ad alcun iter selettivo con la suddetta società” (v. nota cit., p. 4);

- “la risposta fornita al GPDP da Alitalia Sai in A.S., oltre a certificare il passaggio di dati personali e sensibili del Segnalante ad ITA, quali quelli dell’anagrafica, indirizzo di residenza, telefono dell’abitazione e cellulare, indirizzo, stato civile e altro, comprova che sono stati comunicati anche i dati relativi al rapporto di lavoro intercorso con la suddetta società, in particolare, livello, qualifica, orario di lavoro, retribuzione annua, stipendio base, compreso il fatto che il Segnalante sia stato reintegrato (ovviamente giudizialmente) da Alitalia Sai stessa: una precisazione mirata a trasferire l’informazione su un licenziamento subito e annullato molto prima del 2021, dal Tribunale di Roma, dalla Corte di Appello di Roma e dalla Cassazione dopo un licenziamento” (v. nota cit., p. 4);

- “l’informazione sull’avvenuto licenziamento del Segnalante, oltre ad essere esplicitata nella casella della «griglia» fornita da Alitalia, in corrispondenza dell’elemento «Posizione», ove è riportato testualmente «ANALISTA PROGRAMMATORE REINTEGRATO», è facile evincere dalla comparazione della riferita data di assunzione […] in Alitalia Sai con quella riportata nella casella ID Seniority […]” (v. nota cit., p. 4).

3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, risulta che Ita e Alitalia, in qualità di titolari, hanno effettuato alcune operazioni di trattamento, riferite al segnalante e ad altri lavoratori di Alitalia, che risultano non conformi alla disciplina in materia di protezione dei dati personali per i motivi di seguito indicati.

In proposito, si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

3.1 Il quadro normativo di riferimento.

Il trattamento dei dati personali deve essere effettuato in ogni caso conformemente ai principi enunciati nell’art. 5 del Regolamento, tra cui il principio di liceità del trattamento in base al quale il trattamento deve essere posto in essere in presenza di una idonea base giuridica.

Per i trattamenti di dati c.d. comuni, riferiti al lavoratore, il datore di lavoro può effettuare, di regola, quelli necessari per l’esecuzione del contratto di lavoro e per adempiere agli obblighi derivanti dalle discipline lavoristiche di settore (v. art. 6, par. 1, lett. b) e c), del Regolamento).

In base all’art. 12 del Regolamento, “Il titolare del trattamento adotta misure appropriate per fornire all'interessato […] le comunicazioni di cui agli articoli da 15 a 22 […] relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall'interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l'identità dell'interessato” (par. 1); inoltre “il titolare del trattamento agevola l'esercizio dei diritti dell'interessato ai sensi degli articoli da 15 a 22” (par. 2).

Il paragrafo 3 dell’art. 12 del Regolamento dispone altresì che “il titolare del trattamento fornisce all'interessato le informazioni relative all'azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il titolare del trattamento informa l'interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta. Se l'interessato presenta la richiesta mediante mezzi elettronici, le informazioni sono fornite, ove possibile, con mezzi elettronici, salvo diversa indicazione dell'interessato”.

Il paragrafo 4 del medesimo articolo precisa che “se non ottempera alla richiesta dell'interessato, il titolare del trattamento informa l'interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell'inottemperanza e della possibilità di proporre reclamo a un'autorità di controllo e di proporre ricorso giurisdizionale”.

L’art. 15 del Regolamento dispone che “l'interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l'accesso ai dati personali e alle […] informazioni” indicate nello stesso articolo (par. 1) e che “il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento. In caso di ulteriori copie richieste dall'interessato, il titolare del trattamento può addebitare un contributo spese ragionevole basato sui costi amministrativi. Se l'interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dell'interessato, le informazioni sono fornite in un formato elettronico di uso comune” (par. 3).

L’art. 13 del Regolamento dispone che il titolare del trattamento ha l’obbligo di fornire all’interessato quantomeno le informazioni relative al trattamento contenute nella medesima norma. Ciò prima che il trattamento venga effettuato.

L’art. 14 del Regolamento disciplina l’obbligo di informativa in capo al titolare del trattamento nel caso in cui i dati non siano stati ottenuti presso l'interessato.

3.2  Violazione degli artt. 12 e 15 del Regolamento, da parte di Ita.

Nel merito, è emerso che Ita, in data 17 luglio 2023, ha fornito, all’istanza di accesso ai dati del segnalante, un riscontro inidoneo, in violazione degli artt. 12 e 15 del Regolamento. Ciò per i motivi di seguito indicati.

Il segnalante, in data 17 giugno 2023, ha chiesto, oltre che ad Alitalia, anche a Ita “se e come è avvenuto il trasferimento da Alitalia Sai in A.S. e Alitalia Cityliner in A.S. a Italia Trasporto Aereo dei dati personali miei e di quelli dei dipendenti della citata società in Amministrazione Straordinaria. Non avendo ricevuto alcuna informazione a riguardo né io né gli altri dipendenti di un eventuale avvenuto trasferimento, con la presente richiedo anche di essere informato come e quando i diretti interessati sono stati avvertiti di tale passaggio, nonché richiedo anche di sapere e come e quando è stato richiesto loro il consenso a tale operazione”.

A fronte della predetta richiesta di accesso ai dati, Ita ha comunicato al segnalante, in data 17 luglio 2023, “le confermiamo che, ad oggi, i Suoi dati personali non sono oggetto di trattamento da parte di ITA. I dati personali necessari per le assunzioni del personale sono stati raccolti presso gli interessati, attraverso un apposito portale per la presentazione delle candidature (denominato “CVing”), che riportava al suo interno una informativa relativa al trattamento dei dati personali, come previsto dalla legge. In relazione al personale che non è stato selezionato, ITA attualmente non tratta alcun dato personale”.

Nel riscontro all’Autorità del 3 dicembre 2024, Ita ha, tra l’altro, dichiarato che “Alitalia ha messo a disposizione d[i Ita] i file dei propri dipendenti rientranti nel perimetro Aviation” (v. nota cit., p. 3) contenenti molteplici categorie di dati (tra cui “i. dati anagrafici (nome, cognome, data e luogo di nascita, codice fiscale, stato civile, residenza, cittadinanza, etc.); dati afferenti al precedente rapporto di lavoro (tipologia di contratto, tipo di incarico, inquadramento, matricola, numero badge, retribuzione, posizione, data assunzione, anzianità di servizio, etc.); dati specifici attinenti al comparto Aviation (abilitazioni, certificazioni, anni anzianità, qualifica, etc.)”); ciò per “finalizzare l’eventuale proposta/lettera d’assunzione e per l’alimentazione dei sistemi HR, garantendo la qualità dei dati raccolti dal precedente datore di lavoro”.

Con riferimento a tali attività di trattamento, Ita ha altresì dichiarato che “i dati sono stati messi a disposizione di ITA attraverso una cartella Sharepoint protetta da opportune misure di sicurezza che limitavano gli accessi ai soli referenti aziendali indicati da ITA”, che “ITA ha dunque avuto accesso potenziale ai dati dei dipendenti che facevano parte del comparto Aviation […] ma […] ha concretamente utilizzato per i propri fini i dati dei soli ex dipendenti Alitalia che si sono candidati sulla piattaforma CVing e che lì sono stati selezionati” (v. nota cit., p. 3) nonché che, seppur tali operazioni sono cessate, “conformemente alle procedure di trattamento descritte sopra, ITA ha avuto accesso ai dati del [segnalante]” (v. nota cit., p. 3).

Inoltre, a seguito dell’apertura dell’istruttoria e del sollecito del segnalante rivolto a Ita il 25 marzo 2024, la stessa ha ritenuto di fornire altre informazioni al segnalante medesimo (ulteriori rispetto a quanto dichiarato nel riscontro del 17 luglio 2023; v. integrazione inviata dal segnalante il 24/04/2024) precisando che:

“si può confermare che ITA, ad oggi, non tratta dati personali che la riguardano. Gli unici trattamenti svolti sono quelli strettamente connessi all’esigenza di fornire i riscontri alle Sue istanze. Non vi sono pertanto ulteriori dati che siano oggetto di trattamento per finalità differenti”;

“quanto invece agli estratti della comunicazione che Lei ha ricevuto da Alitalia – ancorché […] non si ha evidenza del contesto complessivo – possiamo confermarle che i suoi dati sono stati oggetto di trattamento, al pari di quelli di alcuni dipendenti di Alitalia stessa, per un periodo di tempo limitato e secondo le modalità qui descritte. A far data dal 26 agosto 2021, tramite il portale denominato CVing, ITA ha reso possibile, a tutti coloro che erano interessati, e che fossero in possesso dei requisiti professionali richiesti, la presentazione di candidature per completare l’organico aziendale, navigante e di terra, da assumere alla data del 15 ottobre 2021. Il processo di candidatura era aperto a tutti, indipendentemente dal fatto che fossero dipendenti di Alitalia o meno, ed era stato strutturato in tre step: 1) Registrazione del candidato, presa visione dell'informativa, caricamento CV; 2) Compilazione di un questionario informativo e caricamento della documentazione richiesta a cura del candidato (es. fototessera, certificazioni tecniche, ecc.); 3) Video colloquio in differita durante il quale il candidato doveva rispondere ad un set di 5 domande (per il Personale Navigante 1 domanda era in inglese)”;

“all’esito positivo dei tre step indicati sopra e, dunque, avendo superato la selezione con successo, laddove questi fossero stati dipendenti di Alitalia, ITA effettuava l’accesso ai dati messi a disposizione di Alitalia per ultimare il processo di assunzione. In caso contrario, nell’ipotesi di candidati che non lavoravano alle dipendenze di Alitalia, la raccolta di informazioni necessarie all’assunzione avveniva direttamente presso l’interessato in uno step successivo”;

“si specifica che tale modalità di accesso ai dati ha avuto luogo per circostanze straordinarie – rinvenibili nella necessità di garantire un regolare e ordinato avvio di operatività di ITA – e in un lasso di tempo circoscritto nel passato”.

Ciò considerato, è emerso che Ita ha trattato i dati del segnalante (quantomeno fino al tempo del riscontro all’Autorità) conservando informazioni relative al trattamento effettuato dalla stessa sui dati del medesimo (oltre che su altri lavoratori di Alitalia), ulteriori rispetto a quelle fornite il 17 luglio 2023 al segnalante; infatti, Ita ha precisato all’Autorità che i dati al medesimo riferiti facevano parte di quelli messi a disposizione di Ita, da parte di Alitalia, nella fase di selezione del personale, contenuti nella cartella “Sharepoint”.

Come risulta chiaro dalla definizione di trattamento di dati personali fornita dall’art. 4 (2) del Regolamento (è trattamento “qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione”) e dall’oggetto del diritto di accesso ai dati di cui all’art. 15 del Regolamento (“l'interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l'accesso ai dati personali e alle seguenti informazioni: a) le finalità del trattamento; b) le categorie di dati personali in questione; c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali; d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; e) l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento; f) il diritto di proporre reclamo a un'autorità di controllo; g) qualora i dati non siano raccolti presso l'interessato, tutte le informazioni disponibili sulla loro origine; h) l'esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all'articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato”), letto alla luce dell’art. 12 del Regolamento, Ita, al momento in cui il segnalante ha presentato istanza di accesso ai dati, stava effettuando un trattamento di dati relativi allo stesso, nonostante la Società abbia però dichiarato allo stesso , in riscontro alla istanza di accesso, di avere cessato il trattamento, prima della ricezione della richiesta medesima.

Ita, infatti, trattava informazioni inerenti al segnalante, in particolare informazioni relative alle modalità con cui i dati del segnalante erano stati oggetto di condivisione nel 2021 tra Alitalia e Ita tramite la cartella “Sharepoint”.  

Ciò è appunto confermato da Ita stessa che, nel predetto riscontro del 24 aprile del 2024 al segnalante, ha precisato che “i suoi dati sono stati oggetto di trattamento, al pari di quelli di alcuni dipendenti di Alitalia stessa, per un periodo di tempo limitato e secondo le modalità qui descritte” (modalità che poi vengono in effetti descritte, anche con riferimento al trattamento dei dati del segnalante).

Dal contesto normativo, risulta evidente come l’oggetto del diritto di accesso sia relativo sia alla effettuazione di un trattamento, da parte del titolare, sia alle informazioni elencate nell’art. 15 del Regolamento, ricollegate al predetto trattamento.

A fronte di una istanza di accesso chiara, come quella del segnalante, il riscontro fornito da Ita a quest’ultimo avrebbe dovuto avere un contenuto diverso rispetto a quello che in concreto ha avuto; ciò considerato che, nel momento in cui è stata presentata istanza di accesso ai dati da parte del segnalante, Ita stava effettuando un trattamento di dati riferiti allo stesso. In particolare, infatti, Ita aveva, e dunque trattava, informazioni in merito al trattamento dei dati del reclamante che la stessa aveva effettuato in precedenza, in particolare in occasione della messa a disposizione da parte di Alitalia dei dati dei suoi dipendenti appartenenti al comparto “Aviation”, tra cui anche il segnalante.

Le Linee guida 1/2022 sui diritti degli interessati - Diritto di accesso dell’EDPB adottate il 28/03/2023, alle quali sono state apportate lievi modifiche ,in data 30/05/2024, sottolineano come, in base all’art. 15 del Regolamento, il titolare del trattamento deve fornire all’interessato anche le informazioni indicate dalla norma stessa (v. punto 112, par. 4.3., “Oltre all'accesso ai dati personali in sé, il titolare del trattamento deve fornire informazioni sul trattamento e sui diritti degli interessati ai sensi dell'articolo 15, paragrafo 1, lettere da a) a h), e paragrafo 2, GDPR”).

Inoltre, le citate Linee guida 1/2022, relativamente all’oggetto dell’istanza di accesso ai dati, precisano che “la valutazione dei dati in corso di trattamento rispecchia nella misura più rigorosa possibile la situazione del momento in cui il titolare del trattamento riceve la richiesta, e la risposta dovrebbe comprendere tutti i dati disponibili in quel momento. Ciò significa che il titolare del trattamento deve cercare di individuare tutte le attività di trattamento dei dati riguardanti l'interessato senza ingiustificato ritardo. I titolari del trattamento non sono pertanto tenuti a fornire dati personali che hanno trattato in passato ma di cui non dispongono più” (v. punto 37, par. 2.3.3.).

Il titolare pertanto non è pertanto tenuto a fornire dati personali, solo qualora non ne disponga più. Circostanza che però non si è verificata, nel caso di specie.

La condotta tenuta da Ita si pone quindi in contrasto con quanto previsto dagli artt. 12 e 15 del Regolamento.

3.3 Violazione degli artt. 12 e 15 del Regolamento, da parte di Alitalia.

Nel merito, è emerso che Alitalia ha fornito un riscontro alla istanza di accesso ai dati del reclamante del 17 giugno 2023, solo a seguito della presentazione della segnalazione dinanzi all’Autorità e dopo l’invio, da parte dell’Ufficio, di una richiesta di informazioni; la tardività del riscontro è, tra l’altro, stata riconosciuta dalla stessa Alitalia (v. nota 27/02/2025, p. 2).

In particolare, in occasione dell’integrazione della segnalazione inviata all’Autorità da parte del segnalante il 25 aprile 2024, è stato prodotto lo scambio di comunicazioni elettroniche, tra Alitalia e il segnalante, che si è tenuto a seguito dell’invio, da parte della Società, dei riscontri tardivi all’istanza di accesso in data 22 marzo 2024 e 12 aprile 2024.

Nel riscontro che Alitalia ha fornito al segnalante in data 22 marzo 2024, la stessa ha dichiarato che: “facciamo riferimento all’Istanza in oggetto da Lei inviata alla scrivente società a mezzo pec il 17 giugno 2023, per scusarci in primo luogo per il ritardo nel fornirle riscontro. Al riguardo Le rappresentiamo che la Scrivente, alla luce delle numerose altre istanze di accesso agli atti da Lei formulate nello stesso periodo, ha in buona fede ritenuto che fosse ormai superato lo scopo per cui la richiesta era stata avanzata, visto che il contratto di cessione dei beni e contratti fra Alitalia e ITA era stato acquisito dai ricorrenti nell’ambito dei numerosi procedimenti giudiziari intentati dai dipendenti Alitalia e finalizzati alla assunzione in ITA. Premesso quanto sopra, Le comunichiamo che i Suoi dati personali sono stati messi a disposizione di ITA nell’ambito delle attività prodromiche alla definizione dell’operazione di cessione di beni e contratti afferenti al settore “Aviation” di Alitalia e Cityliner in a.s. Tale condivisione è avvenuta secondo le finalità e modalità precisate nella Informativa privacy ex art. 13 del Regolamento rilasciataLe nel 2018, in occasione dell’aggiornamento della stessa, di cui si allega copia per pronto riferimento. Infine, Le segnaliamo di non poter fornire le informazioni richieste relativamente al trattamento dei dati dei dipendenti (o ex dipendenti) di Alitalia iscritti al sindacato che Lei rappresenta, poiché non abbiamo evidenza di una specifica delega a Lei conferita in relazione alla richiesta in oggetto, né siamo a conoscenza della identità degli stessi”.

In proposito, rimanendo comunque fermo il fatto che il riscontro all’istanza di accesso è stato inviato tardivamente e, tra l’altro, solo dopo l’apertura dell’istruttoria da parte dell’Autorità, e che l’informativa non risulta essere stata inviata, in data 22 marzo 2024, ma solo a seguito di un ulteriore sollecito, da parte del segnalante (in proposito Alitalia, in data 12/04/2024, ha dichiarato al segnalante che “l’informativa Privacy richiamata nella nostra pec del 22 marzo u.s. non [era stata] acclusa per mero errore materiale”), il riscontro del 22 marzo 2024 risulta comunque inidoneo: quest’ultimo, infatti, è eccessivamente generico e non rende possibile al segnalante comprendere quali dati e come questi ultimi siano stati trattati.

Con riferimento al mero riferimento all’informativa ivi presente, si sottolinea che il diritto riconosciuto all’interessato di accedere ai propri dati oggetto di trattamento, nonché alle informazioni previste dall’art. 15 del Regolamento, in applicazione dei principi di trasparenza e correttezza (art. 5, par. 1, lett. a) del Regolamento), in termini generali non può ritenersi soddisfatto attraverso il mero rinvio a quanto contenuto nell’informativa sul trattamento dei dati di cui agli artt. 13 e 14 del Regolamento, senza che vi sia alcun riferimento al trattamento effettuato nel concreto.

Il diritto di accesso e il diritto di ricevere la c.d. informativa, seppur correlati, sono, infatti, diritti differenti, sanciti da distinte disposizioni dell’ordinamento, rispondenti a esigenze di tutela e garanzia dell’interessato non completamente sovrapponibili (cfr. punto 113 delle citate Linee guida 1/2022 sui diritti degli interessati - Diritto di accesso dell’EDPB).

Relativamente alla spiegazione che Alitalia ha fornito in merito al ritardo nel riscontro, si osserva come sia strutturale la differenza che intercorre tra il diritto di accesso ai dati - oggetto dell’istanza presentata dal reclamante in data 17 marzo 2023 ad Alitalia - e accesso documentale, ai sensi della l. n. 241 del 1990, che invece è stato l’oggetto di precedenti richieste del segnalante, alle quali ha fatto riferimento Alitalia, come uno degli elementi per spiegare il ritardo nel riscontro; tali richieste hanno infatti un contenuto diverso, rispetto all’istanza oggetto di segnalazione e, in particolare, quello di ottenere copia del contratto di cessione di beni e contratti, stipulato fra le società Alitalia e Alitalia Cityliner in as ed ITA.

In ogni caso, si rammenta l’orientamento della giurisprudenza, frequentemente richiamato dall’Autorità, in base al quale il diritto di accesso “non può intendersi, in senso restrittivo, come il mero diritto alla conoscenza di eventuali dati nuovi ed ulteriori rispetto a quelli già entrati nel patrimonio di conoscenza e, quindi, nella disposizione dello stesso soggetto interessato al trattamento dei propri dati, atteso che lo scopo del [diritto] è garantire, a tutela della dignità e riservatezza del soggetto interessato, la verifica ratione temporis dell’avvenuto inserimento, della permanenza ovvero della rimozione di dati, indipendentemente dalla circostanza che tali eventi fossero già stati portati per altra via a conoscenza dell’interessato, verifica attuata mediante l’accesso ai dati raccolti sulla propria persona in ogni e qualsiasi momento della propria vita relazionale” (Corte di Cass. 14 dicembre 2018, n. 32533).

Con riferimento all’ulteriore, successivo, riscontro del 12 aprile 2024, sollecitato dal segnalante non soddisfatto del tardivo riscontro del 22 marzo 2024, Alitalia, in quell’occasione, ha infine dichiarato che “Le confermiamo che sono stati condivisi con ITA esclusivamente dati personali comuni, con esclusione dei dati personali particolari di cui all’Art. 9 del GDPR (ex dati sensibili)”, “Si tratta di dati anagrafici, dati di residenza, domicilio, di contatto, e dati relativi al contratto di lavoro e alla posizione lavorativa in Alitalia. Per sua pronta evidenza si allega copia dei Suoi dati personali condivisi con Italia Trasporto Aereo S.p.A.(“ITA”) […]. Con riferimento alla mancanza di una Sua autorizzazione a tale finalità di trattamento rileviamo che […] tale attività non presupponeva il Suo consenso privacy poiché le basi giuridiche ex art. 6 del GDPR su cui si è fondato il trattamento sono state: a) l’adempimento di un obbligo legale al quale era soggetta Alitalia (titolare del trattamento) in ottemperanza alle previsioni normative dall’art. 11-quater del decreto-legge 25 maggio 2021, n. 73 (convertito - con modificazioni - dalla Legge 23 luglio 2021, n. 106 e successivamente modificato con decreto-legge 10 settembre 2021, n. 121), e b) il legittimo interesse della Società stessa (ex art. 6, primo paragrafo lett. c) e f) del GDPR) come specificatamente indicato nella Informativa Privacy […]. […] si rappresenta che i Suoi dati personali sono stati messi a disposizione di ITA nel periodo settembre – ottobre 2021 in ottemperanza alle previsioni normative dall’art. 11-quater del decreto-legge 25 maggio 2021, n. 73 (convertito - con modificazioni - dalla Legge 23 luglio 2021, n. 106 e successivamente modificato con decreto-legge 10 settembre 2021, n. 121.). Da ultimo, con riferimento alla Sua richiesta di ricevere copia dell’“attestazione della dichiarata consegna” della versione aggiornata dell’informativa privacy rilasciata da Alitalia nel 2018 […] Le confermiamo che l’Informativa Privacy aggiornata è stata pubblicata sulla Intranet Aziendale nel 2018 nell’ambito di una campagna di aggiornamento delle misure di compliance privacy rivolta a tutti i dipendenti di Alitalia. Con e-mail inviate in data 18 luglio 2018 e il 10 settembre 2018 […], a tutti i dipendenti di Alitalia, si invitavano gli stessi ad accedere alle pagine intranet dedicate attraverso un link presente nelle mail al fine di prendere visione della informativa privacy aggiornata […]”.

Ciò considerato, la condotta tenuta da Alitalia si pone pertanto in contrasto con quanto previsto dagli artt. 12 e 15 del Regolamento.

3.4 Trattamento di dati di lavoratori di Alitalia, in assenza di una idonea condizione di liceità e in violazione dell’obbligo di fornire l’informativa.

Da quanto emerso risulta inoltre accertato che Ita e Alitalia hanno trattato i dati di dipendenti, all’epoca in forza presso Alitalia appartenenti alle strutture organizzative ritenute ricomprese nel comparto “Aviation”, tra cui quelli del segnalante, in violazione della disciplina di protezione dei dati personali e, in specie, in assenza di una idonea condizione di liceità del trattamento e in assenza di una adeguata informativa.

In particolare Alitalia ha messo a disposizione di Ita, tramite una cartella “Sharepoint”, nell’ambito della selezione ai fini di una eventuale assunzione di personale di Alitalia, effettuata da Ita attraverso la piattaforma Cving, dati personali tra cui: codice fiscale, nome, cognome, sesso, data di nascita, luogo di nascita, codice comune, provincia, paese di origine, lingua, cittadinanza, stato civile, inizio validità stato civile, abilitazione amministrativa, impiego, tipo incarico PNT, indicatore TRI/TRE, ID seniority, CNTCLA, base impiego, base residenza, posizione contributiva, C.I.D., società, matricola, matricola del badge, qualifica, part-time, R.A.L. full time, stipendio base, posizione.

Relativamente alla voce “posizione”, almeno per quanto riguarda il segnalante, è emerso che è stato condiviso da Alitalia con Ita anche il dato relativo alla reintegra, a seguito di impugnazione del licenziamento.

Il trattamento indicato risulta essere stato effettuato, in concorso dalle due società ai sensi dell’art. 5 l. n. 689 del 1981 (“quando più persone concorrono in una violazione amministrativa, ciascuna di esse soggiace alla sanzione per questa disposta, salvo che sia diversamente stabilito dalla legge”).

In proposito, in via preliminare, si osserva come l’oggetto del presente provvedimento (e dunque della relativa istruttoria che ha portato allo stesso), visti i compiti e i poteri attribuiti all’Autorità in qualità di autorità di controllo in materia di protezione dei dati personali, sia il trattamento dei dati personali; la qualificazione delle operazioni societarie, così come l’eventuale riqualificazione delle stesse, in generale così come nel caso di specie, spetta invece all’autorità giudiziaria.

3.4.1 Assenza di idonea condizione di liceità del trattamento.

Considerata la nozione di “trattamento” di dati personali (art. 4 (2) del Regolamento), sia la condotta di Alitalia di messa a disposizione dei dati a Ita, sia la condotta di Ita che si consistita nell’avere a propria disposizione e nella consultazione di dati dei dipendenti del comparto “Aviation” di Alitalia, costituiscono operazioni di trattamento di dati personali.

Esaminato quanto dichiarato da Ita e da Alitalia, è emerso che oggetto della condotta di trattamento in esame sono stati dati c.d. comuni, sia del segnalante sia di tutti i dipendenti di Alitalia appartenenti al comparto “Aviation”, e non solo, ma anche di quelli che poi sono stati in effetti assunti da Ita (che, in base a quanto dichiarato da quest’ultima, sarebbero stati duemila).

In proposito però si osserva come sia emerso che, tra i dati trattati, vi siano anche dati che, seppur comuni, hanno uno stretto e delicato rapporto con l’interessato, si pensi ai dati relativi alla voce “posizione” che, come detto, quantomeno nel caso del segnalante ha riguardato il fatto che fosse stato reintegrato, oppure i dati indicati nella voce “stato civile”.

Dati di cui, tra l’altro, non si comprende l’utilità né la necessità, ai fini di una assunzione, e il cui esame, in quanto effettuato prima dell’assunzione (come risulta chiaramente dall’audizione di Ita del 26/03/2025 “nella fase di selezione del personale da assumere nel passaggio da Alitalia a Ita il lavoratore di quest’ultima che voleva candidarsi doveva accedere alla piattaforma [CVing]. Nel caso in cui Ita avesse ritenuto idoneo il profilo del lavoratore, accedeva alla cartella SharePoint al fine di poter consultare il fascicolo relativo allo stesso”), avrebbe potuto comportare una discriminazione e condizionare la scelta di Ita sull'eventuale assunzione di quel determinato lavoratore.

Il trattamento indicato è stato dunque effettuato, da settembre fino quantomeno a dicembre 2021, da parte delle due società in violazione degli artt. 5 lett. a) (principio di liceità) e 6 del Regolamento: nessuna delle basi giuridiche indicate dalle società in sede di istruttoria e a seguito della notifica delle violazioni di cui all’art. 166 comma 5 del Codice può considerarsi idonea a rendere lecito il trattamento posto in essere.

Con riferimento a Ita, posto in ogni caso che non risultano evidenze del fatto che la Società si sarebbe limitata a trattare, nel concreto, esclusivamente i dati dei soli candidati che poi sono in effetti stati dalla stessa assunti (condotta che comunque, anche relativamente a quei dati, è ugualmente illecita), quanto dalla parte affermato in merito alla sussistenza della condizione di liceità prevista dall’art. 6 par. 1, lett. b), del Regolamento (“la Società […] doveva valutare, su richiesta dell’interessato, l’esistenza delle condizioni per instaurare il rapporto di lavoro”, v. nota 22/03/2024, p. 4) non merita accoglimento.

L’art. 6 par. 1 lett. b) del Regolamento dispone che “il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso”.

Risulta dunque evidente come, nel caso di specie, tale condizione di liceità del trattamento avrebbe potuto operare, con riferimento ai dati inseriti spontaneamente dai candidati nella piattaforma per le candidature, ma non invece, come sostiene Ita, per quanto riguarda i dati trattati da Alitalia, in qualità di autonomo titolare del trattamento che quest’ultima ha messo a disposizione di Ita nella fase di selezione, dati, tra l’altro, anche di soggetti che non hanno partecipato alla medesima e di quelli che, pur partecipando, avrebbero potuto non essere poi assunti.

In proposito, la stessa Ita ha dichiarato che i dati che le sono stati messi a disposizione da Alitalia sarebbero serviti per “finalizzare l’eventuale proposta/lettera d’assunzione e per l’alimentazione dei sistemi HR” (v. nota 3/12/2024, p. 3).

In merito al rilievo di Ita secondo cui non avrebbe effettuato un trattamento in quanto lo stesso sarebbe stato meramente potenziale, si osserva che l'ulteriore conferma della qualificazione come trattamento di dati personali della condotta della Società discende dall’adozione, in base a quanto dichiarato dalla stessa, di “misure di sicurezza che limitavano gli accessi [alla cartella “Sharepoint”] ai soli referenti aziendali indicati da ITA e non già alla generalità delle figure professionali coinvolte nel processo di selezione del personale e successiva contrattualizzazione” (v. nota 3/12/2024, p. 3).

Tra l’altro, la stessa Società, in sede di audizione tenutasi in data 26 marzo 2025, ha riconosciuto che “la condivisione della documentazione relativa ai lavoratori del comparto Aviation è stata un’attività effettuata […] - con modalità che avrebbero potuto essere meglio definite – […]”.

Con riferimento ad Alitalia, si ritiene necessario rammentare, in termini generali, che deve essere individuata una specifica condizione di liceità per il trattamento di una determinata categoria di dati, non essendo conforme alla disciplina di protezione dei dati personali riferirsi a un elenco di condizioni di liceità confidando nella possibilità che, tra le varie, una venga ritenuta idonea.

Infatti, in proposito, Alitalia ha dichiarato che “la base giuridica del trattamento era stata individuata nell’art. 6(1)(c) del GDPR, in quanto necessario per adempiere agli obblighi derivanti dall'art. 11-quater del decreto-legge 25 maggio 2021, n. 73 (convertito dalla Legge 23 luglio 2021, n. 106 e modificato con decreto-legge 10 settembre 2021, n. 121), che ha disciplinato l’operazione di cessione di beni e contratti tra Alitalia e ITA, nonché nell’art. 6(1)(f), considerando il legittimo interesse del titolare a una corretta gestione dell’operazione straordinaria” (v. nota 7/02/2025, p. 5)

Alitalia pertanto, come emerge anche dalle dichiarazioni di Ita (v. nota 3/12/2024, p. 3), ha trasmesso a quest’ultima i dati di tutti i dipendenti del comparto “Aviation”, a prescindere dalla loro spontanea candidatura sulla piattaforma CVing messa a disposizione da Ita nell’ambito di un processo di selezione.

La norma individuata da Alitalia - art. 11-quater del decreto-legge 25 maggio 2021, n. 73 (convertito - con modificazioni - dalla Legge 23 luglio 2021, n. 106 e successivamente modificato con decreto-legge 10 settembre 2021, n. 121) – come una delle due condizioni di liceità del trattamento non può essere poi considerata la norma dalla quale sia derivato l’obbligo di mettere a disposizione di Ita i dati di tutti i propri dipendenti appartenenti al comparto “Aviation”, in una fase precedente a quella di assunzione. Ciò, tra l’altro, in base a quanto sostenuto da Alitalia, senza che vi fosse un trasferimento di ramo d’azienda.

Affinché un trattamento di dati possa dirsi lecito ai sensi dell’art. 6 par. 1 lett. c) del Regolamento è infatti necessario che la disposizione di legge preveda espressamente il trattamento; nel caso di specie l’indicazione che “E' parimenti autorizzata la cessione diretta alla società di cui all'articolo 79, comma 4-bis, del decreto-legge n. 18 del 2020 di compendi aziendali del ramo aviation individuati dall'offerta vincolante formulata dalla società in conformità alla decisione della Commissione europea” - all’interno del comma 4 dell’art. 11-quater del decreto-legge 25 maggio 2021, n. 73 (convertito - con modificazioni - dalla Legge 23 luglio 2021, n. 106 e successivamente modificato con decreto-legge 10 settembre 2021, n. 121) - non può considerarsi legittimante il trattamento in esame.

L’inidoneità della base giuridica si riscontra anche con riferimento al legittimo interesse che è stato richiamato da Alitalia come ulteriore condizione di liceità del trattamento e che, come già sostenuto dall’Autorità, non può costituire idonea base giuridica solo perché altre condizioni di liceità non ricorrono nella fattispecie in esame (v. provv. n. 137 del 15/04/2021, doc. web n. 9670738); comunque, oltre al fatto che nel caso di specie non risulta che Alitalia abbia effettuato il test comparativo tra legittimo interesse e diritti e interessi contrapposti (condizione non sufficiente, ma indispensabile ogniqualvolta il titolare ritenga di effettuare un trattamento di dati in presenza di un suo legittimo interesse), non si rinvengono gli elementi, in presenza dei quali, il titolare del trattamento avrebbe potuto ricorrere, come condizione di liceità, al legittimo interesse (in proposito v. Parere 6/2014 sul concetto di interesse legittimo del responsabile del trattamento ai sensi dell’articolo 7 della direttiva 95/46/CE adottato il 9/04/2014 dal Gruppo di lavoro articolo 29 per la protezione dei dati).

La messa a disposizione di dati di propri dipendenti, da parte di Alitalia, a Ita, con la conseguente disponibilità alla consultazione ed effettiva consultazione dei dati predetti da parte di Ita, è avvenuta pertanto in assenza di idonea base giuridica del trattamento.

3.4.2 Assenza di idonea informativa.

Il trattamento in esame è stato effettuato altresì in assenza di una preventiva informativa e quindi in violazione degli artt. 13 e 14 del Regolamento.

Con riferimento a Ita, si osserva che la stessa ha dichiarato che “secondo le linee programmatiche condivise tra ITA e Alitalia al momento della definizione dei processi di condivisione dei dati, il Segnalante aveva già ricevuto da Alitalia un’informativa che rendeva edotti gli interessati dei possibili trattamenti di dati personali che avrebbero potuto avere luogo in occasione di operazioni societarie straordinarie, come quelle che hanno coinvolto Alitalia e ITA” (v. nota 3/12/2024, p. 3).

In proposito, come si argomenterà in modo approfondito in seguito, si evidenzia che l’informativa fornita da Alitalia non può ritenersi idonea con riferimento al trattamento in esame e che il par. 5 dell’art. 14 del Regolamento lett. d) dispone che i paragrafi da 1 a 4 della medesima norma non si applicano se e nella misura in cui “l’interessato dispone già delle informazioni”. Circostanza che non era sussistente nel caso di specie.

Ita ha inoltre dichiarato che “nell’Informativa sul trattamento dei dati personali dei candidati a posizioni lavorative ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 («Informativa per i Candidati»), la Società dichiara agli interessati la possibilità che i dati vengano raccolti anche per il tramite di soggetti terzi agenti in qualità «autonomi titolari del trattamento» (Informativa Candidati, par. 1). Sebbene tale indicazione sia stata prevista con riferimento a processi di selezione ordinaria dei candidati, nei quali la Società potrebbe coinvolgere agenzie per il lavoro, ben può valere anche per il trattamento in analisi, dato il contesto emergenziale ed urgente in cui hanno operato ITA e Alitalia” (v. nota 25/02/2025, pp. 8, 9).

Risulta evidente come il passaggio del testo indicato dalla società non costituisce una chiara informativa, in merito al trattamento effettuato.

Infatti, nella parte richiamata dalla Società, viene precisato, tra l’altro, che “La Società, pertanto, potrebbe raccogliere i suoi dati sia mediante candidatura spontanea sia mediante attività di ricerca del personale che viene svolta da ITA per il tramite di soggetti previamente nominati Responsabili (ex art. 28 GDPR), ove necessario, o che potrebbero trattare i suoi dati altresì quali autonomi titolari del trattamento (cfr. successivo art. 4), ad es. Agenzie per il lavoro che agiscono per l’attività di ricerca e selezione del personale o società di formazione. In particolare, la Società tratterà i suoi dati anagrafici, i suoi recapiti (numero di cellulare, indirizzo di posta elettronica o posta elettronica certificata), informazioni in merito ai suoi titoli di studio e professionali e alle sue esperienze lavorative”.

In proposito, si ricorda che le informazioni sul trattamento devono essere fornite in modo “semplice e chiaro” come richiesto espressamente dall’art. 12 del Regolamento e devono, tra l’altro, riguardare “le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento” (art. 14 par. 1, lett. c), del Regolamento).

L’art. 14 par. 4 del Regolamento dispone altresì che “qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati ottenuti, prima di tale ulteriore trattamento fornisce all'interessato informazioni in merito a tale diversa finalità e ogni informazione pertinente di cui al paragrafo 2”.

Dunque, all’interno del documento “Informativa sul trattamento dei dati personali dei candidati a posizioni lavorative ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679” - (della cui effettiva consegna non è comunque stata prodotta evidenza) non vi è alcun riferimento diretto al trattamento in esame che Ita ha posto in essere, in qualità di titolare del trattamento.

Inoltre, sempre nel par. 1 dell’informativa richiamata dalla Società, le categorie di dati indicate come oggetto di trattamento non esauriscono quelle oggetto del trattamento in esame (cfr. il passaggio nel quale si fa riferimento a “dati anagrafici [del candidato], i suoi recapiti (numero di cellulare, indirizzo di posta elettronica o posta elettronica certificata), informazioni in merito ai suoi titoli di studio e professionali e alle sue esperienze lavorative. […] qualora rilevante ai fini della selezione in corso […]”. Inoltre, la predetta informativa fa riferimento al trattamento di dati particolari di cui all’art. 9 del Regolamento, sebbene la Società abbia dichiarato che tale tipologia non è stata oggetto del trattamento in esame.

In proposito, si sottolinea comunque come la ratio di quanto previsto dagli artt. 13 e 14 del Regolamento sia quella di fornire agli interessati indicazioni chiare e conformi alla disciplina di protezione dei dati sul trattamento che il titolare effettuerà, in merito ai dati personali dei soggetti a cui si riferiscono: pertanto, affinché possa dirsi rispettato quanto previsto dagli articoli citati, è necessario che le informazioni fornite con l’informativa descrivano operazioni di trattamento di per sé lecite.

Inoltre, con riferimento al documento contenente “Informazioni sul trattamento dei dati personali ex art. 13 regolamento (ue) 2016/679 (gdpr) – utenti” prodotto da Ita in allegato al riscontro del 3 dicembre 2024 e relativo al trattamento effettuato da Cving s.r.l. sulla piattaforma per le candidature a posizioni lavorative, si osserva come nello stesso documento venga precisato che “Il titolare del trattamento dei dati conferiti dall’utente per la creazione dell’account e per i contenuti liberamente caricati dall’utente nello stesso è CVing S.r.l. […]. Ove l’utente si candidi per una posizione specifica, titolare del trattamento relativamente alla specifica candidatura è l’azienda cui la candidatura è rivolta, la cui informativa sul trattamento dei dati personali sarà consultabile nelle modalità indicate dall’azienda stessa”.

Ita ha pertanto violato gli artt. 13 e 14 del Regolamento.

Per quanto riguarda Alitalia, si sottolinea come la Società ritenga che i dipendenti della stessa, tra cui il segnalante, siano stati “puntualmente informati di tale trattamento poiché indicato esplicitamente (cfr. paragrafi A) e D) nelle informative privacy ex art. 13 del Regolamento rilasciate alla data dell’assunzione e, in seguito, contestualmente al rilascio delle versioni aggiornate nel 2018” (v. nota 22/03/2024, p. 4).

Nonostante l’enunciazione della Società, analizzando il documento (di cui comunque non sono state prodotte evidenze tali da fare ritenere che fosse quello in effetti messo a disposizione dei dipendenti di Alitalia), risulta chiaro come lo specifico trattamento oggetto dell'istruttoria non fosse descritto nella predetta informativa.

Quest’ultima, infatti, nei paragrafi citati dalla società (A e D) fa riferimento, tra l’altro, al trattamento di dati in occasione di operazioni di fusione, scissione, acquisizione e cessione di ramo d’azienda (par. A: “finalità di legge e contrattuali necessarie […] i suoi dati personali saranno inoltre trattati senza il suo consenso: […] - ai fini delle operazioni societarie che comportano il trasferimento di azienda o di ramo di azienda ovvero nel caso di fusioni, scissioni o acquisizioni”; par D “interesse legittimo del titolare I suoi dati personali potranno altresì essere trattati, senza la necessità del suo consenso, nelle seguenti ipotesi: […] nel caso di operazioni straordinarie di fusione, cessione o trasferimento di ramo d'azienda, al fine di consentire la realizzazione delle operazioni necessarie all'attività di due diligence e prodromiche alla cessione. Resta inteso che saranno oggetto di trattamento per le predette finalità i dati esclusivamente necessari, in forma quanto più possibile aggregata/anonima e con l'esclusione dei dati sensibili”).

Operazioni societarie che, in base alle stesse affermazioni di Alitalia e di Ita, non sarebbero tuttavia quelle poste in essere, nel caso di specie.

In proposito, si osserva che, in disparte le fattispecie di fusione, scissione, acquisizione, ivi non pertinenti, qualora si fosse trattato di cessione di ramo d’azienda, fattispecie appunto comunque esclusa da entrambe le società, la base giuridica della comunicazione di dati, dal cedente al cessionario, sarebbe stato un obbligo di legge (cfr. art. 2112 c.c.) (cfr. all. C nota di Alitalia del 22/03/2024).

Come dispone però chiaramente il codice civile, “in caso di trasferimento d'azienda, il rapporto di lavoro continua con il cessionario ed il lavoratore conserva tutti i diritti che ne derivano” (art. 2112 c.c.), il trattamento dei dati dei lavoratori della società cedente, da parte della società cessionaria, è dunque lecito in quanto i lavoratori della società cedente vengono trasferiti alla società cessionaria.

Alitalia, inoltre, negli scritti difensivi ha dichiarato che “l’operazione straordinaria de qua è stata ricondotta, per assimilazione e agevolazione delle finalità, alle fattispecie oggetto di copertura informativa fornita ai dipendenti, considerando l’elencazione delle operazioni ivi contenuta, nell’interesse dei dipendenti, come esemplificativa e non esaustiva” (v. nota cit., p. 6).

Dalla enunciazione della Società risulta evidente la lacuna informativa, rispetto alle attività di trattamento in concreto effettuate.

In proposito, si ribadisce che la ratio di quanto previsto dall’art. 13 del Regolamento è quella di fornire agli interessati indicazioni chiare e conformi alla disciplina di protezione dei dati sul trattamento che il titolare porrà in essere in merito ai dati personali dei soggetti a cui si riferiscono, pertanto le condotte descritte devono essere di per sé lecite.

Nel caso di specie, le operazioni effettuate non si ritengono pertanto conformi alla disciplina di protezione dei dati personali e risulta comprovato che Alitalia ha violato l’art. 13 del Regolamento.

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Per i suesposti motivi, l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dai titolari del trattamento, nel corso dell’istruttoria, non consentano di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati personali effettuato da Ita e Alitalia e segnatamente gli inidonei riscontri all’istanza di accesso ai dati presentata dal segnalante a entrambe le società e, in concorso ex art. 5 l. n. 689 del 1981, la messa a disposizione da Alitalia a Ita che ha avuto a disposizione e ha consultato dati di lavoratori di dipendenti di Alitalia, in assenza di idonea base giuridica e di adeguata informativa, risulta pertanto illecito in relazione agli artt. 5, par. 1, lett. a) (principio di liceità), 6, 12, 13, 14, 15, del Regolamento.

La violazione accertata nei termini di cui in motivazione non può essere considerata “minore”, tenuto conto della natura delle plurime violazioni accertate, che hanno riguardato i principi generali del trattamento dei dati (liceità), l’esercizio dei diritti e l’obbligo di fornire un’adeguata informativa agli interessati.

Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento si dispone l’irrogazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) Regolamento).

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

All’esito del procedimento risulta pertanto che Ita e Alitalia hanno violato gli artt. 5, par. 1, lett. a) (principio di liceità), 6, 13, 14, in concorso ex art. 5 l. n. 689 del 1981, nonché gli artt. 12, 15, del Regolamento.

Per la violazione delle predette disposizioni è prevista l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. a) e b) del Regolamento, mediante adozione di un’ordinanza ingiunzione (art. 18, l. 24.11.1981, n. 689).

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83 del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. L. 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali posto in essere da Ita e Alitalia, di cui è stata accertata l’illiceità, nei termini sopra esposti.

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

L’Autorità, alla luce delle Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR adottate in data 24 maggio 2023, alle quali sono state apportate lievi modifiche in data 29 giugno 2023, ha dunque tenuto conto del livello elevato di gravità della violazione, alla luce di tutti i fattori rilevanti nel caso concreto, e in particolare la natura, la gravità e la durata della violazione, tenendo in considerazione la natura, l'oggetto o la finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito.

L’Autorità ha altresì preso in considerazione i criteri relativi al carattere doloso o colposo della violazione e le categorie di dati personali interessate dalla violazione, nonché la maniera in cui l'autorità di controllo ha preso conoscenza della violazione (v. art. 83, par. 2 e Considerando 148 del Regolamento).

5.1 Per quanto riguarda Ita.

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, per quanto riguarda Ita, ritenuto che il livello di gravità della violazione sia elevato, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

a) in relazione alla natura della violazione, questa ha riguardato fattispecie punite più severamente ai sensi dell’art. 83, par. 5 del Regolamento (principi generali del trattamento, esercizio dei diritti, obbligo di informativa); in relazione alla gravità della violazione è stata presa in considerazione la natura del trattamento che ha riguardato dati relativi a lavoratori;

b) con riguardo alla durata della violazione, è stata considerata la durata della violazione stessa, sia per quanto riguarda l’esercizio del diritto di accesso (dal riscontro inidoneo del 17 luglio 2023 all’istanza di accesso fino al presente procedimento), sia per quanto riguarda il trattamento in assenza di base giuridica e di adeguata informativa (quantomeno da settembre a dicembre 2021); è stato altresì considerato il numero considerevole di interessati coinvolti per quanto riguarda la violazione degli artt. 5 e 6 del Regolamento;

c) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare, è stata presa in considerazione la condotta negligente di Ita e il grado di responsabilità della stessa che non si è conformata alla disciplina in materia di protezione dei dati relativamente a una pluralità di disposizioni;

d) come fattore aggravante è stato considerato che Ita è stata destinataria del provvedimento del Garante n. 39 del 30 gennaio 2025, a seguito dell’accertamento della violazione degli artt. 12, par. 3, e 15 del Regolamento;

e) si è tenuto conto della cooperazione con l’Autorità di controllo.

Si ritiene inoltre che assumano rilevanza, nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti da Ita con riferimento al bilancio ordinario d’esercizio per l’anno 2024, ultimo disponibile.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Ita la sanzione amministrativa del pagamento di una somma pari a euro 1.000.000 (un milione).

5.2 Per quanto riguarda Alitalia.

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, per quanto riguarda Alitalia, ritenuto che il livello di gravità della violazione sia elevato, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

a) in relazione alla natura della violazione, questa ha riguardato fattispecie punite più severamente ai sensi dell’art. 83, par. 5 del Regolamento (principi generali del trattamento, esercizio dei diritti, obbligo di informativa); in relazione alla gravità della violazione è stata presa in considerazione la natura del trattamento che ha riguardato dati relativi a lavoratori;

b) con riguardo alla durata della violazione, è stata considerata la durata della violazione stessa sia per quanto riguarda l’esercizio del diritto di accesso (dal decorso del termine per fornire riscontro all’istanza di accesso ai dati del 17 giugno 2023 fino al presente procedimento) sia per quanto riguarda il trattamento in assenza di base giuridica e di adeguata informativa (quantomeno da settembre a ottobre 2021); è stato altresì considerato il numero considerevole di interessati coinvolti per quanto riguarda la violazione degli artt. 5 e 6 del Regolamento;

c) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare, è stata presa in considerazione la condotta negligente di Alitalia e il grado di responsabilità della stessa che non si è conformata alla disciplina in materia di protezione dei dati relativamente a una pluralità di disposizioni;

d) si è tenuto conto della cooperazione con l’Autorità di controllo.

Si ritiene inoltre che assumano rilevanza, nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, che si trova in liquidazione straordinaria, determinate in base al volume d’affari nel periodo d’imposta 2024.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Alitalia la sanzione amministrativa del pagamento di una somma pari ad euro 250.000 (duecentocinquantamila).

5.3 Pubblicazione del capo contenente l’ordinanza ingiunzione sul sito Internet del Garante.

In tale quadro si ritiene che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo (quindi dell’intero capo 5) contenente l’ordinanza ingiunzione sul sito Internet del Garante.

Ciò in considerazione della tipologia delle violazioni accertate che hanno riguardato l’esercizio del diritto di accesso nonché il trattamento di dati di dipendenti in assenza di idonea condizione di liceità e di adeguata informativa.

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f) e 83 del Regolamento, rileva l’illiceità del trattamento effettuato da Italia Trasporto Aereo S.p.A., in persona del legale rappresentante, con sede legale in Via Venti Settembre, 97, 00187, Roma, C.F. 15907661001, e di Alitalia Società Aerea Italiana S.p.A. in A.S., con sede legale in Piazza Almerico da Schio, 3, 00054 pal. Bravo, Fiumicino (RM), C.F. 13029381004, nei termini di cui in motivazione, per la violazione degli artt.5, par. 1, lett. a), 6, in concorso ex art. 5 l. n. 689 del 1981, 12, 13, 14, 15;

ORDINA

a Italia Trasporto Aereo S.p.A.:

- ai sensi dell’art. 58, par. 2, lett. i) del Regolamento, di pagare la somma di euro 1.000.000 (un milione) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

e a Alitalia Società Aerea Italiana S.p.A. in A.S.:

- ai sensi dell’art. 58, par. 2, lett. i) del Regolamento, di pagare la somma di euro 250.000 (duecentocinquantamila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

• a Italia Trasporto Aereo S.p.A. di pagare la predetta somma di euro 1.000.000 (un milione), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);

• ad Alitalia Società Aerea Italiana S.p.A. in A.S. di pagare la predetta somma di euro 250.000 (duecentocinquantamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);

DISPONE

- ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito Internet del Garante;

- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del garante n. 1/2019, la pubblicazione del presente provvedimento sul sito Internet del Garante;

- ai sensi dell’art. 17 del Regolamento n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 4 marzo 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Montuori