Ordinanza ingiunzione nei confronti di Bonatti S.p.A - 11 febbraio 2021...
Ordinanza ingiunzione nei confronti di Bonatti S.p.A - 11 febbraio 2021 [9562814]
Condividi[doc. web n. 9562814]
Ordinanza ingiunzione nei confronti di Bonatti S.p.A - 11 febbraio 2021
Registro dei provvedimenti
n. 47 dell'11 febbraio 2021
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);
VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);
VISTO il reclamo presentato al Garante ai sensi dell’articolo 77 del Regolamento da XX nei confronti di Bonatti S.p.A.;
ESAMINATA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE il prof. Pasquale Stanzione;
PREMESSO
1. Il reclamo nei confronti della società e l’attività istruttoria.
1.1. Con reclamo del 15 aprile 2019, presentato dal Sig. XX, sono state lamentate presunte violazioni della disciplina posta in materia di protezione dei dati personali da parte di Bonatti S.p.A. (di seguito, la società) presso la quale il reclamante ha prestato servizio dal 2 maggio 2017 al 1° maggio 2019. In particolare il reclamante ha lamentato che in data 27 luglio 2018, il dirigente del Dipartimento sicurezza (Corporate Security Manager) avrebbe inoltrato ad un soggetto terzo - estraneo alla compagine aziendale - una email recante in allegato certificazioni mediche complete di diagnosi inviatagli il giorno precedente dal reclamante medesimo allo scopo di chiedere il rinvio, per ragioni di salute, di un imminente intervento programmato su un cantiere all’estero (v. reclamo 15.4.2019 cit., pag. 2 e All. 6). Il reclamante lamenta altresì che in fase preassuntiva (in data 22.4.2017) il medesimo dirigente avrebbe richiesto la produzione del certificato penale e dei carichi pendenti del casellario giudiziale “omettendo di indicare un’idonea base giuridica (legislativa o regolamentare) per l’effettuazione dei prospettati trattamenti” (v. reclamo cit., p. 2 e All. 7).
Con il reclamo è stato chiesto al Garante di adottare un provvedimento prescrittivo e sanzionatorio nei confronti della società.
1.2. La società, in risposta alla richiesta di elementi formulata dall’Ufficio (il 16.6.2019), con nota del 31 luglio 2019 ha dichiarato che:
a. con riferimento alla lamentata comunicazione a terzi di dati relativi alla salute del reclamante (certificazione medica completa di diagnosi) se ne è rappresentata la “totale estraneità […] non essendo assolutamente consentito da alcun regolamento aziendale l’invio di documentazione relativa ai lavoratori, soprattutto [con riguardo a] dati idonei a rivelare lo stato di salute” (v. nota 31.7.2019, p. 3);
b. “qualora venissero confermate le circostanze contestate ed esse siano inequivocabilmente ascrivibili al [responsabile della sicurezza, Corporate Security Manager], questi sarebbe da considerarsi autonomo titolare del trattamento in relazione alla email inviata” (v. nota cit., p. 3);
c. “l’attività svolta dal [responsabile della sicurezza] non è assolutamente riconducibile a istruzioni o pratiche avallate dalla [società]”, come risulta confermato dalle istruzioni fornite al medesimo responsabile (v. nota cit., p. 4 e All. 7);
d. la società ha adottato il documento “Politica per la protezione dei dati personali” relativamente alla indicazione dei ruoli privacy interni; “non esistono, tuttavia, delle istruzioni specifiche per il personale autorizzato a trattare dati relativi alla salute dei dipendenti, perché non vi sono dipendenti a ciò autorizzati” (v. nota cit., p. 4 e All. 8);
e. le informazioni relative allo stato di salute del reclamante contenute nei certificati medici completi di diagnosi allegati alla email del 26 luglio 2018, oggetto di reclamo, “non costituivano un trattamento autorizzato e conseguentemente, per quanto di […] conoscenza, non sono più oggetto di trattamento all’interno dei propri sistemi” (v. nota cit., p. 5)
f. con riferimento al trattamento dei dati giudiziari, la società è tenuta “a dimostrare la propria compliance ed onorabilità ai sensi dell’art. 80 DLGS n. 50/2016”; “anche in campo internazionale, le abituali committenze della ns. società, per lo più le Oil Company che operano nel settore Oil & Gas, richiedono ai candidati che partecipano alle gare di appalto, di compilare approfonditi questionari ove si chiede specificatamente di conoscere l’eventuale inflizione di condanne ovvero anche la semplice pendenza di eventuali procedimenti giudiziari a carico della società ovvero dei propri dipendenti e rappresentanti” (v. nota cit., p. 5);
g. i dati riferiti al reclamante contenuti nel certificato del casellario giudiziale “non sono più oggetto di trattamento all’interno dei […] sistemi della società” (v. nota cit., p. 6).
1.3. Con controdeduzioni del 17 0ttobre 2019 il reclamante ha ribadito le proprie richieste e, con particolare riferimento al trattamento dei dati sulla salute dei dipendenti da parte della società, ha allegato copia di due email - del 30 dicembre 2017 e del 5 gennaio 2018 - inviate da Bonatti Libyan Branch (HR Office Tripoli) ad una pluralità di destinatari (tra i quali il reclamante), contenenti in allegato copia di certificati medici completi di diagnosi, dati clinici e terapie somministrate ed un certificato di morte, riferiti a due lavoratori (non italiani) che prestavano servizio presso il sito di Mellitah in Libia (v. All. 15, nota 17.10.2019). Il reclamante ha altresì allegato copia di una email a sé indirizzata, datata 4 luglio 2018, avente come mittente “HR Office Tripoli” (HR Personnel Department-Mellitah - Bonatti Libyan Branch), contenente in allegato un certificato medico completo di diagnosi e prescrizioni farmacologiche riferite al reclamante stesso (v. All. 15, integrazione del 21.10.2019).
1.4. Nel fornire riscontro ad una richiesta di ulteriori chiarimenti da parte dell’Autorità formulata in data 26 febbraio 2020, reiterata ai sensi dell’art. 157 del d. lgs. 196/2003, la società, con nota del 15 luglio 2020, ha dichiarato che:
a. con riferimento al trattamento dei dati relativi alla salute dei dipendenti, tali dati “sono trattati esclusivamente dal medico competente (MC). La società riceve solamente da parte del MC il certificato di idoneità […] che viene indirizzato ad una specifica figura di riferimento appositamente designata che segue le tematiche di Health & Hygiene dipendente dal Chief Medical Officer (CMO) della società all’interno del dipartimento HSE” (nota 15.7.2020, p. 1);
b. il medico competente raccoglie i dati all’interno di un archivio organizzato mediante un software (CartSan) cui solo il medico stesso ha accesso (nota cit., p. 1);
c. il PC in uso al [responsabile della sicurezza] è stato sostituito “a causa di una serie di malfunzionamenti segnalati con comunicazione interna trasmessa in data 21.11.2018”; in data 2.12.2018 l’ufficio IT ha provveduto alla sostituzione con un nuovo PC; “a parte la verifica degli aspetti puntuali di malfunzionamento segnalati la società non ha effettuato altre verifiche e/o accertamenti sul contenuto del PC”; il PC oggetto di sostituzione “non è più stato utilizzato né collegato alla rete aziendale” (nota cit., p. 2);
d. in relazione al trattamento dei dati giudiziari è stato ribadito che il reclamante aveva offerto la propria candidatura come responsabile di security in un “sito produttivo in Libia di primaria rilevanza”, in particolare a Mellitah; in proposito “le abituali committenze della società […] richiedono di conoscere l’eventuale inflizione di condanne ovvero anche la semplice pendenza di eventuali procedimenti giudiziari a carico della società e/ dei propri rappresentanti” (nota cit., p. 2).
1.5. Il 19 ottobre 2020 l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione alla società delle presunte violazioni riscontrate, con riferimento agli artt. 5, par. 1, lett. a) e c), 9, par. 2, lett. b), 32 del Regolamento e 27 del Codice (testo vigente all’epoca dei fatti oggetto di reclamo) nonché all’Autorizzazione n. 7/2016 del Garante (“Autorizzazione al trattamento dei dati giudiziari da parte di privati, di enti pubblici economici e di soggetti pubblici”), adottata in base al sopra richiamato art. 27.
Con memorie difensive del 18 novembre 2020 la società ha dichiarato che:
a. in via preliminare il reclamante “ha espressamente rinunciato al reclamo stesso come concordato con [la società] attraverso la stipulazione di un verbale di conciliazione in sede sindacale in data 15.5.2020”; tale volontà del reclamante emergerebbe anche dal comportamento del medesimo successivamente alla stipula del predetto accordo (mancanza di “impulso alla procedura” nonché email inviata al Garante il 5.11.2020) (v. nota 18.11.2020, p. 2);
b. con riferimento alla contestata email del 27 luglio 2018, inviata dal responsabile della sicurezza (con funzioni di Corporate Security Manager), si è ribadito che “l’episodio suddetto – allo stato peraltro indimostrato, essendosi il [reclamante] limitato a produrre, in luogo della presunta email, quella che apparirebbe essere una macchinosa ricostruzione fotografica che certamente risulta sfornita di qualsivoglia efficacia probatoria – non è ascrivibile in alcun modo alla responsabilità di Bonatti S.p.A.” (v. nota cit., p. 3);
c. la società aveva “ampiamente formato il dipendente [addetto alla sicurezza all’epoca del fatto, nonché preposto “alle attività di gestione della security delle informazioni”] sulle modalità di trattamento dei dati personali” attraverso la partecipazione ad un corso di formazione e la consegna di istruzioni relative al trattamento dei dati nonché delle norme interne sulla gestione della posta elettronica aziendale (tramite regolamento datato 23.5.2018, pubblicato sul sistema aziendale) (v. nota cit., p. 4);
d. la società pertanto “non ha mai autorizzato [il responsabile della sicurezza] ad acquisire […] i dati sanitari [del reclamante] apprendendo del verificarsi dell’evento solo a seguito del reclamo di quest’ultimo”) (v. nota cit., p. 5);
e. quanto al contenuto dei documenti predisposti dalla società in materia di trattamento dei dati personali “si rappresenta […] che all’epoca il GDPR era appena entrato in vigore […] e data la complessità della norma, la società ha provveduto ad approntare i primi strumenti fondamentali, in concomitanza con la conclusione di un percorso di mappatura dei trattamenti e di analisi dei rischi, dalla quale sono stati tratti gli ulteriori elementi necessari ad un affinamento degli strumenti stessi” (v. nota cit., p. 5);
f. la società “nel corso degli ultimi due anni ha investito notevoli risorse per adeguare la propria organizzazione alla disciplina del GDPR. In particolare i dati sanitari dei dipendenti non vengono acquisiti direttamente dalla società, bensì dal medico competente, che è titolare autonomo del trattamento, tenuto a comunicare [alla società] solo i certificati di idoneità […] i quali vengono poi indirizzati ad una specifica figura di riferimento […] che segue le tematiche di Health & Hygiene dipendente dal Chief Medical Officer (CMO) della società, all’interno del dipartimento HSE” (v. nota cit., p. 5);
g. “ad oggi non sussiste più alcun trattamento dei dati personali del [reclamante] né tantomeno dei dati sanitari allegati alla comunicazione e-mail del 28.7.2018. Inoltre il pc che nel luglio 2018 era in uso al [responsabile della sicurezza] è stato consegnato in data 4.12.2018 […] al Dipartimento IT della società [a causa di rappresentati “malfunzionamenti”]. Il pc in questione è stato quindi formattato dall’ufficio IT, in ottemperanza alla policy aziendale che prescrive la cancellazione di tutti i dati presenti sugli strumenti informatici che possono essere riassegnati ad altri utenti” (v. nota cit., p. 6);
h. con riferimento alle email contenenti dati sanitari, datate 30.12.2017, 5.1.2018 e 4.7.2018, allegate dal reclamante, “il fatto contestato sarebbe stato commesso da un soggetto giuridico autonomo e straniero [Bonatti Lybian Branch, del gruppo Bonatti], su territorio extra UE, a potenziale danno anche di soggetti privi di cittadinanza europea e come tali estranei all’ambito di applicazione soggettiva del GDPR e, comunque, nel caso del 4.7.2018, su autorizzazione dell’interessato”; in proposito la società ha altresì rappresentato che il trattamento è stato “reso necessario da circostanze sanitarie emergenziali, che hanno determinato l’esigenza di compiere atti, quali l’invio delle e-mail richiamate, indispensabili ai fini del coordinamento di molteplici attori, tutti coinvolti nel realizzare il fine ultimo della tutela dell’integrità della vita, della salute e della persona dei soggetti interessati” (v. nota cit., p. 7);
i. in relazione agli episodi oggetto delle citate e-mail “accadeva in via del tutto eccezionale ed emergenziale la necessità che i dati sanitari relativamente ai dipendenti di Bonatti Libyan Branch venissero gestiti con la massima urgenza per velocizzare le pratiche di evacuazione dal cantiere […] dei soggetti coinvolti e, conseguentemente, la […] società forniva supporto e consulenza alla società libica per garantire la rapida uscita dal suddetto cantiere dei dipendenti medesimi” (v. nota cit., p. 8);
j. sempre in relazione al trattamento effettuato con le predette email, tenuto conto che la Libia è “un luogo considerato dalle autorità italiane ad alto rischio per la sicurezza delle persone […] la società deve garantire massimi livelli di sicurezza e tutela per i propri dipendenti […], acquisendo, in casi del tutto eccezionali ed emergenziali, dati relativi alla salute dei medesimi, anche per consentire lo svolgimento delle pratiche burocratiche per l’ingresso, la permanenza e l’uscita dal paese” (v. nota cit., p. 8);
k. con riferimento al trattamento dei dati giudiziari riferiti al reclamante in fase preassuntiva, nel ribadire quanto già dichiarato nel corso dell’istruttoria relativamente al contenuto dei contratti di appalto con società “le quali tutte sia in fase di partecipazione al bando di gara che di esecuzione del contratto eventualmente aggiudicato, richiedono la puntuale conferma dell’assenza di condanne ed anche l’inesistenza di procedimenti giudiziari pendenti nei confronti della società e dei suoi dipendenti e rappresentanti”, la società ha rappresentato di aver “introdotto una procedura interna che prevede, in occasione dell’assunzione, la richiesta del casellario giudiziario” (v. nota cit., p. 8);
l. alla luce delle mansioni che si intendevano affidare al reclamante (Security Expert preposto alla sicurezza del cantiere libico di Mellitah), per la società era “importante verificare […] l’affidabilità ed onorabilità del lavoratore che veniva assunto”; pertanto la base giuridica del trattamento effettuato risiede nell’art. 41 della Costituzione e nell’art. 2087 del codice civile, “anche in virtù dell’Autorizzazione n. 7/2016 del Garante” (v. nota cit., p. 9);
m. la società a partire dal 2018 ha avviato un complesso processo di adeguamento alle disposizioni del GDPR: effettuazione di analisi di “Risk assessment”; adozione di “Procedure e documenti del sistema Privacy”; designazione di un DPO esterno; attività di audit ed implementazione delle procedure in ambito privacy; attività di training; istituzione di un Comitato interno con funzione di supporto del DPO; attività di “Analisi dei flussi dati sanitari”, da completare entro il 31.12.2020, avviata “sia a seguito dell’ingresso in azienda della nuova figura del Chief Medical Officer (Aprile 2020) che andava ad integrare l’organizzazione HSE sul lato sanitario, sia per la tematica Covid-19”; attività del Comitato Privacy per l’approfondimento delle tematiche emerse nel corso dell’istruttoria relativa al reclamo presentato al Garante (v. nota cit., p. 10-20).
2. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.
2.1. All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita in atti, il reclamo risulta fondato per alcuni profili, nei termini di seguito descritti.
2.2. Preliminarmente, con riferimento alla richiesta della società di dichiarare non luogo a provvedere a seguito della “cessazione della materia del contendere” come effetto della “intervenuta rinuncia al reclamo”, si osserva quanto segue.
In atti non risulta che il reclamante abbia presentato “espressa rinuncia al reclamo” rivolto al Garante, diversamente da quanto affermato dalla società. Copia dell’accordo transattivo raggiunto tra le parti (Bonatti S.p.A./Bonatti Lybian Branch e reclamante) in data 15 maggio 2020, in relazione ad una controversia incardinata davanti al Tribunale di Parma, sezione lavoro, è stata trasmessa dal reclamante in data 5 novembre 2020, con nota dalla quale non si evince la volontà di rinunciare alle pretese azionate nei confronti della società davanti al Garante (il reclamante, infatti, “benché giuridicamente non obbligato” comunica all’Autorità “che di fatto sono intervenuti taluni accordi conciliativi, di sostanziale natura patrimoniale”, dopo aver premesso, tra l’altro, che “le pronunce emesse dal Garante sfuggono a qualsiasi contrattazione/accordo inter partes” e che “l’ordinamento nazionale e sovranazionale […] non ha previsto alcun istituto giuridico qualificabile quale «rinuncia» al reclamo ex art. 77 del Regolamento”). Inoltre, successivamente alla data di raggiungimento dell’accordo, il reclamante ha sollecitato più volte l’Autorità a concludere il procedimento con l’adozione di provvedimenti di propria competenza (v. nota 16.7.2020 con la quale il reclamante ha rappresentato l’esistenza di un presunto “concreto rischio di inquinamento probatorio” nonché la nota 5.11.2020 con la quale il reclamante ha presentato istanza di accesso agli atti del procedimento in base all’art. 24, comma 7, l. n. 241 del 1990, ossia per finalità di tutela dei propri diritti; v. anche il sollecito con nota del 3.1.2021). Pertanto non risulta in atti né una dichiarazione esplicita da parte dell’interessato che ha proposto il reclamo di rinuncia all’istanza presentata e agli atti successivi, né si riscontra l’inattività del reclamante medesimo rispetto alla prosecuzione del procedimento avviato.
Inoltre il contenuto dell’accordo transattivo è stato reso noto al Garante successivamente all’avvio del procedimento per l’adozione di provvedimenti e di sanzioni ai sensi dell’art. 166, comma 5 del Codice, successivamente pertanto all’accertamento da parte dell’ufficio procedente di presunti illeciti a carico del titolare del trattamento, con conseguente obbligo per l’amministrazione di completare la valutazione degli elementi in proprio possesso relativamente alla conformità dei trattamenti di dati personali effettuati dalla società alla disciplina vigente di matrice europea.
2.3. Premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”, nel merito è emerso che in data 27 luglio 2018, il responsabile del Dipartimento sicurezza della società (Corporate Security Manager) ha inoltrato ad un suo conoscente estraneo all’azienda - legato al reclamante da un rapporto di parentela -, tramite l’account di posta elettronica aziendale di tipo individualizzato, una e-mail (avente ad oggetto “Comunicazione di malattia (ex art. 98 comma 2 – CCNL 19 aprile 2010 per i dipendenti delle imprese edili ed affini e ss.mm.ii.)”, completa di allegate certificazioni mediche comprensive di diagnosi), inviatagli il giorno precedente dal reclamante medesimo per rappresentare l’impossibilità, per ragioni di salute, di recarsi presso un cantiere all’estero come programmato (v. reclamo 15.4.2019 cit., pag. 2 e All. 6). Tale inoltro era accompagnato da una valutazione negativa sulla comunicazione ricevuta (“[…] non ci siamo proprio”). La documentazione relativa al lamentato inoltro, prodotta dal reclamante, consiste nella copia della e-mail inviata dal reclamante il 26 luglio 2018, ad alcuni destinatari tra cui il responsabile della sicurezza. Il documento prodotto mostra altresì che attraverso la sezione “verifica” risulta che quest’ultimo abbia letto il messaggio in data 27 luglio 2018, alle ore 4.56. Il reclamante ha altresì prodotto in atti la rappresentazione fotografica di un messaggio ricevuto tramite WhatsApp il 28 luglio 2018, ore 9.03, da parte del terzo destinatario dell’inoltro, contenente la fotografia del messaggio inoltrato dal responsabile della sicurezza (completo degli allegati aventi la medesima denominazione risultante dalla email del 26.7.2018), visualizzato sullo schermo di un pc (su cui risulta leggibile la data 27.7.2018, ore 12.24). Tali rappresentazioni fotografiche, valutate in connessione con la copia della email inviata dal reclamante (il 26.7.2018), appaiono esteriormente non contraffatte ed autentiche, comunque idonee a rappresentare la copia di un documento elettronico; d’altra parte la società – che ne ha contestato l’autenticità non prima del ricevimento della notifica di violazione – non ha evidenziato presunti e specifici elementi ritenuti incongruenti o non veri all’interno dei documenti inviati all’Autorità.
La società, a seguito del ricevimento del primo invito a fornire riscontro da parte dell’Autorità, comprendente copia della predetta documentazione fornita dal reclamante, ha provveduto ad avviare e concludere un procedimento disciplinare nei confronti del responsabile della sicurezza, in relazione al fatto dedotto con il reclamo (inoltro della e-mail contenente dati relativi alla salute del reclamante a soggetto esterno alla compagine aziendale). Nell’ambito del predetto procedimento disciplinare il responsabile della sicurezza ha affermato di “non [avere] memoria” dell’inoltro contestato e di aver infruttuosamente cercato tale e-mail sul suo PC (allo stato restituito al Dipartimento IT della società ed ivi conservato dopo aver effettuato la formattazione, come comunicato al Garante dalla società con le memorie difensive). Non risulta che la società abbia compiuto approfondimenti sul pc fornito in uso al responsabile della sicurezza (o attraverso altri strumenti) in ordine alla veridicità del fatto lamentato.
In tale contesto la società ha inoltre sostenuto la propria estraneità al fatto oggetto di reclamo, ritenendo l’autore dell’inoltro della email del 26 luglio 2018 “autonomo titolare” del relativo trattamento, anche alla luce della formazione e delle istruzioni impartite a quest’ultimo in materia di protezione dei dati personali. In proposito si osserva, tuttavia, che il documento predisposto dalla società recante “Autorizzazione ed istruzioni per il trattamento dei dati personali”, indirizzato al responsabile della sicurezza, reca la sottoscrizione di quest’ultimo datata 6 settembre 2018, data successiva ai fatti oggetto di reclamo. Il sollecito per la restituzione del modulo sottoscritto dal dipendente è anch’esso successivo a tali fatti (2.8.2018, reiterato il 6.9.2018).
Ad ogni buon conto si rileva, altresì, che le predette istruzioni contengono indicazioni di carattere generale, senza riferimento espresso alle specifiche garanzie poste dall’ordinamento − già antecedentemente alla data della definitiva applicazione del Regolamento nel nostro ordinamento − a protezione dei dati c.d. particolari (seppure accidentalmente conosciuti), anche relativamente alle ordinarie procedure relative alla comunicazione dello stato di malattia (in particolare laddove si precisa che: “è fatto divieto a qualunque soggetto, ad esclusione delle attività espressamente connesse alle proprie mansioni, di divulgare informazioni contenenti dati personali, effettuarne copie di qualsiasi natura […] e distruggere, sottrarre o manipolare il contenuto delle banche dati se non espressamente autorizzato dal titolare del trattamento”; v. Autorizzazione ed istruzioni cit.). Né indicazioni specifiche relative al concreto ambito dei trattamenti effettuati in base alle mansioni svolte si rinvengono nel documento “Politica per la protezione dei dati personali” datato 30 aprile 2018. Infine si rileva che l’attestato di partecipazione ad una sessione di formazione del responsabile della sicurezza, datato 18 aprile 2018 (Doc. 3 memorie difensive 18.11.2020), riguarda il D. Lgs. 231/01 e non i profili privacy.
Nell’ambito della disciplina di protezione dei dati personali, di matrice eurounitaria, l’individuazione del titolare del trattamento è effettuata alla luce della nozione funzionale di quest’ultimo, ossia preordinata alla distribuzione delle responsabilità conformemente ai ruoli in concreto ricoperti. Avuto riguardo alla definizione di titolare del trattamento (art. 4, n. 7 del Regolamento), se il trattamento è effettuato nell’ambito di una persona giuridica, titolare è l’entità nel suo complesso anziché una o più persone fisiche poste all’interno dell’organizzazione (sul punto si veda, da ultimo, European Data Protection Board, Guidelines 07/2020 on the concepts of controller and processor in the GDPR, 2 settembre 2020).
In tale prospettiva devono essere dunque valutate le concrete misure adottate dalla società, all’epoca dei fatti oggetto di reclamo, in merito alla gestione del trattamento dei dati relativi alla salute dei dipendenti, nell’ambito di una struttura organizzativa complessa che opera anche all’estero in situazioni di rischio per la salute dei lavoratori.
Tenuto anche conto di quanto dichiarato dalla società (v. precedente punto 1.3., lett. a, laddove ha sostenuto di non trattare dati sulla salute tranne i giudizi di idoneità redatti dal medico competente), non risulta che quest’ultima − in qualità di titolare del trattamento − abbia approntato un sistema di misure tecniche ed organizzative adeguate (v. art. 24 del Regolamento) volte ad individuare i soggetti autorizzati a trattare i dati sanitari in base agli obblighi posti dalle vigenti norme in materia di tutela della salute e della sicurezza sul posto di lavoro, a delimitare l’ambito delle comunicazioni interne relative a tali informazioni e ad impartire specifiche istruzioni relative alle modalità del trattamento dei dati particolari, anche accidentalmente conosciuti, né ad adottare misure di sicurezza adeguate al rischio. Ciò tenuto conto che nell’ambito del rapporto di lavoro il titolare del trattamento/datore di lavoro, in base alle norme di settore in materia di previdenza ed assistenza, igiene e sicurezza sul lavoro e tutela della salute, effettua ordinariamente trattamenti di dati relativi allo stato di salute dei dipendenti (con riferimento a: invalidità, infermità, infortuni, esposizioni a fattori di rischio, idoneità psico-fisica a svolgere determinate mansioni, appartenenza a determinate categorie protette, nonché a dati contenuti nella certificazione sanitaria attestante lo stato di malattia, anche professionale dell´interessato, ad esclusione dei dati che anche in base alla disciplina di settore in materia di sorveglianza sanitaria possono essere trattati esclusivamente dal medico competente, ad es. diagnosi e anamnesi).
Non risulta pertanto conforme alla legislazione vigente in materia di protezione dei dati personali che la società, come dichiarato, abbia designato una figura di riferimento limitatamente alla gestione dei certificati di idoneità predisposti dal medico competente. Ciò ha comportato la violazione del principio di liceità dei trattamenti dei dati sulla salute effettuati nonché del principio di minimizzazione, in quanto il titolare non ha adottato misure volte ad assicurare, in relazione a tale particolare tipologia di informazioni, che fossero oggetto di trattamento esclusivamente i dati ritenuti in concreto adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità perseguite.
Sebbene il rapporto tra Bonatti S.p.A. ed altre società del gruppo nonché il regime di circolazione dei dati personali tra le stesse, non siano stati oggetto dell’istruttoria effettuata dall’Autorità, è emerso, attraverso le e-mail allegate dal reclamante nel corso del procedimento (del 30.12.2017 e 5.1.2018, la cui autenticità non è stata contestata), che almeno in due circostanze una società del gruppo (Bonatti Lybian Branch - HR Office Tripoli) ha comunicato ad una pluralità di destinatari interni alla società Bonatti S.p.A. (identificabili mediante l’account con estensione bonatti.it, in numero di 12 destinatari dell’email del 30.12.2017 e in numero di 8 destinatari della email del 5.1.2018), compreso il reclamante, all’epoca responsabile della security del sito di Mellitah in Libia, nonché a soggetti esterni (presumibilmente) alla compagine aziendale, una pluralità di dati relativi alla salute dei dipendenti, compresi certificati medici completi di diagnosi, terapie e farmaci somministrati e un certificato di morte. Ad una terza email (del 4.7.2018), inviata al reclamante dalla medesima società del gruppo, precisamente da esponenti del “HR Personnel Department-Mellitah”, risulta allegata una certificazione medica completa di diagnosi e prescrizione di farmaci riferita al reclamante stesso.
Pur prendendo atto delle ragioni addotte dalla società in relazione a tali episodi (necessità di fornire “supporto e consulenza” alla società del gruppo con sede in Libia per “garantire la rapida uscita dal suddetto cantiere” di un dipendente in pericolo di vita ed un altro deceduto; prestazione del consenso del medesimo reclamante in relazione alla certificazione inviata il 4.7.2018), tali operazioni di trattamento documentate in atti sono prese in considerazione come ulteriore indice dell’assenza di procedure relative alla circolazione dei dati personali relativi alla salute predisposte in relazione agli specifici livelli di rischio dell’attività svolta in concreto dalla società, ciò quantomeno all’epoca dei fatti oggetto di reclamo. In proposito si ribadisce che anche antecedentemente alla applicazione del Regolamento il nostro ordinamento prevedeva un quadro di garanzie specifiche circa il trattamento dei dati relativi alla salute, anche con particolare riguardo all’ambito del rapporto di lavoro (relativamente al settore privato v. art. 26 del Codice previgente e Autorizzazione al trattamento dei dati sensibili nei rapporti di lavoro n. 1/2016).
Si prende altresì atto che, in base a quanto rappresentato e documentato nel corso del procedimento, la società ha avviato un complesso processo di adeguamento alla disciplina posta in materia di protezione dei dati personali a seguito della applicazione nell’ordinamento nazionale del Regolamento, ciò anche con riferimento alla gestione dei flussi dei dati relativi allo stato di salute (v. precedente punto 1.5., lett. m. e documentazione prodotta in atti). Si prende altresì atto che, sempre secondo quanto dichiarato nel corso del procedimento, la società allo stato non effettua “alcun trattamento dei dati personali del [reclamante] né tantomeno dei dati sanitari allegati alla comunicazione e-mail del 28.7.2018”.
Per i suesposti motivi il trattamento dei dati sanitari del reclamante e degli altri lavoratori in servizio all’epoca dei fatti, imputabile alla società in qualità di titolare del trattamento, è avvenuto in violazione della disciplina in materia di protezione dei dati e precisamente in violazione dei principi di liceità e minimizzazione dei dati (v. art. 5, par. 1, lett. a) e c)) e dell’art. 9, par. 2, lett. b) del Regolamento, che indica le condizioni di liceità dei trattamenti di dati particolari nel contesto del rapporto di lavoro. Risulta altresì violato l’art. 32 del Regolamento in base al quale il titolare è tenuto a predisporre misure tecniche ed organizzative adeguate a garantire un livello di sicurezza riferito agli specifici profili di rischio del trattamento effettuato.
2.4. Con riferimento all’acquisizione del certificato del casellario giudiziale riferito al reclamante in occasione della conclusione del rapporto di lavoro si osserva preliminarmente che il fatto oggetto di reclamo si è verificato in data antecedente all’entrata in vigore del Regolamento (UE) 2016/679 e che allo stato, secondo quanto dichiarato dalla società, quest’ultima non effettua trattamenti di dati giudiziari del reclamante (v. precedente punto 1.1., lett. g). La disciplina di riferimento era pertanto costituita all’art. 27 del d. lgs. 30.6.2003, n. 196 (Codice in materia di protezione dei dati personali), testo anteriore alle modifiche apportate con il d. lgs. 10.8.2018, n. 101, in base al quale il trattamento di dati giudiziari è consentito soltanto se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichino le rilevanti finalità di interesse pubblico del trattamento, i tipi di dati trattati e le operazioni eseguibili, nonché nella Autorizzazione del Garante n. 7 del 2016 (Autorizzazione al trattamento dei dati giudiziari da parte di privati, di enti pubblici economici e di soggetti pubblici; con riferimento al caso concreto oggetto di reclamo si veda in particolare il Capo V, punto 2, lett. e), in base al quale il trattamento di dati giudiziari può essere effettuato “ai fini dell’accertamento del requisito di idoneità morale di coloro che intendono partecipare a gare d’appalto, in adempimento di quanto previsto dalla normativa in materia di appalti”).
Ciò premesso, non risulta applicabile nel caso di specie - come prospettato dalla società - l’articolo 80 del d. lgs. 18.4.2016, n. 50 (“Codice dei contratti pubblici”), avuto riguardo all’ambito di applicazione sia oggettivo che soggettivo della richiamata norma (alla luce, a quest’ultimo proposito, del ruolo ricoperto dal reclamante presso il sito di Mellitah in Libia così come ricostruito in atti). Infatti il richiamato articolo, letto in connessione con altre disposizioni del Codice dei contratti pubblici, è parte di un complesso sistema di gestione delle procedure per la conclusione dei contratti di appalto e di concessione e, in particolare, di selezione dei contraenti. A tale ultimo proposito la disciplina di settore individua i motivi di esclusione degli operatori economici ed i mezzi di prova che le stazioni appaltanti possono utilizzare ai fini dell’accertamento dei predetti motivi di esclusione (v., in proposito, sentenza Trib. Milano, I sez. civ., n. 9890 del 2018, di conferma di una decisione dell’Autorità). La produzione del certificato estratto dal casellario da parte del reclamante in fase preassuntiva non è conforme alle richiamate indicazioni normative che prevedono puntuali limiti in tema di verifica degli operatori economici.
Né, in ogni caso, risultano integrati i presupposti a suo tempo prescritti dal richiamato art. 27 del d. lgs. n. 196 del 2003 (testo previgente).
La circostanza, inoltre, che i committenti della società avessero richiesto “di conoscere l’eventuale inflizione di condanne ovvero anche la semplice pendenza di eventuali procedimenti giudiziari a carico della società e/ dei propri rappresentanti” (v. riscontro del 15.7.2020; v. altresì precedente punto 1.5., lett. k.) non costituiva base giuridica idonea a legittimare il trattamento di dati giudiziari in base alla richiamata disciplina di riferimento, posto che la necessità di adempiere ad un obbligo contrattuale non è condizione di liceità contemplata dal richiamato art. 27 del Codice (testo previgente).
Il trattamento oggetto di reclamo − allo stato non più in essere − risulta pertanto essere stato effettuato in assenza di base giuridica, in quanto né è stata accertata l’applicabilità dell’art. 80, d. lgs. 18.4.2016, n. 50 né la stipula di un contratto con i committenti (anche ammesso che in concreto il requisito soggettivo di tale accordo fosse stato soddisfatto, posto che la stessa società parla in proposito dei dati giudiziari riferiti “alla società e/o […] propri rappresentanti”) era in sé sufficiente a consentire il trattamento.
Ciò risulta in violazione dell’art. 27 del d. lgs. 30.6.2003, n. 196, Codice in materia di protezione dei dati personali, testo vigente all’epoca del trattamento, e di quanto previsto con l’Autorizzazione n. 7/2016. Si osserva altresì che le richiamate fattispecie corrispondono, con riferimento alla fattispecie oggetto di reclamo, nell’ordinamento vigente, agli artt. 2-octies del Codice in materia di protezione dei dati personali e 10 del Regolamento.
3. Conclusioni: illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.
Per i suesposti motivi, il trattamento dei dati personali effettuato dalla società risulta illecito, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a) e c), 9, par. 2, lett. b) e 32 del Regolamento e all’art. 27 del Codice (testo vigente all’epoca dei fatti oggetto di reclamo).
Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento, alla luce delle circostanze del caso concreto:
- si dispone una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i), Regolamento).
4. Ordinanza ingiunzione.
Ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166, commi 3 e 7 del Codice, il Garante dispone l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, mediante adozione di un’ordinanza ingiunzione (art. 18, l. 24.11.1981, n. 689), in relazione ai trattamenti dei dati personali effettuati dalla società, di cui è risultata accertata l’illiceità, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a) e c), 9, par. 2, lett. b) e 32 del Regolamento e all’art. 27 del Codice (testo vigente all’epoca dei fatti oggetto di reclamo), all’esito del procedimento di cui all’art. 166, comma 5 svolto in contraddittorio con il titolare del trattamento (v. precedente punto 1.5).
Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, considerato che le accertate violazioni dell’art. 5 del Regolamento sono da considerarsi più gravi, in quanto relative alla inosservanza di una pluralità di principi di carattere generale applicabili al trattamento di dati personali, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto per la predetta violazione. Conseguentemente si applica la sanzione prevista dall’art. 83, par. 5, lett. a), del Regolamento, che fissa il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore.
Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:
a) in relazione alla natura, gravità e durata della violazione è stata considerata rilevante la natura della violazione che ha riguardato i principi generali del trattamento; le violazioni hanno anche riguardato le condizioni di liceità del trattamento dei dati particolari e dei dati giudiziari e le disposizioni sulle misure di sicurezza;
b) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare è stata presa in considerazione la negligente condotta della società e il grado di responsabilità della stessa che non si è conformata alla disciplina in materia di protezione dei dati relativamente ad una pluralità di disposizioni;
c) la società ha cooperato con l’Autorità nel corso del procedimento;
f) l’assenza di precedenti specifici (relativi alla stessa tipologia di trattamento) a carico della società.
Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla società con riferimento al bilancio d’esercizio per l’anno 2019. Da ultimo si tiene conto della comminatoria edittale disposta, nel regime previgente, per gli illeciti amministrativi corrispondenti e dell’entità delle sanzioni irrogate in casi analoghi.
Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Bonatti S.p.A. la sanzione amministrativa del pagamento di una somma pari ad euro 40.000,00 (quarantamila).
In tale quadro si ritiene, altresì, in considerazione della tipologia delle violazioni accertate che hanno riguardato i principi generali del trattamento, le condizioni di liceità del trattamento dei dati particolari e dei dati giudiziari e le disposizioni sulle misure di sicurezza, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante.
Si ritiene, altresì, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
TUTTO CIÒ PREMESSO, IL GARANTE
rileva l’illiceità del trattamento effettuato da Bonatti S.p.A. in persona del legale rappresentante, con sede legale in Parma, Via Alfred Bernhard Nobel 2/A, Codice Fiscale: 02188130153, ai sensi dell’art. 143 del Codice, per la violazione degli artt. 5, par. 1, lett. a) e c), 9, par. 2, lett. b) e 32 del Regolamento e all’art. 27 del Codice (testo vigente all’epoca dei fatti oggetto di reclamo);
ORDINA
ai sensi dell’art. 58, par. 2, lett. i) del Regolamento a Bonatti S.p.A. di pagare la somma di euro 40.000,00 (quarantamila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;
INGIUNGE
altresì alla medesima Società di pagare la predetta somma di euro 40.000,00 (quarantamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);
DISPONE
la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/20129, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.
Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.
Roma, 11 febbraio 2021
IL PRESIDENTE
Stanzione
IL RELATORE
Stanzione
IL SEGRETARIO GENERALE
Mattei
