g-docweb-display Portlet

Provvedimento del 24 giugno 2020 [9445163]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9445163]

Provvedimento del 24 giugno 2020

Registro dei provvedimenti
n. 111 del 24 giugno 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il dott. Antonello Soro, presidente, la dott.ssa Augusta Iannini, vicepresidente, la dott.ssa Giovanna Bianchi Clerici e la prof.ssa Licia Califano, componenti, e il dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presentato al Garante ai sensi dell’articolo 77 del Regolamento in data 26 febbraio 2019 da XX, nei confronti di MSC Cruises S.A. (di seguito, “la società”), con il quale sono state lamentate presunte violazioni del Regolamento con riferimento al diritto di accesso dell’interessato ai dati personali che lo riguardano detenuti dalla società a seguito della partecipazione ad una procedura di selezione del personale per una posizione aperta nella società come “Legal claims specialist” e al diritto alla cancellazione degli stessi;

VISTO, in particolare, che il reclamante ha rappresentato di aver inviato alla società, in data 22 gennaio 2019 (con sollecito del 14 febbraio 2019), istanza di accesso ai dati suddetti e di successiva cancellazione degli stessi e di non aver ricevuto alcun riscontro da parte della società;

VISTA la nota dell’11 giugno 2019 con la quale l’Autorità ha invitato la società all’adesione spontanea a quanto richiesto nel reclamo;

VISTA l’integrazione documentale inviata dal reclamante in data 1 luglio 2019 con cui si informa l’Autorità che il 13 marzo 2019 il Dpo della società ha comunicato allo stesso di procedere “senz’altro immediatamente ad evadere la […] richiesta di accesso ai dati personali, così come anche alla successiva cancellazione dei medesimi dai [propri] sistemi” e che il 20 giugno 2019 gli è stato comunicato per email “nonostante il precedente avviso di tenore contrario […] che lo informava della cancellazione dei propri dati personali entro un breve termine – che gli stessi sono ancora registrati nei server di MSC”, con la possibilità di “mantenere attiva la propria anagrafica in tali sistemi, mediante click su un link internet”;

VISTA la nota di riscontro del 1° luglio 2019 con la quale la società, tramite il proprio dpo, ha dichiarato che:

- “la richiesta dell’interessato, […] formulata ex art. 77 del GDPR è stata evasa nel corso del mese di marzo u.s., ed è stata oggetto di riscontro della MSC Cruises il giorno 13 marzo u.s.” (v. nota 1° luglio 2019 cit., p.1);

- “in data 22 gennaio 2019 perveniva alla […] Società richiesta del [reclamante] di accesso ai propri dati personali e cancellazione degli stessi dai nostri sistemi” (v. nota cit., p.1);

- “in data 13 marzo 2019 veniva dato riscontro alla […] comunicazione [del reclamante] ed il giorno seguente venivano inviati all’interessato tutti i dati personali ottenuti dalla MSC Cruises nell’ambito del processo di selezione con contestuale informazione dell’avvio della relativa procedura di cancellazione richiesta” (v. nota cit., p.1);

- “in data 14 marzo 2019 [il reclamante] prendeva atto del […] riscontro [della società] e […] informava [la stessa] di avere nel frattempo effettuato segnalazione a[ll’] Autorità Garante” (v. nota cit., p.2);

VISTA la nota del 6 agosto 2019 con la quale l’Autorità ha invitato la società a fornire ulteriori chiarimenti;

VISTA la nota del 13 settembre 2019 con la quale la società, tramite il proprio Dpo, ha dichiarato che:

- “attualmente, nessun dato del reclamante viene trattato dalla [MSC Cruises S.A.], eccettuati i dati personali strettamente necessari per la gestione del presente reclamo (nome, cognome e indirizzo email)” (v. nota 13 settembre 2019 cit., p. 1);

- “a seguito della cancellazione dei dati personali del [reclamante], che si è conclusa in data 21 giugno 2019, prima della comunicazione inviata a codesta Autorità in data 1 luglio 2019, il profilo professionale del reclamante non è più attivo, né può essere riattivato ad iniziativa della società” (v. nota cit., p. 1);

- “il mancato rispetto del termine previsto dall’art. 12 GDPR è dovuto a problematiche di carattere organizzativo conseguenti ad una riduzione imprevista e temporanea di organico manifestatasi in prossimità della suddetta scadenza” (v. nota cit., p. 1);

- “per informare il candidato dell’imminente cancellazione del profilo, viene […] inviata una notifica nella quale si spiega che i dati personali saranno cancellati, dando la possibilità al candidato di optare per il mantenimento del proprio profilo qualora fosse interessato a inviare ulteriori candidature” (v. nota cit., p. 2);

- “questo meccanismo di cancellazione è stato impostato seguendo le regole di protezione dei dati per impostazioni predefinite, sin dalla progettazione, e quindi per mantenere il profilo attivo è richiesta un’azione da parte del candidato. […] Risulta che il [reclamante] riceveva [la notifica nella quale si spiegava che i dati personali sarebbero stati cancellati] il giorno 19 giugno 2019 e, non avendo optato per la conservazione, i dati venivano cancellati in data 21 giugno 2019” (v. nota cit., p. 2);

-  “è stato avviato un processo interno di revisione delle procedure per la gestione delle richieste di cancellazione, così come anche un processo di aggiornamento dei testi delle notifiche sulla piattaforma MSC Cruises Careers per assicurare una maggiore chiarezza per gli interessati” (v. nota cit., p. 2);

VISTO che il 13 gennaio 2020 l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione al titolare del trattamento delle presunte violazioni del Regolamento;

VISTO, altresì, che con nota dell’11 febbraio 2020 la società ha rappresentato che:

- “la società dichiarava a codesta Autorità in data 13 settembre 2019 di aver provveduto alla definitiva cancellazione dei dati dell’interessato il giorno 21 giugno 2019 ed evidenziava le motivazioni alla base del ritardato riscontro” (v. nota 11 febbraio 2020 cit., p. 2);

- con riferimento agli elementi di cui all’art. 82, par. 2 del Regolamento “si rappresenta come le violazioni contestate, lungi dal testimoniare inefficienze organizzative di carattere sistematico, siano dovute ad una serie di sfortunati eventi che si sono accidentalmente susseguiti. In particolare: […] la gestione del riscontro alle richieste dell’interessato […] subiva nel caso di specie un rallentamento  a causa di una improvvisa e inaspettata riduzione dell’organico incaricato; […] la cancellazione dei dati dell’interessato richiedente, pur essendo stata correttamente presa in carico in conformità a quanto previsto dalla relativa procedura interna, non veniva inizialmente eseguita a causa di un errore nella configurazione del sistema di gestione aziendale dei ticket interni relativi alla cancellazione dei dati, che non includeva la piattaforma Careers, ove venivano conservati i dati del [reclamante]” (v. nota cit., p. 3);

- “nel caso di specie le suddette circostanze causavano un rallentamento della gestione delle richieste […]. […] nelle dinamiche delle violazioni commesse assumevano, dunque, rilevanza eziologica determinante elementi fattuali di fortuita contingenza e impreviste anomalie di carattere funzionale e organizzativo” (v. nota cit., p. 3);

- “in nessun precedente caso la società ha posto in essere analoghe violazioni […] dunque quelle di cui si discute costituiscono un evento del tutto isolato, che non può in alcun modo essere indice di una diffusa negligenza” (v. nota cit., p. 3);

- “al carattere colposo delle condotte contestate […], a cui la società ha prontamente provveduto a porre rimedio, si è inteso far fronte avviando un processo di revisione e correzione del sistema organizzativo di gestione delle richieste degli interessati” (v. nota cit., p. 3 e 4);

- “sono stati rafforzati i meccanismi organizzativi volti a sopperire alla temporanea mancanza del personale […] Parallelamente, la società […] ha provveduto a implementare l’interrelazione tecnica tra il sistema aziendale di gestione dei ticket interni relativi alla cancellazione dei dati e la piattaforma Careers” (v. nota cit. p. 4);

- “in entrambi i casi sopra richiamati la società ha soltanto ritardato l’adempimento dei suoi obblighi ex art. 12 e 17 del Regolamento nei confronti del [reclamante], le cui legittime pretese hanno poi naturalmente trovato piena soddisfazione” (v. nota cit., p. 4);

- “si ritiene che le violazioni commesse non possano che essere considerate come violazioni «minori» […] e che dunque la loro gravità, anche in termini di potenziali impatti dannosi sull’interessato, non sia particolarmente significativa” (v. nota cit., p. 5);

CONSIDERATO che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”;

RILEVATO che, in base alle risultanze dell’istruttoria, è emerso che la società ha dato un riscontro tardivo all’istanza di accesso e di successiva cancellazione dei dati personali trattati dalla società presentata in data 22 gennaio 2019 dal reclamante in ragione di “una riduzione imprevista e temporanea di organico” e che la cancellazione dei dati è avvenuta solo il giorno 21 giugno 2019;

RILEVATO che il Regolamento, oltre a regolare il trattamento “effettuato nell’ambito di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione”, “si applica [anche] al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività riguardano: […] l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato” (v. art. 3 Regolamento);

RITENUTO che in base alla costante giurisprudenza di legittimità, il diritto di accesso ai propri dati personali, anche nell’ambito del rapporto di lavoro, “non può intendersi, in senso restrittivo, come il mero diritto alla conoscenza di eventuali dati nuovi ed ulteriori rispetto a quelli già entrati nel patrimonio di conoscenza […] atteso che lo scopo del [diritto] è garantire, a tutela della dignità e riservatezza del soggetto interessato, la verifica ratione temporis dell’avvenuto inserimento, della permanenza ovvero  della rimozione di dati, indipendentemente dalla circostanza che tali eventi fossero già stati portati per altra via a conoscenza dell’interessato” (v. Corte di Cass. 14.12.2018, n. 32533);

RILEVATO, altresì, che l’art. 12, par. 3, del Regolamento statuisce che “il titolare del trattamento fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, entro un mese dal ricevimento della richiesta stessa” e che il paragrafo 4 del medesimo articolo precisa, inoltre, che “se non ottempera alla richiesta dell’interessato, il titolare del trattamento informa l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale”;

RILEVATO che in base all’art. 15 del Regolamento a seguito di un’istanza di accesso presentata dall’interessato “il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento”;

RILEVATO, inoltre, che in base all’art. 17 del Regolamento “l’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali” qualora ricorra uno dei motivi espressamente previsti, in particolare se i dati “non sono più necessari rispetto alle finalità per cui sono stati raccolti o altrimenti trattati”;

PRESO ATTO, con riguardo alla richiesta del reclamante di “ingiungere al titolare del trattamento di soddisfare le richieste di esercizio dei diritti di cui agli artt. da 15 a 22 del Regolamento […]  e di conformare i trattamenti alle disposizioni vigenti in materia anche nei confronti del responsabile del trattamento […]”, che la società, aderendo alle richieste dell’interessato del 22 gennaio 2019, seppure successivamente al decorso del termine previsto dall’art. 12, par. 3, del Regolamento e alla presentazione del reclamo all’Autorità, in data 13 marzo 2019 ha inviato una risposta all’interessato e il giorno seguente ha trasmesso i dati oggetto di istanza di accesso mentre solo dopo l’invito ad aderire  inviato da questa Autorità, il 21 giugno 2019 ha definitivamente cancellato  i dati dell’interessato;

RITENUTO pertanto che, relativamente a tale istanza, considerata pure l’assenza di controdeduzioni del reclamante sul punto, non vi siano i presupposti per l’adozione di misure correttive ai sensi dell’art. 58, par. 2, del Regolamento da parte dell’Autorità;

RITENUTO che, sebbene si ravvisi una violazione degli artt. 12, par. 3 e 4, 15 e 17 del Regolamento in relazione alla mancanza di un tempestivo riscontro all’interessato e che quindi, in relazione a tale illiceità del trattamento, il reclamo sia fondato, le richiamate circostanze inducono a qualificare il caso come “violazione minore”, ai sensi dell’art. 83, par. 2, e del considerando 148 del Regolamento;

RITENUTO, tuttavia, che, relativamente al caso in esame occorra ammonire il titolare del trattamento, ai sensi degli artt. 57, par. 1, lett. f) e 58, par. 2, lett. b), del Regolamento, sulla necessità di fornire riscontro ed agevolare l’esercizio dei diritti degli interessati riconosciuti in materia di protezione dei dati personali come sopra rappresentato;

RITENUTO che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Licia Califano;

TUTTO CIÒ PREMESSO, IL GARANTE

a. ai sensi dell’art. 57, par. 1, lett. f), del Regolamento dichiara illecita la condotta tenuta da MSC Cruises S.A. e descritta nei termini di cui in motivazione, consistente nella violazione degli artt. 12, par. 3 e 4, 15 e 17 del Regolamento, in relazione al riscontro e alla cancellazione tardivi da parte della società all’istanza di accesso e di cancellazione presentata dal reclamante;

b. ai sensi dell’art. 58, par. 2, lett. b), del Regolamento ammonisce MSC Cruises S.A. sulla necessità di fornire riscontro tempestivamente alle istanze relative all’esercizio dei diritti presentate dagli interessati e di agevolare l’esercizio stesso dei diritti degli interessati riconosciuti in materia di protezione dei dati personali come rappresentato in motivazione;

c. ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 24 giugno 2020

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia

Scheda

Doc-Web
9445163
Data
24/06/20

Argomenti


Tipologia

Prescrizioni del Garante