[doc. web n. 9445710]

Ordinanza ingiunzione nei confronti di GTL s.r.l. - 2 luglio 2020

Registro dei provvedimenti
n. 125 del 2 luglio 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il dott. Antonello Soro, presidente, la dott.ssa Giovanna Bianchi Clerici e la prof.ssa Licia Califano, componenti, e il dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presenato al Garante ai sensi dell’articolo 77 del Regolamento da XX concernente il trattamento di dati personali riferiti all’interessato effettuato da GTL s.r.l.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Licia Califano;

PREMESSO

1. Il reclamo nei confronti della società e l’attività istruttoria.

1.1. Con reclamo del 17 gennaio 2019 il Sig. XX, rappresentato e difeso dall’avvocato XX, ha lamentato presunte violazioni del Regolamento da parte di GTL s.r.l. (di seguito, la società), con riferimento all’omesso riscontro all’istanza di accesso, presentata dal reclamante ai sensi dell’art. 15 del Regolamento in data 26 novembre 2018, ai propri dati personali detenuti dalla società, in particolare contenuti nei “fogli di registrazione e i tabulati” estratti dal cronotachigrafo e quelli “scaricati dalla carta del conducente relativa ai viaggi effettuati” dal reclamante stesso.

Con nota del 26 marzo 2019 l’Ufficio ha invitato la società a fornire riscontro in ordine ai fatti oggetto di reclamo, indicando all’Autorità le determinazioni adottate in relazione all’istanza di accesso del reclamante. La richiesta, in assenza di riscontro da parte della società, è stata rinnovata con nota del 17 giugno 2019 ai sensi dell’art. 157 del Codice.

1.2. Non essendo pervenuto riscontro da parte della società l’Ufficio ha delegato al Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza l’effettuazione di un accertamento ispettivo al fine di acquisire le informazioni richieste, che è stato compiuto il 2 ottobre 2019 presso la sede legale della società.

Nell’occasione (v. verbale di operazioni compiute del 2.10.2019) il delegato del legale rappresentante della società ha dichiarato che:

a. “il reclamante utilizzava esclusivamente un automezzo con disco orario cartaceo”;

b. dalla carta di circolazione dell’autoveicolo in uso al reclamante, fornita in copia, si evince che “sul veicolo è installato un sistema disco cronotachigrafo in modalità cartacea DDT”;

c. il reclamante “non ha mai utilizzato automezzi con sistema automatizzato”;

d. il rapporto di lavoro con il reclamante è cessato in data 16 marzo 2018 a seguito delle dimissioni rassegnate dal medesimo;

e. “alla richiesta di deposito dei dischi del cronotachigrafo [il reclamante] ha risposto che li avrebbe restituiti al saldo delle sue spettanze lavorative”;

f. “a causa del crollo del ponte Morandi di Genova […] l’azienda non ha più provveduto al saldo, in quanto c’è stato un forte calo di lavoro”;

g. “verbalmente [il reclamante] è stato notiziato […] che la società non è in possesso dei dischi del cronotachigrafo, poiché mai consegnati [da] quest’ultimo”;

h. “la società per dimenticanza non ha dato risposta all’Autorità”.

1.3. Il 7 novembre 2019 l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione alla società delle presunte violazioni del Regolamento riscontrate, con riferimento agli artt. 12 e 15 del Regolamento e all’art. 157 del Codice. Con nota del 18 novembre 2019 la società, tramite l’avvocato Roberto Piazza, ha dichiarato che:

a. come già precisato nel verbale del 2.10.2019 “la Società, per mera dimenticanza non ha provveduto a fornire esaustivo riscontro alle […] richieste [dell’Autorità]”;

b. il reclamante “ha arbitrariamente ed ingiustificatamente trattenuto la documentazione dei dischi del cronotachigrafo paventando la restituzione al momento del saldo delle proprie spettanze”;

c. la società ha operato in “assoluta buona fede” e pur “riconoscendo la propria negligenza nel non aver […] dato tempestivo riscontro” all’Autorità chiede l’eventuale “applicazione delle sanzioni di cui all’art, 83 del Regolamento, nella misura del minimo edittale”.

2.  L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”, emerge che la società non ha fornito riscontro all’istanza di accesso presentata ai sensi dell’art. 15 del Regolamento in data 26 novembre 2018 dal Sig. XX tramite Pec, avente ad oggetto la “copia dei fogli di registrazione e i tabulati” estratti dal cronotachigrafo e i “dati scaricati dalla carta del conducente relativa ai viaggi effettuati” dal reclamante. L’aver rappresentato “verbalmente” al reclamante, come dichiarato all’Autorità, che la società non era in possesso della documentazione richiesta, oltre ad essere circostanza non provata nè documentata, non soddisfa comunque quanto richiesto dalle disposizioni applicabili in materia di protezione dei dati personali. Infatti in base all’art. 12, par. 1, del Regolamento “Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall'interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l'identità dell'interessato”. Inoltre, in base al par. 3 dell’art. 15 del Regolamento “Se l'interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dell'interessato, le informazioni sono fornite in un formato elettronico di uso comune”. La società avrebbe quindi dovuto comunque fornire un riscontro all’interessato, anche negativo, con modalità conformi a quanto prescritto dall’ordinamento, rappresentando di non essere in possesso dei dati oggetto dell’istanza.

Pertanto la società non ha ottemperato all’obbligo di fornire riscontro all’interessato a seguito dell’esercizio di uno dei diritti previsti dal Regolamento - nel caso di specie il diritto di accesso ai sensi dell’art. 15 -, così come prescritto dall’art. 12 del Regolamento in base al quale “il titolare del trattamento fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa”.

Ciò pertanto è avvenuto in violazione degli artt. 12 e 15 del Regolamento.

2.2. È altresì emerso che la società ha omesso di fornire riscontro alla richiesta di informazioni del 17 giugno 2019 formulata da questa Autorità ai sensi dell’art. 157 del Codice, dopo l’invio – rimasto senza riscontro – di un precedente invito ad aderire in data 26 marzo 2019. In base al citato articolo 157 del Codice “Nell'ambito dei poteri di cui all'articolo 58 del Regolamento, e per l'espletamento dei propri compiti, il Garante può richiedere al titolare, […] di fornire informazioni e di esibire documenti”. L’art. 166, comma 2, del Codice stabilisce che la violazione dell’art. 157 del Codice è soggetta alla sanzione amministrativa di cui all’articolo 83, par. 5, del Regolamento.

Ciò pertanto è avvenuto in violazione dell’art. 157 in relazione a quanto previsto dall’art. 166, comma 2, del Codice.

3. Conclusioni: illiceità del trattamento. Provvedimento sanzionatorio ex art. 58, par. 2, Regolamento.

Per i suesposti motivi, il trattamento dei dati personali riferiti al reclamante effettuato dalla società attraverso l’omesso riscontro alla istanza di accesso da questi presentata, nonché l’aver omesso di fornire riscontro alla richiesta di informazioni formulata dall’Autorità ai sensi dell’art. 157, risulta illecito, nei termini su esposti, in relazione agli artt. 12 e 15 del Regolamento e dell’art. 157 del Codice.
Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento, alla luce delle circostanze del caso concreto si dispone una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) Regolamento).

4. Ordinanza ingiunzione.

Ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166, commi 3 e 7 del Codice, il Garante dispone l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento, mediante adozione di un’ordinanza ingiunzione (art. 18, l. 24.11.1981, n. 689), in relazione al trattamento dei dati personali riferiti al reclamante effettuati dalla società attraverso l’omesso riscontro alla istanza di esercizio del diritto di accesso nei termini previsti dall’ordinamento, nonché in relazione all’omesso riscontro alla richiesta di informazioni formulata dall’Autorità, di cui è risultata accertata l’illiceità, nei termini su esposti, in relazione agli artt. 12 e 15 del Regolamento e dell’art. 157 del Codice, all’esito del procedimento di cui all’art. 166, comma 5 svolto in contraddittorio con il titolare del trattamento (v. precedente punto 1.3).

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, considerato che le accertate violazioni sono soggette alla sanzione prevista dall’art. 83, par. 5 del Regolamento, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5, fissato nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore.

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

a) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare è stata presa in considerazione la negligente condotta della società e il grado di responsabilità della stessa che non si è conformata alla disciplina in materia di protezione dei dati relativamente ad una pluralità di disposizioni;

b) l’assenza di precedenti specifici (relativi alla stessa tipologia di trattamento) a carico della società.

Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla società con riferimento al bilancio abbreviato d’esercizio per l’anno 2015. Da ultimo si tiene conto della comminatoria edittale disposta, nel regime previgente, per gli illeciti amministrativi corrispondenti e dell’entità delle sanzioni irrogate in casi analoghi.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di GTL s.r.l. la sanzione amministrativa del pagamento di una somma pari ad euro 3.000,00 (tremila).

In tale quadro si ritiene, altresì, in considerazione della tipologia di violazione accertata, che ha riguardato il diritto di accesso ai dati e l’omesso riscontro alle richieste dell’Autorità, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante.

Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

dichiara l’illiceità della condotta tenuta da GTL s.r.l. ai sensi degli artt. 57, par. 1, lett. f) e 83 del Regolamento, per la violazione degli artt. 12 e 15 del Regolamento, nonché dell’art. 157 del Codice;

ORDINA

a GTL s.r.l., in persona del legale rappresentante pro-tempore, con sede legale via Gagarin 12, 92023 Campobello di Licata (AG) CF: 02764100844, ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, di pagare la somma di euro 3.000,00 (tremila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

altresì alla medesima Società di pagare la somma di euro 3.000,00 (tremila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1/9/2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019, e ritiene che ricorrano i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 2 luglio 2020

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia