g-docweb-display Portlet

Provvedimento del 25 marzo 2021 [9583835]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9583835]

Provvedimento del 25 marzo 2021

Registro dei provvedimenti
n. 104 del 25 marzo 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, l’avv. Guido Scorza e il dott. Agostino Ghiglia, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTI i reclami presentati al Garante ai sensi dell’articolo 77 del Regolamento in data 22 e 28 maggio 2020 dai sig.ri XX, XX, XX, XX e XX – rappresentati e difesi dall’avvocato Laura Latini −, nei confronti di Coopservice Societa' Cooperativa Per Azioni (di seguito, “la società”), con i quali sono state lamentate presunte violazioni del Regolamento con riferimento all’esercizio del diritto di accesso degli interessati ai dati personali trattati nel corso del rapporto di lavoro;

VISTO che i reclamanti hanno rappresentato di aver inviato alla società, in data 11 giugno 2018, 16 marzo e 22 ottobre 2019 e 6 febbraio 2020, istanze di accesso ai propri dati personali contenuti nel “tabulato delle timbrature (con l’indicazione di entrata, uscita, ore di lavoro straordinario, turni di riposo, malattie, ferie) dalla data di assunzione fino alla data odierna”, senza ricevere alcun riscontro;

VISTA la nota del 12 agosto 2020 con la quale l’Autorità ha invitato la società all’adesione spontanea a quanto richiesto nel reclamo;

VISTA la nota di riscontro ricevuta il 10 settembre 2020 con la quale la società ha provveduto ad inviare sia all’Autorità che agli interessati i dati oggetto delle istanze di accesso, mediante produzione delle “copie del LUL [dove] vengono indicate tutte le ore prestate, riposi, ferie, permessi, malattie ed eventuali infortuni, per ogni singolo operatore dalla data di assunzione ad oggi”;

VISTO che il 13 ottobre 2020 l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione al titolare del trattamento delle presunte violazioni, in relazione agli articoli 12 e 15 del Regolamento;

VISTO, altresì, che con nota del 12 novembre 2020 la società ha rappresentato che:

la società “offre sul mercato servizi di varia natura ad aziende ed enti pubblici [e] nel corso dell’esercizio 2019 […] ha impiegato […] n. 16.149 lavoratori e soci lavoratori” (v. nota 12 novembre 2020 cit., p. 1);

“l’appalto […] presso il quale sono impiegati [i reclamanti] è negli anni stato allocato in diversi rami aziendali […] a seguito di riorganizzazione complessiva del compendio aziendale avvenuta nel periodo 2018-2020 […] con conseguente passaggio della competenza amministrativa nella gestione del rapporto di lavoro ad uffici diversi” (v. nota cit., p. 2);

nell’ambito di una “pluralità di richieste” formulate dal medesimo avvocato, su mandato delle lavoratrici e dei lavoratori, relative “anche [ad] aspetti inerenti le condizioni di lavoro ed il versamento delle quote sindacali”, la società ha ritenuto “erroneamente superate in quanto risolte” anche le istanze di accesso ai dati presentate dai reclamanti (v. nota cit., p. 4);

pertanto “a seguito dell’istruttoria interna [la società] ha valutato che il mancato riscontro […] sia stato connotato da mero errore e non certamente dalla volontà di non rispettare il diritto di accesso” (v. nota cit., p. 5);

“le risultanze del c.d. LUL […] inviate agli interessati riflettono fedelmente il contenuto delle buste paga tempo per tempo già a mano dei medesimi” (v. nota cit., p. 5);

la società ha adottato misure relative “alla corretta gestione delle richieste di accesso ai dati personali (e più in generale, di esercizio dei diritti da parte degli interessati)”, fornendo indicazioni attraverso il Regolamento aziendale e il Codice disciplinare del 31 ottobre 2019, nonché fornendo istruzioni alle figure designate e mettendo a disposizione nella Intranet aziendale “una specifica funzione di «richiesta di intervento» selezionando la quale il dipendente […] accede ad un menù nel quale compare l’opzione «Esercizio diritti art. 7»”, il cui utilizzo consente di  effettuare l’istanza di accesso “anche con riferimento ad una macro tipologia di dati” (v. nota cit., p. 2-3);

VISTO, infine, che con nota del 10 marzo 2021 i reclamanti hanno da ultimo rappresentato che “la società ha provveduto a fornire la documentazione richiesta, oggetto dei reclami depositati, e a chiarire la sua posizione”;

CONSIDERATO che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”;

RILEVATO che in base all’art. 12, par. 2 del Regolamento “il titolare agevola l’esercizio dei diritti dell’interessato ai sensi degli articoli da 15 a 22”;

RILEVATO, altresì, che l’art. 12, par. 3, del Regolamento statuisce che “il titolare del trattamento fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, entro un mese dal ricevimento della richiesta stessa”;

RILEVATO che in base all’art. 15, par. 1, del Regolamento “l’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso di ottenere l’accesso ai dati personali e alle […] informazioni [indicate nello stesso articolo 15], e che in base al paragrafo 3 del medesimo articolo “il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento”;

RITENUTO, altresì, che in base alla costante giurisprudenza di legittimità, il diritto di accesso ai propri dati personali, anche nell’ambito del rapporto di lavoro, “non può intendersi, in senso restrittivo, come il mero diritto alla conoscenza di eventuali dati nuovi ed ulteriori rispetto a quelli già entrati nel patrimonio di conoscenza […] atteso che lo scopo del [diritto] è garantire, a tutela della dignità e riservatezza del soggetto interessato, la verifica ratione temporis dell’avvenuto inserimento, della permanenza ovvero  della rimozione di dati, indipendentemente dalla circostanza che tali eventi fossero già stati portati per altra via a conoscenza dell’interessato” (v. Corte di Cass. 14.12.2018, n. 32533);

RILEVATO che, in base alle risultanze dell’istruttoria, è emerso che la società ha fornito riscontro alle istanze di esercizio dei diritti di accesso ai propri dati personali trattati nell’ambito del rapporto di lavoro presentate dagli interessati solo a seguito della presentazione di distinti reclami all’Autorità e dell’avvio, da parte di quest’ultima, del relativo procedimento;

RITENUTO che, relativamente alla richiesta formulata con il reclamo di “ingiungere al titolare del trattamento di soddisfare le richieste di esercizio dei diritti di cui agli artt. da 15 a 22 del Regolamento”, non vi siano i presupposti per l’adozione di provvedimenti da parte dell’Autorità;

RITENUTO che, sebbene si ravvisi una violazione dell’art. 12, par.  2 e 3, con riferimento all’art. 15 del Regolamento, in relazione al mancato riscontro alle istanze di accesso presentate dai reclamanti e che quindi, in relazione a tale profilo di illiceità del trattamento, i reclami siano fondati, le richiamate circostanze relative alle azioni intraprese dal titolare del trattamento nel corso del procedimento davanti all’Autorità inducono a qualificare il caso come “violazione minore”, ai sensi dell’art. 83, par. 2, e del considerando 148 del Regolamento;

RITENUTO, tuttavia, che, relativamente al caso in esame occorra ammonire il titolare del trattamento, ai sensi degli artt. 143 del Codice e 58, par. 2, lett. b), del Regolamento, sulla necessità di fornire effettivo riscontro alle istanze di esercizio dei diritti nei termini e con le modalità previsti dal richiamato art. 12 del Regolamento, agevolandone l’esercizio, se del caso anche attraverso una rivalutazione delle misure già adottate dalla società;

RITENUTO che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

TUTTO CIÒ PREMESSO, IL GARANTE

a. ai sensi dell’art. 143 del Codice dichiara illecita la condotta tenuta da Coopservice Societa' Cooperativa Per Azioni, con sede legale in Via Rochdale, 5, Reggio Emilia (RE), P.I. 00310180351, e descritta nei termini di cui in motivazione, consistente nella violazione dell’art. 12, par. 2 e 3 con riferimento all’art. 15 del Regolamento, in relazione all’omesso riscontro alle istanze di accesso presentate dai reclamanti;

b. ai sensi dell’art. 58, par. 2, lett. b), del Regolamento ammonisce Coopservice Societa' Cooperativa Per Azioni sulla necessità di fornire effettivo riscontro alle istanze di esercizio dei diritti nei termini e con le modalità previsti dal richiamato art. 12 del Regolamento, se del caso anche attraverso una rivalutazione delle misure già adottate dalla società;

c. ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 25 marzo 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
9583835
Data
25/03/21

Argomenti


Tipologie

Prescrizioni del Garante