g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Solera Italia s.r.l. - 29 settembre 2021 [9719914]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9719914]

Ordinanza ingiunzione nei confronti di Solera Italia s.r.l. - 29 settembre 2021

Registro dei provvedimenti
n. 353 del 29 settembre 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTA la segnalazione presentata ai sensi dell’art. 144 del Codice in data 22 novembre 2018 e regolarizzata il 10 gennaio 2019 dal sig. XX nei confronti di Solera Italia s.r.l.;

ESAMINATA la documentazione in atti

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

PREMESSO

1. Il contenuto della segnalazione che ha dato avvio agli accertamenti.

In data 22 novembre 2018 il sig. XX ha presentato una segnalazione ai sensi dell’art. 144 del Codice nei confronti di Solera Italia s.r.l. (di seguito, la Società), regolarizzandola a seguito di specifico invito dell’Autorità il 10 gennaio 2019, nella quale ha lamentato presunte violazioni del Regolamento ed in particolare: la persistente attività, successivamente all’interruzione del rapporto di lavoro con la Società, degli account di posta elettronica aziendale individualizzati assegnati allo stesso (“XX” e “XX”); l’accesso all’account “XX” da parte di “altri dipendenti della società su mandato di quest’ultima” e l’assenza di informativa in merito al trattamento dei propri dati da parte della Società.

2. L’attività istruttoria nei confronti della Società.

La Società, in risposta a una richiesta di elementi (del 17.5.2019) formulata dall’Ufficio, con nota del 25 giugno 2019 ha dichiarato che:

a. il segnalante ha svolto la sua attività lavorativa “prevalentemente tramite l’indirizzo e-mail XX” (nota 25.6.2019, p. 2);

b. a seguito della fusione per incorporazione di AUTOonline s.r.l., “verso la metà di luglio 2018 […] veniva assegnato [al segnalante] il nuovo account aziendale di posta elettronica (XX) che, tuttavia, veniva effettivamente attivato solo verso la fine di luglio […]. Pertanto, anche dopo la fusione e fino alle ferie estive, il [segnalante] ha continuato ad utilizzare l’indirizzo e-mail: XX” (nota cit., p. 2);

c. “al termine delle ferie estive e in particolare il 28 agosto [2018 il segnalante] veniva licenziato per ragioni oggettive” (nota cit., p. 2);

d. “con lettera del 4 ottobre [2018 il segnalante] lamentava l’avvenuto accesso da parte della Società, dopo la cessazione del rapporto, all’indirizzo e-mail XX […] a fronte di tale deduzione, il [segnalante] non formulava alcuna richiesta, sotto il profilo privacy, nei confronti della società, né richiedeva la cancellazione di tale account di posta elettronica. La società, pur non essendo tenuta, riscontrava tale comunicazione con lettera del 20 novembre [2018]” (nota cit., p. 2);

e. “l’account aziendale di posta elettronica: XX è ancora attivo, esclusivamente per consentire la ricezione di messaggi di posta dall’esterno, previa installazione del messaggio di risposta automatica” (nota cit., p. 3);

f. “l’account aziendale di posta elettronica: XX è stato invece disattivato, con l’inibizione definitiva sia dei messaggi in entrata, sia di quelli in uscita, in data 21 giugno 2019 […] tale account non è mai stato utilizzato dal [segnalante] e, per quanto noto alla società, non dovrebbe nemmeno essere stato comunicato a soggetti esterni alla società” (nota cit., p. 3);

g. “l’account XX è stato mantenuto attivo, nonostante l’intervenuta cessazione del rapporto, esclusivamente per consentire la ricezione di eventuali messaggi di posta elettronica da parte di clienti, fornitori e altri soggetti esterni alla società che, in passato, erano soliti interfacciarsi direttamente con il [segnalante]” (nota cit., p. 3);

h. “la società conserva, tramite server, i messaggi di posta elettronica relativi ad entrambi gli indirizzi (sia XX, sia XX). E ciò in ragione dell’importanza delle mansioni svolte dal [segnalante] e dal correlato grado di autonomia goduto in costanza di rapporto dal dirigente, in particolare nei rapporti con i clienti e fornitori della società. L’esigenza di conservazione, inoltre, è anche correlata al legittimo interesse della società – ai sensi dell’art. 2-undecies, co. 1, lett. e) del Codice – di potersi difendere in relazione non solo al pendente contenzioso giuslavoristico (che […] ha ad oggetto la mera declaratoria di ingiustificatezza del licenziamento), ma anche agli altri potenziali contenziosi che potrebbero essere instaurati da clienti e/o fornitori e/o partner della società” (nota cit., p. 3);

i. “in data 28 novembre 2018 la società ha impostato sull’indirizzo XX un messaggio di risposta automatica” (nota cit., p. 4);

j. “sull’indirizzo di posta XX, invece, non è stato attivato alcun messaggio di risposta automatico in quanto […] tale indirizzo sostanzialmente non risulta essere stato utilizzato dal [segnalante]” (nota cit., p. 4);

k. “non ci risulta che AUTOonline, al momento dell’assunzione del [segnalante], né successivamente, abbia consegnato al segnalante [copia del regolamento aziendale e/o documenti informativi relativamente all’utilizzo dell’account di posta elettronica aziendale]” (nota cit., p. 4);

l. “la società sta implementando un’apposita procedura sull’uso degli account di posta elettronica aziendali” (nota cit., p. 4).

Il 17 marzo 2020, a seguito di una richiesta di ulteriori chiarimenti inviata dall’Autorità in data 26 febbraio 2020, la Società ha dichiarato che:

a. l’account XX “è stato disattivato, con blocco dei messaggi sia in entrata sia in uscita” (nota 17.03.2020, p. 1);

b. “attualmente l’unica forma di trattamento relativa all’account [XX] consiste nella conservazione, tramite server, dei messaggi di posta elettronica inviati e ricevuti. In particolare, il software di posta elettronica è «Microsoft Exchange Server 2016»” (nota cit., p. 1);

c. “nessun dipendente della società ha attualmente accesso a tali messaggi di posta elettronica. A tal fine, nei casi di effettiva necessità, preventivamente verificata dalla società, è possibile richiedere – tramite un ticketing system che consente la tracciatura delle richieste – ad un amministratore di sistema l’assegnazione dei privilegi necessari per accedere ai messaggi di posta elettronica conservati. Tale autorizzazione viene concessa previa approvazione da parte del responsabile IT e delle risorse umane. Si precisa che nemmeno gli amministratori di sistema hanno accesso diretto ai messaggi di posta elettronica, avendo solo la facoltà di concedere i privilegi necessari per l’accesso” (nota cit., p. 1);

d. “i messaggi di posta elettronica inviati e ricevuti [attraverso l’account XX] risultano conservati dal 29 novembre 2010” (nota cit., p. 1);

e. “il periodo di conservazione dei messaggi di posta elettronica [relativamente all’account XX] è di 10 anni dalla cessazione del rapporto di lavoro del [segnalante]. E ciò, in ragione del legittimo interesse della società di potersi difendere, non solo nel contenzioso giuslavoristico promosso dal [segnalante] contro la stessa […], ma anche negli altri potenziali contenziosi che potrebbero essere instaurati da clienti e/o fornitori e/o partner della società” (nota cit., p. 1, 2);

f. l’account XX “è stato definitivamente disattivato, con il blocco dei messaggi sia in entrata sia in uscita in data 21 giugno 2019” (nota cit., p. 1, 2);

g. “tutti i messaggi di posta elettronica (inviati e ricevuti) relativi [all’] account [XX] sono stati cancellati, senza alcuna più possibilità di accesso da parte della società. Pertanto, su questo account non circola alcun dato personale e in relazione allo stesso […] la società non effettua alcun trattamento” (nota cit., p. 2).

3. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e le deduzioni della Società.

Sulla base degli elementi raccolti nell’ambito dell’istruttoria, il 24 giugno 2020, l’Ufficio ha rilevato che la Società ha effettuato un trattamento in violazione della disciplina di protezione dati in quanto:

dopo la cessazione del rapporto di lavoro con il segnalante, la Società ha mantenuto attivi gli account di posta elettronica individualizzati “XX” e “XX” rispettivamente fino al 21 giugno 2019 e in una data, non meglio precisata, compresa tra il riscontro della società del 25 giugno 2019 e il riscontro del 17 marzo 2020;

la Società conserva, tramite server, i messaggi di posta elettronica relativi all’account “XX” a partire dal 29 novembre 2010 e il periodo di conservazione degli stessi è di dieci anni dalla cessazione del rapporto di lavoro; la Società ha conservato i messaggi in entrata e in uscita relativi all’account XX, fino alla loro cancellazione (21 giugno 2019); ciò in virtù del legittimo interesse della società a difendersi nel giudizio pendente con il segnalante e in altri potenziali contenziosi con clienti, fornitori, partner;

la Società non ha fornito un’adeguata informativa al segnalante in merito al trattamento dei dati con riferimento all’utilizzo dell’account di posta elettronica aziendale e ai possibili controlli esercitati sullo stesso dal datore di lavoro in costanza di rapporto e al termine di questo.

In relazione a quanto sopra, ai sensi dell’art. 166, comma 5 del Codice, è stato notificato alla Società l’avvio del procedimento per l’adozione dei provvedimenti correttivi per violazione degli articoli 5, par. 1, lett. a), c), e), 12, 13, 88 del Regolamento, 113 e 114 del Codice.

Con nota del 26 luglio 2020 la Società con memorie difensive ha dichiarato che:

a. il segnalante “veniva assunto da AUTOonline S.r.l.” “con qualifica di dirigente e mansione di Direttore Generale” (nota 26.7.2020, p. 1);

b. “in data 28 maggio 2018, AUTOonline S.r.l. è stata fusa per incorporazione in Autosoft S.r.l. che, contestualmente, assumeva la nuova denominazione sociale di Solera Italia S.p.A.” (v. nota cit., p. 1);

c. “per effetto di tale fusione, il rapporto di lavoro del [segnalante] continuava con [Solera Italia S.p.A.] ex art. 2112 c.c. Di conseguenza, dal settembre 2007 al maggio 2018, ogni vicenda relativa al rapporto di lavoro del [segnalante], ivi compreso i relativi profili privacy, non possono essere imputati [a Solera Italia S.p.a.]. E infatti, se è vero che la Società è il titolare del trattamento ai fini privacy, è altrettanto vero che la stessa, come ente, non può che operare per mezzo di soggetti incaricati, persone fisiche alle quali viene affidata l’attuazione di quanto previsto dalla normativa. Le pretese omissioni in materia di privacy imputate alla Società rientravano certamente nelle attività «necessarie all’avvio di AUTOonline» e, quindi, in considerazione del ruolo ricoperto e delle responsabilità affidate al [segnalante] si deve concludere che ogni adempimento di legge, ivi incluso quello di fornire l’informativa ex artt. 12 e 13 del Regolamento, ricadesse sostanzialmente sullo stesso” (v. nota cit., p. 1, 2);

d. “in data 7 maggio 2020, Solera Italia e il [segnalante] hanno concluso una transazione generale novativa [che] conferma quindi che il [segnalante] non ha mai subito alcun danno in conseguenza delle condotte oggetto della segnalazione del 22 novembre 2019 e che, anche nel caso in cui ciò fosse avvenuto, vi avrebbe definitivamente rinunciato” (la Società non ha prodotto copia del predetto atto di transazione, v. nota cit., p. 2, 3)

e. “l’atto di fusione per incorporazione di AUTOonline S.r.l. nella scrivente Società è stato concluso solamente in data 28 maggio [2018] –nell’immediatezza dell’entrata in vigore del Regolamento – con la conseguenza che, specie da un punto di vista sostanziale, non può addebitarsi a Solera Italia la mancata consegna al [segnalante] dell’informativa sull’utilizzo dell’account «XX», tenuto altresì conto che rientrava nelle responsabilità del segnalante, in qualità di Direttore Generale di AUTOonline S.r.l., anche la compliance della normativa in materia di protezione dei dati personali” (v. nota cit., p. 3);

f. “successivamente alla fusione, il [segnalante] è rimasto dipendente di Solera Italia sino al 28 agosto 2018 e quindi, al netto delle ferie estive, per poco più di due mesi. Peraltro, durante tale periodo il segnalante ha utilizzato esclusivamente l’account «XX» in quanto il nuovo account «XX» veniva attivato solamente verso la fine di luglio 2018 […] e, quindi, non è mai stato impiegato” (v. nota cit., p. 3);

g. “per quanto riguarda le e-mail inviate e ricevute dall’account «XX», quest’ultime sono state conservate in ragione del legittimo interesse della Società – ai sensi dell’art. 2-undecies, co. 1, lett. e) del Codice – di potersi difendere in relazione non solo al contezioso giuslavoristico (ora conciliato), ma anche e soprattutto agli altri potenziali contenziosi che potrebbero essere instaurati da clienti e/o fornitori e/o partner della Società” (v. nota cit., p. 3);

h. “la Società ha determinato la durata della conservazione di tali messaggi di posta elettronica nel rispetto del termine prescrizionale di 10 anni, considerato appunto che i rapporti con i terzi gestiti dal [segnalante] in nome e per conto della Società sono di natura contrattuale e che, pertanto, tale è il termine entro il quale la Società potrebbe ricevere contestazioni e, in caso di cancellazione di tutte le comunicazioni inviate e ricevute, non potrebbe difendersi” (v. nota cit., p. 4);

i. “la Società non ha mai svolto alcun controllo a distanza della attività lavorativa del [segnalante], né una violazione del divieto di indagini sulle opinioni di cui al citato art. 8 dello Statuto dei Lavoratori. Tanto è vero che il [segnalante] non ha svolto alcuna segnalazione, né altra contestazione, sul punto. Inoltre […] nessun dipendente della Società ha accesso ai messaggi di posta elettronica conservati, dovendo a tal fine richiedere – previa verifica dell’effettiva necessità – l’abilitazione ad un amministratore di sistema che provvede all’assegnazione dei privilegi necessari. In ogni caso, l’account aziendale di posta elettronica non può che essere considerato quale strumento di lavoro” (v. nota cit., p. 4);

j. “ai fini dell’art. 83, comma 2 del Regolamento” si precisa che “le «presunte violazioni» oggetto della notifica del 24 giugno 2020 possono tuttalpiù essere imputate alla Società a titolo di colpa, non essendovi alcun elemento idoneo per sostenerne la natura dolosa […] il [segnalante] non ha mai subito alcun pregiudizio in conseguenza di tali «presunte violazioni» […] tali «presunte violazioni» non hanno comunque mai riguardato dati sensibili […] la Società ha dimostrato il massimo grado di cooperazione con il Garante […] la Società non ha mai ricevuto da Codesta Ill.ma Autorità alcun provvedimento ex 58, comma 2 del Regolamento” (v. nota cit., p. 4, 5).

4. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi.

All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, risulta che la Società, in qualità di titolare, ha effettuato alcune operazioni di trattamento di dati personali, riferiti al segnalante, che risultano non conformi alla disciplina in materia di protezione dei dati personali. In proposito si ricorda che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

4.1. Si rileva preliminarmente che, conformemente al costante orientamento della Corte europea dei diritti dell’uomo, la protezione della vita privata si estende anche all’ambito lavorativo, considerato che proprio in occasione dello svolgimento di attività lavorative e/o professionali si sviluppano relazioni dove si esplica la personalità del lavoratore (v. artt. 2 e 41, comma 2, Cost). Tenuto anche conto che la linea di confine tra ambito lavorativo/professionale e ambito strettamente privato non sempre può essere tracciata con chiarezza, la Corte ritiene applicabile l’art. 8 della Convenzione europea dei diritti dell’uomo posto a tutela della vita privata senza distinguere tra sfera privata e sfera professionale (v. Niemietz c. Allemagne, 16.12.1992 (ric. n. 13710/88), spec. par. 29; Copland v. UK, 03.04.2007 (ric. n. 62617/00), spec. par. 41; Bărbulescu v. Romania [GC], 5.9.2017 (ric. n. 61496/08), spec. par. 70-73; Antović and Mirković v. Montenegro, 28.11. 2017 (ric. n. 70838/13), spec. par. 41-42). Pertanto il trattamento dei dati effettuato mediante tecnologie informatiche nell’ambito del rapporto di lavoro deve conformarsi al rispetto dei diritti e delle libertà fondamentali nonché della dignità dell’interessato, a tutela di lavoratori e di terzi (v. Raccomandazione CM/Rec (2015)5 del Comitato dei Ministri agli Stati Membri sul trattamento di dati personali nel contesto occupazionale, spec. punto 3).

4.2. In base agli elementi acquisiti nel corso dell’attività istruttoria è emerso, in primo luogo, che l’interessato non ha mai ricevuto alcuna informativa in merito al trattamento dei dati, svolto dal titolare del trattamento, con riferimento ai dati trattati in conseguenza dell’assegnazione degli account di posta elettronica aziendale. I trattamenti di dati personali, anche nell’ambito del rapporto di lavoro, devono rispettare, tra gli altri, i principi di trasparenza e correttezza; ciò comporta, in particolare, che le caratteristiche essenziali dei trattamenti devono essere rese note ai lavoratori prima che il trattamento venga effettuato (v. sul punto art. 5, par. 1, lett. a) del Regolamento nonché, in proposito Provv. 1° marzo 2007, n. 13 “Linee guida per posta elettronica e internet”, in G. U. n. 58 del 10.3.2007). Il trattamento dei dati in assenza di informativa ne comporta l’illiceità.

Per quanto riguarda l’imputazione della violazione, tenuto conto delle trasformazioni societarie intervenute in costanza del rapporto di lavoro, si osserva che la violazione, seppure iniziata allorquando la titolarità del trattamento era in capo alla AUTOonline s.r.l. e in epoca anteriore all’applicazione del Regolamento, si è certamente protratta anche successivamente posto che anche dopo la fusione per incorporazione di AUTOonline s.r.l. in Solera Italia s.r.l. (effettiva dal 22 maggio 2018, come risulta dalla visura della Società presente nel registro delle imprese) non risulta essere stato adempiuto quanto previsto dall’art. 13 del Regolamento. Non risulta, infatti, che sia stato fornito alcun documento informativo all’interessato con riferimento all’utilizzo degli account di posta elettronica aziendale e ai possibili controlli esercitati sugli stessi dal datore di lavoro in costanza di rapporto ed al termine di questo, ivi compresa la gestione dello stesso dopo la cessazione del rapporto e la conservazione dei dati.

In proposito non rileva quanto sostenuto dalla Società con riferimento al ruolo dirigenziale rivestito dal segnalante all’interno della compagine aziendale: il Regolamento, infatti, precisa che è sul soggetto che riveste il ruolo di titolare del trattamento che grava l’obbligo di fornire la c.d. informativa agli interessati (v. artt. 13 e 14; di contenuto analogo l’art. 13 del Codice nella formulazione previgente alle modifiche apportate dal D. Lgs. 101 del 2018) ed il titolare del trattamento è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” (v. art. 4, punto 7 del Regolamento).
In proposito si rammenta, altresì, che in base a quanto previsto dall’art. 2504-bis del c.c. “La società che risulta dalla fusione o quella incorporante assumono i diritti e gli obblighi delle società partecipanti alla fusione, proseguendo in tutti i loro rapporti, anche processuali, anteriori alla fusione”.

La condotta tenuta dalla Società risulta, pertanto, in contrasto con quanto stabilito dagli artt. 5 par. 1, lett. a), 12 e 13 del Regolamento, in base ai quali il titolare è tenuto a fornire preventivamente all’interessato tutte le informazioni relative alle caratteristiche essenziali del trattamento (cfr. Provv. 1° marzo 2007, n. 13 “Linee guida per posta elettronica e internet”, cit.). L’art, 12, par. 1, in particolare, prevede che “il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14”.

Le violazioni di cui sopra devono essere esaminate anche tenendo in considerazione che, nell’ambito del rapporto di lavoro, informare compiutamente il lavoratore sul trattamento dei suoi dati è espressione del principio generale di correttezza dei trattamenti (v. art. 5, par. 1, lett. a) del Regolamento).

4.3. Sotto altro profilo, l’istruttoria ha consentito di rilevare che la Società, dopo la cessazione del rapporto di lavoro con il segnalante (risalente al 28.8.2018), ha mantenuto attivi gli account di posta elettronica individualizzati assegnati allo stesso - “XX” e “XX” - rispettivamente fino al 21 giugno 2019 e in una data non meglio precisata, compresa tra il riscontro della Società del 25 giugno 2019 e il riscontro del 17 marzo 2020, al dichiarato fine, per quanto riguarda l’account  “XX”, di “consentire la ricezione di eventuali messaggi di posta elettronica da parte di clienti, fornitori e altri soggetti esterni alla società”; nulla, invece, è stato dichiarato in merito alle ragioni per le quali è stato mantenuto attivo l’account “XX” fino al 21 giugno 2019. Solo con riferimento all’account “XX”, inoltre, e comunque solo dal 28 novembre 2018, la Società ha impostato un sistema di risposta automatica volta ad informare i terzi della disattivazione prossima dello stesso.

Considerato in proposito che lo scambio di corrispondenza elettronica − estranea o meno all’attività lavorativa − su un account aziendale di tipo individualizzato configura un’operazione che consente di conoscere alcune informazioni personali relative all’interessato (v. "Linee guida del Garante per posta elettronica e Internet", cit., spec. punto 5.2, lett. b), il Garante ha, con orientamento costante, ritenuto necessario, ai fini della conformità ai principi in materia di protezione dei dati personali (v. Provv.ti 4 dicembre 2019, n. 216, doc. web 9215890; 1° febbraio 2018, n. 53, doc. web n. 8159221, punto 3.4.), che dopo la cessazione del rapporto di lavoro il titolare del trattamento provveda alla rimozione dell’account, previa disattivazione dello stesso e contestuale adozione di sistemi automatici volti ad informarne i terzi e a fornire a questi ultimi indirizzi e-mail alternativi riferiti alla sua attività professionale. Ciò in applicazione dell’art. 5, par. 1, lett. c) del Regolamento.

La condotta tenuta dalla Società non risulta, per tale ragione, conforme al principio di minimizzazione dei dati di cui all’art. 5, par. 1, lett. c) del Regolamento.

4.4. È emerso, altresì, che la Società conserva, tramite server, i messaggi di posta elettronica relativi all’account “XX”, a partire dal 29 novembre 2010, e che il periodo di conservazione degli stessi è di dieci anni, dalla cessazione del rapporto di lavoro “considerato […] che i rapporti con i terzi gestiti dal [segnalante] in nome e per conto della Società sono di natura contrattuale e che, pertanto, tale è il termine entro il quale la Società potrebbe ricevere contestazioni e, in caso di cancellazione di tutte le comunicazioni inviate e ricevute, non potrebbe difendersi”. Per quanto riguarda l’account “XX”, invece, è emerso che la Società ha conservato, tramite server, fino alla loro cancellazione (21 giugno 2019, sulla base di quanto dichiarato dalla Società), tutti i messaggi in entrata e in uscita, sempre per il legittimo interesse della stessa a difendersi nel giudizio pendente con il segnalante e in altri “potenziali contenziosi che potrebbero essere instaurati da clienti e/o fornitori e/o partner della società” (v. nota del 25 giugno 2019 e del 17 marzo 2020). Tale condotta non risulta conforme ai principi di minimizzazione dei dati (art. 5, par. 1, lett. c del Regolamento) e di limitazione della conservazione (art. 5, par. 1, lett. e) del Regolamento).

Il Garante ha infatti in più occasioni affermato che il trattamento di dati personali effettuato per finalità di tutela dei propri diritti in giudizio deve riferirsi a contenziosi in atto o a situazioni precontenziose, non ad astratte e indeterminate ipotesi di possibile difesa o tutela dei diritti, posto che tale estensiva interpretazione, avanzata dalla Società, risulterebbe elusiva delle disposizioni sui criteri di legittimazione del trattamento (v. artt. 6, par. 1, lett. b), c) e f) e 9, par. 2, lett. b) del Regolamento; v., da ultimo, provv. 29 ottobre 2020, n. 214, doc. web 9518890).

In relazione alla rappresentata finalità di far fronte ad eventuali contestazioni da parte di clienti, fornitori, si osserva, altresì, che il Garante ha già ritenuto che la legittima necessità di assicurare la conservazione di documentazione necessaria per l’ordinario svolgimento e la continuità dell’attività aziendale, anche in relazione ai rapporti intrattenuti con soggetti privati e pubblici, nonché in base a specifiche disposizioni dell’ordinamento, è assicurata, in primo luogo, dalla predisposizione di sistemi di gestione documentale con i quali − attraverso l’adozione di appropriate misure organizzative e tecnologiche − individuare i documenti che nel corso dello svolgimento dell’attività lavorativa devono essere via via archiviati con modalità idonee a garantire le caratteristiche di autenticità, integrità, affidabilità, leggibilità e reperibilità prescritte dalla disciplina di settore applicabile. I sistemi di posta elettronica, per loro stessa natura, non consentono di assicurare tali caratteristiche (v. provv. 29 ottobre 2020, n. 214 cit. e provv. 1° febbraio 2018, n. 53, doc. web n. 8159221).

4.5. È, infine, emerso, per quanto riguarda l’account “XX”, che la società ha conservato e conserva in modo sistematico, tramite server, le e-mail in entrata e in uscita dal 29 novembre 2010, per tutta la durata del rapporto di lavoro e per dieci anni successivi alla sua cessazione. Ciò “in ragione del legittimo interesse della società di potersi difendere non solo nel contenzioso giuslavoristico promosso dal [segnalante] contro la stessa […], ma anche negli altri potenziali contenziosi che potrebbero essere instaurati da clienti e/o fornitori e/o partner della società”. In proposito, è altresì, emerso che la società ha la possibilità di accedere sia ai dati esterni sia al contenuto della casella e-mail in costanza di rapporto di lavoro: la Società, infatti, ha dichiarato che “nei casi di effettiva necessità, preventivamente verificata dalla [stessa], è possibile richiedere […] ad un amministratore di sistema l’assegnazione di privilegi necessari per accedere ai messaggi di posta elettronica conservati. Tale autorizzazione viene concessa previa approvazione da parte del responsabile IT e delle risorse umane” (v. nota 17.3.2020, v. anche quanto ribadito nelle memorie difensive del 26.7.2020). La conservazione preventiva e sistematica dei dati esterni e del contenuto delle e-mail inviate e ricevute in occasione dello svolgimento dell’attività lavorativa è idonea a consentire di ricostruire l’attività del dipendente e di effettuare un controllo sulla stessa, anche indirettamente, al di là delle finalità tassativamente ammesse dall’art. 4, l. 20.5.1970, n. 300 e comunque in assenza delle garanzie procedurali ivi previste. In ogni caso, il titolare del trattamento deve sempre rispettare i principi di protezione dei dati (art. 5 del Regolamento). Ciò comporta che i controlli (indiretti o preterintenzionali), entro i limiti stabiliti dalla disciplina di settore, e i connessi trattamenti di dati personali che possono essere lecitamente effettuati dal datore di lavoro, devono essere comunque configurati in modo graduale, previo esperimento di misure meno limitative dei diritti degli interessati.

La condotta tenuta dalla società ha comportato, quindi, un trattamento di dati personali illecito in quanto effettuato in violazione dell’art. 114 del Codice laddove richiama l’art. 4 della l. 20 maggio 1970, n. 300, come condizione di liceità del trattamento.

Tale disciplina lavoristica, pure a seguito delle modifiche disposte con l’art. 23 del decreto legislativo 14 settembre 2015, n. 151, non consente infatti l’effettuazione di attività idonee a realizzare il controllo massivo, prolungato e indiscriminato dell’attività del dipendente (v. provv. 1.2.2018, cit., punto 3.3.).

Attraverso la predetta sistematica conservazione delle e-mail, la Società può, inoltre, conoscere informazioni relative alla vita privata del lavoratore non rilevanti ai fini della valutazione dell’attitudine professionale dello stesso. Ciò considerato anche che nessuna policy relativa all’utilizzo dell’account di posta elettronica aziendale è stata fornita al segnalante, in particolare con riferimento ai limiti dell’uso consentito, anche in ambito extra lavorativo, dell’account stesso, con conseguente formazione di una legittima aspettativa di riservatezza, anche relativamente ad eventuali contenuti privati delle e-mail. In proposito si rileva che la distinzione tra ambito lavorativo/professionale e ambito strettamente privato non è sempre agevolmente individuabile soprattutto nell’attuale contesto lavorativo.

Tale trattamento è pertanto avvenuto in violazione anche dell’art. 113 del Codice che rinvia agli artt. 8, l. 20 maggio 1970, n. 300 e 10 del d. lgs. 10 settembre 2003, n. 276.

Ciò configura pertanto la violazione del principio di liceità del trattamento (art. 5, par. 1, lett. a) del Regolamento in relazione agli artt. 113 e 114 del Codice) nonché dell’art. 88 del Regolamento in quanto gli artt. 113 e 114 costituiscono norme del diritto nazionale “più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro” individuate dall’art. 88 del Regolamento.
Si rammenta infine che, in base all’art. 2-decies del Codice, “i dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati, salvo quanto previsto dall’articolo 160-bis”.

5.  Obblighi imposti dal Regolamento in materia di informativa e tempi di conservazione.

Si rammenta, ai sensi dell’art. 57, par. 1, lett. d) del Regolamento, che la Società, in qualità di titolare del trattamento, deve conformare al Regolamento i propri trattamenti in merito alla corretta predisposizione dei documenti contenenti l’informativa relativamente all’utilizzo degli account di posta elettronica aziendale e ai possibili controlli esercitati sugli stessi dal datore di lavoro in costanza di rapporto ed al termine di questo. Il titolare del trattamento deve, altresì, conformare i propri trattamenti ai principi di limitazione della conservazione e di minimizzazione dei dati, nonché a quanto previsto dagli artt. 113 e 114 del Codice, ricorrendone i presupposti.

6. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Per i suesposti motivi l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati personali effettuato dalla Società risulta, infatti, illecito, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a), c) ed e) (principi di liceità, correttezza, minimizzazione e limitazione della conservazione); 12 e 13 (informativa); 88 (trattamento dei dati nell'ambito dei rapporti di lavoro) del Regolamento, 113 (raccolta di dati e pertinenza) e 114 (garanzie in materia di controllo a distanza) del Codice.

Visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento, alla luce delle circostanze del caso concreto, si dispone il divieto dell’ulteriore trattamento dei dati estratti dall’account di posta elettronica aziendale riferito al segnalante in relazione al quale la Società ha dichiarato di continuare a conservare le e-mail dello stesso (“XX”), fatta salva la loro conservazione per esclusiva finalità di tutela dei diritti in sede giudiziaria, per il tempo necessario a tale scopo, tenuto conto che, ai sensi dell’art. 160-bis del Codice, “La validità, l'efficacia e l’utilizzabilità nel procedimento giudiziario di atti, documenti e provvedimenti basati sul trattamento di dati personali non conforme a disposizioni di legge o di Regolamento restano disciplinate dalle pertinenti disposizioni processuali”.

7. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

All’esito del procedimento risulta che Solera Italia s.r.l. ha violato gli artt. 5, par. 1, lett. a), c) ed e) del Regolamento; 12 e 13 del Regolamento; 88 del Regolamento; 113 e 114 del Codice. Per la violazione delle predette disposizioni è prevista l’applicazione della sanzione amministrativa di cui all’art. 83, par. 5, del Regolamento.

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, considerato che le accertate violazioni dell’art. 5 del Regolamento sono da considerarsi più gravi, in quanto relative alla inosservanza di una pluralità di principi di carattere generale applicabili al trattamento di dati personali e delle norme di settore applicabili, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto per la predetta violazione. Conseguentemente si applica la sanzione prevista dall’art. 83, par. 5, lett. a), del Regolamento, che fissa il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore.

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

a) in relazione alla natura, gravità e durata della violazione è stata considerata rilevante la natura della violazione che ha riguardato i principi generali del trattamento, tra cui il principio di liceità (disposizioni più specifiche riguardo ai trattamenti nell’ambito dei rapporti di lavoro), correttezza e trasparenza;

b) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare è stata presa in considerazione la condotta della Società e il grado di responsabilità della stessa che non si è spontaneamente conformata, neanche dopo l’avvio del procedimento, alla disciplina in materia di protezione dei dati relativamente a una pluralità di disposizioni;

c) a favore della Società si è tenuto conto dell’assenza di precedenti specifici.

Si ritiene, inoltre, che assumano rilevanza, nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla società con riferimento al bilancio d’esercizio per l’anno 2020 (che ha registrato perdite di esercizio).

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Solera Italia s.r.l. la sanzione amministrativa del pagamento di una somma pari ad euro 10.000,00 (diecimila).

In tale quadro si ritiene, altresì, in considerazione della natura e della gravità delle violazioni accertate, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante.

Si ritiene, altresì, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

rileva l’illiceità del trattamento effettuato da Solera Italia s.r.l., in persona del legale rappresentante, con sede legale in Via Duccio di Boninsegna, 10, Milano (MI), C.F. 01664900592, ai sensi dell’art. 143 del Codice, per la violazione degli artt. 5, par. 1, lett. a), c) ed e); 12 e 13; 88 del Regolamento; 113 e 114 del Codice;

IMPONE

a Solera Italia s.r.l., ai sensi dell’art. 58, par. 2, lett. f) del Regolamento il divieto dell’ulteriore trattamento dei dati estratti dall’account di posta elettronica aziendale riferito al segnalante in relazione al quale la Società ha dichiarato di continuare a conservare le e-mail dello stesso, fatta salva la loro conservazione per esclusiva finalità di tutela dei diritti in sede giudiziaria, per il tempo necessario a tale scopo, nei limiti di cui all’art. 160-bis del Codice;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento a Solera Italia s.r.l., di pagare la somma di euro10.000,00 (diecimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/20129, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

Richiede a Solera Italia s.r.l. di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto disposto con il presente provvedimento e di fornire comunque riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice, entro il termine di 60 giorni dalla data di notifica del presente provvedimento; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 5, lett. e) del Regolamento. In caso di inosservanza del provvedimento di divieto si applica quanto previsto dall’art. 170 del Codice.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 29 settembre 2021

IL PRESIDENTE
Scorza

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei