g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Poste Italiane S.p.a. - 6 ottobre 2022 [9844498]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9844498]

Ordinanza ingiunzione nei confronti di Poste Italiane S.p.a. -  6 ottobre 2022

Registro dei provvedimenti
n. 378 del 6 ottore 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il Prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il reclamo presentato al Garante ai sensi dell’articolo 77 del Regolamento in data 21 novembre 2021, con il quale la Sig.ra XX ha lamentato una presunta violazione del Regolamento, con specifico riferimento al mancato riscontro alla richiesta di accesso ai dati personali formulata ai sensi degli artt. 15 del Regolamento e 2-terdecies del d.lgs. 196/2003 (Codice in materia di protezione dei dati personali, come aggiornato dal d.lgs. 101/2018) nei confronti di Poste Italiane S.p.a.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

PREMESSO

1. Il reclamo e l’attività istruttoria.

1.1 Con il reclamo presentato a questa Autorità il 21/11/2021, la Signora XX ha lamentato di non aver ottenuto riscontro, da parte di Poste italiane S.p.a. (di seguito “Poste” o “la società”), a una richiesta di accesso ai dati personali formulata ai sensi degli artt. 15 del Regolamento e 2 terdecies del Codice quale erede delle defunte XX e XX.

A seguito dell’invito formulato dall’Ufficio a fornire osservazioni in ordine ai fatti oggetto del reclamo nonché ad aderire spontaneamente alle istanze formulate dalla reclamante, la Società, con nota pervenuta il 18/03/2022, ha rappresentato di avere fornito all’interessata i dati e le informazioni richieste con le comunicazioni del 21/01/2022 (di cui ha allegato copia), precisando che, “a causa di un mero errore materiale e circostanziato”, l’istanza di accesso avanzata dalla reclamante con pec del 16/10/2021 è stata presa in carico dal Centro Servizi Privacy solo il 12 gennaio 2022; in pari data, al fine di accertare l’esistenza dei requisiti soggettivi di legittimità in capo all’interessata rispetto ad entrambe le posizioni richieste, il medesimo ufficio ha chiesto alla stessa un’integrazione documentale (il certificato di morte, la copia dell’atto notorio o della dichiarazione sostitutiva di atto di notorietà attestante lo status di erede relativamente ad entrambe le de cuius nonché copia di un documento d’identità o equipollente in corso di validità); quindi, non appena acquisita la documentazione richiesta, la Società ha provveduto a inviare all’interessata, in data 21/01/2022, i riscontri anzi citati.

La società ha inoltre evidenziato come “l’errore materiale e circostanziato” che ha determinato il ritardo nel riscontro all’interessata è stato “verosimilmente dovuto anche alla numerosità delle istanze nel periodo in questione”, sottolineando altresì - “a testimonianza della buona fede” - di avere fornito tutte le informazioni necessarie “prima dell’intervento di codesta Autorità”.

1.2 Con nota del 20/04/2022 l’Ufficio, sulla base della documentazione in atti e degli elementi acquisiti nel corso dell’istruttoria, ha provveduto a notificare a Poste Italiane S.p.a. l’avvio del procedimento per l’adozione dei provvedimenti di cui agli artt. 58, par. 2, e 83 del Regolamento, in conformità a quanto previsto dall’art. 166, comma 5, del Codice, in relazione alla violazione degli artt. 12 e 15 del Regolamento. Con la medesima nota la società è stata invitata a produrre scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, legge n. 689 del 24 novembre 1981).

Con nota del 20/05/2022, Poste Italiane S.p.a., nell’avanzare richiesta di audizione, ha fatto pervenire i propri scritti difensivi, che qui integralmente si richiamano, con i quali, nel descrivere le procedure adottate “per la gestione dei diritti degli interessati”, ha ricostruito le circostanze specifiche relative alla violazione occorsa nel caso di specie, evidenziando che:

a) per la gestione delle istanze di accesso avanzate dagli interessati la Società, in un’ottica di accountability, ha provveduto ad adottare apposite “Linee Guida” individuando, altresì, “il Centro Servizio Privacy (di seguito, anche “CSP”) quale Struttura a cui spetta il compito di gestire ed attuare, in collaborazione con le Funzioni aziendali competenti, le attività inerenti la gestione dei diritti degli interessati al fine di fornire riscontro alle richieste pervenute”, entro i termini stabiliti dalla normativa; in particolare, “il CSP, con un nucleo di risorse dedicate nell’ambito della Funzione Privacy di Poste Italiane, […] adeguatamente ed appositamente istruito, funge da punto di raccolta, gestione efficiente e centralizzata delle istanze medesime […]” anche attraverso l’utilizzo di “una piattaforma informatizzata che ne consente la corretta tracciabilità e il relativo monitoraggio (stato della richiesta, termini di lavorazione e esito dell’istanza presentata); […] nondimeno è prevista parallelamente un’attività di reporting che si prefigge l’obiettivo di accertare il corretto andamento dei processi, individuare possibili aree di miglioramento e programmare eventuali interventi correttivi. Inoltre, Poste Italiane, con riferimento al sistema di gestione della sicurezza delle informazioni, intende rappresentare a codesta Autorità Garante come il proprio CSP abbia ottenuto - sin dal novembre 2015 - la Certificazione ISO27001 per i processi relativi alla gestione del presunto data breach e per la gestione delle istanze privacy”;

b) le procedure e le misure anzi descritte non consentono tuttavia alla Società di “eliminare del tutto il rischio che possano configurarsi errori materiali e circostanziati riconducibili ad una mera ed eccezionale (umana) disattenzione di un dipendente addetto alla gestione delle istanze, pur se appositamente istruito ed addestrato. Infatti, all’esito di un’attenta analisi interna al CSP volta a verificare e comprovare il ritardo del riscontro verificatosi nel caso di specie, è stato acclarato che l’operatore che ha preso in carico l’istanza abbia inserito un errato tempo di lavorazione della stessa all’interno della piattaforma informatizzata […], trascurando l’invio della richiesta di integrazione documentale all’interessata necessaria nel caso di specie. Infatti, seppur Poste Italiane adotti ogni misura di sicurezza adeguata ad attenuare e contenere il rischio per i diritti e le libertà degli interessati, istruendo adeguatamente il proprio personale, il caso di specie, dovuto ad un mero errore individuale, rappresenta un evento eccezionale, verosimilmente dovuto anche al fattore concorrente della numerosità delle istanze nel periodo in questione”. Al riguardo si evidenzia che “nel periodo gennaio-dicembre 2021 – è stato gestito un numero veramente elevato di richieste avanzate dalla clientela, pari a n. 4.987 istanze ai sensi degli artt. 15 e ss. RGPD, a fronte di n. 2.469 del 2020 e di n. 788 del 2019. Gli incrementi numerici registrati sono pertanto di solare evidenza”;

c) se dunque è pacifico che nel caso di specie “il CSP ha superato – seppur per un breve periodo – i trenta giorni previsti dall’art. 12 par. 3 del RGPD a causa di un errore materiale e circostanziato nella gestione della richiesta mediante la piattaforma informatica in uso a supporto”, purtuttavia la Società, “accertata l’identità della reclamante e la sua legittimazione ad esercitare il diritto di accesso presentato rispetto alle posizioni delle de cuius,  si è immediatamente attivata per fornire pronto e completo riscontro alla sig.ra XX, prima di venire a conoscenza del reclamo presentato dalla stessa e prima di ricevere l’invito ad aderire da Codesta Autorità. Tale circostanza è riprova dell’oggettiva e chiara buona fede di Poste Italiane” che, peraltro, “non è conoscenza di reclami presentati a codesta Autorità, aventi ad oggetto la medesima contestazione; ciò a riprova dell’eccezionalità della casistica”.

In data 22 giugno 2022 si è svolta l’audizione richiesta da Poste Italiane S.p.a. ai sensi dell’art. 166, comma 6, del Codice.

Nel corso della stessa la Società, nel riportarsi integralmente a quanto già rappresentato negli scritti difensivi, ha sottolineato di essere da sempre impegnata in una costante attività di formazione e di sensibilizzazione del personale al rispetto della normativa privacy, anche attraverso incontri informativi “occasionali” nel corso dei quali, prendendo spunto dall’analisi di fatti accaduti, viene rinnovato l’invito al rigoroso rispetto delle procedure operative adottate dalla società per la gestione delle istanze privacy.

Al riguardo, la parte ha prodotto un estratto delle “Linee Guida gestione diritti degli interessati” concernente la “procedura operativa Gestione istanze privacy” recante il dettaglio della procedura che ciascun addetto al Centro Servizi Privacy è tenuto ad osservare nella gestione delle istanze medesime.

2. L’esito dell’istruttoria.

2.1 All’esito delle dichiarazioni rese dalla Società nel corso del procedimento, premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice, è emerso che, nel caso in esame, Poste Italiane S.p.a. non ha fornito riscontro alla richiesta di accesso ai dati personali formulata dalla reclamante entro il termine previsto dall’art. 12, par. 3 del Regolamento (“senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta”), né ha provveduto ad informare l’istante, entro il medesimo termine, dei motivi dell'inottemperanza nonché della possibilità di proporre reclamo a un'autorità di controllo e di proporre ricorso giurisdizionale (art. 12, par. 4 del Regolamento), limitandosi a rappresentare che il ritardo è stato determinato da “un mero errore materiale e circostanziato”, senza fornire al riguardo ulteriori elementi di precisazione.

Tuttavia, nel corso del procedimento, la Società ha illustrato nel dettaglio le circostanze dell’”errore materiale” che ha determinato il ritardo nel riscontro all’interessata e la conseguente operatività del Centro Servizi Privacy che, non appena acquisita contezza dell’errore, ha provveduto a richiedere alla stessa la documentazione necessaria alla corretta istruttoria dell’istanza e, successivamente, a fornirLe le informazioni richieste.

3. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2 del Regolamento.

Per i suesposti motivi l’Autorità ritiene che le dichiarazioni rese dal titolare del trattamento nelle memorie difensive - della cui veridicità si può essere chiamati a rispondere ai sensi del citato art. 168 del Codice - seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentirne l’archiviazione, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del regolamento del Garante n. 1/2019, concernente le procedure interne all’Autorità aventi rilevanza esterna.

L’omesso tempestivo riscontro all’istanza di accesso formulata dall’interessata risulta infatti illecito, nei termini su esposti, per violazione dell’art. 12, par. 3 e 4 del Regolamento;  d’altro lato, relativamente alla richiesta di “ingiungere al titolare del trattamento di soddisfare le richieste di esercizio dei diritti di cui agli artt. da 15 a 22 del Regolamento”, in considerazione dell’adempimento spontaneo da parte del titolare - seppure in un momento successivo alla presentazione del reclamo - non sussiste il presupposto per l’adozione di un provvedimento da parte dell’Autorità medesima.

Pertanto, il reclamo presentato ai sensi dell’art. 77 del Regolamento deve ritenersi fondato e questa Autorità, nell’esercizio dei poteri correttivi attribuiti all’Autorità ai sensi dell’art. 58, par. 2, del Regolamento, dispone l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, del Regolamento.

4. Ordinanza di ingiunzione.

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. L. 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali riferito alla reclamante, di cui è stata accertata l’illiceità, nei termini sopra esposti.

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state tenute in considerazione le circostanze sotto riportate:

a) la rilevante natura della violazione, che ha riguardato le disposizioni relative all’esercizio dei diritti degli interessati;

b) il carattere colposo della violazione, dovuto all’errore di un dipendente addetto alla gestione delle istanze e il grado di responsabilità del titolare che, non appena avuta contezza dell’evento, ha provveduto a richiedere all’interessata la documentazione necessaria alla corretta istruttoria dell’istanza e, quindi, a fornire alla stessa le informazioni richieste;

c) la collaborazione attiva con l’Autorità, tenuto conto che il titolare nel corso del procedimento ha ampiamente illustrato i presìdi e le procedure organizzative adottate dalla funzione Centro Servizi Privacy per la gestione delle istanze di esercizio dei diritti avanzate dai clienti;

d) l’assenza di precedenti violazioni commesse da Poste Italiane S.p.a. o precedenti provvedimenti di cui all’art. 58 del Regolamento.

In considerazione dei richiamati principi di effettività, proporzionalità e dissuasività (art. 83, par. 1, del Regolamento) ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione, sono state prese in considerazione le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti e riferiti al bilancio d’esercizio per l’anno 2021.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 10.000 (diecimila) per la violazione dell’art. 12, par. 3 e 4, del Regolamento.

In tale quadro, anche in considerazione della tipologia di violazione accertata, che ha riguardato i principi di protezione dei dati personali, si ritiene che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito internet del Garante.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

dichiara, ai sensi degli artt. 57, par. 1, lett. f) e 83 del Regolamento, l’illiceità del trattamento effettuato, nei termini di cui in motivazione, per la violazione dell’art.12, par. 3 e 4, del Regolamento.

ORDINA

a Poste Italiane S.p.a., con sede legale in Viale Europa n. 190 - Roma, P.I. 97103880585, ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, di pagare la somma di euro 10.000 (diecimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

alla medesima Poste Italiane S.p.a. di pagare la somma di euro 10.000 (diecimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981. Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del regolamento n. 1/2019.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 6 ottobre 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei