[doc. web n. 9873272]

Provvedimento del 2 marzo 2023

Registro dei provvedimenti
n. 55 del 2 marzo 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presentato ai sensi dell’art. 77 del Regolamento in data 21 agosto 2019, regolarizzato il 4 ottobre 2019, dalla sig.ra XX nei confronti di Manifatture del Nord s.r.l. (oggi società incorporata in Dedimax s.r.l.);

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. Il reclamo nei confronti della Società e l’attività istruttoria.

Con reclamo presentato in data 21 agosto 2019 e regolarizzato il 4 ottobre 2019, la sig.ra XX ha lamentato presunte violazioni del Regolamento da parte di Manifatture del Nord s.r.l. (società oggi incorporata in Dedimax s.r.l., c.f. 01322820356; di seguito, la Società), in particolare l’illecito trattamento dei dati personali contenuti nel documento di valutazione riferito alla reclamante determinatosi a seguito della condivisione dello stesso sul server aziendale nonché la tardività, genericità ed incompletezza del riscontro della Società all’istanza di accesso, e l’invio del riscontro a un account generale dello studio legale dell’avvocato della reclamante, in violazione degli artt. 5, 7, 12 del Regolamento.

Con nota del 17 settembre 2020, nel fornire riscontro alle richieste dell’Ufficio del 10 agosto 2020, la Società ha rappresentato che:

“l’illegittimo trattamento dei dati personali, lamentato dalla [reclamante], non si è verificato” (nota 17.9.2019 cit., p. 1);

“fino a dicembre 2018, nella divisione negozi Pennyblack, le valutazioni delle Store Manager (ruolo ricoperto dalla [reclamante]) sono state gestite attraverso la compilazione di format excel specifici; tale procedura prevede che, in occasione del periodo di prova (in cui si trovava la [reclamante] all’epoca dei fatti), la valutazione dello Store Manager viene compilata dalla Supervisor (Ispettrice dei negozi) ed esposta e condivisa con la Store Manager entro la fine del periodo di prova; successivamente, la valutazione viene compilata annualmente dalla Supervisor ed esposta e condivisa con lo Store manager; la esposizione e condivisione con la Store Manager avviene sempre in occasione di un colloquio appositamente fissato tra la Supervisor e la stessa Store Manager” (nota cit., p. 3);

“in conformità a tale procedura […] il documento citato dalla [reclamante] nel proprio reclamo è stato predisposto dalla Supervisor” (nota cit., p.3);

“da informazioni tramite la [responsabile della rete negozi] presso la [supervisor], è stato accertato che il documento in questione è stato formato sul personal computer in uso personale alla stessa [supervisor], protetto da nome utente e password personali, e memorizzato esclusivamente nella casella di posta elettronica personale della stessa [supervisor], protetta anch’essa da nome utente e password personali” (nota cit., p.3);

“la protezione della riservatezza dei dati contenuti nel personal computer e nella casella di posta elettronica in uso a ciascun dipendente è assicurata dalle prescrizioni contenute nell’atto di nomina a persona autorizzata al trattamento dei dati personali, consegnato a tutti i dipendenti ai quali sono assegnati un personal computer e/o casella di posta elettronica” (nota cit., p.3);

“all’esito delle verifiche compiute la società […] è stata in grado di escludere  che il documento di valutazione citato dalla [reclamante] sia stato caricato, memorizzato, o in qualsiasi modo inserito nel software gestionale aziendale, o nel computer in uso presso il punto vendita al quale la [reclamante] è stata addetta e [si] esclud[e] che detto documento sia stato reso accessibile comunicato e diffuso, in qualsiasi modo, in favore del personale del negozio o di terze parti” (nota cit., p.4);

“in riferimento alla contestazione di tardività del riscontro dato da[lla Società] all’istanza di accesso formulata dalla [reclamante] tale riscontro è stato spedito agli indirizzi pec degli stessi avvocati [della reclamante]. Tale spedizione è avvenuta e regolarmente recapitata in data 4.06.2021, come risulta dalla conferma di avvenuta ricezione […] e dalla relativa comunicazione [dell’incaricato della materiale spedizione], e, pertanto, la risposta, dovuta entro il 5.06.2019, è stata certamente tempestiva” (nota cit., p.4);

“benché la risposta sia risultata regolarmente recapitata, [l’avvocato della reclamante] ha comunicato all’avv[ocato della Società], in occasione di un colloquio telefonico tra essi intercorso il 7.06.2019, di non averla ricevuta” (nota cit., p.4);

“tale mancata ricezione deve ritenersi causata da disguidi addebitabili esclusivamente alla gestione degli indirizzi pec dei destinatari” (nota cit., p.4);

“tenuto conto di quanto riferito dall’avv[ocato della reclamante], la risposta è stata nuovamente recapitata il 10.06.2019” (nota cit., p.5);

“in merito all’asserita illiceità della spedizione della risposta all’istanza di accesso della [reclamante] all’indirizzo generale dello Studio degli Avvocati [della reclamante], si evidenzia che [la Società] ha inviato la propria risposta all’indirizzo [dello studio legale], in quanto, dopo avere appreso che l’invio agli indirizzi di pec degli avvocati destinatari non aveva avuto esito positivo, ha dovuto reperire un indirizzo alternativo, che ha trovato nella intestazione della carta intestata utilizzata per la comunicazione del 6.05.2019, ove l’indirizzo è indicato quale unico recapito telematico” (nota cit., p.5);

Il 14 dicembre 2020 la reclamante ha inviato le proprie controdeduzioni.

Il 4 giugno 2021, a seguito di una richiesta di ulteriori chiarimenti inviata da questo Dipartimento il 6 maggio 2021, la Società ha dichiarato che:

- “nel riscontro fornito dalla società […] all’istanza di accesso della [reclamante] sono stati indicati dettagliatamente i dati della [reclamante], raccolti e trattati da[lla Società], con espressa menzione del fatto che tali dati costituiscono dei dati anagrafici (nome, cognome, data e luogo di nascita, codice fiscale, residenza), dati di contatto (indirizzo mail e numero di telefono), dagli estremi del conto corrente bancario, dai dati relativi alla valutazione delle prestazioni lavorative per la gestione del rapporto di lavoro, dal nome e cognome del coniuge” (nota 4.6.2021 cit., p. 2);

- “i dati relativi alla valutazione delle prestazioni lavorative, contenuti nel documento di valutazione citato dalla [reclamante], erano stati esposti analiticamente alla stessa [reclamante] dalla sua supervisor […], affrontando ogni punto della valutazione, in occasione di un apposito colloquio tenutosi il 19.12.2018” (nota cit., p. 2);

- “sono state indicate dettagliatamente le modalità di trattamento di detti dati, con espressa precisazione che il trattamento è effettuato solo da persone autorizzate, in forma cartacea ed elettronica, e con indicazione del titolare e dei responsabili del trattamento; si rileva, in ogni caso, a tale riguardo, che l’art. 15 GDPR non contempla le modalità di trattamento dei dati, tra le informazioni che costituiscono oggetto del diritto di accesso dell’interessato” (nota cit., p. 2);

- “è stato indicato in modo chiaro l’ambito di comunicazione di detti dati (destinatari a cui i dati sono comunicati), con espressa ed analitica indicazione di società di servizi, di consulenti in materia di lavoro, di Enti competenti per l’espletamento di tutte le pratiche previdenziali, assistenziali e fiscali, alle altre società del Gruppo societario Max Mara, per tutti gli adempimenti in materia di gestione del personale” (nota cit., p. 2);

- la Società “ha comunicato, tramite la pec del proprio difensore in data 8.07.2019 […] la propria disponibilità a fornire qualsiasi ulteriore e più dettagliata informazione eventualmente richiesta, e […] la [reclamante] non ha formulato alcuna richiesta di integrazione o chiarimento, in riscontro a tale comunicazione” (nota cit., p. 2);

Il 20 luglio 2021 la reclamante ha inviato ulteriori controdeduzioni.

2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e le deduzioni della Società.

Il 21 ottobre 2021, l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione alla Società delle presunte violazioni del Regolamento riscontrate, relativamente agli artt. 5, par. 1, lett. a), 12 e 15 del Regolamento.

Con scritti difensivi, inviati in data 19 novembre 2021, la Società ha dichiarato che:

- “atteso che l’istanza della [reclamante] è stata inoltrata con mezzi elettronici, anche il riscontro di Manifatture del Nord è stato fornito con mezzi elettronici, in conformità a quanto previsto dall’art, 12, par. 3, del Regolamento” (v. nota 19.11.2021 cit., p. 3);

- “la prova dell’invio del riscontro è costituita dalla conferma di avvenuta ricezione” (v. nota cit., p. 3);

- “alla e-mail del [soggetto materialmente incaricato della spedizione della comunicazione] è allegato lo screenshot estratto dal sistema Sailsforce (sistema di gestione mailing utilizzato da Manifatture del Nord come strumento per la gestione delle comunicazioni indirizzate dall’indirizzo e-mail del Data Protection Officer), dal quale risulta che in data 4.06.2019 (la data è indicata con il sistema anglosassone) il mittente dpo@mmfg.it ha inviato al destinatario [avvocato della reclamante] un messaggio di posta elettronica. La riferibilità della suddetta ricevuta di consegna all’e-mail di riscontro all’istanza di accesso presentata dalla [reclamante] è confermata dalle circostanze che il mittente corrisponde all’indirizzo e-mail del Data Protection Officer, e che il destinatario del messaggio corrisponde all’indirizzo pec [del] difensore della [reclamante]” (v. nota cit., p. 3);

- “la conferma del recapito è costituita dalla lettera R, la quale ha significato di «Received» (ricevuto), riportata nel campo «Mail Event»” (v. nota cit., p. 3);

- “ad ulteriore riprova dell’avvenuto invio della e-mail di riscontro in data 04.06.2019, si produce lo screenshot estratto dal sistema Sailsforce […], nel quale è attestato che alle ore 17:12 del giorno 04.06.2019 il mittente dpo@mmfg.it ha inviato al destinatario [avvocato della reclamante] un messaggio e-mail, recante l’oggetto «RE: POSTA CERTIFICATA: [reclamante]/Manifatture del Nord»” (v. nota cit., p. 3, 4);

- “la mancata ricezione del riscontro inviato da Manifatture del Nord deve ritenersi causato da disguidi addebitabili esclusivamente alla gestione dell’indirizzo pec del destinatario” (v. nota cit., p. 4);

- “la società esponente, informata del disguido, si è tempestivamente attivata al fine di rendere immediatamente conoscibile al destinatario il contenuto del riscontro da essa inviato. Infatti, lo stesso giorno 7.06.2019 la società Manifatture del Nord ha nuovamente inoltrato ad entrambi i difensori della [reclamante] il riscontro all’istanza di accesso, come risulta dalla conferma di avvenuta ricezione […] e, solo dopo aver appreso che nemmeno tali comunicazioni erano state ricevute, in data 10.06.2019 ha provveduto ad inoltrare la medesima risposta all’indirizzo di posta elettronica [dello studio legale dell’avvocato della reclamante], indicato nella intestazione della carta intestata utilizzata per la comunicazione del 6.05.2019” (v. nota cit., p. 4);

- “la società Manifatture del Nord […] non è incorsa nella violazione di cui all’art. 12 del Regolamento” (v. nota cit., p. 4);

- “ai sensi dell’art. 83, par. 2, lett. a), lett. b) e lett. c) […] la violazione contestata a Manifatture del Nord, anche ove sussista, è stata di brevissima durata ed ha coinvolto un solo interessato, […] la mancata ricezione della comunicazione di riscontro non è dipesa da fatto imputabile alla società esponente, […] l’esponente si è immediatamente attivata per porre rimedio al disguido tecnico verificatosi, e […], in ogni caso, il riscontro è stato ricevuto dai difensori della [reclamante] in data 10.06.2019” (v. nota cit., p. 4);

- “si evidenzia, inoltre, ai sensi dell’art. 83, par. 2, lett. d) e k), che la società Manifatture del Nord ha adottato specifiche procedure operative per la gestione delle richieste in materia di privacy e che, prima d’ora, non sono state accertate violazioni del Regolamento da parte della società Manifatture del Nord, la quale, peraltro, ha sempre tempestivamente evaso tutte le richieste ad essa pervenute in materia di privacy, come risulta dal prospetto relativo alle richieste afferenti al marchio Pennyblack (al quale appartiene il negozio nel quale la [reclamante] ha svolto la propria attività) negli anni 2018-2021 […] dal quale emerge che le richieste sono state evasa in un intervallo di tempo medio annuo compreso tra 1 e 9 giorni” (v. nota cit., p. 5);

- “sulla ipotizzata violazione degli artt. 15 e 5, par. 1, lett. a), del Regolamento” “la risposta inviata da Manifatture del Nord […] contiene tutte le informazioni richieste dalla [reclamante]” (v. nota cit., p. 5);

- “la società Manifatture del Nord ha, infatti, comunicato che «sono stati raccolti altresì dati relativi alla valutazione delle prestazioni lavorative per la gestione del rapporto di lavoro» e che tali dati «sono stati trattati solo da persone autorizzate al trattamento, in forma cartacea ed elettronica»” (v. nota cit., p. 5);

- “la [reclamante] già disponeva, al momento della richiesta di accesso, del documento di valutazione in questione, e, pertanto, già conosceva in forma chiara e completa tutti i dati contenuti in tale documento, da essa richiesti, come risulta dal fatto che tale documento è stato allegato quale documento 3 al reclamo presentato dalla lavoratrice” (v. nota cit., p. 5);

- “non vi sono ulteriori dati trattati dalla datrice di lavoro, riguardanti la valutazione delle attività svolte dalla [reclamante], rispetto a quelli contenuti nel medesimo documento di valutazione, già a mani della [reclamante]” (v. nota cit., p. 6);

- “si rileva, ai sensi dell’art. 83, par. 2, lett. a), lett. b), lett. c), e lett. f), che la violazione contestata a Manifatture del Nord, anche ove sussista, ha coinvolto un solo interessato, che la violazione non è stata intenzionale, ma è dipesa dalla convinzione di Manifatture del Nord che la richiesta di accesso non avesse ad oggetto dati che erano pacificamente già in possesso della reclamante, e che l’esponente ha, in ogni caso, già evaso, ad oggi, la richiesta di accesso presentata dalla [reclamante] (v. nota cit., p. 7);

- “si evidenzia […] ai sensi dell’art. 83, par. 2, lett. k), che, prima d’ora, non sono state accertate violazioni del Regolamento da parte della società Manifatture del Nord, e che, ai seni dell’art. 83, par. 2, lett. d), la società Manifatture del Nord ha adottato specifiche procedure operative per la gestione delle richieste in materia di privacy” (v. nota cit., p. 7).

A seguito della richiesta della Società, in data 14 aprile 2022 si è tenuta l’audizione della stessa. In tale occasione la parte ha rappresentato che:

- “la conferma della tempestività dell’invio del riscontro all’avvocato della [reclamante] risulta dal documento n. 5 già prodotto in atti, che riporta come allegato al corpo della e-mail stessa lo screenshot della conferma di invio da parte del sistema. La mancata lettura da parte del destinatario è dovuta al settaggio della casella ricevente, impostata in modalità tale da non accettare messaggi provenienti da posta ordinaria. A tale deduzione, basata su un parere reso da un tecnico, la reclamante non ha formulato obiezioni”;

- “quanto alle modalità del trattamento dei dati della lavoratrice, si osserva che come prassi aziendale, all’atto dell’assunzione ogni dipendente riceve un’adeguata informativa. Nel caso che ci occupa, la lavoratrice aveva ricevuto l’informativa (sottoscritta per presa visione in data 25/05/2018) nella quale venivano esplicitate le modalità del trattamento dei dati personali, anche con riferimento ai dati relativi alla valutazione delle prestazioni lavorative. Si fa, inoltre, presente che la lavoratrice era stata nominata quale persona autorizzata a trattare i dati, in funzione del ruolo svolto nello store”.

3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, risulta che la Società, in qualità di titolare, ha effettuato alcune operazioni di trattamento, riferite alla reclamante, che risultano non conformi alla disciplina in materia di protezione dei dati personali, in particolare non avendo fornito idoneo riscontro all’istanza di esercizio del diritto di accesso ai dati.

In proposito si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

Preliminarmente si rileva che, in data 1° dicembre 2022, Manifatture del Nord s.r.l., società nei cui confronti è stato presentato il reclamo, è stata cancellata, a seguito di fusione per incorporazione, in Dedimax s.r.l. (già Marella s.r.l.).

Ciò posto, visto l’art. 2504-bis c.c., considerate le “Prescrizioni in materia di operazioni di fusione e scissione fra società” adottate dall’Autorità (Provv. 8 aprile 2009, in www.gpdp.it doc. web 1609999), il presente provvedimento viene adottato nei confronti della società incorporante.

Dagli elementi acquisiti nel corso dell’attività istruttoria, con riferimento al contenuto del riscontro comunicato dalla Società alla reclamante, è emerso che la stessa Società non ha fornito, in quell’occasione, copia dei “dati riguardanti [la reclamante], con specifico riferimento al documento di valutazione” nonostante l’espressa richiesta della reclamante presentata per il tramite del proprio avvocato.

La Società ha, in proposito, dichiarato che la reclamante “già disponeva, al momento della richiesta di accesso, del documento di valutazione in questione, e, pertanto, già conosceva in forma chiara e completa tutti i dati contenuti in tale documento” (v. nota del 19.10.2021, p. 5).

In merito si rammenta che l’Autorità ha da tempo fatto proprio l’orientamento della giurisprudenza di legittimità in base al quale il diritto di accesso ai dati “non può intendersi, in senso restrittivo, come il mero diritto alla conoscenza di eventuali dati nuovi ed ulteriori rispetto a quelli già entrati nel patrimonio di conoscenza e, quindi, nella disposizione dello stesso soggetto interessato al trattamento dei propri dati, atteso che lo scopo del [diritto] è garantire, a tutela della dignità e riservatezza del soggetto interessato, la verifica ratione temporis dell’avvenuto inserimento, della permanenza ovvero della rimozione di dati, indipendentemente dalla circostanza che tali eventi fossero già stati portati per altra via a conoscenza dell’interessato, verifica attuata mediante l’accesso ai dati raccolti sulla propria persona in ogni e qualsiasi momento della propria vita relazionale” (Corte di Cass. 14 dicembre 2018, n. 32533).

La richiesta del lavoratore di accedere al proprio fascicolo personale costituisce, infatti, un diritto soggettivo tutelabile in quanto tale che trae la sua fonte dal rapporto di lavoro. Secondo i giudici di legittimità, infatti, il suddetto diritto deriva, ancora prima che dalla normativa in materia di protezione dei dati personali, dal “rispetto dei canoni di buona fede e correttezza che incombe sulle parti del rapporto di lavoro ai sensi degli artt. 1175 e 1375 c.c., come del resto è confermato dal fatto che, da tempo, la contrattazione collettiva del settore in oggetto prevede che l'azienda datrice di lavoro debba conservare, in un apposito fascicolo personale, tutti gli atti e i documenti, prodotti dall'ente o dallo stesso dipendente, che attengono al percorso professionale, all'attività svolta ed ai fatti più significativi che lo riguardano e che il dipendente ha diritto di prendere visione liberamente degli atti e documenti inseriti nel proprio fascicolo personale” (Corte di Cass. 7 aprile 2016, n. 6775).

La Società, nel riscontro fornito dal proprio responsabile della protezione dei dati non ha indicato, inoltre, “le modalità del trattamento” né “l’ambito di comunicazione” dei dati relativi al documento di valutazione della reclamante.

Tali informazioni non sono state chiaramente (e per intero) indicate neppure nel riscontro inviato dalla Società, per il tramite del proprio avvocato, il 10 giugno 2019; neppure in tale circostanza è stata infatti inviata copia dei dati richiesti.

L’affermazione della Società secondo la quale “i dati relativi alla valutazione delle prestazioni lavorative, contenuti nel documento di valutazione citato dalla [reclamante], erano stati esposti analiticamente alla stessa [reclamante] dalla sua supervisor […], affrontando ogni punto della valutazione, in occasione di un apposito colloquio tenutosi il 19.12.2018” (nota 4.6.2021, cit. p. 2) non è idonea a provare di avere fornito tale informazioni alla reclamante.

In proposito si sottolinea, tra l’altro, che l’art. 12, par. 1, del Regolamento precisa che i riscontri del titolare del trattamento all’interessato devono essere forniti per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici e, solo qualora venga richiesto dall’interessato, le informazioni possono essere fornite oralmente.

In ogni caso, il titolare del trattamento può rifiutare di fornire riscontro alla richiesta qualora la stessa sia infondata o eccessiva, prova che nel caso di specie non è stata fornita (v. art. 12, par. 5, del Regolamento).

In merito alla precisazione della Società secondo la quale “l’art. 15 GDPR non contempla le modalità di trattamento dei dati, tra le informazioni che costituiscono oggetto del diritto di accesso dell’interessato” (nota 4.6.2021, cit., p. 2) si rammenta che l’art. 5, par. 1, lett. a), del Regolamento dispone che i dati personali devono essere trattati in modo trasparente (principio di trasparenza).

Tale principio trova applicazione anche qualora il trattamento venga effettuato nell’ambito del rapporto di lavoro; in tale ambito, l’obbligo di trattare i dati in modo trasparente discende anche dal principio di correttezza e da ciò deriva l’esigenza che il titolare del trattamento, a fronte di una specifica richiesta dell’interessato, fornisca adeguate informazioni anche in merito alle modalità del trattamento dei dati. Nel caso di specie tali informazioni sono state fornite in modo adeguato, solo nel corso dell’istruttoria.

Con riferimento, inoltre, a quanto affermato dalla Società in sede di audizione in merito alla comunicazione delle modalità del trattamento dei dati della reclamante attraverso l’informativa sul trattamento dei dati, si rammenta che il diritto, riconosciuto all’interessato, di accedere alle informazioni previste dall’art. 15 del Regolamento non può ritenersi soddisfatto per il solo fatto di aver fornito l’informativa di cui agli artt. 13 e 14 del Regolamento.

Il diritto di accesso e il c.d. diritto di informativa, seppur correlati, sono, infatti, diritti differenti, sanciti da distinte disposizioni dell’ordinamento, rispondenti ad esigenze di tutela e garanzia dell’interessato non completamente sovrapponibili.

Come recentemente chiarito anche dalle Guidelines 01/2022 on data subject rights – Right of access, adottate il 18 gennaio 2022 (sottoposte a consultazione pubblica conclusa l’11 marzo 2022), in sede di riscontro all’istanza di accesso il titolare deve adattare alla specifica condizione dell’interessato quanto indicato in termini necessariamente generali nell’informativa (o nel registro dei trattamenti).

Pertanto tutte le informazioni fornite nell’informativa, in sede di comunicazione all’interessato delle informazioni ai sensi dell’art. 15 del Regolamento, devono essere verificate e declinate alla luce delle concrete operazioni di trattamento effettuate nei confronti del richiedente (v. Guidelines 01/2022 cit., punto 110 e ss.; in termini generali v. par. 111 “In the context of an access request under Art. 15, any information on the processing available to the controller may therefore have to be updated and tailored for the processing operations actually carried out with regard to the data subject making the request. Thus, referring to the wording of its privacy policy would not be a sufficient way for the controller to give information required by Art. 15(1)(a) to (h) and (2) unless the «tailored» information is the same as the «general» information”, (trad. non ufficiale: “Nel contesto della comunicazione delle informazioni di cui all'articolo 15, tutte le informazioni sul trattamento di cui dispone il titolare del trattamento devono pertanto essere aggiornate e adattate alle operazioni di trattamento effettivamente svolte nei confronti dell'interessato che presenta la richiesta. Pertanto, il rinvio all’informativa privacy generale (privacy policy) non sarebbe un mezzo sufficiente per consentire al titolare del trattamento di fornire le informazioni di cui all'articolo 15, paragrafo 1, lettere a) -h), e (2), a meno che le informazioni "su misura" non coincidano con le informazioni "generali").

La condotta tenuta dalla società risulta pertanto in contrasto con gli artt. 5, par. 1, lett. a), e 15 del Regolamento.

In proposito si deve considerare invece che la Società ha ricostruito, con maggiore chiarezza con gli scritti difensivi e nel corso dell’audizione, che, anche prima del 10 giugno 2019, in particolare il 4 e il 7 giugno 2019, ha, tramite il proprio responsabile per la protezione dei dati, inviato, dall’indirizzo di posta elettronica ordinaria dpo@mmfg.it (destinatario dell’istanza di esercizio dei diritti della reclamante) il riscontro all’istanza di accesso che è stato poi effettivamente letto dalla reclamante, secondo quanto dalla stessa dichiarato, solo il 10 giugno 2019.

In particolare si deve rilevare come l’istanza di esercizio del diritto di accesso sia stata inviata, tramite pec, alla casella di posta elettronica certificata della Società nonché all’indirizzo di posta elettronica ordinaria del responsabile per la protezione dei dati della Società. Da tale ultimo indirizzo è stato inviato il primo riscontro all’indirizzo pec dell’avvocato della reclamante dal quale era stata spedita l’istanza.

Sotto questo profilo quindi non sussiste la violazione del termine previsto dall’art. 12, con riferimento all’art. 15 del Regolamento, contenuta nella notifica delle violazioni del 21 ottobre 2021.

Infine, con riferimento a quanto lamentato nel reclamo in merito all’illecito trattamento dei dati personali contenuti nel documento di valutazione riferito all’interessata che, secondo quanto sostenuto dalla reclamante, sarebbe derivato dalla condivisione dello stesso sul server aziendale, non sono emerse, nel corso dell’istruttoria, evidenze della predetta violazione e pertanto, in relazione a tale aspetto, si ritiene non vi siano i presupposti per l’adozione di provvedimenti da parte dell’Autorità.

Anche con riferimento all’invio del riscontro, infine, all’indirizzo di posta elettronica ordinaria dello studio legale della reclamante si ritiene non vi siano i presupposti per l’adozione di provvedimenti da parte dell’Autorità in quanto la condotta non integra l’illiceità della disciplina di protezione dei dati.

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Per i suesposti motivi l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentano di superare tutti i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultino pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

La condotta della Società consistita nel non aver fornito idoneo riscontro all’istanza di esercizio dei diritti presentata dal reclamante risulta infatti illecita, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a), e 15 del Regolamento.

Considerati tutti gli elementi acquisiti nell’ambito dell’istruttoria, si ritiene tuttavia che la violazione accertata nei termini di cui in motivazione possa essere considerata “minore”, tenuto conto, in particolare, del numero di interessati coinvolti (uno) e dell’assenza di precedenti violazioni pertinenti (v. art. 83, par. 2, e cons. 148 del Regolamento).

Si ritiene, quindi, che, relativamente al caso in esame, occorra ammonire il titolare del trattamento, ai sensi degli artt. 143 del Codice e 58, par. 2, lett. b), del Regolamento, per aver fornito un riscontro non idoneo all’istanza di accesso presentata dalla reclamante in violazione degli artt. 5, par. 1, lett. a), e 15 del Regolamento, nei termini indicati in motivazione.

Si rappresenta, altresì, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO, IL GARANTE

a) ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, rileva l’illiceità del trattamento effettuato da Dedimax s.r.l. (società nella quale è stata fusa per incorporazione Manifatture del Nord s.r.l.), in persona del legale rappresentante, con sede legale in Via Mazzacurati, 6, Reggio Emilia (RE), C.F. 01322820356, descritto nei termini di cui in motivazione, per la violazione degli artt. 5, par. 1, lett. a), e 15 del Regolamento;

b) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento ammonisce Dedimax s.r.l. (società nella quale è stata fusa per incorporazione Manifatture del Nord s.r.l.), quale titolare del trattamento in questione, per avere omesso di fornire idoneo riscontro ai sensi degli artt. 5, par. 1, lett. a), e 15 del Regolamento;

c) dispone l’archiviazione della contestazione adottata con notifica delle violazioni del 21.10.2021 limitatamente alla violazione dell’art. 12 con riferimento all’art. 15 del Regolamento;

d) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 2 marzo 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei