Ordinanza ingiunzione nei confronti di Amazon Italia Logistica s.r.l. 1 dicembre 2022 [9843805]

estimated reading time: 27 min

[doc. web n. 9843805]

Ordinanza ingiunzione nei confronti di Amazon Italia Logistica s.r.l. - 1 dicembre 2022

Registro dei provvedimentin. 406 del 1 dicembre  2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presentato ai sensi dell’art. 77 del Regolamento in data 21 settembre 2020, regolarizzato il 1° novembre 2020 nonché il 25 gennaio 2021 dal Sig. XX nei confronti di Amazon Italia Logistica s.r.l.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. Il reclamo nei confronti della Società e l’attività istruttoria.

In data 21 settembre 2020, il sig. XX ha presentato nei confronti di Amazon Italia Logistica s.r.l. (di seguito, la Società) un reclamo, regolarizzandolo in data 1° novembre 2020 nonché in data 25 gennaio 2021, a seguito di inviti a regolarizzare trasmessi da questa Autorità.

Nel reclamo l’interessato ha rappresentato di avere inviato, in data 23 agosto 2020, un’istanza di esercizio del diritto di accesso ex art. 15 del Regolamento Ue 2016/679 ai “certificati professionali conseguiti” durante il rapporto di lavoro instaurato con la Società ed in particolare: “certificato PLE pallet elevator, certificato alla conduzione e programmazione del robot pallettizzatore (RME instructor […]), certificato accesso Autorizzato in area scarico merci “yard”, certificato PES e PAV, certificato addetto alla manutenzione drive e conduzione robot ai piani. Stow e pick (istruttore SST […])”. Il reclamante ha precisato di avere inviato la richiesta più volte e di non avere ricevuto risposta in merito dalla Società.

Con il reclamo è stata, altresì, chiesta la cancellazione dei “dati personali e sensibili” relativi allo stesso reclamante trattati dalla Società nonché l’accesso al “fascicolo medico visita preassuntiva. Fascicolo sanitario”, domande che non sono state regolarizzate dal reclamante a seguito di inviti a regolarizzare.

In data 5 ottobre 2021, a seguito di un invito a fornire riscontro, la Società ha inviato, anche al reclamante, il proprio riscontro e ha dichiarato che:

- “in seguito a un’indagine approfondita condotta da Amazon su quanto segnalato nel reclamo, è risultato che: in data 21 agosto 2020, il Dipartimento Risorse Umane di Amazon inviava al [reclamante] il modello UNIEMENS da lui richiesto, riscontrando prontamente la richiesta del [reclamante]” (v. nota del 5.10.2021 cit., p. 2);

- “in data 23 agosto 2020, il [reclamante] contattava nuovamente il dipartimento Risorse Umane di Amazon, chiedendo copia di alcuni certificati professionali conseguiti durante il periodo di prova, nello specifico: (I) certificato PLE pallet elevator, (II) certificato alla conduzione e programmazione del robot pallettizzatore (RME instructor […]), (iii) certificato accesso Autorizzato in area scarico merci “yard”, (iv) certificato PES e PAV, e (v) certificato addetto alla manutenzione drive e conduzione robot ai piani. Stow e pick (istruttore SST […])” (v. nota cit., p. 2);

- “in data 1° settembre 2020 (appena 7 giorni dopo la richiesta […]) il [reclamante] sollecitava l’invio della documentazione precedentemente richiesta, specificando inoltre la necessità di ricevere urgentemente il modello UNIEMENS relativo al periodo di luglio 2020 (assente nel primo documento inviato il 21 agosto 2020, in quanto non ancora elaborato). Sfortunatamente, in tale circostanza il [reclamante] contattava una dipendente priva di qualsiasi potere gestionale e, pertanto, non competente a dar seguito alla richiesta. Tale ulteriore contatto veniva comunque inoltrato al dipartimento Risorse Umane, che ne confermava prontamente la presa in carico sia internamente sia al [reclamante], che, peraltro, lo stesso giorno aveva contattato anche il dipartimento Risorse Umane richiedendo tuttavia di ricevere solamente il modello UNIEMENS” (v. nota cit., p. 2);

- “a seguito della richiesta ricevuta il dipartimento Risorse Umane inviava al [reclamante] il solo modello UNIEMENS richiesto” (v. nota cit., p. 2);

- “al contrario, con riferimento agli altri certificati professionali sollecitati dal [reclamante] – e con la sola eccezione del certificato PES e PAV […] – Amazon non era nella condizione di dare seguito alla richiesta del ricorrente poiché non vi era materialmente alcun certificato da inviare, trattandosi di corsi interni ad Amazon aventi mero valore di autorizzazione interna allo svolgimento delle mansioni assegnate; più specificamente, essendo corsi interni organizzati direttamente da Amazon, i certificati di cui ai punti (i), (ii), (iii) e (v) vengono solitamente rilasciati nella forma di un mero badge interno che ne attesta la partecipazione ed hanno esclusivamente valore di autorizzazione interna. Diversamente, il certificato PES e PAV attesta la partecipazione al corso organizzato da un apposito ente certificatore che ne rilascia copia al lavoratore” (v. nota cit., p. 3);

- “nel caso specifico, purtroppo, per una sfortunata contingenza negativa (senza alcuna volontà da parte di Amazon di impedire il riscontro della richiesta del lavoratore), Amazon ha omesso di riscontrare la richiesta del [reclamante] e di conseguenza non gli ha fornito i necessari chiarimenti sull’impossibilità di rilasciare i certificati di cui ai punti (i), (ii), (iii) e (v) […] né gli ha inviato il certificato PES e PAV” (v. nota cit., p. 3);

- “Amazon è profondamente dispiaciuta per l’accaduto e per la mancanza di Accuratezza da parte dei dipartimenti incaricati nel garantire l’esercizio del diritto di accesso ex art. 15 GDPR. In ogni caso, si sottolinea che, in nessun caso Amazon ha inteso danneggiare il [reclamante] in seguito all’interruzione del periodo di prova. A tal proposito, la Società desidera sottolineare che ai propri dipendenti vengono fornite tutte le informazioni e la formazione necessaria per garantire il rispetto della normativa in materia di protezione dei dati personali, incluse istruzioni specifiche circa le modalità con cui dar correttamente seguito alle richieste di accesso ai Dati personali provenienti dagli interessati” (v. nota cit., p. 3);

- “la Società riscontra la richiesta del [reclamante] inviando l’unico certificato a propria disposizione, ossia il certificato PES e PAV recuperato dall’ente certificatore a seguito della richiesta” (v. nota cit., p. 3).

In data 30 giugno 2022 la Società, a seguito dell’invito a fornire ulteriori chiarimenti del Dipartimento del 31 maggio 2022, ha dichiarato che:

- “il mancato tempestivo riscontro ex art. 15 GDPR è dovuto ad una serie di sfortunate circostanze, prima fra tutte il fatto che la richiesta non è stata inoltrata dal [reclamante] usando l’e-mail EU-staff-privacy@amazon.com dedicata all’esercizio dei diritti ex art. 15-22 GDPR (o comunque per le domande relative al Trattamento dei Dati personali dei dipendenti) come specificatamente indicato nell’informativa ex art. 13 GDPR rilasciata da Amazon al [reclamante]” (v. nota 30.6.2022 cit., p. 1);

- “il [reclamante], infatti, dopo avere richiesto e ottenuto in data 21 agosto 2020 il primo modello UNIEMENS relativo al periodo di giugno 2020, due giorni dopo scriveva una email all’HR Manager di Amazon chiedendo alcuni certificati senza in alcun modo fare riferimento all’esercizio dei suoi diritti di accesso ex art. 15 GDPR […]. Anche la seconda richiesta di poco successiva datata 1° settembre (in cui chiedeva anche il modello UNIEMENS relativo al periodo di luglio 2020) non veniva inviata all’email dedicata per l’esercizio dei diritti privacy, né si faceva in alcun modo riferimento all’art. 15 GDPR” (v. nota cit., p. 1, 2);

- “Amazon ha un team dedicato a livello europeo per la gestione delle richieste formulate dai dipendenti ai sensi del GDPR (“DSR Team”). Oltre a mettere a disposizione dei dipendenti un’apposita email per l’esercizio dei diritti, come indicato nella informativa privacy, Amazon segue una procedura interna per la gestione delle richieste […] tutte le richieste ricevute tramite diversi canali, come e-mail, ticket, posta, telefono, consegnate fisicamente o verbalmente ad un dipendente Amazon, vengono inoltrate al DSR Team” (v. nota cit., p. 2).  

2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e le deduzioni della Società.

Il 19 settembre 2022 l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione alla Società delle presunte violazioni del Regolamento riscontrate, con riferimento agli artt. 12 e 15 del Regolamento.

Con memorie difensive inviate in data 19 ottobre 2022 la Società ha dichiarato che:

- “il mancato riscontro alla richiesta di informazioni entro i termini stabiliti dall'articolo 12, par. 3, del GDPR non è in alcun modo dipeso da dolo o dalla volontà di danneggiare il [reclamante] ovvero di limitarne l’esercizio dei diritti” (v. nota 19.10.2022 cit., p. 1);

- “tale ritardo deriva, anzitutto, dal mancato riconoscimento, e conseguente mancata qualificazione e trattamento, da parte della funzione Risorse Umane - in buona fede - della richiesta di certificati per la partecipazione a corsi interni come richiesta di accesso ex art. 15 del GDPR, trattandosi invero di una richiesta avente ad oggetto un «dato negativo» (non essendo i corsi interni collegati ad alcuna formale certificazione che possa essere consegnata al lavoratore)” (v. nota cit., p. 1, 2);

- “la Società non è solita ritardare/non riscontrare alle richieste di accesso ex articolo 15 GDPR avanzate nei propri confronti ed, anzi, è dotata di una specifica funzione e relative procedure per evitare che ciò accada” (v. nota cit., p. 2);

- “il ritardo eventualmente dovuto al mancato coordinamento interno tra i dipartimenti competenti, altresì data la concomitanza della richiesta con il periodo delle ferie estive, va inteso come del tutto eccezionale, e l’assenza di precedenti provvedimenti sanzionatori per violazioni analoghe a quella che ci occupa ne è la prova; in ogni caso, tale ritardo va inscritto nel quadro di una Società con un numero di dipendenti assai elevato (n. 9212 addetti al 31 marzo 2022, come da visura del 22 settembre 2022), dotata di funzioni di supporto destinatarie di un altrettanto elevato numero di richieste da evadere quotidianamente” (v. nota cit., p. 2);

- con riferimento agli “elementi in ordine a natura, gravità e durata della violazione tenendo in considerazione la natura, l'oggetto o la finalità del Trattamento in questione nonché il numero di interessati lesi dal danno ai sensi dell'articolo 83, par. 2, lett. a) del GDPR” si precisa che “almeno con riferimento al modello UNIEMENS del mese di luglio 2020, richiesto per la prima volta dal [reclamante], in data 1 settembre 2020, non può essere contestata ad Amazon alcuna violazione degli art. 12 e 15 del GDPR” (v. nota cit., p. 3);

- “con riferimento alla richiesta degli altri certificati professionali, avvenuta in data 23 agosto 2020 e reiterata (almeno in una delle email inviate dal [reclamante] ai funzionari del dipartimento Risorse Umane) in data 1 settembre 2020, in effetti, la Società non ha tempestivamente informato il richiedente di non essere nella condizione di dare seguito alla richiesta poiché - con la sola eccezione del certificato PES e PAV – non vi era materialmente alcun certificato da inviare, trattandosi di corsi interni ad Amazon aventi mero valore di autorizzazione interna allo svolgimento delle mansioni assegnate” (v. nota cit., p. 3);

- “si evidenzia: - l’assenza di alcuna volontà da parte di Amazon di impedire il riscontro della richiesta del lavoratore. Tale assenza di dolo è dimostrata dal comportamento collaborativo e conforme alla legge tenuto da Amazon rispetto al certificato UNIEMENS richiesto dal [reclamante]; - la violazione contestata attiene unicamente al mancato tempestivo riscontro, da parte della Società, della richiesta di informazioni, in buona fede non interpretata come una richiesta di accesso, mentre non concerne in alcun modo la perdita di riservatezza, di integrità o di disponibilità dei Dati personali dell'interessato” (v. nota cit., p. 4);

-  “il [reclamante] è l’unico soggetto interessato coinvolto nella violazione e […], alla data odierna, non risulta accertato né dimostrato alcun pregiudizio subito dal predetto [reclamante] per il riscontro tardivo posto in essere dalla Società” (v. nota cit., p. 4);

- con riferimento al “carattere doloso o colposo della violazione ai sensi dell'articolo 83, par. 2, lett. b) del GDPR” “preme sottolineare come il carattere della violazione sia meramente colposo” (v. nota cit., p. 4);

- “tale violazione si inserisce nell'ambito di un problema di coordinamento interno tra i dipartimenti competenti di Amazon, aggravato dalla concomitanza della richiesta del [reclamante] con il periodo delle ferie estive” (v. nota cit., p. 5);

- “la Società mancava di riscontrare tempestivamente l'istanza di esercizio del diritto di accesso ex articolo 15 del GDPR presentata dal [reclamante] - almeno con riferimento ai certificati richiesti in data 23 agosto 2020 - a causa di diverse sfortunate circostanze: - la circostanza che il [reclamante] avesse richiesto certificati inesistenti, ad eccezione di quello UNIEMENS fornito il 25 settembre 2020 e quello PES e PAV che però non erano nella disponibilità di Amazon e di cui il [reclamante] avrebbe dovuto avere copia; - invio di multiple richieste da parte del [reclamante] a diversi funzionari del dipartimento Risorse Umane. Tra l’altro […] nell’email inviata il 1 settembre dal [reclamante ad un] partner del dipartimento Risorse Umane che ha preso in carico la richiesta, si faceva riferimento alla sola richiesta del modulo UNIEMENS di luglio 2020. Questo ha creato confusione rispetto alle altre richieste dello stesso [reclamante]; - mancato utilizzo dell'apposito indirizzo email come specificato nell’informativa ai sensi dell'articolo 13 del GDPR rilasciata dalla Società al [reclamante]. Questa circostanza, seppure non giustificativa, sicuramente ha inciso sul ritardo con cui la richiesta del [reclamante] è stata qualificata all’interno della Società come un esercizio del diritto di accesso ex art. 15 del GDPR” (v. nota cit., p. 5);

- con riferimento ad “eventuali precedenti violazioni pertinenti commesse ai sensi dell'articolo 83, par. 2, lett. e) e il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione ed attuarne i possibili effetti negativi ai sensi dell'articolo 83, par. 2, lett. f) del GDPR” “da ritenere parimenti rilevante […] è la circostanza attenuante che Amazon non è Destinatario di alcun provvedimento sanzionatorio per violazioni dello stesso tenore di quella che ci occupa (né per violazioni più gravi)” (v. nota cit., p. 5);

- “la contestazione mossa alla Società non include una violazione nell’accountability in ordine alle policy, all’organizzazione e alle misure tecniche adottate dalla medesima e volte a dare esecuzione ai propri obblighi ai sensi del GDPR. Si tratta piuttosto di un caso isolato che peraltro ha coinvolto un solo interessato” (v. nota cit., p. 5, 6);

- “la Società si è sempre distinta per la condotta trasparente e collaborativa tenuta nei confronti di Codesta Autorità, fornendo in modo puntuale le proprie risposte alle richieste di informazioni ricevute ed altresì dimostrando completa disponibilità nei confronti del [reclamante], il quale – in seguito all'intervento del Garante – riceveva anche l’unico certificato di cui Amazon disponeva” (v. nota cit., p. 6);

- con riferimento alle “categorie di Dati personali interessate dalla violazione ai sensi dell'articolo 83, par. 2, lett. g) del GDPR” “la condotta contestata ad Amazon da Codesta Autorità non attiene al Trattamento di «categorie particolari di dati personali» di cui all'articolo 9 del GPDR o di «dati personali relativi a condanne penali e reati» di cui all'articolo 10 del GDPR.  […] Si può dire, anzi, che rispetto all’unico certificato disponibile (i.e. certificato PES e PAV) Amazon non era nemmeno il soggetto legittimato a ricevere la richiesta da parte del [reclamante], non essendo il Titolare del Trattamento dei Dati personali del [reclamante] rispetto allo svolgimento e ai risultati del training. […] infatti, si trattava di un training organizzato e gestito da un ente certificatore esterno al quale Amazon – senza esserne obbligata – si è dovuta rivolgere per farsi rilasciare una copia che poi ha girato al [reclamante] in occasione della lettera del 5 ottobre 2021. Invero, l’ente certificatore aveva rilasciato copia del certificato direttamente al dipendente e Amazon non ne era in possesso. Anche a questa circostanza deve imputarsi il ritardo del riscontro al [reclamante]” (v. nota cit., p. 6);

- “nella non creduta ipotesi si volesse valorizzare il ritardo della risposta di Amazon, si ritiene che le circostanze dedotte conducano all’applicazione del min imo sanzionabile. Quale supporto per la determinazione dell'eventuale sanzione, giova segnalare un’ordinanza di ingiunzione che Codesta Autorità emetteva, il 16 giugno scorso, [provvedimento n. 226 del 16 giugno 2022 con cui] il Garante ingiungeva […] al pagamento di una sanzione [pecuniaria]. Laddove quindi non si accogliesse la richiesta di non applicare alcuna sanzione ad Amazon, si richiamano, in subordine, le circostanze già valutate dal Garante nell'ambito dell'ordinanza sopra esposta che, in base alle considerazioni svolte in tale memoria difensiva sono in gran parte sovrapponibili” (v. nota cit., p. 7).

3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, risulta che la Società, in qualità di titolare, ha effettuato alcune operazioni di trattamento, riferite al reclamante, che risultano non conformi alla disciplina in materia di protezione dei dati personali. In proposito si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

Nel merito è emerso che la Società, anche in base a quanto dalla stessa dichiarato, non ha dato idoneo riscontro all’istanza di accesso ex art. 15 del Regolamento presentata dal reclamante avente per oggetto i “certificati professionali conseguiti” ed in particolare: “certificato PLE pallet elevator, certificato alla conduzione e programmazione del robot pallettizzatore (RME instructor […]), certificato accesso Autorizzato in area scarico merci “yard”, certificato PES e PAV, certificato addetto alla manutenzione drive e conduzione robot ai piani. Stow e pick (istruttore SST […])”.

Solo a seguito della presentazione del reclamo e dell’apertura dell’istruttoria, infatti, la Società ha inviato al reclamante copia dell’“unico certificato a propria disposizione, ossia il certificato PES e PAV recuperato dall’ente certificatore a seguito della richiesta” e ha comunicato di non poter fornire copia degli altri attestati di formazione richiesti “poiché non vi era materialmente alcun certificato da inviare, trattandosi di corsi interni ad Amazon aventi mero valore di autorizzazione interna allo svolgimento delle mansioni assegnate”.

In particolare, in data 23 agosto 2020, il reclamante, dopo avere ricevuto il richiesto modello UNIEMENS di giugno 2020 da parte del Dipartimento risorse umane, contattava, anche secondo quanto dichiarato dalla stessa Società, il medesimo dipartimento chiedendo copia dei predetti attestati di formazione senza ricevere alcun riscontro in proposito.

Successivamente - e cioè il 1° settembre 2020 - il reclamante ha reiterato la richiesta di accesso agli attestati di formazione predetti inviandola a una dipendente relativamente alla quale la Società ha precisato essere “priva di qualsiasi potere gestionale e, pertanto, non competente a dare seguito alla richiesta”.

Sempre secondo quanto precisato dalla Società e in base alla documentazione in atti, tale richiesta è stata, però, inoltrata al Dipartimento risorse umane, tramite invio ad a un “partner del dipartimento Risorse Umane che ha preso in carico la richiesta”. La richiesta è stata inviata, in particolare, allo stesso soggetto incaricato di inviare il modello UNIEMENS al reclamante (e-mail del 21 agosto 2020 e del 25 settembre 2020 in atti) e che si è limitato a dare riscontro alle richieste di ricevere copia del modello UNIEMENS.

Seppur in data 25 settembre 2020 sia stato inviato al reclamante dalla Società il richiesto modello UNIEMENS di agosto 2020 - in relazione all’accesso al quale nessuna contestazione dall’Autorità è stata mossa in quanto non si ritiene vi siano profili di illiceità in merito alla condotta tenuta con riferimento a tale specifico documento-, in quell’occasione non è stata fornita al reclamante alcuna informazione in merito alla richiesta di ricevere copia degli attestati di formazione, neppure in merito all’impossibilità di adempiere alla stessa per gli attestati di formazione ad esclusione del certificato PES e PAV.

In proposito la Società ha dichiarato di non avere fornito riscontro all’istanza di esercizio del diritto di accesso per una molteplicità di cause, tra cui la non esistenza dei certificati richiesti ad eccezione di quello PES e PAV, l’invio di più istanze a diversi dipendenti del dipartimento Risorse Umane, il mancato utilizzo dell'indirizzo e-mail indicato nell’informativa ai sensi dell'articolo 13 del GDPR rilasciata dalla Società al reclamante.

La Società ha precisato anche che nelle istanze di esercizio del diritto di accesso il reclamante non aveva fatto alcun riferimento all’esercizio del diritto di accesso ex art. 15 del Regolamento.

Ciò posto, non risulta che la Società abbia informato il reclamante ai sensi dell’art. 12, par. 4, del Regolamento dell’impossibilità di fornire allo stesso gli attestati di formazione richiesti né che gli abbia inviato copia del certificato PES e PAV di cui era in possesso o che gli abbia comunicato - prima di recuperare tale ultimo certificato presso l’ente certificatore – di non esserne in possesso.

L’art. 12, par. 4, del Regolamento, con riferimento all’ipotesi in cui il Titolare del Trattamento non possa consentire l’esercizio dei diritti riconosciuti dal Regolamento all’interessato, tra cui il diritto di accesso, prevede che lo stesso “inform[i] l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale”.  

In proposito, con riferimento alle circostanze che la Società ha individuato come cause della propria condotta (mancanza del riferimento all’art. 15 del Regolamento e mancato utilizzo dell’indirizzo e-mail a ciò appositamente dedicato) si rammenta che, come recentemente chiarito anche dalle Guidelines 01/2022 on data subject rights - Right of access, adottate dall’EDPB il 18 gennaio 2022 (sottoposte a consultazione pubblica conclusa l’11 marzo 2022), non grava sugli interessati l’onere di specificare la base giuridica della richiesta tanto che qualora il Titolare del Trattamento abbia dei dubbi in merito al diritto che l’interessato intende esercitare deve chiedere all’interessato stesso di specificarne l’oggetto (v. Guidelines 01/2022 cit., punto 47 “Data subjects are not required to specify the legal basis in their request” trad. non ufficiale “Gli interessati non sono tenuti a specificare la base giuridica nella loro richiesta”, e punto 48 “If the controller has doubts as to which right the data subject wishes to exercise, it is recommended to ask the data subject making the request to explain the subject matter of the request” trad. non ufficiale “Se il Titolare del Trattamento nutre dubbi sul diritto che l'interessato intende esercitare, si raccomanda di chiedere all'interessato che presenta la richiesta di spiegarne l'oggetto”).

Inoltre, il fatto che il reclamante abbia inviato le richieste per l’esercizio del diritto di accesso al Dipartimento risorse umane nonché all’indirizzo di posta elettronica EU-candidate-privacy@amazon.com e che l’e-mail dell’1 settembre 2020 sia stata inviata dal reclamante a una dipendente priva di potere gestionale (che, però, secondo quanto dichiarato dalla stessa Società, è comunque stata inoltrata al Dipartimento risorse umane, che, quindi, ne era a conoscenza), non possono ritenersi circostanze tali da giustificare l’assenza di riscontro (anche nel caso di riscontro volto a manifestare il mero diniego ai sensi dell’art. 12, par. 4, del Regolamento) da parte della Società.

Si osserva, in proposito, con riferimento alla dichiarazione della Società secondo la quale tra i motivi dell’assenza di riscontro alle istanze del reclamante debba inserirsi anche il “mancato utilizzo dell'apposito indirizzo email come specificato nell’informativa ai sensi dell'articolo 13 del GDPR rilasciata dalla Società al [reclamante]”, che non risultano evidenze che la stessa sia stata rilasciata al reclamante e che, comunque, nel documento citato viene precisato che “se [l’interessato] desidera ulteriori informazioni sui Suoi diritti in materia di protezione dei dati personali, è pregato di contattare il Suo dipartimento HR (o il Suo Responsabile della Protezione dei Dati, ove designato) oppure inviare un’email a EU-staff-privacy@amazon.com”. L’invio dell’istanza di esercizio dei diritti all’indirizzo e-mail EU-staff-privacy@amazon.com anche per espressa disposizione della Società è, quindi, alternativo al contattare il dipartimento risorse umane o il Responsabile per la protezione dei dati.

Nel caso di specie è stato accertato che reclamante ha contattato, tra l’altro, anche secondo quanto dichiarato dalla Società, proprio il dipartimento risorse umane inviando una e-mail a un dipendente dello stesso.

Si rammenta, altresì, come recentemente le Guidelines 01/2022 on data subject rights - Right of access citate abbiano chiarito che sugli interessati non grava l’obbligo di adottare un determinato formato per presentare le istanze di esercizio del diritto di accesso (v. Guidelines 01/2022 cit., punto 52 “the GDPR does not impose any requirements on data subjects regarding the form of the request for access to the personal data. Therefore, there are in principle no requirements under the GDPR that the data subjectsmust observe when choosing a communication channel through which they enter into contact with the controller” trad. non ufficiale “il Regolamento generale sulla protezione dei dati non impone agli interessati alcun requisito riguardo al formato della richiesta di accesso ai dati personali. Pertanto, in linea di principio, non vi sono requisiti che l'interessato sia tenuto a rispettare al momento di scegliere un canale di comunicazione attraverso il quale entrare in contatto con il Titolare del Trattamento dei dati”).

Si rileva, infine, che la stessa Società, nell’ambito della procedura per l’esame delle istanze di esercizio dei diritti come descritta nel corso del procedimento contempla – correttamente – che le istanze possano essere presentate con modalità differenti rispetto all’invio all’account di posta elettronica a ciò dedicato.

La Società, per i motivi su esposti, ha violato gli artt. 12 e 15 del Regolamento.

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Per i suesposti motivi l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal Titolare del Trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il Trattamento dei Dati personali effettuato dalla Società e segnatamente l’omesso riscontro (anche di comunicazione dei motivi del diniego ai sensi dell’art. 12, par. 4, del Regolamento) all’istanza di accesso presentata dal reclamante, risulta infatti illecito, nei termini su esposti, in relazione agli artt. 12 e 15 del Regolamento.

La violazione accertata nei termini di cui in motivazione non può essere considerata “minore”, tenuto conto della natura, della gravità e della durata della violazione stessa, del grado di responsabilità, della maniera in cui l'autorità di controllo ha preso conoscenza della violazione e di precedenti violazioni pertinenti (cons. 148 del Regolamento).

Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento si dispone l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) Regolamento).

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

All’esito del procedimento risulta che Amazon Italia Logistica s.r.l. ha violato gli artt. 12 e 15 del Regolamento. Per la violazione delle predette disposizioni è prevista l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. b) del Regolamento, mediante adozione di un’ordinanza ingiunzione (art. 18, l. 24.11.1981, n. 689).

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso Trattamento o a trattamenti collegati, un Titolare del Trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

a) in relazione alla natura, gravità e durata della violazione è stata considerata rilevante la natura della violazione che ha riguardato l’esercizio dei diritti dell’interessato;

b) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del Titolare è stata presa in considerazione la condotta della Società e il grado di responsabilità della stessa che non si è conformata alla disciplina in materia di protezione dei dati relativamente a una pluralità di disposizioni;

c) a favore della Società si è tenuto conto della cooperazione con l’Autorità di controllo e della circostanza che la violazione accertata ha riguardato il solo reclamante.

Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla Società con riferimento al bilancio ordinario d’esercizio per l’anno 2021. Da ultimo si tiene conto dell’entità delle sanzioni irrogate in casi analoghi.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Amazon Italia Logistica s.r.l., la sanzione amministrativa del pagamento di una somma pari ad euro 20.000 (ventimila).

In tale quadro si ritiene, altresì, in considerazione della tipologia delle violazioni accertate che hanno riguardato l’esercizio dei diritti dell’interessato, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante.

Si ritiene, altresì, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO, IL GARANTE

rileva l’illiceità del Trattamento effettuato da Amazon Italia Logistica s.r.l., in persona del legale rappresentante, con sede legale in Viale Monte Grappa 3/5 - 20124 Milano (MI), C.F. 07231660965, ai sensi dell’art. 143 del Codice, per la violazione degli artt. 12 e 15 del Regolamento;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento a Amazon Italia Logistica s.r.l., di pagare la somma di euro 20.000 (ventimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

quindi alla medesima Società di pagare la predetta somma di euro 20.000 (ventimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 1° dicembre 2022

IL PRESIDENTEStanzione

IL RELATOREGhiglia

IL SEGRETARIO GENERALEMattei