Segreti aziendali e dipendente non collaborante - Provvedimento del 20 giugno 2024 [10043600]

Accesso

oppure

Dallo store:

La banca dati:

218 voci nel dizionario
3643 documenti
1152 temi
105 dossier

store
i prodotti

sanzioni

2024-09-10 · NEW: Appunta · Stampa · Cita: 'Doc 98837' · pdf

Segreti aziendali e dipendente non collaborante - Provvedimento del 20 giugno 2024 [10043600]

abstract:

Sanzionata l'azienda per 10.000 euro nonostante le giustificazioni non credute.

In analisi spieghiamo gli errori dell'azienda.

Fonte: Garante
Link: https://www.garanteprivacy.it/home/docweb/-/docweb

analisi:

L'analisi è riservata agli iscritti. Segui la newsletter dell'Osservatorio oppure il Podcast iscrizione gratuita 30 giorni

.......... .. .. .., ... ...... ...... .... ......... ... ........... ..........

...... .. ........, ... ... ........., .. ..... .. ............ ....... .. ........

.. ....... ... ..... .... ........... ....'....... ... ... ......:

.) .'....... .... ...... ........... ......... ..... .. ........

.) .. ........... ......... ... .... ............

..... ....' ...... ....... ... .. ....... ........... .. .' ...... ........... ... .......... ........

.) .'....... ...... .......... ........ .. .... .. ..........: .. ... ........., ......... .... .. .......... ............... ......... . ...' ....... ..... .. ... ........ ....... .. ....... . ...... ... ............. ....., ..... ........ ... .... ......., ... ............... .. ...... .. ........ . ... ..............

.) .'....... .. ........ .. ... .... .............. ........ .. ......' .. ........... .' ...... .. ......, .. .' ........ .. ....... ......... .. ........... ... ......... ... .. .... ..... . ....... .. ........ ..... .... ...... ...... .... ........ ... .. .... .. .............. .... ...... ....... .. ...... .... .. .. ..... ...' ... ........ .........., ... .......... ... ..... ....... ...... .' .. .... ....... .. ... ....... ........ .. ..........

.. .. ..... .... ..........., ..... .. .....

.. .'....... .. .. ........ ...., .. ....... ...... / ...... ............. ...... ...... ..... ..... ..... .. ... .... ... .. ...... .. .... ......... ...... .. ....... .. ....... ........., ... .' .. ........ ........., .. ... ... ............

.. .......... ...... ...........: .' ........... ................ ? .... .. ... ...... ......... ? ..'. ......... ....... ........ .. ........ . .... ? ..', .... ........ ..... .......... ... ....... ....'... ... ........... ......... ... ... ..........

.... .. ......, ...... ....... ... .. .......... ..... ........ ... ....... ........... ......... .. .... .......... ....... ......... ? .... ... ? .......... .. ........ ?

... .... ...... ........ ...... . ........, ...... ........... . ........... ... ..........

. .... ........ ... ........ ... ........ .............: ... ......... ......... ... ..... ... ........ .. .. ... .......... .. .... ......., ........... ............. . ........ ..... ............

.. ......... ........... ... .' ... ........ .. .. ..... ......, ... ............., ... .. .' ........ ...... ...... ..... .'.............. ..........

........, ..... .. ...... ....... ........, .. .' .... ........... .. ..................

..... .. ........ ...'....... ......' ...... ........ ........... ..... ......., .' ... ........ ..... ...' .... . ...' .......... ........

index:

Indice

3. L’esito dell’istruttoria
ha effettuato alcune operazioni di trat
Vvenuto quasi due anni oltre
Infine, con gli scritti difensivi, la So
Le argomentazioni addotte dalla Societ&a
A restrizione al diritto di accesso prev
deve operare un bilanciamento tra i dir
Vista la richiesta formulata dall’
4. Conclusioni: dichiarazione di illicei
5. Adozione dell’ordinanza ingiunz

testo:

[

[doc. web n. 10043600]

Provvedimento del 20 giugno 2024

Registro dei provvedimenti
n. 380 del 20 giugno 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presentato dal sig. XX in data 06/04/2022, ai sensi dell’art. 77 del Regolamento con cui è stata lamentata una violazione della disciplina in materia di protezione dei Dati personali da parte di TS Food processing S.r.l.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Il reclamo nei confronti della Società e l’avvio dell’attività istruttoria.

Con il reclamo presentato in data 06/04/2022 e regolarizzato in data 13/06/2022, il sig. XX ha rappresentato a questa Autorità di aver presentato un’istanza di esercizio dei diritti, ai sensi dell’art. 15 del Regolamento, nei confronti di TS Food processing s.r.l. (di seguito “la Società”), al fine di “accedere a tutti i file e dati sotto qualsiasi forma contenenti Dati personali inerenti il rapporto di lavoro e conservati nel personal computer di cui aveva la disponibilità (…)”.

Il reclamante rappresentava che, a fronte di tale istanza, riceveva un diniego da parte della Società che gli comunicava di non poter consentire l’accesso perché “ben potrebbe carpire dati sensibili della società a lui prima noti quale dipendente”.

Pertanto, con la nota datata 06/09/2022, l’Autorità avviava l’istruttoria preliminare, invitando la Società a fornire osservazioni in ordine a quanto lamentato e ad aderire alle richieste del reclamante.

Con la comunicazione datata 26/09/2022, inviata al reclamante e all’Autorità, la Società osservava che “la richiesta è formulata in modo assolutamente generico e quindi non esaudibile” chiedendo quindi all’istante di indicare in maniera dettagliata le cartelle e i files a cui intendeva accedere.

Ne seguiva uno scambio di e-mail tra le parti con cui, da una parte, l’istante comunicava l’elenco dei documenti personali ancora nella disponibilità della Società (e-mail del 30/09/2022) e chiedeva di fissare un incontro per accedere ai dati (e-mail del 02/01/2023 e del 31/01/2023) e, dall’altra, la Società sollecitava la comunicazione delle cartelle da recuperare e manifestava la propria disponibilità a fissare un appuntamento in presenza di tecnici informatici che “convalidino le operazioni eseguite e redigano un verbale nell’interesse di tutte le parti in causa” (e-mail del 19/01/2023).

Con un’ultima comunicazione inviata all’Autorità in data 23/02/2023, il reclamante rendeva noto che nessuna comunicazione era pervenuta da parte della Società in ordine alla possibilità di accedere ai propri dati personali.

2. L’avvio del procedimento.

Per quanto sopra, l’Ufficio provvedeva a notificare alla Società, con nota del 16/03/2023, l’atto di avvio del procedimento, ai sensi dell’art. 166, comma 5, del Codice in relazione alla violazione degli artt. 12, par. 3, e 15 del Regolamento.

La Società inviava, in data 14/04/2023, i propri scritti difensivi, ai sensi dell’art. 18 della legge n. 689/1981, con cui argomentava che:

- l’invito rivolto all’istante di individuare esattamente i files oggetto dell’istanza non può essere interpretato quale un diniego, ma è “un Consenso che mira sì a tutelare il diritto del signor … ad accedere a propri Dati personali (…) ma mira anche a tutelare l’altrettanto legittimo diritto della società TS Food di tutelarsi dalla copia e/o diffusione di dati che, (…) possano essere utilizzati per deviare clientela, raccogliere informazioni di know how aziendale, elenchi clienti, preventivi, etc. (…)”;

- nonostante le comunicazioni, inviate anche all’Ufficio del Garante, con cui il reclamante chiedeva un incontro con la Società, di fatto questi “non è mai stato in grado di fissare anche telefonicamente un appuntamento con la società per svolgere le operazioni a cui si era fin dal principio consentito”.
Infine, con nota del 12/12/2023, il reclamante comunicava a questa Autorità e, per conoscenza, alla Società, di aver avuto accesso al proprio pc e conseguentemente a tutti i Dati personali (tra cui files, cartelle elettroniche) in esso contenuti e all’ulteriore documentazione personale in possesso della Società.

3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, risulta che la Società, in qualità di Titolare del trattamento, ha effettuato alcune operazioni di trattamento, riferite al reclamante, che risultano non conformi alla disciplina in materia di protezione dei dati personali.

In proposito si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

Nel merito, è emerso che la Società non ha dato riscontro all’istanza di esercizio dei diritti, presentata dal reclamante ai sensi dell’art. 15 del Regolamento, e che, solo a seguito della presentazione del reclamo e dell’apertura dell’istruttoria da parte del Garante, è stato consentito l’accesso ai Dati personali e alle ulteriori informazioni riferite al rapporto di lavoro intercorso con la parte. L’adempimento è dunque avvenuto quasi due anni oltre il termine previsto dal Regolamento.

Rispetto alla condotta tenuta dalla Società, deve osservarsi come la stessa abbia ritardato, per un notevole periodo di tempo (pari circa a due anni), il riscontro all’istanza di esercizio dei diritti, motivando tale comportamento con diverse giustificazioni. In un primo momento, infatti, l’accesso ai Dati personali contenuti nel pc è stato negato per il timore che potessero essere carpiti segreti aziendali, in ragione dei comportamenti di concorrenza sleale tenuti dall’istante nel corso del rapporto di lavoro (v. e-mail del 04/10/2021); invece, nel corso del procedimento, tale rifiuto è stato motivato dalla genericità della richiesta stessa e dalla conseguente impossibilità di individuare correttamente i Dati personali da consegnare (v. e-mail del 26/09/2022); infine, con gli scritti difensivi, la Società ha evidenziato la scarsa collaborazione dell’istante rispetto all’adempimento richiesto (v. nota del 14/04/2023).

Le argomentazioni addotte dalla Società non possono in ogni caso essere valutate positivamente, ai fini di una eventuale giustificazione del mancato riscontro. A tal proposito, si osserva come l’art. 15 del Regolamento, nel disciplinare il diritto di accesso dell’interessato, preveda come unico limite che esso non leda i diritti e le libertà altrui (art. 15, par. 4, del Regolamento); un’ulteriore ipotesi di diniego è prevista dall’art. 12, par. 5, del Regolamento quando le richieste dell’interessato siano “manifestamente infondate o eccessive”.

È utile, comunque, precisare che la restrizione al diritto di accesso prevista dall’art. 15, par. 4, del Regolamento è riferita anche al “segreto industriale e aziendale e la proprietà intellettuale. Tuttavia, tali considerazioni non dovrebbero condurre a un diniego a fornire all’interessato tutte le informazioni”, tenuto conto della quantità di informazioni riguardanti l’interessato che sono trattate dal Titolare (v. Cons. 63 del Regolamento).

Piuttosto, il Titolare del Trattamento deve operare un bilanciamento tra i diritti contrapposti, adottando misure appropriate in grado di mitigare i rischi per i diritti e le libertà altrui, come la cancellazione delle informazioni eccedenti che non si riferiscono all’interessato, nel rispetto del principio di proporzionalità (v. Linee guida sul diritto di accesso, adottato dall’EBDP il 28/03/2023, par. 165 e ss.).

Nel caso di specie, vista la richiesta formulata dall’istante e riferita a dati “inerenti precedenti rapporti lavorativi, fotografie personali e di vita familiare, posta elettronica personale” (contenuti come detto nel pc aziendale) e maggiormente individuati nella nota allegata alla e-mail del 30/09/2022, si ritiene che il diniego della Società non possa rientrare nella restrizione di cui all’art. 15, par. 4, sopra citato.

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ai sensi dell’art. 58, par. 2, del Regolamento.

Per i suesposti motivi, l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal Titolare del Trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il Trattamento posto in essere dalla società, con riferimento al mancato riscontro all’istanza di accesso presentata dal reclamante, risulta infatti illecito, nei termini su esposti, in relazione agli artt. 12, par. 3, e 15 del Regolamento.

Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2, del Regolamento si dispone l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) Regolamento).

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. legge 24 novembre 1981 n. 689).

La violazione, accertata nei termini di cui in motivazione, non può essere considerata "minore", tenuto conto della natura, della gravità e della durata della violazione stessa, del grado di responsabilità e della maniera in cui l'autorità di controllo ha preso conoscenza della violazione (cons. 148 del Regolamento).

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

- in relazione alla natura, gravità e durata della violazione, sono stati considerati rilevanti la natura della violazione che ha riguardato l’esercizio dei diritti dell’interessato e il considerevole ritardo nel fornire riscontro all’istanza del reclamante;

- con riferimento al carattere colposo o doloso della violazione e al grado di responsabilità del titolare, si è tenuto conto della condotta tenuta dalla Società che solo dopo diversi solleciti si è adeguata alle indicazioni rese nel corso del procedimento.

Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla Società con riferimento al bilancio ordinario d’esercizio per l’anno 2022. Da ultimo si tiene conto dell’entità delle sanzioni irrogate in casi analoghi.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di TS Food processing s.r.l., la sanzione amministrativa del pagamento di una somma pari ad euro 10.000,00 (diecimila).

In tale quadro si ritiene, altresì, in considerazione della tipologia delle violazioni accertate che hanno riguardato l’esercizio dei diritti dell’interessato, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante.

Si ritiene, altresì, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO, IL GARANTE

rileva l’illiceità del Trattamento effettuato da TS Food processing s.r.l.., in persona del legale rappresentante pro tempore, con sede legale in Parma, via Benjamin Franklin n. 31, P.I. 09104390969, ai sensi dell’art. 143 del Codice, per la violazione degli artt. 12, par. 3, e 15 del Regolamento;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, a TS Food processing s.r.l., di pagare la somma di euro 10.000,00 (diecimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

quindi alla medesima Società di pagare la predetta somma di euro 10.000,00 (diecimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 20 giugno 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei

Link: https://www.garanteprivacy.it/home/docweb/-/docweb

Testo del 2024-09-10 Fonte: Garante

Sanzioni Omessa risposta Accountability Mancata collaborazione Sanzione Garante

Commenta

i commenti sono anonimi e inviati via mail e cancellati dopo aver migliorato la voce alla quale si riferiscono: non sono archiviati; comunque non lasciare dati particolari. Si applica la privacy policy.

Newsletter

Nota: il dizionario è aggiornato frequentemente con correzioni e giurisprudenza