In sintesi
Il Garante Privacy ha sanzionato un supermercato (Pianeta s.r.l.) per aver usato in modo illecito i dati di una carta fedeltà di una sua dipendente, acquisiti mentre era responsabile del programma fedeltà, per poi utilizzarli per una contestazione disciplinare come datore di lavoro. Inoltre, la società non ha risposto alla richiesta della dipendente di accedere e cancellare i suoi dati. Questa decisione è importante perché evidenzia che i dati personali non possono essere usati per scopi diversi da quelli per cui sono stati raccolti, senza informare l'interessato e senza una valida ragione legale. Le aziende devono essere molto attente a come gestiscono i dati dei clienti e dei dipendenti, specialmente quando si occupano di più attività, per evitare sanzioni e rispettare i diritti delle persone.
Cosa fare
- Se la vostra azienda usa dati per più scopi (es. marketing e gestione del personale), assicuratevi di avere le autorizzazioni e le informazioni corrette per ogni uso.; Controllate sempre come gestite i dati dei vostri dipendenti e clienti e le informative che date loro.; Rispondete sempre a tutte le richieste dei vostri clienti e dipendenti sui loro dati, anche se pensate siano ripetitive.
Cosa evitare
- Non usare i dati dei clienti per scopi di controllo sui dipendenti senza un motivo legale molto chiaro e senza averli informati; Non ignorare le richieste di accesso o cancellazione dei dati da parte delle persone; Non pensare che la legge sul lavoro vi permetta automaticamente di trattare i dati in qualsiasi modo.
Contesto
La Sig.ra XX ha presentato un reclamo contro Pianeta s.r.l. lamentando un illecito trattamento dei dati relativi alla sua Carta Insieme Conad nell'ambito di una contestazione disciplinare culminata nel licenziamento, e la mancata risposta a un'istanza di esercizio dei diritti. Pianeta s.r.l. ha licenziato la reclamante per giusta causa, affermando che la dipendente, cassiera, avrebbe utilizzato impropriamente una carta fedeltà anonima (prelevata dal box informazioni del punto vendita) sia per il passaggio di spese di terzi sia per ritirare premi, pagando le integrazioni con una sua carta di credito. La Società ha scoperto l'irregolarità a seguito del reclamo di un cliente per mancata applicazione di uno sconto. Pianeta s.r.l. ha condotto verifiche incrociando i dati della carta anonima con i turni di lavoro della reclamante e le sue carte di credito. La società si difende sostenendo che il trattamento dei dati della carta fedeltà è distinto dalla gestione del rapporto di lavoro, con Conad Adriatico Soc. Coop. come titolare e Pianeta s.r.l. come responsabile per la carta fedeltà, mentre Pianeta s.r.l. è titolare per il rapporto di lavoro. Sostiene di aver agito legittimamente per tutelare il proprio patrimonio e di aver fornito l'informativa ex art. 14 GDPR con la lettera di contestazione disciplinare. Riguardo al mancato riscontro all'istanza, Pianeta s.r.l. ha ritenuto le richieste ripetitive o già soddisfatte.
La decisione
Il Garante ha ritenuto illecite le condotte di Pianeta s.r.l. per due motivi principali. Primo, la società ha trattato i dati relativi al programma di fidelizzazione Conad (dove agiva come responsabile del trattamento per conto di Conad Adriatico Soc. Coop.) per una finalità propria e incompatibile, ovvero per effettuare una contestazione disciplinare nei confronti della reclamante. Questo è avvenuto senza una idonea base giuridica e in violazione dei principi di liceità (Art. 5 par. 1 lett. a, Art. 6), limitazione della finalità (Art. 5 par. 1 lett. b) e trasparenza (Art. 13, Art. 14) del Regolamento. Il Garante ha chiarito che l'Art. 7 della L. 300/70 non può assurgere a base giuridica per tale trattamento e che la contestazione disciplinare non costituisce un'idonea informativa. Ha inoltre rilevato che, avendo la Società determinato finalità e mezzi del trattamento dei dati della carta fedeltà per la contestazione, essa è da considerarsi titolare del trattamento ai sensi dell'Art. 28 par. 10 GDPR. Secondo, la società non ha fornito alcun riscontro all'istanza di esercizio dei diritti presentata dalla reclamante in data 15 febbraio 2023, violando gli Artt. 12, 15 e 17 del Regolamento. Il Garante ha rigettato la giustificazione della Società sulla ripetitività delle richieste, specificando che, anche in tal caso, il titolare deve comunque comunicare i motivi del rifiuto e le possibilità di ricorso all'interessato. Il Garante ha classificato la violazione come 'media', data la natura plurima delle infrazioni che hanno riguardato principi generali, informativa, esercizio dei diritti e la disciplina del responsabile del trattamento. Ha imposto il divieto di ulteriori trattamenti illeciti e una sanzione amministrativa pecuniaria.
Articoli GDPR violati
| Articolo | Descrizione | Rilevanza |
|---|---|---|
|
5 par.1 lett.a GDPR |
Principi di liceità, correttezza e trasparenza | violato per il trattamento dei dati della carta fedeltà per finalità disciplinari senza base giuridica e senza informativa idonea. |
|
5 par.1 lett.b GDPR |
Principio di limitazione della finalità | violato in quanto i dati della carta fedeltà, raccolti per finalità di fidelizzazione, sono stati usati per una diversa e incompatibile finalità disciplinare. |
|
6 GDPR |
Liceità del trattamento | violato per l'assenza di una base giuridica idonea che legittimasse il trattamento dei dati della carta fedeltà per fini disciplinari. |
|
12 GDPR |
Modalità trasparenti per l'esercizio dei diritti dell'interessato | violato per la mancata fornitura di riscontro all'istanza di esercizio dei diritti della reclamante nei termini previsti. |
|
13 GDPR |
Informazioni da fornire qualora i dati personali siano raccolti presso l'interessato | violato per la mancata fornitura di un'informativa idonea e completa alla reclamante sul trattamento dei dati della carta fedeltà per finalità disciplinari. |
|
14 GDPR |
Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l'interessato | violato per la mancata fornitura di un'informativa alla reclamante sul trattamento dei dati della carta fedeltà per finalità disciplinari, essendo i dati stati acquisiti da un terzo (conad adriatico soc. coop.). |
|
15 GDPR |
Diritto di accesso dell'interessato | violato a causa del mancato riscontro alla richiesta di accesso ai dati personali da parte della reclamante. |
|
17 GDPR |
Diritto alla cancellazione ('diritto all'oblio') | violato a causa del mancato riscontro alla richiesta di cancellazione dei dati da parte della reclamante. |
|
28 par.3 GDPR |
Responsabile del trattamento | violato in quanto pianeta s.r.l., agendo come responsabile del trattamento per la carta fedeltà, ha determinato finalità e mezzi del trattamento per scopi propri (disciplinari), trasformandosi di fatto in titolare del trattamento senza rispettare gli accordi con il titolare e la normativa. |
Misure imposte
Divieto di effettuare, nel contesto del rapporto di lavoro, ulteriori operazioni di trattamento di dati personali relativi alla reclamante connessi all’utilizzo della carta di fidelizzazione in violazione della disciplina di protezione dei dati personali; Pagamento di una sanzione amministrativa pecuniaria di euro 34.000
Sanzione
Il Garante ha inflitto una sanzione amministrativa pecuniaria di euro 34.000 per le violazioni accertate degli artt. 5, par. 1 lett. a), b), 6, 12, 13, 14, 15, 17, 28, par. 3 del Regolamento. La sanzione è stata calcolata applicando il par. 3 dell'Art. 83 del Regolamento, non superando l'importo massimo edittale per la violazione più grave. Il livello di gravità è stato considerato "medio", tenendo conto della natura, gravità e durata della violazione, del numero di interessati lesi (uno) e del livello del danno. È stato considerato l'elemento soggettivo della colpa, la natura dei dati comuni trattati e la conoscenza della violazione tramite reclamo. Tra le circostanze rilevanti per la quantificazione, sono state considerate: la mancata adozione di misure idonee a mitigare i rischi dopo la conoscenza della violazione, la condotta negligente della Società per la pluralità di disposizioni violate, l'assenza di precedenti violazioni pertinenti e la cooperazione con l'Autorità di controllo. Si è tenuto conto anche delle condizioni economiche del contravventore basate sul bilancio 2024.
Termini: entro 30 giorni dalla notifica del presente provvedimento
Implicazioni pratiche
Questo provvedimento sottolinea l'importanza cruciale di definire e rispettare i ruoli privacy (titolare e responsabile del trattamento) e le finalità del trattamento dei dati. Le aziende devono essere estremamente caute nell'utilizzare dati raccolti in un contesto (es. programma fedeltà) per finalità diverse (es. contestazioni disciplinari), soprattutto quando agiscono come responsabili del trattamento per un altro titolare. L'utilizzo di dati per fini diversi da quelli per cui sono stati originariamente raccolti, senza una nuova base giuridica e un'informativa adeguata, costituisce una violazione grave dei principi di liceità e limitazione della finalità. È fondamentale, inoltre, garantire sempre il pieno esercizio dei diritti degli interessati, fornendo risposte tempestive e complete anche in caso di richieste ritenute 'ripetitive', spiegandone i motivi del rifiuto e le possibilità di ricorso. La mancata osservanza di queste regole può comportare pesanti sanzioni pecuniarie e divieti di trattamento.
Errori da evitare
- Utilizzare dati raccolti come responsabile del trattamento per finalità proprie, non concordate con il titolare; Ritenere che una contestazione disciplinare possa fungere da informativa privacy; Omettere di rispondere alle richieste di esercizio dei diritti degli interessati, anche se percepite come ridondanti o infondate, senza fornire motivazioni e possibilità di ricorso; Confondere la legittimazione ex lege (es. Art. 7 L. 300/70) con una base giuridica per il trattamento dei dati personali ai fini del GDPR; Ritenere che i dati 'anonimi' siano sempre tali, anche quando sono stati de-anonimizzati per identificare un soggetto (es. tramite incroci con altri dati).
Domande di self-assessment
- La nostra azienda ricopre ruoli diversi (titolare/responsabile) in processi di trattamento collegati? Se sì, sono ben definiti i confini tra i trattamenti?; Abbiamo una base giuridica valida per ogni finalità di trattamento dei dati, inclusi quelli utilizzati per controlli interni o contestazioni?; Le nostre informative privacy sono complete e coprono tutti gli utilizzi effettivi dei dati raccolti?; Gestiamo le richieste di esercizio dei diritti degli interessati in modo tempestivo e documentato, fornendo sempre un riscontro motivato?; Il nostro personale è formato sulla distinzione tra dati personali e anonimi e sull'uso appropriato dei dati raccolti per diverse finalità?
Riferimenti
Linee guida EDPB: Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR
Normativa nazionale: L. 24/11/1981, n. 689 · D.Lgs. 196/2003 · D.Lgs. 10 agosto 2018, n. 101 · L. 300/70 · D.Lgs. 150/2011 · Codice Civile
Note
Il provvedimento è rilevante per la chiara definizione dei confini tra il ruolo di responsabile del trattamento e quello di titolare, specialmente quando un'organizzazione tratta dati per conto terzi ma poi li riutilizza per finalità proprie non previste. Sottolinea inoltre l'inadeguatezza della contestazione disciplinare come strumento di informativa privacy e l'obbligo di riscontro alle istanze degli interessati anche se ripetitive.