Dati personali dell’ex socio nel registro imprese: violazione privacy

Società sanzionata dal Garante privacy per aver mantenuto nel registro imprese i dati personali dell’ex socio.

Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni: I ricorsi al Garante della privacy

1. I fatti

Un ex socio di una società di capitali inviava un reclamo al Garante per la protezione dei dati personali, con il quale lamentava che la società di cui era stato socio continuava a pubblicare i suoi dati personali e non aveva dato riscontro alle sue richieste di cancellazione degli stessi. Nello specifico, il reclamante affermava di essere stato socio della predetta s.r.l. fino al settembre 2021 (momento in cui aveva ceduto le sue quote ed aveva interrotto ogni rapporto con la società) e che, nonostante ciò, a distanza di un anno di tempo aveva verificato che il suo nome e cognome nonché il titolo di studio erano ancora contenuti nella visura camerale della società e nel sito web delle startup del registro imprese, dove egli era indicato come collaboratore della società. In considerazione di ciò, egli aveva inviato alla società una richiesta di cancellazione dei suoi suddetti dati dal registro imprese, senza tuttavia ricevere alcun riscontro.
L’Ufficio provvedeva, quindi, a inviare alla società una richiesta di informazioni sulla vicenda nonché di comunicare la sua posizione sulla richiesta di cancellazione dei dati formulata nel reclamo dall’ex socio. La società si limitava a rispondere che all’interno della PEC del Garante contenente la predetta richiesta non era allegato il reclamo e successivamente (dopo l’invio di una nuova PEC da parte del Garante con allegato il reclamo, nonostante lo stesso fosse stato contenuto in allegato già nella prima PEC inviata), la società non forniva più alcun riscontro.
Conseguentemente, il Garante era costretto ad inviare la Guardia di Finanza presso la sede della società al fine di acquisire le informazioni necessarie a completare l’istruttoria e il legale rappresentante della società, richiesto in tal senso dai militari, si limitava a dichiarare che avrebbe provveduto a cancellare i dati dal reclamante dalla visura societaria al momento in cui avrebbe rinnovato i requisiti di start-up innovativa ed in particolare entro 30 giorni dalla data di approvazione del bilancio di esercizio (che sarebbe avvenuta entro la fine di luglio 2023).
Nonostante le predette dichiarazioni del legale rappresentante, tuttavia, da un successivo controllo effettuato dal Garante presso il registro imprese, emergeva che alla data del 21 dicembre 2023 la società non aveva effettuato le modifiche promesse e quindi la cancellazione dei dati del reclamante, nonostante la scheda dell’impresa risultasse aggiornata in base ad una dichiarazione del legale rappresentante avvenuta il 28 agosto 2023.
Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni:

2. Dati personali dell’ex socio nel registro imprese: valutazione del Garante

Il Garante ha ritenuto che la condotta posta in essere dalla società configura una plurima violazione della normativa in materia di privacy, sia per  quanto concerne il trattamento dei dati effettuato, sia per quanto riguarda il comportamento della reclamata durante il procedimento dinanzi al Garante.
Secondo l’Autorità, in primo luogo, la società ha trattato illecitamente i dati del reclamante, avendo pubblicato on line il suo nome e cognome nonché il titolo di studio nonostante non vi fosse alcuna base giuridica idonea a legittimare il trattamento. Infatti, il reclamante non era più socio della società da oltre un anno e pertanto i suoi dati non avevano più alcun motivo per essere presenti nella documentazione societaria. Tali dati, inoltre, risultavano presenti presso il registro imprese on line anche successivamente al momento in cui la società aveva affermato che avrebbe provveduto alla cancellazione.
Infine, la società non ha fornito alcuna giustificazione sul perché avesse continuato a trattare i dati del reclamante dopo la sua uscita dalla compagine sociale.
In secondo luogo, il Garante ha ritenuto che la società abbia violato la normativa privacy nella misura in cui non ha fornito riscontro alla richiesta di cancellazione dei dati che lo stesso reclamante gli aveva rivolto nel settembre del 2022.
Anche con riferimento a tale condotta, inoltre, la società non ha fornito alcuna giustificazione sul perché non avesse fornito riscontro all’istanza di esercizio dei diritti da parte dell’interessato.
In conclusione, il Garante ha ritenuto che la mancata risposta da parte della società alla richiesta di informazioni che la stessa Autorità gli aveva inviato dopo la ricezione del reclamo, configuri una violazione della normativa privacy relativa al procedimento di accertamento delle violazioni.
A tal proposito, infatti, il Garante ha accertato che, nonostante la società avesse ricevuto per due volte il reclamo e la richiesta di informazioni da parte dell’autorità, si era limitata a dire (la prima volta) che il reclamo non era allegato alla PEC e (la seconda volta) che l’addetta alla visione della posta non si era accorta dell’arrivo del messaggio. Secondo il Garante, quindi, dette giustificazioni non risultano plausibili

3. La decisione del Garante

In considerazione di quanto sopra, il Garante ha ritenuto quindi di dover accogliere il reclamo proposto dall’ex socio e di dover disporre nei confronti della società una misura correttiva nonché di comminare una ordinanza ingiunzione.
Per quanto concerne il primo aspetto, posto che la società non ha mai provveduto a cancellare i dati del reclamante dalla scheda societaria presente nel portale del Registro imprese, l’Autorità ha ordinato alla società provvedere senza ritardo alla cancellazione di detti dati in tutti le sedi in cui non sia più necessaria la loro conservazione e pubblicazione.
Per quanto concerne invece la quantificazione della ordinanza ingiunzione, il Garante ha preso in considerazione le numerose circostanze aggravanti a carico della società, quali: la gravità e la durata delle violazioni rilevate, in ragione del fatto che il reclamante risulta indicato in un registro pubblico come collaboratore della Società nonostante l’intervenuta interruzione del rapporto professionale, tenuto conto che tale erronea informazione è presente da oltre due anni e non è stata corretta neanche dopo l’intervento del Garante né, come promesso, all’atto dell’aggiornamento dei dati nel Registro delle imprese che risulta effettuato con dichiarazione del 28 agosto 2023; il carattere gravemente colposo della condotta tenuto conto che il titolare ha agito con noncuranza sia rispetto alla iniziale richiesta di cancellazione ricevuta dal reclamante, sia rispetto alle richieste rivolte dal Garante; il grado di responsabilità del titolare del trattamento che, nonostante le dichiarazioni rese al Garante, non ha provveduto a cancellare i dati illecitamente pubblicati; infine, il grado di cooperazione con l’Autorità tenuto conto che la Società non ha seriamente fornito riscontro alla richiesta di informazioni.
Dal punto di vista delle circostanze attenuanti, invece, il Garante ha valutato l’assenza di precedenti violazioni pertinenti commesse dal titolare del trattamento e la natura di dati comuni dei dati trattati.
Conseguentemente alla valutazione di tali elementi e anche al fine di limitare l’impatto economico della sanzione, tenuto conto della natura di microimpresa della società e dei suoi dati di bilancio, il Garante ha quantificato la sanzione in €. 10.000 (diecimila).