[doc. web n. 3747707]

Ordinanza di ingiunzione nei confronti di Addressvitt s.r.l. - 2 ottobre 2014

Registro dei provvedimenti
n. 437 del 2 ottobre 2014

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO l´atto di contestazione, che qui deve intendersi integralmente riportato, n. 13035/63645 del 31 maggio 2010 (notificato in 21 giugno 2010) nei confronti di Addressvitt s.r.l. (di seguito "Addressvitt"), con sede in Milano, via Andrea Palladio n. 12, in persona del legale rappresentante pro-tempore, per le violazioni delle disposizioni di cui agli artt. 13, 23, 161, 162, comma 2-bis, 164-bis, comma 2 e 167 del Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196, di seguito denominato Codice);

ESAMINATO il rapporto dell´Ufficio del Garante per la protezione dei dati personali predisposto ai sensi dell´art. 17 della legge 24 novembre 1981, n. 689, relativo all´atto di contestazione di cui sopra;

RILEVATO dal predetto rapporto che non risulta essere stato effettuato il pagamento in misura ridotta della sanzione prevista per le violazioni dell´art.13 del Codice mentre risulta effettuato il pagamento in misura ridotta della sanzione prevista per le violazioni dell´art. 23;

VISTI gli scritti difensivi del 12 luglio 2010, ai sensi dell´art. 18 della legge n. 689/1981, che qui si intendono integralmente richiamati;

RITENUTO che le argomentazioni addotte da Addressvitt nelle memorie difensive non consentono di escludere le responsabilità della società in relazione a quanto contestato per le motivazioni di seguito riportate:

a) con riferimento alla contestazione riguardante l´omessa informativa per la raccolta di dati personali registrati nel "DB OPEC", la parte ha evidenziato che "la nostra azienda ha adempiuto all´obbligo prescritto tramite modalità semplificata, inserendo apposito avviso su tre quotidiani a diffusione nazionale, e dandone relativa comunicazione ai Vostri uffici […] in data 26 marzo 2009. La documentazione inviata conteneva sia la copia delle inserzioni pubblicate sui quotidiani "Libero", "Italia Oggi" e "Mf Milano Finanza" del 20 marzo 2009, sia il testo dell´informativa […]".

Al riguardo si deve premettere che, come evidenziato nel provvedimento inibitorio del 15 aprile 2010 a carico di Addressvitt, il cd. "DB OPEC" è un database contenente dati relativi ad aziende (all´epoca degli accertamenti dati personali, in base alla formulazione dell´art. 4, comma 1, lett. b), del Codice, antecedente alla modifica apportata dall´art. 40, comma 2, lett. a), del decreto legge 6 dicembre 2011, n. 201, convertito, con modificazioni, dalla legge 22 dicembre 2011, n. 214) che la società ha utilizzato per la vendita di indirizzi e anagrafiche per l´invio di comunicazioni promozionali cartacee da parte di terzi. Tali dati provengono dalle aziende Telextra, Kompass e Daily Direct, a cui Addressvitt si è rivolta per le relative forniture dal 2001 al 2008. Relativamente a tali dati, senza voler entrare in una disamina del testo dell´informativa indicata dalla parte, si evidenzia che l´adempimento alle disposizioni di cui all´art. 13 del Codice, nelle forme semplificate individuate nel provvedimento del Garante del 14 luglio 2005 (in www.gpdp.it, doc. web n. 1151640) è stato effettuato da Addressvitt solo nel marzo 2009: nel periodo precedente, come comprovato dai documenti acquisiti nel corso degli accertamenti ispettivi, in particolare l´accordo stipulato con Cemit Interactive Media S.p.A. e le fatture emesse nei confronti di Vega s.r.l. e GVA Redilco s.r.l., Addressvitt ha effettuato trattamenti di dati tratti dal DB OPEC, finalizzati alla cessione dei predetti dati a soggetti terzi, senza aver fornito agli interessati la necessaria informativa, nemmeno nelle forme semplificate come sopra indicate. Deve pertanto ritenersi correttamente contestata a Addressvitt la violazione dell´art. 13 del Codice in relazione ai trattamenti di cui sopra;

b) con riferimento all´ipotesi di omessa informativa per la raccolta di dati personali tratti dal DBU (Base di dati unica degli operatori di comunicazione elettronica), sostiene la parte che, avendo Addressvitt, in qualità di "operatore cessionario", acquisito i dati tratti dalla predetta Base di dati unica da Eutelia S.p.A., qualificata come "operatore cedente", debba applicarsi in questa circostanza il protocollo d´intesa sottoscritto il 29 aprile 2005 tra operatori licenziatari per la costituzione della base di dati unica. In particolare "è ragionevole ritenere che anche gli operatori cessionari siano legittimati a cedere a terzi i dati personali degli abbonati che hanno espresso il loro consenso a ricevere pubblicità postale e telefonica. Tale trattamento non risulterebbe incompatibile con le finalità per le quali il DBU è stato formato poiché avvalorato da un espresso consenso dell´interessato".

E´ necessario premettere, in relazione ai dati del DBU, che gli accertamenti ispettivi del maggio 2009 hanno rilevato che Addressvitt detiene, oltre al DB OPEC di cui al precedente punto, anche un database relativo a persone fisiche denominato "DB Privati". Come evidenziato nel provvedimento del 15 aprile 2010, tale database si compone di circa 33.000.000 di anagrafiche fra le quali 720.000 relative a interessati presenti nel DBU, i quali hanno espresso il proprio consenso alla ricezione di comunicazioni commerciali. Al riguardo deve evidenziarsi che, con riferimento ai dati "consensati" tratti dal DBU, l´atto di contestazione individua le condotte poste in essere da Addressvitt in violazione delle disposizioni di cui all´art. 13 del Codice, costituite dalla "registrazione", e "organizzazione" dei predetti dati nel "DB Privati" e dalla "utilizzazione" e in particolare "cessione" dei predetti dati. Tali operazioni non possono ritenersi incluse fra quelle autorizzate da ciascun interessato che ha prestato il proprio consenso alla ricezione di comunicazioni commerciali poiché tale consenso, come evidenziato nel provvedimento del Garante del 15 luglio 2004 in tema di elenchi telefonici pubblici (in www.gpdp.it, doc. web n. 1032381), ricomprende esclusivamente "l´utilizzazione dei dati personali che riguardano il medesimo interessato (sia attraverso chiamate, sia per inoltri a domicilio), a fini di informazione commerciale o di invio di materiale pubblicitario o di vendita diretta, ovvero per il compimento di ricerche di mercato o di comunicazione commerciale interattiva". Sulla base di tale consenso non è pertanto consentito l´ulteriore utilizzo dei dati in argomento per la formazione o l´alimentazione di un diverso database o per la cessione a terzi. Tali operazioni devono essere espressamente autorizzate da ciascun interessato il quale, prima della registrazione dei propri dati o prima della loro comunicazione a terzi, deve ricevere dal titolare un´informativa, in applicazione di quanto previsto dall´art. 13, comma 4, del Codice. L´utilizzo di tali dati, attraverso le sopra descritte operazioni, in carenza dell´informativa, protratto fino all´epoca degli accertamenti ispettivi, come documentato, ad esempio, dalle fatture relative alla società Venturini DMC, ha determinato pertanto la violazione delle disposizioni di cui all´art. 13 del Codice. Risulta quindi correttamente contestata l´ipotesi di omessa informativa per la registrazione, organizzazione, utilizzo e cessione a terzi di dati tratti dal DBU e riguardanti interessati che avevano espresso il consenso all´utilizzo dei dati medesimi solo per l´invio di comunicazioni commerciali;

c) con riferimento all´ipotesi di omessa informativa relativamente ai dati tratti da liste elettorali, in assenza di specifiche osservazioni difensive da parte di Addressvitt, risulta accertato sulla base degli atti ispettivi nonché del provvedimento del Garante del 15 aprile 2010, che la società ha acquisito copia di liste elettorali da diversi soggetti, sia prima che dopo l´entrata in vigore del Codice e che i dati in esse contenuti sono stati oggetto di registrazione nel DB Privati e di comunicazione a terzi fra il 2006 e il 2009 (come documentato, ad esempio, dalle fatture relative alla società Consodata). Prima delle predette operazioni, non risulta invece che la società abbia reso agli interessati la necessaria informativa ai sensi dell´art. 13 del Codice, e pertanto, con riguardo a tali trattamenti di dati personali, deve ritenersi correttamente contestata la violazione dell´obbligo di informativa;

d) per quanto attiene alle violazioni concernenti il consenso degli interessati, si premette che le valutazioni di seguito riportate attengono alla valutazione della sussistenza della correlata violazione prevista dall´art. 164-bis, comma 2, del Codice. Con riferimento infatti alla sanzione prevista dall´art. 162, comma 2-bis, del Codice, Addressvitt, in data 10 agosto 2010, ha provveduto ad effettuare il pagamento in misura ridotta finalizzato all´estinzione del relativo procedimento sanzionatorio. Tale determinazione del contravventore "implica necessariamente l´accettazione della sanzione e, quindi, il riconoscimento, da parte dello stesso, della propria responsabilità" (Cass. 11 febbraio 2005, n. 2862). Tuttavia, per esclusive ragioni di sistematicità del presente atto, si deve riconfermare la piena sussistenza della responsabilità di Addressvitt in ordine alle due ipotesi di trattamento di dati personali senza il consenso di cui all´atto di contestazione del 31 maggio 2010 sulla base delle motivazioni in esso evidenziate anche mediante il richiamo, per relationem, al provvedimento emanato dal Garante il 15 aprile 2010 (che non ha formato oggetto di impugnazione da parte della stessa Addressvitt). In merito a tali contestazioni Addressvitt ha evidenziato "lo spirito di sostanziale conformità alla norma e di buona fede che da sempre ispira l´operato della nostra azienda" nonché "le difficoltà di interpretazione a cui la normativa sulla privacy […] ha dato adito […]: superfluo sottolineare che tale mancanza di certezza interpretativa della normativa ha generato e genera ulteriori difficoltà di applicazione". Addressvitt ha fatto inoltre rilevare che, nonostante le difficoltà sopra descritte, la società ha comunque sempre cercato di individuare e applicare soluzioni che consentissero di rispettare lo spirito della norma quali l´inserimento di testi di informativa trasparenti ed esaustivi, la creazione di una lista cd. "Robinson" dove confluiscono i nominativi degli interessati che non intendono ricevere comunicazioni promozionali e il sollecito aggiornamento della predetta lista. Le osservazioni di Addressvitt, che hanno messo in luce taluni aspetti, indubbiamente meritori, dell´organizzazione e delle procedure in essere presso la società con riferimento ai trattamenti di dati personali, non sono però idonee a far venire meno le responsabilità della società stessa in ordine alle violazioni relative ai trattamenti di dati personali e, segnatamente, la cessione di dati a terzi, effettuata senza acquisire il necessario consenso da parte degli interessati. Una parte di tali cessioni è avvenuta utilizzando i dati presenti nel DB Privati provenienti da elenchi telefonici pubblicati prima del 1° agosto 2005. Con riferimento a tali dati, il provvedimento del Garante in data 12 marzo 2009 (in www.gpdp.it, doc. web n. 1598808) ha rappresentato che, pur essendo essi ricompresi nella disciplina derogatoria dettata dall´art. 44 d.l. n. 207/2008 (che consentiva, per un limitato periodo di tempo il loro trattamento per finalità di marketing anche in carenza di informativa e consenso), gli stessi "non possono essere ceduti, a qualunque titolo, a terzi". Inoltre, come evidenziato in numerose pronunce dell´Autorità (ad esempio ordinanza-ingiunzione nei confronti di Consodata S.p.A. del 10 gennaio 2013, in www.gpdp.it, doc. web n. 2438949) "la cessione di dati personali nell´ambito dell´attività di "list-broker" è infatti da ritenersi connessa ad una finalità di trattamento distinta da quella di svolgimento delle operazioni di mailing cartaceo e telemarketing e necessita, pertanto, di uno specifico consenso". Per quanto riguarda i dati tratti da liste elettorali, l´acquisizione e utilizzabilità risulta oggi limitata alle sole finalità di cui all´art. 177, comma 5, del Codice (politiche, socio-assistenziali, di ricerca scientifica, statistica e storica, oltre che per il perseguimento di un interesse collettivo o diffuso) diverse da quelle perseguite da Addressvitt nei trattamenti in argomento. Fuori dalla cornice di legittima utilizzabilità di cui sopra, per il trattamento dei predetti dati è quindi necessario che il titolare acquisisca dagli interessati un consenso distinto in base ciascuna delle finalità perseguita (marketing, cessione, profilazione, ecc.), consenso che Addressvitt non risulta invece aver acquisito. Le osservazioni della società in ordine alla difficoltà di interpretazione delle norme in materia di protezione dei dati personali, non appaiono idonee a rendere applicabile il principio di cui all´art. 3, comma 2, della legge n. 689/1981 in base al quale un errore incolpevole dell´agente sulla liceità delle proprie condotte determina l´esclusione della responsabilità amministrativa dell´agente medesimo per la sussistenza dell´esimente della buona fede.  Nel caso in argomento, infatti, non è risultato emergere un elemento positivo idoneo ad indurre in errore la società in relazione agli adempimenti da assolvere al fine di trattare legittimamente i dati personali degli interessati. Al contrario, con numerosi provvedimenti (ad esempio, provvedimento in data 10 giugno 2004 – in www.gpdp.it, doc. web n. 1068106 – relativo ai trattamenti di dati tratti da liste elettorali; provvedimento in data 25 settembre 2008, nei confronti della stessa Addressvitt – in www.gpdp.it, doc. web n. 1562758 – in tema di consenso specifico per la comunicazione di dati personali trattati con finalità di marketing) resi pubblici dall´Autorità sono stati indicati con chiarezza sia l´ambito di legittimo trattamento dei dati provenienti da liste elettorali, sia gli adempimenti necessari per la comunicazione di dati a terzi, in particolare nell´ambito del marketing ("le comunicazioni dei dati personali configurano trattamenti che, come tali, richiedono una preliminare informativa agli interessati e l´acquisizione di uno specifico e libero consenso"). Si deve pertanto confermare quanto rilevato nell´atto di contestazione con riferimento alle violazioni in tema di consenso;

e) l´atto di contestazione del 31 maggio 2010 evidenzia che le violazioni di cui agli artt. 161 e 162, comma 2-bis, del Codice, come sopra esaminate nel dettaglio, si riferiscono a banche dati di particolare rilevanza e dimensioni. Per l´effetto, l´Ufficio ha contestato a Addressvitt anche la violazione di cui all´art. 164-bis, comma 2, del Codice. Al riguardo Addressvitt nulla ha osservato nelle memorie difensive: per quanto attiene alla sussistenza delle singole fattispecie non può che farsi richiamo a quanto ritenuto in fatto e in diritto nei punti a., b., c. e d. del presente provvedimento. Per quanto riguarda la natura delle banche-dati prese in esame, si rileva che all´atto dell´accertamento il DB OPEC si componeva di circa 2.800.000 anagrafiche e il DB Privati da circa 33.000.000 di anagrafiche. Appare pertanto incontestabile che le predette banche-dati debbano essere qualificate come banche-dati di particolari dimensioni, così come richiesto dall´art. 164-bis, comma 2, del Codice. Inoltre tali banche-dati appartengono a categorie per le quali, attraverso disposizioni di legge e provvedimenti del Garante, sono state previste speciali condizioni di trattamento. I criteri di formazione e gestione del DBU hanno formato oggetto del già richiamato provvedimento del 15 luglio 2004; le modalità di acquisizione e le finalità di trattamento dei dati provenienti da liste elettorali sono stabilite nell´art. 177, comma 5, del Codice, che ha apportato modifiche al Testo Unico del 1967 delle leggi per la disciplina dell´elettorato attivo e per la tenuta e la revisione delle liste elettorali; i dati tratti da elenchi telefonici pubblicati prima del 1° agosto 2005 sono stati oggetto di numerosi provvedimenti  del Garante fra i quali quello, già citato al punto d., del 12 marzo 2009 nel quale è espressamente richiamata l´applicabilità, a questo genere di banche-dati, della sanzione di cui all´art. 164-bis, comma 2, del Codice. Con riferimento ai database utilizzati da Addressvitt deve ritenersi pertanto sussistente, per dimensione e rilevanza, la qualificazione prevista dal citato art. 164-bis, comma 2: al riguardo, va inoltre richiamata la sentenza del Tribunale di Milano, sezione prima civile, dell´11 marzo 2014 (n.r.g. 85819/2012) che ha confermato l´autonoma configurabilità della fattispecie sanzionatoria in argomento "in ragione, da un lato, della reiterazione delle condotte addebitabili al soggetto sanzionato; dall´altro dall´oggetto dell´abusivo trattamento che nel caso di cui all´art. 164 bis coincide con una banca dati di grandi dimensioni, o comunque socialmente rilevante";

RILEVATO, quindi, che Addressvitt, sulla base delle considerazioni sopra richiamate, risulta aver commesso:

a) la violazione di cui all´articolo 161 del Codice, per aver registrato, organizzato nel database "DB OPEC", utilizzato e ceduto dati personali relativi ad operatori economici, senza avere reso l´informativa di cui all´art. 13 del Codice, nel termine previsto dal comma 4 del medesimo articolo (all´atto della registrazione dei dati o, quando è prevista la loro comunicazione, non oltre la prima comunicazione);

b) la violazione di cui all´articolo 161 del Codice, per aver registrato, organizzato (nel database "DB Privati"), utilizzato e ceduto dati provenienti dalla Base di dati unica (cd. DBU) degli operatori di telefonia, senza avere reso l´informativa di cui all´art. 13 del Codice, nel termine previsto dal comma 4 del medesimo articolo (all´atto della registrazione dei dati o, quando è prevista la loro comunicazione, non oltre la prima comunicazione);

c) la violazione di cui all´articolo 161 del Codice, per aver effettuato trattamenti costituiti dalla raccolta, registrazione, organizzazione nel database "DB Privati", utilizzo e cessione di dati personali, tratti da liste elettorali, per attività di marketing, senza aver fornito la necessaria informativa ai sensi dell´art. 13 del Codice;

d) la violazione di cui all´articolo 162, comma 2-bis, in relazione all´art. 167 del Codice, in ordine alla quale Addressvitt risulta aver effettuato il pagamento in misura ridotta, per aver effettuato trattamenti di dati personali, costituiti dalla cessione di dati presenti nel "DB Privati", diversi da quelli tratti da liste elettorali e dal DBU, senza aver acquisito dagli interessati uno specifico consenso ai sensi dell´art. 23 del Codice, nonché per aver effettuato trattamenti costituiti dalla registrazione, organizzazione nel "DB Privati", utilizzo e cessione di dati personali, tratti da liste elettorali, per attività di marketing, fuori dalle finalità di cui all´art. 177 del Codice, senza aver acquisito dagli interessati uno specifico consenso ai sensi dell´art. 23 del Codice

e) la violazione di cui all´art. 164-bis, comma 2, del Codice, per aver commesso le violazioni sub a), b), c) e d) in relazione a banche di dati di particolare rilevanza e dimensioni;

VISTO l´art. 161 del Codice che punisce la violazione delle disposizioni di cui all´art. 13 con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro; l´art. 164-bis, comma 2, che, in caso di più violazioni di una o più di una delle disposizioni sopra richiamate, a eccezione di quelle di cui all´art. 164,  commesse anche in tempi diversi in relazione a banche di dati di particolare rilevanza o dimensioni, prevede l´applicazione di una sanzione da cinquantamila a trecentomila euro;

CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge 24 novembre 1981 n. 689, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

PRESO ATTO delle considerazioni espresse da Addressvitt in ordine alla quantificazione dell´eventuale sanzione, con richiesta di applicazione di una sanzione proporzionata all´effettiva condizione economica della società;

CONSIDERATO che, nel caso in esame:

a) in ordine all´aspetto della gravità con riferimento agli elementi dell´entità del pregiudizio o del pericolo e dell´intensità dell´elemento psicologico, le violazioni in tema di informativa risultano connotate da elementi specifici dettati dalla circostanza che Addressvitt ha omesso di effettuare gli adempimenti di legge in relazione a trattamenti diversi e a dati personali di differente natura e origine;

b) ai fini della valutazione dell´opera svolta dall´agente, deve essere valutato in termini favorevoli il fatto che Addressvitt ha avuto un atteggiamento collaborativo nel corso delle attività ispettive e nella successiva fase istruttoria del procedimento amministrativo, mettendo a disposizione dell´Autorità tutti gli elementi informativi e documentali richiesti, al fine di consentire una completa valutazione dei trattamenti posti in essere;

c) circa la personalità dell´autore della violazione, deve essere considerata la circostanza che Addressvitt risulta essere già stata destinataria di provvedimenti sanzionatori definiti in via breve e da un provvedimento inibitorio in data 25 settembre 2008;

d) in merito alle condizioni economiche dell´agente, sono stati presi in considerazione gli elementi del bilancio abbreviato d´esercizio relativo all´anno 2013;

RITENUTO di dover determinare, ai sensi dell´art. 11 della L. n. 689/1981, l´ammontare della sanzione pecuniaria,  in ragione dei suddetti elementi valutati nel loro complesso, nella misura di:

- euro 30.000,00 (trentamila) per le violazioni di cui all´art. 161;

-  euro 100.000,00 (centomila) per la violazione di cui all´art. 164-bis, comma 2;

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la dott.ssa Augusta Iannini;

ORDINA

a Addressvitt s.r.l., con sede in via Andrea Palladio n. 12, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 130.000,00 (centotrentamila) a titolo di sanzione amministrativa pecuniaria per la violazioni indicate in motivazione;

INGIUNGE

alla medesima società di pagare la somma di euro 130.000,00 (centotrentamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale o in copia autentica, quietanza dell´avvenuto versamento.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 2 ottobre 2014

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia