Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Ordinanza di ingiunzione nei confronti di Italian Lab s.r.l. - 13 luglio 2016 [5751157]

[doc. web n. 5751157]

Ordinanza di ingiunzione nei confronti di Italian Lab s.r.l. - 13 luglio 2016

Registro dei provvedimenti
n. 308 del 13 luglio 2016

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

RILEVATO che l'Ufficio del Garante, con atto n. 29421/89173 del 19 novembre 2013 (notificato mediante posta elettronica certificata in pari data), che qui deve intendersi integralmente riportato, ha contestato a Italian Lab s.r.l., in persona del legale rappresentante pro-tempore, con sede legale in Roma, via della Mercede, n. 11, C.F. 08640061001, la violazione delle disposizioni di cui agli artt. 23 e 162, comma 2-bis, del Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196, di seguito denominato "Codice");

DATO ATTO, in sintesi, di quanto riportato nell'atto di contestazione, e cioè che: a) nel corso di un accertamento ispettivo svolto dal Nucleo privacy della Guardia di finanza il 10 settembre 2013 è emerso che la società Italian Lab s.r.l. effettua trattamenti di dati personali, in qualità di titolare, mediante il proprio sito www.youppit.it; b) fra i trattamenti di dati personali effettuati dalla società vi sono quelli finalizzati alla creazione di una maling list e all'invio di una newsletter ai propri utenti; c) a seguito della registrazione alla mailing list/newsletter, gli indirizzi e-mail degli utenti vengono inseriti in una lista di contatti a cui sono trasmesse una newsletter periodica e informazioni di natura commerciale e promozionale relative al sito; d) i trattamenti sopra descritti sono stati effettuati senza acquisire dall'interessato un consenso nelle forme previste dall'art. 23 del Codice;

LETTO il rapporto relativo all'atto di contestazione di cui sopra, predisposto dall'Ufficio ai sensi dell'art. 17 della legge 24 novembre 1981, n. 689, dal quale non risulta essere stato effettuato il pagamento in misura ridotta;

LETTI gli scritti difensivi presentati il 19 dicembre 2013 e le dichiarazioni rese il 3 marzo 2014 dalla parte in sede di audizione ai sensi dell'art. 18 della legge n. 689/1981, con i quali è stato eccepito che: a) sotto il profilo formale, l'attività ispettiva della Guardia di finanza è illegittima perché non è stato garantito alla parte il diritto di difesa in base a quanto stabilito dall'art. 159, comma 3, del Codice. In particolare, poiché non si è data comunicazione, ai sensi degli artt. 7 e 8 della legge n. 241/1990, dell'avvio del procedimento amministrativo, la società non è stata messa nelle condizioni di farsi assistere, nel corso delle attività ispettive, da un proprio consulente di fiducia. La Guardia di finanza, inoltre, non ha esibito alla parte l'atto del Garante con il quale è stato delegato al Corpo l'accertamento ispettivo; b) sempre sotto il profilo formale, l'atto di contestazione risulta notificato mediante posta elettronica certificata, modalità non prevista dalla legge n. 689/1981 né dall'art. 149-bis del Codice di procedura civile. Risulta pertanto decorso il termine di 90 giorni dalla data dell'accertamento previsto dall'art. 14 della legge n. 689/1981 per la notifica dell'atto di contestazione; c) ancora sotto il profilo formale, l'atto di contestazione deve ritenersi nullo per difetto di motivazione e per la mancata comunicazione del responsabile del procedimento, come previsto dagli artt. 3, 5 e 8 della legge n. 241/1990. L'atto inoltre risulta viziato per eccesso di potere, nello specifico in quanto affetto da illogicità, irragionevolezza della motivazione, travisamento dei fatti e contraddizione tra provvedimenti, non avendo tenuto conto di quanto emerso nel verbale redatto dalla Guardia di finanza, laddove viene specificato che gli utenti "per effettuare gli acquisiti vengono veicolati ai siti originari che pubblicano le offerte" e che, con riferimento all'effettivo rilascio di un consenso, "in pratica chi si registra al sito accetta di iscriversi alla newsletter"; d) nel merito, l'invio della newsletter costituisce l'unico servizio offerto dalla società attraverso il sito www.youppit.it: attesa, pertanto, la natura "contrattuale" di tale servizio, il consenso dell'interessato risulta non necessario in base a quanto previsto dall'art. 24 del Codice. Peraltro, la società si è comunque premurata di richiedere agli utenti una complessiva accettazione della propria privacy policy mediante la richiesta di apposizione di un segno di spunta (flag) in un apposito riquadro presente nella pagina di registrazione del sito. Per tutte le ragioni sopra esposte Italian Lab s.r.l. ha chiesto l'archiviazione del procedimento sanzionatorio e, in subordine, l'applicazione della sanzione nella misura minima edittale con il riconoscimento della diminuente di cui all'art. 164-bis, comma 1, del Codice e la rateizzazione dell'importo;

RITENUTO che le argomentazioni addotte non risultano idonee a determinare l'archiviazione del procedimento sanzionatorio avviato con la contestazione di cui sopra:

- i rilievi formali risultano infondati;

- in primo luogo, con riferimento alle osservazioni difensive di cui al punto a), deve osservarsi che l'attività ispettiva nei confronti di Italian Lab s.r.l. è stata svolta avvalendosi dei poteri previsti dall'art. 157 del Codice (richiesta di informazioni ed esibizione di documenti) poteri che configurano un'attività di tipo collaborativo (basata su una dialettica del tipo "domanda-risposta") condotta nei confronti del titolare, del responsabile, dell'interessato e anche di terzi. Ben diversi, e non esercitati dal Garante e dalla Guardia di finanza nel caso in argomento, sono i poteri ispettivi di tipo autoritativo, disciplinati dagli artt. 158 e 159 del Codice, con accessi ai luoghi del trattamento, agli archivi e alle banche-dati indipendentemente dalla volontà del soggetto ispezionato. Le garanzie previste dall'art. 159 del Codice operano esclusivamente per questa seconda categoria di accertamenti, come ben può desumersi dal contenuto letterale delle disposizioni di tale articolo, le quali fanno esclusivamente riferimento alle modalità di svolgimento degli accessi, delle verifiche e delle rilevazioni previsti dall'art. 158 del Codice e non anche delle semplici richieste di informazioni ed esibizioni di documenti di cui all'art. 157.  Peraltro, deve osservarsi che la società, successivamente alla data di effettuazione dell'attività ispettiva, ha avuto modo di produrre documentazione integrativa, facoltà espressamente prevista nella richiesta di informazioni notificata alla parte, laddove si specifica che "eventuali ulteriori documenti utili all'istruttoria potranno essere inviati, entro e non oltre 15 giorni dalla notifica della presente richiesta di informazioni, all'organo incaricato di notificare la presente richiesta, per il successivo inoltro al Garante". Anche da tale circostanza può desumersi il carattere collaborativo dell'attività svolta dalla Guardia di finanza, nella quale la società ha avuto l'opportunità di rappresentare le ragioni alla base delle scelte operate in tema di trattamento di dati personali senza limitazioni di sorta. Quanto alla doglianza circa il mancato invio della comunicazione di avvio del procedimento ai sensi dell'art. 7 della legge n. 241/1990, deve osservarsi che tale adempimento è previsto per i "soggetti nei confronti dei quali il provvedimento finale è destinato a produrre effetti diretti ed a quelli che per legge debbono intervenirvi". Nel caso in argomento, la richiesta di informazioni ed esibizione di documenti nei confronti di Italian Lab s.r.l. è stata effettuata nella fase dell'istruttoria preliminare, così come previsto dall'art. 10, comma 3, del regolamento n. 1/2007 "concernente le procedure interne all'Autorità aventi rilevanza esterna, finalizzate allo svolgimento dei compiti demandati al Garante per la protezione dei dati personali" (in www.gpdp.it, doc. web n. 1477480). Tale fase, come evidenziato nell'art. 10, comma 1, del medesimo regolamento "non comporta la necessaria adozione di un provvedimento del collegio ai sensi dell'art. 143, comma 1, del Codice" che, in effetti, per quanto riguarda Italian Lab s.r.l., non è stato adottato. Tantomeno risulta essere mai stato avviato nei confronti della società un procedimento amministrativo ai sensi dell'art. 11, comma 3, del citato regolamento. Quanto alla doglianza relativa alla mancata esibizione alla società dell'atto con il quale il Garante ha delegato alla Guardia di finanza gli accertamenti ex art. 157 del Codice nei confronti di Italia Lab s.r.l., si rileva che tale documento non presenta alcun elemento che non sia stato messo a conoscenza della parte nel corso dell'attività ispettiva e che, pertanto, anche in questo caso alcuna lesione ai diritti di partecipazione e di difesa della parte si è realizzata;

- con riferimento a quanto osservato al punto b), si evidenzia che l'atto di contestazione della violazione amministrativa è stato notificato mediante posta elettronica certificata in data 19 novembre 2013, e quindi nel termine di novanta giorni dalla data dell'attività ispettiva (10 settembre 2013) e dalla data dell'invio da parte di Italian Lab della ulteriore documentazione non esibita in sede ispettiva (24 settembre 2013). In base all'art. 14, comma 3, della legge n. 689/1981, la notificazione della contestazione di violazione amministrativa può essere effettuata anche da un funzionario dell'Amministrazione che ha accertato la violazione, con le modalità previste dal Codice di procedura civile. Come ricordato dalla difesa di Italian Lab, il Codice di procedura civile, all'art. 149-bis, comma 1, consente che "la notificazione può eseguirsi a mezzo posta elettronica certificata, anche previa estrazione di copia informatica del documento cartaceo". Deve inoltre considerarsi che la fattispecie della notifica telematica prevede una sequenza caratterizzata dalla ricevuta di accettazione e dalla ricevuta di avvenuta consegna le quali contengono, rispettivamente, la prova dell'avvenuta spedizione di un messaggio di PEC e la prova che detto messaggio è effettivamente pervenuto all'indirizzo elettronico dichiarato dal destinatario, certificando il momento della consegna. Tale sequenza, in uno con l'obbligo per le imprese costituite in forma societaria di dotarsi della posta elettronica certificata, stabilito dall'art. 16 del d.l. n. 185/2008, convertito con modificazioni dalla legge n. 2/2009, conferisce  valore legale alle comunicazioni elettroniche nei confronti di tali imprese. Poiché agli atti del procedimento sanzionatorio nei confronti di Italian Lab s.r.l. risultano presenti le ricevute di accettazione e consegna dell'atto di contestazione di violazione amministrativa alla casella di posta elettronica certificata che Italian Lab s.r.l. ha dichiarato nel registro delle imprese, deve ritenersi notificato ritualmente e nei termini l'atto predetto nei confronti di Italian Lab s.r.l.

- per quanto riguarda il punto c) delle osservazioni difensive, deve evidenziarsi che le disposizioni della legge n. 241/1990 che Italian Lab s.r.l. assume siano state violate non si applicano al procedimento sanzionatorio disciplinato dalla legge n. 689/1981, norma speciale che prevale su quella generale, la quale contiene disposizioni che garantiscono al contravventore la partecipazione e la difesa nel procedimento (notifica della contestazione entro 90 giorni dalla data dell'accertamento, indicazione degli atti alla base della contestazione, indicazione della facoltà del contravventore di procedere entro sessanta giorni al pagamento in forma ridotta ovvero, entro trenta giorni, all'invio di memorie difensive e della richiesta di audizione), disposizioni che sono state rispettate dall'Autorità;

- sempre per quanto riguarda il punto c), le circostanze che gli utenti del sito www.youppit.it "per effettuare gli acquisiti vengono veicolati ai siti originari che pubblicano le offerte" e che, con riferimento all'effettivo rilascio di un consenso, "in pratica chi si registra al sito accetta di iscriversi alla newsletter" non sono significative ai fini dell'esclusione della responsabilità di Italian Lab s.r.l. in ordine alla condotta contestata. La prima delle due circostanze è, infatti, del tutto inconferente con l'oggetto della contestazione essendo pacifico che titolare dei trattamenti di dati personali effettuati mediante il sito www.youppit.it sia la società Italian Lab s.r.l. La seconda circostanza evidenzierebbe, a parere della difesa, l'esistenza di un consenso implicito, degli utenti che si registrano al sito, al trattamento dei propri dati personali per l'invio di una newsletter. Tuttavia l'art. 23, comma 1, del Codice stabilisce che tale consenso debba essere "espresso", e cioè esplicito e manifestato chiaramente. Se poi, riguardo al consenso,  si fa riferimento all'apposizione di un flag in un riquadro recante la dicitura "ho letto e accetto termini privacy e condizioni generali", come nel caso in argomento, deve osservarsi che tale consenso non appare riferibile alla specifica finalità di invio di mail promozionali e newsletter, ma rappresenta una generica adesione ai "termini privacy" e alle condizioni generali di accordo indicati dalla società, che non soddisfa i requisiti di specificità richiesti dall'art. 23 del Codice in tema di consenso;

- per ciò che concerne le osservazioni di cui al punto d), deve osservarsi che il testo dell'informativa resa agli utenti del sito www.youppit.it da parte di Italian Lab s.r.l. riporta  che la "finalità del trattamento dei dati raccolti" è "l'erogazione del servizio o la consegna dei beni vendita acquistati sul Sito e più in generale per finalità amministrativo-contabili o tecniche; la risposta a specifiche richieste informative dell'Utente; l'aggiornamento dell'Utente sui nuovi prodotti o servizi erogati dal Sito o in relazione a particolari offerte commerciali; l'informazione dell'Utente in occasione di manutenzione sul Sito o di eventuali disservizi; l'eventuale profilazione commerciale dell'Utente; la visualizzazione di banner pubblicitari in relazione agli interessi dell'Utente (behavioral targeting/advertising); la difesa da parte del Titolare del Sito, in giudizio o nelle fasi propedeutiche alla sua eventuale instaurazione, da abusi nell'utilizzo dello stesso o dei servizi connessi da parte dell'Utente. Alcuni di questi trattamenti (invio di comunicazioni promozionali, profilazione commerciale, behavioral advertising, geolocalizzazione ecc.) potrebbero richiedere il consenso espresso dell'Utente o dell'Interessato". Non vi è alcun punto della predetta informativa che rappresenti all'interessato che la registrazione al sito comporti l'invio automatico della newsletter, anzi, al paragrafo denominato "mailing list/newsletter" si rappresenta che "a seguito della registrazione alla mailing/list newsletter, l'indirizzo email dell'utente viene automaticamente inserito in una lista di contatti a cui potranno essere trasmessi una newsletter periodica ed informazioni di natura commerciale e promozionale relative al Sito", lasciando pertanto intendere che la registrazione al sito e la registrazione alla mailing list/newsletter siano due operazioni distinte, la seconda delle quali, in base a quanto precedentemente dichiarato, necessita di un consenso espresso dell'interessato. Peraltro, come riportato nelle "condizioni d'uso/terms of use", attraverso la registrazione l'utente può utilizzare il sito "per archiviare e ricevere avvisi di scadenza dei tuoi coupon acquisitati". Quindi, al momento della registrazione al sito e del conferimento dei propri dati alla società Italian Lab s.r.l., gli utenti del sito www.youppit.it, sulla base di quanto riportato nell'informativa e nelle condizioni d'uso, potevano ragionevolmente ritenere che gli unici trattamenti svolti dalla società sarebbero stati quelli connessi all'archiviazione dei coupon acquistati e all'invio di avvisi di scadenza degli stessi e che ulteriori trattamenti, quali l'invio della newsletter e di altre comunicazioni promozionali, dovessero necessitare di un ulteriore specifico consenso, così come richiesto dalla norma. Ciò è ulteriormente confermato dalla circostanza che, nella sezione "Servizi forniti da questo sito web" presente nell'informativa resa agli interessati, la società testualmente rappresenta che "l'Utilizzo dei Dati per ulteriori finalità da parte del Titolare, o per servizi per i quali è necessaria la collaborazione di soggetti terzi, che sono di seguito indicati, potrebbe in alcuni casi richiedere il consenso libero e specifico dell'Utente o dell'Interessato" [sottolineatura aggiunta, n.d.r.]: fra i servizi di seguito indicati figura anche "Mailing List/Newsletter" relativo all'invio di "una newsletter periodica ed informazioni di natura commerciale e promozionale relative al Sito". Risulta, pertanto, anche in base agli elementi forniti agli interessati da Italian Lab s.r.l. con l'informativa e le condizioni d'uso del sito, che i trattamenti di dati aventi finalità di invio della newsletter e di altre comunicazioni promozionali, potevano essere svolti solo in presenza del consenso previsto dall'art. 130, commi 1 e 2, del Codice, espresso e specifico come richiesto dall'art. 23. Poiché Italian Lab s.r.l. non ha richiesto il predetto consenso ma si è limitata ad inserire una casella di spunta con la quale si invitavano gli utenti del sito ad esprimere una generica accettazione dei "termini privacy e condizioni generali", deve ritenersi che i trattamenti di dati personali svolti dalla predetta società per l'invio di newsletter e comunicazioni promozionali non siano stati preceduti dall'acquisizione di un idoneo consenso.

RILEVATO, quindi, che Italian Lab s.r.l., sulla base delle considerazioni sopra richiamate, risulta aver commesso la violazione di cui all'art. 162, comma 2-bis del Codice, per aver svolto trattamenti di dati personali finalizzati all'invio di una newsletter relativa al sito www.youppit.it, senza aver acquisito dagli interessati il consenso previsto dall'art. 130, commi 1 e 2, nelle forme stabilite dall'art. 23 del Codice;

VISTO l'art. 162, comma 2-bis, del Codice che punisce la violazione delle disposizioni di cui all'art. 23, con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

CONSIDERATO che, ai fini della determinazione dell'ammontare della sanzione, occorre tenere conto, ai sensi dell'art. 11 della legge 24 novembre 1981 n. 689, dell'opera svolta dall'agente  per eliminare o attenuare le conseguenze della violazione (la società ancora oggi non risulta richiedere un consenso espresso e specifico per i trattamenti finalizzati all'invio della newsletter), della gravità della violazione (che appare non connotata da elementi di specificità, poiché non emerge dalla condotta della società una volontà diretta ad acquisire un profitto, ad arrecare un danno ovvero ad eludere deliberatamente la normativa in materia di protezione dei dati personali), della personalità (l'Ente non risulta avere precedenti specifici in termini di violazioni delle disposizioni del Codice) e delle condizioni economiche del contravventore (è stata presa in esame la dichiarazione dei redditi relativa all'anno 2013) e che pertanto l'ammontare della sanzione pecuniaria con riferimento alla violazione di cui all'art. 162, comma 2-bis, deve essere quantificato nella misura di euro 10.000,00 (diecimila);

TENUTO CONTO che Italian Lab s.r.l., nelle memorie difensive, ha fatto richiesta di rateizzazione dell'importo della sanzione;

VISTA la documentazione in atti;

VISTA la legge n. 689/1981, e successive modificazioni e integrazioni;

VISTE le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE il dott. Antonello Soro;

ORDINA

a Italian Lab s.r.l., in persona del legale rappresentante pro-tempore, con sede legale in Roma, via della Mercede, n. 11, C.F. 08640061001, di pagare la somma di euro 10.000,00 (diecimila) a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione, frazionandola, in accoglimento della richiesta di rateizzazione, in 10 rate mensili dell'importo unitario di euro 1000 (mille);

INGIUNGE

a Italian Lab s.r.l. di pagare la somma di euro 10.000,00 (diecimila), secondo le modalità indicate in allegato, i cui versamenti frazionati saranno effettuati a partire dal giorno 15 del mese successivo a quello in cui avverrà la notifica della presente ordinanza, pena l'adozione dei conseguenti atti esecutivi a norma dall'art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 13 luglio 2016

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia