Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Ordinanza di ingiunzione nei confronti di Bookingshow s.p.a. - 22 giugno 2017 [6697009]

[doc. web n. 6697009]

Ordinanza di ingiunzione nei confronti di Bookingshow s.p.a. - 22 giugno 2017

Registro dei provvedimenti
n. 287 del 22 giugno 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

RILEVATO che, a fronte di una segnalazione pervenuta all'Autorità in data 18 febbraio 2013, con cui veniva lamentato un illecito trattamento di dati personali posto in essere da Bookingshow Spa che, attraverso il proprio sito web www.bookingshow.it, avrebbe raccolto i dati personali del segnalante, conferiti per l'acquisto on line di biglietti, richiedendo il consenso obbligatorio per lo svolgimento di finalità promozionali, l'Ufficio avviava un'attività istruttoria nei confronti della suddetta società, delegando il Nucleo privacy della Guardia di finanza a svolgere degli accertamenti presso la sede legale della società, al fine di verificare il rispetto della normativa in materia di protezione dei dati personali (d.lgs. 30 giugno 2003 n. 196, di seguito "Codice");

CONSIDERATO che il suddetto Nucleo, in attuazione della richiesta di informazioni n. 26537/85104 del 15 settembre 2014, formulata ai sensi dell'art. 157 del Codice, ha svolto, in data 21 e 22 ottobre 2014, gli accertamenti presso la sede della Società, sita in Foggia, via di Monte Regina snc, C.F. 03376920710, rilevando che la stessa opera nel settore della biglietteria elettronica e dell'e-commerce e che effettua un trattamento di dati personali per mezzo di tre siti internet, www.bookingshow.it, www.sportmonamour.it e www.merchandisingplaza.com;

RILEVATO che l'Autorità ha adottato nei confronti della Società il provvedimento n. 605 del 18 novembre 2015 [doc. web n. 4487559], che qui integralmente si richiama, con cui è stato dichiarato illecito il trattamento dei dati personali effettuato per mezzo dei citati siti internet in assenza di un consenso libero, specifico e informato, e con cui sono state prescritte le misure necessarie per conformare il trattamento dei dati personali posto in essere dalla Società alle disposizioni del Codice;

CONSIDERATO che, sulla base della documentazione agli atti del fascicolo e della nota inviata dalla Società in data 5 novembre 2014, con cui, a scioglimento delle riserve formulate nel corso dell'accertamento ispettivo, sono state forniti chiarimenti in ordine al trattamento dei dati personali posto in essere mediante i siti internet sopra menzionati, è risultato che la società, tramite i form di iscrizione alla newsletter, "Diventa punto vendita", "Contatti" e "Lavora con noi", presenti sul sito www.bookingshow.it, ha reso un'informativa inidonea;

CONSIDERATO che, sui form di registrazione ai siti www.bookingshow.it e www.sportmonamour.it, è risultato che Bookingshow S.p.a. raccoglieva i dati personali degli utenti, chiedendo loro un consenso per il trattamento dei dati preselezionato e unico per varie finalità, fra cui marketing e comunicazione dei dati a terzi per analoghe finalità (anche se prevedendo la possibilità di deselezionare il predetto consenso);

CONSIDERATO che, con specifico riferimento al form di registrazione al sito www.merchandisingplaza.com, è risultato che la società non indicava nell'informativa resa agli utenti alcune attività effettivamente svolte (ovvero invio di e-mail  promozionali per conto proprio e per conto terzi, profilazione, comunicazione dei dati a soggetti terzi per finalità promozionali) e che raccoglieva tali dati richiedendo un consenso preselezionato e unico rispetto alle suindicate diverse finalità;

CONSIDERATO che, con riguardo all'attività di profilazione, la società ha dichiarato di fare uso, per il portale merchandisingplaza, di un software finalizzato all'invio di newsletter personalizzate, utilizzando i dati "relativi agli ordini effettuati dai clienti" e "i dati di navigazione degli stessi sul sito", nonché di una piattaforma destinata all'invio di e-mail degli utenti "sulla base dei prodotti inseriti nel proprio carrello e il cui ordine non è stato finalizzato", e che rispetto a tale attività, non ha provveduto ad adempiere all'obbligo della notificazione al Garante, ai sensi degli artt. 37 e 38 del Codice;

CONSIDERATO, infine, che, con riguardo alla comunicazione dei dati a terzi, è risultato che la società ha comunicato a Natexo Spain SL i dati raccolti sui propri siti per lo svolgimento di finalità promozionali nell'ambito di un accordo commerciale di "coobranding";

VISTO il verbale n. 14/2015 del 28 gennaio 2015, che qui integralmente si richiama, con cui sono state contestate alla società Bookingshow S.p.a., nella persona del legale rappresentante pro-tempore:

- le violazioni amministrative previste dagli artt. 161 e 162, comma 2-bis, del Codice, per aver effettuato un trattamento di dati personali per mezzo del sito web www.bookingshow.it, rendendo un'informativa inidonea e omettendo di acquisire un consenso specifico in relazione a ciascuna finalità perseguita (marketing e comunicazione di dati a terzi), in violazione degli artt. 13 e 23 del medesimo Codice;

- la violazione amministrativa prevista dall'art. 162, comma 2-bis, del Codice per aver effettuato un trattamento di dati personali per mezzo del sito web www.sportmonamour.it, laddove viene acquisito un consenso unico e obbligatorio in relazione alle finalità di marketing e di comunicazione dei dati a terzi, in violazione dell'art. 23 del medesimo Codice;

- le violazioni amministrative previste dagli artt. 161 e 162, comma 2-bis, del Codice, per aver effettuato un trattamento di dati personali per mezzo del sito web www.merchandisingplaza.com rendendo un'informativa inidonea e omettendo di acquisire un consenso specifico in relazione a ciascuna finalità perseguita (invio di newsletter e di e-mail personalizzate, comunicazione di dati a terzi), in violazione degli artt. 13 e 23 del medesimo Codice;

- la violazione amministrativa prevista dall'art. 163 del Codice per aver effettuato attività di profilazione mediante il sito web www.merchandisingplaza.com senza aver effettuato la notificazione al Garante, ai sensi degli artt. 37 e 38 del medesimo Codice;

RILEVATO che dal rapporto predisposto ai sensi dell'art. 17 della legge 24 novembre 1981 n. 689 dal predetto Nucleo non risulta che siano stati effettuati i pagamenti in misura ridotta;

VISTI gli scritti difensivi, inviati in data 25 febbraio 2015 ai sensi dell'art. 18 della legge n. 689/1981, con cui la parte ha osservato, con riferimento alla violazione dell'art. 23 del Codice, che la privacy policy posta in calce ad ogni pagina web informa gli utenti che, previo consenso, i loro dati potranno essere utilizzati per finalità di marketing ed eventualmente comunicati a terzi, quali spedizionieri e consulenti ai fini di attuare la finalità promozionale. Pertanto, le uniche finalità realizzate hanno riguardato solo ed esclusivamente la gestione del cliente, "posto che i dati vengono rivelati in sede di registrazione al sito e che la registrazione avviene ad opera di chi effettua acquisti ovvero di chi intende essere informato delle iniziative intraprese e delle offerte commerciali presenti e future". Con particolare riferimento alla comunicazione dei dati a terzi, la parte ha rilevato come la cessione del database alla società spagnola Natexo Spain, oggetto del contratto di monetizzazione stipulato tra le due società, non si è perfezionata; mentre la comunicazione degli stessi dati a società di gestione di software (necessaria per lo svolgimento dell'attività di profilazione), avviene in forma anonima, senza alcuna possibilità di risalire all'identità dei soggetti a cui i dati si riferiscono. Pertanto, secondo la parte, è nullo il verbale di contestazione nella parte in cui viene contestata la violazione dell'art. 23 del Codice. Allo stesso modo, la parte rileva come le informative presenti sui siti web in questione riportino tutti gli elementi richiesti dall'art. 13 del Codice, cosicché nessuna violazione le può essere addebitata ai sensi dell'art. 161. Relativamente alla violazione di cui all'art. 163 del Codice, la parte ha dichiarato che la omessa notificazione al Garante è stata semplicemente "frutto di inesperienza e approssimazione, e non nasconde alcun intento o malizia di sorta". Infine, è stato rilevato che le violazioni accertate, laddove si rivelassero fondate, "sarebbero state nient'altro che l'attuazione di un'unica condotta rispetto alla quale dovrebbe trovare applicazione il disposto di cui all'art. 8 della legge n. 689/1981 in tema di concorso formale di illeciti";

LETTO il verbale di audizione, svoltasi in data 15 giugno 2015 ai sensi dell'art. 18 della legge n. 689/1981, con cui la parte, oltre a ribadire quanto già dichiarato nelle memorie difensive, ha precisato di aver dato attuazione alle prescrizioni impartite dal Garante con il provvedimento del 18 novembre 2015, fornendo la documentazione relativa ai nuovi testi di informativa presenti sui siti internet www.bookingshow.it e www.merchandisingplaza.com (mentre il terzo sito è stato definitivamente chiuso). La parte ha, pertanto, chiesto che laddove le violazioni si giudicassero fondate, nell'applicazione delle sanzioni si tenga conto dei criteri di cui all'art. 11 della legge n. 689/1981, con particolare riferimento alle condizioni economiche della società, con eventuale applicazione della riduzione di cui all'art. 164-bis, comma 1, del Codice;

CONSIDERATO che le argomentazioni addotte non permettono di escludere la responsabilità della parte in relazione a quanto contestato. L'esame della documentazione agli atti del fascicolo, comprensiva delle dichiarazioni rese dalla parte nel corso degli accertamenti ispettivi e di quanto successivamente prodotto con lo scritto fatto pervenire al Nucleo privacy della Guardia di finanza, permette di rilevare diversi profili di criticità in ordine ai trattamenti di dati posti in essere dalla società. Si rileva che la modalità di acquisizione del consenso relativa al perseguimento di altre finalità, ulteriori rispetto a quella di registrazione al sito al fine di usufruire dei servizi offerti, non risulta conforme alle disposizioni del Codice. Infatti, tale formula di consenso, oltre ad essere preselezionata sulla dicitura "Accetto", è comprensiva sia dell'autorizzazione al trattamento per finalità di marketing sia dell'autorizzazione all'eventuale comunicazione a terzi. Trattasi di finalità diverse tra loro che, come tali, richiedono, ciascuna, una specifica manifestazione del consenso da parte dell'utente. Con riferimento, poi, al sito www.merchandisingplaza.com si osserva come sia stato rilevato lo svolgimento dell'attività di profilazione mediante l'invio di newsletter ed e-mail personalizzate. Anche in tal caso, sarebbe stato necessario prevedere uno specifico consenso da parte dell'utente al perseguimento di tale finalità, che, tra l'altro, non veniva menzionata nel testo dell'informativa tra quelle perseguite. Tale circostanza spiega perché sia stata contestata alla società anche la violazione dell'art. 13 del Codice per inidoneità dell'informativa resa all'interessato.

Un altro aspetto particolarmente rilevante riguarda la comunicazione dei dati alla società Natexo Spain. La dichiarazione resa dalla parte negli scritti difensivi, secondo cui il contratto di monetizzazione con la citata società non si sarebbe concluso e che, quindi, nessuna comunicazione dei dati sarebbe stata attuata, non trova riscontro nella documentazione prodotta. Infatti, nella nota inviata dalla parte il 5 novembre 2014, alla quale è stato allegato il contratto di monetizzazione recante la data del 15 novembre 2013, si fa più volte riferimento all'avvenuto invio dei dati degli utenti alla società spagnola e viene dettagliatamente descritta la procedura di coobranding esistente tra le due società. Pertanto, sulla base degli elementi a disposizione, si deve ritenere che la cessione dei dati alla Natexo Spain sia effettivamente avvenuta.

Per quanto riguarda la violazione dell'art. 13 del Codice, l'inidoneità dell'informativa si riferisce, in alcuni casi, all'erronea indicazione di finalità di fatto non perseguite. E' il caso delle informative predisposte in calce ai form di iscrizione alla newsletter, "Diventa punto vendita", "Contatti" e "Lavora con noi", presenti sul sito www.bookingshow.it, dove vengono indicate le finalità di "marketing, statistiche e promozionali con comunicazione dei dati a soggetti terzi" che, come dichiarato dalla parte, non sono poste in essere in quanto "l'unica finalità è dare soddisfacimento alle richieste per cui l'utente compila i predetti form". L'informativa posta in calce al sito www.merchandisingplaza.com, come già accennato, risulta inidonea perché incompleta nell'indicazione delle finalità perseguite (nel caso specifico, manca l'indicazione della finalità della profilazione).

Quanto all'ultima osservazione formulata dalla parte, in ordine all'applicazione dell'art. 8 della legge n. 689/1981, si rileva che presupposto applicativo del concorso formale è "l'unicità dell'azione o omissione". Nel caso di specie, dunque, si osserva come le fattispecie contestate (artt. 13, 23 e 37) siano sostanziate da condotte diverse, non collegate tra loro, poste in essere dal titolare del trattamento attraverso diversi siti internet (sul punto vedasi ordinanza del 30 dicembre 2011 pubblicata sul sito www.garanteprivacy.it [doc. web. 1892823]);

RILEVATO, pertanto, che Bookingshow Spa, in qualità di titolare del trattamento ai sensi dell'art. 28 del Codice:

- ha effettuato un trattamento di dati personali per mezzo del sito web www.bookingshow.it, rendendo un'informativa inidonea e omettendo di acquisire un consenso specifico in relazione a ciascuna finalità perseguita (marketing e comunicazione di dati a terzi), in violazione degli artt. 13 e 23 del medesimo Codice;

- ha effettuato un trattamento di dati personali per mezzo del sito web www.sportmonamour.it, raccogliendo un consenso unico e obbligatorio in relazione alle finalità di marketing e di comunicazione dei dati a terzi, in violazione dell'art. 23 del medesimo Codice;

- ha effettuato un trattamento di dati personali per mezzo del sito web www.merchandisingplaza.com rendendo un'informativa inidonea e omettendo di acquisire un consenso specifico in relazione a ciascuna finalità perseguita (profilazione, comunicazione di dati a terzi), in violazione degli artt. 13 e 23 del medesimo Codice;

- ha effettuato attività di profilazione mediante il sito web www.merchandisingplaza.com senza aver effettuato la notificazione al Garante, ai sensi degli artt. 37 e 38 del medesimo Codice;

VISTO l'art. 161 del Codice, che punisce la violazione dell'art. 13 del medesimo Codice con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro;

VISTO l'art. 162, comma 2-bis, del Codice che punisce la violazione delle disposizioni indicate nell'art. 167 del Codice, tra le quali quella di cui all'art. 23 del medesimo Codice, con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

VISTO l'art. 163 del Codice che punisce la violazione delle disposizioni di cui agli artt. 37 e 38 con la sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro;

RILEVATO che non sussistono i presupposti per l'applicazione della riduzione della sanzione di cui all'art. 164-bis, comma 1, del Codice, in considerazione del rilevante numero di violazioni accertate;

CONSIDERATO che, ai fini della determinazione dell'ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell'art. 11 della legge n. 689/1981, dell'opera svolta dall'agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a) in ordine all'aspetto della gravità con riferimento agli elementi dell'entità del pregiudizio o del pericolo, modalità della condotta e intensità dell'elemento psicologico, la violazione viene valutata in considerazione del numero rilevante di dati trattati in assenza di idonei presupposti di legge;

b) ai fini della valutazione dell'opera svolta dall'agente, deve evidenziarsi che la società ha provveduto a modificare i testi delle informative presenti sui siti internet con le formule di consenso e ha effettuato la notificazione all'Autorità ai sensi degli artt. 37 e 38 del Codice in data 22 luglio 2015;

c) circa la personalità dell'autore della violazione, deve essere considerata la circostanza che la società non è stata destinataria di provvedimenti precedenti a quello adottato dall'Autorità il 18 novembre 2015;

d) in merito alle condizioni economiche dell'agente, sono stati presi in considerazione gli elementi delle dichiarazioni reddituali relative all'anno d'imposta 2015;

RITENUTO, quindi, di dover determinare, ai sensi dell'art. 11 della legge n. 689/1981, l'ammontare della sanzione pecuniaria,  in ragione dei suddetti elementi valutati nel loro complesso, nella misura di:

- euro 12.000,00 (dodicimila) per la violazione di cui all'art. 161, in relazione all'inidonea informativa sui due siti internet (www.bookingshow.it e www.merchandisingplaza.com) (6.000,00 euro per ciascun sito);

- euro 30.000,00 (trentamila) per la violazione di cui all'art. 162, comma 2-bis, in relazione all'acquisizione del consenso su ciascun sito web (www.bookingshow.it, www.sportmonamour.it e www.merchandisingplaza.com (10.000,00 euro per ciascun sito);

- euro 20.000,00 (ventimila) per la violazione di cui all'art. 163, in relazione all'omessa notificazione al Garante per l'attività di profilazione effettuata mediante il sito www.merchandisingplaza.com;

per un ammontare complessivo pari a euro 62.000,00 (sessantaduemila);

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Licia Califano;

ORDINA

a Bookingshow s.p.a., con sede in Foggia, via di Monte Regina snc, C.F. 03376920710, nella persona del legale rappresentante pro-tempore, di pagare la somma di euro 62.000,00 (sessantaduemila) a titolo di sanzione amministrativa pecuniaria per le violazioni previste dagli artt. 161, 162, comma 2-bis, e 163 del Codice, come indicato in motivazione;

INGIUNGE

alla medesima società di pagare la somma di euro 62.000,00 (sessantaduemila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l'adozione dei conseguenti atti esecutivi a norma dall'art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 22 giugno 2017

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia