[doc. web n. 10095175]

Provvedimento del 13 novembre 2024

Registro dei provvedimenti
n. 671 del 13 novembre 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE il prof. Pasquale Stanzione;

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

1.1. Premessa

Con comunicazione Prot. n. 67283 del 3 giugno 2024 (notificata in pari data mediante posta elettronica certificata), che qui deve intendersi integralmente richiamata, l’Ufficio ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento nei confronti di Thermogen S.r.l. (di seguito “Thermogen” o “Società”), P. IVA 09968640962, in persona del legale rappresentante pro-tempore, con sede legale in Milano (MI), Viale Abruzzi n. 94.

Il procedimento trae origine da una istruttoria avviata dall’Autorità, a seguito della trasmissione di un reclamo mediante il quale l’interessato lamentava l’avvenuta ricezione di una chiamata indesiderata a scopo promozionale finalizzata alla conclusione di un contratto di manutenzione caldaia, effettuata in nome e per conto di Thermogen.

Nel richiamato atto di reclamo, l’interessato evidenziava di non avere mai avuto alcun rapporto con la Società, di non avere mai fornito alla stessa i propri dati personali, né prestato il consenso al trattamento degli stessi per finalità di marketing o pubblicitario. Per tali ragioni, con comunicazione trasmessa mediante posta elettronica certificata in data 13 dicembre 2023, l’istante si era rivolto alla Società, chiedendo conferma che fosse o meno in corso un trattamento di dati personali che lo riguardasse ed in caso di affermativo «di ottenere l'accesso a tali dati, una copia degli stessi, e tutte le informazioni previste alle lettere da a) a h) dell’art. 15, paragrafo 1, del Regolamento (UE) 2016/679».

Dalla documentazione allegata all’atto di reclamo, emergeva che la Società aveva riscontrato la richiesta in data 18 marzo 2024 comunicando di avere ricevuto “l’autorizzazione dal fornitore” e fornendo un indirizzo mail appartenente a quest’ultimo per l’esercizio del diritto alla cancellazione. Il fornitore in questione era la «Società XX, con sede in XX» e risultava “sciolto mediante cancellazione obbligatoria” (cfr. “dissolved via compulsory strike-off”).

1.2. La richiesta di informazioni formulata dall’Autorità

L’Ufficio, esaminate le circostanze riportate nell’atto di reclamo e tutta la documentazione ivi allegata, provvedeva a richiedere a Thermogen di fornire le proprie osservazioni in ordine a quanto accaduto e a comunicare se intendesse aderire alle richieste del reclamante (cfr. Prot. n. 41327 del 3 aprile 2024).

Con nota del 22 aprile 2024 (cfr. Prot. n. 50204 del 23 aprile 2024), la Società dichiarava di avere ricevuto l’autorizzazione a contattare l’utenza mobile intestata al reclamante da parte della società XX, avente sede legale a XX, allegando la documentazione recante i dati anagrafici e di contatto del reclamante, nonché la «data di rilascio dell’autorizzazione dal predetto fornitore: 01/12/2023 e la data della fine dell’autorizzazione: 01/03/2024».

Il reclamante non si avvaleva della facoltà di presentare ulteriori osservazioni.

1.3. Contestazione delle violazioni

L’Ufficio, all’esito dell’istruttoria, adottava il sopra richiamato atto di contestazione n. 67283/24 nel quale, in primo luogo, si osservava che Thermogen, che nel caso in esame assumeva il ruolo di titolare del trattamento, non aveva riscontrato l’istanza di esercizio dei diritti da parte dell’interessato nei termini e nei modi previsti dalla legge. A tale riguardo, si evidenziava che la Società aveva fornito riscontro all’interessato tardivamente, fornendo documentazione in lingua inglese e l’indirizzo mail di una società estera per l’esercizio del diritto alla cancellazione. A parere dell’Ufficio tale contegno violava da un lato le disposizioni del Regolamento in materia di diritti dell’interessato, dall’altro appariva contrario ai doveri gravanti sul titolare in virtù del principio di cd. accountability.

Nell’atto di contestazione, inoltre, si rilevava che dal tenore dei riscontri forniti, sembrava emergere anche la violazione del Regolamento in relazione alla mancata e/o errata individuazione dei ruoli e delle responsabilità dei soggetti coinvolti nelle operazioni di trattamento dei dati personali, con una conseguente errata attribuzione degli obblighi e dei compiti che ne derivano.

Infine, l’Ufficio osservava che dalla documentazione in atti, la chiamata promozionale oggetto di doglianza appariva essere stata effettuata in assenza di un’idonea base giuridica e del previo conferimento dell’informativa sul trattamento dei dati personali, nonché utilizzando una numerazione non iscritta al Registro degli operatori della Comunicazione (di seguito anche “ROC”).

L’Ufficio, pertanto, contestava a Thermogen la violazione degli artt. 5, 6, 7, 12, 13, 14, 15, 17, 24 e 28 del Regolamento, nonché dell’art. 130 del Codice, per aver violato le disposizioni vigenti in materia di esercizio dei diritti degli interessati e aver effettuato i sopra descritti trattamenti di dati personali in contrasto con i principi di liceità, trasparenza e responsabilizzazione, in assenza di un’idonea informativa e senza aver acquisito dall’interessato il prescritto consenso.

2. MANCATO ESERCIZIO DEL DIRITTO DI DIFESA DA PARTE DEL TITOLARE

La parte non ha presentato scritti difensivi, né ha chiesto di essere sentita dall’Autorità, in base a quanto previsto dall’art. 166, comma 6, del Codice e dall’art. 13 del regolamento del Garante n. 1/2019 (disponibile per la consultazione su sito www.gpdp.it, doc web n. 9107633).

3. VALUTAZIONI DELL’AUTORITÀ

3.1 Questioni preliminari

Va in primo luogo ribadito che il titolare del trattamento non ha inteso esercitare il diritto di difesa avvalendosi delle facoltà previste dall’art. 166, comma 6, del Codice e dall’art. 13 del regolamento interno del Garante n. 1/2019, nonostante la rituale notifica dell’atto di avvio del procedimento a mezzo posta elettronica certificata, comprovata dalle ricevute di accettazione e consegna.

Al riguardo, l’art. 7, comma 1, del regolamento interno del Garante n. 1/2019 dispone che «Per esigenze di certezza e celerità nella trattazione degli affari, le comunicazioni al Garante inerenti gli stessi sono effettuate preferibilmente tramite i servizi online resi disponibili sul sito web o tramite posta elettronica certificata (PEC). Ove possibile, le comunicazioni sono effettuate dal dipartimento, servizio o altra unità organizzativa tenendo conto delle indicazioni fornite dagli interessati ai fini delle notificazioni e comunicazioni con il Garante, ovvero, nei casi e nelle forme previsti dalle disposizioni vigenti, presso la casella di posta elettronica certificata (PEC) risultante da pubblici elenchi o comunque accessibili alle pubbliche amministrazioni».

Del resto, l’attuale quadro normativo non sembra ammettere alternative, tenuto conto che ai sensi dell’art. 3 bis, comma 1 del D. Lgs. n. 82/2005 (Codice dell'amministrazione digitale, di seguito anche CAD) i soggetti tenuti all'iscrizione nel registro delle imprese hanno l'obbligo di dotarsi di un domicilio digitale e ai sensi del successivo art. 5 bis «La presentazione di istanze, dichiarazioni, dati e lo scambio di informazioni e documenti, anche a fini statistici, tra le imprese e le amministrazioni pubbliche avviene esclusivamente utilizzando le tecnologie dell'informazione e della comunicazione. Con le medesime modalità le amministrazioni pubbliche adottano e comunicano atti e provvedimenti amministrativi nei confronti delle imprese».

In tal senso si è espressa anche la recente giurisprudenza vd. Cons. Stato, Sez. VI, 06/06/2023, n. 5534 stabilendo che «la PEC costituisce ormai mezzo ordinario (nonché esclusivo) per le comunicazioni tra P.A. e imprese (artt. 5-bis e 48 del Codice dell'amministrazione digitale - D.Lgs. n. 82 del 2005). Il D.P.C.M. 22 luglio 2011, contenente le "Comunicazioni con strumenti informatici tra imprese e amministrazioni pubbliche" ed adottato in attuazione proprio del menzionato art. 5-bis, comma 2, C.A.D., prevede, peraltro, al suo art. 3, che, a decorrere dal 1 luglio 2013, "le pubbliche amministrazioni non possono accettare o effettuare in forma cartacea le comunicazioni" (comma 1) e che "in tutti i casi in cui non è prevista una diversa modalità di comunicazione telematica, le comunicazioni avvengono mediante l'utilizzo della posta elettronica certificata", ai sensi degli artt. 48 e 65, comma 1, lett. c-bis, C.A.D. (comma 2)».

Sul punto, si richiamano altresì gli artt. 6 e 6 bis del CAD che con specifico riferimento alle imprese, prevedono che le comunicazioni tramite i domicili digitali siano effettuate agli indirizzi inseriti nell’Indice nazionale dei domicili digitali (di seguito anche “INI-PEC”), che è realizzato a partire dagli elenchi di indirizzi PEC costituiti presso il registro delle imprese e gli ordini o collegi professionali.

Nel caso in esame la comunicazione di avvio del procedimento è stata trasmessa all’indirizzo PEC del titolare risultante dalla visura camerale e presente nell’INI-PEC. Inoltre lo stesso indirizzo di posta elettronica certificata è stato utilizzato anche dalla Società nell’ambito delle pregresse interlocuzioni con l’Autorità.

Ne deriva che deve ritenersi pienamente realizzata tanto la legale conoscenza dell’atto in questione, quanto l’integrità del contraddittorio.

3.2 Questioni di merito

Con riguardo alle questioni di merito, si osserva che, rispetto ai trattamenti oggetto di doglianza, Thermogen assume il ruolo di titolare del trattamento ai sensi dell’art. 4, punto 7 del Regolamento (cfr. «la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri»), ciò anche in considerazione della circostanza che l’attività promozionale era svolta proprio per suo conto ed era finalizzata alla conclusione di un contratto a titolo oneroso in suo favore. Alla medesima Società sono dunque direttamente riconducibili tanto gli adempimenti posti dalla normativa in materia di protezione dei dati personali, quanto la responsabilità per le violazioni rilevate.

Ciononostante, dal tenore delle dichiarazioni pervenute e dal contegno tenuto nei confronti dell’Autorità, emerge un quadro di non completa assimilazione di tutti gli oneri e obblighi che ricadono sul titolare del trattamento in materia di protezione dei dati personali, per come interpretati anche alla luce del principio di cd. accountability.

A tale proposito si rammenta infatti che ai sensi degli artt. 5, par. 2 e 24 del Regolamento, il titolare è competente per il rispetto dei principi di liceità, correttezza e trasparenza del trattamento ed è il soggetto gravato dall’onere di provarne l’adempimento.

Difatti, a tenore del Considerando n. 74 «È opportuno stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest'ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto. In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l'efficacia delle misure (…)».

Nel caso in esame, l’avvenuta violazione degli obblighi gravanti sul titolare del trattamento emerge in prima battuta proprio dalle modalità di gestione delle istanze di esercizio dei diritti degli interessati, che sono apparse contrarie alla lettera e allo spirito della vigente normativa sotto un duplice ordine di aspetti.

Da un lato, infatti, il titolare ha riscontrato l’istanza dell’interessato ben oltre il termine previsto dall’art. 12 del Regolamento, senza motivare le ragioni del ritardo e senza avvalersi della facoltà di proroga ivi prevista.

Dall’altro, il riscontro fornito all’interessato appare ictu oculi inidoneo a soddisfare le sue richieste, dal momento che la Società si è limitata ad allegare una schermata in lingua inglese in relazione all’asserita acquisizione del consenso e a fornire l’indirizzo mail di un altro soggetto - peraltro non stabilito nell’Unione Europea - ai fini dell’esercizio del diritto alla cancellazione.

Tuttavia da tale schermata non è stato possibile comprendere né la natura degli asseriti consensi conferiti all’interessato, né il ruolo dei soggetti a vario titolo coinvolti nelle operazioni di trattamento realizzate in nome e per conto di Thermogen.

Tale contegno si appalesa del tutto contrario al disposto dell’art. 12 del Regolamento nella parte in cui prevede che il titolare del trattamento debba fornire all'interessato tutte le comunicazioni di cui agli articoli da 15 a 22 relative al trattamento, in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro.

In aggiunta, il tardivo e laconico riscontro da parte della Società si pone in contrasto con la norma appena citata anche nella parte in cui prevede che il titolare del trattamento debba agevolare l'esercizio dei diritti dell'interessato e che non possa rifiutare di soddisfare tali richieste, salvo il caso in cui dimostri di non essere in grado di identificare l'interessato.

Si rammenta sul punto che in base a quanto espresso nel Considerando n. 59 «È opportuno prevedere modalità volte ad agevolare l'esercizio, da parte dell'interessato, dei diritti di cui al presente regolamento, compresi i meccanismi per richiedere e, se del caso, ottenere gratuitamente, in particolare l'accesso ai dati, la loro rettifica e cancellazione e per esercitare il diritto di opposizione. Il titolare del trattamento dovrebbe predisporre anche i mezzi per inoltrare le richieste per via elettronica, in particolare qualora i dati personali siano trattati con mezzi elettronici. Il titolare del trattamento dovrebbe essere tenuto a rispondere alle richieste dell'interessato senza ingiustificato ritardo e al più tardi entro un mese e a motivare la sua eventuale intenzione di non accogliere tali richieste».

Peraltro, dal costante e ripetuto riferimento esclusivamente al titolare del trattamento contenuto agli artt. 15-22 del Regolamento, emerge che le istanze sul tema debbano essere rivolte proprio al titolare del trattamento e che su tale soggetto ricada l’obbligo e la responsabilità di soddisfarle.

Tale principio è ricavabile a contrariis anche dall’art. 15 del regolamento del Garante n. 1/2019 “concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali”; tale disposizione, per quanto riguarda l’esercizio dei diritti, prevede che il reclamo debba recare in allegato copia della richiesta rivolta al titolare del trattamento e che qualora l’istante non abbia preventivamente esercitato i diritti di cui agli articoli da 15 a 22 del Regolamento «con istanza rivolta al titolare del trattamento, se dal reclamo non emergano specifiche e fondate ragioni che ne giustifichino la mancata effettuazione, il dipartimento, servizio o altra unità organizzativa ai quali il reclamo è assegnato invita, entro quarantacinque giorni dalla data della ricezione del reclamo, l’istante a rivolgersi al titolare del trattamento».

Più in generale, poi, i riscontri forniti dal titolare rivelano la mancata e/o errata individuazione dei ruoli e delle responsabilità dei soggetti coinvolti nelle operazioni di trattamento dei dati personali, con conseguente inadempimento degli obblighi e dei compiti che ne derivano.

La Società, infatti, non ha fornito alcun chiarimento in merito al ruolo soggettivo degli operatori coinvolti nelle operazioni di trattamento oggetto di doglianza e si è mostrata non consapevole degli obblighi derivanti dall’art. 28 del Regolamento in relazione alle attività di trattamento dei dati personali svolte dai propri fornitori e partner commerciali (cd. culpa in eligendo e culpa in vigilando).

Thermogen, infatti, sia nel riscontro fornito all’interessato, sia in quello rivolto all’Autorità, si è limitata a fare esclusivo riferimento a XX, una società inglese che risultava disciolta già da tempo e nulla ha comunicato in merito all’eventuale restituzione, cancellazione o anonimizzazione dei dati trattati da tale fornitore in nome e per conto della Società.

Per altro verso, anche le attività di telemarketing e teleselling effettuate per conto di Thermogen risultano realizzate in assenza di un’idonea base giuridica e pertanto in violazione degli artt. 6 e 7 del Regolamento e 130 del Codice, confermando anche sotto tale profilo l’assenza di qualsivoglia selezione e vigilanza nei confronti dei partner.

Inoltre, si ribadisce che dalla documentazione versata in atti non solo non è possibile ricostruire analiticamente quali tipologie di consenso abbia conferito l’interessato, né l’identità del soggetto deputato alla raccolta; al contrario, viene fatto generico riferimento a XX, quale “owner” di una campagna marketing effettuata online e a consensi raccolti in relazione a servizi di “Telefono/ADSL/Security system”, che nulla hanno a che vedere con la manutenzione delle caldaie.

In aggiunta, la circostanza che la chiamata oggetto di segnalazione sia stata effettuata da una numerazione non iscritta al ROC, vale a confermare che i trattamenti oggetto di re-clamo sono stati realizzati in violazione della vigente normativa e avvalendosi di soggetti che non presentavano adeguate competenze in materia di protezione dei dati personali.

Infine, anche dalle dichiarazioni rese dal reclamante circa l’ignoranza dell’avvenuto trasferimento dei propri dati personali all’estero e del mancato conferimento del consenso al trattamento da parte di Thermogen (dichiarazioni che la Società non ha inteso smentire), appare comprovata l’avvenuta violazione della vigente normativa in relazione allo svolgimento di attività di telemarketing in assenza di un’idonea base giuridica e senza il previo conferimento dell’informativa all’interessato (cfr. atto di reclamo « (…) Non avendo mai avuto alcun rapporto con la predetta Società né avere mai fornito alla stessa Società i miei dati personali né prestato il consenso al trattamento degli stessi per finalità di marketing o pubblicitario. (…) Tuttavia, non risulta che lo scrivente abbia mai fornito dati personali ovvero autorizzato il trattamento degli stessi alla società extra UE indicata dalla Thermogen»).

Deve quindi definitivamente confermarsi la responsabilità di Thermogen in ordine a tutte le violazioni contestate.

4. CONCLUSIONI

Per quanto sopra esposto, si ritiene accertata la responsabilità di Thermogen in ordine alle seguenti violazioni:

a) artt. 5, par. 2, 12, 15, 17 e 24 del Regolamento per aver violato le disposizioni vigenti in materia di esercizio dei diritti degli interessati;

b) artt. 5, par. 2, 24 e 28 del Regolamento per lo svolgimento di trattamenti di dati personali in assenza della previa individuazione da parte del titolare dei ruoli soggettivi e in violazione dei doveri gravanti sul medesimo titolare del trattamento in relazione alle attività di trattamento svolte per suo nome e per suo conto (cd. culpa in eligendo e culpa in vigilando);

c) artt. 5, 6, 7, 12, 13 e 24 del Regolamento, nonché dell’art. 130 del Codice, per avere effettuato i sopra descritti trattamenti di dati personali in contrasto con i principi di liceità, trasparenza e responsabilizzazione, in assenza di una previa informativa e di idonea base giuridica;

Accertata quindi l’illiceità delle condotte della Società con riferimento ai trattamenti presi in esame, si rende necessario:

- imporre a Thermogen, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento di conformare i trattamenti di dati personali alla vigente normativa, con particolare riferimento alla individuazione dei ruoli soggettivi dei soggetti coinvolti nelle attività di trattamento e alla gestione delle istanze di esercizio degli interessati;

- imporre a Thermogen, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento di conformare i trattamenti di dati personali alla vigente normativa, con particolare riferimento allo svolgimento delle attività di telemarketing solo in presenza di idonea base giuridica e del conferimento della previa informativa ai sensi degli artt. 13 e 14 del Regolamento;

- imporre a Thermogen, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, il divieto di ogni ulteriore trattamento dei dati del reclamante;

- imporre a Thermogen, ai sensi dell’art. 58, par. 2, lett. g) del Regolamento, di provvedere senza ritardo alla cancellazione dei dati del reclamante;

- adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Thermogen della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento.

5. ORDINANZA-INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

Le violazioni sopra indicate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Thermogen della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento (pagamento di una somma fino a € 20.000.000,00 ovvero, per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore);

Per la determinazione del massimo edittale della sanzione pecuniaria, occorre pertanto fare riferimento al fatturato di Thermogen, come ricavato dall’ultimo bilancio d’esercizio disponibile (2022) in accordo con i precedenti provvedimenti adottati dall’Autorità, e quindi si determina tale massimo edittale, nel caso in argomento, in euro € 20.000.000,00.

Per la determinazione dell’ammontare della sanzione occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento.

Nel caso in esame, assumono rilevanza:

1) la gravità delle violazioni (art. 83, par. 2, lett. a) del Regolamento), tenuto conto dell’oggetto e delle finalità dei dati trattati, riconducibili al fenomeno complessivo del telemarketing, in ordine al quale l’Autorità ha adottato, in particolare negli ultimi cinque anni, numerosi provvedimenti che hanno compiutamente preso in esame i molteplici elementi di criticità fornendo ai titolari numerose indicazioni per adeguare i trattamenti alla normativa vigente e per attenuare l’impatto delle chiamate di disturbo nei confronti degli interessati;   

2) quale fattore attenuante, il numero di soggetti interessati dalle violazioni (art. 83, par. 2, lett. a) del Regolamento) poiché, pur essendo queste potenzialmente in grado di arrecare un pregiudizio ad altri soggetti, in concreto, e sulla base di quanto è stato accertato, il trattamento ha comportato l’effettuazione di una sola telefonata indesiderata al reclamante;

3) quale fattore attenuante, la circostanza che la Società non sia stata prima d’ora destinataria di un provvedimento correttivo e sanzionatorio da parte dell’Autorità Garante (art. 83, par. 2, lett. e) del Regolamento);

4) quale fattore aggravante, il complessivo contegno tenuto dalla Società e il grado di cooperazione con l’Autorità, con particolare riferimento alla circostanza che Thermogen a seguito della richiesta – con invito ad aderire – ex art. 157 del Codice, si sia limitata a ribadire quanto già comunicato al reclamante in sede di preventivo interpello e che a seguito della rituale notifica della comunicazione di avvio del procedimento ai sensi dell’art. 166 del Codice, non abbia nemmeno inteso chiarire la sua posizione presentando scritti difensivi o chiedendo di essere sentita dall’Autorità (art. 83, par. 2, lett. f) del Regolamento).

In base al complesso degli elementi sopra indicati, e ai principi di effettività, proporzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, e tenuto conto del necessario bilanciamento fra diritti degli interessati e libertà di impresa, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative e funzionali della Società, si ritiene debba applicarsi a Thermogen la sanzione amministrativa del pagamento di una somma di euro 10.000,00  (diecimila/00), pari allo 0,05% della sanzione massima edittale.

Nel caso in argomento si ritiene che debba applicarsi anche la sanzione accessoria della pubblicazione sul sito del Garante della presente ordinanza ingiunzione, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della particolare gravità delle violazioni valutata sotto un duplice ordine di rilievi.

Da un lato, infatti, nel caso in esame assume particolare rilievo l’erronea qualificazione dei ruoli soggettivi e più in generale degli obblighi derivanti da tali qualificazioni, da considerarsi alla stregua dei più basilari principi di qualsivoglia impianto privacy aziendale, anche alla luce della circostanza che sono oramai trascorsi diversi anni dall’entrata in vigore del Regolamento.

Dall’altro anche la mancata ottemperanza degli specifici obblighi vigenti in materia di telemarketing, si rivela allarmante se considerata nell’ambito dell’attuale contesto storico-sociale riferibile al campo energetico, caratterizzato dal passaggio al mercato libero e dall’intensificarsi di iniziative ascrivibili al campo del telemarketing selvaggio, con conseguente innalzamento dell’attenzione da parte di utenti e Autorità.

Ricorrono infine i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIO’ PREMESSO IL GARANTE

a) impone a Thermogen, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di conformare i trattamenti di dati personali alla vigente normativa, con particolare riferimento:

- alla individuazione dei ruoli soggettivi dei soggetti coinvolti nelle attività di trattamento e alla gestione delle istanze di esercizio degli interessati;

- allo svolgimento delle attività di telemarketing solo in presenza di idonea base giuridica e del conferimento della previa informativa ai sensi degli artt. 13 e 14 del Regolamento;
b)    impone a Thermogen, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, il divieto di ogni ulteriore trattamento dei dati del reclamante;

c) impone a Thermogen, ai sensi dell’art. 58, par. 2, lett. g) del Regolamento, di provvedere senza ritardo alla cancellazione dei dati del reclamante;

d) ingiunge a Thermogen, ai sensi dell’art. 157 del Codice, di comunicare all’Autorità, nel termine di trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alle misure imposte ai punti precedenti; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento;

ORDINA

a Thermogen S.r.l., in persona del legale rappresentante pro-tempore con sede legale in Milano (MI), Viale Abruzzi n. 94, P. IVA 09968640962, di pagare la somma di euro 10.000,00 (diecimila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 10.000,00 (diecimila/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

a) la pubblicazione del presente provvedimento, ai sensi degli artt. 154-bis del Codice e 37 del Regolamento n. 1/2019, nonché l’applicazione della sanzione accessoria della pubblicazione sul sito del Garante della presente ordinanza di ingiunzione, come previsto dagli artt. 166, comma 7 del Codice e 16 del Regolamento del Garante n. 1/2019;

b) l’annotazione del presente provvedimento nel registro interno dell’Autorità - previsto dall’art. 57, par. 1, lett. u), del Regolamento, nonché dall’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante - relativo alle violazioni e alle misure adottate in conformità all'art. 58, par. 2, del Regolamento stesso.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 13 novembre 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei