[doc. web n. 10107986]

Provvedimento del 14 novembre 2024

Registro dei provvedimenti
n. 699 del 14 novembre 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018 n. 101, recante disposizioni per l'adeguamento dell’ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

Con reclamo del 23 dicembre 2022 il signor XX ha lamentato la ricezione di e-mail indesiderate al proprio indirizzo di posta elettronica indicato nella polizza assicurativa stipulata, per conto di un terzo, con la D’Anna Assicurazioni S.r.l. (di seguito «D’Anna» o «Società»). In particolare, l’interessato, dopo essersi opposto all’ulteriore trattamento con comunicazione del 14 dicembre 2021, ha continuato a ricevere le e-mail promozionali in data 19 dicembre 2021 e persino a distanza di un anno dalla richiesta di opposizione originariamente avanzata (19 dicembre 2022).

Il 14 marzo 2024 l’Ufficio ha formulato nei confronti di D’Anna una richiesta di informazioni, ai sensi dell’art. 157 del Codice, alla quale la Società ha risposto con comunicazione pervenuta in data 3 aprile 2024, dichiarando di aver inviato le e-mail lamentate “durante la vigenza del rapporto contrattuale (e quindi in costanza del perdurare del consenso al trattamento dei […] dati personali […])”. Ha, altresì, affermato di non aver dato seguito alla richiesta di revoca del consenso alla ricezione di comunicazioni promozionali in quanto avanzata dall’interessato tramite e-mail e, pertanto, non ritenuta sufficiente a garantire “sicura affidabilità in ordine all’identità del mittente”. In ragione di ciò, la Società avrebbe predisposto “la modulistica necessaria per la […] revoca del consenso” che il reclamante non avrebbe mai sottoscritto. Ad ogni modo “soltanto nel 2023 sopravvenuto l’annullamento per mancato rinnovo del contratto” i dati personali del signor XX (con particolare riferimento all’indirizzo e-mail) sono stati cancellati dai server della Società.

2. LA CONTESTAZIONE DELLE VIOLAZIONI

Con nota del 23 aprile 2024 (prot. n. 0050690/24), notificata in pari data, è stato comunicato alla Società l’avvio del procedimento, ai sensi dell’art. 166, comma 5, del Codice, per l’adozione di eventuali provvedimenti di cui all’art. 58, par. 2, del Regolamento, riconoscendo in capo alla D’Anna la responsabilità per la presunta violazione delle seguenti disposizioni del Regolamento:

- artt. 12, 17 e 21 del Regolamento per non aver registrato l’opposizione alla ricezione di comunicazioni promozionali e la revoca del consenso per scopi commerciali avanzate dall’interessato, in ragione del rapporto contrattuale in essere e per aver ritenuto inadeguato il canale della e-mail per l’identificazione del richiedente;

- artt. 12 e 13 del Regolamento per l’assenza, nel sito internet della Società, di un testo relativo all’informativa sui trattamenti dei dati personali raccolti mediante il form on-line per le richieste di “un preventivo personalizzato”; tali informazioni non sono risultate rinvenibili neppure in altre sezioni ovvero nel footer del medesimo sito internet.

3. MEMORIE DIFENSIVE E ULTERIORE ATTIVITÀ ISTRUTTORIA

In data 22 maggio 2024 la Società ha presentato le proprie memorie difensive in relazione al richiamato atto di avvio del procedimento del 23 aprile 2024. Nello specifico, la Società ha osservato che la e-mail, allegata al reclamo all’Autorità, con la quale l’interessato avrebbe richiesto alla D’Anna la cancellazione dei suoi dati personali recherebbe una data scritta a penna e, pertanto, tale documentazione non può in alcun modo costituire la prova dell’avvenuto invio della citata richiesta in quella specifica data (14.12.2021). Quindi il documento prodotto all’Autorità risulta “manomesso, artefatto, e pertanto privo di alcuna rilevanza fattuale e di diritto”.

La Società ha, inoltre, precisato che “la e-mail oggetto di contestazione […] risultava legata ad una polizza intestata ad altro soggetto”. Infatti tale polizza era stata sottoscritta dal reclamante per conto e nell’interesse di un terzo e, in tale occasione, il medesimo aveva prestato il consenso per fini promozionali. Pertanto la D’Anna ha ritenuto di aver “operato in ordine al trattamento dei dati personali del reclamante nel rispetto del consenso prestato da quest’ultimo e durante la vigenza del rapporto contrattuale […] Infatti, risulta per tabulas – ha aggiunto la Società - come il signor XX fosse legato da un rapporto contrattuale con la D’Anna Assicurazioni s.r.l. almeno sino al [..] 13.01.2022, data di scadenza della polizza […] stipulata dal reclamante per conto di un terzo”.

Inoltre, nel “documento privacy”, allegato alla polizza “e regolarmente sottoscritto dall’interessato”, era chiaramente indicata la XX (di seguito «XX») quale soggetto nei cui confronti potevano essere avanzate istanze di accesso, aggiornamento, rettifica e cancellazione dei dati, nonché di opposizione all’ulteriore trattamento. Pertanto, a detta della Società, se il signor XX avesse voluto revocare il proprio consenso per fini promozionali, avrebbe dovuto rivolgersi alla XX e non alla D’Anna Assicurazioni S.r.l. “Infatti – ha precisato - la D’Anna Assicurazioni risulta rivestire la carica di agente mandatario della XX., opera e agisce per i clienti XX s.p.a., solo a seguito di mandato della XX. Il Cliente al momento della sottoscrizione della modulistica privacy si obbliga […] nei confronti della XX e non nei confronti dell’agente mandatario (D’Anna assicurazioni srl)”.

In definitiva, nella ricostruzione operata dalla Società, è emerso quanto segue:

- il signor XX era legato da un rapporto contrattuale con la XX e non con la D’Anna, almeno sino al 13.01.2022, data di scadenza della polizza;

- al momento della sottoscrizione della citata polizza, l’interessato ha prestato il proprio consenso anche per finalità promozionali e non soltanto assicurative;

- il reclamante non ha presentato istanza di cancellazione alla XX, come indicato nel “documento privacy” allegato al contratto.

Con riferimento al sito internet, la D’Anna ha dichiarato di essersi affidata, per la sua realizzazione, ad una società esterna la quale, dopo la comunicazione di avvio del procedimento, avrebbe provveduto ad inserire l’informativa sul trattamento dei dati personali. Ad ogni modo, la Società ha precisato che “il form-on line, seppur presente nel sito web della D’Anna […], non ha mai funzionato in concreto, ovverosia tecnicamente non è stato in nessuna circostanza possibile […] inserire i […] dati personali. […]”.

La circostanza sopra descritta, ha reso necessario formulare nei confronti della D’Anna un’ulteriore richiesta di informazioni, ai sensi dell’art. 157 del Codice, finalizzata a chiarire il rapporto di mandato con la XX fornendo la relativa documentazione contrattuale e l’eventuale designazione dei ruoli nel trattamento dei dati personali. Con tale nota (rif. prot. 0070774/24 dell’11 giugno 2024) l’Autorità ha, altresì, richiesto di “precisare se i dati forniti da XX sono destinati ad implementare il database anche della D’Anna Assicurazioni S.r.l., con quali finalità, ed eventualmente, ove si tratti di scopi di marketing e profilazione, per quali termini temporali”, nonché di descrivere “le procedure per recepire le eventuali richieste di opposizioni all’ulteriore trattamento […], specificando se tali richieste sono registrate anche nei sistemi [della D’Anna] e con quali modalità”.

Con il riscontro pervenuto in data 1° luglio 2024 la Società, nel confermare di agire in qualità di mandataria per conto di XX (mandante), non ha prodotto la documentazione contrattuale richiesta, rinviando all’Autorità la verifica della stessa mediante consultazione nel Registro IVASS. Inoltre ha dichiarato di non detenere un proprio database ma di esercitare “la propria attività di agente in esclusiva operando unicamente nel portale e con i dati custoditi dall’XX”. Infine, per l’evasione delle richieste degli interessati di “diniego/modifica dei consensi,” ha rappresentato la duplice possibilità di “recarsi in agenzia al fine di sottoscrivere il modulo di revoca” e “utilizzare l’applicazione XX sul proprio cellulare, o via web, nel sito XX”.

Il riscontro fornito dalla D’Anna non è stato ritenuto soddisfacente dal momento che la Società non ha prodotto la documentazione richiesta che avrebbe consentito di definire il ruolo e le connesse responsabilità imputabili alla D’Anna nel rapporto con la XX, nell’ambito della disciplina in materia di protezione dei dati personali.

Pertanto il 4 luglio 2024 è stato rinnovato l’invito alla Società ad evadere la richiesta di informazioni dell’11 giugno 2024 (rif. prot. n. 0082592/24) ed è stato, altresì, chiesto di chiarire le “modalità con le quali i dati dei clienti acquisiti da XX. vengono comunicati alla D’Anna Assicurazioni S.r.l., indicando la base giuridica invocata per legittimare tale comunicazione”, nonché di precisare “se i dati dei clienti XX sono destinati ad implementare anche il database della D’Anna Assicurazioni S.r.l. ovvero di descrivere le modalità di accesso da parte di quest’ultima alla banca dati di XX. Infine non è stato chiarito se le eventuali richieste di opposizione all’ulteriore trattamento espresse dagli interessati vengano registrate anche nei sistemi di codesta Società e con quale modalità”.

Con la comunicazione del 10 luglio 2024, la Società ha confermato le argomentazioni espresse nel riscontro del 1° luglio 2024 ed ha allegato il contratto di mandato sottoscritto con XX, denominato “Lettera di Nomina ad Agente”.

4. VALUTAZIONI DI ORDINE GIURIDICO

Con riferimento ai profili fattuali sopra evidenziati, anche in base alle affermazioni della Società, di cui il dichiarante risponde ai sensi dell’art. 168 Codice, si formulano le seguenti valutazioni di ordine giuridico.

4.1. Sulla qualificazione dei ruoli

La Società ha rappresentato e comprovato di rivestire il ruolo di “agente mandatario” per conto della XX in ambito assicurativo; tale qualificazione, a detta della Società, sarebbe idonea ad esonerare la D’Anna da eventuali addebiti di responsabilità anche in relazione al trattamento dei dati personali del reclamante per fini commerciali. Tant’è che quest’ultimo, al fine di vedere soddisfatta la sua richiesta di cancellazione dei dati, avrebbe dovuto rivolgersi alla XX e non, come avvenuto, alla D’Anna.

Al riguardo, occorre in primo luogo evidenziare che la negoziazione e la stipula del contratto di mandato sottoscritto con XX attengono unicamente a istituti dell’ambito civilistico che mirano a regolare i rapporti giuridici tra le parti, ma nulla provano sotto il profilo del corretto trattamento dei dati personali. Infatti, la Società ha fornito, nel corso della fase difensiva, elementi solo di carattere formale, prevalentemente legati alla dimensione della liceità contrattuale, senza produrre necessaria evidenza degli accordi, eventualmente pattuiti, per la realizzazione di trattamenti di dati per scopi promozionali. Ciò che si contesta, nel caso di specie, non riguarda i profili di carattere contrattuale, in alcun modo riconducibili alla protezione dei dati personali o ai compiti demandati al Garante, bensì l’assenza, da un punto di vista probatorio, di evidenze che comprovino le attività eventualmente delegate alla D’Anna nella realizzazione di campagne pubblicitarie anche per conto della XX, nonché la designazione formale del ruolo rivisto dalla Società nel trattamento in questione.

Ad ogni modo, ai fini dell’individuazione della titolarità concretamente esercitata nel trattamento dei dati per fini promozionali, occorre esaminare gli “elementi extracontrattuali, come il grado di controllo reale esercitato da una parte, l'immagine data agli interessati e il legittimo affidamento di questi ultimi sulla base di questa visibilità” (v. parere n. 1/2010 WP 169 adottato il 16 febbraio 2010 dal Gruppo di lavoro Art. 29, sostituito dal Comitato europeo per la protezione dei dati – EDPB - ai sensi del Regolamento UE 2016/679). Pertanto, indipendentemente dalla documentazione contrattuale che ha regolato i rapporti tra la D’Anna e la XX – che, come detto, non necessariamente ha rilievo anche sulla qualificazione dei ruoli nel trattamento dei dati personali – è stata effettuata un’analisi degli elementi di fatto e delle circostanze del caso. Come meglio chiarito nelle Linee guida 7/2020 dell’EDPB (adottate il 7 luglio 2021, in https://www.edpb.europa.eu/system/files/2023-10/edpb_guidelines_202007_controllerprocessor_final_it.pdf), “Appurato che quello di titolare del trattamento è un concetto funzionale, esso si basa pertanto su un’analisi fattuale piuttosto che formale” (v. punto 21).

Ciò doverosamente precisato, sulla base della concreta condotta tenuta nel caso di specie, la D’Anna è da ritenersi autonomo titolare del trattamento dei dati personali per fini commerciali.

In primo luogo, si deve osservare che la “Lettera di Nomina ad Agente” - peraltro non prodotta nella versione integrale in quanto priva della parte dedicata alle “Condizioni Particolari di Capitolato” - ha valore solo con riguardo ai rapporti contrattuali tra le parti e non rispetto alla qualificazione dei ruoli nel trattamento dei dati: infatti, ciò che appare garantito con il citato atto è il solo ambito civilistico del contratto e delle sue caratteristiche, con il quale è stato conferito alla D’Anna pieno mandato in ordine alla “promozione di contratti di assicurazione per conto dell’Impresa” (nello specifico XX)  “nell’ambito dell’attività di intermediazione assicurativa” (art. 1 delle Condizioni Generali di Capitolato - “Oggetto dell’incarico”).

Nel contratto di mandato non risulta, invece, in alcun modo disciplinato il trattamento dei dati personali né, quindi, appaiono definiti i ruoli rivestiti dalle parti (con le relative designazioni a titolare, responsabile o contitolare) e le connesse attribuzioni per le presunte violazioni. Il generico richiamo all’osservanza degli obblighi derivanti dalla normativa in materia di protezione dei dati personali previsto all’articolo 13 della “Lettera di Nomina ad Agente” (rubricato “Impegni delle parti”) non consente di superare le descritte lacune sul ruolo rivestito dalla D’Anna né sulle modalità con le quali realizzare il trattamento per scopi promozionali. Il solo documento prodotto dalla Società relativo al trattamento dei dati acquisiti in ambito contrattuale è il c.d. “documento privacy”, allegato alla polizza sottoscritta dal reclamante. Dalla lettura del testo in questione emerge che XX, quale titolare del trattamento, può comunicare i dati, anche per scopi commerciali e di marketing, a “Società terze che [agiscono] per conto del Titolare o come titolari autonomi”. Tra i soggetti destinatari dei citati dati compaiono le “società del Gruppo” XX tra le quali può certamente essere ricompresa la D’Anna. Tale impostazione non fa che confermare la ricostruzione sopra prospettata circa il riconoscimento di una autonoma titolarità in capo alla D’Anna nel trattamento dei dati personali per scopi promozionali.

Inoltre, le comunicazioni lamentate nel reclamo sono risultate provenire dall’indirizzo e-mail della D’Anna della quale, in calce ai messaggi promozionali, sono indicati i recapiti telefonici e di posta elettronica nonché la sede legale della Società. Le comunicazioni commerciali, così confezionate, pertanto, inequivocabilmente associano la ricezione del messaggio promozionale ad un’iniziativa propria della Società. Una tale configurazione del messaggio deve ritenersi idonea ad ingenerare nei destinatari la convinzione di essere stati contattati direttamente dalla D’Anna e, per tali ragioni, lo stesso reclamante si è rivolto in prima battuta alla Società, al recapito di posta elettronica rinvenibile in calce alla citata e-mail e attualmente indicato nella privacy policy.

Da ultimo, non è condivisibile la ricostruzione prospettata dalla parte in base alla quale, nel trattamento in questione, la D’Anna non ricoprirebbe alcun ruolo ai sensi della normativa in materia di protezione dei dati, né può ricondursi ad essa la qualifica di mero responsabile del trattamento che, ad ogni modo, avrebbe dovute essere formalizzata e non assunta in via “di fatto” o in via residuale.  Infatti, come già rappresentato, non risultano, in atti, le istruzioni impartite dal titolare-XX per l’attività promozionale. Tali istruzioni, ai sensi dell’art. 28, par. 3, del Regolamento, devono essere disciplinate “da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri” di cui, come detto, non è stata prodotta evidenza, nonostante l’esplicita richiesta dell’Autorità dell’11 giugno 2024, rinnovata in data 4 luglio 2024.

La D’Anna, quindi, ha effettuato un trattamento di dati personali in maniera del tutto autonoma e indipendente, definendone le finalità (promozionali) e le modalità di contatto (e-mail), in assenza di istruzioni operative eventualmente formalizzate dalla committente-XX, eccedendo, di fatto, rispetto al ruolo di mero responsabile.

In definitiva, sulla base degli elementi fattuali sopra evidenziati, la Società ha operato in piena e sostanziale aderenza alla definizione di titolare del trattamento di cui all’art. 4, punto 7, del Regolamento.

4.2. Sull’esercizio dei diritti  

Da quanto emerso in atti, sulla base delle dichiarazioni fornite dalla D’Anna in sede di memoria difensiva (di cui al punto 3 del presente provvedimento), e alla quale si fa completo rinvio, si conferma che la Società, in qualità di titolare, non ha soddisfatto la richiesta di cancellazione dei dati, nonché di opposizione all’ulteriore trattamento, avanzate dal reclamante; infatti, la condotta lamentata dal signor XX non è stata in alcun modo interrotta, avendo lo stesso ricevuto due ulteriori e-mail indesiderate, in data 19 dicembre 2021 e a dicembre 2022, a distanza di un anno dalla richiesta di cancellazione e dopo ben 11 mesi dalla cessazione del contratto (avvenuta il 13 gennaio 2022).

Ad ogni modo, si deve ricordare che il consenso al marketing manifestato “facoltativamente” nell’ambito di un contratto conserva la propria validità fino ad espressa revoca dell’interessato, indipendentemente dallo spirare dei termini contrattuali. Anche in presenza, pertanto, del consenso facoltativo originariamente prestato dal reclamante per le finalità di marketing perseguite dalla Società, la successiva opposizione al trattamento avrebbe in ogni caso annullato l’efficacia del consenso stesso. In definitiva, il dissenso o l’opposizione all’ulteriore trattamento prevalgono sempre su un eventuale consenso originariamente fornito (v. art. 7, par. 3, del Regolamento; v., al riguardo, provv. 15 gennaio 2020, n. 7, doc. web n. 9256486 in www.gpdp.it; v. provv. 11 marzo 2021, n. 99, doc. web n. 9577065 in www.gpdp.it). Nel caso di specie, come sopra rappresentato, l’opposizione manifestata dall’interessato non è stata adeguatamente registrata dal momento che sono risultate pervenute ulteriori e-mail indesiderate successive al diniego espresso.

Inoltre si ritiene di poter superare le criticità di natura formale rilevate dalla Società in ordine alla richiesta di cancellazione dei dati avanzata dall’interessato il 14 dicembre 2021, come descritte al punto 3 del presente provvedimento. Ciò in quanto a tale richiesta, ne è seguita un’altra di analogo contenuto, datata 19 dicembre 2021, completa del relativo header e, quindi, comprensiva di tutti gli elementi (intestazione, mittente, destinatario, data e ora) necessari a ritenere pienamente perfezionata la ricezione dell’atto stesso e la sua conoscenza. La richiesta del 19 dicembre 2021, accuratamente documentata, costituisce una prova inconfutabile del diritto di cancellazione esercitato dall’interessato e della piena conoscenza da parte del titolare che, come detto, non vi ha dato soddisfazione. Si deve osservare, ad ogni modo, che la risposta della D’Anna è stata fornita all’interessato il 14 dicembre 2021, proprio nella medesima data in cui quest’ultimo sostiene di aver inviato la prima richiesta di cancellazione. Vi sarebbe evidenza anche di una ulteriore comunicazione, inviata sempre il 14 dicembre 2021 alla D’Anna, con la quale l’interessato si rendeva disponibile a produrre dettagli per la completa evasione della sua richiesta di cancellazione. Tale prospettazione non consente di escludere che la richiesta dell’interessato sia stata avanzata proprio il 14 dicembre 2021, malgrado la copia prodotta all’Autorità risulti priva di header.  

Tuttavia, indipendentemente dal vizio formale riscontrato nella prima richiesta del 14 dicembre 2021 - che, come detto, appare superato dalla successiva comunicazione del 19 dicembre 2021 - la Società ha dato prova della piena conoscenza delle istanze dell’interessato alle quali, per sua espressa ammissione, non vi ha dato seguito esclusivamente per problemi connessi all’identificazione del reclamante dovuti all’utilizzo di un canale diverso (e-mail) da quello previsto (modulistica) per la revoca del consenso al marketing.  

Al riguardo, se è pur vero che l’interessato non si è avvalso della modulistica messa a disposizione dalla Società (della quale non è stata fornita evidenza), si deve tuttavia osservare che il medesimo ha espresso in maniera chiara la propria opposizione, e lo ha fatto in più di un’occasione, fino a doversi rivolgere al Garante. Peraltro, come sopra rappresentato, nello scambio di e-mail del 14 dicembre 2021 con la D’Anna, il reclamante ha fornito assicurazioni circa la propria identità, sostenendo l’associazione della sua e-mail all’anagrafica del soggetto terzo contraente la polizza assicurativa, confermando, in tale circostanza, le informazioni già in possesso della Società.

Al riguardo, si rappresenta che l’art. 12, par. 6, del Regolamento consente al titolare del trattamento di richiedere ulteriori informazioni che si rendano necessarie per confermare l’identità dell’interessato, ma solo qualora nutra ragionevoli dubbi circa l’identità di chi presenta la richiesta. Tale parametro della ragionevolezza è richiamato anche nel considerando 64 che suggerisce l’adozione di “misure ragionevoli” per verificare l’identità dell’interessato. L’individuazione di misure ragionevoli, pertanto, dovrebbe essere guidata dal rispetto dei principi di proporzionalità, necessità e adeguatezza, tenendo conto del contesto e dei potenziali rischi.

Nel caso in questione, occorre in primo luogo tenere presente le scarse conseguenze che la revoca del consenso per finalità commerciali può avere nella sfera giuridica dell’interessato rispetto a quelle, ben più pregiudizievoli, derivanti dall’esercizio di altri diritti (come ad esempio l’accesso, la rettifica, la portabilità etc.), laddove fosse un terzo malintenzionato ad esercitarli. Inoltre, una richiesta di revoca del consenso o di opposizione per finalità di marketing può verosimilmente ritenersi riconducibile al soggetto che la propone, non potendo ipotizzarsi altri utenti che potrebbero avere un interesse in tal senso (a differenza di quanto, invece, potrebbe accadere con l’esercizio di altri diritti) (v., al riguardo, provv. 9 luglio 2020, n. 143, doc. web n. 9435753, in www.gpdp.it).

In ragione di ciò e delle assicurazioni fornite dall’interessato circa la propria identità, la misura utilizzata per identificare il richiedente, menzionata nel riscontro del 2 aprile 2024, appare sproporzionata e, soprattutto, non idonea a soddisfare, senza ritardo, le istanze di esercizio dei diritti, compreso il diritto di opposizione che può essere avanzato “in qualsiasi momento” (art. 21, par. 2 del Regolamento). La richiesta dell’interessato non è stata considerata, né tantomeno è stata recepita l’opposizione alla ricezione di ulteriori e-mail indesiderate. Per tali ragioni, si ritiene di confermare la violazione delle disposizioni contenute negli art. 12, 17 e 21 del Regolamento e, per l’effetto, si ingiunge alla Società, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di adottare misure tecniche e organizzative adeguate a facilitare l’esercizio dei diritti previsti dalla normativa in materia di protezione dei dati personali e di soddisfare, senza ingiustificato ritardo, le relative istanze.

4.3. Sui trattamenti di dati on-line

Con riferimento al sito internet, la D’Anna ha dichiarato di aver reso disponibile il testo dell’informativa sul trattamento dei dati personali raccolti mediante form on-line del quale ha evidenziato la non funzionalità.

Da una verifica condotta dall’Ufficio l’8 agosto 2024, della quale sono stati acquisiti gli screen print, è emerso che, contrariamente a quanto sostenuto dalla Società, il form on-line per ottenere “un preventivo personalizzato” rinvenibile al link https://www.dannaassicurazioni.it/contatti.asp?invia=true, consente di inserire i dati degli utenti (quali nominativo, recapito e e-mail) e di finalizzare la richiesta mediante il pulsante “Invia”, previa autorizzazione al trattamento dei dati personali. Peraltro, è stato accertato che tutti i campi, compreso quello denominato “Messaggio” nel quale inserire le richieste di preventivo, sono risultati obbligatori, ingenerando negli interessati la legittima aspettativa che la procedura sia andata a buon fine. Va detto che, a seguito della descritta compilazione non sono pervenuti ai recapiti forniti nel citato form messaggi di risposta da parte della Società.

Se, come sostenuto dalla Società, tale form on-line “non ha mai funzionato in concreto”, non si spiegherebbe la sua permanenza, anche dopo la contestazione dell’Autorità, nel sito internet della D’Anna, né, di conseguenza, appare necessario il testo informativo ad esso associato, seppur recentemente inserito. Infatti, se è vero che i dati acquisiti mediante il citato form on-line non sono stati “mai” utilizzati in ragione dell’asserita inattività del medesimo form, i trattamenti descritti nell’informativa privacy e finalizzati all’erogazione dei servizi assicurativi richiesti dagli utenti non potrebbero essere realizzati senza il conferimento dei dati. Ciò denota un evidente scollamento tra il piano formale (relativo ai trattamenti descritti nell’informativa privacy) e il piano fattuale delle attività concretamente effettuate.

Al riguardo, il Garante ha più volte declinato il principio della trasparenza, quale agevole comprensibilità del messaggio informativo con specifico riguardo alle modalità e finalità del trattamento corrispondenti non soltanto con i consensi richiesti ma, ancor prima, con gli scopi effettivamente perseguiti. Sussiste l’esigenza di corrispondenza fra informativa ex art. 13 del Regolamento ed effettività dei trattamenti posti in essere, al fine di dare piena attuazione anche all’art. 12 del Regolamento, vale a dire proprio al principio della trasparenza, che si pone come fondamentale ed innovativo criterio di legittimità dei trattamenti stessi (v. provv. n. 7 del 15 gennaio 2020, doc. web n. 9256486, in www.gpdp.it).

Si ritiene, pertanto, di confermare la violazione delle disposizioni contenute negli artt. 12 e 13 del Regolamento e, per l’effetto, si ingiunge alla Società, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di fornire agli interessati un’idonea informativa nella quale siano indicate le operazioni di trattamento effettivamente svolte dalla D’Anna (artt. 12 e 13 del Regolamento).

5. CONCLUSIONI

Alla luce delle argomentazioni di cui al punto 4 del presente provvedimento, si ritengono confermate le violazioni contestate e si rende necessario:

- ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiungere alla D’Anna di adottare misure tecniche e organizzative adeguate a facilitare l’esercizio dei diritti previsti dalla normativa in materia di protezione dei dati personali e di soddisfare, senza ingiustificato ritardo, le relative istanze, compreso il diritto di opposizione che può essere avanzato “in qualsiasi momento” dall’interessato;

- ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiungere alla Società di fornire agli interessati un’idonea informativa nella quale siano indicate le operazioni di trattamento effettivamente svolte dalla D’Anna (artt. 12 e 13 del Regolamento).
Infine, con riguardo ai trattamenti già realizzati e in considerazione delle violazioni sopra accertate, si ritiene sussistano i presupposti per l’applicazione di una sanzione amministrativa pecuniaria ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento.

6. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

In base a quanto sopra rappresentato, risultano violate varie disposizioni del Regolamento e del Codice in relazione a trattamenti collegati effettuati da D’Anna Assicurazioni S.r.l., per cui occorre applicare l’art. 83, par. 3, del Regolamento, in base al quale, se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento viola, con dolo o colpa, varie disposizioni del Regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave con conseguente applicazione della sola sanzione prevista dall’art. 83, par. 5, del Regolamento.

Ai fini della quantificazione della sanzione amministrativa il citato art. 83, par. 5, nel fissare il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore, specifica le modalità di quantificazione della predetta sanzione che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1, del Regolamento), individuando, a tal fine, una serie di elementi, elencati al par. 2, da valutare all’atto di quantificarne il relativo importo.

Quali circostanze da prendere in considerazione, nel caso di specie, deve essere considerato, sotto il profilo delle aggravanti:

1. il carattere negligente della condotta, dal momento che le norme a protezione dei dati personali sono state del tutto ignorate dal titolare fino all’intervento del Garante (art. 83, par. 2, lett. b, del Regolamento).

Quali elementi attenuanti, si ritiene di poter tener conto:

1. della natura dei dati trattati, consistenti in dati comuni anagrafici e di contatto, che comunque si riferiscono ad un caso isolato (art. 83, par. 2, lett. g del Regolamento);

2.  dell’assenza di precedenti procedimenti avviati a carico della Società (art. 83, par. 2, lett. e del Regolamento);

3. del tempestivo intervento compiuto sul testo dell’informativa privacy rinvenibile nel sito internet, seppure inutilmente reso nel caso dei dati richiesti mediante form on-line in quanto asseritamente non utilizzati per le finalità di trattamento ivi descritte (83, par. 2, lett. d del Regolamento).

In una complessiva ottica di necessario bilanciamento fra diritti degli interessati e libertà di impresa, occorre valutare prudentemente i suindicati criteri, anche al fine di limitare l’impatto economico della sanzione.

Pertanto si ritiene che - in base al complesso degli elementi sopra indicati - debba applicarsi a D’Anna Assicurazioni S.r.l. la sanzione amministrativa del pagamento di una somma di euro 5.000,00 (cinquemila/00) pari allo 0,025% della sanzione edittale massima di 20 milioni di euro.

Nel caso in argomento si ritiene che debba applicarsi, altresì, la sanzione accessoria della pubblicazione nel sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019.

In attuazione dei principi di cui all’art. 83 del Regolamento, l’irrogazione di tale sanzione accessoria appare ragionevole e proporzionata avendo la Società dimostrato una colpevole insensibilità al tema della protezione dei dati personali, con particolare riferimento alla non adeguata gestione dei diritti esercitati dal reclamante (nel caso di specie, opposizione all’ulteriore trattamento e revoca del consenso alla ricezione di comunicazioni promozionali) e alla scarsa trasparenza in ordine alle operazioni sui dati acquisiti mediante il sito internet, tale da pregiudicare l’autodeterminazione informativa degli interessati e la legittimità dei trattamenti stessi.

Ricorrono, infine, i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecito il trattamento descritto nei termini di cui in motivazione effettuato dalla D’Anna Assicurazioni S.r.l., con sede in via Principe di Belmonte 94, 90139 Palermo, P.IVA n. 00544240823; di conseguenza: 

a) ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiunge alla Società di adottare misure tecniche e organizzative adeguate a facilitare l’esercizio dei diritti previsti dalla normativa in materia di protezione dei dati personali e di soddisfare, senza ingiustificato ritardo, le relative istanze, compreso il diritto di opposizione che può essere avanzato “in qualsiasi momento” dall’interessato;

b) ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiunge di fornire agli interessati un’idonea informativa nella quale siano indicate le operazioni di trattamento effettivamente svolte dalla D’Anna (artt. 12 e 13 del Regolamento).

c) ai sensi dell’art. 157 del Codice, ingiunge a D’Anna Assicurazioni S.r.l. di comunicare all’Autorità, nel termine di trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alla misura imposta; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

ORDINA

ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, a D’Anna Assicurazioni S.r.l., in persona del suo legale rappresentante, di pagare la somma di euro 5.000,00 (cinquemila,00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 5.000,00 (cinquemila,00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981;

DISPONE

a) ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante;

b) ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, dispone l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate;

c) la pubblicazione del presente provvedimento ai sensi degli artt. 154-bis del Codice e 37 del citato Regolamento n. 1/2019.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 14 novembre 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei