[doc. web n. 10110241]

Provvedimento del 16 gennaio 2025

Registro dei provvedimenti
n. 11 del 16 gennaio 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

PREMESSO

1. Gli atti pervenuti all’Autorità e l’istruttoria preliminare condotta

Sono pervenute all’Autorità diverse doglianze (segnalazioni e reclami), nel periodo compreso tra maggio 2022 e aprile 2024, con le quali è stata lamentata la ricezione di comunicazioni promozionali effettuate da Agenzie immobiliari che, su richiesta degli interessati, riferivano ai medesimi di aver acquisito i dati personali (compresa l’utenza telefonica mobile) da Realmaps S.r.l. (di seguito «Realmaps» o «Società») indicando, in sede di riscontro agli interessati, un indirizzo e-mail di tale Società per l’esercizio dei diritti (XX). Solo in un caso (fascicolo n. 360344) la Società avrebbe fornito riscontro all’interessato sostenendo di aver acquisito i dati personali da XX (titolare del sito internet XX), quale principale fornitore di Realmaps.

Alla luce della descritta condotta, l’Autorità ha ritenuto di dover verificare le modalità di trattamento dei dati personali posti in essere da Realmaps per finalità di marketing e, pertanto, nei giorni 9 e 10 aprile 2024, ha condotto un accertamento ispettivo presso la sede legale della Società.

2. L’attività ispettiva effettuata dall’Autorità presso la sede societaria e relativi esiti

Nel corso dell’accertamento ispettivo è emerso che Realmaps si occupa di fornire a una clientela di Agenzie immobiliari una lista di dati dei proprietari di immobili ubicati in una determinata zona di interesse, comprensiva di numeri telefonici (fissi e mobili) e di informazioni catastali relative agli stabili. Nello specifico, su richiesta dell’Agenzia immobiliare (che agisce in qualità di cliente interessata ad una determinata zona), la Società provvede ad acquisire i dati catastali degli immobili ubicati in quella specifica area geografica attraverso l’accesso ai pubblici registri, quali SISTER e gli archivi dell’Agenzia del territorio. I dati immobiliari così acquisiti confluiscono nel database di Realmaps nel quale sono registrate anche le anagrafiche fornite dai list provider comprensive di nome, cognome, numero telefonico (fisso o mobile), codice fiscale, indirizzo di residenza e di posta elettronica. Attraverso un apposito software (denominato “Automatch”) vengono incrociati, mediante codice fiscale, i dati catastali (organizzati in tabelle regionali, contenenti informazioni sugli stabili e sui relativi proprietari nelle corrispondenti province e comuni) con il numero telefonico intestato al proprietario dell’immobile al fine di inviare all’Agenzia immobiliare/cliente, un’unica lista contenente, quindi, anche i dati di contatto necessari allo svolgimento dell’attività di marketing.

2.1. Anagrafiche acquisite da list provider

La Società ha indicato i fornitori dai quali avrebbe acquistato le liste di anagrafiche da cedere, dietro corrispettivo, alle Agenzie immobiliari/clienti per proprie finalità di marketing. I list provider - dei quali Realmaps si sarebbe avvalsa negli anni 2022, 2023 e 2024 - sono riconducibili alle società XX (principale fornitore), XX e XX.

La Società, nel precisare il proprio ruolo di “intermediario” ricoperto nel passaggio di dati da un titolare all’altro (nello specifico, dal fornitore all’Agenzia immobiliare/cliente), ha dichiarato di non effettuare periodicamente “controlli a campione” sulla liceità delle liste acquisite (con particolare riferimento agli adempimenti dell’informativa e del consenso) in ragione delle garanzie offerte dal list provider in sede contrattuale. Affidandosi a tali garanzie contrattuali, e contando sugli esiti positivi della collaborazione instaurata, non vi sarebbe stata, secondo la Società, la necessità di esercitare un potere di controllo sulle liste acquisite e sulla liceità dei contatti ceduti in quanto asseritamente “consensati”. Sporadiche verifiche vengono svolte da Realmaps al rinnovo del contratto con il list provider o su specifica richiesta degli interessati (v. pag. 4 del verbale del 9 aprile 2024). Di tali controlli la Società non ha prodotto evidenza, né ha saputo indicare una tempistica definita e la percentuale di campionamento.

In tale quadro, nel rilevare la circostanza sopra descritta, deve escludersi la qualificazione di mero intermediario che Realmaps si sarebbe attribuita dal momento che la stessa società, avendo stabilito le finalità e le modalità del trattamento dei dati personali in esame, si deve qualificare titolare autonomo, ai sensi dell’art. 4, p. 7, e dell’art. 24 del Regolamento.

In qualità di titolare, pertanto, non è risultato che Realmaps abbia verificato, né comprovato, l’esistenza di un consenso informato degli interessati che autorizzasse il trattamento per finalità commerciali. Pur volendo considerare l’esistenza di un asserito (ma, come detto, non documentato) consenso originario rilasciato dagli interessati ai list provider, tale autorizzazione, finalizzata alla comunicazione a terzi per le relative finalità di marketing, non avrebbe potuto legittimare, dopo una prima trasmissione di dati a Realmaps, anche successivi trasferimenti da quest’ultima ad altri autonomi titolari, ovvero, nel caso di specie, da Realmaps alle Agenzie immobiliari/clienti. Il dettato normativo (artt. 6 e 7 del Regolamento) non legittima la comunicazione di dati tra autonomi titolari in ragione del solo consenso informato inizialmente prestato al soggetto che ha raccolto i dati medesimi. Al riguardo, il Garante ha più volte affermato che “Non può, infatti, ritenersi che una manifestazione di volontà inizialmente espressa in modo consapevole rispetto a determinati trattamenti possa dispiegare effetti a catena, attraverso successivi passaggi di dati personali da un titolare all’altro in maniera del tutto imponderabile per l’interessato” (v. provv. 13 maggio 2021, n. 192, doc. web n. 9670025; v. anche provv.ti 11 dicembre 2019, n. 232, doc. web n. 9244365; 12 novembre 2020, n. 224, doc. web n. 9485681; 15 dicembre 2022, n. 431, doc. web n. 9856345, tutti in www.gpdp.it).

Pertanto, nel caso di specie, si rappresenta che l’utilizzo da parte della Società di liste di dati personali ottenute da un soggetto terzo avrebbe reso necessario in capo a Realmaps la richiesta e l’acquisizione di un consenso informato alla successiva comunicazione alle Agenzie immobiliari/clienti.

Inoltre, non è risultato comprovato il rilascio agli interessati né dell’informativa da parte dei list provider (anch’essa condizione di legittimità della comunicazione di dati alla Società), né della propria informativa da parte di Realmaps.

Infine, anche nel rispetto del principio di accountability, la Società avrebbe dovuto verificare, perlomeno a mezzo di un campione congruo, la liceità degli adempimenti dei citati obblighi in materia (v. provv. 22 maggio 2018, n. 363, doc. web n. 8995274; v. cit. provv. 13 maggio 2021, n. 192, doc. web n. 9670025, tutti in www.gpdp.it).

Ciò soprattutto alla luce della copiosità delle anagrafiche acquisite dai list provider e caricate nel database di Realmaps nella tabella denominata “numeri” contenente le utenze contattabili. Nello specifico, sono risultate 32.510 anagrafiche fornite da XX, 2.052.933 da XX., 112.117 da XX e 10.049 da XX (v. pag. 3 del verbale del 10 aprile 2024).  

In aggiunta, dalla documentazione prodotta nel corso dell’ispezione, è emerso che uno dei list provider accreditati da Realmaps – XX – avrebbe trasmesso alla Società i dati acquisiti, a sua volta, da un ulteriore soggetto terzo in occasione della partecipazione degli interessati ad un concorso a premi (“Vinci un iPad Pro”), pubblicizzato sul sito https://.... Tale soggetto terzo, all’esito della compilazione del form on-line di raccolta dei dati personali sottesa alla procedura di partecipazione al concorso, ha richiesto, tra le varie autorizzazioni, il consenso “per l’invio di […] offerte commerciali anche da parte di soggetti terzi ai quali sarà possibile per il Titolare comunicare i dati personali […] forniti”.

In base a tale impostazione risultano accorpati, in un’unica formulazione, due distinte finalità di trattamento (marketing del titolare e comunicazione a terzi per loro attività promozionali) che necessitano, invece, di specifici consensi informati da parte degli interessati, ai sensi dell’art. 4, p. 11, del Regolamento (v. anche considerando 32 e 33). Relativamente alla comunicazione di dati a terzi per finalità di marketing, il Garante, nelle “Linee guida in materia di attività promozionale e contrasto allo spam” (provv. 4 luglio 2013, n. 330, doc. web n. 2542348), ha rilevato che “la comunicazione o cessione a terzi di dati personali per finalità di marketing non può fondarsi sull’acquisizione di un unico e generico consenso da parte degli interessati per siffatta finalità. Pertanto, chi, quale titolare del trattamento, intenda raccogliere i dati personali degli interessati anche per comunicarli (o cederli) a terzi per le loro finalità promozionali deve previamente rilasciare ai medesimi un’idonea informativa […]. Inoltre, occorre che il titolare acquisisca un consenso specifico per la comunicazione (e/o cessione) a terzi dei dati personali per fini promozionali, nonché distinto da quello richiesto dal medesimo titolare per svolgere esso stesso attività promozionale”.

Pertanto il passaggio di dati dal soggetto terzo cedente a XX non risulta supportato da un idoneo consenso, in quanto non specifico per le distinte finalità di marketing del titolare e dei soggetti cessionari; di conseguenza, non può dirsi legittima anche la successiva trasmissione dei dati da XX a Realmaps. Inoltre, anche in questo caso, si confermano le argomentazioni sopra esposte circa l’errata convinzione della liceità del passaggio di dati da un titolare a un altro in ragione del solo consenso rilasciato “a monte” della filiera dei soggetti coinvolti nel trattamento in parola.

Alla luce di quanto sopra, è risultata ravvisabile la violazione degli artt. 5, par. 2, 24, 13, 14, 6, par. 1, lett. a) e 7 del Regolamento.    

2.2. Qualificazione dei ruoli dei soggetti abilitati ad accedere al database di Realmaps  

Per la realizzazione del database, dei servizi di mappatura e di filtraggio dei dati, Realmaps si è avvalsa di una società fornitrice di servizi ICT e di supporto sistemistico (XX, ora XX) con la quale ha formalizzato il rapporto di collaborazione, mediante la sottoscrizione di un contratto, soltanto a settembre 2023. Dal 2021 (anno di inizio della collaborazione) al 2023 la Società ha, dunque, intrattenuto un rapporto informale con XX (v. pag. 2 del verbale del 10 aprile 2024), che avrebbe effettuato, quindi, il trattamento dei dati personali in esame per conto di Realmaps.

L’accesso al database è consentito non soltanto al citato fornitore di servizi ICT ma anche ai dipendenti di Realmaps che si occupano della gestione dei preventivi. Al riguardo è stato prodotto l’elenco degli operatori abilitati alla consultazione del database e alle relative operazioni di filtraggio e di incrocio dei dati ivi contenuti (denominati nella banca dati “users”) per evadere le richieste delle Agenzie/clienti (v. comunicazione inviata via e-mail dalla Società in data 11 aprile 2024). Dall’analisi degli screenshot acquisiti in sede ispettiva (v. allegato 11 al verbale del 10 aprile 2024), è emerso inoltre che alcuni ex dipendenti di Realmaps, benché sprovvisti di contratto e di un formale incarico, sarebbero stati abilitati all’accesso al database per tutto il periodo della collaborazione e, in alcuni casi, prima che iniziasse il rapporto di lavoro e financo dopo la conclusione dello stesso. Sono infatti risultati accessi al database ad aprile 2024 da parte di una collaboratrice che, a detta della Società, avrebbe lavorato occasionalmente nel 2023.

Inoltre, è emerso che alcune operazioni di accesso sono state effettuate da soggetti non chiaramente identificati e comunque diversi da quelli autorizzati da Realmaps; in particolare, riscontri nel database sono risultati attribuiti ad un generico “operatore_it” e a “develop”, attivi già nel 2022.  

In tale quadro, deve rilevarsi che i trattamenti sopra descritti (accesso, consultazione, filtraggio, incrocio), peraltro riferibili ad una vasta platea di interessati, sono stati effettuati in assenza di una formale “attribuzione di funzioni e compiti a soggetti designati” al trattamento di dati personali, ai sensi dell’art. 2-quaterdecies del Codice. Pertanto, si è ritenuta configurata la violazione delle disposizioni di cui agli artt. 28 e 29 del Regolamento e dei principi di privacy by design (art. 25 del Regolamento) e accountability (ai sensi degli artt. 5, par. 2, e 24, del Regolamento). Inoltre, la disinibita accessibilità al database da parte di una moltitudine di soggetti, non tutti ricompresi nell’organizzazione societaria di Realmaps, in violazione dell’art. 2-quaterdecies del Codice (come nel caso del fornitore di servizi ICT), costituisce una lacuna delle misure di sicurezza tale da ritenere integrata la violazione dell’art. 5, par. 1, lett. f) del Regolamento nonché dell’art. 32, par. 1, lett. b) e d), e par. 2, del Regolamento, con riguardo alla “capacità di assicurare su base permanente la riservatezza [e] l'integrità” dei dati trattati e di adottare “una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento” (v. par. 2: “Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati”).

La Società ha, altresì, dichiarato di non aver provveduto a predisporre il Registro delle attività di trattamento, di cui all’art. 30 del Regolamento, né è stato nominato il responsabile della protezione dei dati personali (art. 37 del Regolamento), né ancora è risultata effettuata una valutazione di impatto, ex art. 35 del medesimo Regolamento (v. pag. 4 del verbale del 9 aprile 2024); adempimenti che, nel caso di specie, sarebbero stati necessari vista la natura sistematica e invasiva del trattamento rispetto ai diritti e alle libertà degli interessati. E’ stata, quindi, contestata anche la violazione degli artt. 30, 35 e 37 del Regolamento.

2.3. Esercizio dei diritti ed esiti istruttori relativi alle doglianze pervenute all’Autorità

Per l’evasione delle istanze di esercizio dei diritti è risultato, in atti, che di norma le Agenzie immobiliari/clienti - a fronte delle richieste degli interessati di ottenere informazioni sul trattamento dei propri dati personali nell’ambito della lamentata attività commerciale - indicano un indirizzo e-mail riconducibile a Realmaps (XX). Tale e-mail parrebbe essere controllata dal “consulente privacy” di Realmaps (che, come detto, è risultato privo di una formale designazione o di un atto di nomina che ne riconosca le attribuzioni), il quale provvede a inoltrare la richiesta dapprima al list provider (nella maggior parte dei casi al fornitore principale XX, all’indirizzo e-mail XX per ottenere informazioni sull’esistenza di un consenso connesso ad un’anagrafica e ad un’utenza telefonica e, in seconda istanza, alla società XX per registrare l’opposizione mediante l’inserimento della numerazione interessata nella tabella “numeri_esclusi”. Talvolta è lo stesso “consulente privacy” a contattare telefonicamente gli interessati/richiedenti per fornire loro una risposta verbale e, successivamente, a procedere con l’inserimento dell’utenza nella tabella “numeri_esclusi” (v. pagg. 4 e 5 del verbale del 10 aprile 2024).

Con riferimento alle specifiche doglianze pervenute all’Autorità, e da cui è scaturito l’accertamento ispettivo in parola, è emerso che solo in un caso (fascicolo n. 295373) la numerazione dell’interessato è apparsa tra i “numeri_esclusi”. Sono, invece, risultate inserite nella tabella “numeri”, e quindi contattabili, le utenze telefoniche di interessati che si erano opposti al trattamento dei propri dati personali mediante formale comunicazione a Realmaps (fascicoli nn. 198910 – 255444 – 319814 – 360344). In altri casi, le numerazioni telefoniche destinatarie dei contatti indesiderati non sono risultate presenti all’interno del database della Società (v. fascicoli nn. 302375 – 223355 – 245765).  

Rispetto alle citate doglianze, non sono state tuttavia rinvenute nella casella di posta elettronica dedicata alla trattazione delle richieste degli interessati (XX) le istanze di opposizione/cancellazione avanzate dagli stessi, né i presunti riscontri della Società. Ciò in quanto, per alcune di queste richieste (fascicoli nn. 198910 – 209288 – 302375 - 319814), è stato utilizzato dagli interessati l’indirizzo pec della Società (XX) recentemente sostituito da un nuovo domicilio digitale (XX) registrato alla Camera di Commercio il 12 febbraio 2024 (v. pag. 5 del verbale del 10 aprile 2024 e l’Allegato 9). Al riguardo sono state visualizzate le esigue comunicazioni (n. 3), inerenti all’esercizio dei diritti, pervenute al nuovo indirizzo pec di Realmaps. In due casi, nonostante l’opposizione espressa dagli interessati e le assicurazioni di Realmaps ad uno di essi, le numerazioni telefoniche sono risultate ancora presenti nella tabella delle utenze contattabili (tabella “numeri”).

Alla luce di quanto sopra, è emerso che non sono risultate riscontrate, in linea generale, le istanze di esercizio dei diritti degli interessati, né, nella quasi totalità dei casi analizzati dall’Autorità, sono state recepite le richieste di cancellazione delle anagrafiche dal momento che le stesse, da ulteriori verifiche, sono state rinvenute nella lista delle utenze contattabili (tabella “numeri”).

Va peraltro evidenziato che l’eventuale inserimento dell’utenza interessata nella suindicata tabella “numeri_esclusi” non risulta comunque una soluzione adeguata a garantire la gestione del diritto di opposizione, considerato che la medesima tabella è apparsa priva di ogni riferimento che consenta di contestualizzare e circostanziare la volontà degli interessati al riguardo. È stata rilevata, dunque, una condotta non coerente con l’obbligo del titolare di agevolare, con misure appropriate, l’esercizio dei diritti previsti dalla normativa in materia e di soddisfare, senza ritardo, le relative istanze, compreso il diritto di opposizione che può essere avanzato “in qualsiasi momento”. Si è pertanto ritenuta integrata la violazione dell’art. 12 parr. 2 e 3, nonché dell’art. 21, par. 2, del Regolamento.

2.4. Tempi di conservazione dei dati

La Società conserva attualmente nel proprio database una notevole quantità di dati la cui raccolta non è risultata sufficientemente circostanziata, con particolare riferimento alla data di acquisizione di tali informazioni. Ne consegue che la mancata indicazione della data di caricamento dei dati nel database non consente di avere contezza dei tempi di conservazione degli stessi; né è possibile ricostruire lo storico degli asseriti (ma non documentati) consensi in assenza di una qualche collocazione temporale, producendo, come effetto possibile, una conservazione sine die dei dati. Tale lacuna non può neppure essere superata rinviando genericamente ai termini contenuti nei contratti stipulati con i fornitori dal momento che il rinnovo tacito di tali accordi negli anni (come rappresentato dalla Società nel corso dell’accertamento ispettivo), potrebbe comportare tempi di conservazione nettamente superiori rispetto a quelli indicati nei contratti stessi.
Si è ritenuta, pertanto, integrata la violazione del principio di limitazione della conservazione di cui all’art. 5, par. 1, lett. e) del Regolamento.

2.5. Trattamenti dei dati personali mediante sito internet

Con riferimento al sito internet, rinvenibile al link https://..., si rappresenta che all’esito della compilazione del form on-line, predisposto nella home page per richiedere preventivi e ottenere informazioni sui prodotti e sui servizi offerti, viene richiesto obbligatoriamente di flaggare un check box recante un’autorizzazione generica al trattamento dei dati personali. Inoltre, pur essendo presente un link dedicato all’informativa privacy, lo stesso conduce ad una pagina vuota, priva di contenuto, come peraltro già verificato dall’Ufficio in epoca antecedente all’accertamento ispettivo. La Società ha sostenuto che i dati acquisiti mediante il citato form on-line possono essere trattati per l’erogazione del servizio (riscontro alla richiesta di informazioni dell’utente) ma anche per finalità commerciali (v. verbale del 10 aprile 2024 pag. 6).

L’Ufficio ha osservato che la mancanza di un’informativa non consente di chiarire quali siano i trattamenti dei dati acquisiti mediante il form on-line e per quali finalità i medesimi dati siano utilizzati, né dove vengano fatti confluire e conservati. Tale lacuna non è risultata sanata neppure in sede di scioglimento delle riserve del 30 aprile 2024 (v. allegato 4) dal momento che la Società si è limitata a rappresentare che i dati degli utenti che compilano il citato form on-line giungono sulla casella di posta elettronica XX “come richieste di informazioni e […] di ricontatto”.

In base alle dichiarazioni rese dalla Società nel corso dell’accertamento ispettivo, l’impostazione del sito internet, nei termini sopra descritti, consente di ritenere che la registrazione dell’utente mediante form on-line sia condizionata dal contestuale rilascio di un unico consenso per le distinte finalità di erogazione del servizio e di marketing. Tale consenso, non specifico né libero, non risulta costituire un’idonea base giuridica per i citati trattamenti, ai sensi degli artt. 6 e 7 del Regolamento.

Si è ritenuta pertanto configurabile la violazione degli artt. 5, par. 1, lett. a), 6, par. 1, lett. a), 7 e 12, par. 1, del Regolamento.

3. Notifica delle presunte violazioni ai sensi dell’art. 166, comma 5, del Codice

In base a quanto sopra evidenziato, il 14 maggio 2024 è stata contestata alla Società la presunta violazione delle seguenti disposizioni:

art. 5, par. 1, lett. a), e) e f) e par. 2;

art. 6, par. 1, lett. a);

art. 7;

art. 12, parr. 1, 2 e 3;

art. 13;

art. 14;

art. 21, par. 2;

art. 24;

art. 25;

art. 28;

art. 29;

art. 30;

art. 32, par. 1, lett. b) e d) e par. 2;

art. 35;

art. 37

e l’art. 2-quaterdecies del Codice.

Con la medesima nota, l’Autorità ha pertanto provveduto a comunicare l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del Regolamento e per l’eventuale applicazione delle sanzioni pecuniarie di cui all’art. 83, parr. 4 e 5, del Regolamento (nota rif. prot. n. 0058339/24 del 14 maggio 2024).

4. La difesa di Realmaps e le corrispondenti valutazioni di ordine giuridico dell’Autorità

In data 13 giugno 2024 Realmaps ha fornito riscontro alla suddetta contestazione mediante l’invio di una memoria difensiva (il cui contenuto, con particolare riferimento alle azioni correttive poste in essere, è stato ripreso in sede di audizione tenutasi l’8 luglio 2024 e confermato nell’integrazione del 15 luglio 2024). In considerazione delle ragioni riportate di seguito (alle quali, per maggior dettaglio, si fa rinvio integrale), Realmaps ha chiesto alla Autorità, “ove […] ravvisi una qualche violazione”, che “sia applicata la sanzione del pagamento di una somma comunque contenuta”.

4.1. Con riferimento al punto 2.1. del presente provvedimento (Anagrafiche acquisite da list provider) la Società ha preliminarmente chiarito di aver “cautelativamente sospeso il trattamento dei dati consistente nella loro comunicazione alle agenzie immobiliari […]” e ha rappresentato e documentato di aver richiesto a XX, principale fornitore di Realmaps, evidenza dei consensi e delle informative rese agli interessati. Nel rapporto con i list provider (in particolare con XX.), la Società, “esaminati gli accordi contrattuali ma soprattutto gli elementi di fatto e le circostanze del caso”, ha ritenuto sussistente una situazione di contitolarità del trattamento, piuttosto che di esclusiva titolarità in capo a Realmaps. Ciò in quanto, a detta della Società, emergerebbe il requisito della “partecipazione congiunta” con i list provider nella definizione delle modalità del trattamento, secondo quanto richiamato nelle Linee Guida EDPB 7/2020 sui concetti di titolare e responsabile. Nello specifico, XX. avrebbe congiuntamente definito con la Società la modalità del trattamento, con esclusivo riferimento alla gestione delle istanze di esercizio dei diritti degli interessati; attività, questa, che, in base all’Allegato tecnico-commerciale prodotto a corredo del contratto stipulato con Realmaps, sarebbe totalmente in capo al list provider. In altri termini, dal momento che XX, secondo gli accordi contrattuali, è incaricata di evadere le richieste sul trattamento dei dati personali che gli interessati indirizzano in un primo momento a Realmaps (su indicazione delle Agenzie immobiliari, come rappresentato al punto 1 del presente provvedimento), tale list provider è da ritenersi contitolare in quanto partecipa, congiuntamente alla Società, alla definizione della descritta modalità del trattamento.

Ciò precisato, la Società ha confermato di aver confidato “in buona fede” sulla conformità alla normativa in materia di protezione dei dati personali delle liste acquisite, viste anche le assicurazioni “sulla correttezza della raccolta dei consensi” fornite da XX, già in fase precontrattuale, mediante un modulo consegnato a Realmaps dalla stessa definito “di difficile intellegibilità”. “Ritenuta la qualità di contitolari tra Realmaps e le list provider – ha continuato la Società – non era necessario né che la prima acquisisse, ai fini del trattamento, il consenso degli interessati, né che ugualmente essa desse informativa alcuna a questi ultimi, essendo tali adempimenti, per espressa previsione contrattuale, in carico al contitolare list provider”.

Come ricostruito al punto 2.1 (le cui argomentazioni si intendono integralmente richiamate), tenuto conto di quanto sostenuto dalla Società nella memoria difensiva e confermato in sede di audizione, non è possibile superare i motivi di contestazione espressi nell’atto di avvio del procedimento. Pertanto si conferma che Realmaps è titolare non soltanto con riferimento all’evasione delle istanze di esercizio dei diritti degli interessati ma con riguardo anche a tutte le ulteriori fasi del trattamento. Ciò in quanto, la raccolta, la conservazione, l’elaborazione e la trasmissione a terzi dei dati personali costituiscono operazioni di trattamento poste in essere da Realmaps in maniera del tutto indipendente rispetto alle procedure di gestione delle banche dati dei list provider. La Società, infatti, ha organizzato la propria banca dati attingendo a diverse fonti (pubblici registri - liste da terzi) e utilizzando sofisticati software in grado di incrociare i dati nella propria disponibilità (catastali e anagrafici) al fine di offrire un prodotto commerciale alle Agenzie immobiliari/clienti. Operazioni di trattamento, queste, non condivise con il list provider ed escluse dal raggio di intervento dello stesso ma riconducibili unicamente ad una modalità operativa che Realmaps ha consolidato negli anni della sua attività.

Deve aggiungersi che, ad eccezione del contratto sottoscritto con XX., dei list provider di cui si sarebbe avvalsa Realmaps nella fornitura delle anagrafiche da cedere poi alle Agenzie immobiliari clienti, è stata prodotta solo la copia dell’accordo commerciale pattuito con XX che, come rappresentato al punto 2.1., avrebbe acquisito a sua volta i dati da un soggetto terzo, peraltro stabilito fuori dall’Unione europea.

In qualità di titolare del trattamento, a Realmaps è, dunque, imputabile la responsabilità per le violazioni rilevate al punto 2.1. del presente provvedimento, con particolare riferimento all’assenza di verifiche sull’asserita liceità delle liste acquisite dai fornitori e, quindi, sull’esistenza di un consenso che autorizzasse il trattamento per scopi commerciali da parte di soggetti terzi cui sono stati comunicati i dati personali, nonché sul rilascio di una idonea informativa agli interessati. Un’esplicita richiesta in tal senso è stata formulata da Realmaps soltanto dopo l’atto di contestazione e peraltro con riferimento unicamente alle anagrafiche acquisite da XX. e non anche a quelle, altrettanto numerose, cedute dagli altri fornitori (XX e XX).

Alla luce di quanto sopra, si ritiene di dover confermare la violazione degli artt. 5, par. 2, 24, 13, 14, 6, par. 1, lett. a) e 7 del Regolamento.

4.2. Con riferimento al punto 2.2. del presente provvedimento (Qualificazione dei ruoli dei soggetti abilitati ad accedere al database di Realmaps) la Società ha precisato che soltanto la XX., fornitrice di servizi ICT, è in possesso delle credenziali di accesso alla banca dati di Realmaps; i dipendenti e i collaboratori di quest’ultima, invece, “accedono al solo programma Automatch per formulare i preventivi da inviare alle clienti agenzie tramite un link, cui le sole agenzie accedono, tramite una password”. Inoltre, nella nota integrativa del 15 luglio 2024, con la quale la Società ha inteso chiarire alcuni profili emersi in sede di memoria difensiva, Realmaps ha ammesso di non aver proceduto alla designazione formale di tutti i soggetti autorizzati ad accedere al database e, con l’occasione, ha prodotto gli atti di nomina di alcuni dipendenti abilitati all’accesso e del responsabile del trattamento dei dati personali riconducibile alla società XX. Ha altresì precisato che i soggetti “non chiaramente identificati e comunque diversi da quelli autorizzati […] attribuibili ad un generico operatore_it e a develop […]” fanno riferimento ad “account generali utilizzati ed utilizzabili da operatori di sistema […]”. Infine, nel dichiararsi consapevole della mole di dati trattati, Realmaps ha assicurato che provvederà a “fornire credenziali identificative diversificate tra vari soggetti e autorizzazioni formali” nonché a predisporre una DPIA e il Registro dei trattamenti. In data 15 luglio 2024, a scioglimento delle riserve espresse nel corso dell’audizione, la Società ha trasmesso l’atto di nomina del DPO (sottoscritto il 10 luglio 2024) del quale sono stati comunicati al Garante, il 19 luglio 2024, i dati di contatto, in ossequio all’art. 37, par. 7, del Regolamento.  

Alla luce di quanto sopra, in primo luogo, si deve osservare che l’utilizzo del software denominato “Automatch” - con il quale vengono selezionati ed estratti i dati di proprietari di immobili ubicati nella zona di interesse dell’Agenzia/Cliente – comporta, in ogni caso, operazioni di accesso al database di Realmaps.  Infatti, il software “Automatch” non è altro che un applicativo che facilita la ricerca nella banca dati della Società a soggetti non necessariamente dotati di opportune competenze tecniche; tale software permette di scaricare gli esiti della ricerca sottoforma di “file csv”, denominati “download file mappatura” e “download file numeri”, che contengono gli elenchi dei dati richiesti dai clienti di Realmaps (v. allegato 11 al verbale del 10 aprile 2024).

Occorre precisare che il formato “csv” dei file permette di esportare facilmente dati strutturati (conservati in un database o in un foglio di calcolo, ad esempio) e importarli in altri programmi, per poterli visualizzare e riutilizzare. I file “csv” utilizzati dai dipendenti della Società consentono, pertanto, di creare copie, parziali o totali, del database di Realmaps. Peraltro, contrariamente a quanto sostenuto dalla Società, appare concreta la possibilità per i propri collaboratori di visualizzare i dati contenuti nei file da inviare alle Agenzie immobiliari in quanto, come da evidenze emerse in sede ispettiva, per tali file è indicata la password da utilizzare per l’apertura del file stesso che, quindi, non può dirsi ad esclusivo appannaggio del cliente (agenzia immobiliare acquirente).

Inoltre, alla luce di quanto rappresentato dalla Società, gli “account generali utilizzati ed utilizzabili da operatori di sistema” si configurano, di fatto, come credenziali di tipo sistemistico condivise fra più utenti della piattaforma Realmaps. Tale impostazione pone delle criticità in ordine all’effettiva possibilità di ricondurre gli accessi al soggetto formalmente autorizzato al trattamento. L’accesso tramite account condivisi e non personali vanifica anche l’efficacia, ad esempio, dei controlli sui file di log e l’applicazione delle misure previste dal provvedimento del Garante del 27 novembre 2008 relativo agli amministratori di sistema, da considerarsi ancora valido con valore di linea guida (in www.gpdp.it, doc. web n. 1577499 – “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”, modificato con il provvedimento del 25 giugno 2009). Infatti, il paragrafo 4.3. del citato provvedimento contiene la misura di predisporre l’elenco degli amministratori di sistema con indicazione degli “estremi identificativi delle persone fisiche amministratori di sistema con l’elenco delle funzioni ad essi attribuite […]”. Nel caso di specie, tale misura è stata totalmente ignorata dalla Società dal momento che l’accesso al sistema è operato anche da soggetti con credenziali non nominative ma condivise e in assenza delle relative attribuzioni.

In sede di memoria difensiva e a seguito dell’audizione sono stati prodotti soltanto i contratti sottoscritti con tre dipendenti della Società, di cui una con incarico di socia di minoranza. Peraltro, tale collaboratrice, contrattualizzata il 29 marzo 2024, non compare tra i soggetti che hanno avuto accesso al database di Realmaps già nel 2022 (come da allegato 11 al verbale del 10 aprile 2024). Diversamente, con riferimento ad uno degli ulteriori due dipendenti di Realmaps, dei quali sono stati prodotti i contratti, è emerso che tale collaboratore ha avuto accesso al database della Società in un periodo antecedente alla formalizzazione del rapporto di lavoro e alla connessa designazione a incaricato del trattamento (v. cit. allegato 11 al verbale del 10 aprile 2024). Infatti, tale nomina è stata formalizzata in data 23 luglio 2023 nonostante siano stati registrati accessi già a maggio 2023. In relazione a tutti gli ulteriori collaboratori - abilitati alla consultazione del database e, come descritto al punto 2.2. del presente provvedimento, alle relative operazioni di filtraggio e incrocio dei dati ivi contenuti per la gestione dei preventivi alle Agenzie immobiliari/clienti - non sono stati prodotti i contratti o accordi formali che definissero il perimetro di intervento sulle anagrafiche e le modalità di trattamento delle stesse; la Società, infatti, ha dichiarato di non aver proceduto ad una formale designazione dei soggetti abilitati all’accesso al database di Realmaps. Ciò a detrimento soprattutto della sicurezza dei sistemi stante l’agevole accessibilità al database da parte di una moltitudine di soggetti, non tutti ricompresi nell’organizzazione societaria di Realmpas. L’impostazione descritta è risultata affetta da vulnerabilità connesse al rischio, ritenuto alto, in termini di perdita della riservatezza, integrità e disponibilità dei dati coinvolti. Infatti, come sopra ampiamente rappresentato, è possibile estrarre una notevole mole di dati contenuti nel database di Realmaps e renderli accessibili/visibili a chiunque (a soggetti non abilitati e alle Agenzie immobiliari che ne facciano richiesta, dietro compenso economico), determinando, di fatto, un trattamento massivo e incontrollato dei medesimi dati.

Pertanto - pur prendendo atto delle misure migliorative adottate dalla Società a seguito della contestazione dell’Autorità (alcune delle quali in fase di definizione: credenziali identificative a soggetti formalmente autorizzati ad accedere al database; DPIA; Registro dei trattamenti) - con riferimento ai trattamenti già effettuati e oggetto dell’accertamento ispettivo, si ritiene di confermare le violazioni contestate al punto 2.2. del presente provvedimento (artt. 5, par. 1, lett. f; 5, par. 2; 24; 25; 28; 29; 30; 32, par. 1, lett. b e d; 32, par. 2; 35; 37 del Regolamento e art. 2-quaterdecies del Codice).

4.3. Con riferimento al punto 2.3. del presente provvedimento (Esercizio dei diritti ed esiti istruttori relativi alle doglianze pervenute all’Autorità) la Società, con nota del 15 luglio 2024 - nel ribadire la modalità utilizzata per l’evasione delle istanze di esercizio dei diritti degli interessati, consistente nel passaggio delle richieste dall’Agenzia immobiliare a Realmaps e da quest’ultima al fornitore - ha confermato il ruolo di contitolare di XX e ha precisato quanto segue: “la list provider consegnava alla cliente [Realmaps], per rassicurarla sulla correttezza della raccolta dei consensi, un modulo, che veniva illustrato come strumento che prevedeva che ogni richiesta di interessati sarebbe stata gestita direttamente da XX che aveva curato la raccolta dei consensi, anche mediante le agenzie immobiliari. In tutto ciò è evidente che Realmaps non ha e non ha mai avuto un rapporto diretto con gli interessati, proprietari immobiliari”.

In primo luogo, si osserva che la Società non ha prodotto documentazione comprovante il rilascio da parte di XX., in fase pre-contrattuale, del menzionato modulo con cui veniva illustrata la gestione delle richieste degli interessati, totalmente affidata al fornitore; modulo che, peraltro, Realmaps ha definito “di difficile intellegibilità” (v. memoria del 13 giugno 2023 p. 3.2., richiamata al par. 4.1. del presente provvedimento) e che, quindi, ha reso irricevibili le informazioni ivi contenute.

Inoltre, nel richiamare le valutazioni dell’Autorità in ordine alla titolarità riconosciuta in capo a Realmaps (v. par. 4.1. del presente provvedimento), appare smentita, dalla documentazione in atti, la circostanza che la Società “non avesse mai avuto un rapporto diretto con gli interessati, proprietari immobiliari”. Infatti, non solo Realmaps è stata destinataria delle richieste degli interessati ma, in alcuni casi, ha anche fornito il relativo riscontro, seppur teso a rinviare a XX la completa soddisfazione dell’istanza avanzata (v. fascicolo n. 295372 - istanze del 7 aprile e 30 giugno 2023 -; fascicolo n. 255444 – istanza del 1° marzo 2023 rinnovata l’8 marzo 2023 allegando il “MODELLO di esercizio diritti in materia di protezione dei dati personali”; fascicolo n. 344943 – istanza del 19 febbraio 2024 alla quale Realmaps ha fornito riscontro il 22 febbraio 2024; fascicolo n. 223355 – istanza dell’11 febbraio 2023, rinnovata il 24 febbraio 2023 alla quale Realmaps ha fornito riscontro il 24 marzo 2023; fascicolo n. 334862 – istanze del 26 e 31 ottobre 2023).

La procedura posta in essere dalla Società, quale titolare del trattamento, non appare funzionale a garantire un’evasione tempestiva “e senza ingiustificato ritardo” delle richieste degli interessati (ex art. 12, par. 3, del Regolamento). A ciò si aggiunge il fatto che la registrazione nei sistemi societari delle richieste di opposizione e di cancellazione dei dati manifestate dagli interessati sarebbe stata affidata ora alla XX (la quale, come già descritto al punto 2.2. del presente provvedimento, avrebbe operato per un lungo periodo come fornitrice di servizi ICT e supporto sistemistico in assenza di una formale designazione) ora al “consulente privacy”. Tale impostazione, peraltro non formalizzata e idonea a creare confusione sugli effettivi ruoli rivestiti dai soggetti coinvolti nel trattamento, ha comportato, di fatto, una profonda lacuna nel recepimento tempestivo delle richieste degli interessati.

In definitiva, per le ragioni sopra esposte, non è risultata adeguata la gestione delle istanze di esercizio dei diritti degli interessati. Si deve, dunque, confermare la violazione dell’art. 12 parr. 2 e 3, nonché dell’art. 21, par. 2, del Regolamento dal momento che, come emerso nel corso dell’accertamento ispettivo (v. punto 2.3. del presente provvedimento al quale si rinvia), nella quasi totalità dei casi verificati dall’Autorità, l’opposizione all’ulteriore trattamento non risulta essere stata registrata nei sistemi aziendali.

4.4. Con riferimento al punto 2.4. del presente provvedimento (Tempi di conservazione dei dati) la Società ha sostenuto di essere stata costituita nel 2021 “e pertanto non può imputarsi il superamento del termine di conservazione dei dati in materia di marketing […] che è di due anni. Peraltro, è possibile ricavare la data iniziale dal momento della condivisione dei dati con il List Provider”.

Si deve osservare, in primo luogo, che il termine di conservazione di due anni per finalità di marketing invocato dalla Società è un parametro temporale indicato nel provvedimento in materia di “Fidelity card e garanzie per i consumatori” adottato dal Garante il 24 febbraio 2005 (in www.gpdp.it, doc, web n. 1103045). Tale provvedimento, con l’entrata in vigore del Regolamento (UE) 2016/679, ha assunto valore di linea guida non vincolante dal momento che il cambio di paradigma introdotto dalla normativa europea ha riconosciuto al titolare la responsabilità generale dei trattamenti dei dati personali (accountability), ivi compresa la definizione dei tempi di conservazione dei dati personali oggetto di trattamento. Pertanto, nell’esercizio della propria accountability, il titolare “è tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il […] regolamento” (cit. considerando 74 del Regolamento, in tali termini v. gli artt. 5 e 24 del Regolamento), tra cui il rispetto dei principi di finalità, minimizzazione e limitazione della conservazione, ai sensi dell’art. 5, par. 1, lett. b), c), ed e) del Regolamento. In definitiva, alla luce del quadro normativo europeo, il citato provvedimento si propone di orientare le scelte del titolare, anche con riferimento ai tempi di conservazione (fissando la regola generale dei due anni); tuttavia la decisione sui trattamenti e sulle relative tempistiche spetta unicamente al titolare stesso.  

Ciò doverosamente precisato, pur volendo considerare i parametri temporali indicati nel citato provvedimento, si osserva che il termine di due anni invocato dalla Società, al momento dell’accertamento ispettivo, avvenuto ad aprile 2024, è risultato comunque spirato. Inoltre, come già rappresentato al punto 2.4. del presente provvedimento, non è possibile risalire al momento del caricamento dei dati nei sistemi societari per la decorrenza dei tempi di conservazione; ciò in quanto il database è risultato privo di riferimenti temporali e il rinnovo tacito dei contratti di fornitura con i list provider non consente di definire chiaramente il perimetro della conservazione che, dunque, potrebbe essere superiore rispetto a termini indicati nei contratti stessi.

Pertanto, si conferma la violazione del principio di limitazione della conservazione di cui all’art. 5, par. 1, lett. e) del Regolamento.

4.5. Con riferimento al punto 2.5. del presente provvedimento (Trattamento dei dati personali mediante sito internet) la Società ha rappresentato che, nel corso dell’ispezione, “è stato verificato un problema di collegamento all’informativa […]” il cui testo, revisionato, è stato reso disponibile on-line a far data dal 6 luglio 2024.

Da una verifica del sito internet della Società, si conferma che la lacuna emersa durante l’accertamento ispettivo è risultata essere stata sanata; infatti, è possibile visualizzare il testo dell’informativa privacy mediante apposito link in calce all’home page. Tuttavia appaiono permanere le criticità connesse all’impostazione del form on-line presente nel sito internet di Realmaps, con particolare riferimento all’acquisizione obbligatoria di un unico generico consenso al trattamento dei dati personali (cit. “Acconsento al trattamento dei miei dati personali per la ricezione di informazioni su Realmaps”).

Dalla lettura dell’informativa attualmente disponibile nel sito internet della Società è stato possibile appurare che i trattamenti realizzati mediante il citato form on-line sono finalizzati alla “gestione delle attività connesse al tipo di richiesta che siano di consulenza e/o di tipo commerciale, compresi l’invio di materiale pubblicitario e di offerte tecnico/economiche”; ne consegue che il consenso acquisito nella formulazione testè illustrata non appare idoneo in quanto mira ad accorpare in un’unica soluzione le diverse finalità di erogazione del servizio e di marketing.

Al riguardo, occorre ribadire, in questa sede, che la capacità di autodeterminazione degli interessati non è rispettata quando non si assicuri l’effettiva e consapevole libertà di scelta riguardo ai trattamenti dei propri dati personali e tale vizio di legittimità rileva ai fini dell’applicabilità delle violazioni della normativa in materia di protezione dei dati (in particolare quella relativa al consenso), a prescindere dall’effettuazione o meno delle attività di trattamento prospettate (v. provv. “Servizi online: richiesta di consenso "obbligato" per finalità promozionali”, punto 3.1. - 27 ottobre 2016, n. 439, doc. web n. 5687770; provv. 12 giugno 2019, n. 130, punto 3, doc. web n. 9120218; in www.gpdp.it).

Si deve osservare, inoltre, che il “problema di collegamento” che avrebbe giustificato la temporanea inaccessibilità al testo della privacy policy ha precluso agli interessati di avere informazioni in merito al trattamento dei propri dati personali almeno per il periodo di tempo attenzionato dall’Autorità. Infatti, tale lacuna informativa è stata accertata dall’Autorità già in data 26 gennaio 2024, prima dell’avvenuta ispezione, e formalizzata in un apposito verbale di operazioni compiute (rif. prot. n. 24/24 del 29/01/2024). Al momento dell’ispezione, avvenuta ad aprile 2024, a distanza quindi di tre mesi dall’accertamento da remoto, l’informativa continuava a non essere disponibile nel sito internet della Società che, peraltro, era all’oscuro di ciò e che vi ha provveduto soltanto dopo l’intervento dell’Autorità e a seguito dell’atto di avvio del procedimento del 14 maggio 2024. A ciò si aggiunge il fatto che il nuovo testo dell’informativa contiene l’indicazione del vecchio indirizzo pec della Società (XX) poi sostituito il 12 febbraio 2024 con un nuovo domicilio digitale. L’indicazione di un recapito non corretto - in quanto non più utilizzato dalla Società – compromette l’esercizio dei diritti da parte degli interessati.

Alla luce di quanto sopra, in ragione della poca trasparenza sui trattamenti e della inidonea base giuridica del consenso richiesto all’esito della compilazione del form on-line, si conferma la violazione degli artt. 5, par. 1, lett. a), 6, par. 1, lett. a), 7 e 12, par. 1, del Regolamento.

5. Conclusioni

Per quanto sopra complessivamente esposto, pur prendendo atto delle iniziative intraprese dalla Società a seguito della contestazione dell’Autorità, con riferimento ai trattamenti già effettuati e oggetto dell’accertamento ispettivo si ritiene accertata la responsabilità di Realmaps in ordine alla violazione delle seguenti disposizioni:

artt. 5, par. 1, lett. a), e) e f) e par. 2; 6, par. 1, lett. a); 7; 12, parr. 1, 2 e 3; 13; 14; 21, par. 2; 24; 25; 28; 29; 30; 32, par. 1, lett. b) e d) e par. 2; 35; 37

e l’art. 2-quaterdecies del Codice.

Accertata pertanto l’illiceità delle sopra descritte condotte della Società, si rende necessario:

- ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, vietare ogni ulteriore trattamento con finalità commerciale effettuato mediante liste, anche acquisite da fornitori (list provider), per le quali la Società non disponga di un consenso libero, specifico e informato alla comunicazione dei dati a terzi per scopi promozionali (artt. 6 e 7 del Regolamento);

- ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiungere alla Società, qualora intenda in futuro svolgere attività promozionale mediante la commercializzazione di utenze telefoniche fornite da soggetti terzi, di adottare idonee procedure volte a verificare costantemente, anche mediante adeguati controlli a campione, che i dati personali siano trattati nel pieno rispetto delle disposizioni in materia (acquisizione preventiva di un consenso libero, specifico, inequivocabile, documentato, oltre che informato, degli interessati per l’invio di comunicazioni commerciali) (artt. 6, 7 e 14 del Regolamento);

- ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiungere a Realmaps di adottare misure tecniche e organizzative adeguate a facilitare l’esercizio dei diritti previsti dalla normativa in materia di protezione dei dati personali e di soddisfare, senza ingiustificato ritardo, le relative istanze, compreso il diritto di opposizione che può essere avanzato “in qualsiasi momento” dall’interessato (artt. 15, 17 e 21, par. 2, del Regolamento);

- ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiungere di prevedere che le operazioni sui dati personali effettuate tanto dai soggetti partner, quanto dai propri dipendenti e collaboratori che accedono al database di Realmaps, siano precedute dalla designazione degli stessi, rispettivamente quali responsabili e incaricati autorizzati alle varie fasi del trattamento (artt. 28 e 29 del Regolamento e art. 2 quaterdecies del Codice);

- ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, vietare il trattamento dei dati personali raccolti mediante il sito internet https://... senza che sia stato acquisito il necessario preventivo consenso informato, libero e specifico degli interessati in relazione all’attività di marketing, ex artt. 6 e 7 del Regolamento e art. 130 del Codice; si ritiene di ingiungere, altresì, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di indicare nell’informativa privacy il corretto recapito e-mail al quale indirizzare le richieste per l’esercizio dei diritti sul trattamento dei dati personali, ai sensi degli artt. 12 e 13 del Regolamento.

Infine, con riguardo ai trattamenti già realizzati e in considerazione delle violazioni sopra accertate, si ritiene sussistano i presupposti per l’applicazione di una sanzione amministrativa pecuniaria ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento.

6. Ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria

In base a quanto sopra rappresentato, risultano violate varie disposizioni del Regolamento e del Codice in relazione a trattamenti collegati effettuati da Realmaps, per cui occorre applicare l’art. 83, par. 3, del Regolamento, in base al quale, “se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento viola, con dolo o colpa, varie disposizioni del Regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave”, con conseguente applicazione della sola sanzione prevista dall’art. 83, par. 5, del Regolamento.

Per la determinazione dell’ammontare della sanzione, che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1), occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento.  

Quali circostanze aggravanti, si ritiene di considerare:

1) l’elevato numero dei soggetti coinvolti nei trattamenti contestati (art. 83, par. 2, lett. a del Regolamento): nella tabella denominata “numeri”, contenente le utenze contattabili, sono risultate 32.510 anagrafiche fornite da XX, 2.052.933 da XX, 112.117 da XX e 10.049 da XX Alle utenze acquisite dai list provider si aggiunge l’elevata mole di dati dei proprietari di immobili “scaricati” dai pubblici registri, quali SISTER e gli Archivi dell’Agenzia del territorio;

2) la gravità delle violazioni rilevate (art. 83, par. 2, lett. a del Regolamento) con particolare riferimento all’assenza di verifiche a campione delle numerazioni fornite dai list provider, alla non adeguata gestione del diritto di opposizione degli interessati, nonché al mancato controllo sui trattamenti svolti da soggetti non espressamente autorizzati, con possibili ripercussioni anche sul piano della sicurezza dei dati; tali inadempimenti si riferiscono a condotte “di sistema”, quindi radicate nelle procedure societarie;

3) la durata dei trattamenti protratti per anni e interrotti solo a seguito dell’intervento del Garante (art. 83, par. 2, lett. a del Regolamento);

4) il carattere gravemente colposo della violazione, dal momento che la Società ha dimostrato negligenza nel trattamento dei dati personali (art. 83, par. 2, lett. b del Regolamento);

5) la complessiva valutazione sulla capacità economica della Società, tenendo in considerazione l’ultimo fatturato societario disponibile (come risultante dalla dichiarazione IVA 2024 relativa al periodo d’imposta all’anno 2023): la Società, per il periodo d’imposta del 2023, ha registrato un incremento del fatturato pari a quasi il doppio dell’anno precedente (2022) (art. 83, par. 2, lett. k del Regolamento).

Quali elementi attenuanti, si ritiene di dover tener conto:

1) dell’adozione di misure correttive, alcune delle quali avviate subito dopo la conclusione degli accertamenti ispettivi, e che ricalcano, in parte, le prescrizioni imposte con il presente provvedimento (art. 83, par. 2, lett. c del Regolamento);

2) dell’assenza di precedenti procedimenti avviati a carico del titolare (art. 83, par. 2, lett. e del Regolamento);

3)della cooperazione con questa Autorità nell’ambito dell’accertamento ispettivo e del conseguente procedimento (art. 83, par. 2, lett. f del Regolamento).

In base al complesso degli elementi sopra indicati, in applicazione dei richiamati principi di effettività, proporzionalità e dissuasività, di cui all’art. 83, par. 1, del Regolamento, tenuto conto, altresì, del necessario bilanciamento fra diritti degli interessati e libertà di impresa, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società, si ritiene debba applicarsi a Realmaps la sanzione amministrativa del pagamento di una somma di euro 100.000,00 (centomila/00), pari a circa lo 0,5% della sanzione edittale massima di 20 milioni di euro.

Nel caso in argomento, si ritiene che debba applicarsi, altresì, la sanzione accessoria della pubblicazione nel sito internet del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e dall’art. 16 del Regolamento del Garante n. 1/2019.

In attuazione dei principi di cui all’art. 83 del Regolamento, l’irrogazione di tale sanzione accessoria appare proporzionata in ragione della gravità e del particolare disvalore della condotta oggetto di censura con specifico riferimento al numero elevato dei soggetti coinvolti e al trattamento massivo (durato per anni) effettuato in relazione ai loro dati personali, come osservato ai punti 1 e 3 delle circostanze aggravanti sopra rappresentate.

Inoltre, la mancata adozione di misure di sicurezza che potessero assicurare l’integrità e la riservatezza dei dati anche mediante una formale designazione dei soggetti abilitati all’accesso ai sistemi aziendali, unitamente alla carenza di una procedura di verifica delle liste acquisite da terzi, denotano una colpevole insensibilità al tema della protezione dei dati personali.

Si ricorda che ai sensi dell’art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto del trattamento è punito con la reclusione da tre mesi a due anni e che, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e) del Regolamento.

Ricorrono, infine, i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.

TUTTO CIÒ PREMESSO, IL GARANTE

a) ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecito, nei termini di cui in motivazione, il trattamento effettuato da parte della società Realmaps S.r.l., con sede legale in Milano, Via San Gregorio n. 55, P.IVA. 01741190084;

b) ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, vieta a Realmaps S.r.l. ogni ulteriore trattamento con finalità commerciale effettuato mediante liste, anche acquisite da fornitori (list provider), per le quali la Società non disponga di un consenso libero, specifico ed informato alla comunicazione dei dati a terzi per scopi promozionali (artt. 6 e 7 del Regolamento);

c) ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiunge alla Società, qualora intenda in futuro svolgere attività promozionale mediante la commercializzazione di utenze telefoniche fornite da soggetti terzi, di adottare idonee procedure volte a verificare costantemente, anche mediante adeguati controlli a campione, che i dati personali siano trattati nel pieno rispetto delle disposizioni in materia (acquisizione preventiva di un consenso libero, specifico, inequivocabile, documentato, oltre che informato, degli interessati per l’invio di comunicazioni commerciali) (artt. 6, 7 e 14 del Regolamento);

d) ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiunge a Realmaps S.r.l. di adottare misure tecniche e organizzative adeguate a facilitare l’esercizio dei diritti previsti dalla normativa in materia di protezione dei dati personali e di soddisfare, senza ingiustificato ritardo, le relative istanze, compreso il diritto di opposizione che può essere avanzato “in qualsiasi momento” dall’interessato (artt. 15, 17 e 21, par. 2, del Regolamento);

e) ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiunge alla Società di prevedere che le operazioni di trattamento sui dati personali effettuate tanto dai soggetti partner, quanto dai propri dipendenti e collaboratori che accedono al database di Realmaps, siano precedute dalla designazione degli stessi, rispettivamente, quali responsabili e incaricati autorizzati alle varie fasi del trattamento (artt. 28 e 29 del Regolamento e art. 2 quaterdecies del Codice);

f) ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, vieta il trattamento dei dati personali raccolti mediante sito internet https://... senza che sia stato acquisito il necessario preventivo consenso informato, libero e specifico degli interessati in relazione all’attività di marketing, ex artt. 6 e 7 del Regolamento e art. 130 del Codice; ingiunge, altresì, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di indicare nell’informativa privacy il corretto recapito e-mail al quale indirizzare le richieste per l’esercizio dei diritti sul trattamento dei dati personali, ai sensi degli artt. 12 e 13 del Regolamento.

g) ai sensi dell’art. 157 del Codice, ingiunge alla Società di comunicare all’Autorità, nel termine di 30 giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alle misure imposte; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

ORDINA

ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, a Realmaps S.r.l., in persona del suo legale rappresentante, di pagare la somma di euro 100.000,00 (centomila/00), a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 100.000,00 (centomila/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981;

DISPONE

a) ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero della presente ordinanza ingiunzione sul sito internet del Garante;

b) ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate;

c) la pubblicazione del presente provvedimento ai sensi degli artt. 154-bis del Codice e 37 del citato Regolamento n. 1/2019.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 16 gennaio 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei