g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di ARC Informazioni s.r.l. - 29 marzo 2018 [9006501]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9006501]

Ordinanza ingiunzione nei confronti di ARC Informazioni s.r.l. - 29 marzo 2018

Registro dei provvedimenti
n. 184 del 29 marzo 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale; 

RILEVATO che il Nucleo speciale privacy della Guardia di finanza, in esecuzione della richiesta di informazioni ai sensi dell’art. 157 del Codice in materia di protezione dei dati personali – d.lg. 30 giugno 2003, n. 196 (di seguito denominato “Codice”) nr. 10763 del 21 marzo 2017 formulata da questa Autorità, ha svolto presso la ARC Informazioni s.r.l., C.F.: 03704690043, nella sede legale di Alba (CN), in Corso Piave n. 146 C/D, gli accertamenti di cui ai verbali di operazioni compiute del 14 e 15 giugno 2017. Da tali accertamenti è risultato che la ARC Informazioni s.r.l. (di seguito denominata “Società”) ha acquisito il database e tutti i clienti della A.R.C. s.r.l., oggi SERCOM s.r.l., di cui effettua le medesime attività ivi comprese quelle relative al recupero crediti (pag. 4 del verbale di operazioni compiute del 15 giugno 2017). In particolare, è stato accertato che a seguito della risoluzione del contratto di affitto di ramo d’azienda tra la  A.R.C. s.a.s. e la A.R.C. s.r.l., oggi SERCOM s.r.l., e della stipula del contratto di affitto di ramo d’azienda tra la A.R.C. s.a.s. e la Società datato 25 marzo 2017 (entrambi allegati al verbale di operazioni compiute del 14 giugno 2017), l'attività aziendale, che fino a marzo 2017 è stata svolta dalla società A.R.C. S.r.l., è proseguita a partire dal mese di aprile 2017 con la Società in esame (cfr. comunicazione ai clienti della A.R.C. s.a.s. del 31 marzo 2017). Con specifico riferimento alla notificazione del trattamento prevista dagli artt. 37 comma 1 lett. f) e 38 del Codice, il rappresentante legale della Società ha dichiarato di aver effettuato nel 2004 una notificazione al Garante per conto della A.R.C. s.r.l., oggi SERCOM s.r.l., in qualità di rappresentante legale della stessa ed individuabile nel relativo registro al n. 20040511064329, ritenendo “che la predetta notificazione valesse anche per questa nuova Società «Arc Informazioni Srl» considerato che i locali sono gli stessi, il legale rappresentante sono sempre io, i dipendenti sono sempre gli stessi” (pag. 4 del citato verbale). Dai documenti prodotti è risultato, altresì, che la Società ha per oggetto l'esercizio, in forma diretta o indiretta, per conto proprio o di terzi, di attività di prestazione di servizi e consulenza per la tutela del credito e la prevenzione degli insoluti, di  informazioni e indagini commerciali e di incasso e recupero crediti (cfr. art. 5 dell’atto costitutivo della ARC Informazioni S.r.l. del 18 marzo 2017), trattando quindi dati relativi al rischio della solvibilità economica e patrimoniale. Nella fattispecie l'attività aziendale, svolta precedentemente dalla società A.R.C. s.r.l. e a partire da aprile 2017 dalla Società in esame, attiene all’analisi dei dati sulla solvibilità economica e patrimoniale del soggetto debitore, alla verifica delle eventuali insolvenze del debitore, agli accordi risolutivi con i debitori per conto dei clienti, acquisendo per l'espletamento di detta attività ulteriori dati finanziari/contabili nonché i relativi riferimenti degli istituti di credito (cfr. allegato 11 del verbale di operazioni compiute del 15 giugno 2017);

VISTO il verbale nr. 57/2017 dell’11 luglio 2017, che qui si intende integralmente richiamato, con cui è stata contestata alla Società la violazione amministrativa prevista dall’art. 163 del Codice in relazione agli artt. 37 e 38 del Codice, per aver omesso di effettuare tempestivamente la notificazione al Garante ai sensi dell'art. 37 comma 1 lettera f) del Codice e con cui la Società è stata informata della facoltà di effettuare il pagamento in misura ridotta ai sensi dell’art. 16 della legge n. 689/1981. Con il diverso verbale nr. 56/2017 dell’11 luglio 2017 è stata altresì contestataalla SERCOM S.r.l., con distinto procedimento sanzionatorio, la violazione amministrativa prevista dall’art. 163 del Codice in relazione all’art. 38 comma 4 del Codice in relazione all’omessa nuova notificazione per il mutamento della denominazione della Società e per la cessazione del trattamento dei dati personali;

ESAMINATO il rapporto del Nucleo speciale privacy della Guardia di finanza predisposto ai sensi dell’art. 17 della legge 24 novembre 1981, n. 689 dal quale non risulta che la Società abbia effettuato il pagamento in misura ridotta;

VISTO lo scritto difensivo del 18 agosto 2017 presentato, ai sensi dell’art. 18 della l. n. 689/1981, dal Consulente privacy della Società, come da espresso incarico a lui conferito il 26 giugno 2017, in cui si è dichiarato che il rappresentante legale della Società avrebbe dovuto comunicare (al Garante) l’inizio dei trattamenti da parte della Società ed effettivamente questo processo non è stato rispettato nei tempi canonici. Il Consulente ha altresì rappresentato che “l'amministratore della ARC Informazioni s.r.l. (che altri non è che il medesimo amministratore della ARC s.r.l. in liquidazione) avrebbe compiuto le operazioni necessarie di comunicazione ex art 37 D.Lgs 196/2003, infatti il medesimo oggi ha dato incarico allo scrivente (una volta sciolto questo nodo sanzionatorio) di compiere le prescritte regolarizzazioni” (pag. 1);

VISTO il successivo scritto difensivo presentato dalla Società il 21 febbraio 2018 con cui la parte sostiene che la Guardia di Finanza nell’accertamento effettuato si sia ben guardata dal riportare nel verbale quale sia l’attività che dovrebbe generare la notificazione (pag. 6), tanto che la parte analizza sia il trattamento di cui all’art. 37 comma 1 lett. d) sia il trattamento di cui all’art. 37 comma 1 lett. f) (pag. 6). Con particolare riferimento alla notificazione di cui all’art. 37 comma 1 lett. f), la parte ha dichiarato di non aver messo in atto nessuna delle ipotesi previste dall’art. 37 del Codice e che “mai in nessun modo … (il rappresentante legale) della Società ha affermato (o posto in essere) una qualsivoglia gestione di banche dati gestite con strumenti elettronici finalizzate alla verifica della solvibilità economica, alla situazione patrimoniale ovvero al corretto adempimento di obbligazioni o in ultimo a comportamenti illeciti o fraudolenti. I risultati, oggetto di attività … sono il frutto di una elucubrazione intellettuale dello stesso …, personalizzata per ogni singolo soggetto e derivante dall'utilizzo anche di banche dati pubbliche. Attività che di volta in volta cambia da committente a committente.” Si è quindi evidenziato che quanto affermato nello scritto difensivo del 18 agosto 2017 redatto dal suddetto Consulente “non corrisponde al vero … ed anzi è oggetto di contestazione e di revoca dell’incarico al professionista” (pag. 8) e che “la notificazione di cui all' art. 37 del Codice non è prevista in "automatico" per l'informatore commerciale nè per colui che svolge l’attività di recupero del credito” (pag. 10). Ciò detto, la parte ribadisce di non essere tenuta a notificare il trattamento dei dati così come invece contestato dalla Guardia di Finanza con il verbale n. 57/ 2017 (pag. 12);

RILEVATO che le argomentazioni addotte dalla parte nel corso del procedimento sanzionatorio non risultano idonee ad escludere la responsabilità della Società in relazione a quanto contestato, si rileva quanto segue. Come dichiarato dallo stesso rappresentante legale della Società nel corso degli accertamenti del 15 giugno 2017 “ho provveduto ad effettuare nel 2004 la notificazione al Garante per la protezione dei dati personali, individuabile al n. 20040511064329 del Registro delle notificazioni, poiché la "Arc s.r.l." oggi "Sercom s.r.l." trattava dati relativi al rischio della solvibilità economica e patrimoniale mediante l'utilizzo dei propri sistemi informatici. Anche l'attuale Società "Arc informazioni s.r.l." avendo acquisito il database e quindi tutti i clienti della "Sercom s.r.l.", effettua le medesime attività, ivi comprese quelle relative al recupero crediti.”, tanto da ritenere che “la predetta notificazione valesse anche per questa nuova Società ARC Informazioni s.r.l.” (pag. 4). La necessità di effettuare la notificazione in esame risulta anche dallo scritto difensivo presentato il 18 agosto 2017, presentato ai sensi dell’art. 18 l. n. 689/1981 e per conto della Società, dal Consulente privacy della medesima, cui è stato conferito in data 26 giugno 2017 l’incarico professionale di “assistenza, rappresentanza, consulenza e difesa nella controversia di accertamento insorta o insorgenda presso l'ufficio del Garante Privacy in Roma, avente per oggetto mancata iscrizione nel registro dei titolari di trattamenti ed altre violazioni D.Lgs. 196/03 come accertato a verbale Guardia di Finanza - Nucleo Speciale Privacy” (allegato allo scritto difensivo). In particolare, nel suddetto scritto difensivo, si rappresenta che la ragione del mancato rispetto della notificazione dell’inizio dei trattamenti da parte della Società nei tempi canonici risiede nel fatto che la Società “di fatto compiva delle operazioni sub-causa rispetto alla A.R.C. s.r.l., in quanto ancora in attesa di rilascio delle formalità burocratiche necessarie per lo svolgimento dell'attività, che qui precisiamo si compone esclusivamente nella ricerca conto terzi di informazioni di solvibilità relativa a persone giuridiche per il rilascio di linee di credito. E' possibile quindi affermare, come di fatto è, che l'amministratore della ARC Informazioni s.r.l. (che altri non è che il medesimo amministratore della ARC s.r.l. in liquidazione) avrebbe compiuto le operazioni necessarie di comunicazione ex art 37 D.Lgs 196/2003” (pag. 1) ed ha infine affermato che la Società in esame stava provvedendo a regolarizzare la sua posizione (pag. 3). Nel successivo scritto difensivo del 21 febbraio 2018, la parte lamenta che gli accertamenti della Guardia di Finanza non hanno chiarito “quale sia l’attività che dovrebbe generare la notificazione” (pag. 6) e di seguito richiama le ipotesi di cui alle lett. d) e f) dell’art. 37 comma 1 del Codice. In realtà, mentre nei verbali di operazioni compiute citati sono state riportate le dichiarazioni del rappresentante legale della Società in merito all’attività svolta ed è stata acquisita la documentazione dallo stesso fornita, nel verbale di contestazione della violazione si è chiaramente dichiarato che “per l'espletamento della predetta attività la Società non ha effettuato la notificazione al Garante per la protezione dei dati personali, ai sensi dell'art. 37 comma 1 lettera f) del D.Lgs 196/2003” (pag. 2). Con riguardo poi al trattamento dati svolto dalla Società riferibile a quello previsto dal comma 1 lett. f) dell’art. 37 del Codice si evidenzia che, nel corso dei suddetti accertamenti, la parte ha dichiarato “nel nostro database vengono inseriti tutti i nuovi dati acquisiti relativi al debitore, collegati al creditore nonché all'importo del debito vantato” e che “la dipendente addetta all'attività di recupero crediti, provvede ad effettuare una analisi sulla  situazione del debitore (situazione patrimoniale, solvibilità economica, ecc.), inserisce le sue valutazioni nelle ulteriori schermate relative al recupero crediti collegate al nostro cliente” (pag. 3 del verbale del 15 giugno 2017). Per meglio spiegare la propria attività, la Società ha altresì prodotto, a titolo esemplificativo, un contratto per l'attività di informazioni commerciali e di recupero credito nonché la  relazione conclusiva dell’attività di recupero crediti e gli screen shot relativi alla stessa pratica generata dal gestionale nel caso si proceda all’attività di recupero crediti (cfr. all. 11 del verbale del 15 giugno 2017), che pur se riferibili alla ARC s.r.l., oggi SERCOM s.r.l., chiariscono ancor di più l’attività svolta fino a marzo 2017 dalla ARC s.r.l. e da aprile 2017 dalla Società in esame. La necessità della notificazione in questione è stata confermata, peraltro, dalla stessa parte nello scritto difensivo presentato dal Consulente privacy, designato dalla Società al fine di essere assistita nel procedimento che si è avviato con gli accertamenti del 14 e 15 giugno 2017. Risulta, pertanto, inconferente la circostanza che nel successivo scritto difensivo del 21 febbraio 2018, quindi ben oltre il termine previsto dall’art. 18 della l. n. 689/1981, la parte smentisca quanto affermato per conto della stessa Società, nello scritto difensivo del 18 agosto 2017, dal suo Consulente privacy formalmente incaricato il 26 giugno 2017;

RILEVATO, pertanto, che la ARC Informazioni s.r.l. in qualità di titolare del trattamento, ai sensi dell’art. 28 del Codice, ha effettuato un trattamento di dati personali omettendo di effettuare la notificazione al Garante in violazione degli artt. 37 e 38 del Codice;

VISTO l’art. 163 del Codice che punisce la violazione della disposizione di cui agli artt. 37 e 38, con la sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge n. 689/1981, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore. In particolare, deve considerarsi favorevolmente la circostanza che la violazione non risulta connotata da elementi specifici di gravità, che la società non è stata destinataria di precedenti procedimenti sanzionatori;

RITENUTO, quindi, di dover determinare, ai sensi dell’art. 11 della legge n. 689/1981, l’ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura minima di euro 20.000,00 per la violazione di cui all’art. 163 del Codice;

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

ORDINA

alla ARC Informazioni s.r.l., C.F.: 03704690043, nella sede legale di Alba (CN), in Corso Piave n. 146 C/D, in persona del titolare, di pagare la somma complessiva di euro 20.000,00 (ventimila) a titolo di sanzione amministrativa pecuniaria per la violazione prevista dall’art. 163 del Codice come indicato in motivazione;

INGIUNGE

alla medesima Società di pagare la somma di euro 20.000,00 (ventimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale o in copia autentica, quietanza dell’avvenuto versamento. 

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero. 

Roma, 29 marzo 2018

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia