g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Mingardi Medical Center s.r.l. - 31 maggio 2018 [9038227]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9038227]

Ordinanza ingiunzione nei confronti di Mingardi Medical Center s.r.l. - 31 maggio 2018

Registro dei provvedimenti
n. 368 del 31 maggio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

RILEVATO che, a fronte di due segnalazioni pervenute all'Autorità nel mese di marzo 2017, con cui veniva lamentata la ricezione di chiamate promozionali indesiderate da parte di “Idea Sorriso”, l'Ufficio avviava un'attività istruttoria volta a verificare i fatti oggetto delle segnalazioni. A tal proposto, venivano effettuate verifiche ai sensi degli artt. 157 e 158 del Codice in materia di protezione dei dati personali (d.lgs. n. 19672003, di seguito “Codice”), dapprima presso Idea Sorriso s.r.l. in data 10, 11 e 12 aprile 2017, e poi presso Mingardi Medical Center s.r.l. (di seguito “MMC”) in data 16 e 17 maggio 2017, al fine di verificare l'osservanza delle disposizioni in materia di protezione dei dati personali con riguardo all'attività di telemarketing;

CONSIDERATO che, sulla base degli elementi complessivamente acquisiti nel corso degli accertamenti eseguiti presso Idea Sorriso s.r.l. e MMC, è risultato che, con riferimento al trattamento dei dati personali effettuato per finalità di telemarketing, le due società hanno operato in qualità di co-titolari del trattamento, ai sensi dell’art. 4, comma 1, lett. f), del Codice;

RILEVATO che l'Autorità ha adottato nei confronti di MMC, nonché di Idea Sorriso s.r.l., in qualità di co-titolari del trattamento, il provvedimento di divieto e prescrittivo n. 268 del 15 giugno 2017 (in www.garanteprivacy.it, doc. web n. 6629169), le cui motivazioni devono intendersi integralmente richiamate, con cui è stato accertato che “il trattamento dei dati personali per le menzionate finalità di marketing, effettuato da Idea Sorriso e MMC in modo promiscuo e senza alcuna compartimentazione tra le Società (…), sia stato realizzato nell'inosservanza delle disposizioni contenute nella disciplina di protezione dei dati personali” (punto 7.1). In particolare, è stato accertato che la società ha raccolto dati personali attraverso tre distinti canali di approvvigionamento, ovvero la compilazione da parte degli interessati di un form online presente sul sito www.ideasorriso.it, gli elenchi telefonici pubblici, in particolare quelli presenti sul sito internet www.pagine bianche.it ed, infine, le liste di numerazioni telefoniche consegnate su chiavetta USB dalla succursale di Lugano di XX In relazione ai dati in questione, parte dei quali effettivamente utilizzato per lo svolgimento di attività promozionale, è stato possibile rilevare che:

- l’informativa fornita mediante il sito web www.ideasorriso.it, (è da) ritenersi inidonea in quanto (…) nessun riferimento si rinviene all'ambito di circolazione (…) dei dati raccolti mediante il predetto sito web” (punto 9.1 del provvedimento);

- “(…) egualmente illecita è la previsione di un unico consenso oltre che generico, preselezionato per il trattamento dei dati che vengono inseriti dagli utenti rispetto a tutte le finalità richiamate nell'informativa. In particolare viene richiesto un consenso ultroneo (…) per il perseguimento delle finalità strettamente connesse all’erogazione del servizio, manca invece la possibilità di manifestare liberamente il consenso per le finalità di invio di newsletter a contenuto promozionale (…) come invece richiesto dall'art. 23, c. 3. del Codice” (punto 9.2 del provvedimento); 

- “l'attività di natura promozionale (è stata svolta) nel periodo gennaio-marzo 2017 su un campione di numerazioni residenziali tratte da elenchi telefonici pubblici, in particolare dal sito internet www.pagine bianche.it (...), (nonché, tratte da) “liste di numerazioni telefoniche sia fisse che mobili relative a circa un milione di utenti, (...) consegnate (...) a Idea Sorriso su supporto USB dalla succursale di Lugano di XX (...)” (punti 5.1 e 5.2 del provvedimento);

- “con riguardo ai trattamenti effettuati per finalità di telemarketing, le società, operando in qualità di co-titolari, hanno trattato illecitamente i dati raccolti, atteso che, come dichiarato, gli stessi (…) non hanno formato oggetto di verifica presso il Registro pubblico [delle opposizioni] (ai sensi degli artt. 130, comma 3-bis del Codice e 5, d.P.R. n. 178/2010), né è risultata comprovata l’esistenza di alcuna altra base giuridica per il loro utilizzo per la menzionata finalità (artt. 23, 24 e 130, c. 3, del Codice) […]” (punto 8 del provvedimento);

ciò considerato l’Autorità ha prescritto a MMC l’adozione di misure organizzative e tecnologiche, ha vietato l’ulteriore trattamento illecito e si è riservata di contestare con autonomo procedimento nei confronti di MMC e di Idea Sorriso s.r.l., in quanto co-titolari del trattamento sia dei dati asseritamente acquisiti per il tramite di www.paginebianche.it e www.ideasorriso.it sia di quelli acquistati da XX ed utilizzati per finalità di telemarketing, le violazioni amministrative concernenti gli artt. 13, 23 e 130, commi 3 e 3-bis e la violazione di cui all’art. 164-bis, comma 2, del Codice (punto 12.1. del provvedimento);

RILEVATO che la parte, non avendo impugnato il provvedimento suddetto, ha prestato acquiescenza a quanto dallo stesso accertato (Trib. Arezzo n. 607 del 12.05.2016 e Trib. Taranto n. 2348/2017);

VISTA la nota n. 24239 in data 10 luglio 2017 del Dipartimento comunicazioni e reti telematiche di questa Autorità, con la quale sono stati trasmessi gli atti al Dipartimento attività ispettive e sanzioni competente per le valutazioni in ordine alla sussistenza delle violazioni amministrative;

VISTO il verbale n. 25951/116588 del 25 luglio 2017, che qui integralmente si richiama, con cui sono state contestate alla Mingardi Medical Center s.r.l., con sede legale in Padova, via E. Filiberto di Savoia n. 47, P.I. 04550520284, nella persona del legale rappresentante pro-tempore, le violazioni amministrative previste:

a) dall’art. 161 del Codice per la violazione dell’art. 13 del Codice, in relazione all’inidoneità dell’informativa resa sul sito web;

b) dall’art. 162, comma 2-bis, del Codice per la violazione dell’art. 23 del Codice, in relazione all’acquisizione di un consenso unico, generico e preselezionato presente sul sito web;

c) dall’art. 162, comma 2-bis, del Codice per la violazione degli artt. 23 e 130, comma 3, del Codice, in quanto “non è stata in grado di fornire alcuna prova dell’eventuale acquisizione del consenso informato degli interessati a cui si riferiscono le numerazioni telefoniche per l’effettuazione dell’attività di telemarketing”;

d) dall’art. 162, comma 2-quater, del Codice per la violazione dell’art. 130, comma 3-bis, del Codice, in relazione alla mancata verifica delle numerazioni contattate presso il Registro pubblico delle opposizioni;

e) dall’art. 164-bis, comma 2, del Codice in relazione al rilevantissimo numero di dati personali contenuti nella banca dati (circa 1.000.000 di numerazioni), per la quale non è ammesso il pagamento in misura ridotta ai sensi dell’art. 16 della legge n. 689/1981;

CONSIDERATO che la fattispecie di cui all’art. 164-bis, comma 2, del Codice è del tutto autonoma e distinta rispetto alle fattispecie in essa richiamate, come ribadito sia dalla giurisprudenza di merito sia dalla giurisprudenza di legittimità (Trib. Milano 11.03.2014; Corte di Cass. n. 17143 del 17.08.2016). Ne discende, quindi, la configurabilità del cumulo materiale, conseguente all’astratta ipotizzabilità del concorso (non formale) degli illeciti amministrativi tra le fattispecie di cui agli artt. 161 e 162, comma 2-bis, in rapporto a quella di cui all’art. 164-bis, comma 2, del Codice, quando le prime violazioni (tra le tante possibili secondo il tenore della disposizione esaminata) siano commesse con riferimento a una banca dati di particolare rilevanza e dimensioni (cfr. all. 18);

RILEVATO che dal rapporto predisposto dall’Ufficio ai sensi dell’art. 17 della legge n. 689/1981 non risulta essere stato effettuato il pagamento in misura ridotta, in relazione alle violazioni di cui agli artt. 161, 162, comma 2-bis, e 162, comma 2-quater, del Codice;

RILEVATO che il trasgressore non risulta essersi avvalso delle facoltà previste dall’art. 18 della legge 24 novembre 1981 n. 689 (non inviando all’Autorità scritti difensivi e documenti o chiedendo di essere sentita); 

RILEVATO, pertanto, che MMC s.r.l., in qualità di titolare del trattamento ai sensi degli artt. 4, comma 1, lett. f) e 28 del Codice, ha effettuato un trattamento di dati personali per mezzo del sito internet www.ideasorriso.it, rendendo un’informativa inidonea e omettendo di acquisire un consenso specifico in relazione a ciascuna finalità perseguita, in violazione degli artt. 13 e 23 del medesimo Codice ed ha effettuato attività di natura promozionale su un campione di numerazioni telefoniche sia fisse che mobili, omettendo di acquisire il consenso informato degli interessati cui si riferiscono le numerazioni telefoniche (acquisite dalla XX di Lugano), in violazione degli artt. 130, comma 3, e 23 del Codice, e omettendo di svolgere la verifica presso il Registro pubblico delle opposizioni, in violazione dell’art. 130, comma 3-bis, del Codice;

VISTO l’art. 1, comma 2, della legge 24 novembre 1981, n. 689, ai sensi del quale le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e per i tempi in esse considerati;

VISTO l’art. 161 del Codice, che punisce la violazione dell’art. 13 del medesimo Codice con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro;

VISTO l'art. 162, comma 2-bis, del Codice che punisce la violazione delle disposizioni indicate nell'art. 167 del Codice, tra le quali quella di cui all'art. 23 del medesimo Codice, con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

VISTO l'art. 162, comma 2-bis del Codice, che punisce la violazione delle disposizioni indicate nell'art. 167, che richiama gli artt. 23 e 130, con la sanzione amministrativa del pagamento di una somma da euro diecimila a centoventimila euro;

VISTO l’art. 162, comma 2-quater, del Codice, che punisce la violazione del diritto di opposizione di cui all’art. 130, comma 3-bis, del medesimo Codice, con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

VISTO l’art. 164-bis, comma 2 del Codice, che punisce la violazione di un’unica o più disposizioni indicate nel Capo I del Codice, rubricato in Violazioni Amministrative, commesse anche in tempi diversi in relazione a banche dati di particolare rilevanza o dimensioni, con la sanzione amministrativa da euro cinquantamila a euro trecentomila; 

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge n. 689/1981, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore; 

RITENUTO, quindi, di dover determinare, ai sensi dell'art. 11 della legge n. 689/1981, l'ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura di:

- euro 6.000,00 (seimila) per la violazione di cui all'art. 161, in relazione all’inidoneità dell’informativa resa sul sito web (art. 13 del Codice);

- euro 10.000,00 (diecimila) per la violazione di cui all'art. 162, comma 2-bis in relazione all’acquisizione di un consenso unico, generico e preselezionato presente sul sito web (art. 23 del Codice);

- euro 10.000,00 (diecimila) per la violazione di cui all'art. 162, comma 2-bis, in quanto “non è stata in grado di fornire alcuna prova dell’eventuale acquisizione del consenso informato degli interessati a cui si riferiscono le numerazioni telefoniche per l’effettuazione dell’attività di telemarketing” (artt. 23 e 130 del Codice);

- euro 10.000,00 (diecimila) per la violazione di cui all'art. 162, comma 2-quater, in relazione alla mancata verifica delle numerazioni contattate presso il Registro pubblico delle opposizioni (art. 130 comma 3-bis del Codice);

- euro 50.000,00 (cinquantamila) per la violazione di cui all'art. 164-bis, comma 2, del Codice, in relazione al rilevantissimo numero di dati personali contenuti nella banca dati;
per un ammontare complessivo pari a euro 86.000,00 (ottantaseimila);

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell’Ufficio, formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Augusta Iannini;

ORDINA

a Mingardi Medical Center s.r.l., con sede legale in Padova, via E. Filiberto di Savoia n. 47, P.I. 04550520284, nella persona del legale rappresentante pro-tempore, di pagare la somma di euro 86.000,00 (ottantaseimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione;

INGIUNGE

alla medesima società di pagare la somma di euro 86.000,00 (ottantaseimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689. 

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero. 

Roma, 31 maggio 2018

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia