g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Bill Size s.r.l. - 4 aprile 2019 [9116781]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9116781]

Ordinanza ingiunzione nei confronti di Bill Size s.r.l. - 4 aprile 2019*
*Con sentenza del 24 gennaio 2023 il Tribunale di Varese ha rideterminato in euro 16.000 l’entità della sanzione amministrativa comminata
 

Registro dei provvedimenti
n. 91 del 4 aprile 2019

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO l’art. 1, comma 2, della legge 24 novembre 1981, n. 689, ai sensi del quale le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e per i tempi in esse considerati;

RILEVATO che, nell’ambito di un’indagine delegata di polizia giudiziaria, il Nucleo di polizia economico finanziaria della Guardia di finanza di Varese, dopo che la Procura della Repubblica di Milano in data 3 settembre 2018 aveva concesso specifico nulla osta, ha accertato che Bill Size s.r.l. P.Iva: 03156890125, con sede in Varese, via San Martino n. 5, in persona del legale rappresentante pro-tempore, ha provveduto, assumendo la veste di autonomo titolare del trattamento dei dati personali degli interessati, in nome e per conto del gestore telefonico TIM (Telecom Italia s.p.a.), all’intestazione, nell’anno 2017, di schede telefoniche a terze persone, del tutto ignare di tali attribuzioni. In particolare, dagli atti istruttori citati è stato possibile individuare 5 persone a cui, a loro insaputa, sono state intestate schede telefoniche per un numero complessivo di 7 utenze, senza che fosse stato acquisito il loro consenso ai sensi dell’art. 23 del Codice.

VISTI i verbali nn.rr. 17, 18, 19 e 20 tutti datati 7 novembre 2018, che qui si intendono integralmente richiamati, con cui sono state contestate a Bill Size s.r.l., rispettivamente 4 (quattro) violazioni tutte previste dall’art. 162, comma 2-bis del Codice, per aver effettuato un trattamento di dati personali di 4 (quattro) persone fisiche le quali hanno dichiarato di non aver mai sottoscritto alcuna richiesta di attivazione delle sim-card in argomento e di essere allo scuro, conseguentemente, che vi fossero 6 (sei) schede telefoniche mobili intestate a loro nome;

VISTO il verbale nr. 16 datato 7 novembre 2018, che qui si intende integralmente richiamato, con cui è stata contestata a Bill Size s.r.l., una violazione prevista dall’art. 162, comma 2-bis del Codice, per aver effettuato un trattamento di dati personali di una persona fisica della quale, nell’ambito dei riscontri effettuati presso la predetta società, non è stato prodotto alcun documento attestante l’attivazione dell’utenza telefonica (sim-card) intestata alla persona fisica in argomento;

RILEVATO dal rapporto predisposto dal Nucleo di polizia economico finanziaria della Guardia di finanza di Varese, ai sensi dell’art. 17 della legge n. 689/1981, che non risulta effettuato il pagamento in misura ridotta per nessuna delle cinque contestazioni in parola;

VISTO lo scritto difensivo datato 2 gennaio 2019 ai sensi dell’art. 18 della legge n. 689/1981 nel quale la società, con riferimento a tutti i verbali di contestazione in argomento, dopo aver richiamato l’impianto normativo relativo al GDPR Regolamento generale sulla protezione dei dati personali (Regolamento UE n. 679/2016) così come integrato dalle disposizioni del d. lgs. n. 10 agosto 2018 n. 101 recante “Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (di seguito Regolamento), ha rilevato come “(…) il combinato disposto delle richiamate norme (…) consenta al solo Garante per la protezione dei dati personali l’esercizio di compiti/poteri di indagine, verifica, accertamento, ecc., oltre che di inflizione delle eventuali, conseguenti sanzioni amministrativo-pecuniarie. Se così fosse, i PVC qui gravati, (…), si rivelerebbero viziati in radice, e dovrebbero pertanto essere considerati inesistenti o, al limite, annullati, se del caso anche in autotutela della stessa amministrazione procedente”.

Inoltre, Bill Size s.r.l., sempre riportandosi al disposto di cui al d. lgs. n. 101/2018, ritiene che “(…) possa avvalersi della disposizione derogatoria introdotta dall’art. 18 d. lgs. n. 101/2018, con eventuale rimessione in termini, a tal fine, anche in ragione dell’errore scusabile indotto dal mancato richiamo, nei PVC qui gravati, dell’opportunità offerta dalla medesima norma”.

Ha rilevato, altresì, come “(…) le attivazioni qui contestate possono essere stato frutto solo di errori ed approssimazioni, non certo di un’intenzione dolosa”;

VISTO il verbale dell’audizione delle parti redatto in data 29 gennaio 2019 ai sensi dell’art. 18 della legge n. 689/1981, nel quale la società, ribadendo sostanzialmente quanto argomentato nella memoria difensiva ed illustrando le iniziative “(…) di verifica interna che ha consentito il non verificarsi di ulteriori casi in tutto il periodo successivo” ha evidenziato come “(…) la percentuale di casi rispetto alle attivazioni documentabili per l’anno 2017 è addirittura inferiore a quella indicata in memoria essendovi state 7 schede irregolari a fronte di 17.340 attivazioni”, producendo a scioglimento della riserva formulata, un documento denominato “Allegazione di documenti con breve nota illustrativa” dell’11 febbraio 2019;

CONSIDERATO che, con specifico riferimento ai verbali di contestazione nn.rr. 16, 17, 18 e 19 tutti datati 7 novembre 2018, le argomentazioni addotte non consentono di escludere la responsabilità in relazione a quanto contestato.

Quanto osservato circa il fatto che, nel caso che ci occupa, “(…) il combinato disposto delle richiamate norme (Reg. UE n. 679/2016 così come integrato dalle disposizioni del d. lgs. n. 101/2018) (…) consenta al solo Garante per la protezione dei dati personali l’esercizio di compiti/poteri di indagine, verifica, accertamento, ecc., oltre che di inflizione delle eventuali, conseguenti sanzioni amministrativo-pecuniarie” non risulta apprezzabile, atteso che, in realtà, al fine della determinazione della norma applicabile, sotto il profilo temporale, deve trovare applicazione il principio di legalità di cui all’art. 1, comma 2 della legge n. 689/1981 che, nel prevedere come “Le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in esse considerati”, asserisce la ricorrenza del principio del tempus regit actum. La ricorrenza di tali principi determina l’obbligo di prendere in considerazione la norma vigente al momento della commessa violazione. Nel caso che ci occupa tale momento deve essere individuato nel momento dell’avvenuta intestazione, nell’anno 2017, di schede telefoniche a terze persone, del tutto ignare di tali attribuzioni. In particolare, 5 persone a cui, a loro insaputa, sono state intestate schede telefoniche per un numero complessivo di 7 utenze, senza che fosse stato acquisito il loro consenso ai sensi dell’art. 23 del Codice. Risulta evidente, quindi, come, nel caso in trattazione, la disciplina del Regolamento n. 679/2016, i cui effetti si producono dalla data del 25 maggio 2018, non possa essere presa in considerazione, ma dovrà essere applicata la distinta norma prevista dal Codice vigente al momento in cui la condotta oggetto di contestazione è stata posta in essere ovvero nella versione antecedente l’entrata in vigore del d.lgs. n. 101/2018.

Si osserva, poi, come Bill Size s.r.l. ritenga erroneamente di potersi avvalere della facoltà di definizione agevolata delle violazioni in materia di protezione dei dati personali di cui all’art. 18 del d.lgs. 10 agosto 2018 n. 101, atteso che il citato articolo, al comma 1, prevede che possano essere oggetto di definizione agevolata i soli procedimenti sanzionatori avviati, con l’adozione del verbale di contestazione, in data antecedente al 25 maggio 2018. Nel caso che ci occupa, tutte le 5 violazioni sono state accertate con altrettanti verbali di contestazione elevati tutti in data 7 novembre 2018, dunque successivamente a quella di applicazione del Regolamento.

Inoltre, relativamente alle motivazioni afferenti il fatto che “(…) le attivazioni qui contestate possono essere stato frutto solo di errori ed approssimazioni, non certo di un’intenzione dolosa”, si rileva come, pur prendendo atto delle argomentazioni introdotte nel verbale di audizione delle parti del 29 gennaio 2019, non siano stati introdotti elementi volti a qualificare alcuno degli elementi costitutivi della disciplina sull’errore scusabile comunemente definibile come buona fede, di cui all’art. 3 della legge n. 689/1981, anche in base a quanto asserito dalla giurisprudenza (Cass. Civ. sez. I del 15 maggio 2006 n. 11012; Cass. Civ. sez II del 13 marzo 2006, n. 5426).

CONSIDERATO, invece, che la violazione afferente al verbale di contestazione n. 20 del 7 novembre 2018 risulta accertata in data 3 settembre 2018 ovvero al rilascio, da parte della Procura della Repubblica di Milano, del nulla osta per l’utilizzo di elementi emersi nell’ambito del proc. Pen. N. 11213/2018 R.G.N.R., e che la notifica del verbale di contestazione risulta essere avvenuta in data 4 dicembre 2018, ovvero oltre il termine di 90 giorni previsto dall’art. 14 della legge n. 689/1981, ragione per la quale il citato verbale di contestazione deve essere archiviato;

RILEVATO, pertanto, che Bill Size s.r.l., assumendo la veste di autonomo titolare del trattamento dei dati degli interessati in questione ai sensi dell’art. 4, comma 1 lett. f) del Codice, ha effettuato 4 (quattro) distinti trattamenti di dati personali, attraverso l’attivazione di schede telefoniche all’insaputa di 4 (quattro)  interessati, omettendo di acquisire il loro consenso, in violazione dell’art. 23 del Codice;

VISTO l’art. 162, comma 2-bis, del Codice, che punisce la violazione delle disposizioni indicate nell’art. 167 del Codice, tra le quali quelle di cui all’art. 23, del medesimo Codice, con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro per ciascuna delle quattro violazioni contestate;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge 24 novembre 1981 n. 689, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore e che pertanto l’ammontare della sanzione pecuniaria per la violazione di cui all’art. 162, comma 2-bis deve essere quantificato nella misura di euro 10.000,00 (diecimila) per ciascuna delle quattro contestazioni, per un importo complessivo pari a euro 40.000,00 (quarantamila);

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell’Ufficio, formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la prof.ssa Licia Califano;

DISPONE

l’archiviazione del procedimento sanzionatorio amministrativo di cui al verbale di contestazione n. 20 del 7 novembre 2018 poiché la notifica del verbale di contestazione risulta essere avvenuta oltre il termine di 90 giorni previsto dall’art. 14 della legge n. 689/1981;

ORDINA

a Bill Size s.r.l. P.Iva: 03156890125, con sede in Varese, via San Martino n. 5, in persona del legale rappresentante pro-tempore di pagare la somma complessiva di euro 40.000,00 (quarantamila) a titolo di sanzione amministrativa pecuniaria per la violazione prevista dall’art. 162, comma 2-bis del medesimo Codice;

INGIUNGE

al medesimo soggetto di pagare la somma di euro 40.000,00 (quarantamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689. 

Ai sensi degli artt. 152 del Codice e 10 del d. lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 4 aprile 2019

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia