g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Isinc S.r.l.s. - 21 aprile 2021 [9680996]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9680996]

Ordinanza ingiunzione nei confronti di Isinc S.r.l.s. - 21 aprile 2021

Registro dei provvedimenti
n. 149 del 21 aprile 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale ha preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza.;

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

Sono pervenute all’Autorità diverse istanze – reclami e segnalazioni - da parte di avvocati che hanno lamentato la ricezione di e-mail promozionali, verosimilmente estratte dal registro INI Pec(1), da parte di Isinc S.r.l.s (di seguito, Isinc).

Dall’esame delle e-mail allegate, tutte di uguale contenuto, si evince la presenza di una informativa nella quale si rende noto che i dati utilizzati per l’invio delle comunicazioni sono stati estratti da banche dati pubbliche. 

In risposta alle richieste di informazioni inviate dall’Ufficio, la Società ha dichiarato soltanto di aver provveduto a cancellare i dati degli istanti senza tuttavia fornire alcun chiarimento in merito alla base giuridica posta a fondamento del trattamento.

È stata pertanto inviata una nota di avvio del procedimento ai sensi dell’art. 166, comma 5 del Codice con la quale è stato contestato l’invio di comunicazioni promozionali senza consenso.

Con e-mail del 30 novembre 2020, la Società ha osservato che “…il messaggio ricevuto recava una ampia informativa privacy, proprio attraverso la quale si dava tempestiva informazione agli istanti del reperimento da parte nostra del loro indirizzo di posta elettronica che era liberamente disponibile on.line”. Inoltre, la stessa ha fatto presente che era possibile interrompere la ricezione utilizzando un apposito link o scrivendo all’indirizzo privacy@isinc.it.

Di tale opzione gli interessati non hanno fatto uso e si sono rivolti al Garante: la Società ha comunque provveduto tempestivamente a cancellare gli indirizzi pec, non appena ricevute le richieste di informazioni da parte dell’Autorità.

2. VALUTAZIONI DI ORDINE GIURIDICO

Con riferimento ai profili fattuali sopra evidenziati, anche in base alle affermazioni della Società di cui il dichiarante risponde ai sensi dell’art. 168 Codice, si formulano le seguenti valutazioni in relazione ai profili riguardanti la disciplina in materia di protezione dei dati personali.

Come appena ricostruito, le comunicazioni promozionali sono state inviate, utilizzando dati estratti da banche dati pubbliche, in assenza di un idoneo consenso dei destinatari.

A tal riguardo si richiama quanto disposto dall’art. 130 del Codice in base al quale l’invio di comunicazioni con modalità automatizzate è consentito solo con il consenso del contraente o utente potendosi ammettere una deroga unicamente nel caso in cui l’indirizzo email sia stato rilasciato dall’interessato nel contesto di una vendita di beni o servizi analoghi. Come chiarito anche dal Garante con le Linee guida in materia di attività promozionale e contrasto allo spam del 4 luglio 2013(2)   “senza il consenso … non è possibile inviare comunicazioni promozionali con i predetti strumenti neanche nel caso in cui i dati personali siano tratti da registri pubblici, elenchi, siti web atti o documenti conosciuti o conoscibili da chiunque. Analogamente, senza il consenso preventivo degli interessati, non è lecito utilizzare per inviare e-mail promozionali gli indirizzi pec contenuti nell’indice nazionale degli indirizzi pec delle imprese e dei professionisti … istituito per favorire la presentazione di istanze, dichiarazioni e dati, nonché lo scambio di informazioni e documenti tra la pubblica amministrazione e le imprese e i professionisti in modalità telematica”.

Per tali ragioni, si ritiene integrata la violazione dell’art. 130 del Codice e dell’art. 6, par. 1, lett. a) del Regolamento e si rende necessario vietare, ai sensi dell’art. 58, par. 2 lett. f), l’ulteriore utilizzo per finalità promozionali dei dati personali che la Società abbia acquisito senza poter documentare l’esistenza di un idoneo consenso. Si ritiene altresì necessario ordinare alla Isinc, ai sensi dell’art. 58, par. 2, lett. g), di cancellare dai propri archivi i dati personali acquisiti senza un idoneo consenso per finalità commerciali e si ritiene sussistano i presupposti per l’applicazione di una sanzione amministrativa pecuniaria ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento.

3. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

In base a quanto sopra rappresentato, risultano violati l’art. 130 del Codice e l’art. 6, par. 1, lett. a) del Regolamento, per cui si rende applicabile la sanzione prevista dall’art. 83, par. 5 del Regolamento.

Ai fini della quantificazione della sanzione amministrativa, per le violazioni di cui al punto 2, il citato art. 83, par. 5, nel fissare il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore, specifica le modalità di quantificazione della predetta sanzione, che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del  Regolamento), individuando, a tal fine, una serie di elementi, elencati al par. 2, , da valutare all’atto di quantificarne il relativo importo.

In adempimento di tale previsione, nel caso di specie, devono essere considerate le seguenti circostanze aggravanti:

1. il carattere sistemico delle violazioni rilevate che le rende dunque potenzialmente estese ad un vasto numero di interessati, tenuto conto del fatto che l’attività promozionale costituisce l’oggetto sociale della Isinc; deve altresì rilevarsi che proprio l’utilizzo dello strumento della posta elettronica certificata rende il trattamento idoneo ad arrecare maggiori interferenze all’esercizio dell’attività professionale degli interessati e per tale ragione risulta più grave (art. 83, par. 2, lett. a) del Regolamento);

2. il grado di responsabilità del titolare del trattamento, da qualificarsi come gravemente colposo, tenuto conto che la Società ha inviato messaggi promozionali senza consenso ritenendo sufficiente la presenza degli indirizzi in un registro pubblico, nonostante il chiaro disposto dell’art. 130 del Codice e nonostante le innumerevoli pronunce rese negli anni dal Garante da considerarsi ormai ampiamente note, almeno nei principi, ai titolari del trattamento (art. 83, par. 2, lett. b) e d) del Regolamento);

3. l’assenza di misure correttive proposte per evitare il ripetersi di eventi analoghi: la Società, infatti, non ha reso dichiarazioni in merito ad eventuali interventi correttivi che riguardino il trattamento in generale (ma si è solo limitata a dichiarare di aver cancellato i nominativi dei reclamanti), tanto che si è reso necessario imporre il divieto di ulteriori invii di messaggi promozionali a soggetti di cui non sia dimostrata l’acquisizione del consenso (art. 83, par. 2, lett. c) del Regolamento).

Quali elementi attenuanti, si ritiene di dover tener conto:

1. della natura dei dati oggetto di violazione (dati comuni);

2. del livello di danno subito dai reclamanti, consistente nella ricezione di messaggi promozionali indesiderati, che risulta tuttavia temperato dalla possibilità di opporsi ad essi mediante un apposito link;

3. il grado di cooperazione con l’Autorità di controllo;

4. la natura di microimpresa della Isinc, da poco sul mercato, nonché i dati del bilancio 2019;

5. l’assenza di precedenti procedimenti avviati a carico della Società.

In una complessiva ottica di necessario bilanciamento fra diritti degli interessati e libertà di impresa, e in via di prima applicazione delle sanzioni amministrative pecuniarie previste dal Regolamento, occorre valutare prudentemente i suindicati criteri, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società.

Pertanto si ritiene che, in base al complesso degli elementi sopra indicati - tenuto conto che la sanzione edittale massima, individuata con riferimento al disposto dell’art. 83, comma 5, è pari al 4% del fatturato (che, nel caso di Isinc risulta inferiore ai 20 milioni di euro) - debba applicarsi alla Isinc la sanzione amministrativa del pagamento di una somma pari a euro 20.000,00 (ventimila/00) e, in ragione degli elementi aggravanti rilevati, la sanzione accessoria della pubblicazione per intero del presente provvedimento nel sito web del Garante come previsto dall’art. 166, comma 7 del Codice e dall’art. 16 del regolamento del Garante n. 1/2019.

Si rileva che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Si ricorda che ai sensi dell’art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni e che, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e), del Regolamento.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara l’illiceità dei trattamenti descritti in premessa, effettuati in assenza di un consenso libero, specifico e preventivo degli interessati per l’invio di comunicazioni promozionali con modalità automatizzate da parte di Isinc S.r.l.s., con sede in Reggio Calabria, via Nazionale Pentimele, 87, C.F e P.IVA 03094710807 e, conseguentemente:

a) ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, vieta ogni ulteriore trattamento per finalità promozionali dei dati di cui non sia in grado di documentare l’esistenza di un idoneo consenso;

b) ai sensi dell’art. 58, par. 2, lett. g) ordina di cancellare dai propri archivi i dati personali acquisiti senza un idoneo consenso per finalità commerciali.

ORDINA

a Isinc S.r.l.s., con sede in Reggio Calabria, via Nazionale Pentimele, 87, C.F e P.IVA 03094710807, di pagare la somma di euro 20.000,00 (ventimila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 20.000,00 (ventimila/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

a) ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate;

b) ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento nel sito web del Garante.

Il Garante, ai sensi dell’art. 58, par. 1, del Regolamento (UE) 2016/679, invita altresì il titolare del trattamento, a comunicare entro 30 giorni dalla data di ricezione del presente provvedimento, quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel presente provvedimento e di fornire comunque riscontro adeguatamente documentato. Si ricorda che il mancato riscontro alla richiesta ai sensi dell’art. 58 è punito con la sanzione amministrativa di cui all'art. 83, par. 5, lett. e), del Regolamento (UE) 2016/679.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 21 aprile 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei

 

(1) Indice Nazionale degli Indirizzi di Posta Elettronica Certificata istituito dal Ministero dello Sviluppo Economico, in https://www.inipec.gov.it/cerca-pec

(2) In www.garanteprivacy.it doc web n. 2542348