[doc. web n. 9819285]

Provvedimento del 15 settembre 2022

Registro dei provvedimenti
n. 306 del 15 settembre 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;   

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

Con reclamo del 13 gennaio 2022 l’avvocato XX ha lamentato la ricezione di numerose e-mail indesiderate dopo aver richiesto diverse volte la cancellazione dei propri dati ed essersi espressamente opposto alla ricezione di newsletter, a suo dire senza mai ricevere riscontro. I messaggi erano inviati dalla Empower Sports AG (di seguito “Empower Sports” o “titolare”) che eroga servizi di streaming tv di eventi sportivi tramite l’app Eleven Sports.

La Società ha sede in Svizzera e ha nominato un rappresentante per l’Europa, ai sensi dell’art. 27 del Regolamento, individuata nella Eleven Sports Italia S.r.l. con sede a Milano (di seguito “Eleven Sports” o “rappresentante”).

Il 16 marzo 2022 l’Ufficio ha inviato al titolare, presso il citato rappresentante, una richiesta di informazioni ai sensi dell’art. 157 del Codice alla quale la Eleven Sports ha risposto con un’e-mail, indirizzata al reclamante e per conoscenza al Garante, nella quale ha soltanto riferito che per interrompere le comunicazioni “… è necessario procedere con la cancellazione all'iscrizione alla newsletter. Per eliminarla basta cliccare su 'Cancella iscrizione' sull'ultima comunicazione ricevuta (in fondo alla mail)”. 

Pertanto, tenuto conto di quanto rappresentato in atti e della mancanza di giustificazioni in merito alla condotta omissiva del titolare anche dopo la richiesta di informazioni dell’Ufficio, si è reso necessario notificare alla Società un atto di avvio del procedimento ai sensi dell’art. 166, comma 5, del Codice contestando la violazione delle disposizioni contenute negli art. 12, 17 e 21 del Regolamento in ragione del mancato riscontro all’interessato, che aveva richiesto la cancellazione dei dati, e del mancato recepimento dell’opposizione al trattamento dei dati per la ricezione di ulteriori newsletter.

Il 20 giugno 2022 il rappresentante ha fatto pervenire una memoria difensiva nella quale ha fornito maggiori chiarimenti in merito a quanto lamentato dall’interessato.

In particolare, lo stesso ha chiarito che l’avv. XX aveva sottoscritto un abbonamento mensile fornendo come indirizzo email XX. Successivamente, lo stesso ha sottoscritto in aggiunta un abbonamento stagionale utilizzando un diverso indirizzo email (XX). In entrambi i casi aveva fornito il consenso alla ricezione di messaggi promozionali.

Dopo aver interrotto l’abbonamento mensile (collegato all’account XX), l’interessato ha richiesto la cancellazione dei dati personali scrivendo dall’indirizzo XX, indirizzo non riconducibile all’abbonamento interrotto ma correlato invece all’abbonamento stagionale ancora in corso.

Successivamente, scrivendo da un terzo indirizzo, XX, l’avv. XX ha richiesto di non ricevere più comunicazioni commerciali senza tuttavia precisare a quali indirizzi email facesse riferimento. Eleven Sports ha precisato che per attivare gli abbonamenti viene richiesto solo l’indirizzo email e non altri dati, perciò “… non sarebbe stato possibile risalire all’identità del reclamante incrociando altri dati in possesso della Società”.

Risultando difficile comprendere che le diverse richieste facevano capo allo stesso interessato, il processo di inserimento in black list è stato rallentato.

Inoltre, il rappresentante ha aggiunto che il reclamante ha inviato le sue richieste - alcune di carattere amministrativo-contrattuale, altre riferite al trattamento dei dati personali - a un medesimo indirizzo e-mail senza distinguerle per materia e “per motivi tecnico-amministrativi, legati a un processo di riorganizzazione della Società, tali messaggi non venivano correttamente smistati agli uffici competenti”. Per tali ragioni, le richieste dell’interessato “sono state riscontrate, e mai ignorate, ma non come avrebbero potuto – e dovuto – essere trattate”.

Eleven Sports ha comunque assicurato l’avvenuta risoluzione delle problematiche organizzative e si è impegnata ad adottare misure volte ad agevolare la disiscrizione degli utenti dalle newsletter e a cancellare i dati personali del reclamante che non sia necessario conservare ai sensi dell’art. 17, comma 3 del Regolamento.

2. VALUTAZIONI DI ORDINE GIURIDICO

Con riferimento ai profili fattuali sopra evidenziati, anche in base alle affermazioni della Eleven Sports di cui il dichiarante risponde ai sensi dell’art. 168 Codice, si formulano le seguenti valutazioni in relazione ai profili riguardanti la disciplina in materia di protezione dei dati personali.

Stando a quanto contenuto nel reclamo, il titolare non avrebbe mai fornito riscontro alle numerose richieste di esercizio dei diritti continuando ad inviare e-mail indesiderate. Sulla base di tale presupposto è stato formulato l’atto di avvio del procedimento ricordando che, ai sensi dell’art. 12, par. 2 del Regolamento, il titolare deve agevolare l’esercizio dei diritti e, in base al successivo par. 3, deve dare riscontro all’interessato entro un termine ragionevole e, al più tardi, entro 30 giorni.

Il rappresentante - solo in fase difensiva - ha dichiarato di aver sempre fornito tempestivo riscontro al reclamante, seppur in maniera imprecisa non avendo questi veicolato le richieste alle funzioni preposte. Di tali riscontri non è stata fornita copia, né sono state fornite indicazioni in merito al contenuto, alla data e all’indirizzo a cui sarebbero stati inviati. Tuttavia, si osserva che lo stesso reclamante, nella copiosa corrispondenza allegata al reclamo scrive “evitate di rispondermi nuovamente per posta elettronica ordinaria” (cfr. all. 15 al reclamo) lasciando pertanto supporre che tali riscontri siano stati effettivamente mandati all’interessato.

Si deve inoltre dare atto che le richieste del reclamante alla Società sono pervenute da indirizzi e-mail diversi, rendendone difficile l’identificazione, e sono state inviate a due indirizzi della Società che non corrispondono al recapito indicato nell’informativa privacy.

Infatti, dai numerosi allegati al reclamo, escludendo la richiesta del 27 novembre 2021 che aveva ad oggetto questioni di carattere contrattuale, risulta che la prima richiesta di opposizione è stata inviata il 29 novembre 2021 dall’indirizzo XX (indirizzo che peraltro non presenta alcun riferimento al nominativo del reclamante) ed era destinato per conoscenza all’indirizzo XX (allegando l’e-mail ricevuta allo stesso indirizzo). Tutte le successive richieste dell’avv. XX hanno avuto ad oggetto la cancellazione dei dati “sui miei due account di posta elettronica” senza mai menzionare quali fossero gli indirizzi da cancellare (e in particolare senza mai fare riferimento all’indirizzo XX).

Anche se non risulta agli atti una risposta della Società, si deve osservare che la ricezione delle e-mail all’indirizzo XX risulta interrotta dal 20 dicembre 2021 e le ulteriori e-mail indesiderate hanno continuato a pervenire solo all’indirizzo XX. Tuttavia l’avv. XX ha continuato ad inviare richieste, volte a chiedere la cancellazione, provenienti dall’indirizzo XX e dirette per conoscenza all’indirizzo XX, senza mai indicare quale fosse l’indirizzo (XX) al quale continuava a ricevere le email indesiderate (cfr. all. 22 e ss).

Inoltre, le richieste del reclamante hanno avuto origine da problematiche di carattere contrattuale - che in questa sede non rilevano - nel cui contesto è stata aggiunta un’impropria richiesta di cancellazione dei dati personali. Si ricorda infatti che, ai sensi dell’art. 17 del Regolamento, il diritto alla cancellazione dei dati opera solo se sussiste uno dei motivi indicati al par. 1 dello stesso articolo facendo salvo il diritto/dovere del titolare di conservare i dati per ragionevoli motivi e fermo restando il diritto dell’interessato di ottenere, anche solo in via parziale, la cancellazione di quei dati che non siano più necessari.

La richiesta del reclamante andrebbe allora più correttamente inquadrata nel diritto di opposizione alla ricezione di ulteriori newsletter, ricezione che, a quanto consta, avrebbe potuto anche essere interrotta cliccando sul link in calce alle e-mail ricevute (non risulta che il reclamante si sia avvalso di tale facoltà ma anzi ha sempre replicato sostenendo che “non sono io a dover prendere iniziative”).

Ciò premesso, occorre valutare diversamente il quadro delle responsabilità nel caso in esame alla luce degli elementi forniti dal rappresentante.

Con riguardo alla lamentata violazione del diritto di opposizione si deve riconoscere che la Società non avrebbe potuto ottemperare alla richiesta di interrompere l’invio di e-mail all’indirizzo XX poiché tale indirizzo non è stato mai indicato dal reclamante come oggetto dell’opposizione. In merito alla ricezione di messaggi all’indirizzo XX, a fronte di una richiesta del 29 novembre 2021, formulata nei modi anzidetti e proveniente da un indirizzo ignoto al titolare, si deve dare atto del fatto che il reclamante non ha più ricevuto email all’indirizzo XX dopo il 20 dicembre 2021 (cfr. allegati al reclamo). Pertanto, di fatto, la sua istanza risulta soddisfatta nel rispetto del termine di 30 giorni indicato dall’art. 12 del Regolamento e di conseguenza non sussiste la violazione dell’art. 21 del Regolamento.

Anche con riguardo all’asserito mancato rispetto del diritto di cancellazione dei dati, appreso che i dati erano stati acquisiti nell’ambito di un rapporto contrattuale, non è possibile, al momento, richiederne la cancellazione poiché il titolare è tenuto a conservarli finché ciò risulti  necessario per adempiere agli obblighi di legge. Pertanto non si ritiene sussistente neanche la violazione dell’art. 17 del Regolamento.

Resta comunque il fatto che il riscontro alle richieste dell’interessato avrebbe potuto essere più puntuale, anche solo per rappresentare la difficoltà di identificazione del richiedente e richiedere ulteriori elementi, così come previsto dall’art. 12, par. 6, del Regolamento, oppure per chiarire che la cancellazione di alcuni dati non era possibile ma si poteva invece esercitare l’opposizione al trattamento per l’invio di newsletter. Analoghe considerazioni possono essere fatte riguardo ai canali di comunicazione: se è pur vero che il reclamante non si è rivolto all’indirizzo e-mail indicato nell’informativa privacy, dovrebbe essere onere del titolare (soprattutto per un’impresa delle dimensioni di Empower Sports) adottare misure organizzative tali da identificare, per quanto possibile, le richieste pervenute indirizzandole alle funzioni competenti, indipendentemente da come siano state qualificate dagli interessati.

Ad ogni modo il rappresentante ha dichiarato che sono state introdotte misure correttive, che comprendono anche delle sessioni formative per il personale, per ottemperare in maniera più puntuale alle richieste degli interessati, impegnandosi ad adottare soluzioni volte ad agevolare l’opposizione alla ricezione delle newsletter.

Per tali ragioni, in assenza di istanze di carattere analogo nei confronti del titolare, si ritiene di poter soprassedere dall’applicazione di una sanzione di carattere pecuniario e di poter rivolgere, quale misura proporzionata e dissuasiva, un ammonimento al titolare, ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, in merito alla violazione dell’art. 12 del Regolamento richiamando l’importanza di adottare misure tecniche e organizzative adeguate a fornire un idoneo riscontro alle richieste degli interessati.

Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f) e dell’art. 58, par. 2, lett. b) del Regolamento, nei confronti di Empower Sports AG, con sede in Controva AG, Hoeschgasse 25, 8008 Zurigo, Svizzera, presso il proprio rappresentate per l’Europa Empower Sports Italia S.r.l., con sede in via Pietro Giannone 9, 20154, Milano, rivolge un ammonimento in merito alla violazione dell’art. 12 del Regolamento richiamando l’importanza di adottare misure tecniche e organizzative adeguate a fornire un idoneo riscontro alle richieste degli interessati;

DISPONE

ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 15 settembre 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei