VEDI ANCHE Newsletter del 28 giugno 2023

[doc. web n. 9899880]

Provvedimento del 17 maggio 2023

Registro dei provvedimenti
n. 202 del 17 maggio 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018 n. 101, recante disposizioni per l'adeguamento dell’ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal vice segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;   

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

Con reclamo del 21 luglio 2022 l’ing. XX ha lamentato la ricezione di e-mail promozionali indesiderate da parte della Grizzaffi Management S.r.l. (di seguito Grizzaffi o la Società). Il successivo 11 settembre, l’ing. XX ha integrato il reclamo facendo pervenire copia delle ulteriori e-mail ricevute nonostante l’opposizione manifestata il 17 luglio 2022.

Con pec dell’8 novembre 2022 la Grizzaffi, per il tramite del suo avvocato, ha dichiarato che l’invio delle e-mail era diretto, oltre che al reclamante, a professionisti del settore delle costruzioni e di aver estratto i nominativi da diversi elenchi pubblici (tra cui l’Elenco regionale dei certificatori della Regione Liguria). In particolare, la Società ha dichiarato di aver trattato tali dati in base ad un proprio legittimo interesse citando la “lettura del combinato disposto degli artt. 47 del GDPR e 130, comma 4, del d.lgs. 196/2003”. La stessa ha inoltre aggiunto che in calce alle e-mail era disponibile un link per la disiscrizione di cui il reclamante non si sarebbe mai avvalso. Inoltre, con riguardo alle lamentate e-mail ricevute dal reclamante dopo l’opposizione, la Società ha dichiarato che “in data 21.7.2022, a causa di un malfunzionamento del software gestionale, l’indirizzo e-mail dell’ing. XX, tempestivamente cancellato, era rimasto comunque registrato negli archivi della Grizzaffi e, erroneamente, veniva inviata un’ulteriore e-mail”. La Società ha comunque assicurato di aver successivamente provveduto alla cancellazione.

In replica a tali affermazioni, il reclamante ha fatto pervenire le ulteriori e-mail promozionali ricevute anche dopo la data del 21 luglio e, precisamente, fino al 16 ottobre 2022.

2. LA CONTESTAZIONE DELLE VIOLAZIONI

L’Ufficio ha provveduto a contestare le violazioni rilevate con l’atto di avvio del procedimento del 25 novembre 2022 prot.n. 71308/22, notificato a mezzo pec in pari data all’avvocato della Società munito di apposita procura.

Dandosi qui per interamente richiamate le motivazioni espresse nel menzionato atto, alla Grizzafi è stata contestata la violazione degli artt. 5, par. 1, lett. a); 6, par. 1, lett. a); 17 e 21 del Regolamento nonché dell’art. 130 del Codice, poiché l’invio di comunicazioni promozionali via e-mail è risultato effettuato senza il consenso degli interessati e non sono stati rispettati i diritti di cancellazione e opposizione esercitati dal reclamante.

All’atto di contestazione ha fatto seguito una memoria difensiva inviata dall’avvocato della Grizzaffi il 21 dicembre 2022, anch’essa da intendersi qui integralmente richiamata e riprodotta, con la quale, richiamando interamente quanto dedotto con la nota dell’8 novembre 2022, è stato trasmesso l’ultimo bilancio disponibile.

3. VALUTAZIONI DI ORDINE GIURIDICO

Con riferimento ai profili fattuali sopra evidenziati, anche in base alle affermazioni rese dalla Grizzaffi in corso di istruttoria, di cui il dichiarante risponde ai sensi dell’art. 168 del Codice, si formulano le seguenti valutazioni di ordine giuridico.

Si deve innanzitutto precisare che l’art. 47 del Regolamento UE 2016/679 (Regolamento) risulta impropriamente citato poiché esso è rubricato “norme vincolanti d’impresa”. È verosimile che il difensore avesse in realtà voluto far riferimento al considerando 47 del Regolamento che ipotizza l’utilizzo del legittimo interesse nei casi in cui si trattino i dati per attività di marketing diretto. Fermo restando che il valore giuridico dei considerando è puramente interpretativo e non prescrittivo, l’esempio di cui al menzionato considerando 47 non sarebbe invocabile nel caso di specie. Si deve infatti ricordare che l’attività promozionale svolta attraverso canali di comunicazione elettronica (quale è l’e-mail) soggiace alla speciale disciplina originata dalla direttiva 2002/58/CE, recepita nell’ordinamento italiano con il Titolo X del Codice in materia di protezione dei dati personali (Codice). In particolare, si richiama quanto disposto dall’art. 130 del Codice in base al quale l’invio di comunicazioni con modalità automatizzate è consentito solo con il consenso del contraente o utente potendosi ammettere una deroga unicamente nel caso in cui l’indirizzo e-mail sia stato rilasciato dall’interessato nel contesto di una vendita di beni o servizi analoghi. Tale specifica deroga è prevista dal comma 4 dell’art. 130 che la Società ha citato ma che non risulta applicabile nel caso di specie dal momento che le persone contattate, come l’ing. XX, non avevano rilasciato il proprio indirizzo e-mail nel contesto di un rapporto contrattuale pregresso non avendo alcuna conoscenza né del titolare né del trattamento.

Con riguardo all’utilizzo di fonti pubbliche per raccogliere dati destinati all’attività promozionale, il Garante si è più volte espresso. Come chiarito innanzitutto con le Linee guida in materia di attività promozionale e contrasto allo spam del 4 luglio 2013 “senza il consenso … non è possibile inviare comunicazioni promozionali con i predetti strumenti neanche nel caso in cui i dati personali siano tratti da registri pubblici, elenchi, siti web atti o documenti conosciuti o conoscibili da chiunque. Analogamente, senza il consenso preventivo degli interessati, non è lecito utilizzare per inviare e-mail promozionali gli indirizzi pec contenuti nell’indice nazionale degli indirizzi pec delle imprese e dei professionisti … istituito per favorire la presentazione di istanze, dichiarazioni e dati, nonché lo scambio di informazioni e documenti tra la pubblica amministrazione e le imprese e i professionisti in modalità telematica”. Più di recente  il Garante ha ribadito che la presenza dei dati in elenchi pubblici o in fonti liberamente accessibili, come i siti web o i social network, non ne autorizza l’utilizzo per finalità promozionali poiché tali finalità sono incompatibili con quelle originarie e pertanto non rientranti fra le legittime aspettative degli interessati.

È pertanto evidente che nessuna e-mail promozionale poteva essere inviata all’ing. XX, così come agli altri destinatari, senza un idoneo consenso. A tal riguardo non ha alcuna rilevanza il fatto che fosse disponibile un link per manifestare l’opposizione poiché, prima ancora del suo contenuto e delle eventuali misure di contenimento del pregiudizio, è lo stesso invio dell’e-mail ad essere illecito.

Per tali ragioni, si ritiene integrata la violazione dell’art. 6, par. 1, lett. a) del Regolamento e dell’art. 130 del Codice.

Il reclamante ha inoltre lamentato di aver continuato a ricevere e-mail promozionali nonostante la richiesta di opposizione manifestata via pec. A tal riguardo la Società ha dichiarato di aver provveduto a recepire la richiesta dell’ing. XX del 17 luglio 2022, ma di aver tuttavia inviato un’ulteriore e-mail il successivo 21 luglio a causa di un malfunzionamento del software gestionale che aveva conservato il recapito del reclamante nonostante la cancellazione. Si osserva tuttavia che l’ing. XX ha allegato anche alcune e-mail ricevute in data successiva al 21 luglio. Inoltre, come si evince dalle osservazioni inviate dal reclamante con pec del 9 novembre 2022, l’invio delle e-mail è proseguito anche nel mese di ottobre fino alla ricezione della richiesta di informazioni del Garante.

Per tali ragioni si ritiene integrata la violazione degli artt. 5, par. 1, lett. a), 17 e 21 del Regolamento.

Tutto ciò premesso - tenuto conto che la Società non ha mai dichiarato di aver interrotto la condotta limitandosi a cancellare i dati del reclamante - ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, si rende necessario imporre a Grizzaffi il divieto di trattare per finalità promozionali i dati personali, inseriti nella banca dati oggetto di istruttoria, per i quali non sia in grado dimostrare l’acquisizione di un idoneo consenso; in conseguenza di tale divieto, essendo illecito ogni trattamento di tali dati, compresa la conservazione, si ritiene necessario, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiungere a Grizzaffi di provvedere senza ritardo alla cancellazione di detti dati, fatti salvi quelli che sia necessario conservare per l’adempimento di un obbligo di legge (come ad esempio i dati dei soggetti che hanno acquistato servizi) o per la difesa di un diritto in sede giudiziaria e ferma restando l’inutilizzabilità di tali dati per ogni altra finalità per la quale sia previsto il consenso dell’interessato.

Inoltre, in considerazione dell’illiceità della condotta, si ritiene ricorrano i presupposti per l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 58, par. 2, lett. i) del Regolamento.

4. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

In base a quanto sopra rappresentato, risultano violate diverse disposizioni del Regolamento e del Codice in relazione a trattamenti collegati effettuati da Grizzaffi, per cui occorre applicare l'art. 83, par. 3, del Regolamento, in base al quale, se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento viola, con dolo o colpa, varie disposizioni del Regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave con conseguenziale applicazione della sola sanzione prevista dall’art. 83, par. 5, del Regolamento.

Ai fini della quantificazione della sanzione amministrativa il citato art. 83, par. 5, nel fissare il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore, specifica le modalità di quantificazione della predetta sanzione, che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1, del Regolamento), individuando, a tal fine, una serie di elementi, elencati al par. 2, da valutare all’atto di quantificarne il relativo importo.

In adempimento di tale previsione, ipotizzato, sulla base delle informazioni economico-finanziarie disponibili, ossia sull’ultimo bilancio depositato (31 dicembre 2021), il ricorrere della prima ipotesi prevista dal citato art. 83, par. 5 e quantificato quindi in 20 milioni di euro il massimo edittale applicabile, devono essere considerate le seguenti circostanze aggravanti:

1. l’ampia portata dei trattamenti dato che, come confermato dalla stessa Società, l’attività promozionale ha riguardato nominativi inseriti in diversi elenchi pubblici e tenuto conto che la Grizzaffi ha dichiarato di aver cancellato solo i dati del reclamante ritenendo corretto il proprio operato (art. 83, par. 2, lett. a), del Regolamento);

2. la gravità delle violazioni rilevate, in ragione del fatto che i dati sono stati oggetto di trattamento per finalità promozionale, non solo in assenza di consenso, ma nella totale inconsapevolezza degli interessati, del Regolamento) e che in merito al divieto di utilizzo di dati acquisiti con le modalità in questione, il Garante si è espresso da lungo tempo e a più riprese (art. 83, par. 2, lett. a);

Quali elementi attenuanti, si ritiene di poter tener conto:

1. del carattere colposo della violazione, avendo la Società ritenuto di agire in buona fede effettuando un’attività che non ne costituisce il core business ma è del tutto accessoria all’attività imprenditoriale (art. 83, par. 2, lett. b), del Regolamento);

2. della predisposizione di un link di disiscrizione in calce alle e-mail che costituisce una, seppur minima, misura di contenimento dei potenziali danni per gli interessati pur non essendo di per sé sufficiente a sostituire il requisito del consenso (art. 83, par. 2, lett. c) del Regolamento);

3. dell’assenza di precedenti violazioni pertinenti commesse dal titolare del trattamento (art. 83, par. 2, lett. e), del Regolamento);

4. del grado di cooperazione nell’interazione con l’Autorità di controllo (art. 83, par. 2, lett. f), del Regolamento);

5. della natura dei dati trattati, consistenti in dati comuni anagrafici e di contatto (art. 83, par. 2, lett. g) del Regolamento);

In una complessiva ottica di necessario bilanciamento fra diritti degli interessati e libertà di impresa, tenuto conto che la Società ha presentato un bilancio semplificato in quanto microimpresa, in via di prima applicazione delle sanzioni amministrative pecuniarie previste dal Regolamento, occorre valutare prudentemente i suindicati criteri, anche al fine di limitare l’impatto economico della sanzione.

Pertanto si ritiene che - in base al complesso degli elementi sopra indicati - debba applicarsi a Grizzaffi la sanzione amministrativa del pagamento di una somma di euro 10.000,00 (diecimila) pari allo 0,05% della sanzione edittale massima di 20 milioni di euro.

Si rileva che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Si ritiene altresì – in considerazione della portata delle violazioni rilevate - che, ai sensi dell’art. 166, comma 7, del Codice, e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento nel sito web del Garante, a titolo di sanzione accessoria.

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecito il trattamento descritto nei termini di cui in motivazione effettuato dalla Grizzaffi Management Srl, con sede in Corleone (PA), via Roma 35-37, P.IVA n. 05847910824;  

b) ai sensi dell’art. 58, par. 2, lett. f) impone a Grizzaffi Management Srl il divieto di trattare per finalità promozionali i dati personali, inseriti nella banca dati oggetto di istruttoria, per i quali non sia in grado dimostrare l’acquisizione di un idoneo consenso;

c) in conseguenza di tale divieto, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiunge a Grizzaffi Management Srl  di provvedere senza ritardo alla cancellazione di detti dati, fatti salvi quelli che sia necessario conservare per l’adempimento di un obbligo di legge (come ad esempio i dati dei soggetti che hanno acquistato servizi) o per la difesa di un diritto in sede giudiziaria e ferma restando l’inutilizzabilità di tali dati per ogni altra finalità per la quale sia previsto il consenso dell’interessato.

ORDINA

ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, alla Grizzaffi Management Srl, in persona del suo legale rappresentante, di pagare la somma di euro 10.000,00 (diecimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 10.000,00 (diecimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981;

DISPONE

a) ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante;

b) ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.

Si ricorda che, ai sensi dell’art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto del trattamento è punito con la reclusione da tre mesi a due anni e che, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e) del Regolamento.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 17 maggio 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL VICE SEGRETARIO GENERALE
Filippi