[doc. web n. 10048984]

Provvedimento del 20 giugno 2024

Registro dei provvedimenti
n. 381 del 20 giugno 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il Prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il reclamo presentato dalla signora XX in data 24/04/2021, ai sensi dell’art. 77 del Regolamento, con cui è stata lamentata una violazione della disciplina in materia di protezione dei dati personali da parte di Sereni Hair s.r.l.;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

PREMESSO

1.    L’avvio del procedimento.

Con il reclamo presentato a questa Autorità in data 24/04/2021, la signora XX ha lamentato una violazione della disciplina in materia di protezione dei dati personali, da parte di Sereni Hair s.r.l. (di seguito “la Società”), che avrebbe raccolto i suoi dati personali (nome e cognome, indirizzo, numero di telefono e indirizzo e-mail), in occasione dell’acquisto di alcuni prodotti e del loro pagamento in modalità elettronica, quale condizione necessaria per consentire all’interessata la partecipazione alla c.d. “lotteria degli scontrini”, omettendo di fornirle un’idonea informativa ai sensi dell’art. 13 del Regolamento.

L’Ufficio, pertanto, formulava una richiesta di informazioni nei confronti della Società, ai sensi dell’art. 157 del Codice, al fine di conoscere i presupposti di liceità alla base del trattamento posto in essere e le modalità con cui provvede a fornire l’informativa agli interessati (nota del 28/09/2021).

La Società faceva pervenire le proprie osservazioni in ordine a quanto lamentato con il reclamo, con comunicazione del 26/10/2021, nella quale rappresentava che:

- la reclamante ha acquistato dei prodotti presso il salone chiedendo di partecipare alla cd. lotteria degli scontrini. “Senonché, tenuto conto dell’organizzazione dell’attività lavorativa, la cassa presente nello store, cui sono dedicate unità di personale dipendente appositamente formate per la gestione della vendita al dettaglio dei prodotti e della lotteria degli scontrini, è la sola ad essere direttamente connessa con il sistema dell’Agenzia delle Entrate”;

- “detto registratore di cassa consente di scansionare tramite apposito lettore il codice lotteria al momento del pagamento”;

- nel caso di specie, la reclamante ha effettuato il pagamento presso la cassa presente nel salone che è integrato al sistema gestionale. “Pertanto, anche il sistema di trasmissione alla lotteria degli scontrini tramite questo registratore non può prescindere dalla creazione, anche solo temporanea, con successiva revoca del consenso al trattamento, di una scheda cliente”;

- “Il personale addetto aveva precise istruzioni, ricevute da parte del titolare del trattamento (…) di acquisire il consenso per la creazione della nuova scheda ovvero di chiedere al Cliente di rivolgersi esclusivamente alla cassa dello Store. La Sig.ra (…) ha coscientemente deciso di procedere con l’operazione presso la cassa dedicata al Salone conferendo i propri dati personali per procedere con la creazione della scheda cliente”.

Alla luce delle dichiarazioni rese, l’Ufficio provvedeva a notificare alla Società l’atto di avvio del procedimento, ai sensi dell’art. 166, comma 5, del Codice in relazione alla violazione degli artt. 5, par. 1, lett. a) e c), 6 e 13 del Regolamento (atto del 07/12/2021). 

La Società, in data 06/01/2022, inviava propri scritti difensivi, ai sensi dell’art. 18 della legge n. 689/1981, con i quali ribadiva le argomentazioni già addotte nel corso dell’istruttoria, precisando che i dati conferiti dall’interessata sono stati utilizzati dal titolare del trattamento esclusivamente per consentire la partecipazione alla “Lotteria degli scontrini” e per nessun'altra finalità. Veniva, poi, precisato che:

- “il personale, come da procedure interne alla Società, ha necessariamente comunicato la necessità, per utilizzare il registratore di cassa del Salone, di creare una “scheda cliente”, fornendo idonea comunicazione in tal senso e richiamando l’informativa esposta accanto al registratore medesimo. Anche a fronte di contestazioni dell’interessata, il personale avrebbe illustrato nuovamente le procedure, specificando ulteriormente le ragioni che, in relazione a quel solo registratore di cassa, portavano a dover richiedere, anche temporaneamente, il conferimento dei dati, in base all’informativa (disponibile accanto la cassa stessa) e acquisendo il consenso”;

-    a seguito della presentazione del reclamo, è stata effettuata una nuova valutazione della compliance aziendale mediante adozione di misure correttive per la riduzione di eventuali rischi. In particolare, “al fine di restituire maggiore linearità alla gestione dei dati personali nell’ambito delle procedure aziendali, è stato previsto l’utilizzo di un solo ed unico registratore di cassa per la partecipazione alla Lotteria degli Scontrini, quello dello Store, che è direttamente collegato al sistema dell’Agenzia delle Entrate, che esclude completamente la gestione dei dati personali comuni delle clienti non registrate”. 

2.    L’esito dell’istruttoria.

All’esito dell’esame della documentazione prodotta e delle dichiarazioni rese dalla parte nel corso del procedimento, premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice, è emerso che la Società ha effettuato un trattamento di dati personali riferiti alla reclamante, consistenti nel nome, cognome, indirizzo, numero di telefono e indirizzo e-mail, in violazione dei principi di liceità, correttezza e trasparenza (art. 5, par. 1, lett. a) e del principio di minimizzazione (art. 5, par. 1, lett. c). 

Risulta, inoltre, accertato che il trattamento dei dati personali è avvenuto in assenza di uno dei presupposti di liceità di cui all’art. 6, par. 1, del Regolamento e dell’informativa di cui all’art. 13 del medesimo Regolamento. 

Con riferimento al caso di specie, deve preliminarmente osservarsi che la disciplina afferente alla cd. “Lotteria degli scontrini” è contenuta nella Legge 11 dicembre 2016 n. 232 la quale prevede che il contribuente comunichi all’esercente, ai fini della partecipazione all’estrazione, esclusivamente il proprio codice lotteria, per consentire l’abbinamento allo scontrino elettronico (art. 1, comma 540, della legge 232/2016). 

Nel rispetto del principio di minimizzazione dei dati (art. 5, par. 1, lett. c) del Regolamento), in nessuna fase del programma (dalla registrazione al portale alla generazione del codice lotteria fino al momento dell’acquisto), è prevista l’identificazione di chi chiede e di chi utilizza il codice lotteria da parte dell’esercente. 

Sotto questo profilo, dunque, la raccolta dei dati personali della reclamante ai fini della creazione della cd. “scheda cliente” effettuata dalla Società costituisce un trattamento di dati personali che non ha alcuna attinenza con la partecipazione alla lotteria degli scontrini, dovendosi invece ricondurre al perseguimento di finalità ulteriori. 

Né possono essere accolte le argomentazioni della Società secondo cui, alla base del trattamento, ci sarebbe stata una necessità di carattere organizzativo e/o tecnico dovuta alla presenza di un gestionale legato al registratore di cassa.

Ciò posto, considerato che, in base all’art. 5, par. 1, lett. c), del Regolamento i dati personali devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”, deve rilevarsi come nel caso in esame il trattamento sia avvenuto in violazione del principio di minimizzazione dei dati. 

Sotto altro profilo, si osserva che, contrariamente a quanto sostenuto dalla Società, non risulta documentata in atti la predisposizione di un’informativa idonea a rappresentare agli interessati, in modo conciso e trasparente, le specifiche finalità e modalità del trattamento dei dati connesso alla creazione della cd. “scheda cliente”, e la necessità del conferimento dei dati, rispetto all’ulteriore finalità della partecipazione alla cd. “lotteria degli scontrini”. 

La semplice comunicazione ai clienti della possibilità di partecipare alla lotteria degli scontrini, infatti, non risponde in alcun modo ai requisiti previsti dall’art. 13 del Regolamento e, pertanto, non può essere qualificata come informativa.

Pertanto, deve confermarsi il rilevo, già notificato alla Società, in base al quale i dati sono stati trattati in violazione dei principi di liceità, correttezza e trasparenza e in assenza di un’idonea informativa.

In ultimo, con riferimento all’argomentazione addotta dalla Società secondo cui il trattamento è stato effettuato sulla base del consenso espresso dell’interessato, si richiama l’attenzione sulla disposizione di cui all’art. 6, par. 1, lett. a) nonché di quanto espresso nei cons. 42 e 43 del Regolamento, in particolare nella parte in cui si chiarisce che “il consenso non dovrebbe essere considerato liberamente prestato se l’interessato non è in grado di operare una scelta autenticamente libera o è nell’impossibilità di rifiutare o revocare il consenso senza subire pregiudizio”. 

Nel caso di specie, la circostanza che la creazione della scheda cliente fosse richiesta come condizione per partecipare alla lotteria degli scontrini, fa sì che il consenso manifestato dall’interessato non possa ritenersi liberamente prestato. 

A ciò si aggiunga la considerazione relativa al fatto che la Società non ha in alcun modo comprovato quanto sostenuto in relazione all’acquisizione del consenso a fronte di una chiara rappresentazione del trattamento da effettuare (“per i trattamenti basati sul consenso, il titolare del trattamento dovrebbe essere in grado di dimostrare che l’interessato ha acconsentito al trattamento”, cons. 42).   

3.    Conclusioni: illiceità dei trattamenti effettuati. Provvedimenti correttivi ai sensi dell’art. 58, par. 2, del Regolamento.

Alla luce delle valutazioni che precedono, si rileva che le dichiarazioni rese dal titolare del trattamento negli scritti difensivi ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗  non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentirne l’archiviazione, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del regolamento del Garante n. 1/2019, concernente le procedure interne all’Autorità aventi rilevanza esterna.

Risulta, quindi, accertato che la condotta posta in essere dalla Società, consistente in un trattamento di dati personali in assenza di idonei presupposti di liceità (art. 6 del Regolamento), nonché in violazione del principio di trasparenza e di minimizzazione (artt. 5, par. 1, lett. a) e c), e 13 del Regolamento), possa essere considerata quale “violazione minore” nei termini di cui in motivazione. 

Preso atto di tutti gli elementi acquisiti nel corso dell’istruttoria, in particolare tenuto conto del numero di interessati coinvolti (uno), dell’assenza di precedenti violazioni pertinenti e della condotta complessivamente tenuta dal Società che ha prontamente apportato correzioni alla gestione dei dati personali, documentate in maniera adeguata,  si ritiene che il caso possa essere qualificato come “violazione minore” ai sensi dell’art. 83, par. 2 e cons. 148 del Regolamento. 

Tenuto inoltre conto che, ai sensi del considerando 148 del Regolamento, “in caso di violazione minore o se la sanzione pecuniaria che dovrebbe essere imposta costituisse un onere sproporzionato per una persona fisica, potrebbe essere rivolto un ammonimento anziché imposta una sanzione pecuniaria”, si ritiene sufficiente ammonire il titolare del trattamento ai sensi dell’art. 58, par. 2, lett. b), del Regolamento.

Si rappresenta, inoltre, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

rileva l’illiceità del trattamento effettuato da Sereni Hair s.r.l., in persona del legale rappresentante pro-tempore, con sede in Pisa, Piazza Giuseppe Toniolo, P.I. 02390520506,  nei termini di cui in motivazione, per la violazione degli artt. 5, par. 1, lett. a) e c), 6 e 13 del Regolamento;

ai sensi dell’art. 58, par. 2, lett. b), del Regolamento ammonisce Sereni Hair s.r.l., quale titolare del trattamento in questione, per aver effettuato un trattamento di dati personali in violazione della disciplina in materia di protezione dei dati personali;

DISPONE

l’annotazione nel registro interno dell’Autorità delle violazioni e delle misure adottate ai sensi dell’art. 58, par. 2, del Regolamento con il presente provvedimento, come previsto dall’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 20 giugno 2024

IL PRESIDENTE
Stanzione

 IL RELATORE
Scorza

                                IL SEGRETARIO GENERALE
Mattei