[doc. web n. 10119750]

Provvedimento del 13 febbraio 2025

Registro dei provvedimenti
n. 73 del 13 febbraio 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE il dott. Agostino Ghiglia;

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

1.1. Premessa

Con comunicazione prot. n. 37333/310037 del 25 marzo 2024 (notificata in pari data mediante posta elettronica certificata), che qui deve intendersi integralmente richiamata, l’Ufficio ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento nei confronti di MDE – Movimento Diritti Europei s.r.l.s. (di seguito anche “MDE” o “Società”), in persona del rappresentante legale pro-tempore, con sede legale in Treviso, via Jacopo Bernardi n. 25/c, c.f. 05315450261.

Il procedimento trae origine da una istruttoria avviata a seguito della ricezione di un esposto con il quale alcune associazioni (XX, XX e XX), promotrici di un’azione collettiva nei confronti della XX (iscritta al registro generale del Tribunale di Venezia con il n. 172/2023), lamentavano talune condotte realizzate da MDE.

In particolare, premesso che l’azione collettiva avviata dalle associazioni aveva per oggetto il rimborso delle somme investite nell’acquisto di azioni emesse dalla predetta XX e che, all’epoca dell’esposto, il Tribunale di Venezia doveva ancora pronunciarsi sull’ammissibilità dell’azione medesima, alcuni azionisti della XX, aderenti alla class action, segnalavano alle tre associazioni la ricezione di comunicazioni inviate da MDE con le quali si invitavano gli stessi a partecipare ad alcuni incontri pubblici dedicati per l’appunto agli azionisti della Banca, prospettando la possibilità di “recuperare la svalutazione delle azioni subita nel corso degli anni”.

All’esposto, le tre associazioni allegavano gli inviti ricevuti dai loro associati, la modulistica predisposta da MDE per l’adesione ad una propria azione collettiva, modulistica comprensiva anche di una informativa per il trattamento dei dati personali, e alcune richieste per l’esercizio del diritto di accesso previsto dall’art. 15 del Regolamento (UE) 2016/679 (di seguito “Regolamento”), formulate dai medesimi associati nei confronti della Società, che sarebbero rimaste senza risposta.

1.2. La richiesta di informazioni formulata dall’Autorità

L’Ufficio, dopo aver verificato che, oltre all’esposto delle associazioni, risultavano pervenute all’Autorità anche alcune autonome segnalazioni da parte di azionisti della XX raggiunti dalle comunicazioni di MDE, provvedeva a inviare alla Società una richiesta di informazioni ed esibizione di documenti ai sensi dell’art. 157 del Codice, al fine di acquisire elementi per una compiuta valutazione del caso e per meglio comprendere il ruolo della Società e dell’ XX, più volte indicata nell’esposto pervenuto all’Autorità.

Dagli elementi forniti dalla Società in sede di riscontro emergeva che:

- MDE è una società che ha per oggetto sociale l’erogazione di servizi di assistenza stragiudiziale nella materia degli investimenti mobiliari, attività che svolge anche coordinando le iniziative in favore di più soggetti che le conferiscono specifico mandato;

- l’XX, sorta all’indomani della messa in liquidazione di XX e XX, è un’associazione senza scopo di lucro che ha come oggetto la tutela dei risparmiatori coinvolti nelle vicende societarie delle banche venete. La stessa, nella vicenda presa in esame, si sarebbe limitata a fornire, a richiesta, la modulistica delle iniziative di MDE nei confronti di XX;

- con riferimento alle iniziative sopra richiamate, MDE avrebbe operato nella veste giuridica del titolare dei trattamenti di dati personali finalizzati all’invio agli azionisti di XX di comunicazioni informative (in particolare relative agli incontri organizzati per intraprendere iniziative di recupero del valore degli investimenti effettuati con l’acquisto delle azioni della Banca);

- MDE ha inviato circa 15.000 comunicazioni informative tramite posta cartacea ad altrettanti azionisti della XX, acquisendo i nominativi da un elenco fornito proprio da un azionista della Banca e trattando quindi i dati del nome, cognome e indirizzo postale degli interessati;

- la base giuridica del trattamento risiederebbe nel legittimo interesse della Società a fornire informazioni sugli incontri organizzati;

- la comunicazione inviata agli interessati riportava, fra l’altro, l’indicazione del sito Internet della Società nel quale è presente la privacy policy di MDE;

- non erano stati previsti ulteriori trattamenti di dati personali da parte di MDE successivamente all’invio delle comunicazioni informative ad eccezione di quelli relativi agli interessati che, volontariamente, avevano deciso di aderire alle iniziative della Società. Tali soggetti, una volta acquisita la documentazione in distribuzione nel corso degli incontri (oppure recapitata previa richiesta da inoltrare tramite il sito della Società), prendevano visione di un’informativa sul trattamento dei dati personali e formalizzavano la loro adesione alle iniziative. Con riferimento ai successivi trattamenti, la base giuridica è quella prevista dall’art. 6, par. 1, lett. b), del Regolamento;

- con riferimento alle modalità in base alle quali la Società aveva garantito agli interessati l’esercizio dei diritti di cui agli artt. 15-22 del Regolamento, MDE ha rappresentato di aver ricevuto otto e-mail dagli interessati “con richieste rilevanti ai fini privacy”, per lo più di identico tenore, forma e struttura, senza chiarire se a tali richieste sia stato dato riscontro e in quali termini.

L’Ufficio prendeva visione dell’informativa presente nel sito Internet della Società, alla pagina https://www.dirittieuropei.com/privacy-policy

1.3. Contestazione delle violazioni

All’esito dell’istruttoria, l’Ufficio adottava il sopra richiamato atto di contestazione n. 37333/310037 del 25 marzo 2024 nel quale, in primo luogo, rilevava le condotte attribuibili alla società MDE s.r.l.s., quale autonomo titolare dei trattamenti di dati personali di azionisti della XX, contattati tramite l’invio di 15.000 missive cartacee al fine di informarli delle iniziative della Società a tutela degli investimenti mobiliari operati dai medesimi.

Quindi si osservava che MDE aveva dichiarato di aver acquisito l’elenco degli azionisti di XX, fornito da altro azionista, raccogliendo pertanto i dati relativi al nome, al cognome e all’indirizzo di recapito di ciascuno, associato allo status di socio della Banca e che tale raccolta di dati e il successivo trattamento finalizzato all’invio delle missive cartacee si configuravano come non leciti perché non sorretti da idonea base giuridica e non correlati ad una idonea informativa, rilasciata dalla Società nelle forme e nei termini previsti dall’art. 14 del Regolamento.

Sotto il profilo dei termini, la predetta informativa doveva essere fornita a ciascun azionista contattato quantomeno contestualmente all’invio della prima comunicazione, in base a quanto stabilito dal paragrafo 3 del richiamato articolo 14 del Regolamento, e sul punto non poteva ritenersi correttamente attuato tale adempimento semplicemente richiamando l’indirizzo del sito Internet della Società, dove era contenuta una sommaria informativa, peraltro riguardante solo i trattamenti connessi alla navigazione nel sito.

Con riferimento alla base giuridica dei trattamenti svolti dalla Società per l’invio delle informazioni agli azionisti di XX, l’Ufficio osservava che la stessa non poteva risiedere nel legittimo interesse di MDE a pubblicizzare le proprie iniziative, poiché non potevano ravvisarsi i requisiti di concretezza e attualità di tale interesse, non erano state esplicitate le modalità con le quali la Società avrebbe operato il bilanciamento del predetto interesse con i diritti e le libertà fondamentali degli interessati, né appariva sussistere una relazione pertinente e appropriata tra il titolare del trattamento e gli interessati, tale da far ritenere che questi ultimi potessero ragionevolmente attendersi che avesse luogo una raccolta di propri dati per finalità informativo-promozionali da parte di MDE.

L’Ufficio evidenziava altresì che, in linea generale, la base giuridica del legittimo interesse non può surrogare il consenso dell’interessato nelle ipotesi in cui lo stesso costituisca la condizione di liceità del trattamento ordinariamente prevista, e che, nel caso in argomento, nel rispetto dei principi di responsabilità e trasparenza, sarebbe stato necessario che MDE avesse provveduto alla concreta attuazione di misure adeguate per garantire i diritti degli interessati, e, in particolare, facilitare l’esercizio del diritto di opposizione, cosa che, dagli atti dell’istruttoria, non appariva emergere.

Infine, proprio con riferimento alle modalità con le quali MDE aveva previsto di garantire l’esercizio dei diritti degli interessati ai sensi degli artt. 15-22 del Regolamento, risultava, dalle dichiarazioni della Società e da quanto rappresentato dagli interessati medesimi, che le missive inviate da questi ultimi al fine di acquisire informazioni sul trattamento e ottenere la cancellazione dei propri dati erano rimaste prive di riscontro.

Le condotte sopra indicate, a parere dell’Ufficio, configuravano altresì la violazione dei principi di correttezza, trasparenza e responsabilizzazione di cui all’art. 5, parr. 1 e 2, del Regolamento.

Sulla scorta di quanto sopra osservato, l’Ufficio contestava a MDE le ipotizzate seguenti violazioni:

a) art. 5, parr. 1, lett. a), e 2; art. 6; art. 24 del Regolamento, per aver effettuato trattamenti costituiti dalla raccolta dei dati personali degli azionisti della XX e dall’invio ai medesimi di 15.000 comunicazioni informative sulle iniziative della Società MDE, in assenza di un’idonea base giuridica e in contrasto con i principi di liceità e responsabilizzazione;

b) art. 5, parr. 1, lett. a), e 2; art. 13 del Regolamento, per aver effettuato i sopra descritti trattamenti di dati personali senza aver rilasciato agli interessati un’idonea informativa, in contrasto con i principi di correttezza e trasparenza;

c) art. 12, parr. 2-4, in relazione agli artt. 15-22 del Regolamento, per aver omesso di fornire riscontro alle richieste di esercizio dei diritti formulate dagli interessati.

2. ESERCIZIO DEL DIRITTO DI DIFESA DA PARTE DEL TITOLARE

La Società, esercitando il proprio diritto di difesa, inviava all’Autorità una memoria difensiva con nota n. 50856 del 30 aprile 2024 e contestualmente faceva richiesta di audizione innanzi al Garante, audizione ritualmente svolta il 15 novembre 2024.

Nella memoria difensiva MDE in primo luogo ha osservato, con riferimento ai trattamenti in contestazione, che “di circa 15000 comunicazioni inviate, soltanto 8 destinatari hanno ritenuto di esercitare i propri diritti come interessati del trattamento per chiedere informazioni e la cancellazione dei dati. Al contrario, sono state alcune centinaia le persone che hanno partecipato agli incontri. Incontri che, lo si ricorda, erano a libero accesso e senza alcuna registrazione, perciò la relativa partecipazione non ha generato alcuna raccolta o trattamento di dati personali da parte di MDE. Così come sono state centinaia anche le persone che, ricevuta la lettera e partecipato agli incontri, hanno deciso di aderire all'iniziativa dl MDE, concludendo con la società un contratto […] Questi numeri devono condurre, anzitutto, a valutare correttamente il bilanciamento tra l'interesse di MDE a inviare la comunicazione informativa degli incontri e i diritti e le libertà fondamentali dei destinatari. Inoltre, i medesimi numeri consentono anche di valutare le caratteristiche dell'interesse di MDE e la pertinenza della relazione tra questa società e i destinatari. La netta sproporzione tra comunicazioni inviate (circa 15.000) e richieste di esercizio dei diritti degli interessati ricevute (8) conferma che la netta maggioranza degli interessati ha ritenuto che il trattamento non violasse i loro diritti e libertà. Invece, la circostanza che, prima, alcune centinaia di persone che hanno ricevuto la comunicazione abbiano partecipato agli incontri e che, poi, buona parte di esse si sia affidata a MDE per l'assistenza contro la banca che li ha traditi, conferma sia l'appropriatezza della relazione tra titolare del trattamento e interessati, sia la concretezza e l'attualità dell'interesse di MDE a svolgere il trattamento”.

Quindi, con riferimento alla carenza di informativa, la Società ha rappresentato che “le evidenze raccolte in questo procedimento […] confermano che i dati personali indicati (come, cognome e indirizzo postale) non sono stati trattati in altro modo o per altri fini e che sono cancellati di default da MDE appena terminate le operazioni di invio delle comunicazioni cartacee. Inoltre, si è già dato atto che al primo eventuale contatto successivo (cioè in occasione degli incontri di cui alla comunicazione inviata per posta), MDE metteva subito a disposizione degli interessati che vogliono aderire alle iniziative l'informativa privacy dedicata […]. A conferma dell'attenzione di MDE al corretto trattamento dei dati personali. Pertanto, anche richiamato quanto illustrato al paragrafo che precede, si ritiene che le evidenze emerse nel corso di questo procedimento confermino l'assenza di alcuna conseguenza per gli interessati in ragione della presunta assenza dell'informativa privacy con riferimento al trattamento di dati personali svolto prima degli incontri”.

Per quanto riguarda la contestazione relativa all’inidoneo riscontro alle richieste di esercizio dei diritti che gli otto interessati hanno rivolto a MDE, la Società ha prodotto il testo del riscontro fornito, mediante lettera, a uno dei predetti richiedenti, evidenziando che “risposte dello stesso tenore sono state date anche a tutti gli altri 7 interessati che si sono posti in comunicazione con la società per esercitare i diritti loro garantiti dal GDPR. Questi 7 hanno non soltanto inviato le mail agli atti del procedimento, ma hanno anche contattato telefonicamente la società MDE, parlando con il legale rappresentante che ha loro riferito i medesimi contenuti di cui alla mail di risposta sopra riportata. […] L'unica criticità che caratterizza la condotta in parola di MDE è l'assenza di prova scritta circa i riscontri forniti telefonicamente agli altri 7 interessati che hanno inviato mail: certamente una violazione del dovere di poter dimostrare l'adozione delle opportune misure di accountability, a cui MDE ha già posto rimedio prevedendo specifici manuali per la corretta gestione dei riscontri da fornire agli interessati”.

Nel corso dell’audizione i rappresentanti della Società hanno inteso aggiungere che “MDE è una realtà di recente costituzione, sorta nel 2022, e per questa ragione la sua strutturazione, anche per quanto riguarda l'implementazione delle procedure in materia di protezione dei dati personali, è stata progressiva e corrispondente al significativo successo che le proprie iniziative hanno riscosso. Ciò per premettere che eventuali disallineamenti, intervenuti nella fase iniziale della propria attività, sono stati già oggetto di analisi e di interventi, cosicché ad oggi si può ritenere che la Società abbia raggiunto un livello di conformità agli adempimenti privacy soddisfacente, che la stessa intende ancor più consolidare”.

Quanto alla modesta consistenza numerica dei soggetti che hanno esercitato i diritti ai sensi degli artt. 15-22 del Regolamento, a riprova della corrispondenza dei trattamenti con le aspettative degli interessati, la Società ha rappresentato che “le otto richieste di esercizio dei diritti risultavano tutte sostanzialmente identiche perché attivate su probabile impulso di organizzazioni competitor”.

MDE ha quindi illustrato gli interventi correttivi già posti in essere per rendere i trattamenti pienamente conformi alla normativa vigente: “in primo luogo, come detto, è stata operata una revisione completa dell'informativa […] e delle procedure interne, anche individuando il supporto di una figura professionale come Data Protection Officer. È stata altresì avviata una formazione specifica del personale (composto da tre unità, oltre al rappresentante legale che ha un ruolo operativo), che ha portato anche alla procedimentalizzazione delle attività di riscontro alle eventuali richieste di esercizio dei diritti. Sono state inoltre significativamente innalzate le misure di sicurezza, al fine di garantire l'integrità dei sistemi e dei dati personali ivi contenuti, tenuto conto della crescita in termini numerici degli affiliati. Infine, è stato interrotto immediatamente l'invio delle missive oggetto di contestazione, per cui ad oggi le iniziative della Società vengono pubblicizzate mediante attività di social media marketing e all'uopo è stata predisposta, per coloro che sono interessati, una landing page che reindirizza all'informativa della Società. Nel caso invece di volantinaggi, viene inserito nel messaggio un codice QR o un link che rimanda direttamente alla predetta informativa”.

La Società, pertanto, “alla luce della buona fede dimostrata, della leale collaborazione con l'Autorità, delle misure messe in atto, dell'assenza di precedenti violazioni in materia di protezione dei dati personali e dell'impegno per il futuro testimoniato anche dalla crescita della fiducia dei propri affiliati”, ha chiesto che l'odierno procedimento sia archiviato o almeno che gli eventuali provvedimenti correttivi siano improntati al principio di proporzionalità, riducendo al minimo i possibili impatti afflittivi.

3. VALUTAZIONI DELL’AUTORITÀ

Le argomentazioni addotte da MDE, pur improntate ad una leale collaborazione con l’Autorità e indicative di un apprezzabile impegno per il superamento delle criticità contestate, non sono idonee ad escludere la propria responsabilità in ordine alle violazioni contestate.

Quanto, infatti alla prima contestazione, trova conferma la circostanza che la Società abbia inviato 15.000 comunicazioni informative tramite posta cartacea ad altrettanti azionisti della XX, acquisendo i nominativi da un elenco fornito proprio da un azionista della Banca e trattando quindi i dati del nome, cognome e indirizzo postale degli interessati e lo stato di socio della banca.

Tali comunicazioni promuovevano le iniziative di MDE a tutela dei predetti azionisti e invitavano i medesimi a partecipare alle riunioni organizzate dalla Società MDE al fine di raccogliere adesioni all’azione collettiva in corso di svolgimento nei confronti della Banca. Deve rilevarsi che, nel caso in argomento assumono connotati di illiceità sia la raccolta dei dati riportati nell’elenco degli azionisti della Banca sia la comunicazione inviata ai 15.000 destinatari, da qualificarsi come comunicazione di natura informativo-promozionale.

Con riferimento al complessivo trattamento dei dati personali in questione, costituito non soltanto dall’invio delle comunicazioni ma anche dalla prodromica fase della raccolta dei dati personali degli interessati associati allo status di azionista della Banca, devono richiamarsi le osservazioni già esposte dall’Ufficio circa i requisiti sostanziali della base giuridica prevista dall’art. 6, par. 1, lett. f) del Regolamento per sorreggere la legittimità dei trattamenti stessi (concretezza e attualità dell’interesse; esplicitazione delle modalità del bilanciamento dell’interesse con i diritti e le libertà fondamentali degli interessati; sussistenza di una relazione pertinente e appropriata tra titolare del trattamento e interessati, tale da far ritenere che questi ultimi possano ragionevolmente attendersi il trattamento), requisiti che qui difettano come dimostra anche l’inidonea e irrituale modalità di raccolta dei dati.

In relazione alle considerazioni difensive della Società, deve altresì rilevarsi che la relazione appropriata e pertinente fra titolare e interessati, tale da far considerare ragionevolmente atteso il trattamento posto in essere, non può desumersi ex post dall’assenza di “reazioni” della maggioranza degli interessati stessi, ma deve risultare quale elemento sussistente prima della realizzazione del trattamento, elemento che risulti chiaramente esplicitato, così come quello del bilanciamento degli interessi in campo, in una rituale informativa nella quale siano anche indicate le modalità facilitate per esercitare il diritto di opposizione.

A ciò deve aggiungersi che, nel caso in argomento, attesa la natura informativo-promozionale delle comunicazioni realizzate da MDE, le stesse potevano essere legittimamente inviate solo se la Società avesse acquisito uno specifico consenso da parte di tutti gli interessati, come previsto dall’art. 130, comma 3, del Codice, poiché la vigente normativa esclude il ricorso alla base giuridica del consenso solo nel caso di dati tratti da elenchi telefonici pubblici, a norma del successivo comma 3-bis.

Per completezza va quindi ribadito che l’invocata base giuridica del legittimo interesse non può surrogare il consenso dell’interessato nelle ipotesi in cui lo stesso costituisca la condizione di liceità del trattamento ordinariamente prevista, né il titolare del trattamento può ricorrere retroattivamente alla base del legittimo interesse per sanare lacune nell’acquisizione del consenso, come nel presente caso (al riguardo vds. Linee guida del Gruppo Art. 29 sul consenso ai sensi del Regolamento (UE) 2016/679, 10 aprile 2018, WP 259 rev.01, come richiamate nel provvedimento del Garante n. 7 del 15 gennaio 2020, in www.gpdp.it, doc. web n. 9256486).

Con riferimento alla seconda contestazione, relativa alla idoneità dell’informativa va osservato che quella più volte richiamata dalla parte, riportata nel sito Internet della Società, non appare tale da far ritenere assolti gli obblighi del titolare di rendere edotti gli interessati sui trattamenti posti in essere, giacché la stessa risultava non esplicitamente richiamata nelle comunicazioni inviate (nelle quali era semplicemente riportato l’indirizzo web del sito) e comunque riguardava solo i trattamenti connessi alla navigazione nel sito medesimo, senza alcun accenno ai trattamenti svolti per l’invio delle comunicazioni informativo-promozionali, alla relativa base giuridica e alle modalità per l’esercizio dei diritti degli interessati.

Gli atti del procedimento evidenziano che un’informativa dalle caratteristiche di cui sopra non sia stata resa, quantomeno nei termini previsti dall’art. 14 del Regolamento, e cioè in concomitanza con la prima comunicazione promozionale.

Con riferimento, infine, alla terza contestazione, si prende atto delle dichiarazioni rese dalla parte relative alla circostanza che in sette casi su otto i riscontri alle richieste di esercizio dei diritti sono stati forniti agli interessati verbalmente o a seguito di contatto telefonico, evidenziando tuttavia che tale elemento appare insufficiente ad escludere la responsabilità di MDE posto che a richiesta espressa mediante il mezzo cartaceo deve corrispondere un riscontro dalle medesime caratteristiche, anche al fine di comprovare il corretto adempimento agli obblighi di cui all’art. 12 del Regolamento.

Sulla scorta delle considerazioni di cui sopra devono ritenersi confermate le violazioni indicate nell’atto di contestazione, ai punti a), b) e c).

Quanto alla portata di tali violazioni, pur ritenendo che le condotte poste in essere e il rilevante numero degli interessati coinvolti non consentano di qualificare le medesime come “violazioni minori”, deve assumere rilevanza, nel caso in argomento, la condotta proattiva della Società.

La stessa, infatti, oltre ad aver operato una revisione completa dell'informativa e delle procedure interne, anche individuando il supporto di una figura professionale come il DPO, ha dichiarato di aver avviato una formazione specifica del personale e procedimentalizzato le attività di riscontro alle eventuali richieste di esercizio dei diritti. La stessa ha altresì rappresentato di aver significativamente innalzato le misure di sicurezza, al fine di garantire l'integrità dei sistemi e dei dati personali ivi contenuti, tenuto conto della crescita in termini numerici degli affiliati.

Ciò che, tuttavia, assume maggiore rilevanza è l’interruzione dell'invio delle missive oggetto di contestazione, per cui ad oggi le iniziative della Società, in base a quanto dalla stessa dichiarato, vengono pubblicizzate mediante attività di social media marketing e all'uopo è stata predisposta, per coloro che sono interessati, una landing page che reindirizza all'informativa della Società. Nel caso invece di volantinaggi, viene inserito nel messaggio un codice QR o un link che rimanda direttamente alla predetta informativa.

Tali scelte rendono non necessaria l’adozione di misure correttive, ad eccezione del divieto di ulteriori trattamenti dei dati personali presenti nell’elenco degli azionisti di XX, acquisito da MDE da parte di un socio della Banca.

4. CONCLUSIONI

Per quanto sopra esposto si ritiene accertata la responsabilità di MDE in ordine alle seguenti violazioni:

a) art. 5, parr. 1, lett. a), e 2; art. 6; art. 24 del Regolamento, per aver effettuato trattamenti costituiti dalla raccolta dei dati personali degli azionisti della XX e dall’invio ai medesimi di 15.000 comunicazioni informative sulle iniziative della Società, in assenza di un’idonea base giuridica e in contrasto con i principi di liceità e responsabilizzazione;

b) art. 5, parr. 1, lett. a), e 2; art. 13 del Regolamento, per aver effettuato i sopra descritti trattamenti senza aver rilasciato agli interessati un’idonea informativa, in contrasto con i principi di correttezza e trasparenza;

c) art. 12, parr. 2-4, in relazione agli artt. 15-22 del Regolamento, per aver omesso di fornire riscontro alle richieste di esercizio dei diritti formulate dagli interessati.

Accertata altresì l’illiceità dei trattamenti presi in esame, si rende necessario:

- imporre a MDE, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, il divieto di ulteriori trattamenti dei dati presenti nell’elenco degli azionisti di XX, acquisito da un socio della Banca;

- adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di MDE della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento.

1. ORDINANZA-INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

Le violazioni sopra indicate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di MDE della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento (pagamento di una somma fino a € 20.000.000,00 ovvero, per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore);

Per la determinazione del massimo edittale della sanzione pecuniaria, occorre pertanto fare riferimento al fatturato di MDE, come ricavato dal bilancio ordinario di esercizio relativo all’anno 2023 e quindi si determina tale massimo edittale, nel caso in argomento, in euro € 20.000.000,00.

Per la determinazione dell’ammontare della sanzione occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento.

Nel caso in esame, assumono rilevanza:

1) la gravità delle violazioni (art. 83, par. 2, lett. a) del Regolamento), tenuto conto dell’oggetto e delle finalità dei trattamenti, riconducibili ad attività informativo-promozionali realizzate attraverso l’acquisizione dell’elenco soci della XX e l’invio di 15.000 comunicazioni informativo-promozionali ad altrettanti interessati;

2) quale fattore aggravante, il carattere significativamente negligente delle condotte della Società (art. 83, par. 2, lett. b) del Regolamento), la quale, nel qualificare la base giuridica dei trattamenti, non ha tenuto conto delle specifiche condizioni che rendono possibile l’applicabilità della base giuridica del legittimo interesse del titolare;

3) quale fattore attenuante, le misure poste in essere dalla Società per rimuovere gli effetti delle condotte illecite (art. 83, par. 2., lett. c) del Regolamento);

4) quale fattore attenuante, la circostanza che la Società non sia stata prima d’ora destinataria di un provvedimento correttivo e sanzionatorio da parte del Garante (art. 83, par. 2, lett. e) del Regolamento);

5) quale fattore attenuante, il grado di cooperazione con l’Autorità (art. 83, par. 2, lett. f) del Regolamento).

In base al complesso degli elementi sopra indicati, e ai principi di effettività, proporzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, e tenuto conto del necessario bilanciamento fra diritti degli interessati e libertà di impresa, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative e funzionali della Società, si ritiene debba applicarsi a MDE la sanzione amministrativa del pagamento di una somma di euro 15.000,00  (quindicimila/00), pari allo 0,075% della sanzione massima edittale.

Nel caso in argomento si ritiene che debba applicarsi anche la sanzione accessoria della pubblicazione sul sito del Garante della presente ordinanza ingiunzione, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della gravità delle violazioni e del disvalore delle condotte, con riferimento alla violazione delle disposizioni in materia di marketing cartaceo, nonché per il coinvolgimento di un rilevante numero di interessati.

Ricorrono infine i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIO’ PREMESSO IL GARANTE

a) impone a MDE, Movimento Diritti Europei s.r.l.s., in persona del rappresentante legale pro-tempore, con sede legale in Treviso, via Jacopo Bernardi n. 25/c, c.f. 05315450261, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, il divieto di ulteriori trattamenti dei dati presenti nell’elenco degli azionisti di XX, acquisito da un socio della Banca;

b) ingiunge a MDE, ai sensi dell’art. 157 del Codice, di comunicare all’Autorità, nel termine di trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alla misura imposta alla lettera a) del presente dispositivo; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento.

ORDINA

a MDE, di pagare la somma di euro 15.000,00 (quindicimila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 15.000,00 (quindicimila/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

a) la pubblicazione del presente provvedimento, ai sensi degli artt. 154-bis del Codice e 37 del Regolamento n. 1/2019, nonché l’applicazione della sanzione accessoria della pubblicazione sul sito del Garante della presente ordinanza di ingiunzione, come previsto dagli artt. 166, comma 7 del Codice e 16 del Regolamento del Garante n. 1/2019;

b) l’annotazione del presente provvedimento nel registro interno dell’Autorità - previsto dall’art. 57, par. 1, lett. u), del Regolamento, nonché dall’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante - relativo alle violazioni e alle misure adottate in conformità all'art. 58, par. 2, del Regolamento stesso.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 13 febbraio 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL VICE SEGRETARIO GENERALE
Filippi