[doc. web n. 10137451]

Provvedimento del 13 marzo 2025

Registro dei provvedimenti
n.  160 del 13 marzo 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presentato dal sig. XX in data 27/03/2024, ai sensi dell’art. 77 del Regolamento, con cui è stata lamentata una violazione della disciplina in materia di protezione dei dati personali da parte di Mamify Italia s.r.l.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

PREMESSO

1. Il reclamo nei confronti della Società e l’avvio dell’attività istruttoria.

Con il reclamo presentato a questa Autorità il 27/3/2024, il Sig. XX ha lamentato di non avere ottenuto alcun riscontro all’istanza di cancellazione dei dati personali che lo riguardano, avanzata il 15/01/2024, ai sensi dell’art. 17 del Regolamento, nei confronti di Mamify Italia s.r.l. (di seguito “Mamify” o “la Società”).

Con nota datata 6/6/2024, l’Autorità ha avviato l’istruttoria preliminare, invitando la Società a fornire osservazioni in ordine a quanto lamentato dal reclamante e ad aderire alle richieste dello stesso.

Considerato che la comunicazione, regolarmente notificata all’indirizzo pec della Società, non ha ricevuto riscontro, è stata reiterata in data 12/9/2024, ai sensi dell’art. 157 del Codice.

A fronte del mancato riscontro anche a tale ultima richiesta di informazioni, l’Ufficio ha delegato il Nucleo tutela privacy e frodi tecnologiche della Guardia di finanza a procedere alla notifica di una nuova richiesta di informazioni e dell’atto di avvio del procedimento sanzionatorio ai sensi dell’art. 166, comma 5, del Codice, in relazione alla violazione dell’art. 157 del Codice stesso (nota del 9/10/2024) per la mancata risposta alla richiesta istruttoria dell’Autorità.

Entrambi gli atti sono stati notificati alla Società, in data 24/10/2024, come risulta dal verbale di operazioni compiute redatto dal Nucleo in pari data; nello stesso, il Nucleo medesimo, dopo aver dato atto di non aver rinvenuto nessuno presso la sede legale della Società, ha rappresentato di essersi recato presso il domicilio del rappresentante legale (Sig. XX) dove è riuscito a prendere contatti con il medesimo.

Quindi, nel pomeriggio dello stesso giorno, il Sig. XX, nella sua qualità di amministratore unico/rappresentante legale della Società, si è recato presso gli uffici della Guardia di finanza di Torino, prendendo atto di quanto notificatogli e impegnandosi a fornire ogni dovuto riscontro all’Autorità nel termine 30 giorni; nella circostanza ha anche dichiarato che:

a seguito di un controllo effettuato dalla “Sig.ra XX […] socia al 5% della società”, è emerso che le comunicazioni inviate via pec dall’Autorità, rispettivamente il 6 giugno e 12 settembre 2024, sono “regolarmente pervenute all’indirizzo pec della società. Le stesse devono essere sfuggite ma non era nostra intenzione non rispondere all’Autorità Garante”; in ogni caso, “la Società aveva già dato risposta all’avvocato del reclamante con pec del 1° maggio 2024 facendo presente che per la cancellazione dei dati personali […] occorreva rivolgersi alla società di Gibilterra denominata “Condividiamo Ltd””;

la società Mamify “collabora e gestisce la rete commerciale della … società "Condividiamo Ltd" la quale detiene ed è titolare del trattamento dei dati personali di tutti gli utenti iscritti all'App denominata "Mamify", tra i quali risulta il reclamante signor XX”. Per questa ragione, “con la citata pec del 1° maggio 2024 [di cui ha prodotto copia] è stato fatto presente all'avvocato del reclamante che per la cancellazione dei dati personali del signor XX occorre rivolgersi direttamente alla citata "Condividiamo Ltd", proprietaria della suindicata App "Mamify" e società che è in possesso dei dati personali dello stesso XX in quanto iscritto all'App. Faccio anche presente che l'App "AITORO", indicata nel reclamo presentato dal signor XX, è sempre di proprietà della "Condividiamo Ltd";

“la Società non è in possesso dei dati personali del reclamante, se non quelli inviati tramite pec del 15 gennaio 2024 per il tramite dell’avvocato XX, né tantomeno dei dati personali degli iscritti alle due App in precedenza citate. ln merito devo anche far presente che, pur collaborando con la "Condividiamo Ltd", non sono in possesso delle credenziali di autenticazione che mi consentano di effettuare operazioni sulle banche dati delle App in questione; sono solo in possesso delle credenziali di autenticazione, che mi consentono di accedere alle due App in qualità di semplice utilizzatore/utente”.

2. La notifica delle violazioni e la memoria difensiva.

Con comunicazione del 30/1/2025, l’Ufficio ha notificato alla Società l’atto di avvio del procedimento sanzionatorio ai sensi dell’art. 166, comma 5, del Codice per la violazione degli artt. 12, par. 3 e 4 e 17 del Regolamento.

Con nota del 5/2/2025, Mamify ha fatto pervenire i propri scritti difensivi, ai sensi dell’art. 18 della legge n. 689/1981, con i quali, nel ribadire quanto già in precedenza affermato in ordine alla impossibilità, per la Società, “di gestire i dati della società Condividiamo LTD in quanto non in possesso di credenziali di accesso dei relativi server di proprietà della CondividiamoLTD”, ha evidenziato che:

il reclamante, “in data 24.01.2024 aveva contattato la società Condividiamo LTD, tramite chat whatsapp, facendo presente della [richiesta di] cancellazione dei suoi dati dalle relative piattaforme fatta per tramite del suo legale in data 15.01.2024; la società Condividiamo ha cancellato ogni dato del Sig. XX da tutte le piattaforme di loro competenza [come da messaggio prodotto in allegato] nella medesima data del 24.01.2024, facendo presente al cliente che era sufficiente inviare una mail alla Condividiamo in modo che questa richiesta venisse evasa il prima possibile”;

dunque, “(…) la mancanza della Mamify Italia srl” non può che essere il fatto di “avere risposto in ritardo alla mail dell’avvocato, nonostante la cancellazione dei dati del Sig. XX fosse già avvenuta nelle tempistiche e dalla società corretta, come indicato nella conversazione del 24.01.2024 al diretto interessato”.

3. L’esito dell’istruttoria.

All’esito dell’esame della documentazione prodotta e delle dichiarazioni rese dalla parte nel corso del procedimento, premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice, risulta accertato quanto segue.

In primo luogo, occorre rilevare che la Società ha omesso di fornire riscontro alla richiesta di informazioni formulata dall’Autorità, ai sensi dell’art. 157 del Codice ove era espressamente riportato che “in caso di inottemperanza alla presente richiesta, sarà applicata la sanzione amministrativa pecuniaria prevista dall’art. 166, comma 5, del Codice”.

In proposito si evidenzia, peraltro, che il mancato riscontro alla citata richiesta di informazioni ha reso necessario il coinvolgimento del Nucleo privacy della Guardia di finanza, con conseguente aggravio del procedimento in termini di costi e di tempi.  

In secondo luogo, la Società ha omesso di fornire riscontro alla richiesta di cancellazione formulata dal reclamante entro il termine previsto dall’art. 12, par. 3 del Regolamento (“senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta”); né ha provveduto a informare l’istante, entro il medesimo termine, dei motivi dell'inottemperanza nonché della possibilità di proporre reclamo a un'autorità di controllo o un ricorso giurisdizionale (art. 12, par. 4 del Regolamento).

All’esito dell’istruttoria, è emerso infatti che la Società, solo in data 1° maggio 2024 (ovvero successivamente alla presentazione del reclamo all’Autorità ma prima dell’apertura dell’istruttoria da parte della stessa), ha comunicato all’interessato - per il tramite del suo avvocato - che per la cancellazione dei suoi dati personali era necessario rivolgersi ad altra società  (Condividiamo Ltd, con sede in Gibilterra).

Deve invece ritenersi che, per quanto riguarda la richiesta di “ingiungere al titolare del trattamento di soddisfare le richieste di esercizio dei diritti di cui agli artt. da 15 a 22 del Regolamento”, considerato che nella memoria difensiva la Società ha dichiarato di non detenere alcun dato riferito al reclamante (oltre quelli originati dall’istanza ex art. 17 del Regolamento) e che alla cancellazione degli stessi ha provveduto la società Condividiamo Ltd il 24/1/2024 (come risulta anche da screenshot prodotto in allegato alla memoria), non sussiste il presupposto per l’adozione di un provvedimento ingiuntivo da parte dell’Autorità (art. 58, par. 2, lett. c) e d)).

4. Conclusioni: dichiarazioni di illiceità del trattamento. Provvedimenti correttivi ai sensi dell’art. 58, par. 2 del Regolamento.

Alla luce di quanto complessivamente rilevato, l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentano di superare appieno i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultino pertanto inidonee a disporre l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Risulta infatti accertato che la condotta posta in essere Mamify Italia s.r.l., in relazione al tardivo riscontro all’istanza di cancellazione avanzata dal reclamante, è illecita, nei termini su esposti, in relazione agli artt. 12, par. 3 e 4 del Regolamento.

Per tale ragione il reclamo deve ritenersi fondato e l’Autorità, nell’esercizio dei poteri correttivi di cui all’art. 58, par. 2, del Regolamento, dispone l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) Regolamento).

OMISSIS

TUTTO CIÒ PREMESSO, IL GARANTE

rileva l’illiceità del trattamento effettuato da Mamify Italia s.r.l., in persona del legale rappresentante pro tempore, con sede legale in Via Dante, 3 - 10098 - RIVOLI (TO, P.I. 11966500016, per la violazione dell’art. 12, par. 3 e 4 del Regolamento e dell’art. 157 del Codice;

OMISSIS

DISPONE

ai sensi dell’art. 154-bis, comma 3, del Codice e dell’art. 37 del regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet del Garante;

ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019la pubblicazione del presente provvedimento sul sito web del Garante, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 13 marzo 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei