g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di T.S.M. s.r.l. - 27 gennaio 2022 [9746068]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9746068]

Ordinanza ingiunzione nei confronti di T.S.M. s.r.l. - 27 gennaio 2022*

*Il provvedimento è stato impugnato

Registro dei provvedimenti
n. 23 del 27 gennaio 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE il prof. Pasquale Stanzione;

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

1.1. Premessa

Con atto n. 56828/21 del 12 novembre 2021 (notificato in pari data mediante posta elettronica certificata), che qui deve intendersi integralmente riprodotto, l’Ufficio ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento nei confronti di T.S.M. s.r.l. (di seguito “TSM” o “la Società”), in persona del legale rappresentante pro-tempore, con sede legale in Roma, via di Tor Vergata 180, C.F. 15272401009.
Il procedimento trae origine da una istruttoria avviata dall’Autorità, a seguito della ricezione di un reclamo con il quale un interessato ha lamentato l’incompleto riscontro fornito da TSM ad una richiesta di esercizio dei diritti volta ad ottenere informazioni sui trattamenti dei propri dati (art. 15 del Regolamento), nonché la cancellazione degli stessi dagli archivi societari (art. 17) e ad esprimere opposizione ad ulteriori trattamenti da parte della Società (art. 21, par. 1).

Come emerge dall’atto di reclamo, l’interessato, per partecipare ad un corso di formazione professionale, riceveva dagli organizzatori alcuni moduli da restituire compilati, cosa che lo stesso faceva, accorgendosi però che questi erano intestati a TSM e non al soggetto che lo aveva originariamente contattato (“XX”). Richieste spiegazioni agli organizzatori, gli stessi fornivano informazioni che il reclamante riteneva non soddisfacenti, per cui il medesimo decideva di formulare richiesta di accesso ai dati, di cancellazione e di opposizione ai sensi degli artt. 15, 17 e 21 del Regolamento, nei confronti della Società. Quest’ultima forniva riscontro comunicando la cancellazione di tutti i dati del reclamante dai propri archivi, ma senza fornire allo stesso le informazioni richieste ai sensi dell’art. 15 del Regolamento e senza assicurare di aver preso atto dell’opposizione dell’interessato a futuri trattamenti.

1.2. Le richieste di informazioni formulate dall’Autorità

L’Ufficio, una volta ricevuto il reclamo, ha provveduto ad avviare la necessaria istruttoria invitando la Società, con nota del 4 marzo 2021, notificata nella medesima data mediante posta elettronica certificata, a fornire la propria versione dei fatti ed eventualmente ad aderire alle richieste del reclamante.

La richiesta non ha avuto riscontri cosicché, il 17 giugno 2021, l’Ufficio ha formulato una richiesta di informazioni ed esibizione di documenti ai sensi dell’art. 157 del Codice, notificata in pari data tramite p.e.c., con la quale ha nuovamente invitato la Società a fornire ogni utile elemento per la completa valutazione del caso, con l’avvertenza che “in caso di inottemperanza alla presente richiesta dovrà essere applicata la sanzione amministrativa pecuniaria prevista dagli artt. 166 del d.lgs. n. 196/2003 e 83, par. 5, lett. e) del Regolamento (UE) 2016/679”.

Anche a tale richiesta la Società non ha fornito alcun riscontro.

1.3. Contestazione delle violazioni amministrative

L’Ufficio, preso atto dei reiterati mancati riscontri della Società, ha pertanto adottato il sopra richiamato atto di avvio del procedimento amministrativo n. 56828/21 del 12 novembre 2021, con il quale ha contestato a TSM le seguenti ipotesi di violazione:

a) artt. 157 e 166, comma 2, del Codice, per avere omesso di fornire riscontro ad una richiesta di informazioni ed esibizione di documenti formulata dal Garante;

b) artt. 15 e 21 del Regolamento, per aver omesso di fornire riscontro alle richieste di accesso ai dati personali e opposizione a futuri trattamenti, formulate dal reclamante;

c) art. 13 del Regolamento, per aver effettuato trattamenti di dati personali del reclamante senza aver fornito al medesimo la necessaria informativa all’atto della raccolta;

2. VALUTAZIONI DELL’AUTORITÀ

Deve premettersi che la Società TSM non ha esercitato il proprio diritto di difesa, in relazione agli addebiti contestati, e quindi non ha prodotto memorie difensive né ha richiesto audizione ai sensi dell’art. 166, comma 6, del Codice e dell’art. 13 del Regolamento interno del Garante n. 1/2019.

Sebbene la Società abbia scelto di non avviare alcuna interlocuzione con l’Autorità, deve ritenersi sufficientemente istruito il procedimento avviato con l’atto di reclamo e acquisita piena prova della responsabilità di TSM in ordine agli addebiti contestati.

Dall’esame del reclamo, che contiene dichiarazioni e documenti circa la cui veridicità e genuinità il reclamante risponde anche penalmente, è emerso quanto riportato nell’atto di contestazione in ordine all’incompleto riscontro della Società all’esercizio dei diritti promosso dal reclamante: la stessa, infatti, a fronte di una richiesta di informazioni sui trattamenti, di cancellazione dei dati e di registrazione della opposizione del reclamante a successivi trattamenti, si è limitata a rappresentare che “come da sua richiesta abbiamo provveduto ad eliminare dai nostri archivi e database ogni dato riferibile alla Sua persona, conservando soltanto l’indirizzo email, al fine di inviarLe la seguente comunicazione. Provvederemo alla rimozione dello stesso, immediatamente dopo l’invio”, senza fornire alcuna indicazione sui trattamenti svolti e senza confermare all’interessato l’avvenuta registrazione della propria volontà di non essere più contattato.

Dalla documentazione allegata al reclamo è emerso altresì che nelle prime e-mail di contatto il soggetto che proponeva la partecipazione al corso di formazione professionale riportato in contestazione si presentava come “XX”, mentre la modulistica contrattuale successivamente inviata al reclamante risultava intestata e sottoscritta da TSM. Tale modulistica, con la quale, fra l’altro, si richiedeva all’interessato di produrre copia di un proprio documento d’identità e della propria tessera sanitaria, non conteneva alcuna informazione in ordine al trattamento dei dati personali né chiariva il rapporto intercorrente fra TSM e l’originario soggetto con il quale il reclamante aveva avviato l’interlocuzione.

Risulta pertanto documentalmente comprovata la condotta di TSM che, inserendosi nella formazione di un rapporto contrattuale tra il reclamante e l’originario proponente senza chiarire il proprio ruolo e la portata dei trattamenti di dati personali che sarebbero stati svolti e senza fornire le ulteriori informazioni di cui all’art. 13 del Regolamento, dava riscontri incompleti anche in occasione del successivo esercizio da parte dell’interessato dei diritti di cui agli artt. 15 e 21 del Regolamento (diritto di accesso e di opposizione al trattamento) rendendo pertanto impossibile l’esercizio medesimo e sottraendo al reclamante il controllo dei propri dati personali.

Sotto questo profilo, la mera cancellazione dei dati dell’interessato, così come rappresentata dalla Società in sede di riscontro all’esercizio dei diritti, non esaurisce gli obblighi del titolare del trattamento che, nel caso in argomento, avrebbe dovuto in ogni caso fornire al richiedente tutte le informazioni che potevano consentire al medesimo quantomeno di risalire all’origine dei dati personali detenuti da TSM, alla distribuzione delle responsabilità nell’ambito del trattamento, ai soggetti a cui i dati erano o sarebbero stati comunicati e alle modalità e finalità del trattamento e le relative basi giuridiche di liceità, oltre a garantire di aver adottato idonei accorgimenti per impedire ulteriori futuri trattamenti (ad es. inserimento del nominativo in blacklist).

La Società, inoltre, ha omesso di fornire riscontro alle richieste di informazioni e di esibizione di documenti formulate dal Garante, determinando un appesantimento degli adempimenti istruttori e un rallentamento dell’azione amministrativa. Anche tale circostanza emerge per tabulas, posto che l’Ufficio ha inviato per due volte delle richieste di informazioni specificando, nell’ultima, che un mancato riscontro avrebbe potuto determinare l’applicazione di sanzioni amministrative.

Tutte le richieste sono state inviate all’indirizzo di posta elettronica certificata di TSM così come risultante dal sistema informativo delle Camere di Commercio e, a tale riguardo, è utile evidenziare che il d.l. 76/2020 (c.d. “decreto semplificazioni”), convertito con modificazioni dalla L. 120/2020, ha qualificato, all’art. 37, l’indirizzo di posta elettronica certificata delle aziende quale “domicilio digitale” valido ai fini delle comunicazioni elettroniche aventi valore legale.

Va inoltre osservato che l’indirizzo di posta elettronica certificata di TSM è risultato pienamente funzionante nell’occasione del riscontro della Società alle richieste nell’ambito dell’esercizio dei diritti, riscontro avvenuto a distanza di cinque ore dall’invio del reclamante, a riprova che la consultazione della casella di posta elettronica avveniva costantemente. Da ciò deve desumersi la volontà di TSM di non fornire alcuna risposta alle richieste del Garante, nonostante la prospettazione di sanzioni amministrative, e l’evidente disinteresse della Società rispetto al procedimento avviato con l’atto di reclamo.

3. CONCLUSIONI

Per quanto sopra esposto si ritiene accertata la responsabilità di TSM in ordine alle seguenti violazioni:

a) artt. 157 e 166, comma 2, del Codice, per avere omesso di fornire riscontro ad una richiesta di informazioni ed esibizione di documenti formulata dal Garante;

b) artt. 15 e 21 del Regolamento, per aver omesso di fornire riscontro alle richieste di accesso ai dati personali e opposizione a futuri trattamenti, formulate dal reclamante;

c) art. 13 del Regolamento, per aver effettuato trattamenti di dati personali del reclamante senza aver fornito al medesimo la necessaria informativa;

Accertata altresì l’illiceità delle condotte della Società con riferimento ai trattamenti presi in esame, si rende necessario:

- rivolgere un avvertimento a TSM, ai sensi dell’art. 58, par. 2, lett. a), del Regolamento, affinché non effettui trattamenti della medesima specie di quelli descritti nell’atto di reclamo, senza fornire agli interessati le necessarie informazioni di cui all’art. 13 del Regolamento;

- ingiungere a TSM, ai sensi dell’art. 58, par. 2, lett. c), del Regolamento, di soddisfare e dare riscontro alle richieste del reclamante, con riferimento all’esercizio dei diritti di cui agli artt. 15 e 21 del Regolamento;

- imporre a TSM, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, il divieto di ogni ulteriore trattamento dei dati del reclamante;

- adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di TSM della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento

4. ORDINANZA-INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

Le violazioni sopra indicate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di TSM della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento (pagamento di una somma fino a € 20.000.000);

Per la determinazione dell’ammontare della sanzione occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento;

Nel caso in esame, assumono rilevanza:

1) la gravità della violazione (art. 83, par. 2, lett. a) del Regolamento), tenuto conto della reiterazione delle condotte omissive da parte di TSM che non ha fornito alcun riscontro alle note inviate dall’Autorità, sia nella forma dell’invito ad aderire alle richieste dell’interessato, sia nella forma della richiesta di informazioni ex art. 157 del Codice;   

2) quale fattore aggravante, la durata delle condotte poste in essere (art. 83, par. 2, lett. a) del Regolamento), che hanno considerevolmente protratto i tempi di evasione del reclamo e del riscontro alle richieste dell’interessato, che ancora non si è realizzato;

3) quale fattore aggravante, la mancata cooperazione con l’Autorità al fine di porre rimedio alla violazione (art. 83, par. 2, lett. f) del Regolamento), nonostante la Società sia stata destinataria, in più fasi del procedimento, di comunicazioni il cui riscontro avrebbe potuto consentire una compiuta definizione della questione;

4) quali fattori ulteriori da tenere in considerazione per parametrare la sanzione (art. 83, par. 2, lett. k) del Regolamento), il disavanzo economico registrato dalla Società nell’esercizio 2019 e il contesto socio-economico generale, caratterizzato da una profonda crisi economica a seguito della grave emergenza epidemiologica mondiale.

In base al complesso degli elementi sopra indicati, e ai principi di effettività, proporzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, e tenuto conto del necessario bilanciamento fra diritti degli interessati e libertà di impresa, in via di prima applicazione delle sanzioni amministrative pecuniarie previste dal Regolamento, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società, si ritiene debba applicarsi a TSM la sanzione amministrativa del pagamento di una somma di euro 40.000, pari allo 0,2% della sanzione massima edittale.

Nel caso in argomento si ritiene che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della natura dei trattamenti e delle condotte della Società,nonché degli elementi di rischio per l’esercizio dei diritti degli interessati che potrebbero essere coinvolti nei trattamenti presi in esame;

Ricorrono infine i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIO’ PREMESSO IL GARANTE

a) rivolge un avvertimento a TSM, ai sensi dell’art. 58, par. 2, lett. a), del Regolamento, affinché non effettui trattamenti della medesima specie di quelli descritti nell’atto di reclamo, senza fornire agli interessati le necessarie informazioni di cui all’art. 13 del Regolamento;

b) ingiunge a TSM, ai sensi dell’art. 58, par. 2, lett. c), del Regolamento, di soddisfare e dare riscontro alle richieste del reclamante, con riferimento all’esercizio dei diritti di cui agli artt. 15 e 21 del Regolamento;

c) impone a TSM, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, il divieto di ogni ulteriore trattamento dei dati del reclamante;

d) ingiunge a TSM, ai sensi dell’art. 157 del Codice, di comunicare all’Autorità, nel termine di trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alle misure adottate; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento

ORDINA

a T.S.M. s.r.l., in persona del legale rappresentante pro-tempore, con sede legale in Roma, via di Tor Vergata 180, C.F. 15272401009, di pagare la somma di euro 40.000,00 (quarantamila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 40.000,00 (quarantamila/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

L’applicazione della sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dagli artt. 166, comma 7 del Codice e 16 del Regolamento del Garante n. 1/2019, e l’annotazione del medesimo nel registro interno dell’Autorità - previsto dall’art. 57, par. 1, lett. u), del Regolamento, nonché dall’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante - relativo alle violazioni e alle misure adottate in conformità all'art. 58, par. 2, del Regolamento stesso.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la sede il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.

Roma, 27 gennaio 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei