[doc. web n. 10108064]

Provvedimento del 27 novembre 2024

Registro dei provvedimenti
n. 737 del 27 novembre 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;    

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

In data 18 luglio 2023 è stato adottato dall’Autorità il provvedimento n. 323 con il quale è stata comminata alla Maximum International Corp. S.r.l. (di seguito «Maximum» o «Società») la sanzione amministrativa di euro 5.000 (in www.gpdp.it, doc. web n. 9925674). Il procedimento è stato avviato a seguito di un reclamo con il quale è stata lamentata la ricezione insistente di telefonate promozionali per conto della Società anche dopo che l’interessata si era espressamente opposta nel corso dei contatti indesiderati e mediante formale istanza di esercizio dei diritti alla quale non ha ottenuto riscontro.

Con il citato provvedimento l’Autorità ha rilevato nel 2023 diverse criticità riguardanti gli adempimenti relativi all’informativa e ai consensi richiesti mediante il form on-line rinvenibile nel relativo sito internet (artt. 5, par. 1, lett. a, 6 par. 1, lett. a e 7 del Regolamento), nonché la non adeguata gestione dell’opposizione manifestata dall’interessata e non recepita nell’ambito delle telefonate promozionali unitamente all’istanza di esercizio dei diritti di accesso e di cancellazione non riscontrata dalla Società (in violazione degli artt. 12, parr. 2 e 3, 15, 17 e 21, par. 2, del Regolamento); inoltre è stata sanzionata l’assenza di controlli nell’ambito della filiera dei partner che promuovono prodotti della Maximum (artt. 5, par. 2, 24 e 25 del Regolamento).

Successivamente all’adozione del citato provvedimento n. 323/2023 e fino all’inizio 2024, sono continuate a pervenire ulteriori segnalazioni, tra le quali sono ricomprese anche le diverse comunicazioni della reclamante che ha attivato il precedente procedimento. Tali segnalazioni hanno ad oggetto la ricezione di telefonate indesiderate effettuate nell’interesse della Maximum verso utenze anche riservate o censite nel Registro pubblico delle opposizioni, e comunque in assenza di un consenso specifico degli interessati al trattamento dei dati relativi alle proprie utenze telefoniche per finalità promozionali.

Con nota del 12 marzo 2024 (rif. prot. n. 0030725/24) è stato chiesto alla Società di fornire osservazioni, ai sensi dell’art. 157 del Codice, in ordine alle citate segnalazioni nonché “di comunicare quali iniziative siano state intraprese [...] al fine di dare attuazione a quanto prescritto nel […] provvedimento […] n. 323 del 18 luglio 2023 e se di tali iniziative sia stata informata l’Autorità nei termini indicati nel provvedimento medesimo”. A tale richiesta non è stato fornito alcun riscontro.

Pertanto, con l’atto n. 57072/24 del 10 maggio 2024 (notificato il successivo 13 maggio mediante posta elettronica certificata) l’Ufficio ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento nei confronti della Maximum in ragione del mancato riscontro alla citata richiesta di informazioni, in violazione, dunque, dell’art. 157 del Codice.

In data 12 giugno 2024 la Società, ai sensi dell’art. 166, comma 6, del Codice e dell’art. 13 del regolamento interno del Garante n. 1/2019, ha chiesto di essere ascoltata nell’ambito del procedimento avviato nei suoi confronti.

Nel corso dell’audizione, che si è svolta il 10 luglio 2024, Maximum ha rappresentato di non occuparsi della vendita di prodotti ai privati già dal 2003 – 2005 ma di svolgere esclusivamente l’attività di produzione di impianti  da commercializzare ai distributori; in particolare, la Società ha ribadito quanto già espresso nel precedente procedimento, dichiarandosi estranea rispetto alle condotte lamentate, imputabili unicamente ai concessionari che avrebbero agito per proprie finalità promozionali in qualità di titolari. La Società ha, infatti, precisato di non essersi opposta in passato al provvedimento sanzionatorio dell’Autorità “nonostante fossero altri i responsabili della violazione”. Inoltre ha sostenuto di aver convocato, nel settembre 2023 dopo l’adozione del provvedimento sanzionatorio, tutte le aziende concessionarie di prodotti Maximum richiamandole alla stretta osservanza dell’art. 9 del contratto sottoscritto con le stesse, già dal 2020/2021; tale disposizione prevede che, in occasione dei contatti promozionali, i concessionari debbano identificarsi con il proprio nome ed eventualmente “come azienda concessionaria della Maximum”. Al riguardo, ha prodotto, in sede di audizione, i citati contratti unitamente ad una nota, datata 11 settembre 2023, con la quale la Società ha informato le aziende concessionarie di aver provveduto al pagamento di una sanzione amministrativa pecuniaria al Garante per violazioni in materia di protezione dei dati personali delle quali non si riteneva responsabile, intimando che “ogni eventuale ulteriore richiamo o sanzione verrà attribuito all’agenzia di riferimento”.

A conferma dell’autonomia riconosciuta alle agenzie nell’attività di vendita diretta di prodotti Maximum ai privati, la Società ha fornito copia del contratto che tali concessionari hanno stipulato con la XX, un’azienda che si occupa di curare, per ciascuna di esse, la “compliance privacy”, ovvero la conformità dei trattamenti alla normativa vigente, compresa l’individuazione della figura del Data Protection Officer (c.d. DPO).

Con riguardo alle segnalazioni oggetto della richiesta di informazioni del 12 marzo 2024, la Società ha ricondotto la responsabilità delle telefonate lamentate all’agenzia XX “la quale ha fatto pervenire una stampa del proprio database utilizzato per i contatti” i quali sembrerebbero tutti supportati dal consenso al marketing rilasciato previamente dai soggetti destinatari delle comunicazioni promozionali. Inoltre ha rappresentato che, per quanto a propria conoscenza, tale agenzia effettua di regola il riscontro, a cadenza quindicinale, nel Registro Pubblico delle Opposizione delle utenze da contattare prima di ogni campagna promozionale; ciò, quantomeno, a partire dalla data di inizio della collaborazione con la società di consulenza in materia di privacy, XX

Con riferimento al mancato riscontro alla richiesta di informazioni del 12 marzo 2024, formulata ai sensi dell’art. 157 del Codice, la Società ha affermato che tale negligenza è riconducibile ad un errore nella procedura di protocollazione da parte dell’addetta alla segreteria: in particolare, la nota dell’Ufficio, pur regolarmente ricevuta, non è stata protocollata dalla citata dipendente, impedendo alle competenti articolazioni di processarla. “A seguito di tale incidente – ha continuato Maximum – che rientra comunque nella responsabilità organizzativa della Società, si è provveduto a sostituire l’addetta alla protocollazione e a ribadire a tutti i dipendenti l’importanza della […] evasione delle missive provenienti da Autorità amministrative e veicolate attraverso la posta elettronica certificata”.

In ordine alle iniziative intraprese a seguito del provvedimento del Garante, in data 15 luglio 2024 la Società ha comunicato le recenti modifiche apportate al proprio sito internet, accessibile all’indirizzo https://www.maximumsrl.com/, al fine di conformare i trattamenti alla normativa in materia di protezione dei dati personali nonché alle prescrizioni impartite dall’Autorità con il citato provvedimento. Inoltre ha sottolineato di essersi prontamente attivata per risolvere le criticità individuate nel provvedimento, richiamando alla responsabilità le agenzie-concessionarie nel corso della descritta convocazione di settembre 2023. Tuttavia la Società ha chiarito di non aver provveduto ad informare l’Autorità delle iniziative intraprese in quanto il provvedimento adottato nei suoi confronti, trasmesso alla pec di Maximum, non è stato notificato agli indirizzi effettivamente indicati nell’ambito del procedimento.

Per le ragioni sopra esposte, la Società ha chiesto l’archiviazione del procedimento avviato nei suoi confronti “e, in ogni caso, la non adozione di qualsivoglia provvedimento di carattere sanzionatorio”.

2. VALUTAZIONI DI ORDINE GIURIDICO

In base alle affermazioni di Maximum, di cui il dichiarante risponde ai sensi dell’art. 168 Codice, considerata la documentazione prodotta in sede di audizione, si formulano le seguenti valutazioni di ordine giuridico.

Diversamente da quanto emerso nell’istruttoria relativa al precedente provvedimento, Maximum ha fornito, nel corso dell’attuale procedimento, evidenze supportate anche da riscontri esterni idonee a comprovare la propria estraneità rispetto alla condotta lamentata nelle segnalazioni pervenute all’Autorità. Tale condotta, alla luce dei citati riscontri, appare imputabile unicamente alle agenzie concessionarie che avrebbero agito in qualità di autonomi titolari del trattamento. In particolare, è stata indicata la società terza che avrebbe effettuato, per finalità di marketing, i contatti indesiderati in qualità di autonomo titolare del trattamento dei dati, discostandosi dalla previsione contrattuale di identificarsi con la propria denominazione sociale. Nei confronti di tale società, per una compiuta valutazione degli aspetti legati alla liceità dei trattamenti in parola, l’Autorità ha avviato una separata istruttoria. A ciò deve aggiungersi che Maximum, in sede di audizione, ha rappresentato che nel corso del tempo la propria attività si è limitata alla produzione degli impianti e non alla commercializzazione dei medesimi. In base a tale scelta imprenditoriale, quindi, il rapporto che ad oggi intercorre fra Maximum e le aziende concessionarie dei suoi prodotti è equiparabile a quello intercorrente fra produttori e rivenditori di un determinato bene. Ciò è evidenziato anche dal fatto che le aziende concessionarie hanno realizzato una autonoma organizzazione non soltanto con riferimento al contatto dei potenziali clienti ma anche per ciò che riguarda la complessiva strutturazione dei trattamenti dei dati personali. Prova ne sia che tali concessionari hanno autonomamente incaricato una società terza per la verifica della piena compliance dei trattamenti medesimi. Vale la pena aggiungere, sul punto, che Maximum, per propria scelta anche legata ai rapporti con le predette concessionarie, non ha fatto valere la circostanza sopra descritta in occasione del precedente provvedimento, confidando nella sensibilizzazione di tali aziende a seguito dei rilievi evidenziati dalla Società e assumendosi direttamente l’onere di definire il procedimento mediante il pagamento della sanzione irrogata. Tale scelta, dettata esclusivamente dalle ragioni di opportunità evidenziate da Maximum, non appare quindi in contrasto con le dichiarazioni rese dalla medesima nell’odierno procedimento che, alla luce dei già richiamati riscontri, consentono di delineare il nuovo assetto delle responsabilità in relazione ai fatti in argomento.

Pur prendendo atto del nuovo quadro di distribuzione delle responsabilità nel trattamento, deve rilevarsi che tale circostanza non fa venir meno la responsabilità di Maximum in ordine al mancato riscontro alla richiesta di informazioni dell’Autorità.

Sotto questo profilo deve rilevarsi che la richiesta di informazioni era indirizzata esclusivamente alla Società e nella stessa era chiaramente evidenziato che, in caso di inottemperanza, si sarebbe resa “applicabile la sanzione amministrativa pecuniaria prevista dall’art. 166, comma 2, del citato d.lgs. n. 196/2003”. Dunque Maximum era la sola destinataria della richiesta d’informazioni e avrebbe dovuto in ogni caso fornire un tempestivo e completo riscontro all’Autorità, nell’ottica dei complessivi doveri di collaborazione individuati dall’art. 31 del Regolamento e dall’art. 157 del Codice.

Soltanto nel corso dell’audizione, Maximum ha rappresentato le motivazioni del mancato riscontro riconducibili ad asserite negligenze di una propria dipendente ed ha dichiarato, sul punto, di aver introdotto misure correttive per ottemperare in maniera puntuale alle richieste degli interessati e dell’Autorità. Tali dichiarazioni, seppur meritevoli di considerazione in sede di quantificazione della sanzione, non sono idonee ad escludere la responsabilità in capo alla Società, posto che la stessa risponde, per i profili amministrativi contestati, anche in relazione alle condotte dei dipendenti ricompresi nell’organizzazione aziendale e soggetti alla propria diretta autorità e vigilanza.

Va anche aggiunto, con riferimento alla mancata comunicazione all’Autorità delle iniziative intraprese a seguito del provvedimento n. 323 del 18 luglio 2023, pur prendendo atto che lo stesso è risultato notificato alla pec della Maximum e non agli indirizzi effettivamente indicati nel corso del procedimento, si rappresenta che tale vizio procedurale non ha certamente impedito alla Società di venire a conoscenza della decisione del Garante. Per espressa ammissione della parte, la stessa ben conosceva il provvedimento inviato al proprio indirizzo di posta elettronica certificata e, al riguardo, è opportuno aggiungere che il d.l. 76/2020 (c.d. “decreto semplificazioni”), convertito con modificazioni della L. 120/2020, ha qualificato, all’art. 37, l’indirizzo di posta elettronica certificata delle aziende quale “domicilio digitale” valido ai fini delle comunicazioni elettroniche aventi valore legale (v. provv. n. 126 del 7 aprile 2022, doc. web n. 9771529; v. provv. n. 23 del 27 gennaio 2022, doc. web n. 9746068).

Pertanto, considerato che l’indirizzo di posta elettronica certificata di Maximum è risultato pienamente funzionante e poiché alla consegna del provvedimento sono conseguite azioni positive da parte della Società al fine di ottemperare alle prescrizioni ivi contenute, deve ritenersi realizzata la piena conoscenza dell’atto in questione, da cui discende una valutazione di complessiva negligenza da parte del titolare nei rapporti con l’Autorità, in particolare per ciò che concerne gli obblighi di collaborazione e di informazione, valutazione che ulteriormente avvalora e comprova il giudizio di responsabilità in relazione al contestato omesso riscontro di cui ai paragrafi precedenti.

3. CONCLUSIONI

Alla luce di quanto sopra rappresentato, deve ritenersi confermata la violazione contestata con l’atto di avvio del procedimento del 10 maggio 2024 poiché la Società non ha fornito riscontro alla richiesta di informazioni dell’Autorità del 12 marzo 2024 e tale condotta, lungi dal costituire uno sporadico e occasionale incidente, è risultata essere l’ennesimo episodio di superficiale gestione delle richieste pervenute dal Garante, come dimostra la richiamata circostanza dell’omessa comunicazione in merito alle prescrizioni impartite con il provvedimento del luglio 2023.    

Tuttavia, tenuto conto che Maximum ha già adottato misure correttive per un’evasione tempestiva delle richieste dell’Autorità, e preso atto delle iniziative intraprese subito dopo l’adozione del provvedimento sanzionatorio del 2023 in ordine all’attività promozionale delle aziende concessionarie, non appare necessario imporre ulteriori prescrizioni ma, accertata la descritta violazione dell’art. 157 del Codice, si ritiene sussistano i presupposti per l’applicazione di una sanzione amministrativa pecuniaria ai sensi degli artt. 58, par. 2, lett. i) e 83, par. 5, del Regolamento.

4. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

La condotta sopra descritta, configurando la violazione dell’art. 157 del Codice, impone l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Maximum della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

Per la determinazione dell’ammontare della sanzione, che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1, del Regolamento), occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento. 

Quali circostanze da prendere in considerazione nel caso di specie deve essere considerata, sotto il profilo delle aggravanti:

1) la gravità della violazione tenuto conto della reiterazione delle condotte omissive da parte di Maximum che ha fornito riscontri tardivi alle note inviate dall’Autorità e soltanto dopo l’atto di avvio del presente procedimento; ciò sia con riferimento alla comunicazione dell’adempimento alle prescrizioni del provvedimento del 2023, sia, da ultimo, in merito alla richiesta di informazioni ex art. 157 del Codice del 12 marzo 2024 (art. 83, par. 2, lett. a del Regolamento);

2) il carattere negligente della condotta, tenuto conto che la Società ha agito con noncuranza rispetto agli obblighi derivanti dalla normativa in materia di protezione dei dati personali; infatti, si deve osservare che la ricorrenza dell’errore umano come motivazione della condotta omissiva è indice, di per sé, di una inadeguata formazione dei collaboratori, oltre che di insufficienti misure organizzative volte a tenere traccia delle attività poste in essere per conto di Maximum (art. 83, par. 2, lett. b del Regolamento);

3) il fatto che la Società sia stata già destinataria di un provvedimento sanzionatorio avente ad oggetto il tema del telemarketing da cui è originato il presente procedimento (art. 83, par. 2, lett. e del Regolamento).

Quali elementi attenuanti, devono invece essere presi in considerazione:

1) le misure adottate, seppure tardivamente e dopo l’atto di avvio del presente procedimento, per evitare futuri disservizi nella ricezione delle richieste dell’Autorità unitamente alle iniziative intraprese per conformare i trattamenti alle prescrizioni impartite con il provvedimento del 2023 (art. 83, par. 2, lett. c del Regolamento).

In una complessiva ottica di necessario bilanciamento fra diritti degli interessati e libertà di impresa, occorre valutare prudentemente i suindicati criteri, anche al fine di limitare l’impatto economico della sanzione.

Pertanto si ritiene che - in base al complesso degli elementi sopra indicati - debba applicarsi a Maximum la sanzione amministrativa del pagamento di una somma di euro 10.000,00 (diecimila,00) pari allo 0,05% della sanzione edittale massima di 20 milioni di euro.

Nel caso in argomento si ritiene che debba applicarsi, altresì, la sanzione accessoria della pubblicazione nel sito del Garante della presente ordinanza ingiunzione, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019.

In attuazione dei principi di cui all’art. 83 del Regolamento, l’irrogazione di tale sanzione accessoria appare proporzionata in ragione della reiterata condotta omissiva e dell’aggravamento dei tempi e dei costi del procedimento, da cui consegue una valutazione di significativo disvalore della condotta medesima.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecita la condotta tenuta da Maximum International Corp. S.r.l. - con sede in Palermo, Contrada Zachia 90038, p. iva n. 04434710820 - descritta nei termini di cui in motivazione, consistente nella violazione dell’art. 157 del Codice in relazione al mancato riscontro alla richiesta di informazioni dell’Autorità;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, a Maximum International Corp. S.r.l., in persona del suo legale rappresentante, di pagare la somma di euro 10.000,00 (diecimila,00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 10.000,00 (diecimila,00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981;

DISPONE

a) ai sensi degli artt. 154-bis del Codice e 37 del Regolamento n. 1/2019, la pubblicazione del presente provvedimento nonché, ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione della presente ordinanza ingiunzione sul sito web del Garante;

b) ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, dispone l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 27 novembre 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei