Provvedimento del 13 novembre 2024 [10108867]
Provvedimento del 13 novembre 2024 [10108867]
Condividi[doc. web n. 10108867]
Provvedimento del 13 novembre 2024
Registro dei provvedimenti
n. 758 del 13 novembre 2024
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);
VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE la prof.ssa Ginevra Cerrina Feroni;
PREMESSO
1. L’ATTIVITÀ ISTRUTTORIA
Con il reclamo del 29 marzo 2024, presentato a questa Autorità ai sensi dell’art. 77 del Regolamento, il signor XX ha lamentato la ricezione, in data 27 febbraio 2024, sulla propria utenza mobile, iscritta al Registro Pubblico delle Opposizioni (c.d. RPO), di una telefonata promozionale indesiderata da parte di Spinacqua S.r.l. (di seguito «Spinacqua» o «Società»). In pari data, il reclamante ha inviato alla Società una pec allegando il “Modello per l’esercizio dei diritti”, disponibile sul sito internet del Garante (in www.gpdp.it), al fine di ottenere informazioni su come siano stati reperiti i suoi dati personali e sul motivo per il quale non si sia tenuto conto della registrazione all’RPO della sua utenza telefonica. Tale richiesta, finalizzata anche ad ottenere la cancellazione e l’opposizione all’ulteriore trattamento per scopi promozionali, non è stata riscontrata dalla Società la quale, il successivo 19 marzo 2024, ha contattato nuovamente il reclamante per fini commerciali.
Pertanto, il signor XX ha presentato il reclamo di cui sopra e l’Ufficio, il 4 aprile 2024, ha provveduto ad aprire la conseguente istruttoria, inviando alla Società, mediante posta elettronica certificata, una richiesta di informazioni ed esibizione di documenti, ai sensi dell’art. 157 del Codice (nota prot. n. 42229/24), con la quale ha invitato Spinacqua a fornire ogni elemento utile per la completa valutazione del caso, con particolare riferimento alle “misure adottate al fine di garantire che le attività di telemarketing e teleselling, effettuate in nome e per conto della Società, siano svolte in ottemperanza alla normativa vigente in materia di protezione dei dati personali”.
Anche la richiesta di informazioni formulata dal Garante è rimasta senza riscontro da parte della Società.
Il mancato riscontro, come evidenziato dall’Ufficio nella richiesta medesima, costituisce autonoma violazione amministrativa, ai sensi degli artt. 157, 166, comma 2, del Codice, e 83, par. 5, del Regolamento. In relazione a tale profilo, in data 10 maggio 2024, è stata contestata alla Società la violazione dell’art. 157 del Codice, dalla quale può derivare l’applicazione della sanzione prevista dall’art. 83, par. 5, del Regolamento, richiamata dall’art. 166, comma 2, del Codice, ed è stato altresì comunicato l’avvio del procedimento per l’adozione dei relativi provvedimenti correttivi e sanzionatori (nota rif. prot. n. 57083/24).
Anche tale comunicazione è rimasta priva di riscontro da parte della Società che non ha presentato scritti difensivi né ha richiesto di essere ascoltata dall’Autorità, ai sensi dell’art. 166, comma 6, del Codice e dell’art. 13 del Regolamento interno del Garante n. 1/2019; né ancora sono state fornite informazioni sull’origine dei dati personali del reclamante unitamente agli elementi richiesti nella citata nota del 4 aprile 2024.
Pertanto, considerato che la documentazione prodotta unitamente all’atto di reclamo, in alcun modo contestata dalla Società, costituisce piena prova della responsabilità di Spinacqua in ordine alla descritta condotta, con atto n. 0075178/24 del 20 giugno 2024, che qui deve intendersi integralmente richiamato, l’Ufficio, in aggiunta alla violazione dell’art. 157 del Codice, ha ritenuto integrata anche la violazione degli artt. 15, 17 e 21 del Regolamento; ciò in quanto Spinacqua, nonostante le richieste dell’interessato, non ha consentito al medesimo l’esercizio dei diritti di accesso, cancellazione e opposizione previsti dal Regolamento stesso.
Infine, preso atto delle dichiarazioni che il reclamante ha reso all’Autorità circa i contatti indesiderati aventi finalità promozionale operati dalla Società in assenza di consenso e su utenza iscritta al Registro Pubblico delle Opposizioni - dichiarazioni per le quali il medesimo interessato può rispondere ai sensi dell’art. 168 del Codice – si è ritenuta configurata anche la violazione degli artt. 6, par. 1, lett. a), 7 del Regolamento e 130, commi 3 e 3 bis, del Codice.
2. LA CONTESTAZIONE
Sulla base di quanto acquisito in atti - in aggiunta alla violazione dell’art. 157 del Codice per il mancato riscontro alla richiesta di informazioni dell’Autorità - l’Ufficio ha adottato la sopra richiamata comunicazione di avvio del procedimento amministrativo n. 0075178/24 del 20 giugno 2024 con la quale ha contestato a Spinacqua la violazione delle seguenti disposizioni del Regolamento:
- artt. 15, 17 e 21 del Regolamento, per non aver fornito riscontro alle richieste di accesso ai dati personali, di cancellazione degli stessi e di opposizione al trattamento per finalità di marketing diretto, formulate dal reclamante;
- artt. 6, par. 1, lett. a), 7 del Regolamento e 130, comma 3 e 3 bis, del Codice, per aver effettuato due chiamate promozionali all’utenza telefonica del reclamante, senza aver acquisito dal medesimo il necessario consenso e in costanza dell’iscrizione della numerazione contattata al Registro Pubblico delle Opposizioni.
3. MEMORIE DIFENSIVE DELLA SOCIETÀ
Soltanto dopo aver ricevuto l’atto di contestazione del 20 giugno 2024, la Società ha prodotto, in data 26 giugno 2024, una memoria difensiva alla quale si fa completo rinvio. Con tale comunicazione, Spinacqua si è limitata ad imputare ad un “mero errore” il mancato riscontro alle richieste dell’interessato e alle comunicazioni dell’Autorità; analogamente a “mero errore nella selezione, ovvero nell’inserimento dei dati nel […] database” possono essere ricondotte le telefonate che hanno interessato il signor XX. Quanto ai dati riferibili a quest’ultimo, Spinacqua ha rappresentato di averli raccolti dalla società XX (di seguito anche «XX» o «list provider») “che cura anche la verifica […] nel Registro delle Opposizioni” ed ha assicurato di aver proceduto alla relativa cancellazione.
4. VALUTAZIONI DI ORDINE GIURIDICO
In primo luogo, dalla evasiva quanto sintetica risposta che Spinacqua ha reso all’Autorità con la citata comunicazione del 26 giugno 2024, appare evidente che la Società non ha fornito documentazione idonea a dimostrare di aver adottato precauzioni nell’acquisizione dei dati da XX, né di aver comprovato la liceità dei connessi trattamenti, con particolare riferimento agli adempimenti dell’informativa e del consenso eventualmente prestato all’originario titolare dall’interessato alla comunicazione a soggetti terzi (tra cui Spinacqua) per scopi commerciali. Né, ancora, ha dimostrato di aver consultato il Registro Pubblico delle Opposizioni per verificare l’eventuale iscrizione nello stesso delle utenze acquisite, confidando che tale adempimento fosse in capo a XX.
La Società non ha chiarito i termini del rapporto commerciale con il citato list provider, né se tale accordo fosse in qualche modo formalizzato in un atto scritto, non necessariamente esplicitato nella forma contrattuale, che ad ogni modo consentisse di regolare i ruoli nel trattamento dei dati personali e le rispettive responsabilità. Peraltro, da una verifica in rete effettuata dall’Ufficio, sulla base delle parziali informazioni fornite nella memoria del 26 giugno 2024, è stato possibile individuare nella società XX, di cui al sito internet https://..., il probabile titolare delle liste cedute a Spinacqua. Accedendo a tale sito internet, è emerso che XX è una società che ha sede negli Stati Uniti e che si occupa di creare e commercializzare “banche dati internazionali di aziende e privati e servizi di web marketing”. Sul punto si deve osservare che l’Autorità, nel provvedimento n. 413 del 25 novembre 2021 (in www.gpdp.it, doc. web n. 9737185, par. 4.2. “Sulla responsabilità di B&T”), ha precisato che “La scelta di un soggetto non residente nel territorio italiano, o almeno nel territorio dell’UE non garantisce agli interessati la facoltà di far valere i propri diritti e, allo stesso tempo, ostacola le attività di indagine del Garante rendendo estremamente difficile verificare la liceità di tali trattamenti e imporre misure correttive”. Inoltre, il sito è risultato privo di un’informativa sul trattamento dei dati personali e, quindi, non è stato possibile comprendere se il list provider avesse provveduto ad indicare un rappresentante nell’Unione europea. Tale requisito è obbligatorio ai sensi dell’art. 27 del Regolamento, in base al quale (cfr. art. 27, par. 3) il rappresentante non deve essere solo stabilito nell’Unione europea ma deve avere sede in uno degli Stati membri in cui si trovano gli interessati e i cui dati sono trattati nell’ambito dell’offerta di beni o servizi. Il fatto che nel sito sia esplicitata la collocazione anche in Europa di collaboratori di XX non può in alcun modo surrogare la nomina del rappresentante nell’Unione europea al quale sono affidate specifiche prerogative connesse alle interlocuzioni delle Autorità di controllo e/o degli interessati con il titolare del trattamento, nonché alle azioni legali che potrebbero essere promosse nei confronti di quest’ultimo.
Pertanto, ferma restando la presunta titolarità in capo a XX, la Società, se avesse effettuato un adeguato controllo, ben avrebbe potuto accorgersi della mancanza di alcuni importanti presupposti di garanzia della liceità del trattamento in capo a tale list provider.
Ciò doverosamente chiarito, Spinacqua ha addotto come giustificazione del proprio silenzio alle istanze dell’interessato un “mero errore” connesso all’inserimento dei dati nei sistemi societari. Tale motivazione, peraltro non comprovata, non consente di superare le criticità emerse nell’atto di contestazione in ordine all’omesso riscontro della Società all’esercizio dei diritti promosso dal reclamante: Spinacqua, infatti, a fronte di una richiesta di informazioni sul trattamento dei dati personali del reclamante, anche con riferimento all’origine della numerazione telefonica mobile, alla cancellazione della stessa e alla registrazione dell’opposizione a successivi contatti indesiderati, non ha inteso fornire alcun tipo di risposta all’interessato; né la Società ha tenuto conto della volontà del medesimo che, tra l’altro, veniva fatto oggetto di un altro contatto indesiderato, sempre ad opera di Spinacqua.
Risulta, pertanto, comprovata la condotta della Società che ha operato due contatti promozionali nei confronti del reclamante senza aver acquisito dal medesimo il consenso al relativo trattamento dei dati personali e senza aver verificato l’iscrizione dell’utenza telefonica al Registro Pubblico delle Opposizioni; ha inoltre omesso di fornire riscontro alle richieste dell’interessato, di cui agli artt. 15, 17 e 21 del Regolamento (accesso, cancellazione dei dati e opposizione al trattamento) rendendo pertanto impossibile l’esercizio dei relativi diritti e sottraendo al reclamante il controllo dei propri dati personali.
Per tali ragioni, si ritiene di dover confermare la violazione delle disposizioni contenute negli artt. 6, par. 1, lett. a), 7, 15, 17 e 21 del Regolamento e nell’art. 130, commi 3 e 3 bis del Codice.
La descritta condotta, che tra l’altro denota una non adeguata gestione dei canali di comunicazione (in particolare dell’indirizzo pec), ha comportato un appesantimento degli adempimenti istruttori e un rallentamento dell’azione amministrativa.
Il titolare ha omesso di fornire riscontro alla richiesta di informazioni e di esibizione di documenti formulata del Garante il 4 aprile 2024 nonché in ordine all’atto di avvio del procedimento del 10 maggio 2024 relativo alla violazione dell’art. 157 del Codice. Peraltro l’indirizzo di posta elettronica certificata di Spinacqua è apparso pienamente operativo, considerato che agli invii della richiesta di informazioni e dei successivi atti di contestazione il sistema ha restituito le attestazioni di accettazione e consegna che hanno perfezionato la notifica degli atti. Si ritiene, pertanto, integrata la violazione dell’art. 157 del Codice.
5. CONCLUSIONI
Accertata l’illiceità delle sopra descritte condotte di Spinacqua, si rende necessario:
a) ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, imporre il divieto di ogni ulteriore trattamento della medesima specie di quello descritto nell’atto di reclamo, compreso quello relativo alle ulteriori anagrafiche presenti nelle liste acquisite dal fornitore XX, in assenza del prescritto consenso e senza consultare, prima di ogni campagna promozionale, il Registro Pubblico delle Opposizioni (ex artt. 6, 7 del Regolamento e 130 del Codice);
b) ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiungere di provvedere senza ritardo alla cancellazione dei dati acquisiti dal citato list provider in assenza dei descritti presupposti di liceità di cui alla precedente lettera a);
c) ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiungere di adottare misure tecniche e organizzative adeguate a fornire un idoneo riscontro alle richieste di esercizio dei diritti degli interessati mediante il corretto presidio dei canali di comunicazione e, in particolare, dell’indirizzo pec preposto alla relativa trattazione (ex artt. 12 e 15 del Regolamento);
d) ai sensi degli artt. 58, par. 2, lett. i) e 83, par. 5, del Regolamento, con riguardo ai trattamenti già realizzati, si ritiene sussistano i presupposti per l’applicazione di una sanzione amministrativa pecuniaria ai sensi degli artt. 58, par. 2, lett. i) e 83, par. 5, del Regolamento.
6. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA
Le violazioni sopra indicate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Spinacqua della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento (pagamento di somma fino a € 20.000.000).
Per la determinazione dell’ammontare della sanzione, che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1, del Regolamento), occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento.
Quali circostanze da prendere in considerazione nel caso di specie devono essere considerate, sotto il profilo delle aggravanti:
1) la gravità della violazione, tenuto conto della reiterazione delle condotte omissive da parte di Spinacqua che non ha fornito alcun riscontro alle richieste dell’interessato e dell’Autorità e ha, in due occasioni, trattato i dati del reclamante per finalità promozionali senza aver acquisito dal medesimo il prescritto consenso e senza verificare, prima di ogni campagna, l’iscrizione dell’utenza telefonica al Registro Pubblico delle Opposizioni (art. 83, par. 2, lett. a del Regolamento);
2) la dimensione soggettiva della condotta, da ritenersi gravemente colposa, tenuto conto che il titolare ha agito con noncuranza rispetto all’istanza del reclamante, cui non ha prestato la dovuta attenzione, nonché alle richieste dell’Autorità (art. 83, par. 2, lett. b del Regolamento);
3) il grado di cooperazione con l’Autorità poiché la Società non ha tenuto conto delle conseguenze che potevano derivare dal mancato riscontro alla richiesta del Garante, anche sotto il profilo della completa istruzione del procedimento sul reclamo; anche il riscontro evasivo, fornito successivamente all’atto di contestazione, denota una generale noncuranza per i compiti dell’Autorità (art. 83, par. 2, lett. f del Regolamento).
Quali elementi attenuanti, devono invece essere presi in considerazione:
1) la natura isolata della condotta dal momento che il procedimento in parola è scaturito da un solo reclamo (art. 83, par. 2, lett. a del Regolamento);
2) l’avvenuta cancellazione dei dati personali del reclamante, seppur tardivamente e dopo l’intervento dell’Autorità, tale da far ritenere cessati gli effetti della condotta lamentata (art. 83, par. 2, lett. c del Regolamento);
3) l’assenza di precedenti procedimenti avviati a carico del titolare (art. 83, par. 2, lett. e del Regolamento);
4) la natura dei dati trattati, consistenti in dati comuni e, più precisamente, nel nome, cognome, comune di residenza e utenza telefonica del reclamante (art. 83, par. 2, lett. g del Regolamento).
In una complessiva ottica di necessario bilanciamento fra diritti degli interessati e libertà di impresa, occorre valutare prudentemente i suindicati criteri, anche al fine di limitare l’impatto economico della sanzione.
Pertanto si ritiene che - in base al complesso degli elementi sopra indicati - debba applicarsi a Spinacqua la sanzione amministrativa del pagamento di una somma di euro 10.000,00 (diecimila,00) pari allo 0,05% della sanzione edittale massima di 20 milioni di euro e, in ragione degli elementi aggravanti rilevati, la sanzione accessoria della pubblicazione per intero del presente provvedimento nel sito internet del Garante come previsto dall’art. 166, comma 7, del Codice e dall’art. 16 del regolamento del Garante n. 1/2019.
In attuazione dei principi di cui all’art. 83 del Regolamento, l’irrogazione di tale sanzione accessoria appare ragionevole e proporzionata in ragione della gravità e del particolare disvalore della condotta omissiva reiterata da Spinacqua nei confronti del reclamante e anche dopo l’intervento dell’Autorità. Le risposte sommarie fornite soltanto dopo la comunicazione di avvio del procedimento (con atto n. 0075178/24 del 20 giugno 2024), unitamente alla scarsa cooperazione dimostrata nei confronti dell’Autorità e alla mancata adozione di interventi successivi mirati a rendere tutte le fasi del trattamento conformi alla normativa (dalla raccolta dei dati alla realizzazione di campagne promozionali), denota una colpevole e perdurante insensibilità al tema della protezione dei dati personali.
Si ricorda che, ai sensi dell’art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto del trattamento è punito con la reclusione da tre mesi a due anni e che, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e) del Regolamento
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.
TUTTO CIÒ PREMESSO IL GARANTE
ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecito, nei termini di cui in motivazione, il trattamento effettuato da Spinacqua S.r.l., con sede legale in Padova, via Somalia 5, P.IVA 05248670282, e di conseguenza:
a) ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, impone il divieto di ogni ulteriore trattamento della medesima specie di quello descritto nell’atto di reclamo, compreso quello relativo alle ulteriori anagrafiche presenti nelle liste acquisite dal fornitore XX, in assenza del prescritto consenso e senza consultare, prima di ogni campagna promozionale, il Registro Pubblico delle Opposizioni (ex artt. 6, 7 del Regolamento e 130 del Codice);
b) ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiunge di provvedere senza ritardo alla cancellazione dei dati acquisiti dal citato list provider in assenza dei descritti presupposti di liceità di cui alla precedente lettera a);
c) ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiunge di adottare misure tecniche e organizzative adeguate a fornire un idoneo riscontro alle richieste di esercizio dei diritti degli interessati mediante il corretto presidio dei canali di comunicazione e, in particolare, dell’indirizzo pec preposto alla relativa trattazione (ex artt. 12 e 15 del Regolamento);
d) ai sensi dell’art. 157 del Codice, ingiunge alla Società di comunicare all’Autorità, nel termine di 30 giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alle misure imposte; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.
ORDINA
a Spinacqua S.r.l., in persona del suo legale rappresentante, di pagare la somma di euro 10.000,00 (diecimila/00), a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;
INGIUNGE
alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 10.000,00 (diecimila/00) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981;
DISPONE
a) ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero della presente ordinanza ingiunzione sul sito internet del Garante;
b) ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate;
c) la pubblicazione del presente provvedimento ai sensi degli artt. 154-bis del Codice e 37 del citato Regolamento n. 1/2019.
Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.
Roma, 13 novembre 2024
IL PRESIDENTE
Stanzione
IL RELATORE
Cerrina Feroni
IL SEGRETARIO GENERALE
Mattei
