[doc. web n. 1870576]

Ordinanza di ingiunzione nei confronti di Composad s.r.l. - 6 dicembre 2011

Registro dei provvedimenti
n. 471 del 6 dicembre 2011

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Giuseppe NELLA riunione odierna, alla presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Daniele De Paoli, segretario generale;

ESAMINATO il rapporto dell´Ufficio del Garante per la protezione dei dati personali predisposto ai sensi dell´art. 17 della legge 24 novembre 1981, n. 689, relativo al verbale di contestazione per violazione amministrativa redatto in data 30 dicembre 2009 nei confronti di Composad s.r.l., con sede in Viadana (Mn), via Lombardia n. 29, in persona del legale rappresentante pro-tempore, per violazione degli artt. 13 e 23 del Codice in materia di protezione dei dati personali (di seguito denominato Codice);

CONSIDERATO che dagli accertamenti svolti in data 22 maggio 2009 dal Nucleo di polizia tributaria della Guardia di finanza di Mantova in attuazione della richiesta di informazioni  ex art. 157 del Codice (n. 4804/53969 datata 4 marzo 2009), giusta delega di questa Autorità e dalle informazioni acquisite con la nota pervenuta dalla società in data 5 ottobre 2009, è risultato, tra l´altro, che, a fronte della raccolta, effettuata da Composad s.r.l., dei dati personali di coloro che si registrano in un apposito form del sito Internet www.emporiokit.it, i relativi trattamenti vengono effettuati da DataConSec s.r.l., nonostante il titolare del trattamento (Composad s.r.l.) abbia designato responsabile del trattamento in out sourcing solamente la persona del dott. Domenico Carnicella che riveste anche l´incarico di amministratore di DataConSec s.r.l.. E´ risultato, inoltre, che la Nascar s.r.l., società specializzata nel web design e web marketing, gestisce alcuni siti di e–commerce della Composad s.r.l. senza che i rapporti tra tali società, sotto il profilo della tutela dei dati personali, siano regolati in alcun modo. Quanto riscontrato ha consentito di accertare che Composad s.r.l. riceve gli ordini dai clienti che conferiscono i loro dati personali attraverso il sito web www.emporiokit.it registrandosi per mezzo di un apposito form di raccolta, rendendo loro, ai sensi dell´art. 13 del Codice, un´informativa inidonea poiché non individua il titolare del trattamento, non indica chiaramente le modalità di esercizio dei diritti di cui all´art. 7 del Codice e non specifica i soggetti terzi a cui i dati vengono comunicati, senza, peraltro, acquisire il prescritto consenso ai sensi dell´art. 23 del Codice;

VISTO il verbale n. 28246/64271 del 30 dicembre 2009 con cui sono state contestate alla predetta società le violazioni amministrative previste dagli artt. 161 e 162, comma 2-bis del Codice, in relazione agli artt. 13 e 23, informandola della facoltà di effettuare il pagamento in misura ridotta ai sensi dell´art. 16 della legge n. 689/1981;

RILEVATO dal predetto rapporto che non risulta essere stato effettuato il pagamento in misura ridotta;

VISTI gli scritti difensivi inviati ai sensi dell´art. 18 della legge n. 689/1981, con i quali la società, in riferimento all´idoneità dell´informativa di cui all´art. 13 del Codice, con particolare riguardo alla mancata indicazione del titolare del trattamento dei dati, rileva che "Il sito web e la pagina che ospita l´informativa (…) riportano chiaramente al loro interno sia l´indicazione della ragione sociale (…) e dei riferimenti telefonici (…) della Composad s.r.l.  sia il numero di partita I.V.A. di quest´ultima (…)"; mentre relativamente a quanto accertato riguardo la non chiara indicazione dei diritti di cui all´art. 7 del Codice, osserva che "Questo adempimento è sicuramente stato ottemperato dal titolare nel momento in cui ha espresso l´indicazione dei diritti (…)" nella formulazione contenuta nell´informativa presente nel sito al momento del controllo. Infine, riguardo l´ulteriore elemento di inidoneità dell´informativa agli interessati, la società "(…) sottolinea come non venga effettuata alcuna comunicazione di dati a terzi, eccezion fatta per quelle comunicazioni che sono funzionali all´esecuzione stessa del contratto". Circa quanto contestato in ordine alla mancata acquisizione del consenso al trattamento di cui all´art. 23 del Codice, Composad s.r.l. (evidenziando che Nascar s.r.l. non effettua alcun trattamento di dati personali acquisiti mediante il sito internet www.emporiokit.it, e che DataConSec s.r.l. è stata "(…) chiamata in causa (…) in virtù della nomina a responsabile del trattamento dei dati personali del dott. Domenico Carnicella, che della DataConSec s.r.l. è anche amministratore") ritiene che l´omissione rilevata si fondi sull´erronea convinzione che Nascar s.r.l. e DataConSec s.r.l. abbiano in qualche modo trattato i dati provenienti dal sito Internet www.emporiokit.it;

RITENUTO che le argomentazioni addotte non risultano idonee in relazione a quanto contestato, poiché, pur prendendo atto di quanto argomentato circa il fatto che Nascar s.r.l e DataConSec s.r.l. non possono essere qualificate come autonomi titolari del trattamento dati in questione, si rileva come tale precisazione risulti inconferente riguardo a quanto contestato. La Guardia di finanza ha puntualmente accertato, ai sensi dell´art. 13 della legge n. 689/1981, sia la titolarità del trattamento dei dati personali degli interessati acquisiti attraverso un apposito form di raccolta del sito web www.emporiokit.it, da individuarsi nella Composad s.r.l., sia la carenza degli elementi previsti dall´art. 13 lett. e) ed f). Sul punto, poi, si rileva come all´interessato, anche per effetto dei principi enunciati dall´art. 11 del Codice, devono essere fornite, ai sensi dell´art. 13 del Codice, tutte le informazioni attinenti allo specifico trattamento di dati personali che ci si accinge ad effettuare, non potendo essere rimesso allo stesso il compito di individuare (o indovinare) tutti gli elementi richiesti dalle lettere dalla a) alla f) del citato art. 13, comma 1. 

Inoltre, secondo quanto previsto dall´art. 4, comma 1, lett. l), del Codice, la comunicazione di dati personali a terzi può avvenire, come nel caso di specie, anche "mediante la loro messa a disposizione o consultazione". Anche sotto tale profilo, pertanto, l´informativa di che trattasi risulta essere inidonea riguardo lo specifico elemento di cui all´art. 13, comma 1 lett. d) del Codice.

Anche relativamente a quanto contestato in ordine alla violazione dell´art. 23 del Codice, si osserva come risulti ritualmente accertato, ai sensi dell´art. 13 della legge n. 689/1981, che, diversamente da quanto asserito, Nascar s.r.l. e DataConSec s.r.l., trattano i dati degli interessati in questione, (tale profilo, peraltro, risulta successivamente confermato anche dagli elementi contenuti nelle rispettive designazioni a responsabile del trattamento delle predette società, prodotte da Composad s.r.l. con la nota del 28 giugno 2010);

RILEVATO che la società ha quindi effettuato un trattamento di dati (art. 4 comma 1, lett. a) e b) del Codice) acquisiti tramite un apposito form di raccolta del sito web www.emporiokit.it, rendendo agli interessati un´informativa inidonea ai sensi dell´art. 13 del Codice e senza acquisire il necessario consenso al trattamento dei dati stessi di cui all´art. 23 del Codice;

VISTO l´art. 161 del Codice che punisce la violazione dell´art. 13 del medesimo Codice con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro;

VISTO l´art. 162, comma 2-bis, del Codice, nella formulazione antecedente alla modifica introdotta con legge 20 novembre 2009, n. 166, che punisce la violazione delle disposizioni indicate nell´art. 167 del Codice, tra le quali quella di cui all´art. 23 del medesimo Codice, con la sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro;

CONSIDERATO che, nel caso in esame:

a) in ordine all´aspetto della gravità, l´entità del pregiudizio o del pericolo deve considerarsi modesta, l´intensità dell´elemento psicologico è lieve e la modalità concreta della condotta deve essere valutata in riferimento non alla omessa bensì all´inidonea informativa resa agli interessati;

b) ai fini della valutazione dell´opera svolta dall´agente, la società ha tempestivamente provveduto ad adeguare l´informativa di cui all´art. 13 in argomento nonché a inserire adeguate formule di acquisizione del consenso, inviando, inoltre, gli scritti difensivi ai sensi dell´art. 18 della legge n. 689/1981;

c) circa la personalità dell´autore della violazione, deve essere positivamente considerata la circostanza che la società non risulti avere precedenti specifici in termini di violazioni alle disposizioni del Codice;

d) in merito alle condizioni economiche dell´agente, al fine di commisurare l´importo della sanzione alla reale capacità economica del trasgressore nel rispetto del principio di uguaglianza, si rileva, per l´anno 2010, un consistente attivo patrimoniale;

RITENUTO di dover determinare, ai sensi dell´art. 11 della L. n. 689/1981, l´ammontare delle sanzioni pecuniarie per entrambe le violazioni, nella misura del minimo pari a un importo complessivo di euro 26.000,00 euro (ventiseimila);

RILEVATO, altresì, che non si ravvisano gli elementi necessari  a configurare uno dei casi di minore gravità previsto dall´art. 164-bis, comma 1, del Codice;

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Giuseppe Fortunato;

ORDINA

a Composad s.r.l., con sede in Viadana (Mn), via Lombardia n. 29, nella persona del legale rappresentante pro tempore, di pagare la somma di euro 26.000,00 (ventiseimila) a titolo di sanzione amministrativa pecuniaria per le violazioni previste dagli artt. 161 e 162, comma 2-bis del Codice;

INGIUNGE

alla medesima società di pagare la somma di euro 26.000,00 (ventiseimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale o in copia autentica, quietanza dell´avvenuto versamento.

Si precisa che avverso il presente provvedimento, ai sensi dell´art. 152 del Codice, può essere proposta opposizione davanti al tribunale ordinario del luogo ove ha sede il titolare del trattamento entro il termine di trenta giorni dalla notificazione del presente provvedimento.

Roma, 6 dicembre 2011

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE
De Paoli