[doc. web n. 2974595]

Ordinanza di ingiunzione nei confronti di Compagnia Assicuratrice Linear s.p.a. - 30 ottobre 2013

Registro dei provvedimenti
n. 486 del 30 ottobre 2013

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

RILEVATO che il Nucleo speciale privacy della Guardia di finanza, in esecuzione della richiesta di informazioni ex art. 157 del Codice in materia di protezione dei dati personali – d.lg. 30 giugno 2003, n. 196 (di seguito denominato Codice) (n. 4804/53969 del 4 aprile 2009), ha svolto gli accertamenti di cui al verbale di operazioni compiute del 6 maggio 2009 nei confronti di Compagnia Assicuratrice Linear s.p.a. (di seguito Linear s.p.a.), con sede in Bologna, via Giuseppe Cesare Gualandi n. 1 P.Iva: 04260280377 indirizzo PEC: LINEAR@PEC.UNIPOL.IT, in persona del legale rappresentante pro-tempore, dai quali è risultato, tra l´altro, che la società, per mezzo di due distinti form relativi, uno all´iscrizione al servizio "Tribù Linear", presente sul sito web www4.onlinear.it e l´altro alla registrazione on line del preventivo, presente sul sito web www.linear.it, acquisiva, per ciascuno dei due descritti trattamenti, dati personali in carenza di un consenso espresso in modo specifico ai sensi dell´art. 23 del Codice per ciascuna delle finalità, ulteriori rispetto a quella di iscrizione ai relativi servizi, indicate nelle rispettive informative rese agli interessati ai sensi dell´art. 13 del Codice. E´ stato altresì rilevato come i consensi raccolti ai sensi dell´art. 23 del Codice, di cui ai trattamenti di dati citati, venissero raccolti prevedendo, quale valore di default nei relativi menù a tendina, rispettivamente la frase "Si, do il mio consenso" e la frase "Si, accetto i termini e le condizioni";

VISTO il verbale n. 20716/63802 del 24 settembre 2009 con cui sono state contestate, alla società, per i trattamenti effettuati mediante i due form di raccolta, tra l´altro, due violazioni amministrative, entrambe previste dall´art. 162, comma 2-bis del Codice, in relazione all´art. 23, informandola della facoltà di effettuare il pagamento in misura ridotta ai sensi dell´art. 16 della legge 24 novembre 1981, n. 689;

RILEVATO dal rapporto dell´Ufficio del Garante, predisposto ai sensi dell´art. 17 della legge 24 novembre 1981, n. 689, relativo al suddetto verbale di contestazione, che non risulta essere stato effettuato, con riferimento ai due illeciti in argomento, il pagamento in misura ridotta;

VISTO lo scritto difensivo datato 11 novembre 2009 inviato ai sensi dell´art. 18 della legge 24 novembre 1981, n. 689, con il quale, con riferimento al rilievo inerente il servizio "Tribù Linear", presente sul sito web www4.onlinear.it, ha preliminarmente evidenziato come quanto accertato "(…) risulti infondato, perché il contestato trattamento illecito di dati personali è stato effettuato in un´epoca antecedente all´entrata in vigore dell´art. 162, comma 2-bis del Codice, così come modificato dall´art. 44 del d.l. 30 dicembre 2008 n. 207, convertito, con modificazioni, dalla legge 27 febbraio 2009 n. 14". Ciò, in quanto, secondo quanto precisato nello specifico passaggio del verbale di operazioni compiute, citato nella contestazione in argomento, emerge come alla data dell´ispezione "(…) non vi fosse più possibilità di iscrizione al servizio Tribù Linear tramite il suddetto form (…)", ove peraltro, sul punto, rileva come dai medesimi atti "(…) si ricava (…) che l´iniziativa commerciale relativa alla partecipazione a Tribù Linear aveva comunque una durata limitata, con inizio al 12.06.07 e termine al 31.12.2007 (…) termine (che) ha poi subito uno slittamento tecnico alla data del 15 luglio 2008 (…). Dopo tale ultima data (antecedente all´entrata in vigore delle modifiche apportate dall´art. 44 del d.l. n. 207 cit.) non è stato più possibile iscriversi al servizio e visualizzare il form (…)". Sempre riguardo il medesimo rilievo, ha osservato come la disciplina del consenso di cui all´art. 23 del Codice preveda che "(…) il consenso sia prestato "specificatamente in riferimento ad un trattamento chiaramente individuato" e non per ogni finalità di trattamento: nella "giurisprudenza" del Garante è difatti pacifico che il consenso possa essere rilasciato per un insieme di finalità del trattamento aventi le stesse caratteristiche". Nel caso di specie, "al di là dello stile utilizzato "(…) le "finalità ulteriori" per le quali viene richiesto un unico consenso paiono tutte da ricomprendere nella più ampia nozione  di marketing diretto di cui al Titolo XIII, Capo I, art. 140 del Codice, nonché (degli) artt. 7, comma 4, lett. b), e 130 del Codice, riguardando, nella sostanza, il trattamento di dati personali consistente (…) in un´attività di contatto o comunicazione (one to one) con gli interessati (…). Sostenere, secondo quanto indicato nel verbale di contestazione, l´obbligo di articolare "(…) distinte opzioni di consenso per ogni singola finalità di marketing, nonostante il chiaro dettato normativo che permette di raggrupparle (…), sarebbe (…) contrari(o) al principio di semplificazione di cui all´art. 2, comma 2, del Codice, così come confermato dai recenti orientamenti normativi sul tema, e risulterebbe ingiustificata anche in relazione agli ultimi provvedimenti adottati dal Garante da fine 2008 a oggi in analoghi casi o materie concernenti i moduli di informativa e consenso per finalità di marketing e/o di profilazione – in cui non risulta emergere anche l´avvio di procedimenti sanzionatori". Inoltre, è stato rilevato come quanto contestato in ordine alle modalità di raccolta del consenso mediante la pre-impostazione, quale valore di default nei relativi menù a tendina, della frase "Si, do il mio consenso", sia "(…) del tutto sproporzionat(o), oltre che palesemente discriminatori(o) rispetto alle prassi tuttora seguite dagli altri operatori in vari settori (…)". Ciò anche in considerazione del fatto che la previsione dell´art. 162, comma 2-bis del Codice "(…) è stata recentemente oggetto di modifica nell´ambito della legge di conversione del decreto legge 25 settembre 2009 n. 135 (…) (che) introduce un dimezzamento dell´importo minimo della sanzione in questione (…)".

Con riferimento, invece, al rilievo inerente il servizio registrazione on line del preventivo, presente sul sito web www.linear.it, nel ribadire le medesime argomentazioni afferenti il precedente rilievo, ha inteso precisare come una delle due informative presenti nel form di registrazione "(…) contiene l´indicazione anche dell´attività di profilazione della clientela, oltre alle finalità di marketing diretto (…)", ove sul punto evidenzia come la società "(…) non svolge al momento alcuna attività di profilazione del cliente sul piano commerciale (…)". Ritiene, altresì, come quanto contestato in ordine alle modalità di raccolta del consenso mediante la pre-impostazione, quale valore di default nei relativi menù a tendina, della frase "Si, do il mio consenso", "(…) non abbia completamente inficiato il requisito della libera espressione del consenso, essendovi per l´utente la possibilità di selezionare l´opzione negativa senza riflessi sulla procedura di registrazione (…)", menzionando tra gli altri, a sostegno di tale tesi, il provvedimento dell´Autorità datato 24 febbraio 2005 (in www.garanteprivacy.it, doc. web n. 1103045). Aggiunge, sul punto, come, "In virtù di quanto previsto dall´art. 130, comma 4, del Codice, ferma l´informativa con l´indicazione del diritto di opposizione (…), il consenso preventivo richiesto nel contesto della registrazione al sito web di Linear ed in relazione alla richiesta dei relativi servizi (…) può quindi essere considerato superfluo in relazione al predetto trattamento consistente nell´invio per posta elettronica di informazioni commerciali/newsletter nei confronti di Linear (…), tenuto conto anche della documentata circostanza che le newsletter inviate da Linear riguardano informative commerciali relative a prodotti e servizi analoghi e contengono alla fine le informative con le indicazioni per l´esercizio del diritto di c.d. opt-out";

VISTO il verbale di audizione delle parti redatto in data 14 luglio 2010 ai sensi dell´art. 18 della legge n. 689/1981, nel quale la società, nel ribadire quanto argomentato negli scritti difensivi, ha aggiunto "(…) che è recentemente intervenuto (…) il Regolamento n. 34 dell´ISVAP, che entrerà in vigore il 15 luglio p.v., il quale (…) detta regole particolari circa le modalità di acquisizione del consenso ulteriori rispetto a quelle contenute nel Codice (…) per analoghe finalità di commercializzazione a distanza di prodotti e servizi assicurativi. (…) la società stà attendendo che si chiarisca compiutamente il quadro normativo di riferimento prima di avviare le predette iniziative di riacquisizione del consenso degli interessati per le predette finalità", e tenuto anche conto di quanto rappresentato dalla società nella nota datata 6 maggio 2011, con la quale è stato fornito un quadro riassuntivo e aggiornato delle iniziative assunte in ordine ai trattamenti di dati personali di cui alla contestazione in argomento;

RITENUTO che le argomentazioni addotte non risultano idonee in relazione a quanto contestato. Riguardo al rilievo inerente il servizio "Tribù Linear", si deve preliminarmente osservare come non possa essere condiviso quanto sostenuto dalla società in ordine al fatto che "(…) le "finalità ulteriori" per le quali viene richiesto un unico consenso paiono tutte da ricomprendere nella più ampia nozione di marketing diretto (…)". E´ pacifico, infatti che la società, nel raccogliere i dati degli interessati che si sono a suo tempo iscritti a "Tribù Linear", ha reso loro delle informative ai sensi dell´art. 13 del Codice nelle quali erano indicate molteplici operazioni di trattamento afferenti sia a marketing sia alla comunicazione e/o cessione dei dati a terzi anch´essa finalizzata al marketing. Posto quanto sopra, se da un lato deve ritenersi che le distinte finalità del trattamento riconducibili agli artt. 7, comma 4, lett. b), 130, comma 1 e 140 del Codice sono complessivamente ed effettivamente preordinate a perseguire una più ampia finalità di marketing per la quale è lecito acquisire, anche sulla base di quanto recentemente stabilito dall´Autorità nel provvedimento n. 330 del 4 luglio 2013 (in www.garanteprivacy.it, doc. web n. 2542348), un unico consenso, dall´altro, la comunicazione e/o cessione degli stessi dati a terzi per l´effettuazione di attività di marketing presuppone invece, in ragione del grado di autonomia che caratterizza tali peculiari operazioni di trattamento, l´acquisizione di uno specifico consenso. Tale ultima posizione interpretativa, oltre ad essere stata ribadita, con particolare riferimento al caso di specie, nella nota di chiusura dell´attività istruttoria da parte del Dipartimento realtà economiche e produttive n. 19370/63802 del 25 luglio 2013, era già stata esplicitata più volte in vari provvedimenti dell´Autorità (ex multis, provvedimento dell´11 ottobre 2012 in www.garanteprivacy.it, doc. web. n. 2089777; provvedimento del 19 maggio 2011 in www.garanteprivacy.it, doc. web. n. 1823148), nonchè avallata anche dalla pronuncia, in sede giurisdizionale, del Tribunale di Roma con sentenza n. 19281 del 5 ottobre 2011. Relativamente a quanto invece osservato in ordine alle modalità di raccolta del consenso mediante la pre-impostazione della formula "Si, do il mio consenso", si evidenzia come tale procedura non è lecita in quanto, come rilevato dall´Autorità in diversi provvedimenti (tra gli altri, provv. 31 gennaio 2008 doc. web n. 1500829), gli interessati devono essere messi in grado di esprimere consapevolmente e liberamente le proprie scelte. Ciò è incompatibile con impostazioni che prevedano di default il consenso senza un´effettiva e consapevole azione dell´interessato. Si evidenzia, inoltre, come la società ritenga erroneamente che la condotta illecita debba essere individuata nel momento in cui l´interessato ha prestato il proprio consenso al trattamento ancorché viziato. In realtà la condotta che sostanzia l´illecito contestato, per inequivoca disposizione dell´art. 162, comma 2-bis del Codice, deve essere individuata "nel trattamento di dati personali effettuato in violazione delle disposizioni indicate nell´art. 167 del Codice" (tra le quali è presente anche l´art. 23). Alla luce di quanto esposto è indubitabile, anche per stessa ammissione del trasgressore, che i dati degli interessati a suo tempo iscritti a "Tribù Linear" continuavano ad essere trattati dalla Compagnia assicuratrice, almeno fino all´epoca dell´accertamento ispettivo, come risulta dagli atti, atteso che "Dalla predetta data di luglio 2008 – e ancora oggi – è rimasta soltanto la possibilità, evidenziata anche nel verbale ispettivo, per i potenziali clienti che calcolano un preventivo on-line (…) di decidere se contattare tramite un messaggio un cliente Linear che ha aderito alla Tribù". E´ quindi incontestabile che, almeno fino alla data dell´attività ispettiva, i dati degli iscritti a "Tribù Linear" hanno continuato ad essere trattati sul presupposto di un´informativa resa ai sensi dell´art. 13 del Codice, nella quale, tra le tante, era presente anche la comunicazione a terzi per finalità di marketing per la quale l´acquisizione del consenso è da ritenersi viziata per le ragioni precedentemente esposte. D´altro canto, la natura permanente dell´illecito omissivo contestato, determina, quindi, l´individuazione del suo momento consumativo all´atto dell´accertamento della violazione, ovvero, in attuazione del principio di legalità di cui all´art. 1 della legge n. 689/1981, nella piena vigenza dell´art. 162, comma 2-bis del Codice, così come modificato dall´art. 44 del d.l. 30 dicembre 2008 n. 207, convertito, con modificazioni, dalla legge 27 febbraio 2009 n. 14. Sono poi inconferenti le osservazioni sulla sproporzione di quanto contestato, atteso che l´importo della sanzione viene determinato, in applicazione del principio del tempus regit actum di cui all´art. 1 della legge n. 689/1981, dalla norma vigente all´epoca della commessa violazione, ovvero dall´art. 162, comma 2-bis del Codice nella stesura antecedente all´entrata in vigore delle modifiche introdotte dall´art. 44 del d.l. 30 dicembre 2008 n. 207, convertito, con modificazioni, dalla legge 27 febbraio 2009 n. 14 che, solo successivamente, hanno diminuito da ventimila a diecimila il minimo della sanzione edittale.

Con riferimento, invece, al rilievo inerente il servizio di registrazione on line del preventivo, presente sul sito web www.linear.it, non si possono che ribadire le medesime argomentazioni afferenti il precedente rilievo, anche con riferimento alle modalità di raccolta del consenso mediante la pre-impostazione, del valore di default nei relativi menù a tendina. Il citato articolo del Codice consente di utilizzare i dati degli interessati senza uno specifico consenso, solo con riferimento alla finalità "di vendita diretta dei propri prodotti o servizi", mentre le ulteriori finalità di comunicazione e/o cessione dei dati a terzi (anche se per l´effettuazione di attività di marketing) e di profilazione, come già illustrato, non possono essere assimilate nella previsione di vendita diretta di cui al citato art. 130, comma 4, del Codice necessitando, quindi, di uno specifico e distinto consenso. Inoltre, anche in questo caso la condotta che sostanzia l´illecito contestato, per inequivoca disposizione dell´art. 162, comma 2-bis del Codice, deve essere individuata "nel trattamento di dati personali effettuato in violazione delle disposizioni indicate nell´art. 167 del Codice" (tra le quali è presente anche l´art. 23). Alla luce di quanto, esposto è indubitabile che, almeno fino alla data dell´attività ispettiva, i dati inerenti il servizio di registrazione on line del preventivo, presente sul sito web www.linear.it, hanno continuato ad essere trattati sul presupposto di un´informativa resa ai sensi dell´art. 13 del Codice, nella quale, tra le tante, era presente anche la finalità della profilazione e per la quale l´acquisizione del consenso era viziata anche a causa delle modalità della sua raccolta mediante la pre-impostazione della formula "Si, do il mio consenso". Non risulta apprezzabile neanche quanto dichiarato in sede di audizione, atteso che il Regolamento n. 34 dell´ISVAP, in via di approvazione all´epoca dei fatti, pur dettando regole particolari circa le modalità di acquisizione del consenso ulteriori rispetto a quelle contenute nel Codice, non consente di derogare a quanto disposto dall´art. 23 del Codice stesso che è norma di rango primario. Conclusivamente quanto doviziosamente rappresentato dalla società in ordine a entrambe i rilievi contestati, seppure non sufficiente a far venir meno i presupposti per l´applicazione delle sanzioni di legge, rileva ai fini delle valutazioni sulla gravità della violazione;

RILEVATO che la società ha quindi effettuato due distinti trattamenti di dati personali (art. 4 comma 1, lett. a) e b) del Codice) senza acquisire il prescritto consenso ai sensi dell´art. 23 del Codice attraverso due distinti form relativi, uno all´iscrizione al servizio "Tribù Linear", presente sul sito web www4.onlinear.it, e l´altro alla registrazione on line del preventivo, presente sul sito web www.linear.it;

VISTO l´art. 162, comma 2-bis, del Codice, che punisce la violazione delle disposizioni indicate nell´art. 167 del Codice, tra le quali quelle di cui agli artt. 23 e 130 del medesimo Codice, con la sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro per ciascun rilievo;

CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge 24 novembre 1981 n. 689, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a) in ordine all´aspetto della gravità, gli elementi delle modalità concrete della condotta, dell´intensità dell´elemento psicologico e dell´entità del pregiudizio o del pericolo arrecato, non si rilevano elementi specifici;

b) ai fini della valutazione dell´opera svolta dall´agente, il trasgressore, con la citata nota del 6 maggio 2011, ha fornito un quadro riassuntivo e aggiornato delle iniziative assunte in ordine ai trattamenti di dati personali di cui alla contestazione in argomento elementi di merito;

c) circa la personalità dell´autore della violazione, la società non risulta destinataria di procedimenti sanzionatori nella specifica materia;

d) in merito alle condizioni economiche dell´agente, al fine di commisurare l´importo della sanzione alla reale capacità economica del trasgressore nel rispetto del principio di uguaglianza, si evidenzia che la società ha dichiarato, per l´anno 2012, un cospicuo utile d´esercizio;

RITENUTO di dover determinare, ai sensi dell´art. 11 della legge n. 689/1981, l´ammontare delle due sanzioni pecuniarie di cui all´art. 162, comma 2-bis del Codice, nella misura di euro 20.000,00 (ventimila) per ciascuno dei due rilievi per un importo complessivo pari a 40.000,00 (quarantamila) euro;

RITENUTO che, in ragione della rilevanza del volume d´affari dichiarato dalla società per l´anno 2012, ricorrono le condizioni per applicare l´art. 164-bis, comma 4, del Codice che prevede che le sanzioni di cui al Capo I Titolo III del Codice possono essere aumentate fino al quadruplo quando possono risultare inefficaci in ragione delle condizioni economiche del contravventore, e che pertanto l´importo della sanzione pecuniaria deve essere quantificato in euro 80.000,00 (ottantamila);

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni ed integrazioni;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Licia Califano;

ORDINA

a Compagnia Assicuratrice Linear s.p.a., con sede in Bologna, via Giuseppe Cesare Gualandi n. 1 P.Iva: 04260280377 indirizzo PEC: LINEAR@PEC.UNIPOL.IT, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 80.000,00 (ottantamila) a titolo di sanzione amministrativa pecuniaria per le due violazioni previste dall´art. 162, comma 2-bis del Codice indicate in motivazione;

INGIUNGE

al medesimo soggetto di pagare la somma di euro 80.000,00 (ottantamila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale o in copia autentica, quietanza dell´avvenuto versamento.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 30 ottobre 2013

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia