[doc. web n. 6085133]

Ordinanza ingiunzione nei confronti di Centro Studi Raffaello s.r.l. - 12 gennaio 2017

Registro dei provvedimenti
n. 6 del 12 gennaio 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

RILEVATO che la Guardia di finanza, Nucleo speciale privacy, con verbale n. 69/2013 del 20 novembre 2013 (notificato il 16 dicembre 2013), che qui deve intendersi integralmente riportato, ha contestato alla società "Centro Studi Raffaello s.r.l." (di seguito "Centro Studi"), in persona del legale rappresentante pro-tempore, con sede legale in Torino, via Cavour n. 30, C.F. n. 07584370014, la violazione delle disposizioni di cui agli artt. 13, 23, 33, 161, 162, comma 2-bis, e 167 del Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196, di seguito denominato "Codice");

RILEVATO, più precisamente, che con il verbale di contestazione, che richiama in più parti il verbale di accertamento ispettivo del 16 ottobre 2013 nei confronti del Centro Studi si rappresenta quanto segue:

- il Centro Studi è un istituto privato che progetta e eroga servizi personalizzati per la preparazione di esami universitari, scolastici e della formazione professionale. Nell´ambito di tale attività raccoglie i dati personali dei clienti mediante un modulo cartaceo. "Nel suddetto modulo cartaceo la firma del secondo consenso in calce allo stesso prevede che: "il richiedente iscritto autorizza, ai sensi del D.lgs. 196/2003, l´utilizzo dei dati personali, approvando l´intera clausola "Consenso al trattamento dati" prevista al punto 9) del presente contratto" e all´interno dell´informativa è presente una casella per il dissenso a "ricevere offerte, proposte e gli altri materiali di cui sopra". L´informativa in argomento prevede diverse finalità (commerciali, promozionali e/o di vendita nonché per statistiche, ovvero per l´invio di materiale redazionale, mediante elaborazione e raffronto. a fronte di un unico consenso al trattamento dei dati personali. Gli interessati devono quindi fornire un consenso "omnicomprensivo" al trattamento dei dati personali per le finalità indicate nell´informativa privacy presente in calce al predetto form e non un consenso specifico per ogni ulteriore finalità di trattamento dati";

- il Centro Studi gestisce un sito web nel quale presenta i propri servizi. "Dalla home page del sito www.centrostudiraffaello.it e nel form raggiungibile direttamente dalla stessa home page del sito […] non sono presenti l´informativa e il consenso di cui rispettivamente all´art. 13 e 23 del codice";

- inoltre, "l´informativa presente sul sito internet del Centro Studi Raffaello S.r.l., www.centrostudiraffaello.it […] prevede, tra le finalità quella di "analisi delle informazioni ottenute al fine della proposizione, mediante l´invio di informative promozionali anche telematiche, di beni e servizi reputati di Suo interesse". Tale ulteriore finalità rispetto al form per richiedere informazioni […] necessita di un consenso specifico", che il centro Studi Raffaello, secondo quanto accertato dalla Guardia di finanza, non ha acquisito;

- infine, il Centro Studi ha dichiarato di non aver designato i propri dipendenti che effettuano operazioni di trattamento di dati personali quali incaricati ai sensi dell´art. 30 del Codice; tale omissione determina la mancata adozione di talune misure minime di sicurezza previste dall´art. 33 e dal disciplinare tecnico di cui all´allegato B) del Codice;

RILEVATO che con il citato verbale del 20 novembre 2013 la Guardia di finanza, Nucleo speciale privacy, ha contestato al Centro Studi:

a) ai sensi dell´art 161 del Codice, la violazione delle disposizioni di cui all´art. 13 del medesimo Codice, concernenti l´omessa informativa agli interessati poiché "la società, ai clienti che accedono direttamente al form della home page del sito […], non ha provveduto a fornire una informativa idonea ai sensi dell´art. 13 del codice";

b) ai sensi dell´art. 162, comma 2-bis, del Codice, la violazione delle disposizioni indicate nell´art. 167 del Codice, tra le quali quelle di cui all´artt. 23 del medesimo Codice, relative alla raccolta del consenso degli interessati poiché: 1) non risulta acquisito un consenso specifico per i trattamenti svolti con finalità promozionali dei dati dei clienti raccolti mediante la modulistica cartacea in uso presso il Centro Studi; 2) non risulta acquisito un consenso specifico, con riferimento ai dati raccolti mediante il form per la richiesta di informazioni presente nel sito del Centro Studi, per i trattamenti svolti con finalità di "analisi delle informazioni ottenute al fine della proposizione, mediante l´invio di informative promozionali anche telematiche, di beni e servizi reputati di Suo interesse";

c) ai sensi dell´art. 162, comma 2-bis, del Codice, la violazione delle disposizioni di cui all´art. 33 relative all´adozione delle misure minime di sicurezza, per non aver designato i dipendenti che effettuano operazioni di trattamento quali incaricati ai sensi dell´art. 30 del Codice;

VISTO il rapporto relativo all´atto di contestazione di cui sopra, predisposto dall´Ufficio ai sensi dell´art. 17 della legge 24 novembre 1981, n. 689, dal quale non risulta essere stato effettuato il pagamento in misura ridotta, laddove consentito;

LETTI gli scritti difensivi del 14 gennaio 2014, che qui si intendono integralmente richiamati e che, in sintesi, rappresentano:

- con riferimento alla contestazione relativa alla violazione dell´obbligo di informativa, emerge, dal verbale di accertamento ispettivo e dal verbale di contestazione, che il sito web della società era dotato di una completa informativa ai sensi dell´art. 13 del Codice. Tale informativa era facilmente raggiungibile dalla home page del sito e dalle altre sezioni, mediante collegamento alla pagina "Contatti" del medesimo sito, nella quale era presente un link che indirizzava l´utente al testo dell´informativa. Peraltro, la società, in occasione di un malfunzionamento del sito avvenuto nel 2011, avrebbe avuto contezza della momentanea indisponibilità del testo dell´informativa e si sarebbe attivata con il gestore del software del sito per l´immediato ripristino dello stesso. Di tale circostanza è stata fornita documentazione;

- con riferimento alla contestazione relativa alla violazione dell´obbligo di acquisire il consenso specifico per i trattamenti con finalità promozionali dei dati dei clienti raccolti mediante la modulistica cartacea, le finalità indicate nella predetta modulistica e per le quali veniva richiesto il consenso ai sensi dell´art. 23 del Codice erano tutte riconducibili ad attività promozionali e pertanto non vi era motivo di differenziare la richiesta di consenso;

- con riferimento alla contestazione relativa alla violazione dell´obbligo di acquisire il consenso specifico per i trattamenti con finalità promozionali dei dati raccolti mediante il form per la richiesta di informazioni presente nel sito del Centro Studi, non erano previste "peculiari forme di trattamento dei dati personali, per le quali è necessario […] un´informativa ed un consenso specifico" e, comunque, alla parte "non risulta di avere mai inviato comunicazioni commerciali" attraverso l´utilizzo dei dati raccolti con il form;

- con riferimento alla contestazione relativa all´omessa adozione delle misure minime di sicurezza, non risulta che l´art. 33 del Codice annoveri, fra le predette misure minime, anche la designazione degli incaricati del trattamento. Inoltre, la contestazione di tale violazione è stata effettuata senza indicare l´importo della sanzione da applicare, e tale circostanza "è in evidente contrasto con il diritto di difesa della Centro Studi Raffaello ed il principio della certezza del diritto"

RITENUTO che le argomentazioni addotte non risultano idonee a determinare l´archiviazione del procedimento sanzionatorio avviato con la contestazione di cui sopra, ma consentono tuttavia di escludere alcune delle violazioni contestate, per le motivazioni di seguito riportate:

1) per quanto riguarda la contestazione della violazione relativa all´obbligo di informativa, deve osservarsi che, in effetti, dall´esame dell´allegato n. 5 del verbale di accertamento ispettivo emerge che il sito web del Centro Studi era dotato di una informativa, presente nella pagina www.centrostudiraffaello.it/privacy.htm, la quale, come risulta dal successivo allegato n. 6, era raggiungibile anche da altre sezioni del sito. L´informativa era pertanto pubblicata nel sito e facilmente individuabile anche da parte di un utente non esperto. Dall´esame del contenuto emerge che l´informativa resa dal Centro Studi conteneva tutti gli elementi richiesti dall´art. 13 del Codice. Deve pertanto ritenersi insussistente la violazione di cui all´art. 161 del Codice e pertanto il procedimento amministrativo sanzionatorio relativo alla specifico rilievo deve essere archiviato;

2) per quanto riguarda la contestazione relativa alla violazione dell´obbligo di acquisire il consenso specifico per i trattamenti con finalità promozionali dei dati dei clienti raccolti mediante la modulistica cartacea, dall´esame della predetta modulistica, in particolare il punto 9 delle "condizioni generali" (allegato n. 1 del verbale di accertamento ispettivo), emerge effettivamente che le finalità di trattamento per le quali è richiesto il consenso sono tutte riconducibili alla categoria delle attività promozionali dei servizi resi dal Centro Studi. A tale riguardo deve osservarsi che, a prescindere dalla formulazione della richiesta di consenso, che appare imprecisa e generica, tutte le finalità di trattamento in essa elencate ("commerciali, promozionali e/o di vendita nonché per statistiche, ovvero l´invio di materiale redazionale, mediante elaborazione e raffronto" dei dati raccolti) non ricomprendono ambiti di attività diversi da quelli promozionali, in particolare se si tiene conto che i dati in concreto utilizzabili dal titolare del trattamento sono soltanto i dati anagrafici del cliente, i recapiti postali e telefonici, le informazioni sull´attività lavorativa svolta e quelle riguardanti l´iscrizione al Centro Studi. Deve inoltre evidenziarsi che, per tutte le finalità indicate "il conferimento dei dati richiesti è facoltativo ed un eventuale rifiuto a fornirli comporta esclusivamente la rinuncia a ricevere proposte, le offerte e gli altri materiali di cui sopra": anche da tale elemento può desumersi che l´unica finalità di trattamento presa in considerazione dal titolare del trattamento è quella promozionale, per la quale viene richiesto un consenso differenziato rispetto alla approvazione delle altre clausole del contratto stipulato fra Centro Studi e cliente. Infine, si osserva che al termine del punto 9 delle "condizioni generali" è presente una dicitura: "in caso di suo dissenso barri la casella qui a fianco", al fine di consentire al cliente di rendere maggiormente esplicita la propria volontà di non autorizzare trattamenti per finalità promozionali. Tale diniego del consenso, benché espresso nelle forme dell´opt-out non previste dal nostro ordinamento, evidenzia quantomeno la buona fede del titolare del trattamento che, nello stesso modulo di raccolta dei dati, ha inserito più strumenti per consentire all´interessato di opporsi ai trattamenti aventi finalità promozionali: le criticità rilevate nel verbale di contestazione appaiono pertanto frutto di mere imprecisioni e non certo della volontà del Centro Studi di acquisire forzosamente i dati dei propri clienti ai fini di un successivo utilizzo per attività promozionali. Deve quindi ritenersi insussistente la violazione di cui all´art. 162, comma 2-bis, concernente il consenso al trattamento dei dati raccolti mediante la modulistica cartacea e pertanto il procedimento amministrativo sanzionatorio relativo alla specifico rilievo deve essere archiviato;

3) per quanto riguarda la contestazione relativa alla violazione dell´obbligo di acquisire il consenso specifico per i trattamenti relativi ad "analisi delle informazioni ottenute al fine della proposizione, mediante l´invio di informative promozionali anche telematiche, di beni e servizi reputati di Suo interesse" raccolti mediante il form per la richiesta di informazioni presente nel sito web del Centro Studi (www.centrostudiraffaello.it/contatti), in primo luogo deve richiamarsi quanto osservato al precedente punto 1) in ordine alla presenza, nel sito web del Centro Studi, di una completa e dettagliata informativa. Inoltre, deve rilevarsi che nell´informativa sono indicate diverse finalità di trattamento le quali riguardano: l´erogazione dei servizi, la gestione del rapporto e la progettazione di forme di assistenza personalizzata (tali finalità sono quindi riconducibili all´esecuzione del contratto con il cliente per le quali è esclusa l´acquisizione del consenso in base a quanto previsto dall´art. 24, comma 1, lett. b), del Codice); il controllo dei rischi di credito e frodi (tali finalità sono perseguite da una società esterna – Consel S.p.A., come risulta dal modulo acquisito in allegato 8 del verbale di accertamento ispettivo - che si occupa di gestione del credito e in ordine alle quali viene presentata al cliente una separata informativa e richiesto uno specifico consenso); l´adempimento ad obblighi di legge (per tali finalità è esclusa la richiesta di un consenso in base a quanto previsto dall´art. 24, comma 1, lett. a), del Codice); "l´analisi delle informazioni ottenute ai fini della proposizione, mediante l´invio di informative promozionali anche telematiche, di beni e servizi" (finalità riconducibile alla sola attività promozionale e non anche ad una attività di profilazione, posto che le informazioni acquisibili attraverso i form del sito web del Centro Studi non risulta siano utilizzabili né siano state sottoposte ad attività di elaborazione di profili di consumatori). Per la finalità promozionale di cui sopra risulta presente, nelle diverse sezioni del sito, la richiesta del consenso di cui all´art. 23 del Codice. Deve quindi ritenersi insussistente la violazione di cui all´art. 162, comma 2-bis, concernente il consenso al trattamento dei dati raccolti mediante il form presente nel sito web del Centro Studi e pertanto il procedimento amministrativo sanzionatorio relativo alla specifico rilievo deve essere archiviato;

4) per quanto riguarda la violazione concernente la omessa adozione delle misure minime di sicurezza connessa alla mancata designazione degli incaricati del trattamento, deve richiamarsi quanto già più volte espresso dall´Autorità sull´argomento (cfr. ordinanza-ingiunzione n. 157 del 27 marzo 2014, in www.gpdp.it, doc. web n. 3255983) e cioè che "la mancata designazione degli incaricati ai sensi dell´art. 30, determina la conseguente disapplicazione di tutte le misure minime di sicurezza, previste dal "Disciplinare tecnico in materia di misure minime di sicurezza" allegato B al Codice (richiamato espressamente dagli artt. 34 e 35 del Codice) e facente parte integrante quindi delle misure minime di cui all´art. 33, che hanno, come presupposto necessario, la predetta designazione. Il Disciplinare tecnico contenuto nell´allegato B del Codice prevede al riguardo, ai punti da 1 a 10, una serie di regole concernenti l´autenticazione informatica che possono essere idoneamente adottate soltanto previa designazione degli incaricati del trattamento ai sensi dell´art. 30 del Codice. Lo stesso dicasi per le regole di cui ai punti da 12 a 15 (adozione di un sistema di autorizzazione), 22 e 23 (dati sensibili contenuti in supporti rimovibili), 27 (dati comuni contenuti in supporti cartacei), 28 e 29 (dati sensibili contenuti in supporti cartacei). Tale omissione, pertanto non costituisce un mero inadempimento formale, in quanto la parte più significativa delle misure di sicurezza da adottarsi per il trattamento di dati personali è strettamente correlata all´attività degli incaricati del trattamento (ovvero di coloro che ordinariamente operano sui dati personali) e mira a fornire agli stessi le istruzioni da seguire per il corretto trattamento dei dati, rendendoli al contempo consapevoli delle connesse responsabilità". Quanto alla lamentata illegittimità della contestazione per mancata indicazione della sanzione applicata, deve osservarsi che per le violazioni di cui all´art. 162, comma 2-bis, del Codice in tema di omessa adozione delle misure minime di sicurezza non è consentito il pagamento in misura ridotta e quindi la quantificazione della sanzione può avvenire soltanto in sede di ordinanza-ingiunzione. Per le ragioni di cui sopra, emergendo dal verbale di accertamento ispettivo che il Centro Studi non ha provveduto alla designazione degli incaricati del trattamento, deve affermarsi la responsabilità del medesimo in ordine alla mancata adozione delle misure minime di sicurezza previste dall´art. 33 del Codice e dal Disciplinare tecnico di cui all´allegato B) del Codice e, segnatamente, delle regole nn. 1-10, 12-14, 15 e 27, così come indicato nel provvedimento di prescrizione emesso dal Garante, in applicazione delle disposizioni di cui all´art. 169, comma 2, del Codice, il 4 settembre 2015 e notificato il 5 ottobre 2015, al quale il contravventore, peraltro, non risulta avere dato adempimento. In relazione a tale omissione, l´Autorità, in data 25 novembre 2015, ai sensi dell´art. 169, comma 2, del Codice e dell´art. 21, comma 3, del d. lgs. n. 758/1994, ha rappresentato alla Procura della Repubblica presso il Tribunale di Torino che la procedura estintiva non si è perfezionata,

RILEVATO, quindi, che il Centro Studi, sulla base delle considerazioni sopra richiamate, risulta aver commesso, in qualità di titolare del trattamento, ai sensi dell´art. 4, comma 1, lett. f), e 28 del Codice, la violazione di cui agli artt. 33 e 162, comma 2-bis, del Codice, per aver svolto trattamenti di dati personali connessi con la propria attività di progettazione e erogazione di servizi personalizzati nell´ambito della preparazione di esami universitari, scolastici e della formazione professionale, senza aver designato quali incaricati, ai sensi dell´art. 30 del Codice, i soggetti che effettuavano le operazioni di trattamento, omettendo, pertanto, di adottare le misure minime di sicurezza previste dal Disciplinare tecnico di cui all´allegato B) del Codice e, segnatamente, le regole nn. 1-10, 12-14, 15 e 27;

VISTO l´art. 162, comma 2-bis, del Codice che punisce la violazione dell´art. 33 con la sanzione da diecimila a centoventimila euro;

CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge n. 689/1981, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a) in ordine all´aspetto della gravità con riferimento agli elementi dell´entità del pregiudizio o del pericolo e dell´intensità dell´elemento psicologico, le violazioni non risultano connotate da elementi specifici;

b) ai fini della valutazione dell´opera svolta dall´agente, deve evidenziarsi che non risulta sia stato dato adempimento al provvedimento di prescrizione emesso dal Garante il 4 settembre 2015 in applicazione delle disposizioni di cui all´art. 169, comma 2, del Codice e che, pertanto, a tutt´oggi, il Centro Studi non ha provveduto alla designazione degli incaricati del trattamento;

c) circa la personalità dell´autore della violazione, deve essere considerata la circostanza che il Centro Studi non risulta gravato da precedenti procedimenti sanzionatori definiti in via breve o a seguito di ordinanza ingiunzione;

d) in merito alle condizioni economiche dell´agente, sono stati presi in considerazione gli elementi delle dichiarazioni reddituali relative all´anno d´imposta 2015;

RITENUTO, quindi, di dover determinare, ai sensi dell´art. 11 della legge n. 689/1981, l´ammontare della sanzione pecuniaria,  in ragione dei suddetti elementi valutati nel loro complesso, nella misura di euro 20.000,00 (ventimila) per la violazione di cui all´art. 162, comma 2-bis, in relazione all´art. 33 del Codice;

VISTA la documentazione in atti;

VISTA la legge n. 689/1981, e successive modificazioni e integrazioni;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la prof.ssa Licia Califano;

DISPONE

l´archiviazione del procedimento sanzionatorio amministrativo di cui ai rilievi relativi alle violazioni dell´art. 161 del Codice, afferente l´omessa informativa agli interessati per la raccolta di dati personali tramite il sito web, nonché dell´art. 162, comma 2-bis, concernente il consenso al trattamento dei dati raccolti sia mediante la modulistica cartacea, sia tramite il form presente nel sito web;

ORDINA

a Centro Studi Raffaello s.r.l., in persona del legale rappresentante pro-tempore, con sede legale in Torino, via Cavour n. 30, C.F. n. 07584370014, di pagare la somma di euro 20.000,00 (ventimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione;

INGIUNGE

a Centro Studi Raffaello s.r.l. di pagare la somma di euro 20.000,00 (ventimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 12 gennaio 2017

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia