g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Jump 3000 s.r.l. - 13 settembre 2017 [7555719]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 7555719]

Ordinanza ingiunzione nei confronti di Jump 3000 s.r.l. - 13 settembre 2017

Registro dei provvedimenti
n. 372 del 13 settembre 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

RILEVATO che la Guardia di finanza, Compagnia Cortina d´Ampezzo, in esecuzione della richiesta di informazioni n. 18683/91026 del 16 giugno 2014, formulata ai sensi dell´art. 157 del d.lgs. 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito "Codice"), ha svolto gli accertamenti presso Jump 3000 s.r.l., con sede legale in Roma, via Gian Giacomo Porro n. 4, P.I. 12945131006, formalizzati nel verbale di operazioni compiute del 16 dicembre 2014, diretti a verificare il rispetto della normativa in materia di protezione dei dati personali;

VISTI gli atti relativi agli accertamenti eseguiti presso l´Hotel Faloria Mountain SPA Resort, sito in Cortina d´Ampezzo, via Zuel di Sopra snc, gestito dalla suddetta società, dai quali è risultato che:

-  la Jump 3000 s.r.l., in qualità di titolare del trattamento ai sensi dell´art. 28 del Codice, effettua un trattamento di dati personali dei propri clienti mediante moduli cartacei recanti l´informativa di cui all´art. 13 del Codice, che è risultata priva dell´indicazione del nuovo titolare del trattamento;

- la società effettua, altresì, un trattamento di dati personali per mezzo di diversi form di raccolta dati presenti sul proprio sito internet www.parkhotelfaloria.it, di cui uno finalizzato a ricevere le prenotazioni on line (rispetto al quale è stata verificata la presenza dell´informativa e di una specifica formula di acquisizione del consenso), e altri finalizzati a evadere le richieste di informazioni relative a "pacchetti SPA", "pacchetti ristorante" e "Day SPA gift" e "voucher regalo". Rispetto a questi ultimi form è stata accertata l´assenza dell´informativa di cui all´art. 13 del Codice e della richiesta di consenso di cui all´art. 23 del medesimo Codice;

- la società, infine, non ha effettuato le designazioni degli incaricati del trattamento, omettendo di adottare le misure di sicurezza di cui all´art. 33 del Codice;

VISTO il verbale n. 2015 BL115 0002 dell´11 febbraio 2015, che qui si intende integralmente richiamato, con cui è stata contestata a Jump 3000 s.r.l., in qualità di titolare del trattamento, in persona del legale rappresentante pro-tempore, la violazione amministrativa prevista dall´art. 161 del Codice, per aver effettuato un trattamento di dati personali per mezzo di moduli cartacei "fornendo un´informativa ex art. 13 del D.lgs. 196/2003 inidonea, poiché non indicava che il titolare del trattamento dei dati era da individuarsi nella società Jump 3000 s.r.l.", informandola della facoltà di effettuare il pagamento in misura ridotta ai sensi dell´art. 16 della legge 24 novembre 1981 n. 689;

VISTO il verbale n. 2015 BL115 0003 dell´11 febbraio 2015, che qui si intende integralmente richiamato, con cui è stata contestata a Jump 3000 s.r.l., in qualità di titolare del trattamento, in persona del legale rappresentante pro-tempore, la violazione amministrativa prevista dall´art. 161 del Codice, per aver effettuato un trattamento di dati personali per mezzo di form di raccolta dati presenti sul sito internet www.parkhotelfaloria.it, a fronte del quale non è stata resa l´informativa di cui all´art. 13 del Codice, informandola della facoltà di effettuare il pagamento in misura ridotta ai sensi dell´art. 16 della legge 24 novembre 1981 n. 689;

VISTO il verbale n. 2015 BL115 0004 dell´11 febbraio 2015, che qui si intende integralmente richiamato, con cui è stata contestata a Jump 3000 s.r.l., in qualità di titolare del trattamento, in persona del legale rappresentante pro-tempore, la violazione amministrativa prevista dall´art. 162. comma 2-bis, in relazione all´art. 33 del Codice, per non aver effettuato le designazioni degli incaricati del trattamento, per la quale non è prevista la definizione in via breve ai sensi dell´art. 16 della legge n. 689/1981;

VISTO il verbale n. 2015 BL115 0005 dell´11 febbraio 2015, che qui si intende integralmente richiamato, con cui è stata contestata a Jump 3000 s.r.l., in qualità di titolare del trattamento, in persona del legale rappresentante pro-tempore, la violazione amministrativa prevista dall´art. 162. comma 2-bis, del Codice perché, a fronte della raccolta di dati personali effettuata per mezzo dei form presenti sul sito internet www.parkhotelfaloria.it e "finalizzata alla formulazione di preventivi nonché all´invio di eventuali ulteriori comunicazioni (cc.dd. follow-up) ai clienti" non ha acquisito il consenso dell´interessato ai sensi dell´art. 23, informandola della facoltà di effettuare il pagamento in misura ridotta ai sensi dell´art. 16 della legge 24 novembre 1981 n. 689;

RILEVATO che dai rapporti predisposti dalla predetta Compagnia della Guardia di finanza, ai sensi dell´art. 17 della legge n. 689/1981, non risultano essere stati effettuati i pagamenti in misura ridotta;

VISTI gli scritti difensivi, datati 10 marzo 2015, inviati ai sensi dell´art. 18 della legge n. 689/1981, con cui la parte ha chiesto l´archiviazione dei procedimenti sanzionatori in esame o, in subordine, l´applicazione delle relative sanzioni nella misura del minimo edittale, in considerazione della minore gravità dei rilievi mossi. Infatti, secondo la parte, ai fini della valutazione della minore gravità, deve essere considerata la circostanza che la società Jump 3000 aveva avviato la gestione della struttura alberghiera solo in data 1° novembre 2014, ovvero poche settimane prima dell´accertamento ispettivo. Pertanto, l´informativa presente sui moduli cartacei presentati ai clienti in fase di registrazione (rispetto ai quali è stata accertata la violazione dell´art. 13 del Codice), indicava quale titolare del trattamento il nominativo del precedente gestore della struttura alberghiera. Tale irregolarità deve essere valutata come una "svista (…) non in grado di viziare l´informativa contenuta nel modulo al punto di renderla inidonea al suo scopo", in quanto "a prescindere dalla sua imprecisione formale" l´informativa era formulata in modo sufficientemente chiaro da consentire all´interessato di avere conoscenza degli elementi indicati dalla legge. La minore gravità deve essere valutata, altresì, con riferimento alle violazioni degli artt. 13 e 23 del Codice, riscontrate sul sito web della società. Rispetto a tali violazioni, infatti, la parte ha rilevato che "il sito in parola è stato realizzato ed è tuttora gestito in via esclusiva da Blastness s.r.l., in forza di un contratto stipulato con 3 Le Mans s.r.l. [precedente gestore dell´hotel]". "La deducente, nonostante numerosi solleciti, non ha mai ottenuto da Blastness s.r.l. le credenziali di accesso all´area amministrativa del sito né può in altro modo gestirne i contenuti". Non può, pertanto, attribuirsi alcuna responsabilità in capo a Jump 3000 s.r.l. rispetto alle violazioni in argomento, per la mancanza dell´elemento soggettivo della colpa di cui all´art. 3 della legge n. 689/1981. In ogni caso, deve essere utilmente considerato che l´utilizzo di tali form era finalizzato a evadere specifiche richieste degli interessati, i quali volontariamente conferivano i propri dati al fine di ottenere maggiori informazioni sui servizi offerti dall´hotel. Pertanto, la fattispecie in esame rientrerebbe nei casi di cui all´art. 24 del Codice, che disciplina i trattamenti di dati personali per i quali non è prevista l´acquisizione del consenso. Infine, quanto all´inosservanza delle misure minime di sicurezza, la parte ha osservato che, contrariamente a quanto rilevato dall´organo accertatore, l´atto di designazione esibito nel corso dell´accertamento ispettivo risponde ai requisiti richiesti dalla legge, "in quanto effettuata per iscritto e indicante puntualmente l´ambito del trattamento consentito, ovvero l´inserimento dei dati sensibili al servizio di ricevimento e l´inserimento dei dati sensibili al servizio di prenotazione". Tra l´altro, la parte ha fatto presente che tale atto è stato redatto sulla base di un modello trasmesso dall´Associazione Albergatori Cortina e, pertanto, "di aver confidato senza colpa nella validità del modello";

LETTO il verbale di audizione del 18 gennaio 2016, ai sensi dell´art. 18 della legge n. 689/1981, con cui la parte ha ribadito quanto già dichiarato negli scritti difensivi, producendo documentazione idonea a dimostrare la propria buona fede rispetto ai rilievi mossi;

RITENUTO che le argomentazioni addotte sono in parte idonee ad escludere la responsabilità della parte in relazione a quanto contestato. Posto che l´informativa deve contenere tutti gli elementi indicati dall´art. 13 del Codice (e che la mancanza di uno solo di essi determina la sua inidoneità), si osserva che, contrariamente a quanto ritenuto dalla parte, la errata indicazione del titolare del trattamento non costituisce una mera irregolarità formale. Al contrario, essa costituisce una inesattezza particolarmente pregiudizievole per la tutela dell´interessato che, di fatto, non è informato correttamente sul soggetto che sta trattando i propri dati.  Pertanto, fornire all´interessato un´informativa inesatta, seppur completa di tutti gli elementi indicati dalla norma, la rende inidonea (e, dunque, suscettibile di essere sanzionata) perché non in grado di informare adeguatamente l´interessato circa il trattamento dei dati che lo riguardano. Per quanto attiene alla violazione dell´art. 13 del Codice, riscontrata con riferimento ai form di raccolta dati presenti sul sito internet della società, si rileva che, in base al contratto stipulato dalla 3 Le Mans s.r.l. (precedente gestore della struttura alberghiera) e Blastness s.r.l. (società incaricata della realizzazione del sito internet) è il cliente a dover "fornire a Blastness, a propria cura e spese, le informazioni testuali (con le relative traduzioni), le immagini e le fotografie che il cliente ritiene necessarie alla realizzazione da parte di Blastness delle attività" specificate nel contratto stesso. Nel caso di specie, la Jump 3000 s.r.l. ha continuato ad usufruire dei servizi offerti da Blastness ed è stato documentato come le abbia chiesto più volte un intervento sul sito per aggiornare i dati societari, ma non anche sui form al fine di adeguarli alla disciplina in materia di protezione dei dati personali. Pertanto, Jump 3000, rivestendo la qualifica di titolare del trattamento dei dati effettuato per mezzo dei suddetti form, avrebbe dovuto fornire alla società Blastness le informazioni necessarie a rendere il sito internet conforme alle disposizioni del Codice; in mancanza, si è resa responsabile della omessa informativa sul sito web. Invece, per quanto concerne la mancata acquisizione del consenso in calce ai medesimi form di raccolta dati, si ritiene che le osservazioni addotte dalla parte, in ordine all´applicazione dell´art. 24 del Codice alla fattispecie in esame, siano correttamente formulate, in quanto, mediante i suddetti form, non vengono perseguite finalità diverse o ulteriori rispetto a quelle per le quali i dati sono conferiti, quali invio di newsletter o e-mail di carattere promozionale. Pertanto, può essere archiviato il procedimento sanzionatorio di cui al verbale n. 2015 BL115 0005. Infine, con riferimento alla violazione delle misure minime di sicurezza di cui all´art. 33 del Codice, si osserva che, contrariamente a quanto sostenuto dalla parte, l´elenco che è stato esibito durante l´accertamento ispettivo non può essere qualificato come atto di designazione degli incaricati del trattamento, a norma dell´art. 30 del Codice. Tale documento, contenente solo l´elenco dei nominativi degli addetti ai servizi di portineria e di ricevimento, è privo della descrizione dell´ambito del trattamento consentito a ciascun incaricato con le relative istruzioni, oltre che della sottoscrizione del soggetto nei cui confronti viene effettuata la designazione e della data della designazione stessa. Non può essere valutato, ai fini dell´esclusione della responsabilità, la circostanza che tale atto sia stato redatto sulla base del modello fornito dall´Associazione di categoria. Infatti, come il Garante ha avuto già modo di chiarire in precedenti provvedimenti (tra queste, ord. ing. n. 53 del 4.11.2010, in doc. web n. 1823135), le indicazioni fornite da un´associazione di categoria non possono ritenersi elemento idoneo a determinare l´errore scusabile di cui all´art. 3 della legge n. 689/1981, sulla base, soprattutto, della pronuncia della Corte di Cassazione che ha chiarito come "le associazioni di categoria (…) che sono e restano organismi privati (…)" non hanno "(…) il compito di illustrare agli associati il senso della legge, esonerandoli dall´incombenza di verificare personalmente la consistenza dei loro doveri. Non è, pertanto, ravvisabile errore scusabile circa gli adempimenti da assolvere nella ipotesi in cui la inosservanza di tali adempimenti sia determinata da chiarimenti forniti dalle predette associazioni (…)" (Cass. civ. sez. III del 21 marzo 2001 n. 4015);

RITENUTO di dover archiviare il procedimento sanzionatorio relativo alla violazione dell´art. 23 del Codice, di cui al verbale n. 2015 BL115 0005 dell´11 febbraio 2015;

RILEVATO, invece, che Jump 3000 s.r.l., sulla base delle considerazioni sopra richiamate, in qualità di titolare del trattamento, ai sensi degli artt. 4 e 28 del Codice, risulta aver effettuato un trattamento di dati personali per mezzo di moduli cartacei rendendo un´informativa inidonea, in violazione dell´art. 13 del Codice;

RILEVATO, inoltre, che Jump 3000 s.r.l. ha effettuato un trattamento di dati personali per mezzo di form di raccolta dati presenti sul proprio sito internet, omettendo di rendere l´informativa, in violazione dell´art. 13 del Codice;

RILEVATO, infine, che Jump 3000 s.r.l. risulta aver effettuato un trattamento di dati personali in violazione dell´art. 162, comma 2-bis, per aver omesso di adottare le misure minime di sicurezza previste dall´art. 33, non avendo effettuato le designazioni degli incaricati del trattamento dei dati personali;

VISTO l´art. 161 del Codice che punisce la violazione dell´art. 13, con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro per ciascuna delle violazioni accertate e contestate;

VISTO l´art. 162, comma 2-bis, del Codice che punisce la violazione delle disposizioni indicate nell´art. 33, con la sanzione amministrativa del pagamento di una somma, da diecimila euro a centoventimila euro;

RITENUTO che ricorrono le condizioni per applicare (limitatamente alle violazioni dell´art. 13) l´art. 164-bis, comma 1, del Codice che prevede che, se taluna delle violazioni di cui agli art. 161, 162, 163 e 164 è di minore gravità, i limiti minimi e massimi stabiliti negli stessi articoli sono applicati in misura pari a due quinti;

CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge n. 689/1981, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a) in ordine all´aspetto della gravità con riferimento agli elementi dell´entità del pregiudizio o del pericolo e dell´intensità dell´elemento psicologico, le violazioni non risultano connotate da elementi specifici;

b) ai fini della valutazione dell´opera svolta dall´agente, deve evidenziarsi che Jump 3000 s.r.l., ha prodotto documentazione da cui si evince di aver inserito una informativa completa sia sui moduli cartacei che sul sito internet e di aver, altresì, adottato le misure di sicurezza richieste, effettuando le designazioni degli incaricati del trattamento;

c) circa la personalità dell´autore della violazione, deve essere considerata la circostanza che la società non risulta gravata da precedenti procedimenti sanzionatori;

d) in merito alle condizioni economiche dell´agente, sono stati presi in considerazione gli elementi delle dichiarazioni reddituali relative all´anno d´imposta 2016;

RITENUTO, quindi, di dover determinare, ai sensi dell´art. 11 della legge n. 689/1981, l´ammontare della sanzione pecuniaria,  in ragione dei suddetti elementi valutati nel loro complesso, nella misura di euro 4.800,00 (quattromilaottocento) per la violazione di cui all´art. 161 (2.400,00 euro per ciascun rilievo, applicata in combinato disposto con l´art. 164-bis, comma 1) e nella misura di 10.000,00 (diecimila) per la violazione di cui all´art. 162, comma 2-bis, in relazione all´art. 33 del Codice;

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Augusta Iannini;

DISPONE

l´archiviazione del procedimento sanzionatorio di cui al verbale n. 2015 BL115 0005 relativo alla contestazione della violazione amministrativa di cui all´art. 162, comma 2-bis, del Codice, in relazione all´art. 23,  nei termini di cui in motivazione;

ORDINA

a Jump 3000 s.r.l., con sede legale in Roma, via Gian Giacomo Porro n. 4, P.I. 12945131006, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 14.800,00 (quattordicimilaottocento) a titolo di sanzione amministrativa pecuniaria per le violazioni di cui agli artt. 161 e 162, comma 2-bis, indicate in motivazione;

INGIUNGE

al medesimo soggetto di pagare la somma di euro 14.800,00 (quattordicimilaottocento), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d. lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 13 settembre 2017

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia

Scheda

Doc-Web
7555719
Data
13/09/17

Argomenti


Tipologie

Ordinanza ingiunzione o revoca


Vedi anche (10)