g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Equilibra s.r.l. - 26 luglio 2017 [7565889]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 7565889]

Ordinanza ingiunzione nei confronti di Equilibra s.r.l. - 26 luglio 2017

Registro dei provvedimenti
n. 348 del 26 luglio 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

RILEVATO che la Guardia di finanza, Nucleo polizia tributaria di Torino, in esecuzione della richiesta di informazioni n. 2976/97157 del 3 febbraio 2015 formulata ai sensi dell´art. 157 del d. lgs. 30 giugno 2003 n. 196, recante il Codice in materia di protezione dei dati personali (di seguito "Codice") ha svolto, formalizzandola con i verbali di operazioni compiute datati 22 e 23 aprile 2015, un´attività di controllo nei confronti di Equilibra s.r.l. P.Iva: 06570290012, con sede in Torino, via Plava n. 74, in persona del legale rappresentante pro-tempore. Tale attività di controllo ha consentito di accertare:

1. che la società non ha reso l´informativa agli interessati di cui all´art. 13 del Codice per il trattamento dei dati finalizzato sia all´acquisto dei prodotti commercializzati sia all´iscrizione al servizio di newsletter tramite il sito Internet www.equilibra.it;

2. che a fronte del trattamento di dati effettuato mediante un impianto di videosorveglianza, l´informativa di cui all´art. 13 del Codice, resa agli interessati nella forma semplificata prevista dal provvedimento in materia di videosorveglianza datato 8 aprile 2010, era priva delle prescritte indicazioni sul titolare del trattamento e la finalità dello stesso;

3. che la società, quale titolare, non ha provveduto a designare gli incaricati del trattamento ai sensi dell´art. 30 del Codice e a impartire loro le prescritte istruzioni, così disattendendo quanto previsto dall´Allegato B al Codice, regole nn.rr. 1-10 e 12-15;

VISTO il verbale redatto dal Nucleo polizia tributaria della Guardia di finanza di Torino in data 28 aprile 2015, con il quale sono state contestate a Equilibra s.r.l., rispettivamente, due violazioni amministrative, definibili in via breve ai sensi dell´art. 16 della legge 24 novembre 1981, n. 689, entrambe previste dall´art. 161 del Codice, in relazione all´art. 13 e la violazione amministrativa, non definibile in via breve ai sensi dell´art. 16 della legge 24 novembre 1981, n. 689, prevista dall´art. 162, comma 2-bis del Codice, in relazione alle misure indicate nell´art. 33;

VISTO lo scritto difensivo datato 26 maggio 2015 inviato ai sensi dell´art. 18 della legge n. 689/1981, con il quale con specifico riferimento al rilievo per la violazione prevista dall´art. 161 inerente l´omessa informativa agli interessati di cui all´art. 13 del Codice per il trattamento dei dati finalizzato sia all´acquisto dei prodotti commercializzati sia all´iscrizione al servizio di newsletter tramite il sito Internet www.equilibra.it, la società ha rilevato come "(…) il sito internet www.equilibra.it (…) è gestito da una società esterna (…). Il suddetto sito, tra fine 2014 ed i primi mesi del 2015, è stato oggetto di una consistente opera di modifica ed implementazione da parte di (…) (società esterna), finalizzata ad estendere le funzionalità per far fronte alle nuove esigenze commerciali. Proprio a causa dei lavori di aggiornamento e implementazione (…) inaspettatamente e all´insaputa di EQUILIBRA [durante l´accertamento ispettivo], si verificavano dei malfunzionamenti del sito (…), tra i quali quello rilevato dalla Guardia di Finanza  e relativo alla mancata presentazione dell´informativa privacy al momento dell´iscrizione alla sezione newsletter e alla sezione e-commerce". La società ha evidenziato che, tuttavia, la funzionalità del sito veniva immediatamente ripristinata; infatti, "Come riportato a pag. 5 del verbale della guardia di Finanza … nel secondo tentativo di registrazione compiuto dagli accertatori l´informativa sulla privacy compariva regolarmente".

Riguardo il distinto rilievo per la violazione prevista dall´art. 161 inerente l´informativa di cui all´art. 13 del Codice, resa agli interessati, nella forma semplificata prevista dal citato provvedimento in materia di videosorveglianza, priva delle prescritte indicazioni sul titolare del trattamento e la finalità dello stesso, ha osservato come "Al tempo dell´accertamento (…) EQUILIBRA stava cercando, seppur in maniera ancora rudimentale, di adeguare l´azienda e l´impianto di videosorveglianza alla normativa privacy". A tale scopo la società "(…) si metteva in contatto con diverse società di consulenza aziendale (…) al fine di ottenere una consulenza finalizzata all´adeguamento della normativa del D.Lgs. 196/2003". A fronte di ciò è stato evidenziato come "L´accertamento svolto dalla Guardia di finanza  si colloca nel lasso temporale necessario ad EQUILIBRA per approvare il preventivo ed inserire a bilancio il costo per la consulenza aziendale".

Relativamente al rilievo per la violazione prevista dall´art. 162, comma 2-bis, inerente l´omessa adozione delle misure minime di sicurezza di cui all´art. 33 del Codice per non aver designato gli incaricati del trattamento di cui all´art. 30 del Codice e non aver impartito loro le prescritte istruzioni, ha osservato come "Le figure professionali e gli specifici incarichi ricoperti, da quasi tre anni, dalle (…) impiegate (puntualmente individuate anche in sede di accertamento nei verbali di operazioni compiute redatti dalla Guardia di finanza) sono istituzionalizzati e riconosciuti da tutti coloro che operano all´interno dell´organigramma aziendale (…), nonché dai soggetti terzi che collaborano con la società". "Pertanto, nonostante il dato letterale della norma ex art. 30 D.lgs. 196/2003, considerate le ridotte dimensioni occupazionali e finanziarie di EQUILIBRA, che certamente può qualificarsi quale piccola-media impresa, si ritiene che la sostanziale istituzionalizzazione dell´incarico attribuito dal titolare possa essere ritenuta idonea a soddisfare i canoni di sicurezza richiesti dalla normativa privacy".

Inoltre ha evidenziato come, sempre con riferimento al rilievo che ci occupa, siano applicabili sia le previsioni di cui al punto 2.1 del provvedimento recante "Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all´Allegato B) al Codice in materia di protezione dei dati personali" del 27 novembre 2008 (in www.garanteprivacy.it, doc. web n. 1571218) sia quelle di cui alla nota 4 del punto 1.3 della "Guida pratica e misure di semplificazione per le piccole e medie imprese" del 24 maggio 2007 (in www.garanteprivacy.it, doc. web n. 1412271).

La società ha richiesto la rateizzazione ai sensi dell´art. 26 della legge n. 689/1981 dell´eventuale importo della sanzione irrogata per i tre rilievi contestati;
CONSIDERATO che le argomentazioni addotte non permettono di escludere la responsabilità di Equilibra s.r.l. In relazione alla contestazione relativa all´inidoneità dell´informativa di cui all´art. 13 del Codice, resa nella forma semplificata prevista dal provvedimento sulla videosorveglianza del 2010,  si evidenzia come la richiamata disciplina di cui all´art. 3 della legge n. 689/1981 non è applicabile. Ciò, in quanto  le argomentazioni difensive, relative all´incarico affidato a un soggetto terzo professionalmente operante nel rispettivo settore, sono inconferenti, atteso che l´errore sulla liceità del fatto, comunemente indicato come buona fede, può rilevare come causa di esclusione della responsabilità solo quando esso risulti incolpevole. A tal fine occorre, cioè, un elemento positivo idoneo ad indurre un errore siffatto, non ovviabile dall´interessato con l´ordinaria diligenza, elemento che, in entrambe le fattispecie  accertate, non è riscontrabile (Cass. Civ. sez. I del 21 febbraio 1995 n. 1873; Cass. Civ. sez II del 13 marzo 2006, n. 5426).

RITENUTO, in relazione all´omessa informativa di cui all´art. 13 del Codice per il trattamento dei dati effettuato tramite il sito Internet www.equilibra.it, che tale rilievo debba essere archiviato  poiché nel verbale di operazioni compiute viene dichiarato dagli stessi organi accertatori che dopo alcuni minuti dal primo fallito tentativo, effettivamente la funzionalità del sito veniva ripristinata tanto che gli stessi acquisivano in copia cartacea la stampa di ogni videata proposta dal sistema riportante la prevista informativa agli interessati.

Riguardo al rilievo per la violazione prevista dall´art. 162, comma 2-bis, inerente l´omessa adozione delle misure minime di sicurezza di cui all´art. 33 del Codice per non aver designato gli incaricati del trattamento di cui all´art. 30 del Codice e non aver impartito loro le prescritte istruzioni, si rileva come provvedimenti dell´Autorità richiamati nella memoria difensiva non trovino applicazione nel caso che ci occupa.

Riguardo all´invocata disciplina di cui al punto 2.1 del provvedimento recante "Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all´Allegato B) al Codice in materia di protezione dei dati personali" del 27 novembre 2008, la società non tiene conto del fatto che tale provvedimento, nell´individuare le semplificazioni tra le quali anche quelle disciplinate al richiamato punto 2.1, ne subordina l´applicabilità al rispetto, tra gli altri, del requisito essenziale di cui al punto 1 lettera a) del medesimo provvedimento in base al quale il titolare "(…) effettui il trattamento dei dati unicamente per correnti finalità amministrativo contabili". Tale requisito, così come evincibile dagli atti istruttori, non è riscontrabile nel caso che ci occupa.

Peraltro, non può trovare applicazione neanche la richiamata disciplina di cui alla nota 4 del punto 1.3 della "Guida pratica e misure di semplificazione per le piccole e medie imprese" del 24 maggio 2007, atteso che si potrà ovviare alla formale designazione del singolo incaricato del trattamento ai sensi dell´art. 30 del Codice a condizione, tra l´altro, che si individuino gli ambiti di competenza dell´articolazione aziendale che effettua il trattamento di dati in esame mediante una previsione scritta che, nel caso che ci occupa, non è stata predisposta.

RILEVATO, pertanto, che Equilibra s.r.l. ha effettuato due distinti trattamenti di dati personali (art. 4 comma 1, lett. a) del Codice),

• senza rendere, a fronte del trattamento di dati effettuato mediante un impianto di videosorveglianza, l´informativa di cui all´art. 13 del Codice, nella forma semplificata prevista dal provvedimento in materia di videosorveglianza del 2010, con le prescritte indicazioni sul titolare del trattamento e la finalità dello stesso;

• omettendo di adottare le misure minime di sicurezza ai sensi dell´art. 33 del Codice in relazione alla mancata designazione degli incaricati del trattamento ai sensi dell´art. 30 del Codice, senza impartire loro le prescritte istruzioni, in violazione di quanto previsto dall´Allegato B al Codice, regole nn.rr. 1-10 e 12-15;

VISTO l´art. 161 del Codice, che punisce, le violazioni delle disposizioni di cui all´art. 13 del medesimo Codice, con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro;

RITENUTO, per le due violazioni previste dall´art. 161 del Codice, che sussistono gli elementi per qualificare le violazioni di minore gravità che consentono di applicare, pertanto, la previsione di cui all´art. 164-bis, comma 1, del Codice per l´illecito contestato;

VISTO l´art. 162, comma 2-bis, del Codice che punisce la violazione delle disposizioni indicate nell´art. 33 del Codice con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge 24 novembre 1981 n. 689, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore e che, pertanto, l´ammontare della sanzione pecuniaria con riferimento alla violazione di cui all´art. 161 deve essere quantificato, in applicazione di quanto previsto dall´art. 164-bis, comma 1, del Codice, nella misura di euro 2.400,00 (duemilaquattrocento), l´ammontare della sanzione pecuniaria con riferimento alla violazione di cui all´art. 162, comma 2-bis deve essere quantificato nella misura di euro 10.000,00 (diecimila) per una quantificazione totale pari a euro 12.400,00 (dodicimilaquattrocento);

RITENUTO, altresì, di accogliere la richiesta di rateizzazione in 10 (dieci) rate mensili dell´importo di euro 1.240,00 (milleduecentoquaranta) ciascuna, per un importo complessivo pari a euro 12.400,00 (dodicimilaquattrocento);

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

DISPONE

l´archiviazione del procedimento sanzionatorio relativo alla contestazione della violazione amministrativa di cui all´art. 161 del Codice in relazione all´art. 13, nei termini di cui in motivazione;

ORDINA

a Equilibra s.r.l. P.Iva: 06570290012, con sede in Torino, via Plava n. 74, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 12.400,00 (dodicimilaquattrocento) a titolo di sanzione amministrativa pecuniaria per le violazioni previste dagli artt. 161 e 162, comma 2-bis del Codice, come indicato in motivazione frazionandola, in accoglimento della richiesta di rateizzazione, in 10 rate mensili dell´importo di 1.240,00 (milleduecentoquaranta) euro ciascuna;

INGIUNGE

al medesimo soggetto di pagare la somma di euro 12.400,00 (dodicimilaquattrocento) secondo le modalità indicate in allegato, i cui versamenti frazionati saranno effettuati entro l´ultimo giorno del mese successivo a quello in cui avverrà la notifica della presente ordinanza, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d. lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 26 luglio 2017

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia