Diritti interna

Doveri interna

ricerca avanzata

Ordinanza ingiunzione nei confronti di C.S. GROUP S.p.a. - 18 gennaio 2018 [8341304]

[doc. web n. 8341304]

Ordinanza ingiunzione nei confronti di C.S. GROUP S.p.a. - 18 gennaio 2018

Registro dei provvedimenti
n. 18 del 18 gennaio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

RILEVATO che il Nucleo Speciale Privacy della Guardia di Finanza, in esecuzione della richiesta di informazioni del Garante  n. 125/102969 del 7 gennaio 2016, formulata ai sensi dell´art. 157 del d.lgs. 30 giugno 2003 n. 196, recante il Codice in materia di protezione dei dati personali (di seguito "Codice"), ha svolto gli accertamenti, ai sensi dell´art. 13 della legge 689/1981, presso "C.S. GROUP S.p.a." (di seguito "la Società"), società esercente l´attività economica di "noleggio di autovetture e autoveicoli leggeri", con sede legale in Livorno (LI), Via dei Pelaghi n. 162, C.F. e P.I. 01769950492, formalizzati nel verbale di operazioni compiute dei giorni 20 e 21 gennaio 2016 e diretti a verificare la liceità dei trattamenti di dati personali effettuati dalla Società;

VISTI gli atti dell´accertamento ispettivo;

CONSIDERATO che, sulla base delle dichiarazioni rese nel corso degli accertamenti ispettivi, nonché di quanto rappresentato dalla Società con nota a firma dell´amministratore delegato del 1 febbraio 2016 e della documentazione inviata con nota, sempre a firma di quest´ultimo, del 3 febbraio 2016 - protocollo in entrata del Nucleo Speciale Privacy n. 0015579/2016 del 5 febbraio 2016 - a scioglimento delle riserve formulate nel corso dell´accertamento ispettivo, è risultato che:

- la Società offre il servizio di noleggio di veicoli elettrici senza conducente ed è operativa sul mercato dal 2015. E´ capogruppo della C.S. GROUP, di cui fanno parte la C.S. Milano S.r.l., la C.S. Firenze S.r.l., la C.S. Roma. S.r.l.;

- la Società raccoglie i dati personali dei propri clienti tramite:

il sito aziendale www.sharengo.it attraverso il quale è possibile la iscrizione/registrazione dell´utente, obbligatoria per la fruizione del servizio;

il sito aziendale www.equomobili.it che, attraverso un servizio denominato "Più ne hai bisogno, meno costa" offre tariffe personalizzate rispetto alla tariffa ordinaria di € 0,28 al minuto, sulla base di informazioni ulteriori e specifiche che il cliente rilascia qualora intenda fruire della percentuale di sconto applicabile alla tariffa base;

- la titolarità del trattamento dei dati personali, ai sensi del combinato disposto degli artt. 4, primo comma, lett. f) e 28 del Codice, è da individuarsi in capo alla Società;

- "tutti i veicoli elettrici della flotta del Gruppo (…) acquistati dalla casa madre cinese (…) che è la socia di maggioranza di "C.S. Group S.p.a." sono dotati di appositi localizzatori satellitari in quanto tale allestimento risulta di serie fin dal momento della loro produzione ed immissione sul mercato. La citata società cinese (..) ha fornito apposito software che (..) consente in qualsiasi momento di localizzare tutta la flotta del Gruppo C.S. (..) Inoltre il software in questione consente di visualizzare, in tempo reale, chi sta utilizzando i veicoli ovvero gli ultimi utilizzatori degli stessi (…)" (Verbale di operazioni compiute del 20 gennaio 2016 – pag. 4, punto 4);

- con riferimento al trattamento di dati personali che rilevano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica (geolocalizzazione) la Società non risulta  aver adempiuto all´obbligo di cui al combinato disposto degli artt. 37, comma 1, lettera a) e 38, commi 1 e 2, del Codice, avendo omesso di effettuare la prevista notificazione al Garante prima dell´inizio del trattamento;

- "le informazioni inserite dall´utente per il tramite del sito www.equomobili.it vengono elaborate dal sistema aziendale di "C.S. Group S.p.a." per il calcolo della tariffa da applicare" (Verbale di operazioni compiute del 20 gennaio 2016 – pag. 6, punto 4); infatti, "raccolte abitudini e caratteristiche degli autisti (…)" viene calcolata una percentuale di sconto attraverso un algoritmo di calcolo (nota del 1 febbraio 2016 inviata dalla Società al Nucleo Speciale Privacy della Guardia di Finanza); (ciò) in quanto l´attività che viene (…) svolta, per ovvie ragioni di guadagno, è quella di posizionare i veicoli laddove il loro utilizzo risulta più elevato (Verbale di operazioni compiute del 21 gennaio 2016 – pag. 1);

- nell´Informativa rilasciata ai clienti, ai sensi dell´art. 13 del Codice, al momento della iscrizione/registrazione nel sito www.sharengo.it (allegato n.12 della documentazione prodotta dalla Società al Nucleo Speciale Privacy della Guardia di Finanza) si fa presente, fra altro, che "nello specifico il trattamento dei dati potrà essere relativo a (…) registrazione del cliente nel sito internet e/o tramite App e creazione e successivo utilizzo di account e profilo del cliente (…);

- nel Regolamento di servizio per i clienti utilizzatori dei veicoli, presente nel sito www.sharengo.it, è espresso che "per poter usufruire di agevolazioni o comunque di particolari tariffe il potenziale cliente è tenuto a fornire anche dati considerati facoltativi dal gestore (pag. 2 del Regolamento ) e che "lo sconto % sulle tariffe nominali – e quindi il Piano Tariffario Personale effettivo – è definito al momento della profilazione-registrazione su www.equomobili.it"   (pag. 11 del Regolamento);

- nel sopra citato sito www.equomobili.it , all´inizio della procedura per la raccolta dei dati personali finalizzata al calcolo, mediante algoritmo, della tariffa personalizzata, è rilasciata una informativa, ai sensi dell´art. 13 del Codice, (allegato n. 15) per cui "(…) si informa che i dati personali acquisiti per la profilazione sul presente sito sono raccolti e trattati..(…)";

- con riferimento ai trattamenti di dati personali sopra specificati e relativi alla profilazione, la Società non risulta aver adempiuto all´obbligo di cui al combinato disposto degli artt. 37, comma 1, lettera d) e 38, commi 1 e 2, del Codice, avendo omesso di effettuare la prevista notificazione al Garante;

VISTO il Verbale del Nucleo Speciale Privacy della Guardia di Finanza n. 4 del 9 febbraio 2016 con cui sono state contestate a "C.S. GROUP S.p.a." con sede legale in Livorno (LI), Via dei Pelaghi n. 162, C.F. e P.I. 01769950492, in persona del legale rappresentante pro-tempore, le seguenti violazioni amministrative:

mancato assolvimento dell´obbligo di cui al combinato disposto degli artt. 37, comma 1, lettera a) e 38, commi 1 e 2, del Codice per omessa notificazione al Garante (art. 163 del Codice) in relazione al trattamento dei dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica;

mancato assolvimento dell´obbligo di cui al combinato disposto degli artt. 37, comma 1, lettera d) e 38, commi 1 e 2, del Codice per omessa notificazione al Garante (art. 163 del Codice) in relazione al trattamento dei dati personali trattati con l´ausilio di strumenti elettronici volti a definire il profilo dell´interessato, con riferimento alla personalizzazione delle tariffe del servizio di noleggio dei veicoli;

RILEVATO che dal rapporto predisposto dalla I Sezione del Nucleo Speciale Privacy della Guardia di Finanza ai sensi dell´art. 17 della legge 24 novembre 1981 n. 689, non risultano essere stati effettuati i pagamenti in misura ridotta;

VISTI gli scritti difensivi datati 28 marzo 2016, inviati ai sensi dell´art. 18 della legge n. 689/1981, con cui il legale di parte, riconoscendo il mancato adempimento, da parte della Società, dell´obbligo di notificazione al Garante ai sensi del combinato disposto degli  artt. 37, comma 1, lettera a) e 38, commi 1 e 2, del Codice in relazione al trattamento dei dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica, ha ritenuto, invece, infondata la contestazione relativa alla mancata notificazione al Garante per il ritenuto svolgimento di attività di profilazione da parte della Società.

La parte rappresenta, infatti, che attraverso il sito www.equomobile.it non viene condotta alcuna attività di profilazione in quanto non si perviene ad alcuna "categorizzazione", come indicato dal Garante con provvedimento del 19 marzo 2015 sulla profilazione on line. Ciò in quanto "nessun dato viene raccolto dalla procedura che si limita a passare al sito di registrazione www.sharengo.it/signup la percentuale di sconto offerta da Share´ngo  (…)" qualora il cliente si iscriva. Inoltre, la Società evidenzia che i dati utilizzati per il calcolo non sono associati permanentemente al soggetto che poi si iscrive e non sono utilizzati per formare cluster o gruppi ai quali poi inviare messaggi promozionali; la procedura www.equomobili.it non utilizza cookie di profilazione; l´indirizzo email dell´utente è conservato da www.equomobili.it solo un mese, per evitare che la procedura per ottenere lo sconto possa essere artificiosamente replicata. In considerazione di ciò, il legale di parte sostiene anche che "nessuna informativa sul trattamento dei dati è stata ritenuta necessaria su questo sito (www.equomobili.it),  perché nessuno di quei dati verrà utilizzato, con l´eccezione dello sconto offerto, del nome e della email, esclusivamente nel caso l´utente proceda a registrarsi(…)". "Quello che avviene su Equomobili.it – che (…) non costituisce "categorizzazione" – non è in alcun modo strumentale: alla fornitura di pubblicità personalizzata; all´analisi e monitoraggio dei comportamenti dei visitatori dei siti web; allo sfruttamento commerciale dei profili ottenuti; alla commercializzazione di tali profili".

LETTO il verbale di audizione del 5 settembre 2016, svoltasi ai sensi dell´art. 18 della legge n. 689/1981, con cui la parte, ribadendo quanto già dichiarato nelle memorie difensive,  con riferimento al rilievo afferente l´omessa notificazione del trattamento per profilazione di cui agli artt. 37 comma 1 lett. d) e 38, commi 1 e 2 del Codice, ha precisato i concetti già espressi per cui  "i dati utilizzati non vengono memorizzati in modo che la percentuale di sconto applicata non sia più riconducibile ai dati inseriti dall´interessato che ne ha fatto richiesta. Per cui, tra l´altro, non si perviene alla suddivisione degli interessati e non sia ha finalità di pervenire alla identificazione inequivoca del singolo interessato(che peraltro non è ancora definibile come utente), neppure per eventuali successive attività commerciali e/o di marketing";

VERIFICATO che la parte, in data 28 gennaio 2016, nel periodo intercorrente tra le operazioni di accertamento e la notificazione del verbale di contestazione da parte del Nucleo Speciale Privacy della Guardia di Finanza, ha effettuato la notificazione al Garante ai sensi degli  artt. 37, comma 1, lettera a) del Codice in relazione al trattamento dei dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica (geolocalizzazione);

TENUTO CONTO delle richieste della parte, in ordine ai due rilievi contestati, di:

applicazione del minimo della sanzione edittale ulteriormente ridotta ai sensi dell´art. 164-bis, comma 1, del Codice, con riferimento al rilievo di cui all´art. 37, comma 1, lettera a) del Codice relativo alla contestata "geolocalizzazione", in considerazione dell´adempimento - sebbene tardivo - della suddetta notificazione al Garante;

archiviazione del procedimento sanzionatorio o, in subordine, applicazione del minimo della sanzione edittale, ulteriormente ridotta ai sensi dell´art. 164-bis, comma 1, del Codice, con riferimento al contestato rilievo di cui all´art. 37, comma 1, lettera d) del Codice relativo all´attività di "profilazione";

RITENUTO che le argomentazioni addotte, tutte rivolte a dimostrare l´infondatezza di quanto contestato in ordine alla ricorrenza di un´attività di profilazione da parte della Società,  non risultano idonee a determinare l´archiviazione del procedimento sanzionatorio.

Infatti, in considerazione del disposto dell´art. 37 del Codice,  per cui "il titolare notifica al Garante il trattamento dei dati personali cui intende procedere, solo se il trattamento riguarda:  (…)  d)   dati trattati con l´ausilio di strumenti elettronici volti a definire il profilo o la personalità dell´interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l´utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti(…)", si rileva che, nell´attività posta in essere dalla Società per il calcolo della percentuale di sconto ai clienti che intendano fruirne, ricorrono tutti gli elementi atti a integrare la fattispecie descritta dalla norma. E´, infatti, innegabile che in tale ipotesi sussista: a) un´attività di trattamento di dati personali; b) espletata attraverso l´ausilio di strumenti elettronici; c) volti a definire il profilo o la personalità o ad analizzare abitudini o scelte di consumo dell´interessato.

Infatti, benché, il legale di parte abbia asserito che "nessun dato viene raccolto dalla procedura  (presente nel sito www.equomobili.it) che si limita a passare al sito di registrazione www.sharengo.it/signup la percentuale di sconto offerta da Share´ngo (…)" in realtà sono raccolti e trattati dati personali degli interessati, elaborati mediante algoritmo, come comprovato anche dalla informativa rilasciata all´inizio della procedura finalizzata al calcolo della percentuale di sconto per cui, come più sopra accennato,"(…) si informa che i dati personali acquisiti per la profilazione sul presente sito sono raccolti e trattati..(…)" (allegato n. 15 della documentazione prodotta dalla parte); ciò, peraltro, smentisce anche quanto sostenuto dal legale di parte in merito al fatto che "nessuna informativa sul trattamento dei dati è stata ritenuta necessaria su questo sito (www.equomobili.it), perché nessuno di quei dati verrà utilizzato, con l´eccezione dello sconto offerto, del nome e della email, esclusivamente nel caso l´utente proceda a registrarsi(…)".

Quanto alla prospettata insussistenza di un´attività, da parte della Società, di "categorizzazione" della clientela, di cui fa menzione il citato provvedimento del Garante "Linee guida in materia di trattamento di dati personali per profilazione on line" del 19 marzo 2015 (doc. web  n. 3881513),  si fa presente che l´attività di elaborazione, attraverso un algoritmo, di dati personali ulteriori rispetto a quelli necessari a fornire la prestazione base, sostanzia, già di per sé, una categorizzazione finalizzata a soddisfare specifiche esigenze dell´utente fruitore, in vista, ovviamente, di un vantaggio economico per il fornitore.  Infatti, secondo quanto descritto nelle citate Linee guida, "la menzionata categorizzazione è generalmente strumentale (…) alla messa a disposizione di servizi sempre più mirati e conformati sulle specifiche esigenze dell´utente",  come avviene effettivamente in tale circostanza.

In riferimento, poi, a quanto prospettato dalla parte in ordine al fatto che i dati personali utilizzati per il calcolo non vengono associati permanentemente al soggetto, nonché all´asserita assenza sia di conservazione di tali dati personali sia di utilizzazione degli stessi per creare cluster o gruppi ai quali inviare messaggi promozionali, oltre a risultare in contrasto con quanto emerso nel corso degli accertamenti che hanno determinato la contestazione della violazione dell´omessa notificazione al Garante da parte della Guardia di Finanza (in particolare gli evidenti, espliciti, riferimenti ad una attività di profilazione sia nelle due informative sia nel Regolamento di Servizio rintracciabili sui due sopra citati siti aziendali e agli atti del presente procedimento), non risultano per di più  supportati, ad eccezione delle illustrate tesi difensive, da alcun elemento concreto a sostegno.

RILEVATO, quindi, che "C.S. GROUP S.p.a." , in qualità di titolare del trattamento ai sensi dell´art. 4, comma 1, lett. f), e 28 del Codice, sulla base delle considerazioni sopra richiamate risulta aver commesso le violazioni di cui agli artt. 37, comma 1, lettere a) e d)  e 38 del Codice, per aver effettuato, rispettivamente, trattamenti di dati personali che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica, nonché trattamenti di dati personali con l´ausilio di strumenti elettronici volti a definire il profilo dell´interessato con riferimento alla possibilità di personalizzare le tariffe del servizio di noleggio dei veicoli senza aver presentato, prima dell´inizio dei trattamenti in questione, la prescritta notificazione al Garante;

VISTO l´art. 163 del Codice che punisce la violazione delle disposizioni di cui agli artt. 37, comma 1, lettera d) e 38, commi 1 e 2, del medesimo Codice, con la sanzione amministrativa del pagamento di una somma da ventimila a centoventimila euro;

CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge n. 689/1981, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a) in ordine all´aspetto della gravità con riferimento agli elementi dell´entità del pregiudizio o del pericolo e dell´intensità dell´elemento psicologico, la violazione non risulta connotata da elementi specifici, avuto anche riguardo alle concrete modalità di utilizzo da parte della società del sistema sia di geolocalizzazione sia di profilazione;

b) ai fini della valutazione dell´opera svolta dall´agente, deve evidenziarsi che la Società, dall´interrogazione del registro generale dei trattamenti, con riferimento alla violazione degli artt.  37, comma 1, lettera a) e 38, commi 1 e 2,  del Codice, risulta aver presentato la notificazione al Garante in data 28 gennaio 2016;

c) circa la personalità dell´autore della violazione, deve essere considerata la circostanza che la società non risulta gravata da precedenti procedimenti sanzionatori;

d) in merito alle condizioni economiche dell´agente, sono stati presi in considerazione gli elementi del bilancio ordinario d´esercizio per l´anno 2016;

RITENUTO, quindi, di dover determinare, ai sensi dell´art. 11 della legge n. 689/1981, l´ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura di euro 20.000,00 (ventimila) per la violazione di cui all´art. 163 in relazione agli artt.   37, comma 1, lettera a) e 38, commi 1 e 2 con riferimento alla geolocalizzazione delle autovetture, e nella misura di euro 40.000,00 (quarantamila) per la violazione di cui all´art. 163 in relazione agli artt. 37, comma 1, lettera d) e 38, commi 1 e 2, con riferimento alla profilazione della clientela, per un ammontare complessivo pari a euro 60.000,00 (sessantamila);

VISTA la documentazione in atti;

VISTA la legge n. 689/1981 e successive modificazioni e integrazioni;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la prof.ssa Licia Califano;

ORDINA

a  "C.S. GROUP S.p.a." con sede legale in Livorno (LI), Via dei Pelaghi n. 162, C.F. e P.I. 01769950492, di pagare la somma di euro 60.000,00 (sessantamila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione;

INGIUNGE

alla medesima società di pagare la somma di euro 60.000,00 (sessantamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 18 gennaio 2018

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia