Diritti interna

Doveri interna

ricerca avanzata

Ordinanza ingiunzione nei confronti di Italia Consulenza e Formazione s.r.l. - 18 gennaio 2018 [8341621]

[doc. web n. 8341621]

Ordinanza ingiunzione nei confronti di Italia Consulenza e Formazione s.r.l. - 18 gennaio 2018

Registro dei provvedimenti
n. 19 del 18 gennaio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

RILEVATO che, a fronte di una segnalazione pervenuta all´Autorità in data 17 giugno 2015, con cui veniva lamentata la ricezione di e-mail di carattere promozionale aventi ad oggetto corsi di formazione provenienti da Italia Consulenze & Formazione s.r.l. (di seguito ICF), l´Ufficio formulava una richiesta di informazioni nei confronti della suddetta società (nota n.  18339 del 23 giugno 2015), in riscontro alla quale la stessa dichiarava che l´indirizzo e-mail del segnalante era stato originariamente acquisito mediante Linkedin e di averlo comunque cancellato, dalle proprie liste, a seguito della istanza presentata dallo stesso segnalante ai sensi dell´art. 7 del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito "Codice"). Tuttavia, i contatti promozionali erano proseguiti perché lo stesso nominativo era contenuto anche in un database di "liste profilate con consenso (…), [nelle quali] sono presenti indirizzi e-mail con ragione sociale, referente e regione in Italia e in Europa con indirizzo ip di richiesta del contatto", acquistato in data 8 maggio 2015 da N.J.L. & Time di Bernasconi Nadia (di seguito "N.J.L.");

VISTI gli atti dell´accertamento istruttorio, eseguito ai sensi dell´art. 157 del Codice dal Nucleo privacy della Guardia di finanza nei confronti di N.J.L., dai quali è risultato che N.J.L. detiene "un database di utenti residenti in Italia e un database di utenti residenti in Paesi della Comunità Europea, creati tramite attività pregresse nel tempo" che consta di circa 883.000 utenti totali, rispetto ai quali non ha documentato di aver reso l´informativa e acquisito il consenso, ai senso degli artt. 13, 23 e 130 del Codice;

RILEVATO che l´Autorità ha adottato nei confronti di ICF il provvedimento n. 49 dell´11 febbraio 2016 [doc. web n. 4885578], notificato in data 4 marzo 2016, che qui integralmente si richiama, nel quale si stabilisce che "il trattamento del dato personale del segnalante è avvenuto in modo illecito", in quanto "non risulta comprovato che ICF abbia fornito allo stesso, come richiesto dall´art. 13, comma 4, del Codice, idonea informativa. Non risulta, poi, che il segnalante abbia manifestato il proprio consenso ad ICF per l´invio delle menzionate comunicazioni promozionali, come richiesto dall´art. 130, commi 1 e 2, del Codice".

CONSIDERATO che l´Autorità, nel medesimo provvedimento, ha vietato a ICF, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, l´ulteriore trattamento per finalità di marketing dei dati personali contenuti nel database acquistato da NCJ e le ha prescritto di adottare le misure necessarie a garantire il rispetto del diritto di opposizione al trattamento per finalità di marketing manifestato dagli interessati ai sensi dell´art. 7 del Codice, invitandola a dare comunicazione al Garante, ai sensi dell´art. 157 del Codice, dell´avvenuta cessazione del trattamento;

VISTO il verbale n. 11812/100164 del 22 aprile 2016, che qui integralmente si richiama, con cui sono state contestate a ICF, con sede in Milano, Viale Scarampo Lodovico n. 19, P.I. 08052680967, nella persona del legale rappresentante pro-tempore:

- la violazione amministrativa prevista dall´art. 161 del Codice, applicata in combinato disposto con l´art. 164-bis, comma 3, per aver effettuato un trattamento di dati personali in assenza di un´idonea informativa, in violazione dell´art. 13 del medesimo Codice;

- la violazione amministrativa prevista dall´art. 162, comma 2-bis, applicata in combinato disposto con l´art. 164-bis, comma 3, del Codice per aver effettuato un trattamento di dati personali finalizzato all´invio di comunicazioni promozionali all´indirizzo di posta elettronica degli interessati (tra cui quello del segnalante), in assenza del consenso ex art. 130, commi 1 e 2 del Codice;

RILEVATO che dal rapporto predisposto dall´Ufficio ai sensi dell´art. 17 della legge 24 novembre 1981 n. 689 non risulta che siano stati effettuati i pagamenti in misura ridotta;

VISTI gli scritti difensivi, inviati in data 18 maggio 2016, ai sensi dell´art. 18 della legge n. 689/1981, nei quali la parte ha rappresentato come "sia stata indotta, con evidente artificio, a ritenere che il database acquistato fosse assolutamente regolare in termini di rispetto della normativa in tema di trattamento di dati personali. E´ stato pertanto in buona fede che ICF ha effettuato gli invii di e-mail ai soggetti presenti nel database acquistato", interrompendo l´utilizzo dello stesso alla ricezione delle prime richieste di cancellazione, seguite all´invio delle e-mail. Nel merito delle contestazioni elevate, la parte ha osservato come abbia sempre fornito agli interessati l´informativa di cui all´art. 13 del Codice, perché inserita sul sito internet gestito dalla società www.italiaconsulenzeeformazione.it, a cui il testo delle comunicazioni promozionali rinviava espressamente. Con riferimento alla violazione di cui all´art. 162, comma 2-bis, la parte ha ribadito di essere stata indotta in errore da NJL in quanto riteneva che i dati contenuti nel database fossero regolarmente consensati e, dunque, utilizzabili. Tra l´altro, "l´errore in cui ICF è stata indotta da NJL Time ha rappresentato un fatto isolato in un contesto di regolare osservanza della disciplina di settore, cui ICF prestava e presta particolare attenzione". In ultimo, rispetto all´applicazione dell´aggravante di cui all´art. 164-bis, comma 3, del Codice, la parte ha obiettato che gli invii di messaggi sono avvenuti in sole tre occasioni e che, pertanto "le modalità di invio e la periodicità non possono configurarsi come aggressive o foriere di un danno effettivo per i destinatari (…)", chiedendo l´applicazione, al caso di specie, dell´attenuante di cui all´art. 164-bis, comma 1;

LETTO il verbale di audizione, tenutasi in data 7 marzo 2017, ai sensi dell´art. 18 della legge n. 689/1981, e la documentazione successivamente inviata a integrazione di quanto già dichiarato, in cui la parte ha ribadito quanto già argomentato nelle memorie difensive, producendo documentazione idonea a dimostrare di aver introdotto diverse modifiche in materia di privacy a integrazione di quelle già esistenti, anche in conformità a quanto prescritto dal garante con il provvedimento n. 49;

CONSIDERATO che le argomentazioni addotte non permettono di escludere la responsabilità della parte in relazione a quanto contestato, sul presupposto che il database contenente, tra gli altri, il dato del segnalante, sia stato acquistato da una società terza. Infatti, in osservanza a quanto disposto dall´Autorità con diversi provvedimenti adottati in materia di marketing (si ricordano, in particolare, il provvedimento generale datato 29 maggio 2003, doc. web   n. 29840 e le Linee guida del 4 luglio 2013, doc. web n. 2542348), si rileva, in via generale, che il soggetto che utilizza i dati personali ai fini dell´invio di messaggi promozionali deve rispettare le due regole fondamentali relative all´obbligo di rendere l´informativa e di acquisire il consenso dell´interessato. Nell´ipotesi in cui i dati personali non sono raccolti direttamente presso l´interessato (come nel caso che ci occupa), il citato provvedimento generale del 29 maggio 2003 espressamente attribuisce a chi acquista una banca dati il dovere di "accertare che ciascun interessato abbia validamente acconsentito alla comunicazione del proprio indirizzo di posta elettronica e al suo successivo utilizzo ai fini di materiale pubblicitario". Inoltre, al momento in cui registra i dati deve inviare a tutti gli interessati un messaggio di informativa che precisi gli elementi di cui all´art. 13 del Codice. Tale disposizione è richiamata nel provvedimento del 4 luglio 2013 (punto 2.6.3), nella parte in cui si stabilisce che "i terzi [ovvero i soggetti che hanno acquistato la banca dati]  potranno inviare ai medesimi interessati le comunicazioni promozionali in questione solo dopo il rilascio di una propria informativa che contenga, oltre agli elementi previsti dall´art. 13, comma 1, anche l´origine dei dati personali a loro comunicati, in modo tale che ciascun interessato possa rivolgersi anche al soggetto che li ha raccolti e comunicati, per opporsi al trattamento ai sensi dell´art. 7, comma 4, lett. b), del Codice". Ebbene, nel caso in esame, non risulta che, all´atto dell´acquisizione del database, sia stata resa agli utenti/interessati un´idonea informativa, così come nessun riscontro documentale è stato prodotto in ordine alla circostanza che questa sia stata fornita successivamente, ovvero al momento dell´invio della prima comunicazione promozionale. Infatti, il testo dell´e-mail, prodotta dalla parte nell´ambito degli scritti difensivi, riporta in calce soltanto il nominativo del titolare del trattamento, ma non contiene nessun´altra informazione utile a conoscere, almeno, l´origine dei dati e le modalità di esercizio dell´art. 7 del Codice. Pertanto, l´obbligo di cui all´art. 13 del Codice deve considerarsi non adempiuto. Quanto alla violazione dell´art. 130 del Codice, si rileva che, sulla base delle dichiarazioni rese dalla parte, al momento dell´acquisizione del database non è stato verificato che gli interessati avessero effettivamente acconsentito alla comunicazione dei propri dati e al successivo utilizzo a fini promozionali, secondo quanto prescritto dal Garante nel richiamato provvedimento del 29 maggio 2003. Le prescrizioni in materia di consenso, più volte ribadite dal Garante nei provvedimenti in materia di marketing, escludono che, nel caso di specie, possa configurarsi l´errore scusabile di cui all´art. 3 della legge n. 689/1981, dal momento che, come noto, l´errore di diritto, quale causa di esclusione della responsabilità in riferimento alle violazioni amministrative, viene in rilievo soltanto a fronte dell´inevitabilità dell´ignoranza del precetto violato, da apprezzarsi alla luce della conoscenza e dell´obbligo di conoscenza delle leggi che grava sull´agente in relazione anche alle sue qualità professionali e al suo dovere di informazione sulle norme e sulla relativa interpretazione (Cass. civ. 24803/2006; Cass. civ. 10621/2010);

RILEVATO, pertanto, che I.C.F., in qualità di titolare del trattamento ai sensi dell´art. 28 del Codice, ha effettuato un trattamento di dati personali, finalizzato all´attività di marketing,  in assenza di un´idonea informativa e di una specifica acquisizione del consenso;

VISTO l´art. 161 del Codice, che punisce la violazione dell´art. 13 del medesimo Codice con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro;

VISTO l´art. 162, comma 2-bis, del Codice che punisce la violazione delle disposizioni indicate nell´art. 167 del Codice, tra le quali quella di cui all´art. 130 del medesimo Codice, con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge n. 689/1981, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a) in ordine all´aspetto della gravità con riferimento agli elementi dell´entità del pregiudizio o del pericolo, modalità della condotta e intensità dell´elemento psicologico, le violazioni commesse dalla parte devono essere valutate in considerazione del numero rilevante di dati trattati in assenza di idonei presupposti di legge;

b) ai fini della valutazione dell´opera svolta dall´agente, deve evidenziarsi che la parte ha spontaneamente provveduto a sospendere l´utilizzo del database, prima ancora del divieto contenuto nel provvedimento del Garante;

c) in merito alle condizioni economiche dell´agente, sono stati presi in considerazione gli elementi delle dichiarazioni reddituali relative all´anno d´imposta 2016;

RITENUTO, quindi, di dover determinare, ai sensi dell´art. 11 della legge n. 689/1981, l´ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura di euro 12.000,00 (dodicimila) per la violazione di cui all´art. 161, e nella misura di euro 20.000,00 (ventimila) per la violazione di cui all´art. 162, comma 2-bis, per un ammontare complessivo pari a euro 32.000,00 (trentaduemila);

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

ORDINA

a Italia Consulenza e Formazione s.r.l., con sede in Milano, Viale Scarampo Lodovico n. 19, P.I. 08052680967, nella persona del legale rappresentante pro-tempore, di pagare la somma di euro 32.000,00 (trentaduemila) a titolo di sanzione amministrativa pecuniaria per le violazioni previste dagli artt. 161 e 162, comma 2-bis, del Codice;

INGIUNGE

al medesimo soggetto di pagare la somma di euro 32.000,00 (trentaduemila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 18 gennaio 2018

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia