Diritti interna

Doveri interna

ricerca avanzata

Ordinanza ingiunzione nei confronti di Avis Budget Italia s.p.a. - 25 gennaio 2018 [8429624]

[doc. web n. 8429624]

Ordinanza ingiunzione nei confronti di Avis Budget Italia s.p.a. - 25 gennaio 2018

Registro dei provvedimenti
n. 34 del 25 gennaio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

RILEVATO che il Nucleo speciale privacy della Guardia di finanza, in esecuzione della richiesta di informazioni ai sensi dell´art. 157 del Codice in materia di protezione dei dati personali – d.lg. 30 giugno 2003, n. 196 (di seguito denominato "Codice") nr. 125 del 7 gennaio 2016 formulata da questa Autorità, ha svolto presso la Avis Budget Italia s.p.a.,  P.Iva: 00886991009 (di seguito denominata "Società"), nella sede legale di Bolzano, in via Roma n. 96, e nella sede amministrativa della medesima di Roma, in Viale Carmelo Bene n. 70, gli accertamenti di cui ai verbali di operazioni compiute datati 26 gennaio 2016 e 3 febbraio 2016. Da tali accertamenti è risultato che:

• la Società, dopo aver terminato il rapporto contrattuale con la OCTO TELEMATICS s.r.l., di cui si è avvalsa per l´installazione di dispositivi di localizzazione geografica su alcuni veicoli della flotta aziendale rispetto ai quali ha effettuato il 12 novembre 2012 la prevista notificazione al Garante, ha stipulato nel marzo 2015 un contratto di prodotti e servizi con la LOJACK ITALIA s.r.l. per la fornitura di circa duemila dispositivi di "localizzazione", che sono stati installati a partire da aprile su altrettanti veicoli della flotta aziendale. Il 28 gennaio 2016 la Società ha effettuato la modifica della precedente notificazione dei trattamenti, inserendo la LOJACK ITALIA s.r.l. come attuale fornitore del servizio di localizzazione. Si è così accertato che la Società, a fronte della variazione del fornitore del servizio di geolocalizzazione, ha omesso di provvedere tempestivamente alla modifica della precedente notificazione ex art. 38 comma 4 del Codice, avendo effettuato tale modifica solo il 28 gennaio 2016;

• la Società acquisisce dati personali dei clienti in modalità cartacea, direttamente in "front-office", mediante sottoscrizione da parte del cliente del contratto di noleggio. In calce al contratto di noleggio è data la possibilità al cliente di esprimere un solo consenso in relazione a più finalità del trattamento, specificamente per invio di informazioni pubblicitarie e comunicazioni commerciali relative a servizi della Società, nonché per analisi della soddisfazione della clientela e di abitudini di consumo. Si è accertato, pertanto, che la Società, titolare dei suddetti trattamenti di dati personali, ha acquisito dagli utenti attraverso il modulo cartaceo del "contratto di noleggio" un unico consenso in riferimento a più finalità riportate all´interno del contratto, diversamente da quanto prescritto dall´art. 23, comma 3, del Codice;

VISTO il verbale nr. 7/2016 del 12 febbraio 2016, che qui si intende integralmente richiamato, con cui sono state contestate alla Società le violazioni amministrative previste dall´art. 163 del Codice in relazione all´art. 38 comma 4 del Codice e dall´art. 162 comma 2-bis del Codice, in relazione all´art. 23 del Codice, informandola della facoltà di effettuare, per entrambe, il pagamento in misura ridotta ai sensi dell´art. 16 della legge n. 689/1981;

ESAMINATO il rapporto del Nucleo speciale privacy della Guardia di finanza predisposto ai sensi dell´art. 17 della legge 24 novembre 1981, n. 689 dal quale non risulta essere stato effettuato il pagamento in misura ridotta;

VISTI, in merito alla contestata violazione di cui all´art. 163 del Codice, la nota del 17 febbraio 2016 e lo scritto difensivo presentato il 14 marzo 2016 ai sensi dell´art. 18 della legge n. 689/1981, con cui la Società ha rappresentato che "i dispositivi della LOJACK ITALIA s.r.l.", a differenza del precedente trattamento dati effettuato tramite la OCTO TELEMATICS s.r.l., "non permettono di individuare in maniera continuativa l´ubicazione sul territorio" (nota del 17 febbraio 2016) e, pertanto, tale trattamento non deve essere notificato, anche in base all´interpretazione fornita dal Garante degli artt. 37 e 38 del Codice. La modifica alla notificazione effettuata "ha avuto pertanto un mero scopo ricognitivo e di continuità informativa all´Autorità rispetto a quanto precedentemente comunicato." (nota del 17 febbraio 2016). Ciò considerato, la Società ha sottolineato le proprie migliori e documentate intenzioni di dare attuazione alle norme di legge applicabili in base all´interpretazione ufficiali delle stesse, rappresentando inoltre che "il sistema (concernente l´utilizzo dei dispositivi LOJACK) risulta ancora in via in gran parte sperimentale e pur essendo in corso ha ancora ad oggetto solo meno di circa 2.500 veicoli su una flotta di circa 30.000" e che pertanto "la modifica alla notificazione del trattamento dei dati in questione da parte di AVIS non può ritenersi in alcun modo tardiva" (scritto difensivo del 14 marzo 2016);

VISTO il verbale di audizione delle parti del 14 marzo 2017 nel quale la Società ha dichiarato che LOJACK non effettua un servizio di geolocalizzazione ma "un servizio di radiolocalizzazione che viene attivato solo nel momento in cui un veicolo risulta oggetto di furto o appropriazione indebita su segnalazione della Società a fronte di specifica denuncia. Tale servizio consente la localizzazione esclusivamente del veicolo non in movimento e quindi totalmente diverso dalla geolocalizzazione". Inoltre, con nota del 15 marzo 2017 la Società, nel descrivere le caratteristiche tecniche dei dispositivi forniti da LOJACK, ha rappresentato che il trattamento dei dati suddetto rientra tra quelli esonerati dall´obbligo di notificazione al Garante in quanto "una volta installato il dispositivo LOJACK all´interno del veicolo, l´unità rimane dormiente fin quando la Centrale Operativa LOJACK lo attiva" e cioè "solo ed esclusivamente dopo aver accertato il furto del veicolo stesso, ovvero dopo aver ricevuto denuncia del veicolo effettuata dal proprietario, o dalla società possedente". Inoltre, "la tecnologia utilizzata non è satellitare ma wireless ad alta frequenza, pertanto il segnale viene trasmesso attraverso le torri di proprietà LOJACK dislocate sul territorio";

RITENUTO che le argomentazioni addotte non risultano idonee in relazione a quanto contestato e che erroneamente il trasgressore ritiene di non essere assoggettato all´obbligo di notificazione di cui all´art. 37, comma 1 lett. a) del Codice. Nella vicenda in esame si sono realizzate, infatti, le condizioni richieste per la notificazione di cui agli artt. 37 e 38 del Codice, che deve essere effettuata, come precisato nel provvedimento del Garante del 23 aprile 2004 (www.gpdp.it doc. web n. 993385), in ipotesi di localizzazione di persone o oggetti, riferita alla rilevazione della loro presenza in determinati luoghi, mediante reti di comunicazione elettronica gestite o accessibili dal titolare del trattamento. Si rileva quanto segue.

• Con riferimento all´assunto della Società secondo cui i dispositivi LOJACK non rientrano nell´ambito di applicazione di cui agli artt. 37 e 38 del Codice in quanto consentono "una rilevazione non continuativa" della posizione di persone o oggetti, il Garante ha evidenziato come la localizzazione vada notificata quando permette di individuare "in maniera continuativa - anche con eventuali intervalli - l´ubicazione sul territorio o in determinate aree geografiche, in base ad apparecchiature o dispositivi elettronici detenuti dal titolare o dalla persona oppure collocati sugli oggetti" (cfr. citato provvedimento del 23 aprile 2004). Nella fattispecie, tali dispositivi consentono di individuare la posizione del veicolo ogni qualvolta la Società intenda farli attivare e in particolare "in caso di furto, mancata individuazione, appropriazione indebita della propria autovettura … al fine di facilitare la localizzazione della stessa da parte dei Soggetti Terzi Preposti" (cfr. art. 5 contratto di fornitura tra la Società e la LOJACK). La modalità di attivazione della localizzazione riferita dalla Società non esclude, per ciò solo, che si possa comunque procedere ad individuare con continuità il percorso svolto dal veicolo sul quale il localizzatore è installato o comunque con intervalli di tempo ridotti (cfr. Tribunale di S. Maria Capua Vetere n. 2053/2016).

• Inoltre, l´intervenuta modifica della notificazione del trattamento del 28 gennaio 2016 deve ritenersi senz´altro tardiva rispetto alla stipulazione del contratto di fornitura con la LOJACK avvenuta nel marzo 2015 e all´effettiva installazione dei predetti dispositivi iniziata a partire dal mese di aprile 2015 (cfr. verbale di operazioni compiute del 3/2/2016). Tale nuova notificazione è avvenuta, infatti, solo a seguito del primo accertamento di cui al verbale di operazioni compiute del 26 gennaio 2016.

• Non assume alcun rilievo, peraltro, la particolare tecnologia utilizzata per tali dispositivi (nella fattispecie non satellitare, ma wireless ad alta frequenza) intendendosi per reti di comunicazione elettronica: "i sistemi di trasmissione e, se del caso, le apparecchiature di commutazione o di instradamento e altre risorse, inclusi gli elementi di rete non attivi, che consentono di trasmettere segnali via cavo, via radio, a mezzo di fibre ottiche o con altri mezzi elettromagnetici, comprese le reti satellitari, le reti terrestri mobili e fisse a commutazione di circuito e a commutazione di pacchetto, compresa Internet, le reti utilizzate per la diffusione circolare dei programmi sonori e televisivi, i sistemi per il trasporto della corrente elettrica, nella misura in cui siano utilizzati per trasmettere i segnali, le reti televisive via cavo, indipendentemente dal tipo di informazione trasportato" (art. 4, comma 2, lett. c) del Codice);

• Rileva, invece, la circostanza che tali dispositivi consentano di localizzare i veicoli che vengono segnalati di volta in volta dal titolare del trattamento mediante reti di comunicazione elettronica accessibili dal titolare medesimo. La localizzazione in esame permette comunque di risalire, anche indirettamente, all´identità degli interessati, come specificato nel citato provvedimento del 23 aprile 2004, se solo si pensa che la localizzazione suddetta può essere attivata, tra gli altri casi, in caso di mancata individuazione del veicolo o di appropriazione indebita dello stesso (cfr. art. 5 del contratto di fornitura tra la Società e la LOJACK). Deve escludersi, pertanto, che il trattamento in esame rientri tra i casi sottratti alla disciplina dell´art. 37 del Codice. Il provvedimento del 23 aprile 2004 indica, d´altra parte, pur se a titolo esemplificativo, ipotesi ben diverse da quella in esame, quali la registrazione di ingressi o uscite presso luoghi di lavoro, la rilevazione di immagini o suoni, la lettura di carte elettroniche per fornire beni, prestazioni o servizi quali, ad esempio, carte di pagamento, carte di credito o di fidelizzazione. Quanto detto non consente di rilevare gli elementi costitutivi dell´errore scusabile di cui all´art. 3 della legge n. 689/1981. Ciò in quanto il principio posto dall´art. 3 della legge n. 689/1981 secondo cui per le violazioni colpite da sanzione amministrativa è richiesta la coscienza e volontà della condotta attiva od omissiva, sia essa dolosa o colposa, deve essere inteso nel senso della sufficienza dei suddetti estremi, senza che occorra la concreta dimostrazione del dolo o della colpa, atteso che "la norma pone una presunzione di colpa in ordine al fatto vietato a carico di colui che lo abbia commesso, riservando poi a quest´ultimo l´onere di provare di aver agito incolpevolmente" (tra le tante, Cass. Civ. sez. I n. 2406 dell´8/2/2016, Cass. Civ. sez. II n. 27432 del 9/12/2013, Cass. Civ. sez. lav., n. 19242 del 7/9/2006, Trib. Bergamo, n. 2339 del 14/9/2017). A dimostrazione del contrario, si evidenzia che, in sede di contratto di fornitura citato, la LOJACK si è impegnata: a) a comunicare tempestivamente al Cliente tutte "le modificazioni" che comportino la necessità di procedere alla "preventiva notificazione al Garante per la protezione dei dati personali di nuovi trattamenti o delle variazioni intervenute nei trattamenti, ai sensi dell´art. 37 del Codice della Privacy, affinché il Cliente possa procedere nel senso ritenuto opportuno; b) fornire ogni più ampia collaborazione in ordine alle notificazioni di cui alla precedente lettera a)" (art. 18 del citato contratto). Da tale previsione contrattuale, riferita ai nuovi trattamenti o alle variazioni intervenute nei trattamenti, si desume che la Società, già all´epoca della stipula del contratto di fornitura citato, si era impegnata a notificare al Garante i trattamenti oggetto di fornitura e, nella fattispecie, ad effettuare una nuova notifica ai sensi dell´art. 38, comma 4, del Codice, essendo cambiata la società fornitrice;

VISTI, in merito alla contestata violazione di cui all´art. 162 comma 2 bis del Codice, la citata nota del 17 febbraio 2016 nonché lo scritto difensivo del 14 marzo 2016 con cui la Società ha rappresentato che non viene effettuata dalla Società un´attività di specifica "profilazione" sui dati dei clienti o utenti in quanto "il trattamento dei dati relativi alle «abitudini di consumo» è (…) di fatto (…) esclusivamente limitato alle «preferenze di noleggio»" (nota del 17 febbraio 2016). La Società ha rappresentato, altresì, di non effettuare sui dati della propria clientela alcuna raccolta ed elaborazione di dati che ne consenta un monitoraggio del comportamento come consumatore al fine di definire offerte pubblicitarie mirate e puntuali, ma di acquisire dati dei clienti (in termini di "scheda cliente") finalizzata ad "agevolare, in caso di una nuova deliberazione (del cliente) circa una nuova richiesta "attiva" di noleggio, la procedura di prenotazione" (scritto difensivo del 14 marzo 2016). Tale trattamento, secondo la Società, diviene parte integrante delle finalità di marketing, rispetto alla quale è sufficiente richiedere un unico consenso, come chiarito dal Garante con provvedimento del 4 luglio 2013, punto 2.6.1., in www.gpdp.it doc. web n. 2542348 (scritto difensivo del 14 marzo 2016);

VISTO il verbale di audizione delle parti del 14 marzo 2017 nel quale la Società ha dichiarato che "non effettua profilazione del cliente atta a definire ad esempio le sue abitudini di consumo, ma è finalizzato semplicemente a garantire il miglior servizio al cliente comprendendone le specifiche esigenze e mantenendo costante l´attenzione dello stesso sui propri prodotti e sul servizio offerto al fine di permanenza del rapporto fiduciario";

CONSIDERATO che in sede di audizione la Società si è riservata di presentare adeguata documentazione in merito a quanto riferito, che tuttavia non è mai stata prodotta;

CONSIDERATO che le argomentazioni addotte non permettono di escludere la responsabilità della parte in relazione a quanto contestato. Si rileva quanto segue.

• Nel contratto di noleggio sottoposto dalla Società alla clientela veniva riportata la seguente dicitura :"ai sensi e per gli effetti dell´art. 23 del Codice Privacy, barrando la casella che segue, manifesto la mia preferenza circa il trattamento dei dati personali ai fini di invio, anche mediante strumenti di comunicazione elettronica, di informazioni pubblicitarie e comunicazioni commerciali relative a servizi di Avis, nonché per l´analisi della soddisfazione della Clientela e di abitudini di consumo. SI ( ) NO (  )". Dalla lettura del contratto, si evince quindi che il consenso è stato acquisito, oltre che per finalità promozionali, anche per finalità di profilazione. Infatti, il trattamento dati consistente nella redazione di una "scheda cliente" (v. scritto difensivo del 14 marzo 2016) per l´analisi delle abitudini di consumo della clientela finalizzata ad individuare le "preferenze di noleggio" (v. nota del 17 febbraio 2016) rappresenta, a tutti gli effetti, attività di profilazione.

• Peraltro,  "l´analisi della soddisfazione della Clientela e di abitudini di consumo" non può essere ricompresa nella finalità di marketing, non essendo associabile né alla finalità di invio di materiale pubblicitario, né a quelle di vendita diretta, di compimento di ricerche di mercato o di comunicazione commerciale. Come dichiarato dalla stessa Società, i dati sono raccolti ed utilizzati per l´analisi e l´elaborazione di informazioni relative a clienti, così suddivisi per comportamenti o caratteristiche sempre più specifici, al fine di mettere a disposizione degli stessi servizi sempre più mirati e conformanti sulle loro specifiche esigenze e preferenze. Tale attività rientra nella definizione di "profilazione", che risulta non solo dal provvedimento del Garante n. 161 del 19 marzo 2015 in www.gpdp.it doc. web n. 3881513, ma anche dal vigente Regolamento europeo in materia di protezione dati 2016/679 (art. 4, punto 4), la cui applicazione è stata fissata a decorrere dal 25 maggio 2018;

CONSIDERATO, altresì, che anche nell´ipotesi in cui l´attività di "profilazione" non venga  effettivamente perseguita dalla Società, l´informativa resa indica comunque finalità diverse tra loro per le quali è richiesto un consenso specifico, come richiesto dall´art. 23, comma 3, del Codice per cui il consenso è validamente prestato "solo se è espresso liberamente e specificamente in riferimento a un trattamento chiaramente individuato (…)". Al riguardo, il Garante ha avuto già modo di chiarire in altre occasioni (di recente, con provvedimento n. 288 del 22 giugno 2017, in www.gpdp.it, doc. web n. 6689610) che, laddove le finalità indicate nell´informativa siano diverse tra loro, come si è verificato nella fattispecie, aldilà della circostanza se esse siano effettivamente realizzate dal titolare, è comunque necessario che siano acquisiti distinti e specifici consensi per ciascuna di queste;

RILEVATO, pertanto, che la Avis Budget Italia s.p.a.  in qualità di titolare del trattamento, ai sensi dell´art. 28 del Codice, ha effettuato un trattamento di dati personali omettendo di effettuare una nuova notificazione al Garante e di acquisire un consenso specifico in relazione a ciascuna finalità perseguita, in violazione degli artt. 38 comma 4 e 23 del Codice;

VISTO l´art. 163 del Codice che punisce la violazione della disposizione di cui agli artt. 37 e 38, con la sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro;

VISTO l´art. 162, comma 2-bis del Codice che punisce la violazione delle disposizioni indicate nell´art. 167 del Codice tra cui figura l´art. 23, con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge n. 689/1981, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore. Con particolare riferimento alla violazione dell´art. 162 comma 2-bis del Codice, in relazione all´art. 23 del Codice, non risulta agli atti che la Società abbia modificato il contratto di noleggio con riferimento all´acquisizione del consenso degli interessati, in conformità all´art. 23 del Codice;

RITENUTO, quindi, di dover determinare, ai sensi dell´art. 11 della legge n. 689/1981, l´ammontare della sanzione pecuniaria,  in ragione dei suddetti elementi valutati nel loro complesso, nella misura di:

• euro 40.000,00 (quarantamila) per la violazione di cui all´art. 163 del Codice;

• euro 20.000,00 (ventimila) per la violazione di cui all´art. 162 comma 2-bis del Codice;

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la prof.ssa Licia Califano;

ORDINA

alla Avis Budget Italia s.p.a.,  P.Iva: 00886991009, con sede legale a Bolzano in via Roma n. 96, in persona del titolare, di pagare la somma complessiva di euro 60.000,00 (sessantamila) a titolo di sanzione amministrativa pecuniaria per le violazioni previste dagli artt. 162, comma 2-bis, e 163 del Codice come indicato in motivazione;

INGIUNGE

alla medesima Società di pagare la somma di euro 60.000,00 (sessantamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale o in copia autentica, quietanza dell´avvenuto versamento.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 25 gennaio 2018

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia