Diritti interna

Doveri interna

ricerca avanzata

Ordinanza ingiunzione nei confronti di Car2Go Italia s.r.l. - 1 febbraio 2018 [8440275]

[doc. web n. 8440275]

Ordinanza ingiunzione nei confronti di Car2Go Italia s.r.l. - 1 febbraio 2018

Registro dei provvedimenti
n. 55 del 1 febbraio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

RILEVATO che la Guardia di finanza, Nucleo speciale privacy, con verbale n. 19/2016 del 2 marzo 2016 (notificato il 29 marzo 2016), che qui deve intendersi integralmente riportato, ha contestato alla società Car2Go Italia s.r.l. (di seguito "Car2Go"), in persona del legale rappresentante pro-tempore, con sede legale in Milano, via Manfredo Camperio n. 14, C.F. 07941590965, la violazione prevista dagli artt. 33 e 162, comma 2-bis, del Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196, di seguito denominato "Codice");

DATO ATTO, in sintesi, di quanto riportato agli atti del procedimento sanzionatorio avviato con la predetta contestazione:

- la Guardia di finanza, Nucleo speciale privacy, ha svolto un´attività ispettiva nei confronti di Car2Go, nei giorni 26 e 27 gennaio 2016, presso le sedi operative della società in Milano, al fine di accertare la regolare osservanza delle disposizioni in materia di protezione dei dati personali, con particolare riferimento ai trattamenti effettuati mediante sistemi di geolocalizzazione;

- nel corso dell´accertamento è emerso che la società tratta dati personali dei clienti, nell´ambito dell´erogazione del servizio di car sharing, con l´ausilio di strumenti elettronici e anche in modalità cartacea;

- la società non ha provveduto alla designazione dei dipendenti che trattano dati personali quali incaricati del trattamento ai sensi dell´art. 30 del Codice;

- delle risultanze dell´attività di accertamento veniva data notizia alla Procura della Repubblica presso il Tribunale di Milano, con un´annotazione di Polizia giudiziaria redatta ai sensi dell´art. 357 c.p.p., relativamente all´ ipotesi di reato di cui all´art. 169 del Codice, depositata il 31 marzo 2016;

- con nota del 22 giugno 2016, il P.M. di Milano, dott. Cristian Barilli, richiedeva al Garante di avviare la speciale procedura prescrizionale prevista dall´art. 169, 2° comma, del Codice;

- la procedura si avviava il 5 settembre 2016 con l´adozione da parte del Garante di un provvedimento nei confronti del legale rappresentante della società, con il quale si prescriveva al medesimo di provvedere alla designazione degli operatori di Car2Go quali incaricati del trattamento ai sensi dell´art. 30 del Codice e alla puntuale attuazione delle misure previste dalle regole nn. 1-10 (autenticazione informatica), 12-14 (adozione di un sistema di autorizzazione), 15 (redazione della lista degli incaricati) e 27-29 (dati comuni, sensibili e giudiziari contenuti in supporti cartacei) del disciplinare tecnico di cui all´allegato B) del Codice;

- la procedura si concludeva il 5 maggio 2017, con la nota che l´Ufficio del Garante ha indirizzato alla Procura della Repubblica presso il Tribunale di Milano, nella quale si è dato atto del puntuale adempimento da parte della società alle prescrizioni impartite;

RILEVATO che con il citato atto del 2 marzo 2016 è stata contestata a Car2Go, ai sensi dell´art. 162, comma 2-bis, del Codice, la violazione dell´art. 33, per avere omesso di adottare le misure minime di sicurezza di cui ai successivi artt. 34 e 35;

PRESO ATTO che per la predetta violazione è escluso il pagamento in misura ridotta;

PRESO ATTO altresì che la società non ha presentato scritti difensivi né ha richiesto di essere ascoltata dall´Autorità, così come previsto dall´art. 18 della legge n. 689/1981;

RITENUTO che la documentazione presente in atti non può che confermare la responsabilità della società in ordine alla violazione contestata poiché risulta accertato che la società non ha provveduto alla designazione per iscritto degli incaricati del trattamento ai sensi dell´art. 30 del Codice, con ciò determinando la mancata applicazione di quella parte di misure minime di sicurezza che il Codice riconduce all´attività degli incaricati del trattamento medesimo. Al riguardo è opportuno sottolineare che la mancata designazione degli incaricati del trattamento non costituisce un mero inadempimento formale, ma si configura come atto presupposto indispensabile per l´applicazione della parte più significativa delle misure di sicurezza da adottarsi per il trattamento dei dati personali ed è strettamente correlata all´attività degli incaricati del trattamento (ovvero di coloro che ordinariamente operano sui dati personali), mirando a fornire agli stessi le istruzioni da seguire per il corretto trattamento dei dati; per tali ragioni, la mancata designazione per iscritto degli incaricati, ai sensi dell´art. 30, determina la mancata applicazione di tutte quelle misure minime di sicurezza, di cui all´art. 33 e seguenti, che il disciplinare tecnico (allegato B) del Codice) riconduce all´attività degli incaricati del trattamento medesimo (regole nr. 1-10; 12-14; 15 e 27-29 dell´allegato B) e comporta, quindi, l´applicazione della sanzione di cui all´art. 162, comma 2- bis, del Codice;

RILEVATO, quindi, che Car2Go, sulla base delle considerazioni sopra richiamate, risulta aver commesso la violazione prevista dall´art. 162, comma 2-bis, del Codice, per aver omesso di adottare le misure minime di sicurezza di cui agli artt. 33 e ss.;

VISTO l´art. 162, comma 2-bis, del Codice, ove è previsto che "in caso di trattamento di dati personali effettuato in violazione delle misure indicate nell´articolo 33 […] è altresì applicata in sede amministrativa, in ogni caso, la sanzione amministrativa del pagamento di una somma da 10.000 euro a 120.000 euro";

CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge n. 689/1981, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a) in ordine all´aspetto della gravità con riferimento agli elementi dell´entità del pregiudizio o del pericolo e dell´intensità dell´elemento psicologico, la violazione non risulta connotata da elementi specifici;

b) ai fini della valutazione dell´opera svolta dall´agente, deve essere considerato in termini favorevoli il fatto che la società ha dato puntuale adempimento al provvedimento di prescrizione del 5 settembre 2016, provvedendo alla designazione degli incaricati del trattamento e all´attuazione delle correlate misure minime di sicurezza;

c) circa la personalità dell´autore della violazione, deve essere considerata la circostanza che a carico della società risulta altra contestazione di violazione amministrativa, accertata nel corso della medesima attività ispettiva del 26 e 27 gennaio 2016, definita con pagamento in misura ridotta;

d) in merito alle condizioni economiche dell´agente, è stato preso in considerazione il bilancio per l´anno 2016;

RITENUTO, quindi, di dover determinare, ai sensi dell´art. 11 della L. n. 689/1981, l´ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura di euro 20.000,00 (ventimila);

VISTA la documentazione in atti;

VISTA la legge n. 689/1981, e successive modificazioni e integrazioni;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la prof.ssa Licia Califano;

ORDINA

a Car2Go Italia s.r.l., in persona del legale rappresentante pro-tempore, con sede legale in Milano, via Manfredo Camperio n. 14, C.F. 07941590965, di pagare la somma di euro 20.000,00 (ventimila) a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione;

INGIUNGE

alla medesima società di pagare la somma di euro 20.000,00 (ventimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 1° febbraio 2018

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia