[doc. web n. 8990267]

Ordinanza ingiunzione nei confronti di Innovastem s.r.l. - 15 febbraio 2018

Registro dei provvedimenti
n. 87 del 15 febbraio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

RILEVATO che il Nucleo speciale privacy della Guardia di finanza, in esecuzione della richiesta di informazioni ai sensi dell’art. 157 del Codice in materia di protezione dei dati personali – d.lg. 30 giugno 2003, n. 196 (di seguito denominato “Codice”) nr. 21866/97157 del 27 luglio 2015 formulata da questa Autorità, ha svolto presso la sede operativa della Innovastem s.r.l., in Brescia - via Corfù n. 96, P.Iva: 02572900989 (di seguito denominata “Società”), la cui sede legale è sita in Brescia, Via Malta 12 – 25124, gli accertamenti di cui al verbale di operazioni compiute del 30 settembre 2015. Da tali accertamenti è risultato che la Società effettua il trattamento di dati personali dei propri clienti/utenti anche a mezzo di un form presente alla pagina “contatti” del sito web denominato www.innovastem.it di proprietà della stessa, al fine di fornire informazioni agli utenti interessati al servizio offerto, i quali per usufruirne devono indicare “nome, cognome, recapito telefonico ed indirizzo e-mail, quest’ultimo obbligatorio” senza che agli stessi venga fornita la prevista informativa di cui all’art. 13 del Codice. E’ emerso, altresì, che la Società tratta dati idonei a rivelare lo stato di salute dei propri clienti, mediante la stipula dei contratti cui sono allegati dei questionari anamnestici compilati a cura dei genitori del nascituro ed acquisisce l’esito delle analisi di laboratorio, riguardanti tra l’altro la negatività all’HIV, al fine di consentire la conservazione, presso laboratori di società terze con sedi ubicate in Paesi appartenenti all’Unione Europea, delle cellule staminali contenute nel sangue del cordone ombelicale prelevato al momento della nascita del bambino, e che per tale trattamento di dati sensibili la Società non ha effettuato la prevista notificazione al Garante, ai sensi degli artt. 37 comma 1 lett. b) e 38 del Codice;

VISTA la nota della Società del 15 ottobre 2015, con la quale ha dichiarato che la notificazione al Garante di cui all’art. 37 del Codice non è stata fatta perchè a suo tempo era stato valutato che non ne esistessero i presupposti. In particolare, con riferimento ai dati della gestante circa la negatività ai markers sierologici richiesti dalla vigente normativa e a quanto è previsto dall’art. 37 comma 1 lett. b) del Codice  e dalla tabella n. 4 del fac-simile del modello di notificazione (presente nel sito internet www.gpdp.it), la Società ha dichiarato di non eseguire «prestazione di servizi sanitari per via telematica» e di non mantenere banche dati contenenti alcuno dei dati riportati nella citata tabella n. 4;

VISTO il verbale nr. 97 del 6 novembre 2015, che qui si intende integralmente richiamato, con cui è stata contestata alla Società la violazione amministrativa previste dall’art. 161 del Codice in relazione all’art. 13 del Codice, informandola della facoltà di effettuare il pagamento in misura ridotta ai sensi dell’art. 16 della legge 24 novembre 1981, n. 689. Atteso che il trattamento ha interessato un esiguo numero di soggetti (14 dalla costituzione del sito web) e che, tra i pochi dati trattati, solo l’indirizzo e-mail è richiesto obbligatoriamente, si è ritenuto che la violazione contestata rientrasse tra i casi di minore gravità, a norma dell’art. 164 bis comma 1 del Codice, ritenendo applicabile la sanzione pari a 2/5 di quella edittale prevista dall’art. 161 del Codice;

VISTO il verbale nr. 98 del 6 novembre 2015, che qui si intende integralmente richiamato, con cui è stata contestata alla Società la violazione amministrativa previste dall’art. 163 del Codice in relazione agli artt. 37 e 38 del Codice, informandola della facoltà di effettuare il pagamento in misura ridotta ai sensi dell’art. 16 della legge n. 689/1981;

ESAMINATO il rapporto del Nucleo speciale privacy della Guardia di finanza predisposto ai sensi dell’art. 17 della legge n. 689/1981 dal quale non risulta essere stato effettuato il pagamento in misura ridotta per entrambe le violazioni oggetto di contestazioni;

VISTI gli scritti difensivi del 28 dicembre 2015, presentati ai sensi dell’art. 18 della legge n. 689/1981, nei quali la Società ha rappresentato la propria buona fede in relazione all’omessa informativa nel form del modulo “contatti” del proprio sito web in quanto “Innovastem aveva redatto ed inserito apposita informativa, facilmente accessibile all’utente in fase di compilazione del form ed invio della richiesta di informazioni … e non spiegandosi il motivo per cui tale informativa non fosse presente sul sito web in occasione del controllo effettuato in data 30 settembre 2015 dalla Guardia di Finanza, ha richiesto spiegazioni alla società informatica di cui si avvale per gli aspetti legati al sito web, la quale ha condiviso la perplessità in ordine all’assenza del link, che pertanto si ritiene sia stato accidentalmente cancellato in occasione degli ultimi interventi tecnici effettuati”. La Società ha dichiarato, altresì, di essere in attesa di riscontro dalla società informatica cui ha chiesto copia della cache del sito per dimostrare la presenza dell’informativa nel form nel periodo immediatamente precedente alla verifica della Guardia di Finanza. In ogni caso, ad ulteriore conferma della propria buona fede, a seguito delle operazioni compiute del 30 settembre 2015, la società ha eliminato immediatamente, prima ancora di ricevere la notifica del verbale di contestazione, il form dalla pagina contatti del sito e pertanto “non vengono più acquisiti tramite alcun form i dati degli utenti richiedenti informazioni”;

VISTI i suddetti scritti difensivi nei quali, in relazione all’omessa notificazione ex art. 37 lett. b) del Codice, la Società ha ribadito che il trattamento dei dati sensibili citati non comportava l’obbligo di notificazione ex art. 37 lett. b) “in quanto Innovastem non organizza tali dati sensibili in banche dati né effettua prestazioni di servizi sanitari per via telematica” e comunque di aver ritenuto di non svolgere alcuno dei trattamenti per cui è richiesta la notificazione suddetta “su consulenza di apposita società cui si era rivolta proprio per adeguarsi a tutti gli obblighi in materia di privacy”. Ha chiesto, quindi, al Garante di valutare la sussistenza di un errore incolpevole per escludere la sua responsabilità, richiamando la sentenza della Cassazione n. 1151/1999, in quanto “l’errore sull’interpretazione sarebbe completamente ascrivibile al terzo, dato che ad esso erano forniti tutti i dati in maniera veritiera e completa e l’interpretazione della norma era affidata alla sua competenza ed esperienza”. La Società ha dichiarato, altresì, di aver deciso comunque di ottemperare all’obbligo di notificazione ed ha chiesto al Garante la rateizzazione degli importi, ai sensi dell’art. 26 della legge n. 689/1981;

VISTO il verbale di audizione del 12 dicembre 2016 con cui la Società ha evidenziato, con riferimento alla contestazione relativa all’omessa informativa, che l’assenza della stessa è stata dovuta ad un mero errore di caricamento in fase di programmazione affidata ad una società esterna la WebImage, che ha curato la nuova veste grafica del sito ed ha dichiarato che “l’informativa relativa al form era già presente in data 17 maggio 2014”, riservandosi di produrre al relativa documentazione a comprova di quanto affermato;

RITENUTO che le argomentazioni addotte non risultano idonee ad escludere la responsabilità della parte in ordine alle violazioni amministrative sopra richiamate. In via preliminare, si osserva che la citata documentazione che la Società si è riservata di fornire non è mai pervenuta al Garante, come si evince dai dati risultanti dal registro di protocollo dell’Ufficio;

RILEVATO poi, con riferimento alla contestata omessa informativa ex art. 13 del Codice,  che la Società ha dichiarato, sia negli scritti difensivi sia in sede di audizione, come tale assenza sia stata originata da un mero errore di caricamento in fase di programmazione affidata ad una società esterna e che l’informativa relativa al form fosse in realtà presente precedentemente agli accertamenti effettuati dalla Guardia di Finanza, senza tuttavia fornire alcuna prova a riscontro di quanto dichiarato e pur essendo tale onere posto a carico della Società medesima. Tenuto conto, infatti, che l’obbligo di fornire l’informativa agli interessati ai sensi dell’art. 13 del Codice è sanzionato amministrativamente da una specifica disposizione di legge (art. 161 del Codice), è onere del titolare fornire la prova dell’avvenuto adempimento nell’ambito di procedimenti o verifiche ispettive (cfr. provv.to del Garante n. 5 del 12 gennaio 2017 in www.gpdp.it doc. web n. 6026657 e provv.to del Garante n. 110 del 15 marzo 2012 in www.gpdp.it doc. web n. 2115627, confermato con sentenza del Tribunale di Milano n. 7555 del 15/10/2013). Peraltro, quanto dichiarato non consente di rilevare gli elementi costitutivi dell’errore scusabile di cui all’art. 3 della legge n. 689/1981. Ciò in quanto il principio posto dall’art. 3 della legge n. 689/1981 secondo cui per le violazioni colpite da sanzione amministrativa è richiesta la coscienza e volontà della condotta attiva od omissiva, sia essa dolosa o colposa, deve essere inteso nel senso della sufficienza dei suddetti estremi, senza che occorra la concreta dimostrazione del dolo o della colpa, atteso che “la norma pone una presunzione di colpa in ordine al fatto vietato a carico di colui che lo abbia commesso, riservando poi a quest’ultimo l’onere di provare di aver agito incolpevolmente” (tra le tante, Cass. Civ. sez. I n. 2406 dell’8/2/2016, Cass. Civ. sez. II n. 27432 del 9/12/2013, Cass. Civ. sez. lav., n. 19242 del 7/9/2006, Trib. Bergamo, n. 2339 del 14/9/2017). L’asserita buona fede della Società nel trattamento dei dati tramite il suddetto form, secondo cui la cancellazione accidentale dell’informativa privacy non avrebbe inciso nei rapporti con gli utenti che avevano inoltrato le loro richieste quanto il documento era ancora presente (pag. 3 scritti difensivi cit.), non solo è carente di qualsiasi fondamento probatorio, come si desume dagli atti del procedimento, ma non è in grado comunque di escludere la responsabilità del titolare del trattamento in questione, identificabile nella Società medesima. Pur se l’assenza dell’informativa in questione fosse stata frutto di una condotta erronea della società informatica che ha curato la nuova veste grafica del sito web della Società medesima, la circostanza che al momento dell’accertamento da parte della Guardia di Finanza non vi era alcuna informativa in relazione al citato form è comunque imputabile al titolare del trattamento e non è in grado di elidere l’illiceità del trattamento effettuato (cfr. Trib. Napoli 24.4.2017 n. 4222);

RITENUTO, in relazione alla contestata omessa notificazione del trattamento di cui all’art. 37 comma 1 lett. b) del Codice,  che non possa ritenersi sussistente l’errore scusabile della Società, la quale in un primo momento si è giustificata dichiarando di “non eseguire prestazione di servizi sanitari per via telematica né di mantenere banche dati” (cfr. nota del 15 ottobre 2015) e in un secondo momento ha dichiarato di non aver effettuato la notificazione al Garante per aver ritenuto di non esserne tenuta, “dietro consulenza di apposita società cui si era rivolta proprio per adeguarsi a tutti gli obblighi in materia di privacy” e, per tale ragione, “l’errore sull’interpretazione sarebbe completamente ascrivibile al terzo” (cfr. pagg. 3 e 4 dello scritto difensivo e pag. 1 del verbale di audizione). Come si è appurato in sede di operazioni compiute, la Società svolge attività di supporto logistico per la crioconservazione del sangue ombelicale presso laboratori siti in Paesi dell’Unione Europea ed effettua trattamenti di dati relativi alla partoriente ed eventualmente al coniuge finalizzati a tali attività. In particolare, per la prestazione del servizio richiesto, la Società tratta i dati personali della partoriente e del coniuge, riportati nel contratto e, per la sola partoriente, “il risultato degli esame del sangue [markers sierologici dell’epatite B, C, HIV 1, HIV 2, sifilide] da effettuarsi nei trenta giorni antecedenti alla data stimata del parto” nonché “gli esami che il laboratorio di conservazione del sangue cordonale trasmette alla Società per il successivo inoltro all’interessata”, contenenti anch’essi i risultati relativi ai markers sierologici dell’epatite B, C, HIV 1, HIV 2, sifilide (cfr. pag. 3 verbale operazioni compiute). A riprova di ciò, in sede di operazioni compiute, la Società ha allegato copia fotostatica di un referto (all. 7 del verbale operazioni compiute), nonché della certificazione di avvenuta conservazione comprensiva degli esami sul sangue materno e sul sangue cordonale effettuate dal laboratorio estero (all. 8 del citato verbale). Dagli atti del procedimento è risultato, quindi, che il trattamento in questione rientra tra le ipotesi previste dall’ art. 37 comma 1 lett. b) del Codice. La doverosità della notificazione al Garante per il trattamento dei dati in questione è frutto di una corretta interpretazione letterale della norma, fondata, come prescritto dall’articolo 12 delle preleggi, sul significato proprio del testo normativo. In particolare, ai sensi dell’art. 37 comma 1 lett. b) del Codice, tra le finalità del trattamento dei dati idonei a rivelare lo stato di salute degli interessati vi è quella di “rilevazione di malattie mentali, infettive e diffusive, sieropositività”, rilevazione che nella vicenda in esame costituisce un requisito essenziale per la successiva crioconservazione del sangue ombelicale delle partorienti. Del resto, è pacifico anche in giurisprudenza che tale finalità è del tutto autonoma dalle altre finalità previste dalla disposizione in esame ed è quindi idonea di per sé a far insorgere l’obbligo della notificazione al Garante (cfr. Cass. Civ. n. 188 del 9 gennaio 2017 e Trib. Roma n. 10821 del 26 maggio 2017). Non si rinvengono motivi ostativi a quanto innanzi affermato neanche nelle precisazioni sulle notificazione in ambito sanitario diffuse dal Garante con il provvedimento del 26 aprile 2004, laddove, a commento dell’esonero dall’obbligo di notificazione disposto con il provvedimento del Garante del 31 marzo 2004, si legge “per quanto riguarda poi le malattie mentali, infettive e diffusive, il trattamento da notificare è solo quello effettuato «a fini di … rilevazione …» di tali patologie. Questa circostanza ricorre nel caso di insiemi organizzati di informazioni su tali aspetti - di cui sono spesso gestori strutture, anziché persone fisiche - e non anche in caso di episodi occasionali di diagnosi e cura che riguardano un singolo professionista”. Ciò considerato, non rileva l’assunto della Società di “non eseguire prestazione di servizi sanitari per via telematica né di mantenere banche dati contenenti alcuno dei dati citati dall’art. 37 comma 1 lett. b)” (cfr. nota  del 15 ottobre 2015), essendo quest’ultima una finalità del tutto autonoma rispetto a quella di “rilevazione di malattie mentali, infettive e diffusive, sieropositività”. Non ricorre, altresì, l’errore incolpevole della Società medesima che ha attribuito la responsabilità della decisione di non notificare al Garante ad una società informatica esterna cui si era rivolta “per adeguarsi a tutti gli obblighi in materia di privacy” (cfr. pagg. 3 e 4 dello scritto difensivo e pag. 1 del verbale di audizione). In primo luogo, come si è visto, l’art. 3 della legge n. 689/1981 pone una presunzione di colpa in ordine al fatto vietato a carico di colui che lo abbia commessa “riservando poi a quest’ultimo l’onere di provare di aver agito incolpevolmente” (tra le tante, Cass. Civ. sez. I n. 2406 dell’8/2/2016, Cass. Civ. sez. II n. 27432 del 9/12/2013, Cass. Civ. sez. lav., n. 19242 del 7/9/2006, Trib. Bergamo, n. 2339 del 14/9/2017) e nella fattispecie la Società - pur volendo tacere del fatto che quest’ultima riveste, come sopra già illustrato, la qualifica di titolare del trattamento rispondendone, quindi, della relativa correttezza - non ha fornito alcuna documentazione a fondamento del proprio errore incolpevole. In secondo luogo, si rappresenta che la stessa sentenza della Suprema Corte richiamata dalla Società a pag. 4 dello scritto difensivo, per cui “l'errore incolpevole sul fatto può essere generato anche dall'interpretazione di norme, quando verta sui presupposti della violazione, e rileva in presenza di un elemento positivo, estraneo all'autore (quale un'assicurazione data da un professionista esperto, ecc.), che sia idoneo ad ingenerare nell'agente l'incolpevole opinione di liceità del suo agire”, precisa che “tale errore non può essere, comunque, individuato nella mera difficoltà di lettura di una norma, senza che l'opponente non abbia neppure addotto l'elemento positivo inducente l'errore stesso” (cfr. Cass. civ. 11 febbraio 1999, n. 1151). Al riguardo, l'errore sulla liceità del fatto giustifica l'esclusione della responsabilità solo quando risulti “inevitabile”, occorrendo a tal fine non solo un elemento positivo, estraneo all'autore dell'infrazione ed idoneo ad ingenerare in lui la convinzione della stessa liceità, ma anche “la condizione che, da parte sua, sia stato fatto tutto il possibile per osservare la legge e che nessun rimprovero possa essergli mosso, così che l'errore sia stato incolpevole, non suscettibile, cioè, di essere impedito dall'interessato con l'ordinaria diligenza” (cfr. Cass. civ. 2 ottobre 2015, n. 19759). Nemmeno può essere ascrivibile alla società terza l’errore sull’interpretazione della norma (cfr. pagg. 3 e 4 dello scritto difensivo e pag. 1 del verbale di audizione) posto che “l’errore di diritto”, quale causa di esclusione della responsabilità in riferimento alla violazione di norme amministrative, ricorre “soltanto a fronte dell'inevitabilità dell'ignoranza del precetto violato, da apprezzarsi alla luce della conoscenza e dell'obbligo di conoscenza delle leggi che grava sull'agente in relazione anche alle sue qualità professionali e al suo dovere di informazione sulle norme e sulla relativa interpretazione” (cfr. Trib. Roma n. 10821/2017 che ha confermato l’ordinanza ingiunzione del Garante n. 61 dell’8.11.2007). Ciò considerato, tenuto conto della qualifica professionale dell’agente (nel caso in esame, trattasi di Società che offre un servizio di consulenza, intermediazione ed assistenza alla clientela interessata alla crioconservazione del sangue cordonale) e dell’obbligo di conoscenza delle leggi, i dubbi interpretativi sull’obbligo di notificazione al Garante dei dati  non possono tradursi in una buona fede e in una ipotesi di ignorantia legis (cfr. Trib. Roma n. 10821 del 26 maggio 2017, conf. Cass. civ. Sez. VI - 2, 01-09-2014, n. 18471, Cass. civ. del 18 luglio 2008, n. 19995);

RILEVATO, pertanto, che la Innovastem s.r.l. in qualità di titolare del trattamento, ai sensi dell’art. 28 del Codice, ha effettuato un trattamento di dati personali omettendo di fornire l’informativa agli interessati e di notificare al Garante, in violazione degli artt. 13 e 37 del Codice;

VISTO l’art. 161 del Codice che punisce la violazione delle disposizioni di cui all’art. 13, con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro;

VISTO l’art. 163 del Codice che punisce la violazione delle disposizioni di cui agli artt. 37 e 38, con la sanzione amministrativa del pagamento da ventimila euro a centoventimila euro;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge n. 689/1981, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a) in ordine all'aspetto della gravità, le violazioni non risultano connotate da elementi specifici di gravità;

b) circa la personalità dell'autore della violazione, la società non è stata destinataria di precedenti procedimenti sanzionatori;

c) circa l’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, devono essere considerata favorevolmente la circostanza che la Società successivamente alle operazioni compiute ha eliminato il form dalla pagina contatti del sito e ha ottemperato all’obbligo di notificazione all’Autorità in data 24 dicembre 2015;

d) in merito alle condizioni economiche dell'agente, al fine di commisurare l'importo della sanzione alla reale capacità economica del trasgressore nel rispetto del principio di uguaglianza, deve rilevarsi che nei confronti della Società è in corso la procedura di fallimento;

CONSIDERATO che rispetto alla violazione di cui all’art. 161 del Codice deve ritenersi applicabile l’art. 164 bis comma 1 del Codice, per cui è applicabile la sanzione pari a 2/5 di quella edittale prevista dall’art. 161 del Codice, in quanto il trattamento suddetto ha interessato un esiguo numero di soggetti (14 dalla costituzione del sito web) e che, tra i pochi dati trattati, solo l’indirizzo e-mail era richiesto obbligatoriamente;

RITENUTO, quindi, di dover determinare, ai sensi dell’art. 11 della legge n. 689/1981, l’ammontare della sanzione pecuniaria,  in ragione dei suddetti elementi valutati nel loro complesso, nella misura di: 

• euro 2.400,00 (duemilaquattrocento) per la violazione di cui all’art. 161 del Codice, in combinato disposto con l’art. 164 bis comma 1 del Codice;

• euro 20.000,00 (ventimila) per la violazione di cui all’art. 163 del Codice;

RITENUTO, altresì, di accogliere la richiesta di rateizzazione in 10 (dieci) rate mensili dell’importo di euro 2.400,00 (duemilaquattrocento) ciascuna, per un importo complessivo pari a euro 22.400,00 (ventiduemilaquattrocento);

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE il dott. Antonello Soro;

ORDINA

alla Innovastem s.r.l. con sede legale in Brescia, Via Malta 12 – 25124, P.IVA 02572900989, in persona del legale rappresentante pro-tempore, di pagare la somma complessiva di euro 22.400,00 (ventiduemilaquattrocento) a titolo di sanzione amministrativa pecuniaria per le violazioni previste dagli artt. 161, in combinato disposto con l’art. 164 bis comma 1 del Codice, e 163 del Codice come indicato in motivazione, frazionandola, in accoglimento della richiesta di rateizzazione, in 10 (dieci) rate mensili dell’importo di 2.400,00 (duemilaquattrocento) euro ciascuna;

INGIUNGE

alla medesima Società di pagare la somma di euro 22.400,00 (ventiduemilaquattrocento), secondo le modalità indicate in allegato i cui versamenti frazionati saranno effettuati entro l’ultimo giorno del mese successivo a quello in cui avverrà la notifica della presente ordinanza, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689. 
Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero. 

Roma, 15 febbraio 2018

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia