g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di SIDA GROUP Srl  - 22 febbraio 2018 [8995025]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 8995025]

Ordinanza ingiunzione nei confronti di SIDA GROUP Srl  - 22 febbraio 2018

Registro dei provvedimenti
n. 105 del 22 febbraio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale; 

RILEVATO che il Nucleo speciale privacy della Guardia di finanza, in esecuzione della richiesta di informazioni ai sensi dell’art. 157 del Codice in materia di protezione dei dati personali – d.lg. 30 giugno 2003, n. 196 (di seguito denominato “Codice”) nr. 10024/102969 del 7 aprile 2016 formulata da questa Autorità, ha svolto presso la sede legale della “SIDA GROUP Srl”, in Roma via Piemonte n. 39/A, P.Iva: 00945360428 (di seguito denominata “Società”), con sede operativa in Ancona in via I Maggio n. 156, gli accertamenti di cui al verbale di operazioni compiute del 15 e 16 giugno 2016, al fine di acquisire ogni utile informazione e documentazione in relazione ai trattamenti di dati personali effettuati nell’ambito dell’attività di “head hunting/recruitment”, svolta dalla Società in qualità di titolare del trattamento dei dati personali, ai sensi del combinato disposto degli artt. 4 comma 1 lett. f) e 28 del Codice. In sede di operazioni compiute si è accertato, in particolare, che il 24 novembre 2005 la Società ha effettuato la notificazione per i trattamenti di cui all’art. 37 comma 1 lett. d) ed e) del Codice in cui risultava la denominazione “SIDA Srl” e la sede legale ad Ancona in Via I Maggio n. 156, mentre nel corso del 2012 ha assunto la nuova denominazione “SIDA GROUP Srl”, nell’anno 2013 la Società ha spostato la sede legale a Roma in Via dei Cerchi n. 75 e nel mese di marzo 2016 in via Piemonte n. 39/a (pag. 2 del verbale di operazioni compiute);

VISTO il verbale nr. 82 del 22 luglio 2016 notificato l’8 agosto 2016, che qui si intende integralmente richiamato, con cui è stata contestata alla Società la violazione amministrativa prevista dall’art. 163 del Codice in relazione agli artt. 37 e 38 del Codice, per aver omesso di provvedere tempestivamente alla variazione della ragione sociale e della sede legale riportata nella precedente prima notificazione del 24 novembre 2005,  informandola della facoltà di effettuare il pagamento in misura ridotta ai sensi dell’art. 16 della legge 24 novembre 1981, n. 689;

ESAMINATO il rapporto del Nucleo speciale privacy della Guardia di finanza predisposto ai sensi dell’art. 17 della legge n. 689/1981 dal quale non risulta essere stato effettuato il pagamento in misura ridotta per la violazione oggetto di contestazione;

VISTI gli scritti difensivi del 2 settembre 2017, presentati ai sensi dell’art. 18 della legge n. 689/1981, in cui la Società ha dichiarato che “l’unico luogo dove viene svolta l’attività e dove sono custoditi e gestiti i dati sensibili è rimasta la sede operativa SIDA Group s.r.l. di Ancona, in via I Maggio 156. Nessuna modifica è intervenuta sul punto.” Con specifico riferimento alla previsione di cui all’art. 38 comma 4 del Codice relativamente alle coordinate identificative del titolare di cui al comma 2 lett. a) del medesimo articolo, la Società ha evidenziato che nella fattispecie non sono intervenuti mutamenti negli elementi sostanziali richiesti “trattandosi di inadempienze di natura formale, inidonee ad offendere il bene oggetto di tutela” costituito dalla trasparenza del trattamento (pag. 3). La Società ha rappresentato che non sussistono, nella fattispecie, i presupposti soggettivi della violazione per carenza di coscienza e di volontarietà della condotta da parte dell’agente e che ricorre l’errore scusabile di interpretazione in merito all’omessa nuova notificazione in quanto la medesima Società ha ritenuto che la stessa non fosse necessaria “sulla base della normativa vigente ed in completa buona fede (…), rimanendo invariata la partita IVA della Società e soprattutto della sede presso la quale si sono sempre effettuati i trattamenti interessati alla notifica di cui all’art. 37 comma 1 lett. e) (…) ovvero la sede operativa (…), anche in virtù del fatto che i dati oggetto della prima notifica permettono comunque di identificare il titolare del trattamento” (pag. 4). La Società ha rilevato, infine, che il nuovo Regolamento (UE) 2016/679 non prevede più l’obbligo di notifica, “ulteriore motivo che ha condotto l’esponente ad assumere una interpretazione e un comportamento in buona fede ritenendo non necessario una ulteriore notifica” (pag. 5). La Società ha chiesto quindi l’archiviazione del procedimento inerente l’applicazione della sanzione e, in via subordinata, la riduzione ai sensi dell’art. 164 bis comma 1 del Codice, nonché la rateizzazione in 30 rate ai sensi dell’art. 26 della legge n. 689/1981;

VISTO il verbale di audizione del 28 marzo 2017 a mezzo del quale la Società, nel richiamare gli scritti difensivi, ha fatto presente che la mancata notificazione contestata è stata dovuta “ad una considerazione della sede amministrativa/operativa quale unica sede in cui avviene il trattamento dei dati personali oggetto di notificazione, anche in virtù di quanto previsto dall’art. 46 del codice civile che prevede che i terzi possano considerare quale sede giuridica la sede amministrativa e operativa della società”. A supporto di tale interpretazione, la parte ha depositato la visura storica della Società, nella quale emerge l’immutata sede operativa e la continuità della gestione dei dati personali di tutti gli utenti (dipendenti, clienti, etc.);

RITENUTO che le argomentazioni addotte dalla Società non risultano idonee ad escludere la responsabilità della Società in relazione a quanto contestato, si rileva quanto segue. In sede di operazioni compiute è stato accertato che la Società, a seguito della prima notificazione del 2005, ha mutato denominazione nel 2012, nonché sede legale nel 2013. L’art. 38 del Codice sancisce espressamente che la notificazione è validamente effettuata se contiene, tra gli altri, le “coordinate identificative del titolare del trattamento” (comma 2 lett. a) e che una nuova notificazione è richiesta “al mutamento di taluno degli elementi da indicare nella notificazione medesima” (comma 4). Nella vicenda in esame, non rileva quindi il luogo dove viene svolta l’attività e sono custoditi e gestiti i dati sensibili, che la Società indica nella sede operativa di Ancona, ma il mutamento delle “coordinate identificative del titolare del trattamento” il quale, a seguito della prima notificazione, ha visto cambiare sia la denominazione sia la sede legale. Tali elementi “identificativi” del titolare, lungi dal costituire “mutamenti di natura formale inidonei ad offendere il bene oggetto di tutela” (cfr. scritti difensivi), rappresentano invece i connotati essenziali (al pari del nome e della residenza per le persone fisiche) per individuare ed identificare il titolare del trattamento medesimo e sono imprescindibili non solo per la liceità, correttezza e trasparenza del trattamento dei dati effettuato, ma anche per la tutela dei diritti degli interessati. Del resto, gli “estremi identificativi del titolare” sono elementi essenziali per la protezione dei dati personali, che il titolare deve includere nell’informativa agli interessati, ai sensi dell’art. 13 del Codice, la cui assenza e/o inesattezza non solo rende inidonea l’informativa medesima ed il titolare del trattamento passibile di sanzione amministrativa (art. 161 del Codice), ma anche invalido l’eventuale consenso degli interessati, in violazione dell’art. 23 comma 3 del Codice, ed il titolare del trattamento passibile della sanzione ex art. 162 comma 2-bis del Codice. Non è pertinente, infine, il richiamo al Regolamento (UE) 2016/679 in quanto la sua applicazione è prevista per il 25 maggio 2018;

RITENUTO, peraltro,  che non può ritenersi sussistente alcuna carenza di coscienza e volontarietà della condotta da parte dell’agente né tantomeno l’errore scusabile dell’agente medesimo (pag. 3). Nella fattispecie, infatti, la doverosità di una nuova notificazione al Garante ex art. 38 comma 4 del Codice deriva da una corretta interpretazione letterale, fondata sul significato proprio del testo normativo, come prescritto dall’articolo 12 delle preleggi (cfr. Cass. Civ. n. 188 del 9 gennaio 2017). Non ricorre alcun errore incolpevole della Società, tenuto conto che l’art. 3 comma 2 della legge n. 689/1981, nel sancire che “nel caso in cui la violazione è commessa per errore sul fatto, l’agente non è responsabile quando l’errore non è determinato da sua colpa”, pone una presunzione di colpa in ordine al fatto vietato a carico di colui che lo abbia commesso, riservando poi a quest’ultimo l’onere di provare di aver agito incolpevolmente (tra le tante, Cass. Civ. sez. I n. 2406 dell’8/2/2016, Cass. Civ. sez. II n. 27432 del 9/12/2013, Cass. Civ. sez. lav., n. 19242 del 7/9/2006, Trib. Bergamo, n. 2339 del 14/9/2017). Peraltro, se l'errore incolpevole sul fatto può essere generato anche dall'interpretazione di norme quando verta sui presupposti della violazione, lo stesso può rilevare soltanto in presenza di un elemento positivo, estraneo all'autore dell'infrazione, idoneo ad ingenerare nello stesso “inesperto autore” l’incolpevole opinione di liceità del proprio agire e soltanto se lo stesso agente abbia fatto tutto il possibile per osservare la legge e nessun rimprovero possa essergli mosso, così che l'errore sia incolpevole, non suscettibile cioè di essere impedito dall'interessato con l'ordinaria diligenza (ex multis, Cass. civ. 11 maggio 2017, n. 11584, Cass. civ. 18 ottobre 2016, n. 21052, Cass. civ. 2 ottobre 2015, n. 19759). Nella vicenda in esame risulta tutt’altro che inevitabile l’errore circa l’omessa nuova notificazione al Garante, richiesta per legge al mutamento di taluni degli elementi indicati nella prima notificazione, tra cui appunto “le coordinate identificative del titolare” (art. 38 del Codice), non potendo rilevare nella fattispecie che fossero rimaste invariate la partita IVA e la sede operativa della Società. Del resto, anche il c.d. “errore di diritto”, quale causa di esclusione della responsabilità in riferimento alla violazione di norme amministrative, viene in rilievo “soltanto a fronte dell'inevitabilità dell'ignoranza del precetto violato, da apprezzarsi alla luce della conoscenza e dell'obbligo di conoscenza delle leggi che grava sull'agente in relazione anche alle sue qualità professionali e al suo dovere di informazione sulle norme e sulla relativa interpretazione” (cfr. Trib. Roma n. 10821 del 26 maggio 2017 che ha dichiarato dovuto l’importo di cui all’ordinanza ingiunzione del Garante n. 61 dell’8.11.2007). Tenuto conto, pertanto, della qualifica professionale dell’agente, che fornisce servizi di consulenza a livello direzionale, organizzativo ed operativo ad aziende ed Enti pubblici e privati, non può ritenersi applicabile l’esimente dell’errore scusabile, non potendo i dubbi interpretativi sull’obbligo di notificazione al Garante dei dati tradursi in una buona fede e in una ipotesi di ignorantia legis (cfr. Trib. Roma n. 10821 del 26 maggio 2017, Cass. civ. Sez. VI - 2, 01-09-2014, n. 18471, Cass. civ. del 18 luglio 2008, n. 1995);

RILEVATO che non risulta idoneo ad escludere la responsabilità della Società neanche il rinvio all’art. 46 del codice civile, compiuto dalla Società in sede di audizione, in quanto la previsione di legge per cui i terzi possono considerare come sede della persona giuridica anche quella “effettiva” diversa da quella legale (art. 46 c.c.) trova la sua ratio nella tutela dei terzi, non esonerando di certo il titolare del trattamento dagli obblighi di legge a suo carico, quale nella fattispecie quello di cui all’art. 38 comma 4 del Codice;

CONSTATATO che, a seguito dell’audizione, la Società ha effettuato due modifiche alla precedente notificazione (n. 2017033100237600 del 31 marzo 2017 e n. 2017072000242433 del 20 luglio 2017, da cui risulta l’attuale sede legale);

RILEVATO, pertanto, che la SIDA GROUP Srl in qualità di titolare del trattamento, ai sensi dell’art. 28 del Codice, ha effettuato un trattamento di dati personali omettendo di effettuare una nuova notificazione al Garante, in violazione dell’art. 38 comma 4 del Codice;

VISTO l’art. 163 del Codice che punisce la violazione della disposizione di cui agli artt. 37 e 38, con la sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge n. 689/1981, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a) in ordine all’aspetto della gravità con riferimento agli elementi dell’entità del pregiudizio o del pericolo e dell’intensità dell’elemento psicologico, la violazione non risulta connotata da elementi specifici;

b) ai fini della valutazione dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, deve considerarsi positivamente la circostanza che la Società abbia effettuato, pur se tardivamente, la prevista modifica alla precedente notificazione al Garante, nonché un’ulteriore modifica a seguito del mutamento della sede legale della Società medesima;

c) circa la personalità dell’autore della violazione, la Società non è stata destinataria di precedenti procedimenti sanzionatori; 

d) in merito alle condizioni economiche dell’agente, il valore della produzione risultante dal bilancio di esercizio della Società al 31 dicembre 2016 è di € 7.118.907 mentre il risultato di esercizio è di € 198.867;

RITENUTO, quindi, di dover determinare, ai sensi dell’art. 11 della legge n. 689/1981, l’ammontare della sanzione pecuniaria,  in ragione dei suddetti elementi valutati nel loro complesso, nella misura di euro 20.000,00 per la violazione di cui all’art. 163 del Codice;

RITENUTO, altresì, di accogliere la richiesta di rateizzazione in 20 (venti) rate mensili dell’importo di euro 1.000,00 (mille) ciascuna, per un importo complessivo pari a euro 20.000,00 (ventimila);

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE il dott. Antonello Soro;

ORDINA

alla SIDA GROUP Srl con sede legale in Roma, Via delle Fornaci 143/145/147/155 C.F. 00945360428, in persona del legale rappresentante pro-tempore, di pagare la somma complessiva di euro 20.000,00 (ventimila) a titolo di sanzione amministrativa pecuniaria per la violazione prevista dall’art. 163 del Codice come indicato in motivazione, frazionandola, in accoglimento della richiesta di rateizzazione, in 20 (venti) rate mensili dell’importo di 1.000,00 (mille) euro ciascuna;

INGIUNGE

alla medesima Società di pagare la somma di euro 20.000,00 (ventimila), secondo le modalità indicate in allegato i cui versamenti frazionati saranno effettuati entro l’ultimo giorno del mese successivo a quello in cui avverrà la notifica della presente ordinanza, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689. 

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 22 febbraio 2018

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia