Diritti interna

Doveri interna

ricerca avanzata

Ordinanza ingiunzione nei confronti di Studio Silver Consulting S.r.l.s. - 15 marzo 2018 [9003284]

[doc. web n. 9003284]

Ordinanza ingiunzione nei confronti di Studio Silver Consulting S.r.l.s. - 15 marzo 2018

Registro dei provvedimenti
n. 158 del 15 marzo 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale; 

RILEVATO che il Nucleo Speciale Privacy della Guardia di Finanza, in esecuzione della richiesta di informazioni del Garante n. 9055/102969 del 30 marzo 2016, formulata ai sensi dell’art. 157 del d.lgs. 30 giugno 2003 n. 196, recante il Codice in materia di protezione dei dati personali (di seguito “Codice”), ha svolto gli accertamenti, ai sensi dell’art. 13 della legge 689/1981,  presso la sede operativa di “Studio Silver Consulting S.r.l.s.” in Lodi, Via Legnano 12, società esercente l’attività economica di “gestione del debito”, con sede legale in Melegnano (MI), via Turati, 5 C.F./P.I. 08949230968 (di seguito “la Società”) formalizzati nel verbale di operazioni compiute dei giorni 18 e 19 maggio 2016 e diretti a verificare la liceità dei trattamenti di dati personali effettuati dalla Società;

VISTI gli atti dell’accertamento ispettivo; 

CONSIDERATO che, sulla base delle dichiarazioni rese e della documentazione prodotta dalla Società nel corso degli accertamenti ispettivi, è risultato che:

- la società, costituita nel gennaio 2015, si occupa della gestione del debito ovvero di "gestire le difficoltà economiche delle famiglie e delle piccole imprese sviluppando piani di rientro stragiudiziale e transazioni a saldo e stralcio con istituti di credito, recupero crediti e società finanziarie" (Verbale di operazioni compiute del 18 e 19 maggio 2016, punto n. 1,  pagina 2);

- la società si avvale di un sito web di proprietà "ED Soluzioni Debiti" a mezzo del quale, al fine di prendere contatto con la clientela per fornire assistenza e consulenza nella gestione del debito, raccoglie dati personali - di contatto (nome, email, recapito telefonico)  - della medesima attraverso la compilazione di form  riferiti ai diversi servizi offerti dalla Società che l'utente intende richiedere. Tali dati sono “(…) riportati nella anagrafica clienti informatizzata (...)” (Verbale di operazioni compiute del 18 e 19 maggio 2016, punto n. 5, pagina 5). Inoltre,  “ (…) su tutti i form di raccolta dati presenti sul sito internet è richiesto il consenso per il trattamento dei dati personali inseriti all'utente ai soli fini di contatto" (...) e "(…) sulla home page del sito è presente un apposito link cliccando il quale si prende visione dell'informativa  privacy (…)" (Verbale di operazioni compiute del 18 e 19 maggio 2016, punto n. 5, pagina 6);

- qualora il cliente sia interessato alla firma del contratto di consulenza e assistenza, la società acquisisce dati personali ulteriori, rispetto a quelli suddetti, relativi alla sua situazione debitoria ed economico/patrimoniale (busta paga, CUD,  730, ecc.).  Tali dati, “ (…) raccolti in sede di stipula contrattuale, vengono trasferiti (…)” in un  “ (…) gestionale  (…)” di proprietà della società “ (…) ove sono riportati tutti i dati anagrafici relativi al cliente, ovvero i dati anagrafici del cliente, del coobbligato, qualora esistente, della controparte, la situazione debitoria, la situazione patrimoniale ed  altre informazioni utili alla gestione del contenzioso".  (Verbale di operazioni compiute del 18 e 19 maggio 2016,  punto 4, pagina 4); 

- con riguardo alla raccolta dei dati in sede di stipula contrattuale, la Società ha dichiarato che viene fornita al cliente "(...) in allegato, l'informativa,  dove sono altresì riepilogati i diritti di cui all'articolo 7 (...) I dati raccolti in questo modo sono necessari per l'adempimento della prestazione richiesta, sono di tipo comune e sensibile con riferimento all'acquisizione di dati idonei a rilevare l'adesione a sindacati presenti nelle buste paga fornite dal cliente" (Verbale di operazioni compiute del 18 e 19 maggio 2016, punto 5, pagina 6);

- la Società si avvale, pertanto, di uno strumento elettronico di gestione dei dati personali (dati anagrafici, nonché dati relativi a situazioni debitorie e patrimoniali), anche sensibili, della clientela; 

- la Società, ai sensi del combinato disposto degli artt. 4, comma 1, lett. f) e 28 del Codice, è titolare del trattamento in relazione ai dati personali, anche sensibili, dei clienti trattati nello svolgimento della sopra citata attività;

- la Società, come anche dichiarato (Verbale di operazioni compiute del 18 e 19 maggio 2016, punto 7, pagina 7) non ha adempiuto all'obbligo di notificazione al Garante di cui all'articolo 37, comma 1, lettera f), del Codice da effettuarsi nei termini di cui all'articolo 38 del Codice medesimo;

- la Società non ha provveduto, in conformità di quanto dispone l’art. 23 del Codice, ad acquisire il libero e specifico consenso in relazione al trattamento di dati sensibili, ancorché nel testo dell’informativa per l’interessato sia prevista la possibilità della raccolta di tali dati; 

VISTO il Verbale del Nucleo Speciale Privacy della Guardia di Finanza n. 52 del 19 maggio 2016 con cui sono state contestate a “Studio Silver Consulting S.r.l.s.” con sede operativa in Lodi, Via Legnano 12 e sede legale in Melegnano (MI), via Turati, 5 C.F./P.I. 08949230968, in persona del legale rappresentante pro-tempore, le seguenti violazioni amministrative:

- mancato assolvimento dell’obbligo di cui al combinato disposto degli artt. 37, comma 1, lettera f) e 38, commi 1 e 2, del Codice per omessa notificazione al Garante (art. 163 del Codice) in relazione al trattamento dei dati personali, anche sensibili, registrati in apposita banca dati gestita con strumenti elettronici e relativa al rischio sulla solvibilità economica e alla situazione patrimoniale della clientela;  

- mancata acquisizione del libero e specifico consenso richiesto dall’art. 23 del Codice con riferimento al trattamento dei dati sensibili della clientela (art. 167, comma 1 e 162, comma 2-bis del medesimo Codice);

RILEVATO che dal rapporto predisposto dalla I Sezione del Nucleo Speciale Privacy della Guardia di Finanza ai sensi dell’art. 17 della legge 24 novembre 1981 n. 689, non risultano essere stati effettuati i pagamenti in misura ridotta;

CONSIDERATO che la parte non ha presentato alcuna memoria difensiva, né istanza di audizione all’Autorità scrivente ai sensi dell’art. 18 della legge 24 novembre 1981 n. 689;

RILEVATO, quindi, che “Studio Silver Consulting S.r.l.s.” esercente l’attività economica di “gestione del debito” presso la sede operativa in Lodi, Via Legnano 12 e con sede legale in Melegnano (MI), via Turati, 5 C.F./P.I. 08949230968, in qualità di titolare del trattamento ai sensi dell’art. 4, comma 1, lett. f), e 28 del Codice, sulla base delle considerazioni sopra richiamate risulta aver commesso:

- la violazione di cui agli artt. 37, comma 1, lettere f) e 38 del Codice, per aver effettuato, trattamenti di dati personali, anche sensibili, registrandoli in apposita banca dati gestita con strumenti elettronici e relativa al rischio sulla solvibilità economica e alla situazione patrimoniale della clientela;

- la violazione di cui all’art. 23 del Codice per la mancata acquisizione del libero e specifico consenso con riferimento al trattamento dei dati sensibili della clientela, relativi all'adesione a sindacati, presenti nelle buste paga fornite da quest’ultima;

VISTO l’art. 163 del Codice che punisce la violazione degli artt.  37, comma 1, lettera f) e 38  del medesimo Codice con la sanzione amministrativa del pagamento di una somma da ventimila a centoventimila euro;

VISTO  il combinato disposto degli artt. 162, comma 2-bis e 167, comma 1, del medesimo Codice e per cui la sanzione amministrativa per la violazione dell’art. 23 corrisponde al pagamento di una somma da diecimila a centoventimila euro;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge n. 689/1981, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a) in ordine all’aspetto della gravità con riferimento agli elementi dell’entità del pregiudizio o del pericolo e dell’intensità dell’elemento psicologico, la violazione non risulta connotata da elementi specifici;

b) circa la personalità dell’autore della violazione, deve essere considerata la circostanza che la società non risulta gravata da precedenti procedimenti sanzionatori;

c) in merito alle condizioni economiche dell’agente, sono stati presi in considerazione gli elementi del bilancio ordinario d’esercizio per l’anno 2015;

RITENUTO, quindi, di dover determinare, ai sensi dell’art. 11 della legge n. 689/1981, l’ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura di euro 20.000,00 (ventimila) per la violazione di cui all’art. 163 in relazione agli artt.   37, comma 1, lettera f) e 38 e nella misura di euro 10.000,00 (diecimila) per la violazione di cui agli artt. 162, comma 2-bis e 167 del Codice in relazione all’art. 23 del medesimo Codice per un ammontare complessivo pari a euro 30.000,00 (trentamila);

VISTA la documentazione in atti;

VISTA la legge n. 689/1981 e successive modificazioni e integrazioni;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE il dott. Antonello Soro;

ORDINA

a “Studio Silver Consulting S.r.l.s.” con sede legale in Melegnano (MI), via Turati, 5 C.F./P.I. 08949230968 di pagare la somma di euro 30.000,00 (trentamila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione;

INGIUNGE

alla medesima società di pagare la somma di euro 30.000,00 (trentamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689. 

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 15 marzo 2018

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia