Diritti interna

Doveri interna

ricerca avanzata

Ordinanza ingiunzione nei confronti di Futur3 s.r.l. - 18 aprile 2018 [9019850]

[doc. web n. 9019850]

Ordinanza ingiunzione nei confronti di Futur3 s.r.l. - 18 aprile 2018

Registro dei provvedimenti
n. 237 del 18 aprile 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale; 

RILEVATO che la Guardia di finanza, Nucleo speciale privacy, in esecuzione della richiesta di informazioni n. 9907/114888 del 15 marzo 2017 formulata ai sensi dell’art. 157 del d. lgs. 30 giugno 2003 n. 196, recante il Codice in materia di protezione dei dati personali (di seguito “Codice”) ha svolto un’attività di controllo formalizzata con i verbali di operazioni compiute datati 19 e 20 aprile 2017, a fronte della quale è stato accertato che Futur3 s.r.l. P.Iva: 01877010221, con sede in Trento, via A. Detassis n. 53, in persona del legale rappresentante pro-tempore, in qualità di titolare ai sensi dell’art. 28 del Codice:

1) richiede, agli utenti che si registrano al servizio “Free Luna” finalizzato alla fruizione di una connessione wi-fi free, il rilascio di due consensi obbligatori relativi a distinte e ulteriori finalità (marketing diretto relativo a prodotti e servizi di Futur3 e/o di soggetti terzi, sia con modalità tradizionali che con sistemi automatizzati di chiamata ai sensi dell’art. 130, commi 1 e 2 del Codice; profilazione finalizzata alla personalizzazione del marketing relativo a prodotti e servizi di Futur3 e/o di soggetti terzi) non strettamente connesse al servizio richiesto e pertanto non liberamente espressi, in violazione di quanto previsto dall’art. 23 del Codice;

2) è proprietaria della banca dati di particolare rilevanza e dimensione contenente i dati personali di 1.459.636 utenti del servizio “Free Luna” registrati con le modalità illustrate al punto precedente, con conseguente applicabilità  dell’art. 164-bis, comma 2 del Codice;

VISTO il verbale nr. 36/2017 del 23 maggio 2017 redatto dalla Guardia di finanza, Nucleo speciale privacy, con il quale sono state contestate a Futur3 s.r.l., in qualità di titolare del trattamento, rispettivamente;1) la violazione amministrativa prevista dall’art. 162, comma 2-bis, in relazione all’art. 23 del Codice; 2) la violazione prevista dall’art. 164-bis, comma 2 del Codice, per la quale non è prevista la definizione in via breve ai sensi dell’art. 16 della legge 24 novembre 1981, n. 689, informandola, per la sola violazione di cui al punto 1), della facoltà di effettuare il pagamento in misura ridotta ai sensi dell’art. 16 della legge 24 novembre 1981;

RILEVATO che la società, ai sensi e per gli effetti di quanto previsto dall’art. 16 della legge 24 novembre 1981, n. 689, risulta aver effettuato il pagamento in misura ridotta dell’importo pari al doppio del minimo afferente il rilievo per la violazione dell’art. 162, comma 2-bis del Codice di cui al punto 1), estinguendo, di conseguenza, il relativo procedimento sanzionatorio;

VISTO lo scritto difensivo inviato ai sensi dell’art. 18 della legge 24 novembre 1981, n. 689, con il quale la società, con riferimento alla sola violazione di cui all’art. 164-bis, comma 2 del Codice, ha osservato come “Essendo generalmente i servizi di Wi-Fi gratuito sfruttati soprattutto da soggetti stranieri, (…), è importante sottolineare che circa la metà degli utenti contenuti nel database di Futur3 sono stranieri (…). Tuttavia, per questi soggetti, il servizio di marketing non è mai stato attivato, stante l’inutilità di proporre i servizi di cui sopra a utenti che molto probabilmente non si trovano più in Italia. (…) Raffrontando quindi il numero di utenti nei confronti dei quali è stata effettivamente realizzata attività di marketing (circa 750.000) e il numero di SMS ed e-mail inviati, si evince come l’attività posta in essere da Futur3 non possa essere considerata come un’attività di marketing intrapresa su larga scala e/o attività di cd. spam (…)”, così contestando la ricorrenza del requisito della dimensione del data base previsto dal citato art. 164-bis, comma 2 del Codice.

Ha rilevato, altresì, come, traendo spunto dall’Ordinanza ingiunzione del Garante n. 231 dell’8 maggio 2014 (in www.garanteprivacy.it, doc. web n. 3275922), “(…) per quanto riguarda il secondo requisito previsto dalla norma (art. 164-bis, comma 2 del Codice), ossia quello della rilevanza del data base oggetto di contestazione (…) Non essendo state previste, ad oggi, speciali condizioni di trattamento per la tipologia di dati acquisiti (…) per mezzo della registrazione volontaria a Freeluna da parte degli utenti, anche tale requisito deve ritenersi, (…), insussistente”;

RITENUTO, che le argomentazioni addotte da Futur3 s.r.l. non risultano idonee ad escludere la responsabilità in relazione a quanto contestato. Risulta inconferente quanto argomentato circa il fatto che “(…) è importante sottolineare che circa la metà degli utenti contenuti nel database di Futur3 sono stranieri (…)”, atteso che  né la nazionalità degli utenti/interessati né l’utilizzabilità dei dati medesimi ai fini di marketing o profilazione costituiscono elementi rilevanti al fine della ricorrenza dei requisiti della particolare rilevanza o dimensione del data-base di cui all’art. 164-bis, comma 2 del Codice che, invece, sono stati puntualmente accertati ai sensi dell’art. 13 della legge n. 689/1981 dall’organo accertatore.

Risulta parimenti inconferente anche quanto argomentato circa l’inssussistenza del “(…) secondo requisito previsto dalla norma (art. 164-bis, comma 2 del Codice), ossia quello della rilevanza del data base oggetto di contestazione (…), atteso che la particolare rilevanza data-base non è valutabile con esclusivo riferimento a categorie di dati per le quali, attraverso disposizioni di legge e provvedimenti del Garante sono state previste speciali condizioni di trattamento (Ordinanza ingiunzione del Garante n. 231 dell’8 maggio 2014). In effetti quello individuato nell’Ordinanza citata è solo uno dei parametri valutativi che sono presi in considerazione anche alla luce delle risultanze istruttorie scaturenti, come nel caso di specie, dall’attività di controllo posta in essere dall’organo accertatore. Peraltro, sul punto giova rilevare come, nonostante nel caso di specie ricorrano entrambe i requisiti della particolare rilevanza o dimensioni della banca dati, ai fini del perfezionamento dell’illecito amministrativo previsto dall’art. 164-bis, comma 2 del Codice, ne sia sufficiente anche uno (Ordinanza ingiunzione n. 47 del 2 febbraio 2017, in www.garanteprivacy.it, doc. web n. doc. web n. 6009876);

RILEVATO, quindi, che Futur3 s.r.l. in qualità di titolare del trattamento, ha effettuato, ai sensi dell’art. 4, comma 1 lett. a) e b) del Codice, un trattamento di dati personali contenuti in una banca dati di particolare rilevanza e dimensione costituita da 1.459.636 posizioni di utenti che si sono registrati al servizio “Free Luna” finalizzato alla fruizione di una connessione wi-fi free rilasciando due consensi obbligatori relativi a distinte finalità (marketing diretto relativo a prodotti e servizi di Futur3 e/o soggetti terzi, sia con modalità tradizionali che con sistemi automatizzati di chiamata ai sensi dell’art. 130, commi 1 e 2 del Codice) non strettamente connesse al servizio richiesto e pertanto non liberamente, con conseguente applicabilità dell’art. 164-bis, comma 2 del Codice;

VISTO l’art. 164-bis, comma 2 del Codice, che punisce la violazione delle disposizioni di alcune disposizioni del Codice tra le quali quella prevista dall’art. 23 (già definita in via breve dalla società), con la sanzione amministrativa da euro 50.000,00 (cinquantamila) a euro 300.000,00 (trecentomila); 

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge 24 novembre 1981 n. 689, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore e che pertanto l’ammontare della sanzione pecuniaria deve essere quantificato nella misura di euro 50.000,00 (cinquantamila);

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell’Ufficio, formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Licia Califano;

ORDINA

a Futur3 s.r.l. P.Iva: 01877010221, con sede in Trento, via A. Detassis n. 53, in persona del legale rappresentante pro-tempore, di pagare la somma complessiva di euro 50.000,00 (cinquantamila) a titolo di sanzione amministrativa pecuniaria per la violazione prevista dall’art. 164-bis, comma 2 del Codice;

INGIUNGE

al medesimo soggetto di pagare la somma di euro 50.000,00 (cinquantamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689.  

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 18 aprile 2018

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia