Diritti interna

Doveri interna

ricerca avanzata

Ordinanza ingiunzione nei confronti di Conafi Prestitò s.p.a. - 16 maggio 2018 [9023957]

[doc. web n. 9023957]

Ordinanza ingiunzione nei confronti di Conafi Prestitò s.p.a. - 16 maggio 2018

Registro dei provvedimenti
n. 298 del 16 maggio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano, componente e del dott. Giuseppe Busia, segretario generale; 

RILEVATO che il Nucleo speciale privacy della Guardia di finanza, in esecuzione della richiesta di informazioni ai sensi dell’art. 157 del Codice in materia di protezione dei dati personali – d.lg. 30 giugno 2003, n. 196 (di seguito denominato “Codice”) nr. 10774 del 21 marzo 2017  formulata da questa Autorità, ha svolto presso la Conafi Prestitò s.p.a., P. Iva: 05513630011 (di seguito denominata “Società”), nella sede legale di Torino, in via Aldo Barbaro n. 15 – 10143 gli accertamenti di cui ai verbali di operazioni compiute datati 5 e 6 luglio 2017. Da tali accertamenti è risultato: - che la Società offre prestiti con rimborso mediante cessione del quinto a dipendenti pubblici e privati e a pensionati; - che per la gestione delle pratiche la Società utilizza l'applicativo “CQS Web” e tratta i dati personali dei clienti e i dati relativi alle procedure di sollecito dei pagamenti e di messa in mora, per mancati o ritardati pagamenti, nonché alle controversie e al recupero delle rate insolute (pag. 3 del verbale di operazioni compiute del 5 luglio 2017). Rispetto a tale trattamento la Società ha dichiarato di non aver effettuato alcuna notificazione al Garante ai sensi dell’art. 37 del Codice “in quanto non si ritiene che i trattamenti effettuati rientrino tra quelli oggetto di notificazione” (pag. 4 del suddetto verbale). Ad integrazione di quanto verificato in data 5 luglio 2017, nel corso delle operazioni del 6 luglio 2017 sono stati mostrati i siti internet della Società (www.conafi.it e www.prestitosulweb.it) ed è stata effettuata una simulazione di richiesta di informazioni tramite una delle tre landing page presenti sulla home page del sito www.conafi.it mediante le quali, tramite form, ogni utente può richiedere informazioni in merito al servizio di interesse. In calce ai tre form di raccolta dati, riferiti rispettivamente a tre servizi offerti, è presente una casella di testo contenente un'informativa privacy in forma ridotta nonché una check-box da flaggare obbligatoriamente, denominata “per presa visione informativa completa” (all. 3 del verbale del 5 luglio 2017). Nella citata informativa in forma ridotta è riportato che “Cliccando sulla casella INVIA RICHIESTA i dati personali da Lei forniti saranno acquisiti da Conafi Prestitò S.p.A. che li tratterà, in qualità di Titolare, mediante strumenti manuali informatici e telematici, per riscontrare la richiesta di contatto. I dati quindi potranno essere trattati dalla società per promuovere e vendere prodotti e servizi del Gruppo Conati Prestitò, attraverso lettere, telefono fisso e cellulare, materiale pubblicitario, sistemi automatizzati di comunicazione, posta elettronica, messaggi MMS, SMS, etc ... omissis ...” (all. 2 del verbale di operazioni compiute del 6 luglio 2017). Rispetto a tale informativa, la parte ha dichiarato che “ad oggi, Conafi Prestitò S.p.A. non ha effettuato alcun tipo di attività di marketing nei confronti  degli utenti che hanno richiesto informazioni mediante i suddetti siti internet. Gli stessi sono stati contattati esclusivamente per dare riscontro alle richieste formulate e, qualora diventati clienti, sono stati destinatari di contatti promozionali solo dopo aver fornito il consenso mediante il previsto modello (all. 3 del verbale del 5 luglio 2017)” (pag. 7 del verbale del 6 luglio 2017);

VISTO il verbale nr. 61/2017 del 21 luglio 2017 notificato il 2 agosto 2017, che qui si intende integralmente richiamato, con cui sono state contestate alla Società le violazioni amministrative previste dall’art. 163 del Codice in relazione all’art. 37 comma 1 lett. f) del Codice e dall’art. 162 comma 2-bis del Codice, in relazione all’art. 23 del Codice, informandola della facoltà di effettuare, per entrambe, il pagamento in misura ridotta ai sensi dell’art. 16 della legge n. 689/1981;

ESAMINATO il rapporto del Nucleo speciale privacy della Guardia di finanza predisposto ai sensi dell’art. 17 della legge 24 novembre 1981, n. 689 dal quale non risulta essere stato effettuato il pagamento in misura ridotta;

VISTO lo scritto difensivo del 29 settembre 2017, presentato ai sensi dell’art. 18 della legge n. 689/1981, oltre i 30 giorni previsti dalla legge, con cui la Società ha rappresentato che il trattamento di dati effettuato dalla stessa rientra tra i casi sottratti all’obbligo di notificazione in quanto “registrati in banche di dati utilizzate in rapporti con l'interessato di fornitura di beni, prestazioni o servizi, o per adempimenti contabili o fiscali, anche in caso di inadempimenti contrattuali, azioni di recupero del credito e contenzioso con l'interessato” (Provv. del Garante del 31 marzo 2004 punto 6 lett. b), in www.gpdp.it doc. web n. 852561). In particolare, la parte ha dichiarato che nel sistema CQS Web sono memorizzate esclusivamente le informazioni circa i finanziamenti dalla stessa trattati, i pagamenti delle rate rimborsate e le azioni di sollecito e di recupero effettuate: i dati ivi contenuti “sono esclusivamente quelli di soggetti con cui sono intercorsi o sono in corso rapporti contrattuali, nello specifico dei finanziamenti” (pag. 2 dello scritto difensivo). La parte ha rappresentato, altresì, che nel form non è stato previsto un distinto consenso per le finalità commerciali “perché in concreto inutile al momento del primo contatto: soltanto dopo avere valutato se il soggetto rispetta tutti i requisiti prescritti dal D.P.R. n. 180/1950 si procede altresì a chiedere il suo consenso o meno anche per le finalità commerciali per eventuali iniziative future, in quanto - in assenza delle caratteristiche richieste - verrebbe superfluo inoltrargli proposte commerciali”  (pag. 3 dello scritto difensivo);

VISTO il verbale di audizione del 27 febbraio 2018 con cui la parte ha ribadito quanto già riportato nello scritto difensivo, sottolineando, in merito al primo rilievo, che “il trattamento effettuato dalla Società è indirizzato all'erogazione di finanziamenti contro cessione del quinto i cui parametri sono predeterminati dal D.P.R. 180/1950 ed è possibile solo una cessione per ciascun dipendente o pensionato. Per tali motivi, la Società non effettua alcuna valutazione relativa al rischio sulla solvibilità economica, la situazione patrimoniale ed altri casi previsti dall'art. 37, lett. f) del Codice, tenuto altresì presente che il soggetto pagatore non è il cliente cedente, bensì il datore di lavoro o l'istituto di previdenza costituito debitore terzo ceduto”. In merito al secondo rilievo, la parte ha dichiarato che l'assenza della richiesta di consenso era dovuta al fatto che “per la caratteristica della cessione del quinto è sempre necessario un contatto diretto con l'interessato per valutare se sussistono i requisiti prescritti dal citato D.P.R. 180/1950. Solo in caso di prosecuzione della pratica di finanziamento si procede quindi alla sottoscrizione di un modulo cartaceo completo con raccolta del consenso dell'interessato per finalità di marketing. In realtà la Società effettua trattamenti per finalità promozionali solo sui contratti già sottoscritti e per i quali è stato già raccolto il consenso cartaceo. La Società non effettua, invece, tali trattamenti, dopo la raccolta dei dati conseguente al primo contatto attraverso il sito web” (pag. 2);

RITENUTO di dover archiviare, all’esito della valutazione degli elementi in atti, il procedimento sanzionatorio relativo alla violazione di cui all’art. 163 del Codice per l’omessa notificazione ai sensi dell’art. 37 comma 1 lett. f) in quanto è risultato che il trattamento effettuato dalla Società rientri in una delle ipotesi previste dal Provv. del Garante del 31 marzo 2004 sottratte all’obbligo di notificazione di cui all’art. 37 del Codice, in particolare in quella concernente i dati “registrati in banche di dati utilizzate in rapporti con l'interessato di fornitura di beni, prestazioni o servizi, o per adempimenti contabili o fiscali, anche in caso di inadempimenti contrattuali, azioni di recupero del credito e contenzioso con l'interessato” (punto 6 lett. b) del Provv. 31 marzo 2004) ;

RITENUTO, invece, che le argomentazioni addotte dalla parte in merito al secondo rilievo oggetto di contestazione non risultano idonee ad escludere la responsabilità della Società in quanto, anche nell’ipotesi in cui l’attività di promozione di prodotti e servizi non sia stata effettivamente perseguita dalla Società, a seguito del primo contatto attraverso il web, l’informativa resa (all. 2 verbale del 6 luglio 2017) indica comunque finalità diverse tra loro per le quali è richiesto un consenso specifico, come richiesto dall’art. 23, comma 3, del Codice secondo cui il consenso è validamente prestato “solo se è espresso liberamente e specificamente in riferimento a un trattamento chiaramente individuato (…)”. Sul punto, il Garante ha avuto già modo di chiarire in altre occasioni (di recente, con provvedimento n. 34 del 25 gennaio 2018, in www.gpdp.it, doc. web n. 8429624) che, laddove le finalità indicate nell'informativa siano diverse tra loro, come si è verificato nella fattispecie, a prescindere dalla circostanza se esse siano effettivamente realizzate dal titolare, è comunque necessario che siano acquisiti distinti e specifici consensi per ciascuna di queste;

RILEVATO, pertanto, che la Conafi Prestitò s.p.a., in qualità di titolare del trattamento, ai sensi degli artt. 4 comma 1 lett. f) e 28 del Codice, ha effettuato un trattamento di dati personali omettendo di acquisire un consenso specifico in relazione a ciascuna finalità perseguita, in violazione dell’art. 23 del Codice;

VISTO l'art. 162, comma 2-bis del Codice che punisce la violazione delle disposizioni indicate nell’art. 167 del Codice tra cui figura l’art. 23, con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge n. 689/1981, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

RITENUTO, quindi, di dover determinare, ai sensi dell’art. 11 della legge n. 689/1981, l’ammontare della sanzione pecuniaria,  in ragione dei suddetti elementi valutati nel loro complesso, nella misura di euro 20.000,00 (ventimila) per la violazione di cui all’art. 162 comma 2-bis del Codice;

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE il dott. Antonello Soro;

DISPONE

l’archiviazione del procedimento sanzionatorio relativo alla contestazione della violazione amministrativa di cui all’art. 163 del Codice, in relazione all’omessa notificazione prevista dall’art. 37 comma 1 lett. f), del medesimo Codice, nei termini di cui in motivazione;

ORDINA

alla Conafi Prestitò s.p.a., P. Iva: 05513630011, con sede legale a Torino in via Aldo Barbaro n. 15 10143 di pagare la somma di euro 20.000,00 (ventimila) a titolo di sanzione amministrativa pecuniaria per la violazione prevista dall’art. 162, comma 2-bis del Codice come indicato in motivazione;

INGIUNGE

alla medesima Società di pagare la somma di euro 20.000,00 (ventimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale o in copia autentica, quietanza dell’avvenuto versamento.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 16 maggio 2018

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia