Diritti interna

Doveri interna

ricerca avanzata

Ordinanza ingiunzione nei confronti di Dalmesse Italia s.r.l. - 6 giugno 2018 [9038398]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
9038398
Data:
06/06/18
Argomenti:
Materie , Dati sensibili , Internet e social media , Informativa , Stato di salute
Tipologia:
Ordinanza ingiunzione o revoca

[doc. web n. 9038398]

Ordinanza ingiunzione nei confronti di Dalmesse Italia s.r.l. - 6 giugno 2018

Registro dei provvedimenti
n. 378 del 6 giugno 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale; 

RILEVATO che la Guardia di finanza, Nucleo speciale privacy, con verbale n. 90 del 7 novembre 2017 (notificato il 16 novembre 2017), ha contestato alla Dalmesse Italia s.r.l., in persona del legale rappresentante pro-tempore, con sede legale in Treviso, viale Luzzatti n. 88, C.F. 03653010268, le violazioni previste dagli artt. 13, 26, 161, 162, comma 2-bis e 167 del Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196, di seguito denominato “Codice”);

RILEVATO che dall’esame degli atti del procedimento sanzionatorio avviato con la contestazione di violazione amministrativa è emerso, in sintesi, quanto segue: 

- il Nucleo speciale privacy della Guardia di finanza ha svolto degli accertamenti ispettivi nei confronti di Dalmesse Italia s.r.l., in data 31 agosto e 1° settembre 2017, nell’ambito del programma ispettivo semestrale stabilito dal Garante;

- l’accertamento ha consentito di verificare che la Società tratta i dati personali dei clienti, raccolti nelle varie fasi di commercializzazione dei prodotti offerti per mezzo degli incaricati alle vendite, in qualità di titolare del trattamento; 

- la Società è proprietaria del sito web www.dalmesseitalia.it attraverso il quale tratta i dati personali degli utenti in qualità di titolare del trattamento; 

- nel predetto sito internet sono presenti le pagine "diventa consulente" e "come acquistare", con i rispettivi form di contatto per la raccolta dei dati, attivi e funzionanti;

- in corrispondenza di ogni forma di contatto è presente una casella recante la dicitura “confermo di aver letto e compreso l'informativa privacy” che non rimanda ad alcun testo di informativa; 

- in nessuna delle pagine del sito aziendale è presente un’informativa ai sensi dell’art. 13 del Codice;

- la Società effettua anche vendite di beni durevoli (c.d. "sussidi tecnici") in regime di aliquota I.V.A. agevolata in favore di categorie di portatori di handicap, richiedendo ai relativi clienti, oltre alla modulistica standard (proposta di commissione ed informativa), la compilazione e sottoscrizione di un modulo di autocertificazione denominato “L'acquisto di sussidi tecnici ed informatici con aliquota Iva agevolata" al quale è  necessario allegare la prevista certificazione sanitaria; 

- il modello di informativa allegato alla proposta di commissione non fa alcuna menzione del trattamento di dati sensibili con riferimento alla circostanza della vendita di beni durevoli in regime di I.V.A. agevolata; 

-  per il predetto trattamento, non è inoltre prevista l'acquisizione, dagli interessati, di uno specifico consenso scritto al trattamento dei dati sensibili;

RILEVATO che con il citato verbale n. 90/2017 sono state contestate a Dalmesse Italia s.r.l. le violazioni delle disposizioni del Codice in materia di informativa (per i trattamenti effettuati mediante il sito web aziendale e per quelli effettuati in relazione alla vendita dei sussidi tecnici), e di acquisizione del consenso scritto per il trattamento dei dati sensibili idonei a rivelare lo stato di salute dell’interessato;

LETTO il rapporto amministrativo, redatto dalla Guardia di finanza, con il quale è stato rappresentato che Dalmesse Italia s.r.l. non ha provveduto al pagamento in misura ridotta delle sanzioni relative alle violazioni contestate;

LETTI le memorie difensive presentate il 15 dicembre 2017 e il verbale di audizione della società in data 24 maggio 2018, nei quali si rappresenta:

- Quanto alla carenza dell'informativa nel sito […]facciamo presente che la contestata mancanza dell'informativa nei form presenti nel sito va esaminata nel contesto più ampio nel quale tale form si inseriva. Infatti pur se l'informativa non appare consultabile nel form ( per un mero errore tecnico, dovuto ad una mancanza attribuibile al collaboratore che ci ha assistito all'epoca della realizzazione del sito), essa è comunque presente nel sito e in tutti i form del sito stesso ed in ogni caso l'interessato, fornendo il proprio recapito, riceve un messaggio di conferma con riferimenti all'informativa sul trattamento dei dati. Questo esclude che possa verificarsi una raccolta di dati effettuata all'insaputa dell'interessato e per finalità che eccedano il riscontro alla richiesta formulata dallo stesso interessato.”;

- Quanto all'inidoneità dell'informativa [relativa ai trattamenti di dati sensibili idonei a rivelare lo stato di salute degli interessati] la società fa presente che di fatto la società non ha praticato con i dati raccolti tramite il sito o i moduli cartacei in uso nessuna attività di trattamento con la finalità di porre in essere vere e proprie azioni di marketing strutturate o campagne di email marketing massivo; I dati raccolti sono infatti sempre utilizzati per finalità contabili, amministrative o fiscali e per fornire riscontro a specifiche richieste formulate dagli interessati stessi. Tutto questo è confermato, sul piano del fatto, dalla considerazione che la nostra società non ha mai ricevuto contestazioni da parte di soggetti interessati a seguito del trattamento dei loro dati. Riteniamo che questa totale mancanza di contestazioni sia il segno più evidente del fatto che i dati siano stati effettivamente trattati in modo limitato e solo per fini connessi alla gestione del rapporto contrattuale o precontrattuale con il cliente.

- Quanto alla mancata acquisizione del consenso per i trattamenti di dati idonei a rivelare lo stato di salute “è di tutta evidenza che Dalmesse Italia tratta i dati sensibili degli interessati solo alla luce della vigente normativa per ragioni di natura fiscale. In particolare La Legge 5 febbraio 1992, n. 104, in via generale, dà diritto ad agevolazioni sull'acquisto di beni di consumo, a condizione che venga documentata la sussistenza di un collegamento funzionale fra la menomazione/disabilità dell'acquirente e il tipo di prodotto da acquistare. Il collegamento funzionale viene stabilito dal medico curante che rilascia la prescrizione autorizzativa, qualora ritenga che, fra il prodotto e il tipo di disabilità, ci sia quel rapporto. E' quindi evidente che la raccolta di dati sensibili è strumentale all'esercizio di un diritto da parte dell'interessato e alla gestione di un conseguente obbligo da parte del titolare. Conseguentemente i trattamenti svolti da Dalmesse Italia in concreto si limitano a dare riscontro alle richieste degli interessati e si pongono di fatto nell'ambito delle attività previste dall'art. 24 e 26 del D.lgs 196/2003 che individuano i casi nei quali il consenso dell'interessato non è necessario per il legittimo trattamento dei suoi dati.”;

RITENUTO che le argomentazioni addotte, unitamente agli atti acquisiti nel corso del procedimento sanzionatorio, non sono idonee a determinare l’archiviazione del procedimento sanzionatorio per le ragioni di seguito esposte:

- con riferimento all’omessa informativa nei trattamenti svolti tramite il sito web della società  si deve evidenziare che costituisce piena prova fino a querela di falso quando riportato nel verbale di operazioni compiute del 31 agosto 2017 e nel verbale di contestazione n. 90/2017, nei quali viene specificato che “alle pagine ‘diventa consulente’ e ‘come acquistare’ sono presenti due form di raccolta dati; in corrispondenza di entrambi i form di contatto è presente un check box denominato ‘confermo di aver letto e compreso l’informativa sulla privacy; la dicitura riportata in corrispondenza del check box non rimanda a nessun testo di informativa privacy; nelle pagine del sito non risulta presente alcuna informativa privacy ex art. 13 del Codice”. Dall’esame della documentazione acquisita nel corso dell’accertamento ispettivo, risulta presente solamente un documento denominato “privacy policy” il quale si occupa esclusivamente dei dati di navigazione o comunque anonimi e non di quelli acquisibili tramite i form presenti nel sito web. Deve pertanto confermarsi che i predetti trattamenti si sono svolti senza che sia stata rilasciata dal titolare del trattamento un’idonea informativa; 

- con riferimento ai trattamenti di dati sensibili idonei a rivelare lo stato di salute degli interessati risulta ampiamente provato dalle risultanze del procedimento sanzionatorio, e confermato dalla stessa società, che Dalmesse Italia s.r.l. ha proceduto alla raccolta e al trattamento di dati idonei a rilevare lo stato di salute degli interessati per le finalità di riduzione dell’aliquota relativa all’imposta sul valore aggiunto per l’acquisto di sussidi tecnici. Tale trattamento necessita dell’acquisizione, da parte del titolare, del consenso in forma scritta degli interessati dopo aver fornito una completa informativa ai sensi dell’art. 13 del Codice. Di un modello di informativa che indicasse i trattamenti di dati sensibili svolti e di un modello di acquisizione del consenso non si è rinvenuta traccia fra la documentazione acquisita nel corso dell’accertamento giacché i documenti presenti si riferiscono a modelli standard di informativa e di acquisizione del consenso per i trattamenti aventi finalità promozionali. Deve pertanto confermarsi che il predetto trattamento, riconducibile agli ambiti disciplinati dall’”Autorizzazione al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale”, n. 2/2016, adottata dal Garante il 15 dicembre 2016, punto 1.2, lett. e) (in www.gpdp.it, doc. web n. 5803257), si è svolto in carenza del consenso previsto dall’art. 26 del Codice;

RILEVATO, quindi, che Dalmesse Italia s.r.l., sulla base degli atti e delle considerazioni di cui sopra, risulta aver commesso, in qualità di titolare del trattamento, ai sensi degli artt. 4, comma 1, lett. f), e 28 del Codice, le violazioni indicate nella contestazione n. 90/2017 e, segnatamente, 

a) la violazione dell’art. 13 del Codice, sanzionata dall’art. 161, con riferimento all’omessa informativa nei trattamenti di dati personali svolti mediante il sito web della società;

b) la violazione dell’art. 13 del Codice, sanzionata dall’art. 161, con riferimento all’omessa informativa nei trattamenti di dati sensibili idonei a rivelare lo stato di salute degli interessati;

c) la violazione dell’art. 26 del Codice, sanzionata dall’art. 162, comma 2-bis, con riferimento alla mancata acquisizione del consenso scritto per i trattamenti di dati sensibili idonei a rivelare lo stato di salute degli interessati;

VISTO l’art. 1, comma 2, della legge 24 novembre 1981, n. 689, ai sensi del quale le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e per i tempi in esse considerati;

VISTO l’art. 161 del Codice, che punisce la violazione dell’art. 13, con la sanzione amministrativa del pagamento di una somma da euro 6.000 ad euro 36.000, per ciascuna delle due violazioni contestate; visto l’art. 162, comma 2-bis, del Codice che punisce le violazioni delle norme indicate nell’art. 167, fra le quali figura anche l’art. 26 del Codice, con la sanzione amministrativa del pagamento di una somma da euro 10.000 ad euro 120.000;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge n. 689/1981, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

- in ordine all’aspetto della gravità con riferimento agli elementi dell’entità del pregiudizio o del pericolo e dell’intensità dell’elemento psicologico, le violazioni non risultano di particolare gravità;

- ai fini della valutazione dell’opera svolta dall’agente, deve essere considerato in termini favorevoli il fatto che la società abbia comunque intrapreso, a seguito dell’accertamento ispettivo, un percorso di adeguamento delle procedure, volto ad eliminare le criticità rilevate;

- circa la personalità dell’autore della violazione, la società non risulta gravata da precedenti procedimenti sanzionatori definiti con pagamento in misura ridotta o ordinanza-ingiunzione;

- in merito alle condizioni economiche dell’agente, è stato preso in considerazione il bilancio d’esercizio per l’anno 2016; 

RITENUTO, quindi, di dover determinare, ai sensi dell’art. 11 della legge. n. 689/1981, l’ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura di:

- euro 6.000 (seimila), per la violazione di cui al punto a);

- euro 6.000 (seimila), per la violazione di cui al punto b);

- euro 10.000 (diecimila) per la violazione di cui al punto c);

VISTA la documentazione in atti;

VISTA la legge n. 689/1981, e successive modificazioni e integrazioni;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

ORDINA

a Dalmesse Italia s.r.l., in persona del legale rappresentante pro-tempore, con sede legale in Treviso, viale Luzzatti n. 88, C.F. 03653010268, di pagare la somma di euro 22.000 (ventiduemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione;

INGIUNGE

alla predetta società di pagare la somma di euro 22.000 (ventiduemila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689. 

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 6 giugno 2018

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia