Diritti interna

Doveri interna

ricerca avanzata

Ordinanza ingiunzione nei confronti di Mercati s.p.a - 26 luglio 2018 [9039965]

[doc. web n. 9039965]

Ordinanza ingiunzione nei confronti di Mercati s.p.a - 26 luglio 2018

Registro dei provvedimenti
n. 445 del 26 luglio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale; 

VISTO l’art. 1, comma 2, della legge 24 novembre 1981, n. 689, ai sensi del quale le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e per i tempi in esse considerati;

RILEVATO che il Nucleo speciale privacy della Guardia di finanza, in esecuzione della richiesta di informazioni ex art. 157 del Codice in materia di protezione dei dati personali – d.lg. 30 giugno 2003, n. 196 (di seguito denominato Codice) (n. 18683/91026 del 16 giugno 2014), ha svolto gli accertamenti di cui al verbale di operazioni compiute del 28 agosto 2014 nei confronti di Mercati s.p.a. P.Iva: 02158801007, con sede in Roma, via Ulisse Aldrovandi n. 15, in persona del legale rappresentante pro-tempore, dal quale è risultato che la società, presso la struttura alberghiera di via Ulisse Aldrovandi n. 15, effettuava una raccolta di dati personali degli utenti, utilizzando un link denominato “prenotazione” presente nel sito www.aldrovandi.com/it che consente l’apertura della pagina web www.yourreservation.net ove era presente un form di raccolta dati da utilizzare per la prenotazione delle camere, senza che venisse loro resa l’informativa di cui all’art. 13 del Codice.

La medesima attività di controllo ha consentito di accertare che Mercati s.p.a. effettuava, quale titolare, un trattamento di dati personali mediante l’utilizzo di un impianto di videosorveglianza omettendo di rendere un’idonea informativa ai sensi dell’art. 13 del Codice) e del provvedimento in materia di videosorveglianza datato 8 aprile 2010 (pubblicato in G.U. n. 99 del 29 aprile 2010, e in www.gpdp.it, doc. web n. 1712680).

E’ stato parimenti accertato come la medesima società effettuava, quale titolare, un trattamento di dati personali dei clienti che, pur non avendo effettuato una preventiva prenotazione, si presentavano presso il banco accettazione della struttura alberghiera, attraverso la procedura di passport scan prevista per la registrazione della clientela, senza rendere loro la prescritta informativa ai sensi dell’art. 13 del Codice;

VISTI i tre distinti verbali nn.rr. 62, 63 e 64 tutti datati 28 agosto 2014 con i quali sono state contestate a Mercati s.p.a., tre distinte violazioni amministrative, tutte previste dall’art. 161 del Codice, in relazione all’art. 13, informandola, per le tre contestazioni, della facoltà di effettuare il pagamento in misura ridotta ai sensi dell’art. 16 della legge 24 novembre 1981, n. 689; 

RILEVATO dal rapporto predisposto ai sensi dell’art. 17 della legge 24 novembre 1981, n. 689, relativo ai suddetti verbali di contestazione, che non risulta essere stato effettuato il pagamento in misura ridotta; 

VISTI gli scritti difensivi inviati ai sensi dell’art. 18 della legge 24 novembre 1981, n. 689, con i quali la società, con riferimento alla contestazione n. 62, rilevando come “(…) nel giorno della menzionata ispezione (…) non erano presenti (…) i soggetti che avrebbero potuto meglio chiarire le procedure di privacy adottate dalla struttura (…)” e illustrando le iniziative adottate comunque volte a “(…) integrare ed aggiornare le informative ex art. 13 della menzionata legge (…)”, ha evidenziato come “Mercati S.p.A. ha sempre utilizzato un sistema di prenotazione fornito dalla società tedesca (…), società di servizi della più nota  (…), di cui l’albergo Aldrovandi Villa Borghese è membro. Il sistema opera tramite il sito www.youreservation.net che già osserva di default una politica dedicata alla privacy, contenente un’informativa ed una successiva richiesta di consenso. Pertanto, Mercati Spa già riteneva di ottemperare alle disposizioni previste dalla direttiva europea 95/46/CE”. 

Con riferimento alla contestazione n. 63, dopo aver menzionato le iniziative intraprese in ordine al disposto dell’art. 4 della legge n. 300/1970, ribadito come “(…) nel giorno della menzionata ispezione (…) non erano presenti (…) i soggetti che avrebbero potuto meglio chiarire le procedure di privacy adottate dalla struttura (…)” e illustrato le iniziative comunque volte a “(…) integrare ed aggiornare le informative ex art. 13 della menzionata legge (…)”, ha evidenziato come “La Guardia di finanza ha eseguito un controllo solo all’ingresso principale nell’atrio di ingresso, dove mancavano i cartelli informativi, in quanto la Direzione, poco prima dell’ispezione de quo, aveva recentemente deciso di sostituire la vetusta cartellonistica con altra in linea con l’immagine dell’albergo”.

Riguardo alla contestazione n. 64, dopo aver ribadito come “(…) nel giorno della menzionata ispezione (…) non erano presenti (…) i soggetti che avrebbero potuto meglio chiarire le procedure di privacy adottate dalla struttura (…)”, ha rilevato come “L’informativa ex art. 13 del Codice ex TULPS esiste e si trova disponibile alla reception su file di word in apposita cartella di rete chiamata N condivisa tra gli operatori, a disposizione per la stampa (…). Esiste inoltre un ordine di servizio del 2013 che prevede la fornitura dello stesso documento su richiesta del cliente. (…) Disponibile una informativa di riepilogo tramite sistema passportscan. Da quando non sussiste più l’obbligo della stampa della schedina di notificazione ex art. 109 del TULPS, la prassi dell’albergo si è semplificata, non prevedendone più la stampa, se non su espressa richiesta”;

RITENUTO che le argomentazioni addotte da Mercati s.p.a. non risultano idonee ad escludere le responsabilità della parte in relazione a quanto contestato.

Con riferimento alla contestazione n. 62, quanto argomentato, non consente di qualificare gli elementi costitutivi della disciplina sull’errore scusabile di cui all’art. 3 della legge n. 689/1981, atteso che l'errore sulla liceità del fatto, comunemente indicato come buona fede, può rilevare come causa di esclusione della responsabilità solo quando esso risulti incolpevole. A tal fine occorre, cioè, un elemento positivo idoneo ad indurre un errore siffatto, non ovviabile dall'interessato con l’ordinaria diligenza, elemento che non è riscontrabile nel caso di specie (Cass. Civ. sez. I del 21 febbraio 1995 n. 1873; Cass. Civ. sez II del 13 marzo 2006, n. 5426).

Con riferimento alla contestazione n. 63, si rileva come la Guardia di finanza abbia puntualmente accertato, ai sensi dell’art. 13 ella legge n. 689/1981, la condotta omissiva oggetto di contestazione dando atto dell’esito del sopralluogo effettuato nel verbale di operazioni compiute redatto in data 27 agosto 2014.

Anche riguardo alla contestazione n. 64, si evidenzia come, quanto argomentato non consente di qualificare alcuno degli elementi costitutivi della disciplina sull’errore scusabile comunemente definibile come buona fede, di cui all’art. 3 della legge n. 689/1981, anche in base a quanto asserito dalla giurisprudenza (Cass. Civ. sez. I del 15 maggio 2006 n. 11012; Cass. Civ. sez II del 13 marzo 2006, n. 5426);

RILEVATO che la società ha quindi effettuato un trattamento di dati personali (art. 4 comma 1, lett. a) e b) del Codice) senza rendere la prescritta informativa agli interessati ai sensi dell’art. 13 del Codice a fronte: a) di una raccolta di dati personali degli utenti, utilizzando un link denominato “prenotazione” presente nel sito www.aldrovandi.com/it che consente l’apertura della pagina web www.yourreservation.net ove era presente un form di raccolta dati da utilizzare per la prenotazione delle camere; b) dell’utilizzo di un impianto di videosorveglianza; c) di un trattamento di dati personali dei clienti che, pur non avendo effettuato una preventiva prenotazione, si presentavano presso il banco accettazione della struttura alberghiera, attraverso la procedura di passport scan prevista per la registrazione della clientela;

VISTO l’art. 161 del Codice che punisce la violazione delle disposizioni di cui all’art. 13 con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro per ciascuna contestazione;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge 24 novembre 1981 n. 689, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore e che pertanto l’ammontare della sanzione pecuniaria per la violazione dell’art. 161 del Codice deve essere quantificato nella misura minima di euro 6.000,00 (seimila) per ciascuna delle tre contestazioni, per un importo complessivo pari a euro 18.000,00 (diciottomila);

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni ed integrazioni;

VISTE le osservazioni dell’Ufficio, formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

ORDINA

a Mercati s.p.a. P.Iva: 02158801007, con sede in Roma, via Ulisse Aldrovandi n. 15, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 18.000,00 (diciottomila) a titolo di sanzione amministrativa pecuniaria per la violazione, prevista dall’art. 161 del Codice, indicata in motivazione;

INGIUNGE

al medesimo soggetto di pagare la somma di euro 18.000,00 (diciottomila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689. 

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 26 luglio 2018

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia