[doc. web n. 9072702]

Ordinanza ingiunzione nei confronti di società Yahoo! Emea Limited oggi Oath (Emea) Limited - 8 marzo 2018

Registro dei provvedimenti
n. 144 dell'8 marzo 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale; 

RILEVATO che l’Ufficio del Garante, con atto n. 17988/102295 del 17 giugno 2016  (comunicato mediante posta raccomandata internazionale e posta elettronica), che qui deve intendersi integralmente riportato, ha contestato alla società Yahoo! Emea Limited oggi Oath (Emea) Limited (di seguito Oath Emea), in persona del legale rappresentante pro-tempore, con sede legale in 5-7 Point Village, North Wall Quay, Dublino, Repubblica d’Irlanda, la violazione prevista dagli artt. 157 e 164 del Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196, di seguito denominato “Codice”);

DATO ATTO, in sintesi, di quanto riportato agli atti del procedimento sanzionatorio avviato con la predetta contestazione: 

- l’Ufficio del Garante, nel provvedimento decisorio di un ricorso, n. 83 del 25 febbraio 2016, ha ordinato a Oath Emea di provvedere alla rimozione dal motore di ricerca “Yahoo! Search” di alcuni URL (uniform resource locator) relativi a pagine web contenenti informazioni personali sul ricorrente;

- con il medesimo provvedimento il Garante ha richiesto alla società, ai sensi dell’art. 157 del Codice, di fornire informazioni in merito all’attuazione del provvedimento, entro 45 giorni dalla notifica dell’atto, avvenuta il 22 marzo 2016; 

- la richiesta di informazioni conteneva anche un avvertimento in ordine alle sanzioni amministrative alle quali la società poteva incorrere in caso di mancato riscontro;

- a tale richiesta la società non ha fornito alcun riscontro nei termini indicati;

RILEVATO che con il citato atto del 17 giugno 2016 è stata contestata a Oath Emea, ai sensi dell’art. 164 del Codice, la violazione dell’art. 157, per avere omesso di fornire informazioni o di esibire documenti al Garante; 

VISTO il rapporto relativo all’atto di contestazione di cui sopra, predisposto dall’Ufficio ai sensi dell’art. 17 della legge 24 novembre 1981, n. 689, dal quale risulta non essere stato effettuato il pagamento in misura ridotta;

LETTI gli scritti difensivi presentati dalla società il 15 luglio 2016, che qui si intendono integralmente richiamati, nei quali si osserva che.

-  "Yahoo EMEA — società irlandese che fornisce il servizio Yahoo! Search agli utenti italiani — è l'unico titolare del trattamento per quanto riguarda i dati personali degli utenti che usufruiscono dei servizi presenti sul sito yahoo, ivi inclusa l'estensione italiana www.yahoo.it. Nessuna forma di trattamento è effettuata nel territorio Italiano, esercitando la società le sue attività unicamente dalla sua sede di Dublino, in Irlanda ed essendo, quindi, soggetta alla legge irlandese e alla supervisione e autorità del Data Protection Commissioner irlandese”;

- “è evidente come il Garante abbia erroneamente interpretato e applicato l'art. 4. paragrafo 1, della Direttiva 95/46/CE nel ritenere che Yahoo EMEA sia soggetta alla legge italiana. E' chiaro sia dal testo della Direttiva che dalla giurisprudenza della Corte di Giustizia dell'Unione europea (''CGUE"), che il citato articolo debba essere interpretato in modo da evitare l'applicazione di diverse normative di una pluralità di Stati membri dell'UE alla medesima attività di trattamento (come nel caso del funzionamento di Yahoo! Search), dovendo prevalere la normativa applicabile al territorio con cui l'attività di trattamento in questione presenta il collegamento più stretto: ovvero la normativa irlandese e più precisamente i Data Protection Acts irlandesi del 1988 e del 2003, in attuazione della Direttiva 95/46/CE”;

- “il Garante non avrebbe in ogni caso la giurisdizione per adottare il Provvedimento  (e, conseguentemente, imporre le sanzioni oggetto della presente contestazione) […]. Infatti, il potere del Garante si esaurisce nell'ambito del confine nazionale italiano e non può certo portare all'adozione di un provvedimento nei confronti di una società irlandese, qual è Yahoo EMEA.”.

- il Provvedimento decisorio del ricorso “sarebbe in ogni caso eccessivamente ampio e gravoso e non coerente con la giurisprudenza della CGUE e con l'opinione e le linee guida elaborate dal Gruppo di lavoro ex Articolo 29 E, infatti, nel chiedere a Yahoo EMEA […] di rimuovere definitivamente le URL indicate nel ricorso ed eliminare le copie cache delle pagine accessibili attraverso tali URL il Garante trascende la portata della sentenza della CGUE nel noto caso Google Spain (sulla quale lo stesso Garante intende basarsi) e applica erroneamente le linee guida del Gruppo di lavoro ex Articolo 29. Come noto, la CGUE nel caso Google Spain ha inteso delimitare l'esercizio del "diritto all'oblio" alla sola possibilità per l'interessato di ottenere la rimozione di determinati URL dai risultati delle ricerche basate sul suo nome senza mai prevedere la possibilità di una definitiva rimozione delle URL ed eliminazione delle copie cache delle pagine web (rendendole quindi inaccessibili al mondo intero e quale che sia la striscia di ricerca utilizzata per pervenire a tali pagine), come invece richiesto del Garante nel caso concreto”;

- “per i fondati motivi sopra esposti, non avendo […] Yahoo EMEA potuto intraprendere alcuna iniziativa al fine di dare attuazione al Provvedimento del Garante (salvo il blocco delle URL di cui all'originario ricorso […] limitatamente ai risultati del motore di ricerca correlati al nome di quest'ultimo, come peraltro riconosciuto dallo stesso Garante nel Provvedimento, nonché il deposito e notifica del ricorso ex art 152 D.Lgs. 196/2003), non sussisteva alcun motivo per fornire positivo riscontro alla richiesta del Garante medesimo. Pertanto, nessuna violazione ex art. 164 D.Lgs. 196/2003 può essere contestata alle esponenti società con riferimento all'omesso riscontro alla richiesta di informazioni formulata dal Garante ai sensi dell'art. 157 D.Lgs. 196/2003, concernente l'avvenuto adempimento al citato Provvedimento proprio in ragione dell'avvenuta impugnativa del medesimo e della pendenza del relativo procedimento di impugnazione davanti al giudice ordinario”.

RITENUTO che le argomentazioni addotte non possono che confermare la responsabilità di Oath Emea in ordine alla violazione contestata, poiché il mancato riscontro alle richieste del Garante è stato ammesso dalla medesima società in sede di memorie difensive. A tale riguardo deve evidenziarsi che risultano del tutto inconferenti le argomentazioni legate al merito della vicenda, le quali sono state prese in esame con il provvedimento del Garante n. 83 del 25 febbraio 2016, con specifiche considerazioni in  ordine all’applicabilità della normativa italiana, dalla quale deriva la giurisdizione del Garante, che qui si confermano integralmente. Vero è che tale provvedimento è stato, come riferito anche dalla parte, oggetto di impugnazione dinanzi al Tribunale di Milano. Tuttavia, il Tribunale, con sentenza del 4 gennaio 2017, ha confermato integralmente il provvedimento rigettando le richieste di Oath Emea. A prescindere, comunque, dall’esito del procedimento davanti al Tribunale, deve evidenziarsi che la società, non avendo richiesto la sospensione dell’efficacia esecutiva del provvedimento impugnato, era tenuta a darne pieno e puntuale adempimento nei termini indicati, informando il Garante delle relative iniziative intraprese. Emergendo per tabulas che in relazione a tale adempimento non è stata inviata alcuna informazione al Garante nei termini indicati nel provvedimento, trova piena conferma la responsabilità di Oath Emea in ordine alla violazione contestata. 

RILEVATO, quindi, che Oath Emea, sulla base delle considerazioni sopra richiamate, risulta aver commesso la violazione prevista dall’art. 164 del Codice, per aver omesso di fornire riscontro ad una richiesta di informazioni formulata dal Garante ai sensi dell’art. 157 del Codice;

VISTO l’art. 164 del Codice, che punisce la violazione delle disposizioni di cui all’art. 157 con la sanzione amministrativa del pagamento di una somma da 10.000 euro a 60.000 euro;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge n. 689/1981, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a) in ordine all’aspetto della gravità con riferimento agli elementi dell’entità del pregiudizio o del pericolo e dell’intensità dell’elemento psicologico, la violazione risulta connotata da specifici elementi legati alla circostanza che Oath Emea ha omesso di fornire riscontro alle richieste del Garante non per mera dimenticanza ma sulla base di una scelta consapevole, legata a proprie interpretazioni sull’applicabilità delle norme in materia del tutto difformi da quanto stabilito dal Garante e confermato dall’Autorità giudiziaria;

b) ai fini della valutazione dell’opera svolta dall’agente, deve essere considerato in termini sfavorevoli il fatto che la società, a tutt’oggi, non abbia fornito alcuna informazione in ordine al completo adempimento a quanto disposto dal Garante nel provvedimento n. 83 del 25 febbraio 2016;

c) circa la personalità dell’autore della violazione, deve essere considerata la circostanza che a carico della società non risultano ulteriori procedimenti sanzionatori definiti con pagamento in misura ridotta o con ordinanza-ingiunzione;

d) in merito alle condizioni economiche dell’agente, sono stati presi in considerazione i report societari e finanziari relativi alla società, allegati agli atti del procedimento sanzionatorio; 

RITENUTO, quindi, di dover determinare, ai sensi dell’art. 11 della L. n. 689/1981, l’ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura di euro 40.000,00 (quarantamila) per la violazione di cui agli artt. 157 e 164 del Codice;

RITENUTO inoltre che, in relazione alle condizioni economiche del contravventore, avuto riguardo in particolare ai dati relativi al patrimonio netto e al fatturato complessivo, la sopra indicata sanzione pecuniaria risulta inefficace e deve pertanto essere aumentata del quadruplo, come previsto dall’art. 164-bis, comma 4, del Codice (da € 40.000 a € 160.000);

VISTA la documentazione in atti;

VISTA la legge n. 689/1981, e successive modificazioni e integrazioni;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE il dott. Antonello Soro;

ORDINA

a società Yahoo! Emea Limited oggi Oath (Emea) Limited, in persona del legale rappresentante pro-tempore, con sede legale in 5-7 Point Village, North Wall Quay, Dublino, Repubblica d’Irlanda, di pagare la somma di euro 160.000,00 (centosessantamila) a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione;

INGIUNGE

alla medesima società di pagare la somma di euro 160.000,00 (centosessantamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689. 

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero. 

Roma, 8 marzo 2018

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia