Diritti interna

Doveri interna

ricerca avanzata

Ordinanza ingiunzione nei confronti Axa Assicurazioni S.p.A. - 27 settembre 2018 [9073715]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
9073715
Data:
27/09/18
Argomenti:
Assicurazioni , Data breach
Tipologia:
Ordinanza ingiunzione o revoca

[doc. web n. 9073715]

Ordinanza ingiunzione nei confronti Axa Assicurazioni S.p.A. - 27 settembre 2018

Registro dei provvedimenti
n. 457 del 27 settembre 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO l’art. 1, comma 2, della legge 24 novembre 1981, n. 689, ai sensi del quale le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e per i tempi in esse considerati; 

RILEVATO che l’Ufficio del Garante, con atto n. 173333/126252 del 7 giugno 2018 (notificato in pari data mediante posta elettronica certificata), che qui deve intendersi integralmente riportato, ha contestato a Axa Assicurazioni S.p.A. (di seguito “Axa” o “Società”), in persona del legale rappresentante pro-tempore, con sede legale in Milano, corso Como n. 17, C.F. 00902170018, la violazione prevista dagli artt. 23, 24, 162, comma 2-bis, 164-bis, comma 1, e 167 del Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196, di seguito denominato “Codice”);

RILEVATO che dall’esame degli atti del procedimento sanzionatorio avviato con la contestazione di violazione amministrativa è emerso, in sintesi, quanto segue:

- in data 26 aprile 2018 Axa ha rappresentato al Garante di aver erroneamente inviato, per il tramite del proprio fornitore di servizi di postalizzazione, n. 77 comunicazioni tramite e-mail destinate a propri clienti, intestatari di polizze assicurative, a soggetti diversi;

- alla base del disguido vi sarebbe stato un disallineamento di sistema che avrebbe determinato un errato abbinamento fra e-mail e file pdf ad esse allegato;

- la Società, oltre ad aver, come detto, dato comunicazione dell’accaduto al Garante, ha anche messo in atto una serie di azioni (sospensione delle comunicazioni e invio di rettifiche, revisione del processo di inoltro delle e-mail e verifiche sugli invii) volte a circoscrivere l’evento e a prevenire ulteriori episodi analoghi;

- la Società, a richiesta dell’Ufficio, ha altresì evidenziato che il fornitore dei servizi di postalizzazione ha operato in qualità di responsabile del trattamento, ai sensi dell’art. 29 del Codice;

- sulla scorta degli atti del procedimento, l’Ufficio ha contestato ad Axa, quale titolare del trattamento, la violazione di cui agli artt. 23, 24, e 162, comma 2-bis, del Codice, per aver effettuato una comunicazione di dati personali in assenza delle idonee basi giuridiche (consenso dell’interessato o casi per i quali non è prevista l’acquisizione del consenso), valutata la condotta come di minore gravità ai sensi dell’art. 164-bis, comma 1, del Codice; 

RILEVATO che con il citato atto del 7 giugno 2018 è stata contestata a Axa la sopra richiamata violazione, con la diminuente di cui all’art. 164-bis, comma 1, del Codice;

PRESO ATTO che la società non ha provveduto al pagamento in misura ridotta, come evidenziato dal rapporto redatto ai sensi dell’art. 17 della legge n. 689/1981;

LETTI gli scritti difensivi del 4 luglio 2018, nei quali si rappresenta:

- “In data 26 Aprile 2018, AXA Assicurazioni ha segnalato al Garante per la protezione dei dati personali di avere rilevato che 77 comunicazioni di servizio, indirizzate ai propri clienti e contenenti dati personali non sensibili, erano state trasmesse a destinatari non corretti, precisando che a) l’evento era stato portato a conoscenza dell’Autorità, in ottica di trasparenza e pronti a recepire eventuali indicazioni in merito, pur consapevoli che non rientrava tra le casistiche per le quali vigeva l’obbligo di notificazione di data breach; b) le comunicazioni di servizio oggetto di segnalazione erano state effettuate in formato digitale in aggiunta alla ordinaria comunicazione cartacea, prevedendo l’invio dell’importo delle “detrazioni fiscali” afferenti a polizze assicurative di Ramo Danni Infortuni e Malattia, contenute in un allegato - in formato pdf - al messaggio indirizzato all’indirizzo mail dell’intestatario della polizza”;

- “Le comunicazioni che sono state oggetto della segnalazione all’Autorità Garante assumono la natura di servizio nei confronti di clienti di AXA Assicurazioni e, più precisamente, di contraenti di polizze assicurative a copertura dei rischi di morte o invalidità permanente per le quali, in base alla normativa vigente (D. L. N. 47 del 18 Febbraio 2000, D. Lgs. 168 del 12 Aprile 2001 e Circolare del Ministro delle Finanze n. 29 del 20 Marzo 2001), è prevista la detraibilità degli oneri fiscali dei premi assicurativi”;

- “In tutta evidenza, la comunicazione che ci occupa trae radici obbligatorie nella legislazione fiscale, in quanto indispensabile per l’individuazione della detraibilità, integrale o parziale, del premio versato, non altrimenti conoscibile dal contraente stanti le tecnicalità di composizione del premio stesso”;

- “Tali comunicazioni di servizio, pertanto, sono trasmesse, in via ordinaria, tramite posta cartacea ai contraenti delle polizze sopra specificate per adempiere agli obblighi contrattuali in capo all’assicuratore-titolare del trattamento, anche in relazione alla legislazione fiscale indicata”;

- “In tale contesto, le comunicazioni relative agli oneri fiscali trasmessi via posta elettronica trovano la loro base legale nell’espresso consenso manifestato dal contraente della polizza AXA tramite sottoscrizione del cd. Documento Anagrafica Consensi”;

- “AXA Assicurazioni, quindi, ritiene essenziale che venga valutato, diversamente da quanto è stato fatto in sede di verbale di contestazione di violazione amministrativa emesso il 7 Giugno 2018, che i trattamenti effettuati abbiano validi basi di legittimità sia nella fornitura dei servizi assicurativi funzionali alla gestione della polizza di cui è parte l’interessato, sia, per quanto riguarda la trasmissione delle comunicazioni tramite posta elettronica, nell’esplicito consenso fornito ad AXA Assicurazioni dall’interessato. Riteniamo in particolare che dall’esame degli elementi sopra descritti emerga in modo evidente l’effettiva assenza di non conformità nella nostra condotta, né di lesione dei diritti degli interessati”;

PRESO ATTO che le argomentazioni addotte da Axa non sono idonee a determinare l’archiviazione del procedimento sanzionatorio avviato con la contestazione di violazione amministrativa per le seguenti ragioni:

- sulla scorta di quanto spontaneamente rappresentato dalla Società, è emerso che il 26 aprile 2018 alcune e-mail destinate a clienti di Axa titolari di polizze di assicurazioni, sono state erroneamente inviate a soggetti diversi che quindi hanno avuto conoscenza del contenuto di comunicazioni a loro non indirizzate, nelle quali erano presenti dati personali degli effettivi destinatari;

- non può esservi dubbio circa il fatto che la problematica tecnica alla base dell’invio errato delle e-mail abbia determinato una comunicazione di dati personali sprovvista di idonee basi giuridiche quali il consenso dell’interessato di cui all’art. 23 del Codice o le ulteriori circostanze, indicate nel successivo art. 24, che permettono di svolgere trattamenti di dati personali senza l’acquisizione del consenso;

- anche se le comunicazioni inviate da Axa ai propri clienti, così come descritte nelle memorie difensive, possiedono una cornice di legittimità in ragione del rapporto contrattuale fra la Società e i propri clienti, è evidente che tale cornice viene a cadere nel momento in cui le comunicazioni sono recapitate a destinatari errati e, per l’effetto, i dati personali dei clienti vengono portati a conoscenza di soggetti terzi;

- è emerso inoltre che, nei trattamenti di cui sopra, Axa ha agito in qualità di titolare mentre il fornitore dei servizi di postalizzazione, designato responsabile ai sensi dell’art. 29 del Codice, ha svolto le operazioni di trattamento sulla base delle indicazioni fornite dalla Società;

- per tali ragioni, deve confermarsi la responsabilità di Axa in ordine alla violazione contestata;

RILEVATO, quindi, che Axa Assicurazioni S.p.A., sulla base degli atti e delle considerazioni di cui sopra, risulta aver commesso, in qualità di titolare del trattamento, ai sensi degli artt. 4, comma 1, lett. f), e 28 del Codice, la violazione indicata nell’atto di contestazione n. 173333/126252 del 7 giugno 2018;

VISTO l’art. 162, comma 2-bis, del Codice che punisce le violazioni delle disposizioni indicate nell’art. 167 del Codice, fra le quali figura anche l’art. 23, con la sanzione amministrativa del pagamento di una somma da euro 10.000 ad euro 120.000;

Visto l’art. 164-bis, comma 1, del Codice, che prevede, nei casi di minore gravità, l’applicazione della diminuente pari ai due quinti dei limiti edittali della sanzione stabilita;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge n. 689/1981, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a. in ordine all’aspetto della gravità, con riferimento agli elementi dell’entità del pregiudizio o del pericolo e dell’intensità dell’elemento psicologico, le violazioni non risultano connotate da profili di gravità;

b. ai fini della valutazione dell’opera svolta dall’agente, deve essere considerato in termini estremamente favorevoli il fatto che Axa abbia immediatamente interessato il Garante in ordine all’accaduto e abbia anche messo in atto una serie di azioni (sospensione delle comunicazioni e invio di rettifiche, revisione del processo di inoltro delle e-mail e verifiche sugli invii) volte a circoscrivere l’evento e a prevenire ulteriori episodi analoghi;

c. circa la personalità dell’autore della violazione, deve essere considerata la circostanza che la Società non risulta gravata da precedenti procedimenti sanzionatori definiti in via breve o a seguito di ordinanza ingiunzione;

d. in merito alle condizioni economiche dell’agente, è stato preso in considerazione il bilancio ordinario d’esercizio per l’anno 2016; 

RITENUTO, quindi, di dover determinare, ai sensi dell’art. 11 della L. n. 689/1981, l’ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura di euro 4.000 (quattromila) per la violazione di cui all’art. 164-bis, comma 2, del Codice.

VISTA la documentazione in atti;

VISTA la legge n. 689/1981, e successive modificazioni e integrazioni;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

ORDINA

a Axa Assicurazioni S.p.A., in persona del legale rappresentante pro-tempore, con sede legale in Milano, corso Como n. 17, C.F. 00902170018, di pagare la somma di euro 4.000 (quattromila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione;

INGIUNGE

alla predetta Società di pagare la somma di euro 4.000 (quattromila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689. 

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero. 

Roma, 27 settembre 2018

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia