Diritti interna

Doveri interna

ricerca avanzata

Ordinanza ingiunzione nei confronti di Vestas s.r.l. - 28 marzo 2019 [9117134]

[doc. web n. 9117134]

Ordinanza ingiunzione nei confronti di Vestas s.r.l. - 28 marzo 2019

Registro dei provvedimenti
n. 102 del 28 marzo 2019

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO l’art. 1, comma 2, della legge 24 novembre 1981, n. 689, ai sensi del quale le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e per i tempi in esse considerati;

RILEVATO che la Guardia di finanza, Compagnia di Lecce, in esecuzione della richiesta di informazioni n. 25629/91026 del 3 settembre 2014, formulata ai sensi dell’art. 157 del d.lgs. 30 giugno 2003 n. 196, recante il Codice in materia di protezione dei dati personali (di seguito “Codice”), ha svolto gli accertamenti di cui al verbale di operazioni compiute del 5 novembre 2014 nei confronti di Vestas s.r.l., con sede legale in Lecce, Via Assisi n. 1, P.I. 00225650753, dai quali è risultato che la società effettuava un trattamento di dati personali per mezzo di un form di raccolta dati presente sul proprio sito internet www.risorgimentoresort.it, per mezzo del quale era possibile effettuare prenotazioni on line. Nel corso degli accertamenti, è stato verificato come la procedura di prenotazioni on line si perfezionasse solo dopo che l’interessato, letta l’informativa di cui all’art. 13 del Codice, avesse manifestato il proprio consenso al trattamento dei dati personali, ai sensi dell’art. 23 del medesimo Codice;

VISTO il verbale n. 1911/97337 del 22 gennaio 2015 con cui è stata contestata, alla predetta società, in qualità di titolare del trattamento, la violazione amministrativa prevista dall’art. 162, comma 2-bis, del Codice, per aver acquisito un consenso, unico e obbligatorio, in relazione alle diverse finalità di trattamento indicate nell’informativa (“per l’esecuzione degli obblighi derivanti dai contratti conclusi o dalla legge,…, e per ricerche di mercato e di direct marketing”), informandola della facoltà di effettuare il pagamento in misura ridotta ai sensi dell’art. 16 della legge 24 novembre 1981, n. 689;

RILEVATO dal rapporto, predisposto dall’Ufficio ai sensi dell’art. 17 della legge 24 novembre 1981 n. 689, che non risulta essere stato effettuato il pagamento in misura ridotta;

VISTO lo scritto difensivo datato 19 febbraio 2015, inviato ai sensi dell’art. 18 della legge 24 novembre 1981, n. 689, con il quale la parte ha eccepito che il consenso raccolto a margine della procedura di prenotazione on line non fosse libero e facoltativo, bensì obbligatorio, in quanto “l’interessato/cliente può non procedere alla prenotazione, optando per diverse soluzioni (…)”; laddove il cliente decidesse di usufruire della procedura di prenotazione on line, il dato personale raccolto non viene utilizzato “concretamente” per finalità di marketing, perché, solo al momento dell’arrivo in hotel e, quindi, in caso di effettivo soggiorno, i dati personali del cliente vengono raccolti, in modalità cartacea, “anche” ai fini di invio di offerte promozionali e comunque in maniera distinta in base alle diverse finalità perseguite. Inoltre, la parte ha precisato come il servizio relativo alla prenotazione on line fosse stato fornito da un provider altamente specializzato nel settore, circostanza utile a dimostrare la propria buona fede e l’impegno profuso per offrire il migliore servizio al cliente nell’adempimento degli obblighi di legge;

LETTO il verbale dell’audizione, svoltasi in data 8 giugno 2015, ai sensi dell’art. 18 della legge n. 689/1981, nel corso della quale la parte, oltre a ribadire quanto già dichiarato nelle memorie difensive, ha sottolineato la propria buona fede ai fini dell’esclusione di responsabilità, posto che sia il sito internet che il form di raccolta dati, finalizzato alla prenotazione on line, erano stati predisposti e creati da una società specializzata nel settore, sulla cui competenza aveva fatto pieno affidamento. A tal proposito, nel corso dell’audizione, la parte ha prodotto la e-mail con la quale tale società terza segnalava la necessità di verificare e, nel caso, di apportare le modifiche ai contenuti del sito internet, in relazione alla tutela dei dati personali, avvertendola dell’avvio di attività di accertamento poste in essere dalla Guardia di finanza nei confronti di diverse strutture alberghiere. Il tenore di questa comunicazione, secondo la parte, confermerebbe la propria estraneità rispetto ai fatti oggetto di rilievo e che solo la società terza si fosse preoccupata della predisposizione del sito internet;

PRESO ATTO della reiterazione delle memorie difensive effettuata in data 13 febbraio 2019, in conformità a quanto disposto dall’art. 18, comma 4, del d.lgs. 101/2018, con cui la parte ha precisato di aver modificato la procedura di prenotazione on line a seguito della notifica della contestazione di violazione amministrativa, chiedendo al contempo l’archiviazione del procedimento sanzionatorio o, in subordine, la riduzione dell’importo della sanzione;

CONSIDERATO che le argomentazioni addotte non sono idonee ad escludere la responsabilità della parte in relazione a quanto contestato. L’esame della documentazione acquisita nel corso delle operazioni di accertamento, ha permesso di verificare che in calce al form di raccolta dati, presente sul sito internet della società, era presente l’informativa, resa ai sensi dell’art. 13 del Codice, e che il consenso al trattamento dei dati personali veniva raccolto mediante l’apposizione di un flag sulla relativa casella; operazione, questa, necessaria ed obbligatoria ai fini del perfezionamento della prenotazione. Tuttavia, considerando che il testo dell’informativa elenca, tra le finalità del trattamento, “ricerche di mercato e direct marketing” accanto a quella della mera esecuzione degli obblighi contrattuali, si evidenzia che per le citate finalità il titolare del trattamento non aveva predisposto le due distinte e specifiche formule di acquisizione del consenso, che l’interessato deve poter esprimere liberamente, secondo quanto stabilito dall’art. 23 del Codice (“Il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento a un trattamento chiaramente individuato (…)”. Come il Garante ha avuto già modo di chiarire in altre occasioni (da ultimo, il provvedimento n. 288 del 22 giugno 2017, in www.garanteprivacy.it, doc. web n. 6689610), laddove le finalità indicate nell'informativa siano numerose e diverse tra loro (tra cui le ricerche di mercato e il direct marketing), al di là della circostanza se esse siano effettivamente realizzate dal titolare, è comunque necessario che siano acquisiti distinti e specifici consensi per ciascuna di queste. Deve, inoltre, escludersi che, nel caso in esame, sia ravvisabile l’esimente della buona fede ex art. 3 della legge n. 689/1981, in quanto, contrariamente a quanto ritenuto, la circostanza che il sito internet sia stato realizzato da una società terza, esperta del settore, non esime il titolare del trattamento dal verificare l’esattezza dei dati inseriti, a maggior ragione quando, come nel caso in esame, il titolare era stato avvertito della necessità di verificare la correttezza e l’esattezza dell’informativa resa sul sito internet. Infatti, la e-mail prodotta dalla parte nell’ambito delle proprie argomentazioni difensive dimostra che la società terza si era preoccupata della predisposizione del sito internet esclusivamente sotto un profilo tecnico e non anche dal punto di vista contenutistico, la cui completezza era affidata al titolare del trattamento;

RILEVATO, pertanto, che la società ha effettuato un trattamento di dati personali (art. 4 comma 1, lett. a) e b) del Codice) omettendo di acquisire un consenso specifico in relazione a ciascuna finalità perseguita ai sensi dell’art. 23 del Codice attraverso il form di raccolta dati presente sul sito web www.risorgimentoresort.it;

VISTO l’art. 162, comma 2-bis, del Codice che punisce la violazione delle disposizioni di cui all’art. 167, tra cui figura anche l’art. 23 del Codice, con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

RITENUTO che, nel caso di specie, ricorrano le condizioni per applicare l’art. 164-bis, comma 1, del Codice il quale prevede che se taluna delle violazioni di cui agli art. 161, 162, 162-ter, 163 e 164 è di minore gravità, i limiti minimi e massimi stabiliti negli stessi articoli sono applicati in misura pari a due quinti;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge 24 novembre 1981 n. 689, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

RITENUTO di dover determinare, ai sensi dell’art. 11 della legge n. 689/1981, l’ammontare della sanzione pecuniaria per la violazione dell’art. 162, comma 2-bis, del Codice, in combinato disposto con l’art. 164-bis, comma 1, nella misura di euro 4.000,00 (quattromila);

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni ed integrazioni;

VISTE le osservazioni dell’Ufficio, formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

ORDINA

a Vestas s.r.l., con sede legale in Lecce, Via Assisi n. 1, P.I. 00225650753, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 4.000,00 (quattromila) a titolo di sanzione amministrativa pecuniaria per la violazione prevista dall’art. 162, comma 2-bis, del Codice, nei termini indicati in motivazione;

INGIUNGE

al medesimo soggetto di pagare la somma di euro 4.000,00 (quattromila) secondo le modalità indicate in allegato, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 28 marzo 2019

IL PRESIDENTE
Soro

IL RELATIRE
Bianchi clerici

IL SEGRETARIO GENERALE
Busia