Diritti interna

Doveri interna

ricerca avanzata

Archiviazione di procedimento sanzionatorio - 13 dicembre 2018 [9119830]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
9119830
Data:
13/12/18
Tipologia:
Ordinanza ingiunzione o revoca

[doc. web n. 9119830]

Archiviazione di procedimento sanzionatorio - 13 dicembre 2018

Registro dei provvedimenti
n. 509 del 13 dicembre 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il D.lgs. 196/2003 recante il “Codice in materia di protezione dei dati personali” (d’ora innanzi “Codice”);

VISTA la legge n. 689/1981 e successive modificazioni e integrazioni e, in particolare, l’art. 1, comma 2, ai sensi del quale le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e per i tempi in esse considerati;

VISTO il reclamo pervenuto a questa Autorità in data 14 febbraio 2018 con il quale si lamentava un trattamento illecito di dati personali da parte di “XX S.r.l.” con sede legale in XX, C.F. e P.IVA XX  (d’ora innanzi “la Società”) per aver inviato al reclamante, mediante posta elettronica, alcune comunicazioni promozionali in assenza di consenso di quest’ultimo;

VISTA la nota di richiesta di informazioni a firma del Dipartimento Comunicazioni e Reti Telematiche prot. n. 9284/124167 del 23 marzo 2018, indirizzata alla Società; 

VISTA la nota di risposta al Garante, inviata il 9 aprile 2018, con la quale la Società  ha riferito che “L'indirizzo email del reclamante è stato acquisito in data 29 settembre 2011 a seguito della compilazione della form prevista per l'iscrizione dell'evento XX tenutosi a Milano il 12 e 13 ottobre 2011 (…)” del quale evento la Società  “ (…) XX era allora XX (…)”, precisando, inoltre, che “(…) successivamente tale mail è stata utilizzata sempre da XX nel rispetto della privacy per inviare l'invito all'evento XX (…), nonché “ (…) per l'evento XX (…)”; in ultimo, che “(…) il soggetto (reclamante) ha complessivamente ricevuto n. 3 comunicazioni via mail: a. settembre 2013 invito all'X; b. 22 novembre 2017 invito evento XX(…) c.  8 Febbraio 2018 invito all'evento XX presso il XX (…)”;

VISTA la nota prot. n. 21108/124167 del 13 luglio 2018 con la quale, il Dipartimento Comunicazioni e Reti Telematiche, accertato un trattamento illecito di dati personali da parte della Società per aver inviato, quale titolare del trattamento “(…) una comunicazione promozionale (precisamente l’8 febbraio 2018) (…)  in assenza del necessario preventivo specifico consenso (originario, ossia da acquisire al momento della raccolta dei dati, e successivo all'opposizione effettuata), (…) non risultando in atti elementi probatori sufficienti a poterlo documentare (…)”, nel concludere l’istruttoria, ha ritenuto non sussistenti elementi per promuovere l'adozione di provvedimenti da parte del Garante, avendo la condotta segnalata esaurito i suoi effetti (artt. 14, comma 2, e 11, comma 1, lettera d), del Regolamento del Garante n. 1/2007), riservandosi, con riferimento alla condotta della Società non conforme alla disciplina applicabile, di inviare gli atti all’Ufficio competente a verificare, con autonomo procedimento, la ricorrenza dei presupposti per contestare a quest’ultima le violazioni amministrative di cui agli artt.  23 e 130, comma 1 e 2, del Codice, in relazione all’art. 162, comma 2-bis, del Codice; 

VISTA la nota del 12 luglio 2018, prot. n. 20960/124167, con cui il Dipartimento Comunicazioni e Reti Telematiche ha trasmesso gli atti al Dipartimento Attività Ispettive affinché valutasse la ricorrenza dei presupposti per l'applicazione della sanzione amministrativa di cui all'articolo 162, comma 2-bis, in relazione alla avvenuta violazione amministrativa di cui agli artt.  23,  130, comma 1 e 2, e 162, comma 2-bis, del Codice;

VISTO l'atto prot. n. 25153/124167 del 27 agosto 2018 con cui il Garante ha contestato a “XX S.r.l.”  “(…) la violazione delle disposizioni di cui agli artt. 23 e 130, commi 1 e 2, del Codice, con riferimento all’assenza di un consenso liberamente manifestato dall’interessato per l’utilizzo dei propri dati personali per finalità di marketing, tramite l’invio di e-mail promozionali”;

RILEVATO che dal rapporto amministrativo prot. n. 35112/124167 del 30 novembre 2018, predisposto dall’Ufficio del Garante ai sensi dell’art. 17 della legge 24 novembre 1981 n. 689, non risulta essere stato effettuato il pagamento in misura ridotta di cui all’art. 16 della legge 689/81;

VISTA la memoria difensiva inviata via PEC in data 8 ottobre 2018, ai sensi dell'articolo 16 della legge 24 novembre 1981 n. 689, con la quale la Società ha prodotto ulteriori documenti, al fine di dimostrare la correttezza della propria condotta.

In particolare, con riferimento alla contestazione effettuata, la parte, producendo nuova documentazione, ha evidenziato che:

- “il consenso era stato regolarmente acquisito il 29/9/2011 tramite la pagina internet presente nel sito www.... ed in particolare la pagina http://www.... (…) oggi non più presente in internet “ e che “la compilazione di detta FORM di registrazione ha generato a suo tempo nel DATABASE "XX" il record (allegato) XX (…)”.

-“lo stesso nominativo e la stessa mail 2 anni dopo è poi stata inserita tra gli invitati dell'evento XX del 2013, in conformità del consenso a suo tempo ottenuto (…);

- il reclamante “(…) non ha mai fatto richiesta di cancellazione da detto Data Base in nessuna delle mail inviate (…) anche se gli era stata data la facoltà tramite il pulsante inserito a piè di mail di invito di XX.

In considerazione di quanto rappresentato la parte, in ultimo, ha richiesto “ (…) un'audizione al fine di chiarire definitivamente il (…) (proprio) corretto operato (e) (…) chiedere l'archiviazione (…) (del) procedimento”;

VISTO il verbale di audizione delle parti, avvenuta in data 27 novembre 2018, nel corso della quale la Società ha richiamato integralmente le memorie difensive già presentate e illustrato verbalmente, in dettaglio, la modalità per la corretta lettura, sotto il profilo informatico, della documentazione prodotta;

RITENUTO, con riferimento alla documentazione prodotta dalla parte al fine di dimostrare l’avvenuto rilascio del consenso da parte del reclamante nel corso dell'evento XX, tenutosi a Milano il 12 e 13 ottobre 2011, quanto segue: il form di registrazione riprodotto nell’“ALLEGATO A” non riporta, negli spazi da compilare con i dati anagrafici, alcun dato del reclamante, ma, unicamente, il segno di selezione soltanto sul primo dei due flag, sottostanti a tali spazi, relativo al seguente consenso: “Ai sensi dell'articolo 13 e 23 del decreto legislativo 196 del 2003 dichiaro di aver preso visione dell'informativa relativa al trattamento dei miei dati ed esprimo il consenso al trattamento degli stessi da parte di XX o di XX per lo svolgimento dei servizi di XX o per l'invio di comunicazioni informative relative ai prossimi eventi da parte di XX o di XX S.r.l.”.

A fronte dell’assenza dei dati del reclamante nel citato allegato, l’individuazione dell’autore della flaggatura è possibile, comunque, dall’esame dell’altro allegato prodotto dalla parte unitamente alla memoria difensiva, denominato “ALLEGATO B”, nel quale è presente un record indicante, fra altro, sia il nome del reclamante sia l’espressione del consenso attraverso l’apposizione del numero “1” in riferimento al primo dei due flag presenti nel form, denominati “XX” e “XX”.

Tenuto conto di ciò, la Società ha pertanto prodotto documentazione atta a dimostrare l’esistenza, ab origine, di un consenso espresso attraverso la marcatura del primo dei due flag presenti nel form del sito www.....  Tale consenso è risultato finalizzato allo svolgimento dei servizi di XX o all’invio di comunicazioni informative relative a eventi prossimi da parte di XX o di XX S.r.l., attività lecitamente effettuata con l’email dell’8 febbraio 2018.

RITENUTO pertanto che le argomentazioni addotte dalla Società sono idonee a determinare l’archiviazione del procedimento sanzionatorio avviato con la contestazione di violazione amministrativa in considerazione del fatto che la Società ha dimostrato che l’email dell’8 febbraio 2018 era stata inviata in ragione del consenso al tal fine reso dall’interessato;

RITENUTO, quindi, di dover archiviare il procedimento sanzionatorio relativo alla violazione degli artt. 23 e 130 del Codice, di cui al verbale n. 25153/124167 del 27 agosto 2018;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

DISPONE

l'archiviazione del procedimento sanzionatorio amministrativo relativo alla contestazione della violazione amministrativa di cui agli artt. 23 e 130 del Codice, nei termini di cui in motivazione;

Roma, 13 dicembre 2018

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia