g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Ordinanza ingiunzione o revoca
  4. Ordinanza ingiunzione nei confronti del Casinò di Venezia Meeting & Dining S.r.l. - 28 febbraio 2019 [9196933]

Ordinanza ingiunzione nei confronti del Casinò di Venezia Meeting & Dining S.r.l. - 28 febbraio 2019 [9196933]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9196933]

Ordinanza ingiunzione nei confronti del Casinò di Venezia Meeting & Dining S.r.l. - 28 febbraio 2019

Registro dei provvedimenti
n. 53 del 28 febbraio 2019

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano, componente e del dott. Giuseppe Busia, segretario generale;

VISTO il d.lgs. 196/2003 recante il “Codice in materia di protezione dei dati personali” (d’ora innanzi “Codice”);

VISTA la legge n. 689/1981 e successive modificazioni e integrazioni e, in particolare, l’art. 1, comma 2, ai sensi del quale le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e per i tempi in esse considerati;

VISTO il D.lgs. 101 del 10 agosto 2018 recante le “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga le direttive 95/46/CE (regolamento generale sulla protezione dei dati)” e, in particolare, l’art. 18, riguardante la “Definizione agevolata delle violazioni in materia di protezione dei dati personali” alla quale hanno diritto di accedere i trasgressori nei confronti dei quali penda un procedimento sanzionatorio non ancora definito alla data del 25 maggio 2018;

RILEVATO che il Nucleo Speciale Privacy della Guardia di Finanza, in esecuzione della richiesta di informazioni del Garante n. 29885/102969 del 7 ottobre 2016, formulata ai sensi dell’art. 157 del Codice, in data 13 dicembre 2016 ha svolto accertamenti ai sensi dell’art. 13 della legge 689/1981- formalizzati nel verbale di operazioni compiute recante la medesima data - presso la sede legale della “Casinò di Venezia Meeting & Dining S.r.l.” (d’ora in avanti anche “Società”) sita in XX, P. I. XX;

VISTI gli atti dell’accertamento ispettivo;

CONSIDERATO che, sulla base delle dichiarazioni rese nel corso dell’ispezione e della documentazione prodotta dalla Società a scioglimento delle riserve formulate nel corso dell’accertamento ispettivo, è risultato che:

- la Società, interamente partecipata dalla “Casinò Gioco S.p.A”, “(…) fornisce servizi di ristorazione e servizio di mensa presso le due sedi del Casinò, nonché, dal 2012, gestisce anche la (…) sezione relativa al “gioco online” acquisita tramite cessione di un ramo d’azienda dalla Casinò Municipale di Venezia S.p.A. (…)” (verbale di operazioni compiute dal Nucleo Speciale Privacy della Guardia di Finanza del 13 dicembre 2016, punto n. 1);

- il trattamento dei dati riferito ai clienti è effettuato dalla Società tramite il proprio sito www.clickandplay.it; al fine di giocare online, i clienti devono preventivamente registrarsi presso tale sito web, inserendo i propri dati anagrafici;

- i suddetti dati sono trattati da 3 dipendenti della Società, 2 dei quali transitati dalla “Casinò Municipale di Venezia S.p.A.”  alla Società con la cessione del ramo di azienda e il terzo transitato in quest’ultima attraverso un distacco avvenuto, successivamente, nel corso del 2013;

- la Società, ai sensi dell’art. 4, comma 1, lett. f), e 28 del Codice, è titolare del trattamento dei dati personali effettuato nell’esecuzione della suddetta attività relativa al gioco on-line;

- la Società, a seguito della cessione del ramo di azienda dalla “Casinò Municipale di Venezia S.p.A” non ha provveduto a nominare i 3 dipendenti sopra indicati “incaricati del trattamento”, né ha fornito loro le istruzioni in materia di protezione dei dati personali relative alle funzioni lavorative da espletare, secondo quanto previsto dall'art. 30 del Codice; la nomina di tali dipendenti a incaricati del trattamento, con le relative istruzioni, è stata effettuata dalla Società solo in data 21 dicembre 2016, successivamente all'intervento ispettivo da parte dei militari del Nucleo Speciale Privacy della Guardia di Finanza;

VISTO il verbale n. 18 del 8 febbraio 2016 con cui il Nucleo Speciale Privacy della Guardia di Finanza ha contestato alla Società la violazione dell’art. 33 del Codice, sanzionata dall’art. 162, comma 2-bis, del medesimo Codice, per la mancata adozione delle misure minime di sicurezza avendo omesso di nominare “incaricato del trattamento”, nonché di istruire puntualmente, il personale addetto al trattamento dei dati della clientela registrata sul sito web www.clickandplay.it al fine dell’esercizio del gioco on line;

VISTA la memoria difensiva datata 20 marzo 2017 con cui la parte, avendo cura di “(…) ripercorrere l’excursus del settore cosiddetto “gioco on-line” (…)”,  gestito negli anni da varie società del gruppo “Casinò di Venezia”, ha inteso porre in evidenza come il ristretto numero di dipendenti a esso adibiti, mutato, nel tempo, solo parzialmente, fosse stato già autorizzato da “Casinò Municipale di Venezia S.p.A.” quale addetto al trattamento in relazione allo stesso tipo e ambito di funzioni lavorative, nonché il fatto che la Società, immediatamente dopo l’ispezione da parte dei militari del Nucleo Speciale Privacy della Guardia di Finanza, abbia provveduto a formalizzare - con riguardo ai citati dipendenti addetti alla ceduta sezione “gioco on line” -  le nomine degli incaricati al trattamento dei dati della clientela;

LETTO il verbale di audizione del 3 luglio 2018 nel corso della quale la Società, nel ribadire quanto rappresentato nelle memorie difensive, e, quindi, l’insussistenza della presunta mancata designazione degli incaricati in quanto le nomine erano state effettuate precedentemente al trasferimento del ramo d'azienda denominato gioco a distanza (per la medesima attività e in riferimento alle medesime persone transitate nella Società), ha posto in luce di avere operato nella convinzione che le nomine già effettuate fossero ancora efficaci, nonché di aver osservato, sotto ogni aspetto, la normativa in materia di protezione dei dati personali, ponendo in essere tutte le misure di sicurezza, compresa la formazione del personale incaricato dalla precedente Società. In relazione a ciò, ha messo in risalto la scarsa gravità della violazione e pertanto ha richiesto, in via principale, l’archiviazione del procedimento sanzionatorio e, in subordine, l’applicazione della sanzione minima edittale, ulteriormente ridotta ai sensi dell’art. 164-bis, comma 1, del Codice;

VISTA la memoria difensiva datata 28 settembre 2018, inviata al Garante ai sensi dell’art. 18, comma 4, del d.lgs. n. 101 del 10 agosto 2018, con la quale la Società, rinnovando quanto rappresentato e richiesto con la sopra citata memoria difensiva, nonché nel corso della suddetta audizione, ha anche evidenziato come il Regolamento (UE) 2016/679 non imponga più “(…) la nomina per iscritto degli autorizzati al trattamento (ex incaricati), per cui si assiste a una vera e propria abolitio criminis (…)”;

RITENUTO che le argomentazioni addotte non risultano idonee a determinare  l’archiviazione del procedimento sanzionatorio in ordine alla violazione di cui all’art. 33 del Codice. Infatti, in considerazione del mutamento del Titolare del trattamento a seguito della cessione del ramo di azienda dalla “Casinò Municipale di Venezia S.p.A” alla Società, quest’ultima, in osservanza all’art. 30 del Codice per il quale “Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite” avrebbe dovuto, in luogo del precedente titolare, incaricare al trattamento i suddetti, propri, dipendenti. Né rileva, quale causa di esclusione dell’elemento soggettivo (art. 3 della legge n. 689/1981), la convinzione che le nomine effettuate dalla precedente società fossero ancora efficaci. Infatti, secondo consolidata giurisprudenza della Suprema Corte, formatasi in relazione all’art. 3 della legge 689/1981, l’errore può ritenersi scusabile, e quindi sussistere la buone fede, quando tale errore si fondi su un elemento positivo, estraneo all’agente e idoneo a determinare in lui la convinzione della liceità del suo comportamento, oltre alla condizione che da parte di tale agente sia stato fatto tutto il possibile per osservare la legge così che tale elemento positivo deve risultare non ovviabile dall’interessato con l’uso dell’ordinaria diligenza.  La parte, rivestendo a tutti gli effetti la qualifica di titolare del trattamento, era tenuta, diligentemente, a conoscere e a provvedere agli adempimenti richiesti dalla normativa applicabile nella materia di cui si tratta, considerando che il personale acquisito con la cessione del ramo di azienda avrebbe operato sotto la propria diretta autorità. Quanto al riferimento all’abolitio criminis, si evidenzia che la previsione dell’art. 99, comma 2, del Regolamento (UE) 2016/679 per cui quest’ultimo si applica a decorrere dal 25 maggio 2018, esclude che prima di quella data possa ritenersi abrogata la normativa contenuta nel Codice applicabile alle violazioni accertate sotto la propria vigenza;

RILEVATO, quindi, che la Società sulla base degli elementi sopra esposti, risulta aver commesso la violazione dell’art. 33, sanzionata dall’art. sanzionata dall’art. 162, comma 2-bis, del medesimo Codice, per la mancata adozione delle misure minime di sicurezza avendo omesso di nominare “incaricato del trattamento”, nonché di istruire puntualmente, il personale addetto al trattamento dei dati della clientela registrata sul sito web www.clickandplay.it al fine dell’esercizio del gioco on line;

VISTO l’art. 162, comma 2-bis, del Codice, che punisce la violazione dell’art. 33 del medesimo Codice con la sanzione amministrativa del pagamento di una somma da diecimila a centoventimila euro;

RITENUTO che, nel caso in esame ricorrano le condizioni per applicare l’art. 164-bis, comma 1, del Codice il quale prevede che se taluna delle violazioni di cui agli art. 161, 162, 162-ter, 163 e 164 è di minore gravità, i limiti minimi e massimi stabiliti negli stessi articoli sono applicati in misura pari a due quinti;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge n. 689/1981, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a) con riferimento agli elementi dell’entità del pregiudizio o del pericolo e dell’intensità dell’elemento psicologico, la violazione posta in essere risulta connotata da minore gravità;

b) circa la personalità dell’autore della violazione, deve essere considerata la circostanza che la società non è stata destinataria di precedenti sanzioni e si è attivata immediatamente per sanare l’assenza della misura di sicurezza oggetto della violazione contestata;

c)    in merito alle condizioni economiche dell’agente, sono stati presi in considerazione gli elementi del bilancio ordinario d’esercizio per l’anno 2017;

RITENUTO, quindi, di dover determinare, ai sensi dell’art. 11 della legge n. 689/1981, l’ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura minima di euro 10.000,00 (diecimila) per la violazione di cui all’art. 33 del Codice, sanzionata dall’art. 162, comma 2-bis, del medesimo Codice applicata in combinato disposto con l’art. 164-bis, comma 1, del medesimo Codice per un importo complessivo di euro 4.000,00 (quattromila);

VISTA la documentazione in atti;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la dott.ssa Augusta Iannini;

ORDINA

a “Casinò di Venezia Meeting & Dining S.r.l.” sita in XX, P. I. XX, di pagare la somma di euro 4.000,00 (quattromila) a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione;

INGIUNGE

alla medesima società di pagare la somma di euro 4.000,00 (quattromila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’Autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 28 febbraio 2019

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia

Scheda

Doc-Web
9196933
Data
28/02/19

Tipologie

Ordinanza ingiunzione o revoca Provvedimenti