Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Provvedimento correttivo e sanzionatorio nei confronti di Runwhip s.r.l. - 23 gennaio 2020 [9284622]

[doc. web n. 9284622]

Provvedimento correttivo e sanzionatorio nei confronti di Runwhip s.r.l. - 23 gennaio 2020

Registro dei provvedimenti
n. 12 del 23 gennaio 2020

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (di seguito “Regolamento”);

VISTO il “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE” (d.lgs. 30 giugno 2003, n. 196, di seguito “Codice”);

RILEVATO che l’Ufficio, con atto n. 26211/19 del 30 luglio 2019 (notificato in pari data mediante posta elettronica certificata), che qui deve intendersi integralmente riportato, ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento nei confronti di Runwhip s.r.l. (di seguito “Runwhip” o “la Società”), in persona del legale rappresentante pro-tempore, con sede legale in Verolanuova (BS), via Zanardelli 5/bis, C.F. 03605920986;

RILEVATO che, dall’esame degli atti del procedimento amministrativo, è emerso, in sintesi, quanto segue:

- è pervenuto all’Autorità un reclamo da parte della sig.ra XX, la quale ha lamentato di aver ricevuto sulla propria utenza telefonica mobile una chiamata da parte della società Sky Italia s.r.l. per la promozione dei propri servizi. La reclamante, dopo aver manifestato la propria opposizione al trattamento dei dati per finalità promo-pubblicitarie, ha esercitato il diritto di accesso ai dati detenuti da Sky, la quale ha rappresentato di averli acquisiti da parte di Runwhip;

- la reclamante ha successivamente richiesto anche a Runwhip, in più riprese e, da ultimo, in data 28 luglio 2018 mediante posta elettronica certificata, l’origine dei propri dati e le modalità con le quali era stata fornita l’informativa sui trattamenti, nonché gli ulteriori elementi previsti dall’art. 15 del Regolamento, senza ottenere alcuna risposta;

- l’Ufficio ha pertanto inviato alla società un invito a fornire osservazioni ed eventuale adesione alle richieste del reclamante, con nota del 10 gennaio 2019, notificata in pari data mediante PEC, senza ottenere riscontro; quindi ha reiterato la richiesta, ai sensi dell’art. 157 del Codice, con PEC del 22 marzo 2019, evidenziando che l’eventuale mancato riscontro avrebbe potuto determinare l’applicazione delle sanzioni previste dalla vigente normativa;

- poiché anche alla richiesta di informazioni del 22 marzo 2019 la Società non ha fatto seguire alcuna risposta, l’Ufficio ha provveduto a comunicare a Runwhip, con nota notificata il 30 luglio 2019 mediante posta elettronica certificata, l’avvio del procedimento amministrativo finalizzato all’adozione dei provvedimenti correttivi e sanzionatori previsti dall’art. 58, par. 2, del Regolamento, invitando la medesima società a far pervenire entro trenta giorni scritti difensivi ovvero richiesta di audizione innanzi al Garante;

- l’Ufficio ha inoltre provveduto a verificare gli attuali contenuti dei siti www.runwhip.com e www.prestitomio.com, che contengono dei modelli di informativa sul trattamento dei dati che individuano Runwhip quale titolare del trattamento. Il sito www.prestitomio.com è stato oggetto di attenzione da parte del Garante nell’ambito di un ricorso presentato il 18 aprile 2017 e definito con provvedimento n. 282 del 15 giugno 2017 (in www.gpdp.it, doc web 6697108);

- il sito www.runwhip.com contiene, fra l’altro, un form di raccolta dei dati personali (nome, cognome, indirizzo e-mail, cellulare, codice postale, indirizzo web), da compilare in caso di richiesta di informazioni sui servizi dell’azienda. Sotto al form è presente un link che rimanda all’informativa del sito e uno spazio nel quale è possibile esprimere il consenso al trattamento, differenziato in base alle finalità (primo consenso per obblighi contrattuali, finalità amministrativo-contabili e obblighi di legge; secondo consenso per finalità di marketing);

- il sito www.prestitomio.com contiene, fra l’altro, un form di raccolta dei dati personali (nome, cognome, professione, sesso, indirizzo e-mail, cellulare, codice postale, anno di nascita, indirizzo), da compilare in caso di richiesta di preventivo per finanziamenti. Sotto al form è presente un link che rimanda all’informativa del sito e uno spazio nel quale è possibile esprimere il consenso al trattamento per la sola finalità di marketing;

- le informative dei due siti, identiche nei contenuti, non presentano alcun riferimento all’eventuale trattamento svolto mediante la comunicazione dei dati a terzi con finalità di marketing;

RILEVATO che con il richiamato atto del 30 luglio 2019 è stata contestata alla Società la violazione di cui agli artt. 157 e 166, comma 2, del Codice, dalla quale può derivare l’applicazione della sanzione prevista dall’art. 83, par. 5 del Regolamento, ed è stato altresì comunicato l’avvio del procedimento per l’adozione degli ulteriori provvedimenti correttivi con riferimento ai trattamenti indicati nel citato reclamo;

PRESO ATTO che la Società non ha presentato scritti difensivi né ha richiesto di essere ascoltata dall’Autorità;

RILEVATO che:

a)  con riferimento ai trattamenti lamentati dalla reclamante, i reiterati mancati riscontri della Società non hanno consentito di acquisire un quadro di informazioni completo, tuttavia gli accessi effettuati sui siti www.runwhip.com e www.prestitomio.com hanno evidenziato che le informative presenti non indicano, fra le finalità del trattamento, quella della cessione dei dati a terzi per lo svolgimento di attività di marketing;

b) tale elemento, unito alle informazioni acquisite in sede di accesso ai dati effettuato dalla reclamante nei confronti di Sky Italia s.r.l., consente di individuare un fumus di illiceità, con riferimento a possibili violazioni degli artt. 5, 6, 7 e 13 del Regolamento;

c) in base alle sopra richiamate disposizioni, un eventuale trattamento di dati personali finalizzato alla comunicazione dei dati medesimi a terzi deve essere effettuato solo dopo che il titolare abbia rilasciato agli interessati un’informativa nella quale sia indicata la specifica finalità di comunicazione, gli eventuali destinatari o le categorie di destinatari nonché la base giuridica del trattamento;

d) con riferimento alla base giuridica del trattamento, inoltre, la mancanza di idonee informazioni vizia in radice la manifestazione del consenso da parte dell’interessato, in ragione di quanto indicato nel considerando n. 32 del Regolamento e cioè che “il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano”;

e) quanto sopra, pertanto, rende necessaria l’adozione di un provvedimento con il quale rivolgere alla Società un avvertimento, ai sensi dell’art. 58, par. 2, lett. a), del Regolamento, sul fatto che i trattamenti previsti possono verosimilmente violare le sopra richiamate disposizioni e con il quale ingiungere alla medesima di dare riscontro alle richieste della reclamante;

f) deve inoltre osservarsi che la Società ha omesso di fornire riscontro alle richieste di informazioni formulate dall’Autorità con nota del 22 marzo 2019, notificata mediante posta elettronica certificata, rendendosi pertanto responsabile di una condotta in violazione delle disposizioni di cui all’art. 157 del Codice;

RITENUTO di dover ingiungere alla Società, ai sensi dell’art. 58, par. 2, lett. c), del Regolamento, di soddisfare e dare riscontro alle richieste della reclamante, formulate, da ultimo, con e-mail del 28 luglio 2018, con riferimento all’esercizio dei diritti derivanti dal Regolamento;

RITENUTO, altresì, di dover ingiungere alla Società di dare riscontro, ai sensi dell’art. 58, par. 1, lett. a), del Regolamento, alla richiesta di informazioni del Garante, formulata, ai sensi dell’art. 157 del Codice, in data 22 marzo 2019, riservandosi ogni ulteriore approfondimento in ordine alla liceità dei trattamenti svolti dalla Società stessa;

RITENUTO, inoltre, di dover rivolgere un avvertimento a Runwhip, ai sensi dell’art. 58, par. 2, lett. a), del Regolamento, affinché non effettui comunicazioni a terzi dei dati personali acquisiti mediante i form presenti nei siti www.runwhip.com e www.prestitomio.com, poiché le informative rese nei predetti siti non consentono all’interessato di individuare la specifica finalità di comunicazione dei dati a terzi e quindi di esprimere, con riferimento a tale finalità del trattamento, un consenso specifico e informato;

RILEVATO, peraltro, che l’omesso riscontro alla richiesta di informazioni di cui al precedente punto f), impone l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Runwhip della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento;

VISTI gli artt. 166, comma 2, del Codice e 83, par. 5, del Regolamento che, per la violazione sopra richiamata, prevede l’applicazione della sanzione amministrativa del pagamento di una somma fino a € 20.000.000 ovvero, per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento;

CONSIDERATO che, nel caso in esame, assumono rilevanza:

a. la gravità della violazione (art. 83, par. 2, lett. a) del RGPD), in ragione del reiterato, mancato riscontro alle richieste del Garante (segnatamente, all’invito ad aderire del 10 gennaio 2019, alla richiesta di informazioni del 22 marzo 2019 e alla comunicazione di avvio del procedimento del 30 luglio 2019);

b. la durata della violazione (art. 83, par. 2, lett. a) del RGPD), dall’epoca della mancata risposta alle richieste di accesso del reclamante (notificata il 28 luglio 2018 mediante PEC) fino alla data dell’avvio del procedimento amministrativo (30 luglio 2019);

c. il carattere gravemente negligente della condotta (art. 83, par. 2, lett. b) del Regolamento), poiché la società non ha tenuto in alcun conto delle conseguenze che potevano derivare dal mancato riscontro alle richieste del Garante, anche sotto il profilo della completa istruzione del procedimento sul reclamo;

d. la mancata adozione di misure atte a mitigare o a eliminare le conseguenze della violazione (art. 83, par. 2, lett. c) del RGPD), poiché anche a seguito dell’avvio del procedimento sanzionatorio Runwhip non ha intrapreso alcuna iniziativa;

e. la mancata cooperazione con l’Autorità (art. 83, par. 2, lett. f) del Regolamento);

f. le condizioni economiche del contravventore (art. 83, par. 2, lett. k) del Regolamento), tenuto conto del valore della produzione e dell’utile di esercizio con riferimento al bilancio abbreviato per l’anno 2017;

RITENUTO che, in base al complesso degli elementi sopra indicati, e ai principi di effettività, proporzionalità e dissuasività indicati nell’art. 83, par. 1, del Regolamento, debba applicarsi a Runwhip la sanzione amministrativa del pagamento di una somma di euro 80.000,00 (ottantamila);

RITENUTO altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della condotta della Società e dell’elevato numero dei soggetti potenzialmente coinvolti nei trattamenti dalla stessa effettuati;

RILEVATO che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

TUTTO CIO’ PREMESSO IL GARANTE

1.  ai sensi dell’art. 58, par. 2, lett. c), del Regolamento, ingiunge a Runwhip di dare riscontro, entro il termine di trenta giorni dalla data di comunicazione del presente provvedimento, alle richieste della reclamante formulate con e-mail del 28 luglio 2018;

2. ai sensi dell’art. 157 del Codice, ingiunge a Runwhip di fornire all’Autorità, nel medesimo termine di cui sopra, le informazioni richieste con nota del 22 marzo 2019, e di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto al punto 1., nonché di assicurare l’avvenuto riscontro alle richieste della reclamante; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento;

3. ai sensi dell’art. 58, par. 2, lett. a), del Regolamento, rivolge un avvertimento a Runwhip affinché non effettui comunicazioni a terzi dei dati personali acquisiti mediante i form presenti nei siti www.runwhip.com e www.prestitomio.com;

ORDINA

a Runwhip s.r.l., in persona del legale rappresentante pro-tempore, con sede legale in Verolanuova (BS), via Zanardelli 5/bis, C.F. 03605920986, di pagare la somma di euro 80.000,00 (ottantamila) a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, mediante il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 80.000,00 (ottantamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

L’applicazione della sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la sede il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.

Roma, 23 gennaio 2020

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia