Diritti interna

Doveri interna

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Merlini s.r.l. - 9 luglio 2020 [9435774]

 

VEDI ANCHE comunicato del 13 luglio 2020

 

[doc. web n. 9435774]

Ordinanza ingiunzione nei confronti di Merlini s.r.l. - 9 luglio 2020

Registro dei provvedimenti
n. 144 del 9 luglio 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il dott. Antonello Soro, presidente, la dott.ssa Augusta Iannini, vicepresidente, la dott.ssa Giovanna Bianchi Clerici e la prof.ssa Licia Califano, componenti e il dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE il dott. Antonello Soro;

1. PREMESSA

l’Ufficio, con atto n. 44749/19 del 19 dicembre 2019 (notificato in pari data mediante posta elettronica certificata), che qui deve intendersi integralmente riportato, ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento nei confronti di Merlini s.r.l. (di seguito “Merlini” o “la Società”), in persona del legale rappresentante pro-tempore, con sede legale in Milano, via Durini 15, C.F. 09698210961;

2.  ESITI DELL’ISTRUTTORIA

Dall’esame degli atti del procedimento amministrativo, è emerso, in sintesi, quanto segue:

L’Autorità ha appreso da una segnalazione dell’esistenza in Roma di un call-center che svolgeva attività di contatto di potenziale clientela e offerta di servizi telefonici per conto della società Wind Tre S.p.A., riferendo di modalità di acquisizione di dati non lecite e comunque fuori dalla cornice normativa delineata dal Regolamento e dal Codice. L’Ufficio, effettuate le necessarie verifiche relative alle informazioni anagrafiche dei soggetti indicati nella segnalazione, delegava alla Guardia di finanza, Nucleo speciale tutela privacy e frodi tecnologiche, lo svolgimento di accertamenti ispettivi presso il call-center.

L’accertamento ispettivo consentiva di rilevare che le attività ivi svolte facevano capo alla società Alessandro Corbelli Sunrise s.r.l.s. e, nonostante le stesse, in sede di accesso, fossero state presentate come attività formative per l’avviamento di futuri operatori di call-center, le risultanze degli accessi alle postazioni di lavoro evidenziavano che al momento dell’accertamento erano in corso attività di contatti telefonici promozionali dei servizi della società Wind Tre S.p.A. I contatti telefonici dei potenziali clienti, indirizzati all’area business, prevedevano la fissazione di appuntamenti per la compilazione delle proposte di contratto, appuntamenti che venivano “caricati” nelle agende elettroniche delle persone che avrebbero dovuto recarsi presso i clienti. Nel call-center veniva rinvenuta ingente modulistica contrattuale di Wind, predisposta per la clientela business, e numerose sim-card a marchio Wind. Le attività di contatto venivano svolte in sette postazioni di lavoro mediante l’utilizzo di personal computer e telefoni cellulari. Nella cronologia dei predetti telefoni è stata rinvenuta traccia di centinaia di telefonate effettuate nei tre giorni antecedenti l’intervento ispettivo. Dagli accessi ai computer in uso agli operatori è stato possibile acquisire numerosi file in formato excel contenenti elenchi costituiti da informazioni anagrafiche e di contatto telefonico di aziende e persone fisiche. Tutti gli operatori interpellati dichiaravano che tali file venivano quotidianamente caricati sul desktop dei PC da parte del referente e che gli stessi contenevano i nominativi e i numeri di telefono dei soggetti da contattare. Nel PC del referente e in un’altra postazione di lavoro venivano rinvenuti file excel contenenti dati personali (nome, cognome, ragione sociale, codice fiscale, numero di telefono fisso e numero di telefono mobile) di oltre 500.000 utenti. Venivano anche   rinvenute tracce informatiche di accessi tramite virtual machine al database di un’altra compagnia telefonica.

Con riferimento all’origine dei dati personali rinvenuti nelle diverse postazioni di lavoro del call-center e alla complessiva attività svolta nel medesimo, il referente presente all’accertamento dichiarava che “l’attività in una giornata tipo di questo call center prevede che io distribuisca agli operatori le liste di soggetti da contattare che sono presenti nel mio PC delle quali non so definirne l’origine […]; con riferimento alle SIM presenti nel call center e alla documentazione contrattuale e alle brochure rappresento che tutto questo materiale proviene da agenzie di Wind di cui io non conosco la denominazione e la ragione sociale e sono destinate, presumibilmente, agli agenti […] che però io non conosco personalmente”.

Le dichiarazioni del referente, paradossali, inattendibili e rese in spregio ai doveri di collaborazione nei confronti dell’Autorità, non erano in grado di comprovare che l’acquisizione dei dati anagrafici dei potenziali clienti fosse avvenuta nel rispetto delle disposizioni del Regolamento e del Codice, con particolare riferimento alla disciplina del consenso, e, in ogni caso, evidenziavano che le attività di call-center si svolgevano al di fuori delle procedure implementate da Wind Tre per disciplinare le attività di telemarketing e teleselling. Inoltre, le modalità di contatto dei potenziali clienti avvenivano senza fornire la necessaria informativa prevista dall’art. 14 del Regolamento come evidenziato dall’assenza di informazioni sul trattamento dei dati personali nello script di chiamata acquisito durante l’accertamento. In buona sostanza, l’attività del call-center si presentava come del tutto abusiva, in violazione non soltanto delle disposizioni in materia di protezione dei dati personali ma anche di quelle in ambito fiscale, tributario e lavorativo, per le quali il Nucleo speciale privacy procedeva ad interessare le competenti articolazioni della Guardia di finanza. Risultava inoltre condotta da una società non presente nel Registro degli operatori di comunicazione, utilizzando numerazioni non censite nel medesimo registro, in un quadro estremamente preoccupante di disinteresse per i diritti dei lavoratori, degli interessati e per le necessarie garanzie di sicurezza che avrebbero dovuto presiedere ogni operazione di trattamento.

Nel corso dell’accertamento effettuato presso il call-center di via Vassallo in Roma sono stati acquisiti riscontri documentali di un significativo legame operativo fra il predetto call-center e l’agenzia Merlini s.r.l. che svolge attività di commercializzazione dei prodotti della società Wind Tre S.p.A. presso la propria sede operativa di Ponsacco (PI).

L’Ufficio ha pertanto delegato alla Guardia di finanza l’effettuazione un accertamento ispettivo, con i poteri di cui agli artt. 157 e 158 del Codice, nei confronti della predetta società, accertamento svolto il 9 luglio 2019 e documentato da un verbale di operazioni compiute al quale si fa integrale richiamo unitamente agli atti ad esso allegati e a quelli successivamente prodotti dalla società.

Dall’accertamento è emerso che Merlini s.r.l. opera esclusivamente per acquisire clienti per conto di Wind Tre S.p.A., in forza di un contratto di agenzia che prevede, nell’allegato “G”, la designazione dell’agenzia quale responsabile del trattamento e, nell’allegato “H”, le relative istruzioni. Merlini s.r.l. svolge la sua attività per il tramite di collaboratori presenti sul territorio nazionale, denominati “procacciatori”. Merlini s.r.l. ha rappresentato che “Wind Tre S.p.A. non ha provveduto a realizzare corsi o convention in materia di protezione dei dati personali per gli agenti, neanche in concomitanza con l’entrata in vigore del Regolamento UE 679/2016”.

Fra i procacciatori che collaborano con Merlini s.r.l. è risultata anche la società Alessandro Corbelli Sunrise s.r.l.s. e, con riferimento a tale società, Merlini s.r.l. ha prodotto alcune fatture, elenchi di contratti acquisiti e e-mail contenenti copie dei documenti dei clienti, inviate da un indirizzo di posta elettronica riconducibile al sig. XX. Merlini s.r.l. ha anche esibito copia di alcune lettere d’incarico relative alle attività dei procacciatori nelle quali è riportato testualmente: “la sua attività dovrà essere svolta in piena autonomia seguendo unicamente le indicazioni e disposizioni che le saranno impartite circa i nostri prodotti, le condizioni di vendita ed altre disposizioni commerciali. L'attività. potrà comunque essere svolta in collaborazione con addetti alla produzione e/o commercializzazione, con agenti propri”.

Circa l’attività dei procacciatori, Merlini s.r.l. ha dichiarato di non aver individuato gli stessi quali responsabili del trattamento o autorizzati a svolgere operazioni di trattamento in quanto tali collaboratori “operano autonomamente” e “ogni procacciatore è libero e, quindi, autonomo nella ricerca dei soggetti verso i quali indirizzare le proposte commerciali”.

Con nota del 25 ottobre 2019 l’Ufficio ha richiesto a Merlini s.r.l. di esibire copia della lettera di incarico conferito alla società Alessandro Corbelli Sunrise s.r.l.s., e di ogni altro negozio giuridico stipulato con la medesima. Merlini s.r.l. ha fornito riscontro con e-mail del 4 novembre 2019, rappresentando “di non avere ulteriore documentazione ed in particolare copia di altri mandati. Come già esposto durante l’accertamento del 9 luglio, con molti collaboratori (tra cui Corbelli) sono ed erano in corso accordi verbali e il rapporto si è concretizzato con l’invio di proposte di contratto Wind da parte dei collaboratori e il puntuale pagamento degli affari procacciati da parte della nostra società” e aggiungendo altresì “che al momento di avviare nuove collaborazioni ai procacciatori il mandato scritto è l’ultima cosa che interessa […]”.

La mancanza di forme scritte di accordi e di designazioni in ambito privacy che leghino Merlini s.r.l. ai cd. “procacciatori”, nonché l’assenza di attività di verifica e di controllo delle procedure poste in essere dai propri collaboratori, con riferimento al rispetto rigoroso delle disposizioni del Regolamento e del Codice, ha contribuito a far sì che la società Alessandro Corbelli Sunrise s.r.l.s. instaurasse e consolidasse delle forme di acquisizione delle liste di potenziali clienti ai quali veicolare le proposte commerciali per conto di Wind, nonché modalità di contatto dei medesimi, in piena violazione della normativa sulla protezione dei dati personali. Inoltre, i dati illecitamente trattati da Alessandro Corbelli Sunrise s.r.l.s. sono stati comunicati a Merlini s.r.l. senza che fra le due società intercorressero rapporti di titolarità/responsabilità idonei a consentire lo scambio dei dati medesimi ovvero senza che gli interessati avessero contezza e avessero autorizzato tali comunicazioni. I dati così acquisiti sono poi confluiti nei database della società Wind Tre S.p.A. per il perfezionamento delle proposte contrattuali.

La società, in base a quanto stabilito dall’art. 1, comma 11, della legge n. 5/2018, è da ritenersi responsabile anche delle condotte poste in essere dalla società Alessandro Corbelli Sunrise s.r.l.s. in violazione delle disposizioni della medesima legge.

Con il richiamato atto del 19 dicembre 2019 venivano contestate a Merlini s.r.l. le seguenti violazioni:

a) violazione degli artt. 5, parr. 1 e 2, 6 e 7 del Regolamento, per aver illecitamente acquisito dalla Alessandro Corbelli Sunrise s.r.l.s. dati personali contenuti in proposte contrattuali, raccolti in fase di campagna di telemarketing in assenza del consenso degli interessati ovvero di altra condizione di liceità dei correlati trattamenti;

b) violazione dell’art. 1, comma 11, della legge n. 5/2018, in relazione al successivo comma 12 e all’art. 130, comma 3, con riferimento allo svolgimento, da parte della Alessandro Corbelli Sunrise s.r.l.s di attività di telemarketing senza aver consultato il Registro delle opposizioni a cadenza mensile o comunque prima di ogni campagna

c) violazione dell’art. 28 del Regolamento, per aver fatto ricorso alle prestazioni di società e persone fisiche (i procacciatori), per lo svolgimento dei trattamenti di dati personali con finalità promozionali dei prodotti e servizi di Wind Tre S.p.A., senza aver informato quest’ultima, nella sua qualità di Titolare del trattamento, ovvero senza aver richiesto alla medesima autorizzazione scritta specifica; nonché per aver instaurato il rapporto di collaborazione con le predette società e persone fisiche senza aver instaurato nei confronti delle medesime, con contratto o altro atto giuridico, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto stipulato fra Wind Tre S.p.A. e Merlini s.r.l.;

d) violazione dell’art. 29 del Regolamento, per aver consentito di svolgere i trattamenti di cui sopra a soggetti che non hanno ricevuto dal titolare del trattamento le necessarie istruzioni.

3. LA DIFESA DELLA PARTE

In data 21 gennaio 2020 Merlini s.r.l. ha fatto pervenire all’Autorità, mediante posta elettronica certificata, le proprie osservazioni difensive che qui si intendono integralmente riportate a tutela della parte e che, in sintesi rappresentano:

- nel luglio 2019, cioè al momento degli accertamenti della Guardia di Finanza che hanno dato luogo al procedimento, collaboravano con Merlini circa 34 procacciatori. Tali collaboratori erano scelti tenendo conto delle specifiche competenze e della professionalità dimostrata nel tempo; infatti, benché non sia riscontrabile una formalizzazione dei rapporti e delle raccomandazioni eventualmente impartite al procacciatore del caso di specie, la Merlini s.r.l. non ha mai incontrato problemi di sorta a causa dell'attività dei propri collaboratori. La condotta tenuta dalla Alessandro Corbelli Sunrise s.r.l.s. ha rappresentato un unicum in questo senso; l’accertamento ha costituito anche l'occasione per intraprendere un percorso di revisione nei rapporti con i collaboratori;

- quello posto in essere con Alessandro Corbelli Sunrise s.r.l.s. è un contratto da procacciatore d'affari/segnalatore, quindi un contratto atipico, peculiare rispetto al contratto d'agenzia, in forza del quale viene svolta “un'attività di intermediazione diretta a favorire tra terzi la conclusione di un affare” e “caratterizzata dall'assenza di subordinazione” (v. Cass. Sez. Un., 2 agosto 2017, n. 19161): il procacciatore è quindi un soggetto autonomo incaricato di individuare potenziali clienti; tale ricerca è il nucleo della tipica attività professionale svolta dal procacciatore ed i mezzi o gli strumenti da utilizzare a tal fine rientrano propriamente nelle specifiche competenze professionali del procacciatore;

- Merlini ha quindi ritenuto di poter considerare il collaboratore come titolare autonomo, alla luce della definizione data dall'art. 4 del Regolamento. Le dichiarazioni rilasciate nell'immediato dal rappresentante legale della Merlini, non lasciano spazio ad alcun dubbio sull'interpretazione del rapporto adottata dall'esponente. È evidente del resto la differenza tra la posizione dell'agente Merlini e la posizione del suo procacciatore: la prima inseriva le proposte di contratto sul portale Wind Tre spa per conto di quest'ultima, risultando pertanto inquadrata come responsabile esterna; il secondo invece operava sul mercato quale autonomo professionista in ricerca di potenziali clienti;

- anche alla luce del provvedimento del Garante del 15 giugno 2011 (in www.gpdp.it, doc. web n. 1821257) in materia di titolarità del trattamento dei dati personali in capo ai soggetti che si avvalgono di agenti per attività promozionali, permangono non pochi dubbi circa il corretto inquadramento della fattispecie in esame. Nel caso di specie, infatti non si riscontrano quegli indici che caratterizzerebbero il responsabile esterno in base in base agli indici contemplati nel suddetto provvedimento: la Alessandro Corbelli Sunrise non agiva in nome di Wind Tre S.p.A o di Merlini srl ma esclusivamente in nome proprio; non aveva alcun potere di spendita del nome e non poteva firmare contratti a nome d'altri; i potenziali clienti erano avvisati che, in caso di interesse alla conclusione del contratto, sarebbero stati ricontattati da Wind Tre S.p.A. per il perfezionamento del contratto e pertanto non si poteva ingenerare in loro la convinzione di negoziare con il gestore telefonico; al procacciatore non erano fornite informazioni dettagliate su come agire ma solo indicazioni relative ai prodotti di cui si cercava il potenziale acquirente;

- il provvedimento del Garante osserva altresì che “se gli agenti rivestissero la qualifica di autonomi titolari, la comunicazione dei dati dei clienti alla società preponente (…) risulterebbe lecita soltanto ove fosse stato preventivamente acquisito il consenso informato dell'interessato (artt. 13 e 23 del Codice) ovvero sussistesse uno dei presupposti di esonero rispetto all'obbligo della sua acquisizione (art. 24 del Codice)”. Ma la sopraggiunta disciplina del Regolamento, innovando profondamente la materia, ha aperto nuove prospettive. La base giuridica di cui all'art. 6, par.1, lett. b) rende lecito questo trasferimento;

- si contesta che l'acquisizione dei dati personali da parte di Merlini s.r.l. fosse illecita. Gli interessati, contattati dal procacciatore, avevano espresso il proprio interesse alla stipula di un contratto con Wind Tre S.p.A. A tal fine, le proposte di contratto raccolte dal procacciatore dovevano essere inviate a Wind Tre per il tramite di Merlini s.r.l., responsabile esterno incaricato di “processare” tali proposte. L'accordo negoziale perseguito dagli interessati non poteva esser ottenuto senza tale trasferimento. Del resto l'interessato sapeva di essere stato contattato da un soggetto diverso dal gestore telefonico e che la sua proposta sarebbe stata comunicata a Wind Tre per la stipula del contratto. Trova quindi pienamente applicazione l'art. 6, par. 1, lettera b) del Regolamento: l'esecuzione di misure precontrattuali adottate su richiesta dell'interessato;

- l'art. 5.2 del contratto di agenzia sottoscritto con Wind Tre spa prevede che “la designazione da parte dell'Agente di eventuali subagenti, dipendenti, collaboratori o incaricati per realizzare l'incarico di cui al presente Contratto avverrà sotto la responsabilità del medesimo”. Tale previsione può costituire un'autorizzazione generale ad avvalersi di altri soggetti, titolari autonomi o responsabili esterni. Atteso che l'incarico svolto era obiettivamente differente, di conseguenza fra Merlini e la Alessandro Corbelli Sunrise non sono stati fissati gli stessi obblighi in materia di protezione dei dati contenuti nel contratto stipulato fra Wind Tre S.p.A. e Merlini s.r.l.;

4. CONSIDERAZIONI DI CARATTERE GIURIDICO

Le sopra riassunte argomentazioni difensive non consentono di escludere la responsabilità di Merlini s.r.l. in ordine alle violazioni contestate per i seguenti motivi:

- è indubbio, essendo stato ammesso anche dalla parte, che Merlini s.r.l. non ha provveduto a formalizzare i rapporti con Alessandro Corbelli Sunrise s.r.l.s. né da un punto di vista contrattuale né con riferimento ai trattamenti di dati personali connessi alla promozione delle offerte Wind Tre;

- tale condizione, che ha determinato il realizzarsi delle gravissime condotte sopra descritte ad opera di Alessandro Corbelli Sunrise s.r.l.s., non può in alcun modo costituire una modalità per eludere le disposizioni sulla distribuzione delle responsabilità nei trattamenti di dati, prova ne sia che il combinato disposto degli artt. 28, 29 e 83, par. 4, del Regolamento sanzionano sia il titolare che non effettua le eventuali designazioni dei responsabili del trattamento, sia il responsabile che non provvede a informare il titolare dell’esistenza di eventuali ulteriori soggetti che operano nell’ambito del medesimo trattamento;

- ragionando a contrario la mancata formalizzazione degli incarichi in ambito privacy consentirebbe a qualunque titolare di frammentare le responsabilità dei trattamenti di maggiore complessità in mille rivoli, suddividendo le operazioni fra soggetti qualificabili indistintamente come autonomi titolari e rendendo impossibile una considerazione unitaria del trattamento sia con riferimento agli obblighi dei soggetti attivi sia con riferimento ai diritti degli interessati. Ciò determinerebbe la sostanziale elusione dell’intero impianto normativo in materia di protezione dei dati personali che si basa, da un lato, sul principio di responsabilizzazione (accountability) di titolari e responsabili e, dall’altro, sulla piena esercitabilità dei diritti da parte degli interessati;

- del resto, proprio alla luce del richiamato provvedimento del Garante del 15 giugno 2011, Alessandro Corbelli Sunrise s.r.l.s. non può considerarsi autonomo titolare poiché, come testimoniano gli esiti degli accertamenti ispettivi svolti presso il call-center, essa spendeva il nome di Wind Tre, utilizzava la modulistica contrattuale predisposta da Wind Tre, distribuiva le sim-card della società, della quale promuoveva le offerte avendo anche accesso ai portali tecnici e agli help-desk della medesima. Quest’ultima facoltà era consentita a Alessandro Corbelli Sunrise s.r.l.s. utilizzando credenziali di autenticazione e codici-operatore che avrebbero dovuto essere nella esclusiva disponibilità di Merlini s.r.l., prova evidente che il call-center non provvedeva solamente al primo contatto del cliente per “presa appuntamento” ma aveva uno specifico mandato a concludere contratti che poi venivano registrati nei sistemi Wind Tre per il tramite di Merlini s.r.l. Ciò è comprovato anche dalle dichiarazioni rese da Merlini in occasione dell’accertamento ispettivo nelle quali si fa esplicito riferimento ai “contratti stipulati dai procacciatori” e alla circostanza che “sono i procacciatori stessi a proporre eventuali contratti per Wind Tre S.p.A.”;

- inoltre, l’ipotesi difensiva relativa alla titolarità autonoma di Alessandro Corbelli Sunrise s.r.l.s. appare impercorribile proprio alla luce del fatto che, in assenza di uno specifico consenso rilasciato dagli interessati alla predetta società per la comunicazione dei dati a terzi (in questo caso a Merlini s.r.l.), la base giuridica per il trasferimento dei dati dovrebbe essere necessariamente individuata nell’art. 6, par. 1, lett. b) del Regolamento (esecuzione di misure precontrattuali) riconducendo tale trasferimento nell’alveo del trattamento di cui Wind Tre è unico titolare e nell’ambito del quale gli altri soggetti che intervengono nelle diverse operazioni non possono che assumere la veste giuridica del responsabile;

- in conclusione, dal procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, appaiono confermate le risultanze istruttorie in base alle quali è stato formulato l’atto di contestazione del 19 dicembre 2019, poiché è emerso che Merlini s.r.l. ha acquisito dati personali di utenti e contraenti raccolti nel corso delle campagne di promozione delle offerte Wind Tre, effettuate in violazione delle disposizioni di cui all’art. 130 del Codice,  da un soggetto che non era stato designato responsabile del trattamento e che non aveva richiesto agli interessati il consenso per la comunicazione dei propri dati a terzi.

5. CONCLUSIONI

Accertata, per quanto sopra esposto, la responsabilità di Merlini s.r.l. in ordine agli addebiti contestati e accertata altresì l’illiceità dei trattamenti svolti con l’intervento o l’ausilio dei cd. “procacciatori”, si rende necessario:

a. ingiungere alla Società, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di adottare, entro 30 giorni dalla notifica del presente provvedimento, tutti gli adempimenti necessari affinché ai cd. “procacciatori” come sopra individuati siano imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto tra il Wind Tre S.p.A. e Merlini s.r.l.;

b. imporre un divieto dei trattamenti effettuati con l’intervento o l’ausilio dei cd. “procacciatori”, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, fino alla completa attuazione degli adempimenti di cui al punto precedente;

c. adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Merlini s.r.l. della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento.

Riguardo alle prescrizioni indicate nella presente sezione, si ricorda che in caso di inosservanza, è applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e), del Regolamento.

6. ORDINANZA-INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

Le violazioni indicate nell’atto di contestazione del 19 dicembre 2019, impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Merlini s.r.l. della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento (pagamento di una somma fino a € 20.000.000 ovvero, per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore);
Per la determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento;

Nel caso in esame, assumono rilevanza:

a. la gravità della violazione (art. 83, par. 2, lett. a) del Regolamento), in ragione delle condotte poste in essere mediante l’istituzione di un call-center abusivo e l’illecita acquisizione di liste di utenti e contraenti, con attività, dunque, potenzialmente lesive di vari diritti fondamentali e, in particolare, oltre al diritto alla protezione dei dati personali, il diritto alla tranquillità individuale e il diritto alla riservatezza, in un panorama di totale noncuranza della normativa in materia di protezione dei dati personali e di altre disposizioni rilevanti, anche probabilmente di carattere penale, con l’alimentazione di un “sottobosco” illegale e potenzialmente idoneo a favorire forme di criminalità diffusa nel Paese;

b. la durata della violazione (art. 83, par. 2, lett. a) del Regolamento), poiché i rapporti fra i soggetti che hanno istituito il call-center abusivo e Merlini s.r.l. risalgono almeno al maggio 2018;

c. l’elevato numero dei soggetti coinvolti (art. 83, par. 2, lett. a) del Regolamento) posto che presso il call-center abusivo sono state rinvenute liste contenenti oltre 500.000 anagrafiche;

d. il carattere intenzionale della condotta (art. 83, par. 2, lett. b) del Regolamento), poiché Merlini s.r.l. ha scientemente accettato il rischio di affidare trattamenti di estrema delicatezza a soggetti che non erano in alcun modo vincolati al rispetto delle disposizioni in materia di protezione dei dati personali;

e. la mancata adozione di misure atte a mitigare o a eliminare le conseguenze della violazione (art. 83, par. 2, lett. c) del Regolamento), poiché, nonostante le asserite revisioni dei rapporti con i procacciatori, la società non ha fornito documentazione idonea a comprovare che tali rapporti siano stati regolati in bade a quanto stabilito dall’art. 28, comma 4, del Regolamento;

f. quale fattore attenuante, la cooperazione con l’Autorità (art. 83, par. 2, lett. f) del Regolamento) nel corso degli accertamenti ispettivi e dell’istruttoria preliminare;

g. le condizioni economiche del contravventore (art. 83, par. 2, lett. k) del Regolamento), tenuto conto del valore della produzione e dell’utile di esercizio con riferimento al bilancio abbreviato per l’anno 2019;

In base al complesso degli elementi sopra indicati, e ai principi di effettività, proporzionalità e dissuasività indicati nell’art. 83, par. 1, del Regolamento, e tenuto conto del necessario bilanciamento fra diritti degli interessati e libertà di impresa ma anche della gravità delle condotte riscontrate a seguito degli accertamenti ispettivi, in via di prima applicazione delle sanzioni amministrative pecuniarie previste dal Regolamento, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società, si ritiene debba applicarsi a Merlini s.r.l. la sanzione amministrativa del pagamento di una somma di euro 200.000,00 (duecentomila), pari all’1% della sanzione massima edittale.
Nel caso in argomento si ritiene che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della condotta della Società, dei propri partner, nonché dell’elevato numero dei soggetti potenzialmente coinvolti nei trattamenti presi in esame;

Ai sensi dell’art. 167, comma 5, del Codice, dispone trasmettersi copia degli atti e la relazione motivata all’Autorità giudiziaria, predisposta dall’Ufficio, con riferimento alle condotte accertate nel corso delle attività ispettive svolte presso Merlini s.r.l. e nel call-center gestito dalla società Alessandro Corbelli Sunrise s.r.l.s.

Ricorrono infine i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIO’ PREMESSO IL GARANTE

a) ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiunge a Merlini s.r.l. di adottare, entro 30 giorni dalla notifica del presente provvedimento, tutti gli adempimenti necessari affinché ai cd. “procacciatori” come sopra individuati siano imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto tra il Wind Tre S.p.A. e Merlini s.r.l.;

b) ai sensi dell’art. 58, par. 2, lett. f), del Regolamento, impone a Merlini s.r.l., il divieto di

-  ulteriore trattamento dei dati personali comunicati dalla Alessandro Corbelli Sunrise s.r.l.s.

- trattamento dei dati effettuati con l’intervento o l’ausilio dei cd. “procacciatori” fino all’adozione di tutti gli adempimenti di cui al capoverso precedente;

c) ai sensi dell’art. 157 del Codice, ingiunge a Merlini s.r.l. di fornire all’Autorità, nel medesimo termine di cui sopra di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto ai punti 1 e 2; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento;

ORDINA

a Merlini s.r.l., in persona del legale rappresentante pro-tempore, con sede legale in Milano, via Durini 15, C.F. 09698210961, di pagare la somma di euro 200.000,00 (duecentomila) a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, mediante il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 200.000,00 (duecentomila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

L’applicazione della sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

La trasmissione, ai sensi dell’art. 167, comma 5, del Codice, di copia degli atti e di relazione motivata all’Autorità giudiziaria, con riferimento alle condotte accertate nel corso delle attività ispettive svolte nel call-center gestito dalla società Alessandro Corbelli Sunrise s.r.l.s.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la sede il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.

Roma, 9 luglio 2020

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia