g-docweb-display Portlet

Provvedimento del 14 gennaio 2021 [9542781]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9542781]

Provvedimento del 14 gennaio 2021

Registro dei provvedimenti
n. 17 del 14 gennaio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito il “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il reclamo pervenuto in data 8 agosto 2019 con il quale XX ha rappresentato di avere avanzato un’istanza alla Società Toyota Motor Italia S.p.A., il 1° marzo 2019, al fine di ottenere l’accesso ai propri dati personali e la rettifica dei dati di contatto indicati “per lo svolgimento delle attività […] espressamente richieste ed autorizzate”, ma di non avere avuto riscontro al riguardo, nonostante ulteriori solleciti inviati alla Società;

VISTO che, dalla documentazione in atti, è emerso che la Società, con comunicazione del 15 aprile 2019, ha informato il reclamante di avere provveduto a rettificare i dati, senza tuttavia fornire riscontro alla richiesta di accesso agli stessi;

VISTO che l’Ufficio, con nota del 2 ottobre 2019, ha invitato la Società a dare completo riscontro alle richieste avanzate dall’interessato;

VISTO che la Società con nota del 22 ottobre 2019, inviata anche al reclamante, ha comunicato i dati allo stesso riferiti, la loro origine, il periodo di conservazione nonché le finalità e modalità del trattamento oltre agli estremi identificativi del titolare e del responsabile;

VISTE le successive comunicazioni, datate 8 novembre 2019 e 15 gennaio 2020, con le quali il reclamante, nell’evidenziare che i dati forniti erano obsoleti (in particolare, il veicolo citato nel riscontro aveva subito un cambio di proprietà nel 2013 e pertanto era intestato ad altro soggetto) e che la Società non aveva fornito alcuni dati riconducibili “alle attività di marketing digitale”, in particolare gli indirizzi e-mail, utilizzati per inviargli periodicamente newsletter tecniche e commerciali, ha, altresì, chiesto la “completa cancellazione di tutti i dati [a lui riferiti] presenti nei […] data base [della società] cartacei ed elettronici”;

VISTE le note del 6 dicembre 2019 e 13 febbraio 2020, con le quali la Società, nel fornire riscontro alle osservazioni formulate dal reclamante, ha rappresentato:

- che l’informazione relativa al numero di telaio dell’autovettura, presente negli archivi, era “ritenuta attuale” non avendo la società ricevuto alcuna comunicazione di aggiornamento al riguardo e non potendo ricevere tale informazione dalle “vendite di auto usate, né [potendo…] per legge accedere -in maniera massiva e automatica- all’intero data base dell’ACI” se non “per adempiere ad obblighi di legge quali sono ritenute le attività di revisione e/o di richiami per ragioni di sicurezza dei veicoli”;

- che il mancato riscontro all’informazione relativa all’indirizzo e-mail, è stato dovuto alla circostanza che l’iscrizione al servizio di newsletter era stata richiesta dal reclamante prima del 2015; fino a tale anno “il database di gestione delle newsletter era gestito manualmente, quando […] è stato importato nell’attuale sistema di gestione, sono stati importati solo gli indirizzi mail […]. Il sistema, quindi, registrava solo questa informazione e non permetteva di associare l’indirizzo e-mail ad altre informazioni presenti nell’archivio clienti;

- di avere proceduto, come richiesto dal reclamante, alla cancellazione degli indirizzi e-mail dal database delle newsletter, mentre i dati relativi “a nome, cognome, indirizzo di residenza, numero di targa e numero di telaio verranno conservati per obblighi di legge”;

VISTO che con nota datata 8 novembre 2019, l’Ufficio, sulla base degli elementi acquisiti nel corso dell’attività istruttoria e delle successive valutazioni, ha notificato alla Società, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, paragrafo 2, del Regolamento, invitandola a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981);

VISTI gli scritti difensivi con i quali la società in data 6 dicembre 2019 ha chiesto una formale audizione ed ha, altresì, dichiarato:

- che l’istanza avanzata dall’interessato il 1° marzo 2019 era stata evasa solo riguardo alla rettifica dei dati e non all’accesso agli stessi “per un mero errore materiale” […e] non vi è stata alcuna volontà deliberata nel non voler fornire riscontro”; l’operatore, infatti, nel registrare la citata richiesta, “ha preso in considerazione solo quella relativa alla modifica dei dati di contatto”;

- che lo strumento di gestione delle richieste (tool) “utilizzato in precedenza, prevedeva la calendarizzazione delle scadenze manuale e comunque non automatizzata. A partire da luglio 2019 il predetto tool è stato sostituito con un modello che permette di inserire a sistema le scadenze e di inviare alert per monitorare i tempi di riscontro”;

- che le richieste di esercizio dei diritti presentate dagli interessati sono sempre state “riscontrate in modo preciso e puntuale […e quanto accaduto al reclamante] può considerarsi un episodio isolato” a seguito del quale la Società “ha immediatamente attivato le proprie divisioni interne al fine di individuare possibili criticità nella gestione delle richieste da parte di altri interessati e ha analizzato tutte le precedenti richieste per accertarsi che non vi fossero stati eventuali simili errori relativi a mancati e/o tardivi accessi ai dati”;

- di avere adottato, con l’entrata in vigore del Regolamento, tutte le misure dallo stesso previste per conformarsi alla nuova normativa, implementando, nel tempo, ulteriori misure che “sulla base dell’esperienza” sono state ritenute necessarie.

CONSIDERATO quanto dichiarato dalla Società in occasione dell’audizione svoltasi presso gli Uffici del Garante il 21 gennaio 2020, nel corso della quale nel riportarsi ai propri scritti difensivi, soprattutto riguardo alle misure poste in essere per conformarsi al Regolamento, ha rappresentato:

- di avere implementato, a seguito della vicenda oggetto di reclamo, “ulteriori misure operative al fine di garantire una efficace ed effettiva tutela dei dati personali dei propri clienti”;

- di avere affinato “nell’ambito delle predette misure, volte al miglioramento della gestione delle richieste dei clienti […], i propri criteri di ricerca nel data base Newsletter, aggiungendo, quale chiave di ricerca nel campo relativo all’indirizzo e-mail, la radice identificativa di nome e/o cognome”;

RILEVATO che l’art. 12, par. 3, del Regolamento prevede che il titolare del trattamento fornisca all’interessato le informazioni relative all’azione intrapresa riguardo ad una richiesta presentata ai sensi degli artt. 15 e ss. del Regolamento “senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa” e che il paragrafo 4 del medesimo articolo precisa, inoltre, che “se non ottempera alla richiesta dell’interessato, il titolare del trattamento informa l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale”. I titolari del trattamento sono, altresì, tenuti ad adottare le misure tecniche e organizzative necessarie al fine di favorire l’esercizio dei diritti e il riscontro alle richieste presentate dagli interessati;

CONSIDERATO che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”;

RILEVATO che le argomentazioni addotte da Toyota, volte a dimostrare l’infondatezza di quanto contestato, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e non risultano, quindi, idonee a determinare l’archiviazione del procedimento, in quanto:

- la società ha dato un riscontro tardivo all’istanza di accesso presentata dal reclamante in data 1° marzo 2019;

- il riscontro fornito non era comunque idoneo a soddisfare le richieste avanzate, mancando di alcune informazioni -indirizzi e-mail del reclamante- a causa dell’utilizzo, da parte della Società, di un database di gestione delle newsletter che non consentiva di associare l’indirizzo e-mail con le altre informazioni presenti nell’archivio clienti;

CONSIDERATO che, sulla base di quanto dichiarato dalla società risulta essersi trattato di un episodio isolato, determinato da un “mero errore materiale” da parte di un operatore in servizio presso il titolare del trattamento;

CONSIDERATO che in relazione al mancato aggiornamento dell’informazione relativa al numero di telaio, la Società non era a conoscenza dell’informazione relativa al trasferimento di proprietà dell’autovettura del reclamante non avendo ricevuto alcuna comunicazione di aggiornamento al riguardo e non potendo accedere al Registro Pubblico Automobilistico se non in caso di campagne di richiamo;

RILEVATO che la Società ha proceduto, come richiesto dal reclamante nel corso dell’attività istruttoria, alla cancellazione dei dati allo stesso riferiti, specificando che i dati relativi “a nome, cognome, indirizzo di residenza, numero di targa e numero di telaio verranno conservati per obblighi di legge”;

RILEVATO che la società ha dichiarato di avere implementato, successivamente a tale episodio, misure operative volte a garantire una più efficace ed effettiva tutela dei dati personali dei propri clienti, con particolare riferimento al miglioramento della gestione delle richieste degli stessi.

RITENUTO pertanto che, relativamente a tale istanza, non vi siano i presupposti per l’adozione di misure correttive ai sensi dell’art. 58, par. 2, del Regolamento, da parte dell’Autorità;

RITENUTO che, sebbene si ravvisi una violazione degli artt. 12 e ss. del Regolamento in relazione al mancato tempestivo riscontro alle richieste avanzate dall’interessato e pertanto, in relazione a tale profilo, il reclamo sia fondato, le circostanze sopra richiamate inducono a qualificare il caso come “violazione minore”, ai sensi dell’art. 83 e del considerando 148 del Regolamento;

RITENUTO pertanto, ai sensi dell’art. 58, par. 2, lett. b), del Regolamento di dover adottare nei confronti di Toyota Motor Italia S.p.A. la misura dell’ammonimento in ragione delle violazioni riscontrate e sopra indicate;

RITENUTO che ricorrano i presupposti per l’annotazione del provvedimento nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento e dall’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE prof. Pasquale Stanzione;

TUTTO CIÒ PREMESSO, IL GARANTE

a. ai sensi dell’art. 58, par. 2, lett. b), del Regolamento ammonisce Toyota Motor Italia S.p.A. sulla necessità di fornire tempestivo riscontro alle istanze avanzate dagli interessati e di agevolare l’esercizio dei diritti degli stessi in materia di protezione dei dati personali, come rappresentato in motivazione;

b. ritiene che ricorrano i presupposti di cui all’art. 57, par. 1, lett. u) del Regolamento e all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante recante “Registro interno delle violazioni e delle misure correttive adottate”.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 14 gennaio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei