g-docweb-display Portlet

Provvedimento del 10 dicembre 2020 [9557571]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9557571]

Provvedimento del 10 dicembre 2020

Registro dei provvedimenti
n. 267 del 10 dicembre 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale ha preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1.  L’ATTIVITÀ ISTRUTTORIA SVOLTA

Con reclamo del 27 giugno 2020 avanzato a questa Autorità ai sensi dell’art. 77 del Regolamento, il signor XX ha lamentato di aver ricevuto, il precedente 16 febbraio, una e-mail promozionale da parte di Offert Italy S.r.l.s. (di seguito, “Offert Italy” o “la società”), da lui rinvenuta nella casella “spam” del proprio account di posta elettronica. Lo stesso ha inoltre lamentato il mancato riscontro alla richiesta, inoltrata via pec alla Offert Italy, di esercizio dei diritti di cui agli artt. 15 ss. del Regolamento (in particolare, accesso ai dati e opposizione al trattamento per finalità promozionali). Inoltre, il 3 luglio 2020, il reclamante ha integrato il reclamo producendo un’ulteriore e-mail promozionale di Offert Italy, ricevuta in pari data e rinvenuta anch’essa nella casella “spam”.

In risposta alla richiesta di informazioni formulata dall’Ufficio, la Offert Italy, con pec del 14 luglio 2020, ha dichiarato di non aver risposto all’istanza del reclamante per disattenzione dell’incaricato preposto al controllo della corrispondenza ed ha altresì aggiunto che i dati del sig. XX erano stati acquisiti dalla Società D&G Group s.r.o. (di seguito “D&G”), con sede nella Repubblica Slovacca. Al fine di documentare quanto affermato, la società ha allegato una nota di cessione del “database di 1.800.105 report/e-mail Privati”, priva di data, con la quale la D&G avrebbe trasmesso, verosimilmente insieme ad altri, i dati del reclamante autorizzando la Offert Italy ad utilizzarli per l’invio di comunicazioni promozionali. Stando a quanto dichiarato dalla Società, tali dati sarebbero stati acquisiti dalla D&G il 12 settembre 2019 attraverso la registrazione del signor XX al sito web www.flyingmailers.com con informativa privacy presentata all’indirizzo web http://concorso-viaggio.com/privacy.pdf. Infine, Offert Italy ha assicurato di aver provveduto a cancellare i dati del reclamante.

Con nota del 28 luglio 2020 il signor XX ha replicato alle dichiarazioni rese dal titolare, osservando innanzitutto di non aver mai effettuato alcuna iscrizione ai siti web indicati e puntualizzando di non aver richiesto la cancellazione dei suoi dati ma di aver solo presentato una opposizione al trattamento degli stessi per finalità promozionali; lo stesso ha, inoltre, aggiunto di non aver mai ricevuto da parte di Offert Italy un’idonea informativa (in alcun modo presente nelle e-mail promozionali ricevute).

Nel corso dell’audizione, tenutasi l’11 novembre 2020, la Società ha precisato che l’acquisto del database dalla D&G ha dato luogo non ad una cessione ma ad un noleggio, non potendo la Offert Italy disporne liberamente e cederlo a sua volta a terzi. Il servizio, dunque, era stato acquistato per l’invio di comunicazioni promozionali facendo affidamento sul fatto che la cedente D&G aveva assicurato di aver raccolto i dati nel rispetto delle norme a tutela dei dati personali.

Con riguardo al mancato riscontro alla richiesta del reclamante, la Società ha ribadito di non avervi dato seguito per negligenza dell’incaricato preposto al controllo della casella pec ma ha contestualmente assicurato di aver posto in essere adeguati interventi correttivi al fine di evitare il ripetersi di analoghi eventi. La Società ha inoltre precisato di aver cancellato i dati del reclamante dalla lista dei destinatari di comunicazioni promozionali provvedendo comunque ad inserirli in una black list di soggetti che si sono opposti al trattamento.

In merito alla mancanza dell’informativa nelle e-mail inviate, la Società ha affermato di aver ritenuto sufficiente quella fornita dalla D&G al momento dell’iscrizione al sito web.

2.VALUTAZIONI DI ORDINE GIURIDICO

Con riferimento ai profili fattuali sopra evidenziati, anche in base alle affermazioni della Società di cui il dichiarante risponde ai sensi dell’art. 168 Codice, si formulano le seguenti valutazioni in relazione ai profili riguardanti la disciplina in materia di protezione dei dati personali.

2.1 Sull’idoneità del consenso acquisito per l’invio di comunicazioni promozionali.

Come descritto, la Società ha documentato il possesso di una base giuridica per l’invio di messaggi promozionali esibendo un contratto di cessione di database di un soggetto terzo che non risulta affatto idoneo. Ciò in quanto tale documento, peraltro privo di data, non contiene alcun elemento atto a comprovare l’idonea raccolta del consenso per finalità promozionali e per la comunicazione a terzi; la mera autorizzazione della D&G ad utilizzare i dati non ha alcun rilievo giuridico dal momento che solo l’interessato ha il diritto di autorizzare il trattamento mediante idoneo consenso.

Inoltre, sia il menzionato atto di cessione che il documento denominato “liberatoria disiscrizione XX”, se anche fossero considerati attendibili, proverebbero soltanto l’iscrizione al sito web www.flyingmailers.com – che tuttavia il sig. XX ha disconosciuto – ma non sono affatto idonei a documentare anche l’acquisizione di uno specifico consenso per l’invio di messaggi promozionali, né per la trasmissione a terzi. Si ricorda invece che, ai sensi dell’art. 6, par. 1, lett. a) del Regolamento, il consenso deve essere acquisito per ogni specifica finalità del trattamento.

Come più volte chiarito nei vari provvedimenti del Garante, l’acquisizione di una banca dati da terzi non esonera il titolare del trattamento dal dovere di verificare e documentare la presenza di un idoneo consenso (si veda, da ultimo il provvedimento del 12 novembre 2020 doc web n. 9485681 e il provvedimento dell’11 dicembre 2019, doc web n. 9244365, in www.garanteprivacy.it).

Ciò premesso, stante l’avvenuto invio al reclamante di e-mail promozionali in assenza di un consenso libero, specifico e informato, si ritiene integrata la violazione dell’art. 130, commi 1 e 2 del Codice e si rende necessario ammonire la Offert Italy circa l’illiceità di tale trattamento dovendo altresì vietare l’ulteriore utilizzo per finalità promozionali dei dati personali che la società abbia acquisito senza poter documentare l’esistenza di un idoneo consenso.

2.2 Sulla trasparenza

Sulla base di quanto dichiarato in atti e considerato il contenuto delle e-mail promozionali inviate al reclamante, non risulta che la Società abbia fornito le informazioni previste dall’art. 14 del Regolamento. Le e-mail, difatti, risultavano prive persino dell’identità del mittente, cui il reclamante è pervenuto solo a seguito di una più approfondita ricerca.

Nel caso di specie, è indubbia la titolarità del trattamento in capo alla Offert Italy che ne ha determinato la finalità (promozionale) ed i mezzi (e-mail); spettava pertanto a tale autonomo titolare l’invio di una idonea informativa agli interessati i cui dati erano stati acquisiti da un soggetto terzo. Ciò al fine di renderli edotti del trattamento posto in essere da parte di un titolare che essi, evidentemente, non potevano conoscere.

Ciò premesso, si ritiene integrata la violazione dell’art. 14 del Regolamento (UE) 2016/679 e si rende necessario ammonire la Offert Italy circa l’illiceità dell’invio di comunicazioni promozionali senza fornire agli interessati adeguate informazioni.

Per tali ragioni, si rende altresì necessario ingiungere ai sensi dell’art. 58, par. 2, lett. d) del Regolamento alla Offert Italy di integrare opportunamente i messaggi veicolati.

2.3 Sull’adeguatezza del riscontro fornito all’esercizio dei diritti di cui agli artt. 15 e ss. da parte dell’interessato.

Con pec del 17 febbraio 2020, il sig. XX ha inviato una richiesta volta a conoscere i dati in possesso della Società, i trattamenti effettuati sugli stessi nonché la documentazione dell’esistenza di un consenso specifico e informato per le finalità promozionali; con la medesima comunicazione, il reclamante ha contestualmente formulato opposizione al trattamento. Tuttavia, tale richiesta non ha ricevuto riscontro nei termini previsti dall’art. 12, par. 3 del Regolamento per mancata consultazione della casella di posta elettronica da parte della Società.

Solo a seguito della ricezione della richiesta di informazioni del Garante, la Offert Italy ha reso le informazioni richieste.

Ciò premesso, si ritiene integrata la violazione degli artt. 12, par. 3, 15 e 21 del Regolamento. Tuttavia, in considerazione del carattere episodico dell’evento, riconducibile ad una negligente gestione della corrispondenza verosimilmente senza carattere intenzionale, stante la successiva tempestiva collaborazione con il Garante, si ritiene di qualificare il caso come “violazione minore”, ai sensi dell’art. 83, par. 2, e del considerando 148 del Regolamento.

Pur tenuto conto delle assicurazioni fornite dal titolare in merito alla futura gestione e controllo della corrispondenza, si ritiene di dover comunque ingiungere ai sensi dell’art. 58, par. 2, lett. d) del Regolamento al titolare del trattamento di adottare con immediatezza le misure organizzative necessarie per fornire tempestivo riscontro alle richieste degli interessati nei termini previsti dall’art. 12 del Regolamento.

3. CONCLUSIONI

Le condotte descritte al punto 2, pur integrando le richiamate violazioni, devono essere valutate in un più complessivo quadro che tenga in considerazione, da un lato, il singolo evento e, dall’altro, la potenziale portata del trattamento. Difatti, il caso oggetto di reclamo, in sé considerato e per come descritto, non presenta particolare rilevanza sotto il profilo della dannosità della condotta, stante il fatto che il signor XX ha presentato un reclamo per una e-mail ricevuta nella casella “spam” dell’account di posta e che, nel complesso, il reclamante ha ricevuto da Offert Italy due email nell’arco di cinque mesi (entrambe finite direttamente nella casella “spam” e lì rinvenute).

Di maggior rilievo appare, invece, la portata potenziale del trattamento se si considera che il database acquisito conteneva i dati di 1.800.105 interessati (pur non avendo contezza del loro effettivo utilizzo) e se si tiene conto del fatto che l’invio di comunicazioni promozionali costituisce l’attività principale di Offert Italy, così come descritto nell’oggetto sociale, tale da doversi attendere il rispetto dei principi basilari della liceità del trattamento (la predisposizione di una idonea informativa, l’acquisizione del consenso e il tempestivo riscontro all’esercizio dei diritti).

Si deve tuttavia tenere conto della natura di microimpresa della Offert Italy e dei dati del bilancio 2019 stante anche l’assenza di precedenti procedimenti avviati a carico della società.

Per tali ragioni, si ritiene che la misura dell’ammonimento, unitamente al divieto ai sensi dell’art. 58, par. 2, lett. f), RGPD di trattamento (v. 2.1) e alle specifiche misure correttive impartite (v. par. 2.2 e 2.3), possa in tale fase assolvere una funzione correttiva proporzionata e compatibile con l’esercizio di un’impresa presente da poco sul mercato.

Resta inteso che le violazioni qui rilevate saranno oggetto di annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, e pertanto ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Si ricorda che ai sensi dell’art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni e che, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e), del Regolamento.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecito il trattamento descritto nei termini di cui in motivazione e adotta i seguenti provvedimenti correttivi nei confronti di Offert Italy S.r.l.s., con sede via Brava 3, Rimini, C.F e P.IVA 04376260404:

a) ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, vieta ogni ulteriore trattamento per finalità promozionali dei dati di cui non sia in grado di documentare l’acquisizione di un idoneo consenso;

b) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce sulla necessità di acquisire previamente un consenso libero, specifico e informato degli interessati per l’invio di comunicazioni promozionali con modalità automatizzate nonché sulla necessità di fornire agli interessati tutte le informazioni previste dall’art. 14 qualora i dati non siano stati ottenuti presso gli interessati stessi;

c) ai sensi dell’art. 58, par. 2, lett. d) ingiunge di integrare i messaggi promozionali veicolati inserendo un’idonea informativa e di adottare con immediatezza le misure organizzative necessarie per fornire tempestivo riscontro alle richieste degli interessati nei termini previsti dall’art. 12 del Regolamento;

DISPONE

ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 10 dicembre 2020

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei