g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di La Duomo S.r.l.s. - 2 dicembre 2021 [9731664]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9731664]

Ordinanza ingiunzione nei confronti di La Duomo S.r.l.s. - 2 dicembre 2021

Registro dei provvedimenti
n. 425 del 2 dicembre 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale ha preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;   

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

Nel corso del 2020 sono pervenute al Garante alcune istanze e reclami relativi alla ricezione di sms promozionali per il servizio Evo24, marchio riconducibile alla Società Omnia 24 S.r.l.. In un caso, nel testo del messaggio era indicato il nome e cognome del reclamante e il Comune di appartenenza.

In particolare, con segnalazione dell’8 maggio 2020, l’avv. XX ha lamentato la ricezione di un sms a seguito del quale ha esercitato il diritto di accesso ai dati nei confronti della Omnia 24. Quest’ultima ha risposto di aver acquisito tali dati dalla La Duomo S.r.l.s. che “ha garantito e certificato la regolarità dell’acquisizione”, assicurando di aver provveduto a cancellare i dati. L’avv. XX ha pertanto inviato alla La Duomo una richiesta di avere prova del consenso rilasciato per le finalità di marketing; in mancanza di riscontro ha inviato un sollecito il mese successivo inoltrando la pec anche a Omnia 24. Non ottenendo alcuna risposta ha inviato la segnalazione al Garante.

Con reclamo del 14 febbraio 2020, il signor XX ha lamentato la ricezione di un sms a seguito del quale ha esercitato il diritto di accesso ai dati nei confronti della Omnia 24 chiedendo di conoscere, tra l’altro, le modalità di acquisizione del consenso e l’origine dei dati. Omnia 24 ha inviato la seguente risposta: “Buongiorno, ci scusiamo per il disguido e La informiamo che non la disturberemo ulteriormente per info e promo commerciali. Cordiali saluti”. Insoddisfatto di tale riscontro, il signor XX ha reiterato con pec le sue richieste ma non ha ottenuto risposta, dovendo pertanto rivolgersi al Garante.

Nell’ambito delle istruttorie avviate dall’Ufficio sulla base delle suddette istanze, la Omnia 24 ha risposto che “la nostra società incarica aziende esterne in relazione alle attività di marketing, tra le quali l’invio di sms promozionali. Nel caso di specie, … , l’attività di marketing era stata esternalizzata alla società La Duomo Srls […] Nel fornire l’incarico richiediamo che la società esterna rispetti la normativa vigente e la stessa La Duomo Srl ci aveva garantito che le liste dei soggetti contattati erano corrette. Ci dichiariamo pertanto del tutto estranei alla vicenda”.

La società La Duomo ha dichiarato – in entrambi i casi – di aver acquisito un consenso ma di non poter fornire una prova documentale di tale acquisizione e di aver provveduto a cancellare i dati. Nessun’altra informazione è stata fornita in merito all’origine dei dati.

2. LE VIOLAZIONI RILEVATE

Sulla base delle laconiche risposte fornite, sia da Omnia 24 che da La Duomo, e in mancanza di documentazione contrattuale (mai fornita al Garante) utile a valutare complessivamente i ruoli e le responsabilità delle parti, con nota del 9 aprile 2021, consegnata con pec, è stato notificato a La Duomo l’atto di avvio del procedimento ai sensi dell’art. 166, comma 5 del Codice.

Si è tenuto conto del fatto che né Omnia 24 né La Duomo hanno fornito chiarimenti in merito al ruolo ricoperto nello specifico trattamento ma entrambe hanno dichiarato di aver preso nota dell’opposizione manifestata dai reclamanti.

Anche in mancanza di una espressa qualificazione dei ruoli è comunque possibile desumere da quanto in atti che La Duomo abbia avuto un’autonoma titolarità nel trattamento con riguardo alla fase di raccolta e comunicazione dei dati mentre, con riguardo allo specifico trattamento posto in essere per effettuare la campagna promozionale per Omnia 24, non è stato possibile accertare in concreto se la Società abbia operato come responsabile o co-titolare.

Pertanto, è stato contestato alla Società che la condotta descritta ha dato luogo all’invio di messaggi promozionali e alla comunicazione di dati a terzi senza consenso – dal momento che in entrambi i casi La Duomo ha dichiarato di non disporre della prova documentale - integrando perciò la violazione dell’art. 6, par. 1, lett. a) del Regolamento e dell’art. 130 del Codice.

Inoltre, come descritto in premessa, in un caso è stato lamentato il mancato riscontro alla richiesta di accesso ai dati presentata direttamente alla Società. Si sono pertanto ritenute integrate le violazioni degli artt. 12 e 15 del Regolamento.

Inoltre, si deve ricordare che il titolare del trattamento è tenuto a mettere in atto misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento sia effettuato in conformità al Regolamento. Nel caso di specie, invece, non risulta che la Società abbia adottato misure idonee ad acquisire il consenso degli interessati e a fornire riscontro all’esercizio dei diritti. Pertanto si è ritenuta integrata la violazione dell’art. 5, par. 2 e dell’art. 24 del Regolamento.

3. CONCLUSIONI

Preso atto che la Società non ha presentato scritti difensivi né ha richiesto di essere ascoltata dall’Autorità si ritengono confermate le violazioni contestate.

Tenuto conto del fatto che la Società non ha fornito alcuna assicurazione in merito all’origine dei dati e alle modalità di acquisizione dei consensi per finalità promozionali, si rende necessario, ai sensi dell’art. 58, par. 2, lett. f), vietare il trattamento per finalità promozionali dei dati personali di soggetti di cui non sia in grado di comprovare l’origine dei dati e l’acquisizione di un idoneo consenso al trattamento per finalità promozionali.

Inoltre, dal momento che la Società non ha fornito riscontro alla (reiterata) richiesta di un interessato, se non dopo l’intervento del Garante, si rende necessario ingiungere a La Duomo, ai sensi dell’art. 58, par. 2, lett. d), di adottare idonee procedure volte a garantire un pieno ed effettivo riscontro all’esercizio dei diritti.

Infine, con riguardo ai trattamenti già realizzati e con intento dissuasivo, si ritiene sussistano i presupposti per l’applicazione di una sanzione amministrativa pecuniaria ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento.

4. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

In base a quanto sopra rappresentato, stanti le violazioni richiamate, si rende applicabile la sanzione prevista dall’art. 83, par. 5 del Regolamento.

Ai fini della quantificazione della sanzione amministrativa il citato art. 83, par. 5, nel fissare il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore, specifica le modalità di quantificazione della predetta sanzione, che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del  Regolamento), individuando, a tal fine, una serie di elementi, elencati al par. 2, da valutare all’atto di quantificarne il relativo importo.

In adempimento di tale previsione, nel caso di specie, devono essere considerate le seguenti circostanze aggravanti:

1. la durata della violazione e la numerosità dei soggetti coinvolti dal momento che, sulla base di quanto emerso dalle segnalazioni, il trattamento si è protratto per alcuni mesi dal 2019 al 2020 e, in mancanza di assicurazioni in merito da parte della Società, ha verosimilmente interessato un elevato numero di utenze mobili (tutte quelle interessate dalle campagne promozionali);

2. il grado di responsabilità della Società che non ha dimostrato di aver posto in essere alcun accorgimento per garantire la presenza di un’idonea base giuridica per il trattamento di dati personali;

3. il grado di cooperazione mostrato nelle interlocuzioni con l’Autorità dal momento che la Società si è limitata a dichiarare di non poter documentare i consensi senza fornire alcun chiarimento in merito all’origine dei dati e al ruolo ricoperto nel trattamento.

Quali elementi attenuanti, si ritiene di dover tener conto:

1. della natura dei dati trattati, di tipo comune, e del conseguente livello di potenziale pregiudizio per gli interessati;

2. dei risultati economici registrati a bilancio nell’anno 2019 e della natura di microimpresa della Società;

3. dell’assenza di precedenti procedimenti avviati a carico della Società.

In una complessiva ottica di necessario bilanciamento fra diritti degli interessati e libertà di impresa, e in via di prima applicazione delle sanzioni amministrative pecuniarie previste dal Regolamento, occorre valutare prudentemente i suindicati criteri, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società.

Pertanto si ritiene che, in base al complesso degli elementi sopra indicati, debba applicarsi a La Duomo la sanzione amministrativa del pagamento di una somma pari a euro 20.000,00 (ventimila/00), pari allo 0,1% del massimo edittale e, in ragione degli elementi aggravanti rilevati, la sanzione accessoria della pubblicazione per intero del presente provvedimento nel sito web del Garante come previsto dall’art. 166, comma 7 del Codice e dall’art. 16 del regolamento del Garante n. 1/2019.

Si ricorda che ai sensi dell’art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto del trattamento è punito con la reclusione da tre mesi a due anni e che, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e), del Regolamento.

Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecito il trattamento descritto nei termini di cui in motivazione da parte di La Duomo S.r.l.s., con sede in Rimini, Via Eugenio Curiel 11, P.IVA n. 04155290408, e conseguentemente:

a) ai sensi dell’art. 58, par. 2, lett. f), vieta il trattamento per finalità promozionali dei dati personali di soggetti di cui non sia in grado di comprovare l’origine dei dati e l’acquisizione di un idoneo consenso al trattamento per finalità promozionali;

b) ai sensi dell’art. 58, par. 2, lett. lett. d), ingiunge di adottare idonee procedure volte a garantire un pieno ed effettivo riscontro all’esercizio dei diritti;

ORDINA

a La Duomo S.r.l.s., con sede in Rimini, Via Eugenio Curiel 11, P.IVA n. 04155290408, di pagare la somma di euro 20.000,00 (ventimila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 20.000,00 (ventimila/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

a) ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate;

b) ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento nel sito web del Garante.

Il Garante, ai sensi dell’art. 58, par. 1, del Regolamento (UE) 2016/679, invita altresì il titolare del trattamento, a comunicare entro 30 giorni dalla data di ricezione del presente provvedimento, quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel presente provvedimento e di fornire comunque riscontro adeguatamente documentato. Si ricorda che il mancato riscontro alla richiesta ai sensi dell’art. 58 è punito con la sanzione amministrativa di cui all'art. 83, par. 5, lett. e), del Regolamento (UE) 2016/679.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 2 dicembre 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei