g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Alfa Shipyard s.r.l. - 10 marzo 2022 [9771574]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9771574]

Ordinanza ingiunzione nei confronti di Alfa Shipyard s.r.l. - 10 marzo 2022*

Registro dei provvedimenti
n. 83 del 10 marzo 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTA la segnalazione presentata al Garante concernente il trattamento di dati personali effettuato da Alfa Shipyard S.r.l.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. Il reclamo nei confronti della società e l’attività istruttoria.

Con segnalazione presentata a questa Autorità dal sig. XX, in data 26 novembre 2019, sono state lamentate presunte violazioni del Regolamento (Ue) 2016/679 (di seguito “RGPD”), con riferimento al mancato riscontro, da parte della società Alfa Shipyard S.r.l. (di seguito Società), all’esercizio dei diritti in materia di protezione dei dati personali (con particolare riferimento alla richiesta di cancellazione dei dati).

A seguito dell’istruttoria effettuata del Dipartimento, è stato adottato il provvedimento n. 166 del 29 aprile 2021, notificato alla Società, via posta elettronica certificata, in data 13 maggio 2021, con cui l’Autorità, oltre a disporre l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 2 del Regolamento, ha ingiunto alla stessa di “soddisfare le richieste del segnalante ai sensi dell’art. 12 del Regolamento e conformare ai principi di liceità i trattamenti effettuati”, ai sensi dell’art. 58, par. 2, lett. c) e d) del Regolamento, fornendo “un riscontro conclusivo e inequivocabile all’interessato” e “assicurando di aver adottato tutte le misure necessarie per impedire l’inoltro di ulteriori comunicazioni al segnalante”, entro il termine di 60 giorni dal ricevimento del provvedimento stesso.

2. Il mancato adempimento alle prescrizioni del Garante.

Decorso il termine stabilito, senza che alcun riscontro fosse pervenuto all’Autorità e al segnalante (come dallo stesso comunicato), il Dipartimento invitava la Società, ai sensi dell’art. 157 del Codice, con comunicazione inviata via posta elettronica certificata in data 26/07/2021 (riferimento di protocollo 39080), a informare l’Autorità circa l’adempimento alla prescrizione contenuta nel provvedimento. La predetta nota risulta regolarmente trasmessa al destinatario, come da ricevute del servizio di posta elettronica certificata, agli atti del procedimento.

In considerazione della mancata risposta alla richiesta di informazioni regolarmente notificata, in data 26/08/2021 il Dipartimento ha notificato ad Alfa Shipyard S.r.l., ai sensi dell’art. 166 comma 5 del d.lgs. n. 196/2003, la comunicazione di avvio del procedimento sanzionatorio, ribadendo l’esigenza di acquisire le informazioni richieste. Anche questa comunicazione risulta regolarmente trasmessa al destinatario, come da ricevute del servizio di posta elettronica certificata, agli atti del procedimento.
In considerazione della mancata risposta da parte della Società, il 4 ottobre 2021 veniva delegata, al Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza, l’acquisizione delle informazioni presso la Società.

In data 14 ottobre 2021, il Nucleo provvedeva a effettuare l’accertamento presso la sede della Società. Nell’ambito del verbale redatto dal Nucleo, l’avv.XX (che ha rappresentato la Società su delega del legale rappresentante, giusta procura del 14 ottobre 2021, acquisita agli atti), ha dichiarato che la Società non aveva dato, al sig. XX, il riscontro richiesto dal provvedimento del Garante n. 166 del 29 aprile 2021 (regolarmente notificato e conosciuto dalla Società medesima), in quanto non era in possesso di alcun suo riferimento “salvo l’indirizzo e-mail utilizzato dal segnalante in data 24 ottobre 2019, indirizzo, quest’ultimo non certificato”.

Di conseguenza, solo a seguito dell’intervento del Nucleo, la Società provvedeva, in data 21 ottobre 2021, a inviare all’interessato (al predetto indirizzo e-mail) una comunicazione con la quale si dichiarava che la Società non aveva “mai avuto nei propri archivi nessun dato personale” a lui riconducibile.

Quanto alla mancata collaborazione nei confronti dell’Autorità, consistita nella mancata risposta alle richieste di informazioni inviate dal Dipartimento, l’avv. XX ha riferito genericamente che tali omissioni erano state la conseguenza degli impegni connessi alla cessione di un ramo di azienda ad altra società e all’esiguità del personale.

Nell’ambito degli accertamenti effettuati dal Nucleo, l’avv. XX ha inoltre aggiunto che il suo riscontro alle richieste istruttorie del Dipartimento del 18 dicembre 2020, inoltrato all’Autorità successivamente alla prima notifica di violazione per mancato riscontro al Garante (prot.38045/20), era stato “erroneo e superficiale riferendo che il sig. XX era stato cancellato dal database (risposta imprecisa, in quanto il segnalante non è stato mai cliente di Alfa Shipyard S.r.l.) e addebitando l’inoltro della mail ad uno spam che avrebbe colpito il server di posta della Società”. Con riguardo a tale ultimo punto, a verbale è stato poi riferito che l’invio della e-mail al sig. XX sarebbe invece stato riconducibile al sig. XX, libero professionista, procacciatore d’affari della Società, ma non strutturalmente inquadrato in essa.
Si rappresenta inoltre che l’interessato (sig. XX), a seguito del riscontro ricevuto dalla Società dopo gli accertamenti ispettivi, il 21 ottobre 2021, ha inviato all’Ufficio alcune comunicazioni (tra cui un’e-mail del 21 ottobre 2021, prot. 53142) con le quali ha contestato le affermazioni dell’Avv. XX, sottolineando, a differenza di quanto invece sostenuto dalla Società nel procedimento, di aver ricevuto più di una e-mail da diverse persone appartenenti alla società, allegando, a sostegno di quanto rappresentato, alcuni scambi di e-mail intercorsi con altre persone appartenenti al “Management della Società” (signori XX e XX), avvenuti sempre nel 2016.

Sulla base di quanto emerso dagli accertamenti effettuati, con nota prot. n. 60437 del 3 dicembre 2021 il Dipartimento ha notificato alla Società, ai sensi dell’art. 166, comma 5, del Codice, l’avvio di un ulteriore procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, e delle sanzioni di cui all’art. 83 del RGPD, in quanto la Società non ha fornito, come espressamente richiesto, entro il termine di 60 giorni dal ricevimento del provvedimento, “un riscontro conclusivo e inequivocabile all’interessato, assicurando di aver adottato tutte le misure necessarie per impedire l’inoltro di ulteriori comunicazioni al segnalante” né ha informato l’Autorità delle ragioni di tale inadempimento, costringendo così il Dipartimento all’invio di richieste di informazioni, alle quali non ha risposto, e a richiedere uno specifico accertamento in loco al Nucleo speciale della Guardia di finanza al fine di chiarire la situazione.

La condotta tenuta dalla Società Alfa Shipysard S.r.l. risulta quindi in contrasto con l’obbligo di uniformarsi alle prescrizioni stabilite dall’Autorità di controllo e in particolare con quanto specificamente indicato nel provvedimento correttivo del 29 aprile 2021 n. 166, regolarmente notificato e conosciuto dalla stessa Società e con il generale dovere di cooperazione con l’autorità di controllo nell’esecuzione dei suoi compiti, previsto dall’art. 31del Regolamento.

3. Contenuto della memoria difensiva inviata dalla Società.

In relazione alle due distinte notifiche di violazioni inviate, rispettivamente il 26/08/2021 e il 3 dicembre 2021, la società ha inviato un’unica memoria difensiva, in data 23 dicembre 2021, nella quale ha sinteticamente rappresentato, per quanto di interesse del procedimento:

di essere vittima di una segnalazione illegittima operata dal sig. XX al Garante per la protezione dei dati personali in quanto lo stesso ammetterebbe, “con email datata 24 ottobre 2019, spedita dall’indirizzo non certificato seasidemc@hotmail.com […] di avere “ricevuto recentemente una email dal Vs. titolare o ex titolare Sig. XX” e dunque, non da Alfa Shipyard s.r.l.;

che il sig. XX “ammette che la email da lui ricevuta sarebbe pervenuta dall’account del sig. XX” e che “L’unico dato in possesso di Alfa Shipyard s.r.l. è l’indirizzo email seasidemc@hotmail.com al quale, nel termine assegnato dal Nucleo Speciale Tutela Privacy e Frodi Tecnologiche, è stata regolarmente inviata comunicazione con cui si informava il reclamante che la scrivente società non aveva mai avuto alcun suo dato sensibile, fatta eccezione per la predetta email non certificata ricevuta dallo stesso XX per lamentarsi di una comunicazione ricevuta dal sig. XX”;

che il sig. “XX, come da documentazione prodotta al Nucleo Speciale Tutela Privacy e Frodi Tecnologiche è un libero professionista che senza alcun vincolo di subordinazione o di esclusiva opera come procacciatore autonomo anche a favore di Alfa Shipyard s.r.l.. Ogni comunicazione da quest’ultimo inviata al sig. XX non può essere considerata come proveniente da Alfa Shipyard s.r.l.”.

Nell’ambito della memoria difensiva la Società ha anche chiesto un “incontro […] affinché lo scrivente [XX] possa ulteriormente chiarire tutta la vertenza”. Nonostante la società sia stata formalmente invitata all’audizione (mediante invio di una nota del 7 gennaio 2022) non ha tuttavia risposto nel termine richiesto (vedi nota del 21 gennaio 2022 – prot. 4625 - in atti).

4. L’esito del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

All’esito dell’accertamento compiuto dal Nucleo speciale della Guardia di finanza e dei fatti emersi a seguito dell’attività istruttoria, emerge un quadro di generale negligenza, da parte della Società, circa il rispetto delle basilari disposizioni in materia di protezione dei dati personali, sia con riferimento ai diritti dell’Interessato, sia per quanto attiene alla leale cooperazione con l’Autorità di controllo al fine di porre rimedio alle violazioni accertate e per attenuare i possibili effetti negativi delle stesse.

In primo luogo, risulta accertato che la Società non ha risposto alla richiesta di informazioni inviata dal Dipartimento in data 26/07/2021 (riferimento di protocollo 39080). Al riguardo, né nel verbale di operazioni compiute redatto dal Nucleo, né nelle memorie difensive la Società ha fornito alcuna spiegazione. In base al citato articolo 157 del Codice “Nell'ambito dei poteri di cui all'articolo 58 del Regolamento, e per l'espletamento dei propri compiti, il Garante può richiedere al titolare, […] di fornire informazioni e di esibire documenti”.

L’art. 166, comma 2, del Codice stabilisce al riguardo che la violazione dell’art. 157 del Codice è soggetta alla sanzione amministrativa di cui all’articolo 83, par. 5, del Regolamento.

Risulta parimenti accertato che Alfa Shipyard S.r.l. non ha ottemperato, essendovi tenuta, a quanto prescritto dal provvedimento del Garante del 29 aprile 2021, regolarmente notificato e conosciuto dalla Società.

In particolare la Società non ha fornito “un riscontro conclusivo e inequivocabile all’interessato, assicurando di aver adottato tutte le misure necessarie per impedire l’inoltro di ulteriori comunicazioni al segnalante” entro il termine di 60 giorni dal ricevimento del provvedimento, né ha informato l’Autorità delle ragioni di tale inadempimento.

La circostanza, rappresentata dalla Società, nel verbale di operazioni compiute, di non aver provveduto a quanto ingiunto dal Garante perché “non avevamo rinvenuto alcun suo riferimento [del sig. XX] salvo l’indirizzo email utilizzato dal segnalante in data 24 ottobre 2019, indirizzo quest’ultimo non certificato” non costituisce una causa esimente per due ordini di motivi.

In primo luogo, perché anche l’indirizzo di posta elettronica ordinaria costituiva un riferimento valido per effettuare all’interessato le comunicazioni richieste dal provvedimento del Garante; prova ne è che, dopo l’accertamento ispettivo del Nucleo, in data 21 ottobre 2021, la Società ha provveduto a inviare al sig. XX una comunicazione all’indirizzo di posta elettronica ordinaria dell’interessato (seasidemc@hotmail.com) e il messaggio è stato regolarmente ricevuto dallo stesso, tanto è vero che ha il sig. XX ha replicato.

In secondo luogo, anche nel caso in cui la Società avesse avuto incertezze sulle modalità dell’adempimento, avrebbe potuto contattare l’Autorità e rappresentare i propri dubbi, cosa che invece non ha fatto.

Nella memoria difensiva, la Società, anziché fornire elementi in ordine alle violazioni notificate dal Dipartimento inviate il 26/08/2021 e il 3 dicembre 2021 (relative alla mancata risposta alla richiesta di informazioni e al mancato adempimento al provvedimento), ha fornito invece un nuovo riscontro (e diverso da quello fornito nell’ambito del procedimento conclusosi con l’adozione del provvedimento n. 166 del 29 aprile 2021), rispetto al merito della segnalazione presentata dal sig. XX il 26 novembre 2019.

Ciò si ricollega a quanto dichiarato dall’avv. XX, nel verbale di operazioni compiute redatto dal Nucleo, nel quale il legale della Società definisce il riscontro inviato al Garante, a suo tempo nell’ambito del procedimento, “erroneo e superficiale riferendo che il sig. XX era stato cancellato dal database (risposta imprecisa, in quanto il segnalante non è stato mai cliente di Alfa Shipyard S.r.l.) e addebitando l’inoltro della mail ad uno spam che avrebbe colpito il server di posta della Società”. Secondo tale nuova ricostruzione, essendo l’invio della e-mail al sig. XX avvenuto da parte di un libero professionista che operava, secondo quanto rappresentato, senza vincolo di subordinazione o di esclusiva, come procacciatore della Alfa Shipyard s.r.l. (XX), tale circostanza escluderebbe il coinvolgimento della Società dalla vicenda oggetto del procedimento.

Premesso che tale circostanza non attiene al merito del presente procedimento, essa non appare di per sé neanche dirimente, diversamente da quanto ritenuto dalla Società, ai fini della definizione della titolarità del trattamento dei dati, potendo anche soggetti, giuridicamente distinti dal titolare, effettuare trattamenti per suo conto. Ciò in particolare con riferimento allo specifico contenuto della e-mail inviata a suo tempo dal sig. XX che riguardava lavori di ripristino di un’imbarcazione. Resta invece confermato il fatto che la Società ha trattato dati del signor XX, in occasione di varie interlocuzioni avvenute con lui via e-mail in relazione a questioni attinenti lavori relativi sempre alla medesima a un’imbarcazione, in rapporto ai quali, come stabilito dal provvedimento n. 166, del 29 aprile 2021, a fronte dell’esercizio del diritto da parte dello stesso, non ha ottemperato all’obbligo di fornire tempestivamente riscontro all’interessato circa le iniziative adottate, così come prescritto dall’art. 12 del Regolamento, in base al quale “il titolare del trattamento fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa”.

Risulta quindi comprovato che la Alfa Shipyard s.r.l. non ha osservato un ordine da parte dell’autorità di controllo, formulato ai sensi dell’art. 58, paragrafo 2 del Regolamento e riportato nel dispositivo del provvedimento n. 166, del 29 aprile 2021 (regolarmente notificato). In relazione a tale violazione è applicabile la sanzione prevista dall’articolo 83, par. 6, del Regolamento.

5. Ordinanza ingiunzione.

All’esito del complesso procedimento risulta quindi che Alfa Shipyard s.r.l. ha violato gli artt. 83, comma 6 del Regolamento e 157 del Codice. Per la violazione delle predette disposizioni è prevista l’applicazione delle sanzioni amministrative rispettivamente previste dall’art. 83, par. 6 e 5, del Regolamento.

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave” e considerato che le violazioni del Regolamento accertate hanno pari gravità, essendo il massimo edittale della pena pecuniaria di entrambe fissato nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore.

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

con riguardo alla natura, alla gravità e alla durata della violazione, si osserva che la violazione è da considerarsi rilevante, essendo riferita alla mancata ottemperanza di un provvedimento dell’Autorità, regolarmente notificato e al mancato riscontro alle richieste istruttorie del Dipartimento, circostanza quest’ultima che ha allungato i tempi del procedimento e ha comportato un dispendio di risorse pubbliche per l’effettivo accertamento dei fatti che ha richiesto l’intervento del Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza;

con riferimento alla durata della violazione, si osserva che essa si è protratta, con riferimento all’inosservanza di un ordine da parte dell’Autorità, per il lasso di tempo intercorso tra la scadenza del termine per adempiere alla prescrizione, indicato nel provvedimento (60 giorni dalla notifica avvenuta via p.e.c. il 13 maggio 2021) e la data di invio della comunicazione all’interessato, avvenuta il 21 ottobre 2021; per quanto riguarda invece la richiesta di informazioni, per il lasso di tempo intercorso tra il termine indicato nella stessa (15 giorni dalla ricezione, avvenuta il 26 luglio 2021 essendo stata trasmessa via posta elettronica certificata) e la data dell’accertamento effettuato dal Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza il 14 ottobre 2021;

con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare, è stato preso in considerazione il comportamento della Società nell’ambito di tutto il procedimento con riferimento agli inadempimenti contestati;

rispetto al grado di cooperazione con l’Autorità di controllo, è stata valutata la mancata collaborazione della Società in tutte le fasi del procedimento; 

per quanto riguarda infine la presenza di precedenti specifici a carico della società, si è tenuto conto del contenuto del provvedimento n. 166, del 29 aprile 2021.

Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), le condizioni economiche del contravventore, determinate con specifico riferimento ai ricavi conseguiti dalla società con riferimento al bilancio d’esercizio per l’anno 2020.

Alla luce del complesso degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Alfa Shipyard s.r.l. la sanzione amministrativa del pagamento di una somma pari ad euro 10.000 (diecimila).

In tale quadro si ritiene, altresì, in considerazione delle tipologie di violazione accertate, che hanno riguardato l’inosservanza di un ordine dell’Autorità e l’omesso riscontro alle richieste istruttorie della stessa, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante.

Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

dichiara l’illiceità della condotta tenuta da Alfa Shipyard s.r.l. ai sensi dell’art. 143 del Codice, per la violazione dell’art. 83, par. 6 del Regolamento e per la violazione dell’art. 157 del Codice;

ORDINA

ad Alfa Shipyard s.r.l., con sede legale in Piazzale Nizza n. 3, Milano PI: 07218580962, ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, di pagare la somma di euro 10.000 (diecimila), a titolo di sanzione amministrativa pecuniaria per le violazioni facenti capo rispettivamente alla violazione dell’art. 83, par. 6 e all’all’omesso riscontro alle richieste di informazioni formulate dall’Autorità, ai sensi dell’art. 157 del Codice;

INGIUNGE

altresì alla medesima Società di pagare la somma di euro 10.000 (diecimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1/9/2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019, e ritiene che ricorrano i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 10 marzo 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei

 

*Il provvedimento è stato impugnato