[doc. web n. 9880336]

Provvedimento prescrittivo e sanzionatorio nei confronti di Aesse S.r.l.s. - 9 marzo 2023

Registro dei provvedimenti
n. 71 del 9 marzo 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale ha preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018 n. 101, recante disposizioni per l'adeguamento dell’ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;   

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

Con il reclamo del 5 aprile 2022, presentato a questa Autorità ai sensi dell’art. 77 del Regolamento, il signor XX ha lamentato la ricezione, l’8 marzo precedente, di una telefonata indesiderata avente ad oggetto la promozione di servizi di manutenzione caldaie offerti da Aesse S.r.l.s. (di seguito «Società»; «Aesse»).

Il reclamante ha dichiarato di non aver mai conferito il consenso alla ricezione della citata comunicazione promozionale ed ha lamentato il riscontro evasivo e generico che la Società avrebbe fornito in merito alla richiesta di conoscere l’origine dei dati personali. In particolare, nella comunicazione del 24 marzo 2022, Aesse non ha saputo indicare specificatamente il soggetto da cui avrebbe acquisito i dati personali dell’interessato, dichiarando genericamente di aver ricevuto da società terze, impegnate nella commercializzazione dei dati, “pacchetti di numeri con relativi nominativi” asseritamente raccolti in occasione di contratti gas e luce. A corredo di tale riscontro ha allegato due fatture rilasciate da XX e XX (XX), dalle quali si evincerebbe la compravendita di numerazioni telefoniche alla Aesse. 

L’Ufficio, in data 8 aprile 2022, ha formulato una richiesta di informazioni, ai sensi dell’art. 157 del Codice, al fine di acquisire maggiori elementi di valutazione con particolare riferimento alla documentazione attestante l’effettivo rilascio del consenso da parte del reclamante per finalità promozionali e l’origine dei dati personali dello stesso. Non essendo pervenuta alcuna risposta nei termini richiesti, il 2 maggio 2022, la Società è stata contattata al recapito telefonico presente nella pagina dei contatti del relativo sito internet. Nonostante le assicurazioni fornite nel corso della telefonata in merito ad una pronta risposta entro il 5 maggio successivo, la Società ha fornito riscontro solamente il 23 maggio 2022, peraltro utilizzando un indirizzo errato, tant’è che lo stesso è entrato nella disponibilità dell’Ufficio il 1° giugno 2022, veicolato dal reclamante.

Aesse ha motivato il ritardo nella risposta con l’esigenza di “approfondire la normativa per cercare di comprendere le ragioni alla base del reclamo” ed ha dichiarato di aver acquisito dalla società XX (di seguito «XX»), con sede in XX, una lista di anagrafiche e numerazioni contattabili per finalità di marketing sulla base di uno specifico consenso; in particolare, tale società avrebbe garantito alla Aesse che i nominativi presenti nelle liste erano consensati e che potevano, quindi, essere utilizzati per finalità di marketing. Al riguardo, la Società ha trasmesso all’Autorità un file Excel, rubricato “Aesse 15_03_2021”, con tutti i nominativi e i numeri telefonici dei soggetti contattabili. Il file in parola, nel quale sono riportati molteplici dati personali di soggetti terzi (quali: numero di cellulare; nominativo; indirizzo; cap; comune; provincia; sesso e anno di nascita), è stato inviato anche al reclamante.

2. LA CONTESTAZIONE

Alla luce di quanto emerso dall’istruttoria preliminare, sulla base della documentazione complessivamente acquisita, il 28 ottobre 2022 è stata notificata ad Aesse la comunicazione di avvio del procedimento, ai sensi dell’art. 166, comma 5, del Codice, con la quale è stata contestata alla Società la presunta violazione delle seguenti disposizioni del Regolamento:

artt. 5, par. 1, lett. a), 6, par. 1, lett. a) e 7 del Regolamento e 130 del Codice, per aver acquisi-to liste di anagrafiche da XX, per finalità di marketing, in assenza del prescritto con-senso reso dagli interessati: la Società, infatti, non ha prodotto documentazione idonea a di-mostrare la liceità dell’acquisizione delle liste anagrafiche da XX;

artt. 13 e 14 del Regolamento per non aver reso agli interessati, i cui dati sono stati acquisiti da XX, una idonea informativa in relazione ai trattamenti per finalità di marketing;

artt. 12 e 15 del Regolamento, per non aver fornito al reclamante un completo riscontro alla richiesta di esercizio del diritto di accesso dal medesimo presentata;

artt. 5, par. 1, lett. a), 6, par. 1, lett. a) e 7 del Regolamento, per aver comunicato al reclaman-te i dati dei soggetti presenti nelle liste anagrafiche acquisite da XX, in assenza di un idoneo consenso.

3. MEMORIE DIFENSIVE DELLA SOCIETÀ

Con le memorie difensive inoltrate il 23 dicembre 2022, la Società ha chiesto a questa Autorità l’archiviazione del procedimento avviato nei suoi confronti in ragione dell’assoluta buona fede riscontrata nel conferire l’incarico a XX in un momento di grande difficoltà economica determinata dall’emergenza pandemica.

Confidando nelle garanzie offerte da tale società nel settore del telemarketing, ed avendo ottenuto preventivamente rassicurazioni circa lo svolgimento dell’attività verso utenze consensate, Aesse ha ritenuto di non dover procedere con alcun ulteriore adempimento che andasse oltre le interlocuzioni verbali funzionali all’accordo. Peraltro, “la circostanza che la società XX, pur con sede in XX, operasse con personale italiano con cui vi sono stati diversi contatti, è sembrata idonea e sufficiente garanzia del corretto svolgimento della operazione”.

Infine Aesse, nel rappresentare “che l’attività di telemarketing non è più in atto”, ha precisato che i contatti effettuati verso le utenze fornite da XX non erano finalizzati a concludere contratti ma soltanto a promuovere servizi della Società (in particolare la manutenzione della caldaia a 60 euro). “La persona contattata - se interessata –“, ha sostenuto, “avrebbe potuto richiedere ulteriori informazioni, diversamente la telefonata si sarebbe conclusa […] ed il nominativo depennato. […] In questa logica è avvenuta anche la telefonata con il reclamante il cui nominativo – come da sua richiesta – è stato immediatamente depennato dalla lista fornitaci, così come quello di coloro che riferivano di non essere interessati ai nostri servizi”.

4. VALUTAZIONI DI ORDINE GIURIDICO

Come già emerso in premessa (par. 1), si osserva che Aesse, titolare del trattamento, non ha adottato alcuna precauzione nell’acquisizione dei dati da XX né ha fornito documentazione idonea a dimostrare la liceità di tali liste anagrafiche e non ha nemmeno presentato elementi in ordine alle modalità di raccolta del consenso da parte della società spagnola. Affidandosi alle garanzie professionali offerte dalla XX, e confidando negli esiti positivi della collaborazione instaurata, Aesse non ha esercitato alcun potere di controllo che andasse oltre le interlocuzioni verbali di prassi. Infatti, non risulta che la Società abbia richiesto ai propri partner commerciali la documentazione comprovante la sussistenza dei requisiti di liceità del trattamento, quali l’origine dei dati, l’informativa resa e i consensi acquisiti dagli interessati destinatari della campagna promozionale, né che abbia effettuato tali verifiche in altro modo. Peraltro, dalle iniziali interlocuzioni con il reclamante, emergerebbe una profonda lacuna nell’individuazione dell’effettivo fornitore dei dati di cui sono state comunicate le generalità soltanto dopo l’intervento dell’Autorità; inizialmente, infatti, come documentato dall’interessato nella corrispondenza allegata al reclamo, la Società non avrebbe saputo indicare il soggetto dal quale avrebbe acquisito i dati personali oggetto di contatto (cfr. riscontro del 24 marzo 2022: “non sappiamo dirle se il suo nominativo ci sia giunto dall’una o dall’altra società”). Ne consegue che, come contestato, Aesse ha effettuato una raccolta di dati personali, utilizzati poi per contatti promozionali, senza aver acquisito il consenso o la prova del consenso degli interessati.

Le argomentazioni avanzate in sede di memoria difensive, peraltro, non consentono di superare le criticità emerse nell’atto di contestazione, né l’eventuale registrazione del diniego espresso dall’interessato nel corso del contatto telefonico può sanare la carenza del consenso preventivo, quale base giuridica dell’attività promozionale. Ne deriva che i contatti effettuati dalla Società per la promozione di propri prodotti e servizi sono risultati in contrasto con il fondamentale principio di autodeterminazione dell’interessato in ordine al trattamento dei suoi dati personali che si manifesta proprio nel correlato adempimento del consenso preventivo, libero, specifico e documentato per la citata finalità commerciale (v. provv. 10 febbraio 2021, n. 49, doc. web n. 9756869).

Aesse, inoltre, non ha reso la necessaria informativa al reclamante, né in occasione del contatto lamentato, né successivamente nel riscontro fornito all’istanza avanzata dal medesimo interessato prima della proposizione del reclamo, dal momento che la denominazione sociale del soggetto fornitore dei dati è stata comunicata solo dopo l’intervento dell’Autorità. Peraltro, con riguardo a quest’ultimo aspetto, si osserva che la risposta fornita all’Ufficio alla richiesta di informazioni non ha chiarito i presupposti di liceità che avrebbero legittimato la disponibilità dei dati in capo a XX. Si deve osservare, inoltre, che in assenza di informativa sui trattamenti effettuati da Aesse anche gli eventuali consensi asseritamente acquisiti dal fornitore devono ritenersi non validi. In tale modo è stato impedito all’interessato di esercitare un effettivo controllo sui trattamenti svolti con i suoi dati.

Pertanto, si ritiene integrata la violazione degli artt. 5, par. 1, lett. a), 6, par. 1, lett. a), 7, 13, 14 del Regolamento e dell’art. 130 del Codice.

Deve inoltre confermarsi la violazione di cui agli artt. 12 e 15 del Regolamento, in ragione dell’inidoneo riscontro della Società alla richiesta di esercizio del diritto di accesso da parte del reclamante.

Va infine osservato che l’invio al reclamante del file Excel contenente 5.776 anagrafiche “contattabili” per finalità promozionali, ha comportato una indebita comunicazione di dati personali a terzi. La Società avrebbe dovuto circoscrivere il riscontro ai soli dati relativi al reclamante che, peraltro, da una verifica nominale e del numero telefonico, non risultano presenti nella lista in parola. Inoltre, tale lista, nella quale sono riportati molteplici dati personali (quali: numero di cellulare; nominativo; indirizzo; cap; comune; provincia; sesso e anno di nascita), appare priva di ogni riferimento che consenta di contestualizzare la volontà asseritamente espressa dagli interessati di essere contattati per fini di marketing ovvero di opporsi al trattamento, impedendo qualunque accertamento in merito alla liceità dei contatti promozionali. Peraltro, vista la rubrica del file in questione - “Aesse 15_03_2021” –, è possibile ritenere che i dati acquisiti nel marzo 2021 siano stati conservati per almeno un anno, dal momento che la telefonata lamentata dal reclamante risalirebbe a marzo 2022, in assenza di una ragione giustificativa ed in particolare di una base giuridica che ne legittimasse la conservazione medesima.

Deve, quindi, confermarsi la contestazione di un ulteriore trattamento illecito: la comunicazione a terzi delle liste anagrafiche in possesso della Società, in contrasto con il già richiamato principio di cui all’art. 5, par. 1, lett. a), nonché con gli artt. 6, par. 1, lett. a) e 7 del Regolamento.

5. CONCLUSIONI

Alla luce delle argomentazioni di cui al punto 4 del presente provvedimento, si ritengono confermate le violazioni contestate e si rende necessario ingiungere a Aesse, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, qualora intenda in futuro indirizzare l’attività promozionale verso utenze telefoniche fornite da terzi, di adottare idonee procedure volte a:

- definire e regolare il ruolo dei partner contrattuali nell’ambito del trattamento dei dati, con particolare riguardo alle finalità di marketing;

- verificare costantemente, anche mediante adeguati controlli a campione, che i dati personali siano trattati nel pieno rispetto delle disposizioni in materia (acquisizione preventiva di un consenso libero, specifico, inequivocabile, documentato, oltre che informato, degli interessati per l’invio di comunicazioni commerciali), ai sensi degli artt. 5, par. 1, lett. a), 6, par. 1, lett. a), 7, 13, 14 del Regolamento e dell’art. 130 del Codice;

- fornire agli interessati un’idonea informativa, ai sensi dell’art. 13 del Regolamento;

- garantire un pieno ed effettivo riscontro all’esercizio dei diritti, ai sensi degli artt. 12 e 15 del Regolamento.

Inoltre, considerato che la Società ha assicurato di aver cessato l’attività di telemarketing, non si ritiene necessario imporre ulteriori prescrizioni ma, con riguardo ai dati acquisiti da XX, si ingiunge a Aesse, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, il divieto di trattamento e, per l’effetto, si impone l’eliminazione dai propri sistemi del file excel “Aesse 15_03_2021” contenente numerazioni conservate per almeno un anno in assenza di una ragione giustificativa.

Infine, con riguardo ai trattamenti già realizzati e alla mancanza di idonee misure a garanzia degli stessi, si ritiene sussistano i presupposti per l’applicazione di una sanzione amministrativa pecuniaria ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento.

6. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

In base a quanto sopra rappresentato, risultano violate varie disposizioni del Regolamento e del Codice in relazione a trattamenti collegati effettuati da Aesse, per cui occorre applicare l’art. 83, par. 3, del Regolamento, in base al quale “se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento viola, con dolo o colpa, varie disposizioni del Regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave” con conseguenziale applicazione della sola sanzione prevista dall’art. 83, par. 5, del Regolamento.

Ai fini della quantificazione della sanzione amministrativa il citato art. 83, par. 5, del Regolamento, nel fissare il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore, specifica le modalità di quantificazione della predetta sanzione, che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1, del Regolamento), individuando, a tal fine, una serie di elementi, elencati al par. 2, da valutare all’atto di quantificarne il relativo importo.

In adempimento di tale previsione, ipotizzato, sulla base delle informazioni economiche disponibili, il ricorrere della prima ipotesi prevista dal citato art. 83, par. 5, del Regolamento e quantificato quindi in 20 milioni di euro il massimo edittale applicabile, devono essere considerate le seguenti circostanze aggravanti:

1. l’elevato numero dei soggetti coinvolti nel trattamento contestato (i cui dati sono riportati nel file Excel “Aesse 15_03_2021) per i quali la Società non è stata in grado di comprovare i requisiti di liceità per l’attività promozionale (quali: origine dei dati, informativa e consen-so) (art. 83, par. 2, lett. a del Regolamento);

2. la dimensione soggettiva della condotta, da ritenersi gravemente colposa, con particolare riferimento alla perdurante sostanziale elusione delle informazioni richieste sia dall’interessato che dall’Autorità, nonché con riferimento all’inadeguatezza del controllo sulla filiera del trattamento (art. 83, par. 2, lettere b e d del Regolamento);

3. il non adeguato grado di cooperazione mostrato nelle interlocuzioni con l’Autorità avendo la Società riscontrato tardivamente, nonostante il sollecito dell’Ufficio, la richiesta di in-formazioni ex art. 157 del Codice e comunque non avendo fornito nella risposta informa-zioni necessarie ad una valutazione adeguata dei trattamenti (art. 83, par. 2, lett. f del Re-golamento);

4. la difformità della condotta della Società rispetto alla consistente attività provvedimentale dell’Autorità in materia di marketing (art. 83, par. 2, lett. k del Regolamento).

Quali elementi attenuanti, si ritiene di dover tener conto:

1. dell’assenza di precedenti procedimenti avviati a carico della Società (art. 83, par. 2, lett. e del Regolamento);

2. dell’interruzione dell’attività di telemarketing a seguito della contestazione dell’Autorità (art. 83, par. 2, lett. c del Regolamento);

3. la complessiva valutazione sulla capacità economica della Società, con particolare riferi-mento anche all’ultimo bilancio disponibile relativo all’anno 2021 (art. 83, par. 2, lett. k del Regolamento).

In base al complesso degli elementi sopra indicati, in applicazione dei richiamati principi di effettività, proporzionalità e dissuasività di cui all’art. 83, par. 1, del Regolamento, tenuto conto, altresì, del necessario bilanciamento fra diritti degli interessati e libertà di impresa, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società, si ritiene debba applicarsi a Aesse – anche tenendo in considerazione altri casi analoghi - la sanzione amministrativa del pagamento di una somma di euro 3.000,00 (tremila/00), pari allo 0,015% della sanzione edittale massima di 20 milioni di euro.

Nel caso in argomento si ritiene che debba applicarsi, altresì, la sanzione accessoria della pubblicazione nel sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della materia oggetto di istruttoria, vale a dire il fenomeno del marketing indesiderato, rispetto al quale questa Autorità ha adottato numerosi provvedimenti sia a carattere generale sia diretti a determinati titolari del trattamento e su cui è elevata l’attenzione dell’utenza.

Si ricorda che ai sensi dell’art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto del trattamento è punito con la reclusione da tre mesi a due anni e che, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e) del Regolamento.Ricorrono, infine, i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f) del Regolamento, dichiara illecito il trattamento effettuato da Aesse S.r.l.s., con sede legale in Sarzana (La Spezia), via Cisa 208, P.IVA 01418000111, descritto nei termini di cui in motivazione; pertanto dichiara fondato il reclamo e, altresì, determina i seguenti provvedimenti correttivi nei confronti della medesima Società:

a) ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, vieta ogni ulteriore trattamento per finalità promozionali dei dati personali acquisiti da XX e, per l’effetto, impone l’eliminazione dai propri sistemi del file excel “Aesse 15_03_2021” contenente numerazioni conservate per almeno un anno in assenza di una ragione giustificativa;

b) ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiunge a Aesse, qualora intenda in futuro indirizzare l’attività promozionale verso utenze telefoniche fornite da terzi, di adottare idonee procedure volte a:

- definire e regolare il ruolo dei partner contrattuali nell’ambito del trattamento dei dati, con particolare riguardo alle finalità di marketing;

- verificare costantemente, anche mediante adeguati controlli a campione, che i dati personali siano trattati nel pieno rispetto delle disposizioni in materia (acquisizione preventiva di un consenso libero, specifico, inequivocabile, documentato, oltre che informato, degli interessati per l’invio di comunicazioni commerciali), ai sensi degli artt. 5, par. 1, lett. a), 6, par. 1, lett. a), 7, 13, 14 del Regolamento e dell’art. 130 del Codice;

- fornire agli interessati un’idonea informativa, ai sensi dell’art. 13 del Regolamento;

- garantire un pieno ed effettivo riscontro all’esercizio dei diritti, ai sensi degli artt. 12 e 15 del Regolamento;

c)  ai sensi dell’art. 157 del Codice, ingiunge alla Società di comunicare all’Autorità, nel termine di 30 giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alle misure imposte; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5 lett. e) del Regolamento.

ORDINA

ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, a Aesse S.r.l.s., in persona del suo legale rappresentante, di pagare la somma di euro 3.000,00 (tremila/00), a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 3.000,00 (tremila/00) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente   provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981;

DISPONE

quale sanzione accessoria, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16 del Regolamento del Garante n. 1/2019, la pubblicazione nel sito del Garante del presente provvedimento e, ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 9 marzo 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei