VEDI ANCHE Newsletter del 28 marzo 2024

 

[doc. web n. 9995808]

Provvedimento del 22 febbraio 2024

Registro dei provvedimenti
n. 125 del 22 febbraio 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Introduzione.

Con una segnalazione presentata ai sensi dell’art. 144 del Codice è stato lamentato che l’azienda Trasporto Passeggeri Emilia-Romagna S.p.A. (di seguito, l’“Azienda” o “TPER”) avrebbe utilizzato un modulo per la sottoscrizione degli abbonamenti al servizio di trasporto pubblico locale non conforme alla disciplina in materia di protezione dei dati personali.

In particolare, all’interno del predetto modulo, la prestazione del consenso per talune finalità di trattamento (sub lett. b) e c)) veniva prospettata come obbligatoria, considerato che “il mancato consenso […] comport[a] l’impossibilità per TPER S.p.A. di effettuar[e] e quindi l’impossibilità di accedere ai servizi […] indicati”, non potendo, peraltro, gli interessati esprimere un consenso specifico per ciascuna finalità di trattamento prospettata.

Inoltre, era prevista una mera sottoscrizione da parte dell’utente in calce al modulo, non direttamente riferibile al consenso al trattamento dei dati personali (che si intendeva prestato “con l’acquisto della tessera”). Nel modulo si legge, infatti, che “con l’acquisto della tessera si dichiara di aver ricevuto e di aver preso visione dell’informativa resa ex art. 13 (che si allega) e, per le finalità e con le modalità ivi previste, si autorizza:

a) l’uso dei dati personali strettamente necessari con l’acquisto della tessera stessa, anche tramite raccolta ed elaborazione da parte di alcuni soggetti terzi appositamente incaricati da TPER Spa;

b) l’uso dei dati personali, anche tramite raccolta ed elaborazione da parte di alcuni soggetti terzi appositamente incaricati da TPER SpA, per l’effettuazione di ricerche di mercato, sondaggi di gradimento del servizio di trasporti, per la partecipazione ad eventuali iniziative promozionali collegate all’acquisto degli abbonamenti annuali personali TPER SpA, ivi compresi Concorsi a premi, per inoltro materiale informativo e pubblicitario […];

c) l’uso dei dati personali, anche tramite raccolta ed elaborazione da parte di alcuni soggetti terzi appositamente incaricati da TPER SpA, per l’attivazione del servizio di inoltro messaggi SMS, attinenti [al] servizio erogato da TPER SpA sull’apparecchio telefonico dell’intestatario dell’abbonamento […].

Consapevole che il conferimento dei dati è obbligatorio per il rilascio da parte di TPER SpA della tessera di identificazione personale (lettera a).
Consapevole che il mancato consenso al trattamento dei dati per le attività indicate nelle lettere b e c comporterà l’impossibilità per TPER SpA di effettuarle e quindi l’impossibilità di accedere ai servizi sopra indicati.

All. informativa ai sensi dell’art. 13 D.Lgs. N. 196/2003”.

2. L’attività istruttoria.

Con nota del XX (prot. n. XX), l’Azienda, in riscontro a una richiesta d’informazioni dell’Autorità (nota prot. n. XX del XX), ha dichiarato, in particolare, che:

“Tper è una società per azioni a partecipazione pubblica che ha per oggetto [in particolare] l'esercizio dell’attività inerente alla organizzazione e alla gestione di sistemi di trasporto […]”;

“le proprie attività di marketing s[ono] espressione della propria forma privatistica […]”;

“quando l’utente sceglie di recarsi fisicamente presso i punti vendita autorizzati […] il rilascio di un abbonamento è subordinato alla raccolta di una serie di dati personali, riportati nel modulo […] e caricati su un gestionale in uso alla Società”;

“tra i campi compilabili vi sono anche quelli connessi alle finalità di cui alle lettere b) e c) dell’informativa privacy ivi riportata (rispettivamente, “<AcconsenteDP> e <AcconsenteSMS>”). Questi campi vengono compilati tenuto conto della volontà “privacy” espressa dal cliente e, più precisamente, con: “acconsente”, in caso di autorizzazione ai rispettivi trattamenti, oppure “non acconsente” in caso di mancato rilascio dei relativi consensi”;

“il modulo stampato riporta, quindi, la dicitura “acconsente” o “non acconsente” - nei campi variabili di cui sopra - a seconda che il cliente abbia espresso una scelta favorevole o negativa, in modo assolutamente coerente con l’espressione di volontà manifestata oralmente dall'interessato […] Si precisa che copia del modulo è consegnata all'interessato, che quindi potrà verificare la rispondenza delle proprie volontà, per confermarle o rettificarle in caso di erroneo inserimento da parte dell'operatore Tper. Le volontà dei clienti rispetto ai trattamenti descritti alla lettera b) e alla lettera c) del modulo sono poi riflesse anche nei sistemi IT di Tper […]”;

“seppur l'espressione utilizzata nel modulo stampato […] potrebbe essere poco chiara e fraintendibile, essa non intende imporre e non impone nemmeno in pratica il rilascio di un consenso obbligatorio per ottenere l’acquisto dell'abbonamento. La Società, infatti, conferma che la tessera contenente l'abbonamento è rilasciata anche in caso di un mancato consenso ai trattamenti descritti alle lettere b) e/o c) […]”;

“Tper ha inserito una breve informativa nel modulo di rilascio dell'abbonamento […]. Sul sito della Società è poi pubblicata un’informativa estesa rispetto alle attività di trattamento svolte anche in diversi contesti e per differenti servizi (cfr. https://www.tper.it/cliente/note-legali-e-sulla-tutela-dei-dati-personali) […]”;

a seguito della richiesta d’informazioni dell’Autorità, “Tper ha provveduto all’aggiornamento del modulo di rilascio della tessera contenente l'abbonamento al trasporto e la relativa informativa privacy […] ricordando agli interessati che possono sempre revocare l'eventuale consenso rilasciato e distinguendo dettagliatamente tutte le differenti tipologie di comunicazioni (anche di servizio o istituzionali) che Tper potrebbe inviare nel tempo”;

“si ritiene che il consenso fornito sulla base dell’informativa in uso […] sia da ritenersi: specifico, poiché per ogni finalità basata sul consenso Tper chiede, al soggetto interessato, di manifestare una specifica e distinta volontà; libero, poiché l'interessato ha la possibilità di negare il consenso per le suddette finalità; ciò non impedisce l’accesso al servizio e il rilascio della tessera personale contenente l'abbonamento al trasporto pubblico locale […]; espresso, poiché l'operatore della biglietteria Tper è tenuto a formulare la richiesta all'interessato e a registrare nei sistemi la volontà del medesimo […]; documentabile, essendo riportato nel modulo rilasciato all'interessato, oltre che nei sistemi IT della Società”;

“il modulo di cui trattasi è in vigore dal 1° luglio 2016 ed è tutt'ora utilizzato. […] la Società ha provveduto all’aggiornamento dell’informativa presente nel modulo, che a breve verrà reso disponibile all'utenza”.

L’Azienda ha, altresì, fornito copia del nuovo modulo di richiesta della tessera (all. 3 alla predetta nota), nonché copia della nuova informativa sul trattamento dei dati personali (all. 4 alla predetta nota), entrambi redatti a seguito dell’avvio dell’istruttoria da parte del Garante.

In risposta a una successiva richiesta d’informazioni formulata dall’Autorità (nota prot. n. XX del X), l’Azienda, con nota del XX (prot. n. XX) ha dichiarato, in particolare, che:

“l’informativa […] viene consegnata direttamente al cliente dagli operatori delle biglietterie unitamente al modulo di richiesta di rilascio della tessera di riconoscimento da utilizzarsi per l’acquisto dell’abbonamento”;

“il modulo in questione è da ritenersi unico modulo che il cliente predispone per la richiesta di rilascio della tessera personale […] Apponendo la propria sottoscrizione su tale modulo si fornisce il consenso al trattamento dei propri dati personali. Il consenso viene richiesto al solo momento di rilascio di tale tessera e non successivamente alla richiesta di attivazione sulla stessa di abbonamenti”;

“l'azienda utilizza i dati oggetto di consenso di cui al punto b), unicamente […] per lo svolgimento tramite intervista telefonica da parte di un operatore della “Customer Satisfaction”, attività richiesta dall'Agenzia della Mobilità nell’ambito dell'affidamento a TPER del contratto di servizio di Trasporto Pubblico Locale […]”;

a partire dal 1° luglio 2016, sono stati contattati per  tale finalità di trattamento un numero complessivo di interessati stimabile in “circa 2.000”;

“l’azienda ha inviato e invia comunicazioni tramite SMS per informare di eventuali scioperi o particolari modifiche programmate al servizio. E facoltà dell’abbonato di prestare il proprio consenso all’invio degli SMS in base alle proprie preferenze”;

“l’invio è ripetuto per ogni evento […]. La lista di invio è variabile poiché riguarda i soli abbonati interessati dal singolo avvenimento […]. Mediamente un invio è composto da circa 40.000 contatti”.

A fronte della richiesta di ulteriori chiarimenti rivoltale dall’Autorità (nota prot. n. XX del XX), l’Azienda, con nota del XX (prot. n. XX), ha dichiarato, in particolare, che:

“gli utenti a cui è stata somministrata la prima informativa (valida [da luglio XX a febbraio XX]) è pari a tot. 169.877”;

“gli utenti a cui è stata somministrata la seconda informativa (ad oggi attuale) è pari a tot. 28.840”;

con riguardo alla durata dei tempi di conservazione dei dati personali degli interessati, acquisiti sulla base del consenso espresso per le finalità di cui alle lettere b) e c) del modulo di richiesta della tessera, utilizzato dal XX al XX, “i dati dei soggetti richiedenti l'abbonamento (numero cellulare e recapito mail sono dati facoltativi) venivano raccolti anzitutto con finalità di esecuzione del contratto di trasporto (e quindi emissione della tessera abbonamento) e per meglio fornire il servizio di trasporto (avvisare eventualmente il soggetto in caso di eventi rilevanti riguardanti il servizio). Tali dati vengono conservati per un tempo pari a 10 anni successivi alla scadenza dell'ultimo abbonamento”;

“la finalità sub b) costituiva una finalità accessoria […], che ricomprendeva attività di customer satisfaction […] e finalità di marketing. Tale finalità, quindi, perseguita su base giuridica “consenso” è attualmente attiva soltanto sulle attività di customer satisfaction. Non sono state effettuate, al momento, attività di marketing [e] i dati per tali finalità vengono conservati per la stessa durata di cui sopra, salvo revoca del consenso”;

“[…] al momento non viene effettuata alcuna attività di marketing ma […] sussistono solo attività di trattamento finalizzate alle indagini di customer satisfaction. Tali attività di rilevamento del grado di soddisfazione della clientela sono parte integrante degli obblighi contrattuali di TPER previsti all’Art. 14 punto 3 del contratto di affidamento di servizi di TPL tra SRM (quale Agenzia della mobilità) e TPB [, società consortile di cui è socia TPER], in quanto costituiscono parte del sistema di monitoraggio sulla qualità del servizio erogato, che il gestore è tenuto a implementare, utilizzare e rendicontare all'affidante SRM, al fine di verificare il mantenimento degli standard minimi di qualità […]”;

“[…] SRM e TPER hanno stipulato accordo con cui SRM si è impegnata a porre in essere tutte queste attività, sia le proprie, sia anche quelle che avrebbe dovuto svolgere TPER in proprio”;

“pertanto, tali attività, vengono svolte annualmente da SRM, quale “fornitore” di TPER su un campione di circa 400 abbonati annuali”.

Con nota del XX (prot. n. XX), l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato all’Azienda, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento:

per aver fornito agli interessati, nel periodo intercorrente tra XX e XX, un’informativa sul trattamento dei dati personali priva di taluni degli elementi informativi previsti dalla normativa in materia di protezione dei dati personali e caratterizzata da scarsa trasparenza, agendo in maniera non conforme al principio di liceità, correttezza e trasparenza, in violazione degli artt. 5, par. 1, lett. a), 7, par. 3, 12, par. 1, 13 e 21, par. 4, del Regolamento (v. successivo par. 3.1);

per aver raccolto e trattato i dati personali degli interessati che hanno sottoscritto il modulo di richiesta della tessera tra il XX e il XX per finalità di marketing diretto sulla base di un consenso non validamente prestato e, pertanto, agendo in maniera non conforme al principio di liceità, correttezza e trasparenza, in violazione degli artt. 5, par. 1, lett. a), 6, par. 1, lett. a) e 7 del Regolamento, nonché 130, commi 2 e 3, del Codice (v. successivo par. 3.2);

per aver raccolto e trattato i dati personali degli interessati che hanno sottoscritto il modulo di richiesta della tessera tra il XX e il XX, ai fini dell’invio di SMS relativi allo stato del servizio (scioperi o modifiche al programma), sulla base di un consenso non validamente prestato e, pertanto, in maniera non conforme al principio di liceità, correttezza e trasparenza, in violazione degli artt. 5, par. 1, lett. a), 6, par. 1, lett. a) e 7 del Regolamento (v. successivo par. 3.3);

per aver conservato i dati personali degli interessati, trattati anche per finalità di marketing, per un arco temporale, pari a dieci anni dalla scadenza dell’ultimo abbonamento, eccessivamente lungo e non proporzionato, agendo in maniera non conforme al principio di limitazione della conservazione dei dati, in violazione dell’art. 5, par. 1, lett. e), del Regolamento (v. successivo par. 3.4);

per non aver rivisto e aggiornato, entro la data di efficacia del Regolamento (25 maggio 2018), né l’informativa sul trattamento dei dati personali resa agli interessati e il modulo di richiesta della tessera e raccolta del consenso né le proprie politiche interne in materia di conservazione dei dati, agendo in maniera non conforme al principio di responsabilizzazione, in violazione dell’art. 5, par. 2, del Regolamento (v. successivo par. 3.5).

Con la medesima nota, il predetto titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).

Con nota del XX (prot. n. XX), l’Azienda ha presentato la propria memoria difensiva, dichiarando, in particolare, che:

“[la] tessera denominata “MiMuovo” [è] utile per l'acquisto dei diversi titoli di viaggio tra quelli disponibili, e […] viene utilizzata per la convalida del titolo per diverse tipologie di trasporto […]. Tale tessera ha validità di 5 anni al termine dei quali deve essere necessariamente sostituita dagli utenti. Durante detto periodo di validità della tessera l’utente può sottoscrivere o meno un abbonamento; nel secondo caso la tessera è inattiva (non essendoci un valido titolo di viaggio associato) ma “valida” per i 5 anni dal suo rilascio: ciò permette quindi di poter sottoscrivere uno o più abbonamenti in questo lasso di tempo senza dover chiedere il rilascio di una nuova tessera “MiMuovo” se non allo scadere dei 5 anni. [Tali] caratteristiche della tessera hanno quindi influito sulla determinazione del suddetto tempo di conservazione”, pari a “10 anni dalla sottoscrizione dell’ultimo abbonamento”;

 inoltre, “tra le tipologie di abbonamento offerte all'utenza, ve ne sono alcune che consentono al cliente di usufruire di condizioni agevolate, tra le quali, scontistiche variabili a seconda delle indicazioni riportate nelle varie leggi regionali di riferimento e più in  particolare stabilite dalla Regione Emilia-Romagna cui TPER deve necessariamente attenersi. Tra le varie scontistiche previste, vi sono anche quelle a beneficio di soggetti stranieri, minori e disabili. Da ciò consegue che TPER è soggetta, tra gli altri, a controlli e verifiche circa il rispetto delle regole normativamente imposte (comprese quelle sul quantum di scontistica applicata). A ciò si aggiunga, che in forza della Legge di bilancio 2021-2022, in caso di abbonamento ai mezzi pubblici la spesa potrà essere detratta dalla dichiarazione dei redditi con la conseguenza che, anche in tali ipotesi, vi potranno essere dei controlli da parte delle Autorità deputate”;

“rispetto alle agevolazioni normative, si noti come alcune di queste possono essere concesse dagli enti competenti anche con portata retroattiva (ad esempio, un contributo dedicato agli idrocarburi deliberato con convenzione di XX è stato riconosciuto anche rispetto ad abbonamenti annuali acquistati a partire dal XX). L'efficacia retroattiva di alcune agevolazioni impedisce, dunque, di cancellare anagrafiche apparentemente “ordinarie” dai sistemi potendo le stesse assumere un diverso rilievo in un momento successivo al rilascio dell'abbonamento”;

“i controlli e le verifiche sopra citati sono stati necessariamente tenuti in considerazione ai fini della definizione del tempo di conservazione di cui sopra, dovendo TPER essere in possesso di evidenza documentale delle attività svolte a prova del rispetto delle prescrizioni di legge cui è soggetta in quanto i controlli da parte delle Autorità regionali sono soggetti al termine prescrizionale di 10 anni e dunque possono intervenire in tale lasso di tempo”;

“[inoltre,] […] TPER ha facoltà di irrogare sanzioni in caso di omessa esibizione del titolo o in caso di abusi nell’utilizzo dello stesso da parte dell'utenza, e che, in caso di contestazioni o di omessa esibizione del titolo del titolo di viaggio, TPER può agire per il recupero del credito entro 5 anni dal mancato pagamento dell'ordinanza ingiunzione. Successivamente, se persiste una situazione di mancato pagamento da parte del debitore, il credito viene iscritto a ruolo e la pratica viene trasmessa all'Agenzia delle Entrate territorialmente competente per la relativa riscossione, con possibile successivo contenzioso con l'utente. Tali attività di recupero del credito richiedono quindi una conservazione dei dati personali degli utenti anche qualora gli stessi non abbiano più degli abbonamenti attivi e la cui necessità di conservazione può variare in ragione dell’iter di riscossione, che potrebbe anche includere un contenzioso diretto in caso di contestazione della sanzione da parte dell’utente”;

pertanto, l’Azienda “ritiene che il termine  di conservazione di 10 anni che è stato individuato sia da ritenersi normativamente corretto e, più precisamente, giustificato dai relativi obblighi, diritti e facoltà in capo a TPER”;

“tuttavia, al fine di migliorare il proprio livello di compliance e in un’ottica di continuo miglioramento, TPER sta svolgendo ulteriori approfondimenti legali per comprendere la possibilità di ridurre, eventualmente anche differenziando gli utenti nei propri sistemi, il tempo di conservazione ora applicato”:

“circa la liceità dei consensi raccolti da TPER fino al XX deve ritenersi che gli stessi possano ritenersi validi e non forzosamente estorti. Invero, seppur l’espressione utilizzata nel modulo stampato […] e consegnato agli interessati come riepilogo delle scelte espresse (“consapevole che il mancato consenso al trattamento dei dati per le attività indicate nelle lettere b e c comporterà l'impossibilità di Tper Spa di effettuarle e quindi l'impossibilità di accedere ai servizi sopra indicati”) potrebbe essere poco chiara e fraintendibile, essa non intendeva imporre — e non ha nei fatti mai imposto - il rilascio di un consenso obbligatorio per ottenere un abbonamento. Tant’è che le tessere emesse alla data del XX non sono state condizionate al rilascio del consenso marketing e risultano giustamente rilasciate anche agli utenti che avevano negato il consenso a tali attività al momento dell’acquisto della tessera”;

“ancora, che la menzionata frase fosse riferita ai servizi connessi con le finalità di invio di dimostrare dalla lettura della Informativa Breve: il richiamo ai servizi è relativo a quelli riportati nelle lettere b) e c) — altrimenti si sarebbe usata una espressione al singolare per richiamare quello della lettera a) — citati nella stessa frase che descrivere le conseguenze del mancato conferimento […]”;

“a conferma di quanto precede si osservi come nel modulo che veniva stampato e rilasciato all'utente […] era chiaramente riportata la seguente dicitura:  “consapevole che il conferimento dei dati è obbligatorio per il rilascio da parte di TPER SpA della tessera di identificazione personale (lettera a)”, con ciò intendendosi che l’unico conferimento di dati ritenuto obbligatorio (o per meglio dire, strettamente necessario) fosse quello per il rilascio della Tessera MiMuovo e giammai per il perseguimento delle finalità di cui alle lettere b) e c) che non venivano menzionate. Questa frase è poi inserita immediatamente prima quella che descrive le conseguenze del mancato consenso per le finalità delle lettere b) e c): deve quindi ritenersi chiaro che “impossibilità di accedere ai servizi sopra indicati” era riferita alle attività di marketing e all'invio di SMS che devono intendersi certamente anch'essi quali servizi offerti all'utenza, se espressamente richiesti. Si chiede quindi di leggere la frase ritenuta ambigua unitamente a quella che la precede […]”;

“[…] rispetto all'adempimento del principio di trasparenza, si rileva come la possibilità di opposizione ai trattamenti svolti per finalità di marketing fosse a ben vedere presente già nell’Informativa Estesa in uso fino al XX e che veniva consegnata al cliente al momento del rilascio dell'abbonamento: tale documento riporta estensivamente i diritti riconosciuti ai sensi dell'art. 7 del Codice nella versione prima della novella del 2018 (cfr. art. 7, comma 4, lettera b del Codice riportato in calce all’Informativa Estesa), tra i quali anche quello di opporsi […]”;

“alla luce di quanto precede si ritiene risulti chiaro come nessun consenso fosse obbligatorio per l'acquisto della tessera MiMuovo o per l’acquisto dell'abbonamento. Né altrimenti avrebbe potuto essere in quanto il servizio reso da TPER è un servizio pubblico essenziale svolto a beneficio della collettività”;

“la sottoscrizione dell’Informativa Breve era apposta solo per conferma di presa visione del testo in quanto rilasciata dagli addetti alla biglietteria dopo la compilazione dell’anagrafica a sistema, permettendo così agli utenti la verifica di quanto ivi riportato e, se del caso, la correzione di eventuali errori. Come detto, la firma non è espressione di alcun consenso privacy. Le preferenze positive e negative sono valorizzate, oltre che a sistema, anche riflesse all’interno del testo dell’Informativa Breve, alle lettere b) e c) […]”;

“inoltre, diversamente argomentando non avrebbe ragione rinvenire nei sistemi di TPER manifestazioni privacy degli interessati in senso negativo […]”;

“nelle more dell’avvio del […] procedimento, [l’Azienda] non solo ha fornito la nuova informativa privacy agli interessati che sottoscrivevano l'abbonamento acquistando la tessera MiMuovo (dunque a circa 102.033 interessati da XX a XX), ma ha iniziato a strutturare una campagna di invio della nuova informativa alla clientela”;

“con riferimento alla liceità dei trattamenti effettuati con l'invio degli SMS informativi, […] la Società, in ottica di grande attenzione e tutela dell’interessato, ha limitato l'inoltro di tali messaggi solo a quanti avessero appunto un abbonamento attivo, avessero rilasciato il consenso a tale finalità e fossero impattati effettivamente dal disservizio oggetto di comunicazione”;

l’Azienda ribadisce la “facoltatività del rilascio anche di questo  consenso e […] la possibilità per l'utente di fare opposizione, ricordata all'utente nel testo dell’Informativa Estesa […]”;

in ogni caso, “la gravità della violazione asseritamente commessa da TPER debba essere inquadrata ad un livello minimo. La Società, infatti, ha agito in assoluta buona fede, mai mossa dall’intento di monetizzare o trarre profitto dall'uso dei dati personali raccolti, bensì al solo fine esclusivo di fornire un buon servizio alla collettività e di migliorarsi sempre nello svolgimento dello stesso”;

“al fine di ridurre gli impatti nei confronti degli interessati, la Società ha provveduto ad aggiornare l'informativa privacy nel XX […], e provvederà ad inviarla agli abbonati ancora attivi in possesso di una tessera MiMuovo rilasciata prima del suddetto aggiornamento. Inoltre, TPER non tratterà i dati degli utenti i cui consensi sono stati raccolti sulla base della precedente informativa, salvo non risulti a sistema una preferenza privacy connessa al rilascio della nuova informativa”.

3. Esito dell’attività istruttoria.

3.1 L’informativa sul trattamento dei dati personali.

Nel rispetto del principio di “liceità, correttezza e trasparenza”, il titolare del trattamento deve adottare misure appropriate per fornire all'interessato, prima di iniziare il trattamento, tutte le informazioni richieste dal Regolamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro (artt. 5, par. 1, lett. a), 12 e 13 del Regolamento; v. anche cons. 39 e 58 del Regolamento; cfr. Gruppo di Lavoro Art. 29, “Linee guida sulla trasparenza ai sensi del regolamento 2016/679”, versione emendata e adottata l’11 aprile 2018, WP260 rev.01).

Dalla documentazione in atti e dalle dichiarazioni rese nel corso dell’istruttoria, risulta che, nel caso di specie, il modulo di richiesta della tessera, utilizzato dall’Azienda presso i punti vendita autorizzati a partire dal XXe fino al mese di XX (cfr. all. 1 alla nota prot. n. XX del XX), rimandava a un’informativa sul trattamento dei dati (“all. informativa ai sensi dell’art. 13 D.Lgs. N. 196/2003”) che, come dichiarato dall’Azienda, “non è […] un allegato del modulo ma in esso viene richiamata in quanto viene consegnata direttamente al cliente dagli operatori delle biglietterie unitamente al modulo” (v. all. 1 alla nota prot. n. XX del XX).

Premesso che, nonostante il Regolamento fosse diventato efficace già in data 25 maggio 2018, l’informativa in questione menzionava disposizioni del Codice (v. riferimenti agli artt. 13 e 7) non più applicabili a partire da tale data e poi formalmente abrogate dal d.lgs. 10 agosto 2018, n. 101, si osserva che, contrariamente a quanto previsto dall’art. 13 del Regolamento, tale informativa:

non indica i dati di contatto del responsabile della protezione dei dati designato dall’Azienda (cfr. art. 13, par. 1, lett. b), del Regolamento);

non indica la base giuridica del trattamento per ciascuna finalità di trattamento perseguita (cfr. art. 13, par. 1, lett. c), del Regolamento);

non menziona “gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali”, limitandosi a riportare che “alcuni soggetti terzi potranno essere incaricati da TPER di raccogliere ed elaborare i suoi dati” (cfr. art. 13, par. 1, lett. e), del Regolamento);

non indica il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo (cfr. art. 13, par. 2, lett. a), del Regolamento);

non menziona i diritti degli interessati di cui agli artt. 15-22 del Regolamento (cfr. art. 13, par. 2, lett. b), del Regolamento), limitandosi a riportare il testo dell’art. 7 del Codice, nella versione antecedente alle modifiche apportate dal d.lgs. 101/2018, che solo in parte coincidono con quelli previsti dal Regolamento, non essendo, peraltro, indicate le modalità con le quali è possibile esercitare tali diritti;

non menziona l'esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca (cfr. art. 13, par. 2, lett. c), del Regolamento);

non menziona il diritto di proporre reclamo a un’autorità di controllo (cfr. artt. 13, par. 2, lett. d), del Regolamento).

Nell’informativa in questione si afferma, inoltre, che “il conferimento dei dati è obbligatorio per il rilascio da parte di TPER SpA dell’abbonamento e/o della tessera di riconoscimento” (v. anche l’analoga formulazione riportata nel modulo di richiesta della tessera), senza alcuna indicazione in merito a quali specifici dati dovessero essere necessariamente conferiti per il rilascio della tessera e la fruizione dei servizi di trasporto, e quali, invece, potessero essere facoltativamente forniti in caso di consenso al trattamento dei dati per altre finalità di trattamento (v. le dichiarazioni dell’Azienda in merito alla circostanza che “numero cellulare e recapito mail sono dati facoltativi”).

Quanto all’affermazione riportata in calce al modulo di richiesta della tessera, secondo la quale “il mancato consenso al trattamento dei dati per le attività indicate nelle lettere b e c comporterà l’impossibilità per TPER SpA di effettuale e quindi l’impossibilità di accedere ai servizi sopra indicati”, si rileva che la stessa risulta essere poco chiara e fuorviante per gli interessati, atteso che, per effetto del riferimento ai “servizi”, si lascia intendere che il consenso al trattamento dei dati personali per le finalità sub lett. c) e d) sia necessario ai fini dell’ottenimento della tessera e della sottoscrizione di un abbonamento.

Con riguardo alla circostanza che, come dichiarato nel corso dell’istruttoria, sul sito web dell’Azienda fosse “pubblicata un’informativa estesa rispetto alle attività di trattamento svolte anche in diversi contesti e per differenti servizi”, il cui testo non è stato depositato in atti nel corso dell’istruttoria, si rileva che, in ogni caso, tale informativa estesa non era in alcun modo menzionata nel modulo in questione, né risulta dagli atti che essa fosse stata pubblicata o resa disponibile agli interessati nei locali dei punti vendita autorizzati.

Inoltre, sempre con riguardo all’assolvimento degli obblighi di trasparenza nei confronti degli interessati, si osserva che né il modulo contrattuale di richiesta della tessera né l’informativa sul trattamento dei dati personali rendevano edotto l’interessato che lo stesso “ha il diritto di revocare il proprio consenso in qualsiasi momento” e che “la revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca” (art. 7, par. 3, del Regolamento).

L’Azienda non ha nemmeno portato all’attenzione degli interessati, presentandolo chiaramente e separatamente da qualsiasi altra informazione, il diritto di opporsi al trattamento per finalità di marketing diretto (art. 21, par. 4, del Regolamento), essendosi limitata a riportare il testo dell’art. 7 del Codice, non più vigente.

Si osserva, inoltre, che nel periodo intercorrente tra il mese di XX e quello di XX, l’Azienda ha prospettato agli abbonati la possibilità di ricevere, su base facoltativa, SMS “attinenti [al] servizio erogato da TPER” (v. all. 1 alla nota del XX del XX). Come dichiarato nel corso dell’istruttoria, tali SMS sarebbero inviati per “informare di eventuali scioperi o particolari modifiche programmate al servizio”. L’informativa resa agli interessati a tal riguardo risulta, pertanto, estremamente generica, non essendo chiarite le effettive circostanze al ricorrere delle quali gli interessati avrebbero potuto ricevere tali SMS, con la conseguente compromissione della possibilità per gli stessi di comprendere le finalità del trattamento effettivamente perseguite (cfr. art. 13, par. 1, lett. c), del Regolamento). 

In considerazione di tutto quanto sopra, risulta accertato che l’Azienda, nel periodo intercorrente tra il mese di XX e quello di XX, ha fornito agli interessati un’informativa sul trattamento dei dati personali priva di taluni degli elementi informativi previsti dalla normativa in materia di protezione dei dati personali, e caratterizzata da scarsa trasparenza, agendo in maniera non conforme al principio di “liceità, correttezza e trasparenza”, in violazione degli artt. 5, par. 1, lett. a), 7, par. 3, 12, par. 1, 13 e 21, par. 4, del Regolamento.

3.2 Il consenso al trattamento dei dati personali per finalità di marketing diretto.

In ossequio al principio di responsabilizzazione (artt. 5, comma 2, e 24 del Regolamento), il titolare è tenuto a comprovare che i trattamenti dallo stesso effettuati siano conformi al principio di “liceità, correttezza e trasparenza” (art. 5, comma 1, lett. a) del Regolamento), anche con riguardo alla sussistenza dei presupposti di validità del consenso (cfr. artt. 6, par. 1, lett. a), e 7 del Regolamento).

Con specifico riguardo ai trattamenti effettuati per finalità di marketing diretto, l’art. 130, commi 1 e 2, del Codice subordina la possibilità di trattare dati personali “per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale”, mediante comunicazioni elettroniche, all’ottenimento del “consenso del contraente o utente”.

L’art. 7, par. 1, del Regolamento, prevede che “qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali”.

Affinché possa considerarsi valido, il consenso dell’interessato deve, in ogni caso, consistere in una “manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento” (art. 4, par. 1, n. 11) del Regolamento).

Ai sensi dell’art. 7, par. 4, del Regolamento, “nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l'eventualità, tra le altre, che l'esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all'esecuzione di tale contratto” (cfr. cons. n. 43).

Il titolare del trattamento, nell’ottica della responsabilizzazione, è comunque tenuto a rispettare tutti gli altri principi in materia di protezione dei dati, tra i quali il principio di “limitazione della conservazione”, in base al quale i dati personali devono essere “conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati” (art. 5, par. 1, lett. e), del Regolamento).

Ciò premesso, si osserva che – ancorché, come dichiarato dall’Azienda nel corso dell’istruttoria, la stessa non abbia mai inviato agli interessati comunicazioni per finalità di marketing (ovvero, come riportato nel modulo di richiesta della tessera, per “inoltro materiale informativo e pubblicitario” - le modalità con le quali l’Azienda, nel periodo intercorrente tra il mese di XX e quello di XX, ha raccolto il consenso degli interessati al trattamento dei dati personali per tali finalità non possono ritenersi conformi ai requisiti previsti dalla normativa in materia di protezione dei dati personali.

Deve al riguardo osservarsi che il consenso dell’interessato (cfr. art. 6, par. 1, lett. a) del Regolamento) può ritenersi validamente prestato solo se esso è espressione di un “volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento” (art. 4, par. 1, n. 11), del Regolamento).

Nel caso di specie, la libertà del consenso risulta, invece, viziata dalla circostanza che, come sopra evidenziato, il modulo in questione, con riguardo alle conseguenze previste in caso di mancato consenso al trattamento, riporta in maniera ambigua e poco trasparente che “il mancato consenso al trattamento dei dati per le attività indicate nelle lettere b) e c) comporterà l'impossibilità per TPER SpA di effettuarle e quindi l'impossibilità di accedere ai servizi sopra indicati”.

Dalla prospettiva dell’interessato, non è dunque chiaro se con il termine “servizi” si faccia riferimento ai servizi di trasporto resi dall’Azienda oppure, in maniera impropria, alle attività promozionali e informative di cui alle citate lett. b) e c) del modulo. Questa espressione ambigua può conseguentemente indurre l’interessato a ritenere che il consenso al trattamento sia necessario per poter ottenere la tessera e fruire dei servizi di trasporto. Si tratta, d’altra parte, di un aspetto non controverso, atteso che la stessa Azienda ha riconosciuto nella propria memoria difensiva che la formulazione in questione è “poco chiara e fraintendibile”.

Si osserva, a tal riguardo, che l’art. 7, par. 4, del Regolamento prevede specificamente che “nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre cose, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione del contratto”. La circostanza che l’Azienda abbia prospettato la dazione del consenso in questione quale condizione per poter usufruire dei propri servizi non consente, pertanto, di poter considerare tale consenso come liberamente prestato (cfr. provv.ti 15 dicembre 2022, n. 431, doc. web n. 9856345; 12 giugno 2019, n. 130, doc. web n. 6955363).

Né può essere accolta la tesi difensiva dell’Azienda, secondo la quale in nessun caso la stessa avrebbe di fatto negato la fornitura del servizio agli utenti che non hanno prestato il consenso al trattamento dei propri dati per le finalità sub lett. b) e c). La contestazione mossa all’Azienda riguarda, infatti, esclusivamente il condizionamento subito dagli utenti al momento della richiesta del consenso - i quali possono essere stati indotti a rilasciare lo stesso in ragione del timore di non poter fruire in tutto o in parte dei servizi di trasporto - e non anche l’effettiva mancata fornitura del servizio agli utenti agli utenti che hanno negato il consenso. In altri termini, tale condizionamento ha avuto luogo indipendentemente dal successivo corretto adempimento da parte dell’Azienda agli obblighi connessi alla fornitura del servizio pubblico di trasporto. Ciò anche in ragione della tutela forte e anticipata che occorre garantire al diritto alla protezione dei dati come diritto fondamentale della persona.

Anche l’argomento secondo il quale il riferimento ai “servizi sopra indicati” nel modulo di richiesta della tessera (“Consapevole che il mancato consenso al trattamento dei dati per le attività indicate nelle lettere b e c comporterà l’impossibilità per TPER SpA di effettuarle e quindi l’impossibilità di accedere ai servizi sopra indicati”) dovesse intendersi non già ai servizi di trasporto bensì a quelli di cui alle lett. b) e c) non può essere accolto. Ciò in quanto le attività di cui alle lett. b) e c) (ricerche di mercato, sondaggi, partecipazione a iniziative promozionali, inoltro materiale pubblicitario, ecc.) non possono essere assimilabili a servizi resi all’utente. Pertanto, dalla prospettiva dell’utente, il riferimento del tutto generico ai “servizi sopra indicati”, all’interno di una formulazione che la stessa Azienda ha definito “poco chiara e fraintendibile”, non poteva che intendersi come un riferimento ai servizi di trasporto resi dall’Azienda.

Né può considerarsi dirimente la circostanza che nel modulo in questione gli utenti fossero stati informati del fatto che “il conferimento dei dati è obbligatorio per il rilascio da parte di TPER SpA della tessera di identificazione personale (lettera a)”. Ciò in ragione del fatto che, a fronte di un consenso rilasciato per le finalità su lett. b) e c) con il condizionamento derivante dal rischio di non poter accedere ai servizi di trasporto, gli stessi avrebbero comunque percepito come necessario il conferimento di tutti i dati complessivamente richiesti dall’Azienda. Si ribadisce, inoltre, come già rilevato al precedente par. 3.1, che né il modulo contrattuale né l’informativa sul trattamento contenevano alcuna indicazione in merito ai dati il cui conferimento sarebbe stato facoltativo (v. le dichiarazioni dell’Azienda in merito alla circostanza che “numero cellulare e recapito mail sono dati facoltativi”, che non trova riscontro nella modulistica utilizzata).

Quanto al fatto che gli utenti fossero stati resi edotti con l’informativa, resa unitamente al modulo, in merito al diritto di opporsi al trattamento dei dati “a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale”, si osserva che il diritto di opposizione può essere esercitato dagli interessati con riguardo a un trattamento già posto in essere dal titolare (cfr. art. 18 del Regolamento). Pertanto, l’argomento difensivo utilizzato dall’Azienda è inconferente rispetto al tema della valutazione della libertà del consenso al trattamento chiesto agli interessati al momento della raccolta dei dati (cfr. art. 21, par. 3, del Regolamento, ai sensi del quale “qualora l'interessato si opponga al trattamento per finalità di marketing diretto, i dati personali non sono più oggetto di trattamento per tali finalità”).

Con specifico riguardo alla finalità di trattamento sub lett. b) del modulo, si rileva che la libertà del consenso dell’interessato veniva ulteriormente compromessa dalla circostanza che la manifestazione di consenso era stata riferita ambiguamente anche ai trattamenti effettuati ai fini della “partecipazione ad eventuali iniziative promozionali collegate all’acquisto degli abbonamento annuali personali TPER SpA, ivi compresi concorsi a premi” (sub lett. b) del modulo). Tali trattamenti, in caso di adesione all’iniziativa da parte dell’interessato, trovano, invece, la loro base giuridica nella necessità di eseguire un contratto di cui l’interessato è parte, ovvero i termini e condizioni che regolano ciascuna iniziativa (cfr. art. 6, par. 1, lett. b), del Regolamento). L’interessato poteva, pertanto, essere indotto a prestare un unico consenso per diverse finalità di trattamento, essendo la propria volontà condizionata dal timore che, non prestando il consenso richiesto, non avrebbe potuto partecipare alle iniziative promozionali avviate dall’azienda, inclusi i concorsi a premi.

Il consenso dell’interessato non può nemmeno considerarsi adeguatamente informato, atteso che, in ragione di quanto esposto al precedente par. 3.1, l’Azienda non ha chiaramente informato gli interessati che il trattamento dei dati personali per finalità di marketing si basava sul loro consenso facoltativo e che in caso di mancato consenso la possibilità di ottenere la tessera e sottoscrivere l’abbonamento non sarebbe stata comunque compromessa. Inoltre, non è stato reso noto agli interessati che il consenso poteva essere in qualsiasi momento e liberamente revocato, opponendosi all’ulteriore trattamento, senza che ciò potesse compromettere la validità del consenso precedentemente prestato (v. artt. 7, par. 3, 13, par. 2, lett. c), e 21, par. 2, del Regolamento).

In considerazione di quanto sopra, il consenso degli interessati al trattamento dei propri dati personali per finalità di marketing non può ritenersi valido, non risultando né libero, né specifico, né adeguatamente informato.

Non rileva, peraltro, a tal riguardo, la circostanza che, come dichiarato dall’Azienda nel corso dell’istruttoria, i dati personali degli interessati che hanno prestato il consenso in questione siano stati ad oggi trattati unicamente per finalità di rilevazione del grado di soddisfazione della clientela e non anche per finalità di marketing diretto. Ciò in quanto la raccolta e la conservazione dei dati in questione costituiscono di per sé operazioni di trattamento che devono essere assistite da tutti i presidi previsti dalla disciplina in materia di protezione dei dati, anche per quanto attiene alla sussistenza di un’idonea base giuridica.

Per  tutte le ragioni sopra esposte, il trattamento per finalità di marketing dei dati personali degli interessati, che hanno sottoscritto il modulo di richiesta della tessera tra il XX e il XX, è avvenuto sulla base di un consenso non validamente prestato e, pertanto, in maniera difforme dal principio di “liceità, correttezza e trasparenza”, in violazione degli artt. 5, par. 1, lett. a), 6, par. 1, lett. a) e 7 del Regolamento, nonché 130, commi 2 e 3, del Codice.

3.3 Il consenso al trattamento dei dati personali per l’invio di SMS relativi al servizio di trasporto.

Nel periodo intercorrente tra il mese di XX e quello di XX, l’Azienda ha prospettato agli interessati la possibilità di ricevere, previo consenso, SMS “attinenti il servizio erogato da TPER” (v. informativa sul trattamento dei dati personali di cui all’all. 1 alla nota del XX del XX, con particolare riferimento alla finalità di trattamento sub lett. c)).

Come dichiarato nel corso dell’istruttoria, tali SMS sarebbero inviati per “informare di eventuali scioperi o particolari modifiche programmate al servizio”.

Al riguardo si osserva che, stante quanto evidenziato ai precedenti parr. 3.1 e 3.2 in merito alla genericità dell’informativa sul trattamento dei dati personali resa agli interessati circa le specifiche finalità perseguite mediante l’invio di tali SMS, nonché in merito all’assenza di indicazioni sulla natura facoltativa del consenso (senza conseguenze sulla possibilità di ottenere la tessera e sottoscrivere l’abbonamento), quest’ultimo non può ritenersi libero e informato.

Conseguentemente, in via strettamente correlata alla violazione di cui al precedente par. 3.2, si deve rilevare che anche il trattamento dei dati personali degli interessati che hanno sottoscritto il modulo di richiesta della tessera tra il XX e il XX, ai fini dell’invio di SMS relativi al servizio reso (scioperi o modifiche al programma), in quanto prospettato dalla stessa Azienda agli interessati come trattamento facoltativo, è avvenuto sulla base di un consenso non validamente prestato e, pertanto, in maniera non conforme al principio di “liceità, correttezza e trasparenza”, in violazione degli artt. 5, par. 1, lett. a), 6, par. 1, lett. a) e 7 del Regolamento.

3.4 Il periodo di conservazione dei dati personali.

Con riguardo ai dati personali degli utenti acquisiti sulla base del consenso espresso per le finalità di cui alle lettere b) e c) del modulo di sottoscrizione utilizzato dal XX al XX, l’Azienda ha dichiarato che “i dati dei soggetti richiedenti l'abbonamento (numero cellulare e recapito mail sono dati facoltativi) venivano raccolti anzitutto con finalità di esecuzione del contratto di trasporto (e quindi emissione della tessera abbonamento) e per meglio fornire il servizio di trasporto (avvisare eventualmente il soggetto in caso di eventi rilevanti riguardanti il servizio). Tali dati vengono conservati per un tempo pari a 10 anni successivi alla scadenza dell'ultimo abbonamento” (nota prot. n. XX del XX).

In particolare, “la finalità sub b) costituiva una finalità accessoria […], che ricomprendeva attività di customer satisfaction […] e finalità di marketing” e, per tale finalità “i dati […] vengono conservati per la stessa durata di cui sopra [, ovvero dieci anni dalla data di scadenza dell’ultimo abbonamento,] salvo revoca del consenso” (ibidem).

Un così esteso tempo di conservazione (dieci anni a partire dalla data di scadenza dell’ultimo abbonamento) dei dati personali non può ritenersi proporzionato.

Anche alla luce del principio di responsabilizzazione e della “responsabilità generale” che grava in capo al titolare del trattamento (v. v. artt. 5, par. 2, e 24 del Regolamento; v. anche cons. n. 74 del Regolamento), l’Azienda avrebbe, infatti, dovuto definire specifici e congrui tempi di conservazione anche per i dati trattati per finalità di marketing, rilevazione del grado di soddisfazione della clientela e invio di comunicazioni di servizio, ed essere in grado di giustificare le scelte compiute. Al riguardo, si osserva, come di recente ribadito da questa Autorità, che “il provvedimento del Garante del 24 febbraio 2005 “Fidelity card´ e garanzie per i consumatori”, sebbene non più di carattere vincolante, è da considerarsi ancora applicabile con valore di linea guida e pertanto lo è anche la tempistica ivi prevista (24 mesi per i dati relativi al marketing; 12 mesi per i dati relativi alla profilazione). Peraltro, pur valorizzando il principio di accountability, anche con riferimento alla delicata materia della data retention, non si può certo giungere alla conclusione che un titolare, in base a tale principio che necessita di essere contemperato con gli altri fondamentali principi previsti dal Regolamento- possa scostarsi in modo eccessivo rispetto alle suddette previsioni, senza poter incorrere nella violazione del principio di limitazione della conservazione (v. art. 5, par.1, lett. d) del Regolamento). Ad esempio, è da ritenersi non congrua la conservazione dei dati relativi al marketing fino alla data della revoca del consenso al trattamento, ai sensi dell’art. 7 del Regolamento, anche considerato che l’interessato potrebbe anche non mutare mai la propria volontà o mantenerla invariata per anni” (provv. 18 luglio 2023, n. 321, doc. web n. 9920942; v. anche provv.ti  8 giugno 2023, n. 253, doc. web n. 9909907; 7 aprile 2023, n. 188, doc. web n. 9902472; 20 ottobre 2022, n. 348, doc. web n. 9825667).

L’Azienda ha, invece, conservato tutti i dati personali dei titolari della tessera per un unico e sproporzionato tempo di conservazione, pari a dieci dalla data di scadenza dell’ultimo abbonamento, non avendo, peraltro, adeguatamente comprovato che, in relazione ai dati considerati facoltativi, in quanto strumentali al perseguimento delle finalità sub lett. b) e c) del modulo di richiesta della tessera, sussista l’esigenza di effettuare una tale prolungata conservazione.

D’altra parte, la stessa Azienda ha dichiarato che sono in corso “ulteriori approfondimenti legali per comprendere la possibilità di ridurre, eventualmente anche differenziando gli utenti nei propri sistemi, il tempo di conservazione ora applicato”, da cui si evince che tale valutazione non è stata in passato adeguatamente effettuata, non avendo l’Azienda stabilito ex ante i tempi di conservazione dei dati per ciascuna specifica finalità di trattamento e ogni diverso contesto. 

Avendo definito un unico e sproporzionato tempo di conservazione dei dati, pari a dieci dalla data di scadenza dell’ultimo abbonamento, anche per i trattamenti aventi finalità di marketing, l’Azienda ha agito in maniera non conforme al principio di “limitazione della conservazione dei dati”, in violazione dell’art. 5, par. 1, lett. e), del Regolamento (cfr. anche art. 25, par. 2, del Regolamento).

3.5 Il rispetto del principio di responsabilizzazione.

Nel quadro giuridico definito dal Regolamento, il titolare del trattamento ha la responsabilità di assicurare il rispetto dei principi di base in materia di protezione dei dati e deve essere in grado di comprovarlo.

La circostanza che l’Azienda, che serve un bacino di utenza di rilevanti dimensioni, non abbia rivisto e aggiornato, entro la data di efficacia del Regolamento (25 maggio 2018), né l’informativa sul trattamento dei dati personali resa agli interessati e il modulo di richiesta della tessera e raccolta del consenso, né le proprie politiche interne in materia di conservazione dei dati, con conseguente violazione dei principi di “liceità, correttezza e trasparenza” e “limitazione della conservazione”, prova la sostanziale negligenza dell’Azienda nell’adempiere agli obblighi derivanti dal Regolamento e dal Codice, e nel conformarsi al principio di responsabilizzazione, risultando, pertanto, violato l’art. 5, par. 2, del Regolamento (anche in riferimento all’art. 24 del Regolamento).

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si rappresenta, altresì, che per la determinazione della norma applicabile, sotto il profilo temporale, deve essere richiamato in particolare il principio di legalità di cui all’art. 1, comma 2, della l. n. 689/1981 che sancisce come «le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in esse considerati». Ciò determina l’obbligo di prendere in considerazione le disposizioni vigenti al momento della commessa violazione, che nel caso in esame – data la natura permanente dell’illecito contestato – deve essere individuato all’atto di cessazione della condotta illecita, verificatasi successivamente alla data del 25 maggio 2018 in cui il Regolamento è divenuto applicabile e il d.lgs. 10 agosto 2018, n. 101 è entrato in vigore. Nel caso in questione, i dati personali degli interessati, ancorché raccolti prima della data di efficacia del Regolamento (25 maggio 2018), risultavano ancora oggetto di trattamento da parte dell’Azienda alla data in cui è stata notificata alla stessa la contestazione della violazione amministrativa. Pertanto, trovano applicazione le disposizioni del Regolamento e del Codice, nel testo attualmente vigente.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Azienda, per aver trattato i dati personali degli interessati in violazione degli artt. 5, par. 1, lett. a) ed e), e par. 2, 6, par. 1, lett. a), 7, 12, par. 1, 13 e 21, par. 4, del Regolamento, nonché 130, commi 2 e 3, del Codice.

Tenuto conto che la violazione, peraltro molteplice, delle predette disposizioni ha avuto luogo in conseguenza di un’unica condotta (stesso trattamento o trattamenti tra loro collegati), trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, tutte le violazioni sono soggette alla sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore. Considerato che il fatturato totale annuo dell’Azienda nel 2022 è pari a euro 219.377.426,00 l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000.

5. Misure correttive (art. 58, par. 2, lett. d) e f) del Regolamento).

L’art. 58, par. 2, del Regolamento attribuisce al Garante il potere di “ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine” (lett. d), di “imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento” (lett. f), nonché di “ordinare la rettifica, la cancellazione di dati personali o la limitazione del trattamento […]” (lett. g).
Sulla base di quanto emerso all’esito dell’istruttoria in relazione alla raccolta e al trattamento, nel periodo ricompreso tra il XX e il XX, dei dati personali degli interessati, sulla base di un consenso non validamente prestato, si rende necessario, ai sensi dell’art. 58, par. 2, lett. d), f) e g), del Regolamento:

imporre il divieto di trattare i dati personali degli interessati per finalità di marketing e invio di comunicazioni sullo stato del servizio di trasporto, sulla base dei consensi invalidamente acquisiti nel periodo ricompreso tra il XX e il XX, fermo restando che l’Azienda potrà comunque inviare ogni altra comunicazione che sia necessaria per adempiere a obblighi di legge (art. 6, par. 1, lett. b), del Regolamento) o dare esecuzione al contratto di abbonamento (art. 6, par. 1, lett. c), del Regolamento);

ingiungere di fornire agli interessati la nuova informativa sul trattamento dei dati personali predisposta dall’Azienda, rendendola disponibile sul proprio sito web istituzionale, presso la propria sede e i propri punti vendita, nonché fornendo la stessa, su base individuale, a ciascun interessato alla prima occasione utile di contatto.

Ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, l’Azienda dovrà, inoltre, provvedere a comunicare a questa Autorità, fornendo un riscontro adeguatamente documentato, entro trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione a quanto sopra ordinato ai sensi del citato art. 58, par. 2, lett. f), nonché le eventuali misure poste in essere per assicurare la conformità del trattamento alla normativa in materia di protezione dei dati personali.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Con specifico riguardo alla natura e alla gravità della violazione e alla delicatezza dei dati interessati dalla violazione (art. 83, par. 2, lett. a), del Regolamento), sono stati considerati l’elevato numero di interessati i cui dati sono stati oggetto di trattamento (“circa 2.000” interessati sono stati contattati dal 2006 per finalità di rilevazione del grado di soddisfazione della clientela e mediamente sono stati inviati SMS sullo stato di servizio a “circa 40.000 contatti” per ciascun invio) e l’esteso arco temporale (da XX a XX) in cui l’Azienda ha utilizzato una modulistica non conforme alla normativa in materia di protezione dei dati.

Di contro, si è considerato che l’Azienda, che svolge un servizio pubblico, ha dichiarato, con assunzione di responsabilità anche ai sensi dell’art. 168 del Codice, di non aver comunque mai inviato comunicazioni di marketing agli interessati, avendo posto in essere esclusivamente attività di rilevazione del grado di soddisfazione della clientela, non avendo, pertanto, la stessa conseguito alcun vantaggio economico dal trattamento posto in essere. Non risultano, peraltro, pervenuti reclami all’Autorità in relazione all’invio di comunicazioni di marketing indesiderate da parte dell’Azienda.

In merito alle categorie di dati personali interessate dalla violazione (art. 83, par. 2, lett. g), del Regolamento), si osserva che la violazione non ha riguardato dati personali appartenenti a categorie particolari (art. 9 del Regolamento) oppure relativi a condanne penali o reati (art. 10 del Regolamento) pur riferendosi a un numero elevato di interessati e in ragione del lasso di tempo trascorso in violazione della discplina.

Alla luce di tali circostanze, si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento sia basso (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023, punto 60).

Considerato che, quali circostanze attenuanti, non risultano precedenti violazioni pertinenti commesse dall’Azienda nel medesimo contesto (art. 83, par. 2, lett. e), del Regolamento) e che la stessa ha offerto un elevato livello di cooperazione nel corso dell’istruttoria, attivandosi prontamente al fine di rivedere la propria modulistica e le proprie politiche interne sulla base dei rilievi dell’Autorità (art. 83, par. 2, lett. f), del Regolamento), si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 50.000 (cinquantamila) per la violazione degli artt. 5, par. 1, lett. a) ed e), e par. 2 (anche in riferimento all’art. 24), 6, par. 1, lett. a), 7, 12, par. 1, 13 e 21, par. 4, del Regolamento, nonché 130, commi 2 e 3, del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Tenuto conto che l’Azienda ha commesso le predette violazioni nonostante i numerosi provvedimenti adottati nel tempo dall’Autorità, sia con provvedimenti di carattere generale sia con decisioni su casi specifici, con riguardo alle corrette modalità di raccolta del consenso informato degli interessati al trattamento dei dati personali per finalità di marketing, si ritiene altresì che, dato anche il numero elevato di dati trattati illecitamente, debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dall’azienda Trasporto Passeggeri Emilia-Romagna S.p.A per violazione degli artt. 5, par. 1, lett. a) ed e), e par. 2, 6, par. 1, lett. a), 7, 12, par. 1, 13 e 21, par. 4, del Regolamento, nonché 130, commi 2 e 3, del Codice, nei termini di cui in motivazione;

ORDINA

all’azienda Trasporto Passeggeri Emilia-Romagna S.p.A., in persona del legale rappresentante pro-tempore, con sede legale in Via di Saliceto, 3 - 40128 Bologna (BO), C.F. 03182161202, di pagare la somma di euro 50.000 (cinquantamila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Azienda:

di pagare la somma di euro 50.000 (cinquantamila) in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

ai sensi dell’art. 58, par. 2, lett. f) e d), del Regolamento:

il divieto di trattare i dati personali degli interessati per finalità di marketing e invio di comunicazioni sullo stato del servizio di trasporto, sulla base dei consensi invalidamente acquisiti nel periodo ricompreso tra il XX e il XX, fermo restando che l’Azienda potrà comunque inviare ogni altra comunicazione che sia necessaria per adempiere a obblighi di legge (art. 6, par. 1, lett. b), del Regolamento) o dare esecuzione al contratto di abbonamento (art. 6, par. 1, lett. c), del Regolamento);

la cancellazione senza ritardo di detti dati, fatti salvi quelli che sia necessario conservare per l’adempimento di un obbligo di legge o per eventuali ragioni contrattuali;

di fornire a tutti gli interessati la nuova informativa sul trattamento dei dati personali predisposta dall’Azienda, rendendola disponibile sul proprio sito web istituzionale, presso la propria sede e i propri punti vendita, nonché fornendo la stessa su base individuale a ciascun interessato alla prima occasione utile di contatto;

ai sensi dell’art. 157 del Codice, di comunicare all’Autorità, nel termine di 30 giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alle misure imposte; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice (v. art. 16 del Regolamento del Garante n. 1/2019);

l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento (v. art. 17 del Regolamento del Garante n. 1/2019).

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 22 febbraio 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei