g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di La Prima S.r.l. - 16 settembre 2021 [9705632]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

VEDI ANCHE Newsletter del 6 ottobre 2021

 

[doc. web n. 9705632]

Ordinanza ingiunzione nei confronti di La Prima S.r.l. - 16 settembre 2021*

*Il provvedimento è stato impugnato

Registro dei provvedimenti
n. 316 del 16 settembre 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale ha preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;   

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

Con reclamo del 17 settembre 2019, avanzato a questa Autorità ai sensi dell’art. 77 del Regolamento, la signora XX ha lamentato la ricezione di un contatto su Linkedin, da parte di un collaboratore di La Prima S.r.l. (di seguito “La Prima” o “la Società”), finalizzato a proporre servizi immobiliari in riferimento ad uno specifico immobile di proprietà della reclamante.

La richiesta di informazioni del 20 aprile 2020 da parte dell’Ufficio è rimasta priva di riscontro pertanto è stato necessario reiterarla ai sensi dell’art. 157 del Codice con nota del 14 ottobre 2020. Il successivo 3 novembre, a termini ormai ampiamente scaduti, è pervenuta una e-mail dell’XX che informava di essere stato incaricato da La Prima di rispondere nel più breve tempo possibile.

Permanendo il silenzio da parte della Società è stata notificata, a mezzo Guardia di Finanza, la comunicazione di avvio del procedimento in data 1° dicembre 2020 con riguardo alla violazione dell’art. 157 del Codice.

Con e-mail del 22 dicembre 2020, la Società non ha fornito alcuna giustificazione riguardo al mancato riscontro alle reiterate richieste del Garante ma, nel merito, ha dichiarato che “la creazione di un profilo Linkedin comporta una indiscriminata autorizzazione erga omnes ad essere contattati da altri utenti Linkedin. E questo è ciò che ha fatto […], contattando la reclamante al fine di proporle il proprio servizio professionale. E questo ha fatto, avendo la certezza, desunta dai pubblici registri catastali, che trattavasi della proprietaria dell'immobile in questione”.

Nel corso dell’audizione tenuta dall’avv. XX per conto della Società, il 25 gennaio 2021, è stato specificato che il profilo della reclamante su Linkedin è impostato in maniera da ricevere messaggi da qualsiasi utente Linkedin. La conversazione comunque era visibile solo alla XX e al collaboratore della Società, essendo un messaggio riservato tra utenti Linkedin.

Con nota del 20 aprile 2021 è stato notificato alla Società l’avvio del procedimento per l’adozione delle misure correttive, come previsto dall’art. 166, comma 5, del Codice contestando la violazione degli artt. 5, 6, 24 e 25 del Regolamento.

Con la memoria difensiva del 18 maggio 2021, la Società ha contestato integralmente la fondatezza dei rilievi mossi dall’Autorità sostenendo che:

- il profilo Linkedin della reclamante è impostato in maniera tale da essere contattabile da qualsiasi altro utente del social network, senza alcuna limitazione; pertanto è da ritenersi ammissibile il contatto da parte di un agente immobiliare in quanto “libera espressione di una mia opportunità lavorativa” tanto più che la conversazione era visibile solo al mittente e alla reclamante;

- l’accesso al pubblico registro immobiliare è stato fatto per verificare la proprietà dell’immobile pertanto, essendo proprio questa la finalità di tale pubblico registro, non si rileva alcuna violazione nell’acquisizione del dato;

- la violazione degli artt. 24 e 25, contestata dall’Ufficio sull’assunto che la Società ha giustificato la condotta del collaboratore ritenendola ammissibile, non sussiste dal momento che si basa solo su una mera deduzione non comprovata.

2. VALUTAZIONI DI ORDINE GIURIDICO

Con riferimento ai profili fattuali sopra evidenziati, anche in base alle affermazioni della Società di cui il dichiarante risponde ai sensi dell’art. 168 Codice, si formulano le seguenti valutazioni in relazione ai profili riguardanti la disciplina in materia di protezione dei dati personali.

Preliminarmente occorre osservare che l’iscrizione ad un social network comporta l’adesione ai termini di servizio dallo stesso stabiliti e sulla base di tali condizioni contrattuali si basano le aspettative degli interessati relativamente all’utilizzo che di tale strumento verrà fatto da parte anche degli altri utenti. Pertanto le comunicazioni effettuate e ricevute all’interno di tali piattaforme sono finalizzate unicamente a quanto stabilito nelle condizioni di utilizzo del servizio stesso. Linkedin, in particolare, è una piattaforma che ha come finalità quella di mettere in contatto individui che condividono gli stessi interessi professionali per favorire lo scambio di conoscenze o le opportunità lavorative. Non è invece previsto che gli utenti di Linkedin possano utilizzare la piattaforma per inviare messaggi ad altri utenti con lo scopo di vendere prodotti o servizi anche se in ciò consiste, evidentemente, la propria attività lavorativa. In tale contesto, non ha alcuna rilevanza il fatto che il profilo di un utente sia aperto o meno alla ricezione di contatti da parte di altri utenti del network perché ciò che conta è la finalità - in questo caso promozionale - per cui il messaggio è inviato, finalità che è in contrasto con quella, prospettata nelle condizioni contrattuali di adesione al social network, che l’interessato può attendersi. Analogamente, il fatto che il messaggio sia rimasto visibile solo al mittente e alla destinataria, ha importanza unicamente dal punto di vista del contenimento del pregiudizio, che in caso contrario avrebbe dato luogo ad un’illecita diffusione dei dati, ma non è una condizione sufficiente a rimuovere l’illiceità della condotta.

Allo stesso modo, l’accesso ai registri immobiliari è sicuramente consentito per la verifica della titolarità di un immobile. Difatti l’Ufficio, contrariamente a quanto argomentato nella memoria difensiva, non ha contestato l’acquisizione del dato ma il successivo utilizzo che di quel dato è stato fatto per una finalità – promozione di servizi - che non rientra tra quelle per cui il pubblico registro è stato istituito e che ha riguardato un soggetto che non aveva neanche espresso la volontà di mettere in vendita il proprio immobile.

Nel caso di specie, dunque, il collaboratore della Società ha utilizzato il registro immobiliare e il social network – istituiti per finalità determinate - per proporre un servizio di vendita, finalità diversa e incompatibile con quelle originarie e pertanto non rientrante fra le legittime aspettative dell’interessata; tutto ciò, basandosi sull’assunto che la persona che stava contattando su Linkedin fosse la stessa persona rinvenuta come proprietaria nei pubblici registri. Si ritiene pertanto integrata la violazione dell’art. 5 del Regolamento.

La condotta descritta ha pertanto comportato che il trattamento dei dati – concretizzato nella raccolta dei dati stessi e nell’invio di un messaggio per finalità promozionali - sia avvenuto in assenza di una idonea base giuridica, non essendo riconducibile ad alcuna delle condizioni di liceità di cui all’art. 6, par. 1 del Regolamento. Il trattamento, infatti, non è inquadrabile, per le ragioni anzidette, nell’esecuzione del contratto di servizio sottoscritto dagli utenti di Linkedin e l’interessata non aveva espresso uno specifico consenso ad essere contattata per finalità promozionali con tali modalità, né avrebbe potuto farlo dal momento che, come detto, tale finalità non è prevista. Per tali ragioni si configura la violazione dell’art. 6, par. 1 del Regolamento.

Con riguardo più in generale alle modalità operative del titolare del trattamento, si deve ritenere che le argomentazioni esposte nella memoria difensiva non siano sufficienti a superare le contestazioni mosse con l’atto di avvio del procedimento del 20 aprile 2021 dove, tenuto conto che il titolare ha considerato lecita la condotta posta in essere dal collaboratore,  si è ritenuto di poter verosimilmente dedurre che tali pratiche rientrino tra le consuete modalità operative o, per lo meno, non siano considerate in contrasto con esse. Come già descritto sopra, anche dopo l’atto di avvio del procedimento, la Società ha ribadito la propria convinzione in merito alla liceità dell’utilizzo dei pubblici registri e dei social network per finalità promozionale, non censurando la condotta del collaboratore e, di conseguenza, ritenendola ammissibile quale modalità operativa. Ne consegue che le misure tecniche e organizzative del titolare non risultano adeguate a garantire che il trattamento dei dati avvenga in conformità al Regolamento. Per tali ragioni, si ritiene integrata la violazione degli artt. 24 e 25 del Regolamento e si rende necessario, ai sensi dell’art. 58, par. 2, lett. d), ingiungere a La Prima di conformare i propri trattamenti alle disposizioni del Regolamento, adottando misure idonee ad evitare l’effettuazione di attività promozionale in assenza di un’idonea base giuridica da parte di tutti gli incaricati del trattamento.

Ritenute integrate le suddette violazioni, si deve, comunque, avere riguardo al fatto che:

- la condotta oggetto di reclamo rappresenta un caso isolato poiché non risultano, al momento, ulteriori procedimenti avviati a carico della Società;

- l’entità del pregiudizio derivante dal fatto non è rilevante dal momento che è stato effettuato un solo contatto diretto alla reclamante senza comportare la diffusione dei dati personali;

- il titolare ha natura di microimpresa e la sua attività risente dell’attuale situazione economica del settore, fortemente condizionata dall’emergenza connessa alla pandemia in atto.

Per tali ragioni, si ritiene di poter soprassedere – per le violazioni sopra indicate - dall’applicazione di una sanzione di carattere pecuniario e di poter rivolgere, quale misura proporzionata e dissuasiva, un ammonimento a La Prima, ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, in merito alle suddette violazioni, contestate con atto di avvio del procedimento del 20 aprile 2021.

Tuttavia, con riguardo alla violazione dell’art. 157 del Codice, contestata con separato atto di avvio del procedimento del 1° dicembre 2020, si ritiene sussistano i presupposti per l’applicazione di una sanzione amministrativa pecuniaria ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento. Ciò in quanto, come descritto al punto 1, la Società non ha fornito riscontro alle reiterate richieste di informazioni del Garante, rendendo necessaria la notifica tramite il Nucleo speciale privacy della Guardia di Finanza. Nel corso delle successive interlocuzioni (due memorie difensive e un’audizione), la Società, per il tramite dell’XX, ha espletato la propria difesa nel merito senza mai giustificare il proprio silenzio, pur essendo questo stato espressamente contestato dal Garante con il menzionato atto di avvio del procedimento.

3. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

In base a quanto sopra rappresentato, risulta violato l’art. 157 del Codice per cui, ai sensi dell’art. 166, comma 2 del Codice, si rende applicabile la sanzione prevista dall’art. 83, par. 5 del Regolamento.

Ai fini della quantificazione della sanzione amministrativa, per le violazioni di cui al punto 2, il citato art. 83, par. 5, nel fissare il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore, specifica le modalità di quantificazione della predetta sanzione, che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del  Regolamento), individuando, a tal fine, una serie di elementi, elencati al par. 2, , da valutare all’atto di quantificarne il relativo importo.

In adempimento di tale previsione, nel caso di specie, devono essere considerate le seguenti circostanze aggravanti:

1. la gravità della violazione, dal momento che il reiterato mancato riscontro ha comportato un appesantimento dell’attività istruttoria con la conseguente dilatazione dei tempi di definizione del procedimento e con aggravio di costi connessi alla necessità di inviare i militari della Guardia di Finanza per la notifica dell’atto;

2. il grado di responsabilità del titolare del trattamento che non ha giustificato in alcun modo il proprio silenzio limitandosi a scusarsi per il ritardo solo dopo aver ricevuto la notifica dell’atto da parte della Guardia di Finanza e senza tuttavia fornire alcuna motivazione in merito alle mancate risposte.

Quali elementi attenuanti, si ritiene di dover tener conto:

1. dell’assenza di precedenti procedimenti avviati a carico della Società;

2. della natura di microimpresa de La Prima nonché dei dati del bilancio 2020.

In una complessiva ottica di necessario bilanciamento fra diritti degli interessati e libertà di impresa, e in via di prima applicazione delle sanzioni amministrative pecuniarie previste dal Regolamento, occorre valutare prudentemente i suindicati criteri, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società.

Pertanto si ritiene che, in base al complesso degli elementi sopra indicati debba applicarsi alla Società la sanzione amministrativa del pagamento di una somma pari a euro 5.000,00 (cinquemila/00) e, in ragione degli elementi aggravanti rilevati, la sanzione accessoria della pubblicazione per intero del presente provvedimento nel sito web del Garante come previsto dall’art. 166, comma 7 del Codice e dall’art. 16 del regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecito il trattamento descritto nei termini di cui in motivazione da parte di La Prima S.r.l., con sede in Milano, viale Gran Sasso 25, P.IVA n. 10180050964, conseguentemente:

a) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce detta Società affinché conformi i propri trattamenti di dati personali a quanto previsto dal Regolamento;

b) ai sensi dell’art. 58, par. 2, lett. lett. d), ingiunge alla Società di adottare misure idonee ad evitare l’effettuazione, da parte di tutti gli incaricati del trattamento, di attività promozionale in assenza di un’idonea base giuridica.

ORDINA

a La Prima S.r.l., con sede in Milano, viale Gran Sasso 25, P.IVA n. 10180050964, di pagare la somma di euro 5.000,00 (cinquemila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 5.000,00 (cinquemila/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

a) ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate;

b) ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento nel sito web del Garante.

Il Garante, ai sensi dell’art. 58, par. 1, del Regolamento (UE) 2016/679, invita altresì il titolare del trattamento, a comunicare entro 30 giorni dalla data di ricezione del presente provvedimento, quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel presente provvedimento e di fornire comunque riscontro adeguatamente documentato. Si ricorda che il mancato riscontro alla richiesta ai sensi dell’art. 58 è punito con la sanzione amministrativa di cui all'art. 83, par. 5, lett. e), del Regolamento (UE) 2016/679.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 16 settembre 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei