[doc. web n. 9965201]

Provvedimento del 26 ottobre 2023

Registro dei provvedimenti
n. 501 del 26 ottobre 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno partecipato il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, l’avv. Guido Scorza, componente, e il dott. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito il “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il reclamo pervenuto in data 1° novembre 2021 con il quale il sig. XX ha lamentato una presunta violazione del Regolamento, con specifico riferimento al mancato riscontro da parte della Società Hype S.p.A., all’istanza di esercizio dei diritti dallo stesso presentata ai sensi degli artt. 15 e ss. del Regolamento;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

PREMESSO

1. Il reclamo e l’attività istruttoria.

Con reclamo presentato a questa Autorità, il Sig. XX, ha rappresentato di avere effettuato, nei giorni 11 e 12 settembre 2021, la registrazione al sito “Hype.it”, per accedere ai servizi relativi a carte di credito ricaricabili per sé e per i propri figli.

Poiché il processo di iscrizione non era andato a buon fine, in data 22 settembre 2021, chiedeva alla Società “di interrompere il processo di registrazione e nella stessa mail […invitava] l’azienda a interrompere il trattamento dei […] dati e dei […] figli, oltre a ottenere l'accesso a tali dati, una copia degli stessi, e tutte le informazioni previste alle lettere da a) a h) dell’art. 15, paragrafo 1, del Regolamento (UE) 2016/679”; infine chiedeva la cancellazione dei dati sopra indicati ai sensi dell’art. 17, paragrafo 1, del Regolamento (UE) 2016/679.

In particolare, il reclamante ha lamentato che, sebbene la Società gli avesse comunicato, in data 24 settembre 2021, che gli avrebbe fornito “riscontro quanto prima”, non ha poi dato alcun seguito all’istanza dallo stesso presentata.

A seguito dell’invito ad aderire formulato dall’Ufficio il 4 ottobre 2022, la Società, con nota del 21 ottobre 2022, inviata al Garante (e per conoscenza all’interessato), nello scusarsi “per l’errore generatosi ed il ritardo nel riscontro”, comunicava di avere “aderito alle richieste formulate dall’interessato fornendo riscontro allo stesso in data 21/10/2022”. Tale ultima nota è stata inviata al solo interessato.

2. La notifica delle violazioni e le memorie difensive.

Con comunicazione del 17 febbraio 2023, l’Ufficio, sulla base degli elementi acquisiti nel corso dell’attività istruttoria, ha notificato alla Società l’avvio del procedimento per l’adozione dei provvedimenti di cui agli artt. 58, par. 2 e 83 del Regolamento in relazione alla violazione degli artt. 12 e ss. dello stesso, ciò in conformità a quanto previsto dall’art. 166, comma 5 del Codice.

La Società, con nota del 17 marzo 2023, ha fatto pervenire i propri scritti difensivi, dichiarando:

- di essere “una tra le più note piattaforme a livello nazionale per quanto riguarda l’offerta di servizi di pagamento e di moneta elettronica […che] operando in un settore fortemente regolamentato, è posta nella condizione di dover garantire l’integrità e la sicurezza dei dati e delle informazioni, anche per preservare il proprio posizionamento nel mercato di riferimento nonché per soddisfare le aspettative dei consumatori in termini di integrità e riservatezza dei dati”;

- con riferimento al caso di specie, di avere ricevuto, in data 22 settembre 2021, dall’interessato una “istanza di accesso ai sensi degli artt. 15 e ss. del Regolamento e la contestuale interruzione del processo di iscrizione con relativa cancellazione dei dati personali per sé e per i propri figli. Di fatto, la richiesta di attivazione del prodotto offerto da Hype sottoscrivibile online non veniva portata a termine dall’interessato per conto dei suoi due figli di minore età”;

- di avere fornito prontamente un primo riscontro in data 24 settembre 2021 “(dopo solo 48 ore dalla richiesta) informando l’interessato che si sarebbe dato riscontro alle richieste formulate, ovverosia entro il termine stabilito dalla normativa in materia di protezione dei dati personali e come debitamente previsto all’interno delle “Linee Guida per la protezione dei dati personali” (di seguito “Linee Guida”) interne all’organizzazione”;

- che, “a causa di un mero errore accidentale imputabile ad un difetto procedurale-organizzativo […] ha potuto fornire riscontro all’istanza presentata dall’interessato solo in data 21 ottobre 2022, in ritardo rispetto a quanto previsto dalla normativa di riferimento e a seguito di ulteriore richiesta dell’interessato inviata per il tramite di codesta Autorità”;

- che la vicenda in esame ha riguardato solo tre interessati (il reclamante e i suoi due figli) “che sono entrati in relazione per un breve lasso di tempo con il Titolare del trattamento. Inoltre, vi è da considerare che gli interessati in questione non avendo portato a termine il processo di iscrizione si trovavano in una fase precontrattuale, momento in cui vengono raccolti dal Titolare una serie limitata di dati personali. […] l’accesso […pertanto] ha riguardato quei pochi elementi legati ad un numero esiguo di dati personali”;

- che si tratta comunque di un inadempimento di lieve entità, “posto che il rapporto tra gli utenti e il Titolare del trattamento era agli esordi, interrompendosi successivamente la richiesta di iscrizione, dunque mai perfezionatasi, si comprenderà che i dati comunicati dal [reclamante] per sé stesso e per i suoi due figli minori riguardavano solo ed esclusivamente la categoria di dati comuni, nello specifico: nome, cognome, luogo e data di nascita, residenza, indirizzo e-mail, numero di telefono cellulare, codice fiscale, numero documento d’identità”.

- che in relazione all’alto numero di richieste ricevute negli anni 2021- 2022 (oltre mille) “i meccanismi di risposta/comunicazione nei confronti degli interessati, preveduti dalla Società mediante specifiche disposizioni interne, possano dirsi funzionare correttamente”;

- di essersi dotata, al fine di adempiere alle richieste da parte degli interessati, di specifiche Linee Guida in cui viene descritto il processo operativo che è stato suddiviso in quattro distinte fasi (Ricezione, Valutazione; Evasione, Archiviazione della richiesta), “in altri termini dopo i fatti accaduti con [il reclamante…] il calcolo delle tempistiche di evasione delle richieste -originariamente gestito manualmente - è stato automatizzato per evitare il ripetersi di errori umani legati alla determinazione del termine ultimo da rispettare per fornire all'interessato le informazioni relative all'azione intrapresa dal Titolare”;

3. Esito dell’istruttoria e conclusioni.

In via preliminare, si rappresenta che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

Tanto premesso, all’esito dell’esame delle dichiarazioni rese dalle Parti e della documentazione acquisita agli atti nel corso del procedimento, risulta che la Società, pur avendo inviato all’interessato una nota con la quale lo informava che avrebbe dato pronto riscontro, ha poi omesso di fornire le informazioni dallo stesso richieste ai sensi degli artt. 15 e ss. del Regolamento, entro il termine previsto dall’art. 12, par. 3 del Regolamento (“senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta”).

La Società, infatti, ha fornito riscontro, con una nota inviata all’interessato, solo in data 21 ottobre 2022 -a seguito dell’invito ad aderire inviato dal Garante- e, in pari data, ha inviato una comunicazione all’Autorità (e per conoscenza all’interessato) con la quale ha confermato di avere aderito alle richieste dallo stesso avanzate, limitandosi a far presente che il ritardo era stato determinato da “un errore”, senza, tuttavia, fornire ulteriori elementi di precisazione in merito.

A tal riguardo, si evidenzia che il diritto di accesso ai sensi dell’art. 15 del Regolamento è principalmente concepito quale strumento volto a consentire, in linea generale, all’interessato di esercitare il “controllo” sui dati personali che lo riguardano, assicurando allo stesso piena consapevolezza delle informazioni oggetto di trattamento e delle effettive modalità di quest’ultimo.

Lo scopo del diritto di accesso, invero, è primariamente quello di rendere noti “quali” dati e “come” sono stati e sono trattati dal titolare al fine di fornire all’interessato gli strumenti per “conoscere e verificare la liceità e l’esattezza del trattamento” allo stesso riferito (v. cons. 63 del Regolamento; Comitato Europeo per la protezione dei dati, “Guidelines 01/2022 on data subject rights - Right of access”, cit., paragrafi 10-13).

Per i suesposti motivi l’Autorità ritiene che le argomentazioni addotte da Hype S.p.A. nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano, pertanto, inidonee a consentirne l’archiviazione, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

All’esito dell’attività istruttoria è, infatti, emerso che, solo a seguito dell’invito ad aderire formulato da questo Ufficio, la Società ha fornito riscontro alle istanze di accesso formulate dal reclamante.

Alla luce delle considerazioni sopra riportate, il reclamo promosso dal sig. XX risulta, pertanto, fondato ravvisandosi a carico di Hype S.p.A. la violazione dell’art. 12, par.3 del Regolamento, per l’omesso tempestivo riscontro all’istanza di accesso formulata dal reclamante.

Al contempo, con riferimento agli elementi da prendere in considerazione in relazione alla sanzione da applicare, si rileva che, nel corso del procedimento, la Società ha argomentato che quanto accaduto è imputabile ad un “difetto procedurale-organizzativo”, ascrivibile alla circostanza che, nel caso di specie, i tre interessati (il reclamante e i due figli) “sono entrati in relazione per un breve lasso di tempo con il Titolare del trattamento. Inoltre, vi è da considerare che gli interessati in questione non avendo portato a termine il processo di iscrizione si trovavano in una fase precontrattuale, momento in cui vengono raccolti dal Titolare una serie limitata di dati personali”.

L’errore accidentale è stato dunque “determinato da una disfunzione della procedura e meccanismi organizzativi (fino ad allora) poco automatizzati”. Tuttavia, non appena la Società è stata resa edotta dell’accaduto “ha immediatamente provveduto alla regolarizzazione della vicenda”.

Ai fini della valutazione rileva inoltre “che l’(in)tempestività del riscontro riguarda un caso isolato” dovuto ad un “errore accidentale” e che la stessa Società, nel corso del procedimento, ha dimostrato la volontà di cooperazione con l’Autorità, rappresentando che, successivamente alla vicenda in esame, ha effettuato un aggiornamento della procedura per la gestione delle richieste di esercizio dei diritti degli interessati e si è dotata anche di specifiche Linee guida volte a descrivere il processo operativo di gestione delle richieste avanzate dagli interessati.

Rileva, altresì, l’assenza di precedenti pronunce da parte dell’Autorità nei confronti della Società rispetto alla medesima fattispecie.

Si fa, altresì, presente che, tenuto conto dell’adempimento spontaneo da parte del titolare nel corso del procedimento, non sussiste il presupposto di adottare un provvedimento rispetto alla richiesta di “ingiungere al titolare del trattamento di soddisfare le richieste di esercizio dei diritti di cui agli artt. da 15 a 22 del Regolamento”. 

Occorre considerare, dunque, che le circostanze sopra richiamate relative alle azioni intraprese dal titolare del trattamento sia prima che nel corso del procedimento dinanzi all’Autorità, la collaborazione con l’Autorità medesima nel corso del procedimento e l’assenza di precedenti violazioni, per la medesima fattispecie, inducono a qualificare il caso come “violazione minore”, ai sensi dell’art. 83 e del considerando 148 del Regolamento.

In ragione di quanto sopra esposto, dunque, si ritiene di dovere adottare, nei confronti della Società Hype S.p.A., la misura dell’ammonimento, ai sensi degli artt. 143 del Codice e 58, par. 2, lett. b), del Regolamento, per la violazione delle sopra citate disposizioni in materia di protezione dei dati personali, con specifico riferimento alla necessità di fornire un effettivo riscontro alle istanze di esercizio dei diritti nei termini e con le modalità previsti dall’art. 12 del Regolamento, agevolandone l’esercizio, se del caso, anche     attraverso un costante monitoraggio delle misure già adottate dalla società.

Si rileva che ricorrono i presupposti per l’annotazione del provvedimento nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento e dall’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante;

Si informa, infine, che come da disposizioni normative e regolamentari dell’Ufficio (art. 154-bis, comma 3, del Codice; art. 37 del Regolamento del Garante n. 1/2019), copia del presente provvedimento verrà pubblicata sul sito web del Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

a) dichiara, ai sensi degli artt. 57, par. 1, lett. a) e 83 del Regolamento, l’illiceità del trattamento effettuato da Hype, con sede legale in Piazza Gaudenzio Sella, 1, Biella - P.I. 02686590023, nei termini di cui in motivazione, per la violazione dell’art. 12, par. 3 del Regolamento, in relazione all’omesso riscontro all’istanza di accesso presentata dal reclamante;

b) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento ammonisce Hype S.p.a. sulla necessità di fornire effettivo riscontro alle istanze di esercizio dei diritti nei termini e con le modalità previsti dal richiamato art. 12 del Regolamento, se, del caso, anche attraverso un costante monitoraggio delle misure già adottate dalla società;

c) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 26 ottobre 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei