g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Alfa Shipyard s.r.l. - 29 aprile 2021 [9672232]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9672232]

Ordinanza ingiunzione nei confronti di Alfa Shipyard s.r.l. - 29 aprile 2021

Registro dei provvedimenti
n. 166 del 29 aprile 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTA la segnalazione presentata al Garante concernente il trattamento di dati personali effettuato da Alfa Shipyard S.r.l.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

PREMESSO

1. La segnalazione nei confronti della società e l’attività istruttoria.

1.1. Con segnalazione del 26 novembre 2019 il sig. XX ha lamentato presunte violazioni del Regolamento da parte di Alfa Shipyard s.r.l. (di seguito, la società), con riferimento al mancato riscontro all’esercizio dei diritti in materia di protezione dei dati personali.

Con nota del 25 febbraio 2020, l’Ufficio ha invitato la società a fornire riscontro in ordine ai fatti oggetto di segnalazione. In assenza di riscontro da parte della società e in ragione delle difficoltà indotte dalla pandemia in corso, essendo emerso che l’attività presso la sede di Varazze era cessata agli inizi del 2020, è stata inviata in data 29 luglio 2020 una nuova richiesta istruttoria nei confronti della sede legale di Alfa Shipyard s.r.l., sita a Milano, inviandola all’indirizzo pec. della società.

1.2. Non essendo pervenuto riscontro da parte della società, sia alla predetta nota che a quella successiva inviata ai sensi dell’art. 157 del Codice in data 9 settembre 2020, l’Ufficio ha chiesto la collaborazione del Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza anche al fine di ottenere un riscontro sui fatti oggetto di segnalazione, attraverso la notifica della richiesta di informazioni ex art. 157 del Codice.

1.3. Con nota prot. n. 38045 del 13 ottobre 2020 l’Ufficio ha pertanto notificato alla società ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, e delle sanzioni di cui all’art. 83 del RGPD, in relazione alle violazioni dell’art. 157 del Codice. La società non si è avvalsa delle facoltà previste dall’art. 18 della legge n. 689/1981, non inviando all’Autorità scritti difensivi o documenti né chiedendo di essere sentita in merito alle prospettate violazioni.

1.4. Solo in data 18 dicembre 2020, l’avv. Giuseppe Pierfrancesco Mussumeci, in nome e per conto della società, ha trasmesso un riscontro in merito alla nota di questo Ufficio del 9 settembre 2020 (notificata dalla Guardia di Finanza), con particolare riferimento alle richieste del sig. XX, dichiarando che la società aveva “già da tempo provveduto alla cancellazione di ogni dato personale riferibile al sig. XX”. In detto riscontro, l’avv. Mussumeci ha precisato, inoltre, che il nominativo dello stesso era stato “riprodotto in un messaggio di spam creato da un malware dell’account di posta elettronica” della società Alfa Shipyard S.r.l., circostanza che avrebbe confermato “l’assenza di responsabilità da parte della stessa [Società] per i fatti contestati dal sig. XX”, con la conseguenza che alcuna violazione della normativa in tema di protezione dei dati personali poteva essere imputata ad Alfa Shipyard S.r.l..

1.5. L’interessato, che ha inviato numerose comunicazioni e precisazioni nel corso del procedimento, ha in particolare indicato con e-mail del 28 febbraio 2021 (prot.11763) di continuare a ricevere e-mail indesiderate “facenti riferimento a cantieri navali o all’ex titolare effettivo della Alfa Shipyard Sig. XX”.

1.6. A seguito di un supplemento di istruttoria condotta dall’Ufficio attraverso un’ulteriore richiesta di chiarimenti, in merito al mancato riscontro al sig. XX, ai modi e ai tempi della cancellazione, oltre ad una spiegazione più esaustiva in relazione al malware in grado di replicare dati cancellati (prot. 11042/1 del 24 febbraio 2021), la Società non ha prodotto alcun’altra risposta.

2. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

2.1. All’esito dell’esame delle scarne dichiarazioni rese dal titolare del trattamento all’Autorità nel corso del procedimento nonché della documentazione acquisita, premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice, “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”, è emerso che la società non ha fornito riscontro all’istanza presentata ai sensi degli artt. 15-22 del Regolamento in data 24 ottobre 2019 dal Sig. XX, avente ad oggetto i predetti diritti, tra cui anche la richiesta di cancellazione dei dati personali del segnalante. Gli scarni riscontri forniti dal legale della società, solo dopo la notificazione effettuata per il tramite della Guardi di Finanza, sono stati, oltre che tardivi, anche incompleti. Secondo il dettato regolamentare, la società avrebbe dovuto fornire un riscontro all’interessato, anche negativo, con modalità conformi a quanto prescritto dall’ordinamento, rappresentando, in conclusione, di aver cancellato i dati oggetto dell’istanza e adottando misure idonee a precludere l’inoltro di successivi messaggi promozionali.

Pertanto la società non ha ottemperato all’obbligo di fornire riscontro all’interessato, così come prescritto dall’art. 12 del Regolamento in base al quale “il titolare del trattamento fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa”.

2.2. È altresì emerso che la società ha omesso di fornire riscontro anche alla richiesta di informazioni del 9 settembre 2020 formulata da questa Autorità ai sensi dell’art. 157 del Codice. In base al citato articolo 157 del Codice “Nell'ambito dei poteri di cui all'articolo 58 del Regolamento, e per l'espletamento dei propri compiti, il Garante può richiedere al titolare, […] di fornire informazioni e di esibire documenti”. L’art. 166, comma 2, del Codice stabilisce che la violazione dell’art. 157 del Codice è soggetta alla sanzione amministrativa di cui all’articolo 83, par. 5, del Regolamento.

3. Conclusioni: illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.
Per i suesposti motivi, il trattamento dei dati personali riferiti al segnalante effettuato dalla società in ragione dell’omesso riscontro alle istanze di esercizio dei diritti da questi presentate, nonché della completa omissione alla richiesta di informazioni formulata dall’Autorità ai sensi dell’art. 157, risulta illecito, nei termini su esposti, in relazione all’ art. 12 del Regolamento e all’art. 157 del Codice.

Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento, alla luce delle circostanze del caso concreto:

- si ingiunge alla Società di fornire un riscontro conclusivo e inequivocabile all’interessato, assicurando di aver adottato tutte le misure necessarie per impedire l’inoltro di ulteriori comunicazioni al segnalante entro il termine di 60 giorni dal ricevimento del presente provvedimento;

- si dispone l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 2 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) Regolamento).

Ordinanza ingiunzione.

Ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166, commi 3 e 7 del Codice, il Garante dispone l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento, mediante adozione di un’ordinanza ingiunzione (art. 18, l. 24.11.1981, n. 689), in relazione all’omesso riscontro alla richiesta di informazioni formulata dall’Autorità, ai sensi dell’art. 157 del Codice.

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

a) con riguardo alla natura, alla gravità e alla durata della violazione, si osserva che la violazione è da considerarsi significativa, essendo riferita al riscontro da fornire all’Autorità. Tra l’altro, con riferimento alla durata della violazione, si osserva che la stessa si è protratta per un lungo tempo e che è cessata solo a seguito dell’intervento della GdF;

b) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare, è stata presa in considerazione la negligente condotta della società e il grado di responsabilità dei suoi rappresentanti che non si sono conformati alla disciplina in materia di protezione dei dati relativamente alle disposizioni del Codice;

c) rispetto al grado di cooperazione con l’Autorità di controllo, è stata valutata la mancatacollaborazione della società in tutte le fasi del procedimento;

d) l’assenza di precedenti specifici (relativi alla stessa tipologia di trattamento) a carico della società.

Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla società con riferimento al bilancio d’esercizio per l’anno 2019.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Alfa Shipyard s.r.l. la sanzione amministrativa del pagamento di una somma pari ad euro 5.000,00 (cinquemila).

In tale quadro si ritiene, altresì, in considerazione della tipologia di violazione accertata, che ha riguardato l’omesso riscontro alle richieste dell’Autorità, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante.

Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

dichiara l’illiceità della condotta tenuta da Alfashipyard s.r.l. ai sensi dell’art. 144 del Codice, per la violazione degli art. 5, par. 1, lett. a), c) ed f) del Regolamento e per la violazione dell’art. 157 del Codice;

INGIUNGE

ai sensi dell’art. 58, par. 2, lett. c) e d) del Regolamento ad Alfa Shipyard s.r.l. di soddisfare le richieste del segnalante ai sensi dell’art. 12 del Regolamento e conformare ai principi di liceità i trattamenti effettuati come esposto in premessa, entro 60 giorni dal ricevimento del presente provvedimento;

ORDINA

a Alfashipyard s.r.l., con sede legale in Piazzale Nizza n. 3, Milano PI: 07218580962, ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, di pagare la somma di euro 5.000,00 (cinquemila) a titolo di sanzione amministrativa pecuniaria per le violazioni facenti capo all’omesso riscontro alla richiesta di informazioni formulata dall’Autorità, ai sensi dell’art. 157 del Codice;

INGIUNGE

altresì alla medesima Società di pagare la somma di euro 5.000,00 (cinquemila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1/9/2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019, e ritiene che ricorrano i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 29 aprile 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei