[doc. web n. 9885111]

Provvedimento del 23 marzo 2023

Registro dei provvedimenti
n. 89 del 23 marzo 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il reclamo presentato dal sig. XX in data 27/03/2021, ai sensi dell’art. 77 del Regolamento, con cui è stato lamentato un illecito trattamento di dati personali da parte di CAAF CGIL Lombardia s.r.l., conseguente a una istanza di cancellazione dei dati personali;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. L’avvio del procedimento.

Con il reclamo presentato a questa Autorità in data 27/03/2021, il sig. XX lamentava un illecito trattamento di dati personali posto in essere da parte di CAAF CGIL Lombardia s.r.l. (di seguito “CAAF”), consistente in un riscontro meramente formale alla istanza di cancellazione dei dati personali e di revoca del consenso, formulata in data 15/02/2021.

In particolare, il reclamante rappresentava che, dopo aver ricevuto dal CAAF la conferma dell’avvenuta revoca dei consensi in precedenza manifestati, aveva ricevuto dallo stesso una ulteriore e-mail avente contenuto promozionale.

Con la nota del 24/05/2021 (prot. n. 28462), il CAAF veniva invitato a fornire osservazioni in ordine ai fatti oggetto di reclamo, specificando i presupposti di legittimità alla base del trattamento posto in essere.

Nel riscontro datato 23/06/2021, il CAAF dichiarava che:

- la raccolta e la conservazione dei dati personali dei propri iscritti avvengono sulla base del consenso, ai sensi dell’art. 6, par. 1, lett. a), del Regolamento che può essere revocato in qualunque momento, anche mediante l’invio di una e-mail;

- nel caso di specie, a fronte della richiesta dell’interessato, si era provveduto tempestivamente a cancellare il nominativo dal database contenente gli indirizzi di posta elettronica impiegati nella mailing list delle newsletter;

- tuttavia, “il database [contenente gli indirizzi e-mail della newsletter] e la mailing list [con cui vengono inviate le comunicazioni] hanno due tempi di aggiornamento diversi e tra loro indipendenti” cosicché “il primo viene modificato immediatamente, appena ricevuta la richiesta di revoca del consenso, eliminando i dati al suo interno. In un momento successivo, la mailing list, aggiornandosi, adatterà il proprio contenuto affinché gli indirizzi di posta elettronica presenti nel database coincidano con quelli all’interno della stessa mailing list”;

- “questa modalità asincrona ha presumibilmente provocato un errore tecnico, da cui poi è risultato l’invio non desiderato della newsletter contestata”.

L’Ufficio, alla luce di quanto sopra, provvedeva a notificare l’atto di avvio del procedimento sanzionatorio, ai sensi dell’art. 166, comma 5, del Codice per la violazione dell’art. 17, par. 1, lett. b) e dell’art. 6, par. 1, lett. a) del Regolamento (prot. n. 53037 del 21/10/2021).

Il CAAF, in data 18/11/2021, inviava propri scritti difensivi, ai sensi dell’art. 18 della legge n. 689/1981, con cui veniva ribadito che l’invio della comunicazione promozionale all’indirizzo di posta elettronica del reclamante era stato causato da un errore tecnico, dovuto principalmente al mancato aggiornamento della mailing list rispetto al database. In particolare, la natura dell’evento era esclusivamente colposa, in quanto l’invio della comunicazione non era dipeso dalla volontà del titolare. “Al fine di scongiurare altri simili errori, il titolare ha predisposto un sistema di disiscrizione automatica alla newsletter, in modo da semplificare il procedimento e garantire una maggior efficienza del sistema. Tramite questo nuovo link (tasto “disiscriviti”), l’utente che non volesse più ricevere comunicazioni di natura informativa-promozionale può fare in modo che la sua e-mail venga eliminata dalla mailing list”.

2. L’esito dell’istruttoria.

All’esito dell’esame della documentazione prodotta e delle dichiarazioni rese dalla parte nel corso del procedimento, premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice, risulta accertato che il CAAF ha dato riscontro all’istanza di cancellazione dei dati personali avanzata dal reclamante, dichiarando di aver rimosso i dati dalla mailing list ma, in effetti, ha continuato a conservare e a trattare i suoi dati, senza un’idonea base giuridica.

Risulta dalla documentazione in atti che, con l’istanza del 15/02/2021, il reclamante chiedeva di procedere alla “revoca del consenso per i punti 2, 3, 4 e 5 del documento Informativa e consenso sul trattamento dei dati personali”, sottoscritto in data 03/06/2019. In particolare, il punto 5 del citato documento si riferisce al “trattamento dei dati da parte di CAAF per finalità di comunicazione commerciale o di invio di materiale promozionale (…)”.

Il titolare del trattamento, seppure con l’e-mail del 23/02/2021 comunicava all’istante di “aver provveduto a revocare i consensi”, determinando così la legittima aspettativa della cessazione del trattamento promozionale, ha invece continuato a trattare i suoi dati.

Dal momento dell’invio della comunicazione all’interessato (avvenuto il 23/02/2021), venendo meno il presupposto di legittimità del trattamento fino a quel momento realizzato, lo stesso avrebbe dovuto cessare. Ne deriva che il trattamento successivamente posto in essere dal CAAF è avvenuto in violazione della volontà, manifestata dall’interessato, di revocare il consenso e in maniera illecita, in quanto nessuna base giuridica, tra quelle indicate all’art. 6, par. 1, del Regolamento ricorre nel caso in esame. 

Tra l’altro, si evidenzia che nessun elemento di prova è stato fornito dal CAAF a supporto di quanto dichiarato in relazione all’errore tecnico che avrebbe determinato l’ulteriore trattamento dei dati, successivamente all’accoglimento della revoca del consenso.

3. Conclusioni: illiceità dei trattamenti effettuati. Provvedimenti correttivi.

Alla luce delle valutazioni che precedono, si rileva quindi che le dichiarazioni rese dal titolare del trattamento negli scritti difensivi ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentirne l’archiviazione, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del regolamento del Garante n. 1/2019, concernente le procedure interne all’Autorità aventi rilevanza esterna.

Il CAAF nel dare un riscontro meramente formale all’istanza di revoca del consenso presentata dall’interessato, ha effettuato un trattamento di dati personali che risulta illecito perché privo di un’idonea base giuridica, con conseguente violazione dell’art. 6, par. 1, del Regolamento.

Per i suesposti motivi, pertanto, si dichiara fondato il reclamo presentato ai sensi dell’art. 77 del Regolamento e, nell’esercizio dei poteri correttivi attribuiti all’Autorità ai sensi dell’art. 58, par. 2, del Regolamento si dispone l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, del Regolamento.

4. Ordinanza di ingiunzione.

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. L. 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali riferito al reclamante, di cui è stata accertata l’illiceità, nei termini sopra esposti.

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state tenute in considerazione le circostanze sotto riportate:

- con riguardo alla natura, gravità e durata della violazione è stata considerata rilevante la natura della violazione che ha riguardato le disposizioni relative ai presupposti di legittimità del trattamento;

- l’assenza di precedenti violazioni pertinenti commesse dal titolare del trattamento;

- il grado di cooperazione fornito dalla parte nel corso del procedimento;

- le misure adottate per evitare il ripetersi di analoghe situazioni.

In considerazione dei richiamati principi di effettività, proporzionalità e dissuasività (art. 83, par. 1, del Regolamento) ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione, sono state prese in considerazione le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti e riferiti al bilancio d’esercizio per l’anno 2018.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 30.000,00 (trentamila) per la violazione dell’art. 6 del Regolamento.

In tale quadro, anche in considerazione della tipologia di violazione accertata, che ha riguardato i diritti dell’interessato, si ritiene che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito internet del Garante.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

dichiara, ai sensi degli artt. 57, par. 1, lett. f) e 83 del Regolamento, l’illiceità del trattamento effettuato, nei termini di cui in motivazione, per la violazione dell’art. 6 del Regolamento;

ORDINA

a CAAF CGIL Lombardia s.r.l., in persona del legale rappresentante pro-tempore, con sede legale in Milano, Via Palmanova n. 22, P.I. 02282990965, ai sensi dell’art. 58, par. 2, del Regolamento, di pagare la somma di euro 30.000,00 (trentamila) a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione;

INGIUNGE

alla medesima Società di pagare la somma di euro 30.000,00 (trentamila) secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981. Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del regolamento n. 1/2019.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 23 marzo 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei