Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Ordinanza ingiunzione - 23 febbraio 2017 [7908418]

[doc. web n. 7908418]

Ordinanza ingiunzione - 23 febbraio 2017

Registro dei provvedimenti
n. 78 del 23 febbraio 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

RILEVATO che la Guardia di finanza, Nucleo speciale privacy, con verbale n. 13/2014 del 20 marzo 2014 (notificato il 4 aprile 2014), che qui deve intendersi integralmente riportato, ha contestato alla società Lucini & Lucini Communication Ltd (di seguito “Lucini & Lucini Comm. Ltd”), in persona del legale rappresentante pro-tempore, con sede legale in Dublino (Irlanda),  e sede operativa (fino alla data del 4 gennaio 2016) in XX, (MI), XX, C.F. XX, le violazioni previste dagli artt. 161 e 162, comma 2-bis, del Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196, di seguito denominato “Codice”);

DATO ATTO, più precisamente, che con il verbale di contestazione si rileva che:

- a seguito di accertamento ispettivo svolto in data 26 e 27 febbraio 2014, è emerso che “la Lucini & Lucini Communications Ltd, dal 1 gennaio 2014, effettua una raccolta di dati personali attraverso i seguenti tre siti societari di proprietà: it.horoscopofree.com, www.bioritmofree.com e www.oracoloching.com con la finalità di offrire servizi gratuiti anche agli utenti residenti nel territorio nazionale e con finalità ulteriori di invio periodico agli stessi utenti, a mezzo e-mail di comunicazioni di carattere promozionale riguardanti prodotti o servizi offerti da partners commerciali del titolare, operanti in vari settori od inviti a partecipare ad indagini di mercato riguardanti i servizi del titolare od altri servizi dei suoi partners commerciali; infatti in tutti e tre i siti sopra descritti, è prevista una identica procedura di registrazione per l'utente, attraverso il conferimento di dati personali (nome di battesimo, email, professione, città, nazione, titolo di studio e data di nascita), con l'accettazione obbligatoria di tutte le finalità sopra descritte, quindi anche quelle relative a comunicazioni promozionali di partners commerciali della Lucini & Lucini Communications Ltd”;

- è emerso che la società ha effettuato i predetti trattamenti, “senza avere fornito agli utenti stessi un'idonea informativa in lingua italiana, secondo quanto prescritto dall'art.13 del D. Lgs. 196/2003, ma un'informativa resa in lingua inglese attraverso una "Privacy Statement", secondo quanto previsto dalle vigenti leggi irlandesi, presente in ognuno dei tre siti summenzionati” e “senza aver acquisito dagli utenti stessi il consenso "liberamente e specificamente", previsto in riferimento ad un trattamento chiaramente individuato' (finalità ulteriori di invio periodico agli stessi utenti, a mezzo e-mail di comunicazioni di carattere promozionale riguardanti prodotti o servizi offerti da partners commerciali del titolare, operanti in vari settori od inviti a partecipare ad indagini di mercato riguardanti i servizi del titolare od altri servizi del suoi partners commerciali, indicate nella "Privacy Statement"), diversamente da quanto prescritto dall'art.23, c. 3, del D.Lgs. 196/2003 e, dunque, in violazione delle disposizioni indicate nell'art. 167, c. 1, del D.Lgs. 196/2003”;

RILEVATO che con il citato atto del 20 marzo 2014 è stata contestata a Lucini & Lucini Comm. Ltd, ai sensi dell’art. 161 del Codice, la violazione dell’art. 13, per avere svolto trattamenti di dati personali degli utenti iscritti a ciascuno dei siti sopra indicati senza aver reso ai predetti la necessaria informativa; ai sensi dell’art. 162, comma 2-bis, del Codice, la violazione delle disposizioni indicate nell’art. 167, fra cui quelle di cui all’art. 23, per avere  svolto, con i dati di cui sopra, trattamenti aventi finalità promozionali, senza avere acquisito dagli interessati uno specifico consenso; rilevato altresì che le violazioni sono state contestate in relazione alle raccolte dei dati operate mediante ciascuno dei tre siti Internet sopra indicati, avendo rilevato la Guardia di finanza che le predette raccolte hanno determinato l’effettuazione di distinti trattamenti di dati personali per ciascuno dei quali era necessario fornire la prevista informativa e acquisire il prescritto consenso;

VISTO il rapporto relativo all’atto di contestazione di cui sopra, predisposto dall’Ufficio ai sensi dell’art. 17 della legge 24 novembre 1981, n. 689, dal quale non risulta essere stato effettuato il pagamento in misura ridotta;

LETTI gli scritti difensivi del 20 marzo 2014 e il verbale di audizione del 9 giugno 2014, che qui si intendono integralmente richiamati, nei quali si rappresenta:

-  la società Lucini & Lucini Comm. Ltd "a decorrere dal 1° gennaio 2014, è divenuta titolare dell'azienda condotta sino a quella data da Lucini & Lucini Communications Europe s.r.l. (oggi Lucini & Lucini Holdings s.r.l.). [...] Per l'effetto, la gestione del database è interamente demandata a Lucini & Lucini LTD ed il trattamento dei dati ivi contenuti è effettuato dai dipendenti di tale società localizzati in Irlanda. [...] Dal canto loro, le stabili organizzazioni (tra cui la Branch italiana) o le entità giuridiche locali hanno lo scopo esclusivo di mantenere i rapporti con le agenzie di pubblicità e raccogliere gli ordini. [...] Per completezza, si segnala che nell'ambito di tale attività di gestione degli ordini, i dipendenti della Branch italiana possono svolgere interrogazioni sul database che, tuttavia, consentono loro di estrarre esclusivamente informazioni numeriche sulle dimensioni dello stesso [...]. Secondo Lucini & Lucini il Codice troverebbe applicazione solo per i trattamenti effettuati dalla società per il tramite della Branch italiana, e quindi esclusivamente per il trattamento dei dati dei dipendenti. Solo questo trattamento, infatti, sarebbe effettuato da un soggetto stabilito nel territorio italiano ai sensi dell'art. 5 del Codice”;

- “il verbale di contestazione n. 13/2014 si basa sull'assunto che, nel caso di specie, trovino applicazione le disposizioni del Codice Privacy sulla base del relativo articolo 5, primo comma, ai sensi del quale: "il presente codice disciplina il trattamento di dati personali, anche detenuti all'estero, effettuato da chiunque è stabilito nel territorio dello Stato (...)". In altri termini, la Guardia di Finanza ritiene che avendo Lucini&Lucini Ltd., società di diritto irlandese, una branch in Italia, al trattamento dei dati personali degli utenti italiani dei Siti Internet si debba applicare la normativa privacy italiana. Ebbene, Lucini&Lucini Ltd. contesta proprio questo assunto: infatti, è vero che Lucini&Lucini Ltd. ha una branch in Italia, tuttavia, è altrettanto vero che la Branch Italiana […] non tratta dati degli utenti dei Siti Internet ma solamente dati dei propri dipendenti e delle agenzie di marketing italiane clienti di Lucini&Lucini Ltd. (persone giuridiche). Di conseguenza, secondo Lucini&Lucini Ltd., il Codice Privacy troverebbe applicazione solo per i trattamenti effettuati dalla società per il tramite della Branch Italiana e, quindi, esclusivamente per il trattamento dei dati dei dipendenti. Solo questo trattamento, infatti, sarebbe "effettuato" da un soggetto stabilito nel territorio italiano, ai sensi dell'articolo 5, Codice Privacy. Diversamente, il Codice Privacy non troverebbe applicazione con riferimento ai trattamenti che non rientrano nel contesto delle attività riferibili alla Branch Italiana, ossia a quei trattamenti effettuati direttamente ed esclusivamente da un soggetto stabilito in Irlanda, tra cui il trattamento dei dati personali degli utenti iscritti ai Siti Internet per invio di e-mail di marketing, che rimarrebbe disciplinato dalla legge irlandese”.

- “A giudizio di Lucini&Lucini Ltd., tale interpretazione risulta ulteriormente confermata a livello comunitario dalla formulazione dalla Direttiva 95/46/CE e dalle interpretazioni fornire dal "Gruppo di Lavoro Articolo 29 per la Protezione dei Dati Personali”;

- l’art. 4 della direttiva n. 95/46/CE “richiama espressamente il concetto di trattamento "effettuato nel contesto delle attività di uno stabilimento del responsabile del trattamento (...)" (titolare del trattamento). In particolare, sarebbe applicabile la legge italiana ove il trattamento dei dati personali sia effettuato "nel contesto delle attività di uno stabilimento" del titolare del trattamento localizzato in Italia. In merito all'interpretazione di tale articolo soccorre il Parere n. 8/2010, adottato il 16 dicembre 2010 dal Gruppo di Lavoro (doc. n. WP 179). A pagina 16 di tale parere viene affermato espressamente che: "La nozione di «contesto di attività» non implica che la legge applicabile sia quella dello Stato membro in cui è stabilito il responsabile del trattamento, ma quella del paese in cui uno stabilimento del responsabile del trattamento svolge attività correlate al trattamento dei dati"”;

- Lucini & Lucini Comm. Ltd ha pertanto richiesto l’archiviazione del procedimento sanzionatorio, sul presupposto che nei trattamenti in argomento non fosse applicabile la normativa italiana e, in subordine, l’applicazione delle sanzioni nella misura minima edittale, tenuto conto della diminuente di cui all’art. 164-bis, comma 1, del Codice;

RITENUTO che le argomentazioni addotte non risultano idonee a determinare l’archiviazione del procedimento sanzionatorio avviato con la contestazione di cui sopra per le ragioni che di seguito si espongono:

- quanto agli aspetti legati alla giurisdizione e al principio di stabilimento (che nell'ordinamento italiano risiedono nell'art. 5, commi 1 e 2, del Codice), deve prendersi in considerazione quanto stabilito dalla sentenza della Corte di Giustizia dell’Unione Europea del 13 maggio 2014 C-131/12 (caso “Costeja González”). In particolare, il punto n. 60 della predetta sentenza afferma che “un trattamento di dati personali viene effettuato nel contesto delle attività di uno stabilimento del responsabile di tale trattamento nel territorio di uno Stato membro [...] qualora il gestore di un motore di ricerca apra in uno Stato membro una succursale o una filiale destinata alla promozione e alla vendita degli spazi pubblicitari proposti da tale motore di ricerca e l’attività della quale si dirige agli abitanti di detto Stato membro”;

- il medesimo principio, poi, si trova affermato anche nella sentenza della Corte di Giustizia dell’Unione Europea del 1° ottobre 2015, C-230/14 (caso “Weltimmo”), nella quale si chiarisce come la costituzione di una organizzazione stabile sul territorio comporta l’applicazione della giurisdizione nazionale, in virtù del fatto che l’attività svolta dalla medesima è diretta quanto meno a rendere economicamente redditizio il servizio reso dalla società principale, avente sede all’estero (nello stesso senso anche il parere 8/2010 adottato dal Gruppo di lavoro articolo 29 per la protezione dei dati in data 16 dicembre 2010, nel quale si osserva che "per determinare se si applicano una o più leggi alle diverse fasi del trattamento, è importante tenere a mente l'immagine globale dell'attività di trattamento: un insieme di operazioni svolte in una serie di diversi Stati membri, ma tutte intese a servire un unico scopo […]. In tali circostanze, per individuare il diritto applicabile è decisiva la nozione di “contesto delle attività”, e non l’ubicazione dei dati. La nozione di “contesto di attività" non implica che la legge applicabile sia quella dello Stato membro in cui è stabilito il responsabile ["titolare", ndr] del trattamento, ma quella del paese in cui uno stabilimento del responsabile del trattamento svolge attività correlate al trattamento dei dati”; pertanto il contesto delle attività non deve ritenersi ancorato a parametri formali, come la sede legale del titolare o l’ubicazione dei server contenenti i dati personali, ma a considerazioni legate all’effettiva attività svolta e ai soggetti verso la quale essa risulta indirizzata);

- il Garante ha già fatto applicazione, in una precedente decisione su ricorso (v. provvedimento n. 83 del 25 febbraio 2016, doc. web n. 4881581), degli arresti sopra indicati, valutazione che è stata, altresì, riconosciuta corretta dal Tribunale di Milano con sentenza pronunciata in data 5 gennaio 2017 (con la quale, oltre a confermare la sussistenza della giurisdizione del Garante alla luce dell’art. 4 della direttiva 95/46/CE così come interpretato dalla Corte di Giustizia dell’Unione europea, ha altresì affermato che a non diversa conclusione si può comunque pervenire attraverso la considerazione della necessità di garantire il principio di effettività della tutela “a fronte di una lesione derivante da un illecito trattamento di dati personali avvenuti on line ed i cui effetti dannosi si sono verificati in Italia”);

- nel caso in argomento, ricorrono tutti gli elementi sinora richiamati, quali l’esistenza, all’epoca dell’accertamento, di una succursale destinata alla commercializzazione di spazi pubblicitari (i dati raccolti attraverso i siti per essere utilizzati per finalità di direct e-mail marketing) e la circostanza che l’attività fosse diretta ai cittadini dello Stato ove aveva sede tale succursale;

- come evidenziato, infatti, anche dalla parte, dall’esame degli atti dell’accertamento ispettivo è emerso che 1.200.000 cittadini italiani si sono registrati ai siti it.horoscopofree.com, www.bioritmofree.com e www.oracoloching.com. I dati raccolti mediante tali siti sono stati utilizzati per svolgere attività promozionali commissionate da aziende italiane, per il tramite della sede operativa italiana della Lucini & Lucini Comm. Ltd. e indirizzate a soggetti italiani; i siti di cui sopra, infine, si presentavano anche in lingua italiana.

RILEVATO, inoltre, che la stretta correlazione fra il territorio italiano e il contesto delle attività svolte dalla società mediante i siti sopra indicati è ulteriormente evidenziata, ove mai ce ne fosse bisogno, dalla circostanza che i siti utilizzati per le attività di direct e-mail marketing (DEM) sono tutti riconducibili al sig. Marco Lucini, preposto alla sede italiana di Lucini & Lucini Comm. Ltd;

CONSIDERATO, quindi, che la costituzione della società irlandese non ha modificato i parametri di valutazione della giurisdizione e che, quindi, nel caso di specie trovano applicazione le disposizioni del Codice;

RILEVATO, quanto al merito delle contestazioni, che:

-  l’attività promozionale curata dalla società era costituita dall’invio di e-mail pubblicitarie e che, pertanto, il consenso che doveva essere richiesto agli interessati era quello previsto dall’art. 130, commi 1 e 2, nelle forme indicate dall’art. 23; 

- la società, pertanto, nei trattamenti in argomento, avrebbe dovuto rendere una idonea informativa ai sensi dell’art. 13 del Codice e acquisire dagli interessati il previsto consenso ai sensi degli artt. 23 e 130 del medesimo Codice. Poiché dagli atti emerge che tali adempimenti non furono curati dalla Lucini & Lucini Comm. Ltd., deve confermarsi la responsabilità della medesima in ordine alle violazioni contestate dalla Guardia di finanza con il verbale n. 13/2014.

RILEVATO, quindi, che Lucini & Lucini Comm. Ltd., sulla base delle considerazioni sopra richiamate, risulta aver commesso, in qualità di titolare del trattamento, ai sensi degli artt. 4, comma 1, lett. f), e 28 del Codice le violazioni previste:

- dall’art. 161 del Codice, per aver effettuato trattamenti di dati personali degli utenti dei siti Internet it.horoscopofree.com, www.bioritmofree.com e www.oracoloching.com, senza aver reso agli interessati un’idonea informativa ai sensi dell’art. 13 del Codice;

- dall’art. 162, comma 2-bis, del Codice, per aver effettuato trattamenti, per finalità promozionali, di dati personali raccolti mediante i predetti siti, senza aver acquisito dagli interessati uno specifico consenso ai sensi degli artt. 23 e 130, commi 1 e 2, del Codice;

VISTO l’art. 161 del Codice, che punisce la violazione delle disposizioni di cui all’art. 13 con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro, e l’art. 162, comma 2-bis, del Codice, che punisce la violazione delle disposizioni indicate nell’art. 167, fra le quali quelle in materia di consenso di cui agli artt. 23 e 130 del Codice, con la sanzione amministrativa del pagamento di una somma da diecimila a centoventimila euro;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge n. 689/1981, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a) in ordine all’aspetto della gravità con riferimento agli elementi dell’entità del pregiudizio o del pericolo e dell’intensità dell’elemento psicologico, le violazioni non risultano connotate da elementi specifici;

b) ai fini della valutazione dell’opera svolta dall’agente, deve essere considerato in termini favorevoli il fatto che la società abbia dichiarato di aver cautelativamente sospeso i trattamenti in argomento;

c) circa la personalità dell’autore della violazione, deve essere considerata la circostanza che la società, nel medesimo contesto dell’accertamento ispettivo della Guardia di finanza, ha definito in via breve un diverso e autonomo procedimento sanzionatorio per l’inosservanza di disposizioni relative all’informativa in materia di videosorveglianza;

d) in merito alle condizioni economiche dell’agente, è stata presa in considerazione la dichiarazione fiscale per l’anno 2014;

RITENUTO, quindi, di dover determinare, ai sensi dell’art. 11 della L. n. 689/1981, l’ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura di:

- euro 9.000,00 (novemila) per ciascuna delle tre violazioni di cui all’art. 161, in relazione all’art. 13 del Codice;

- euro 15.000,00 (quindicimila) per ciascuna delle tre violazioni di cui all’art. 162, comma 2-bis, in relazione agli artt. 23 e 130 del Codice;

VISTA la documentazione in atti;

VISTA la legge n. 689/1981, e successive modificazioni e integrazioni;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la dott.ssa Augusta Iannini;

ORDINA

a Lucini & Lucini Communication Ltd, in persona del legale rappresentante pro-tempore, con sede legale in Dublino (Irlanda) e sede operativa (fino alla data del 4 gennaio 2016) in XX, (MI), XX, C.F. XX, di pagare la somma di euro 72.000,00 (settantaduemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione;

INGIUNGE

alla medesima società di pagare la somma di euro 72.000,00 (settantaduemila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 23 febbraio 2017

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia