g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Autosat S.p.A. - 31 maggio 2018 [9023986]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9023986]

Ordinanza ingiunzione nei confronti di Autosat S.p.A. - 31 maggio 2018

Registro dei provvedimenti
n. 371 del 31 maggio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale; 

RILEVATO che la Guardia di finanza, Nucleo speciale privacy, con verbali nn. 86 e 87 del 25 luglio 2016 (entrambi notificati il 9 agosto 2016), e n. 8 del 25 gennaio 2017 (notificato il 13 febbraio 2017) che qui devono intendersi integralmente riportati, ha contestato alla società Autosat S.p.A., in persona del legale rappresentante pro-tempore, con sede legale in Surbo (LE), via Unità d’Italia n. 1, C.F. 03575990753, le violazioni previste dagli artt. 26, 33, 37, 38, 162, comma 2-bis e 163 del Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196, di seguito denominato “Codice”);

RILEVATO che dall’esame degli atti del procedimento sanzionatorio avviato con la contestazione di violazione amministrativa è emerso, in sintesi, quanto segue:

- Il Nucleo speciale privacy della Guardia di finanza ha svolto degli accertamenti ispettivi nei confronti di Autosat S.p.A., nei giorni 24, 25 e 26 maggio 2016, nell’ambito del programma ispettivo semestrale stabilito dal Garante;

- nel corso dell’accertamento sono state svolte verifiche in ordine alle postazioni informatiche in uso presso l’azienda, alle modalità di funzionamento del sistema di videosorveglianza e alla natura dei dati trattati per lo svolgimento delle attività commerciali;

- con riferimento alle postazioni informatiche si è potuto accertare che per accedere al computer utilizzato da uno dei dipendenti della società, nel quale erano presenti documenti contenenti dati personali dei clienti, era necessario immettere una password di soli 4 caratteri alfanumerici;

- con riferimento all’impianto di videosorveglianza, è stato rilevato che il dispositivo nel quale erano memorizzate le immagini riprese dal sistema in uso presso la società risultava accessibile senza il superamento di una procedura di autenticazione informatica;

- con riferimento alla natura dei dati trattati, è stato rilevato che nel caso in cui un cliente appartenente alle categorie di disabilità indicate nella legge n. 104/1992 faccia richiesta di applicazione del regime di IVA con aliquota agevolata per l’acquisto di un’autovettura, la società raccoglie informazioni e documenti idonei a rilevare lo stato di salute del richiedente; tuttavia, per i trattamenti dei dati sensibili, idonei a rivelare lo stato di salute degli interessati, la società non ha acquisito il previsto consenso in forma scritta da parte degli interessati; 

- con riferimento ai trattamenti di dati raccolti mediante il sito www.autosat-spa.it e aventi finalità di profilazione, come rappresentato nell’informativa presente sul sito, la società non risulta aver presentato la notificazione al Garante;

RILEVATO che con i citati atti del 25 luglio 2016 e del 25 gennaio 2017 sono state contestate a Autosat S.p.A. le violazioni delle disposizioni del Codice in materia di adozione delle misure minime di sicurezza (contestazione n. 86/2016), acquisizione del consenso scritto per il trattamento dei dati sensibili (contestazione n. 87/2016) e omessa presentazione della notificazione al Garante (contestazione n. 8/2017);

LETTI i rapporti amministrativi, redatti dalla Guardia di finanza, con i quali è stato rappresentato che Autosat S.p.A. non ha provveduto al pagamento in misura ridotta con riferimento alle contestazioni nn. 87/2016 e 8/2017; preso atto altresì che per la contestazione n. 86/2017 non è previsto il pagamento in misura ridotta;

LETTI le memorie difensive presentate il 7 settembre 2016 e il verbale di audizione della società in data 3 maggio 2018, nel corso della quale sono state presentate ulteriori memorie difensive, nei quali si rappresenta:

- contestazione n. 86/2016 - “L'accesso al PC del venditore […] è avvenuto mediante autenticazione al sistema operativo, con credenziali e una password, comunque sia. Il desktop del PC del venditore […], designato incaricato del trattamento dei dati personali, non ha riportato dati sensibili di clienti. L'accesso al portale "Link-e-entry" per l'elaborazione e la gestione dei preventivi da parte del venditore […] è stato effettuato mediante autenticazione con username e password composta da dieci caratteri (cfr., verbale giornaliero 24.05.2016, pag. 3). L'accesso alle immagini, registrate dal sistema di videosorveglianza, è protetto dalla chiusura a chiave dell'apposito locale ove è custodito l'impianto (monitor e registratore) di videosorveglianza (cfr., verbale giornaliero 26.05.2016, pag. 2). Le chiavi di detto locale sono custodite in un armadietto (anch'esso chiuso a chiave) dell'ufficio del Legale Rappresentante […] il quale è nominato responsabile interno del trattamento dei dati mediante il sistema di videosorveglianza (oltre che nell'ambito del post vendita. Cfr., documentazione inviata il 24.06.2016). Non è stato nominato nessun altro responsabile/incaricato interno del trattamento dei dati mediante il sistema di videosorveglianza. Il soggetto in possesso delle credenziali per (non da remoto) estrarre le immagini registrate ed, eventualmente, effettuare le modifiche alle impostazioni di sistema è l'impresa installatrice […], la quale è stata nominata responsabile esterno del trattamento dei dati mediante il sistema di videosorveglianza (cfr., documentazione inviata il 24.06.2016)”;

- contestazione n. 87/2016 - “A tutti i clienti, anche nei casi di disabilità, viene resa immediatamente, con l'elaborazione del preventivo di vendita, l'informativa ex art. 13 Codice della privacy (cfr., verbale giornaliero 24.05.2016, pag. 3, Allegato 2). Detta informativa prevede espressamente che: "i dati personali da lei liberamente forniti saranno trattati al fine di: a) fornire il servizio commerciale e/o assistenziale da lei liberamente scelto"; "i suoi dati personali, raccolti con la presente registrazione, potranno essere trattati da incaricati del trattamento, anche esterni, preposti alla gestione del servizio richiesto"; "i suoi dati potranno essere comunicati a terzi per adempiere ad obblighi di legge". La sezione finale del preventivo dedicata alla "Composizione dell'offerta" e, quindi, alla determinazione del prezzo del veicolo riporta l'opzione "IVA" e, nella relativa finestra, la categoria dei disabili aventi diritti all'aliquota del 4% (cfr., verbale giornaliero 24.05.2016, pag. 3, Allegato 2). Contestualmente all'elaborazione del preventivo con l'opzione IVA 4% e all'acquisizione da parte del venditore della documentazione medica richiesta per l'agevolazione fiscale, al cliente con disabilità, il quale ha già provveduto a sottoscrivere il consenso ex art. 23 Codice della privacy in calce all'informativa, viene fatto sottoscrivere, ulteriormente, lo specifico consenso al trattamento dei dati sensibili. Lo specifico consenso al trattamento dei dati sensibili viene fatto sottoscrivere su un separato foglio, poi utilizzato quale "Copertina fax del servizio di consulenza per agevolazioni auto a favore delle persone con disabilità prestato da Mobilità Informatica Srl" (cfr., verbale giornaliero 24.05.2016, pag. 4, Allegato 4). […] Anche il contratto di vendita (cfr., verbale giornaliero 24.05.2016, pag. 5, Allegato 6) reca l'informativa ex art. 13 Codice della privacy, la quale prevede espressamente che "i dati personali forniti dal Cliente, anche verbalmente, al Venditore, nel corso dei contatti commerciali, trattative precontrattuali e/o nell'esecuzione del presente Ordine, saranno trattati ... per le seguenti finalità: ... b) finalità connesse all'adempimento da parte del Venditore degli obblighi di legge (es. in materia contabile, fiscale e tributaria)”;

- contestazione n. 8/2017 - “Autosat sarebbe stata soggetta all'obbligo di effettuare la notificazione prevista dall'art. 37 del Codice privacy in ragione dell'indicazione dell'attività di profilazione tra le finalità contemplate nell'informativa fornita agli interessati, a nulla rilevando il fatto (pacifico e non oggetto di contestazione) che Autosat non abbia mai svolto né, come si dirà, sia mai stata in condizione di svolgere questo genere di trattamento. Si evidenzia infatti come la Contestazione non indichi in alcun punto che Autosat abbia effettuato attività di profilazione degli interessati, ed a ben vedere non poteva essere altrimenti, posto che da quanto emerso nel corso degli accertamenti effettuati dall'Autorità, sia presso Autosat che presso FCA, risulta chiaramente come l'attività in esame non sia mai stata svolta. In tal senso si evidenzia che il principio di fondo desumibile dalla Contestazione, secondo il quale la mera indicazione della finalità di profilazione nell'ambito dell'informativa fornita agli interessati fa automaticamente sorgere l'obbligo di procedere alla notificazione, anche nel caso in cui questo trattamento non sia posto in essere, a sommesso avviso degli scriventi non è condivisibile né trova conforto in alcun dato normativo. […] Si è soggetti all'obbligo di notificazione solo laddove si sia di fronte a strumenti elettronici configurati ed impiegati al fine di realizzare una attività di profilazione, mentre non si deve effettuare alcuna notificazione ove, pur procedendo ad una raccolta di dati, i medesimi siano trattati per altre finalità, finanche di marketing, senza effettuare alcuna attività di profilazione degli interessati. Laddove si sia tenuti all'adempimento, come anticipato, questo deve essere posto in essere prima dell'inizio del trattamento. Sulla base di quanto sopra è evidente che, anche alla luce della ratio della norma così come esplicitata nell'ambito della Direttiva n. 95/46/Ce (pubblicità del trattamento finalizzata al relativo controllo), l'elemento che fa sorgere l'obbligo di notificazione è, necessariamente, la concreta ed effettiva configurazione di uno dei trattamenti contemplati dalla norma (nel caso di specie l'avvio dell'attività di profilazione a mezzo dell'impiego di specifici sistemi o strumenti elettronici). Ove in concreto si sia di fronte ad un sistema configurato per porre in essere un trattamento soggetto all'obbligo di notificazione, tale obbligo può essere correttamente adempiuto, alla luce del tenore letterale delle norme di riferimento e di quanto a più riprese ribadito dallo stesso Garante, fino al momento di inizio del trattamento (non si vede come altro interpretare l'enunciazione "prima dell'inizio del trattamento"). Necessario corollario di tale ricostruzione è che la violazione di cui all'art. 163 del Codice privacy può essere rilevata solo a posteriori, a trattamento in corso, solo cioè nel caso in cui si rilevi l'effettuazione di un trattamento pienamente ricadente nei casi di cui all'art. 37 rispetto al quale, prima dell'avvio, non risulti essere stata effettuata "tempestivamente" alcuna notificazione. […]. A prescindere da ogni considerazione in ordine alla formale previsione […] dei ruoli di responsabile in capo a FCA e di titolare in capo a Autosat con riferimento al trattamento dei dati personali acquisiti tramite il sito web, si sottolinea che, come da dichiarazioni rese nell'ambito degli accertamenti ispettivi (v. verbale del 25.05.16, pag. 5), il sito web non è di proprietà di Autosat ed è gestito da FCA nell'ambito di accordi di servizio a cui i concessionari hanno aderito per "percepire i premi incentivanti", senza (i) avere "alcun potere decisionale e nessuna possibilità di modifica" di tale sito, (ii) né poter ricevere le informazioni raccolte tramite i form on line, se non quelle dei c.d. lead (nome, cognome, n. tel.) necessarie per il contano telefonico, (iii) né tanto meno poter svolgere il trattamento di tali dati per le finalità indicate nell'informativa risultante dallo stesso sito web. I contestati moduli di informativa (e correlate opzioni di consenso) ed i relativi aggiornamenti sono stati infatti predisposti da FCA, come risulta pacificamente anche in atti. Per cui anche l'indicazione del "possibile svolgimento dell'attività di profilazione" è stata prevista centralmente ed autonomamente dalla casa madre FCA in linea -per sua stessa ammissione- con gli standard dalla stessa seguiti per le attività dalla stessa svolte quale titolare del trattamento dei dati dei clienti, e non certo sulla base delle "specifiche" contrattuali e/o di eventuali direttive ed istruzioni in tal senso da parte dei Concessionari, come Autosat”;

RITENUTO che le argomentazioni addotte, unitamente agli atti acquisiti nel corso del procedimento sanzionatorio, inducono a ritenere che Autosat S.p.A. non sia responsabile della violazione di cui alla contestazione n. 8/2017, mentre la medesima società risulta responsabile della violazioni di cui alle contestazioni nn. 86/2016 e 87/2016. Al riguardo si rappresenta:

- contestazione n. 86/2016 – risulta accertato che, nel corso dell’attività ispettiva svolta dalla Guardia di finanza nella sede della società, un computer assegnato ad uno dei dipendenti della società, nel quale era conservata documentazione sulla clientela e sui relativi acquisti di autovetture, non era dotato di un idoneo sistema di autenticazione, poiché la parte riservata delle credenziali di autenticazione assegnate al predetto dipendente, risultava composta da soli quattro caratteri alfanumerici anziché dai prescritti otto (regola n. 5 del disciplinare tecnico di cui all’allegato B) del Codice). Nella medesima attività è stato altresì accertato che l’accesso all’impianto di registrazione delle immagini riprese con il sistema di videosorveglianza in uso presso Autosat S.p.A., avveniva in assenza di una procedura di autenticazione informatica e quindi in violazione delle regole nn. 1 e ss. del richiamato disciplinare tecnico. Al riguardo, deve evidenziarsi che appaiono irrilevanti le considerazioni difensive in ordine all’esistenza di protezioni “fisiche” che limitavano la disponibilità del predetto impianto di registrazione, poiché le norme in materia di adozione delle misure minime di sicurezza non prevedono deroghe all’implementazione di un idoneo sistema di autenticazione laddove siano previste misure fisiche atte a circoscrivere l’accesso agli strumenti informatici. Deve inoltre evidenziarsi che le disposizioni in tema di semplificazione (provvedimento del Garante del 27 novembre 2008, in www.gpdp.it., doc web n. 1571218), in base alle quali, secondo la difesa, le misure minime di sicurezza adottate dalla società sarebbero in linea con il vigente quadro normativo, non si applicano ai titolari che svolgono trattamenti di dati sensibili (come Autosat S.p.A.) e, inoltre, prevedono in ogni caso la presenza nei sistemi di una procedura di autenticazione informatica, contrariamente a quanto invece constatato dalla Guardia di finanza con riferimento al dispositivo di registrazione delle immagini riprese dal sistema di videosorveglianza. Deve quindi confermarsi la violazione delle disposizioni in tema di adozione delle misure minime di sicurezza (artt. 33 e ss. del Codice e regole nn. 1 e ss. del disciplinare tecnico di cui all’allegato B) del medesimo Codice);

- contestazione n. 87/2016 – risulta ampiamente provato dalle risultanze del procedimento sanzionatorio, e confermato dalla stesa società, che Autosat S.p.A. ha proceduto alla raccolta e al trattamento di dati idonei a rilevare lo stato di salute degli interessati per le finalità di riduzione dell’aliquota relativa all’imposta sul valore aggiunto per l’acquisto di autovetture. Tale trattamento necessita dell’acquisizione, da parte del titolare, del consenso in forma scritta degli interessati. Del prescritto consenso non si è rinvenuta traccia fra la documentazione acquisita nel corso dell’accertamento giacché anche i documenti indicati dalla difesa si riferiscono a modelli di acquisizione del consenso per i trattamenti aventi finalità promozionali. Deve pertanto confermarsi che il predetto trattamento, riconducibile agli ambiti disciplinati dall’”Autorizzazione al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale”, n. 2/2016, adottata dal Garante il 15 dicembre 2016, punto 1.2, lett. e) (in www.gpdp.it, doc web n. 5803257), si è svolto in carenza del consenso previsto dall’art. 26 del Codice;

- contestazione n. 8/2017 – appaiono condivisibili le osservazioni difensive volte ad evidenziare che l’inserimento nell’informativa presente nel sito web della società di finalità del trattamento relative all’elaborazione del profilo di consumatore degli interessati sia avvenuto per mero errore e che quindi la violazione delle disposizioni di cui all’art. 37 e 38 del Codice in tema di presentazione della notificazione al Garante sia stata realizzata in assenza di una condotta cosciente e volontaria. Risulta sufficientemente provato, infatti, che il testo dell’informativa era stato inserito dal partner commerciale FCA Italy S.p.A. e che Autosat S.p.A. non si era avveduta di tale inserimento; risulta altresì dimostrato che Autosat non ha raccolto dati personali dai quali potesse ricondursi un’attività di elaborazione del profilo di consumatore degli interessati e che comunque Autosat non disponeva di software e altri strumenti idonei a realizzare tali elaborazioni. Pertanto, pur in presenza di una raccolta di dati (e quindi di un trattamento) che, formalmente (in quanto enunciato nell’informativa), appare finalizzato anche all’elaborazione di profili di consumatori, deve trovare applicazione la disposizione di cui all’art. 3 della legge n. 689/1981 poiché, nel caso in argomento, la condotta illecita si è realizzata nonostante la società abbia dimostrato di aver fatto tutto il possibile per osservare le disposizioni di legge (cfr. Cassazione civile, sez. II, sentenza  n. 7885 del 06 aprile 2011);

RILEVATO, quindi, che Autosat S.p.A., sulla base degli atti e delle considerazioni di cui sopra, risulta aver commesso, in qualità di titolare del trattamento, ai sensi degli artt. 4, comma 1, lett. f), e 28 del Codice, le violazioni indicate nelle contestazioni nn. 86/2016 e 87/2016 e, segnatamente, la violazione degli artt. 33 e ss. del Codice e delle regole nn. 1 e ss. del disciplinare tecnico di cui all’allegato B) (contestazione n. 86/2016), nonché dell’art. 26 del Codice (contestazione n. 87/2016); rilevato altresì che va disposta l’archiviazione della contestazione n. 8/2017 nei confronti di Autosat S.p.A. per le ragioni indicate in motivazione;

VISTO l’art. 1, comma 2, della legge 24 novembre 1981, n. 689, ai sensi del quale le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e per i tempi in esse considerati;

VISTO l’art. 162, comma 2-bis,  del Codice che punisce le violazioni delle norme indicate nell’art. 167, fra le quali figurano anche gli artt. 26 e 33 del Codice, con la sanzione amministrativa del pagamento di una somma da euro 10.000 ad euro 120.000, per ciascuna delle due violazioni contestate;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge n. 689/1981, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a. in ordine all’aspetto della gravità con riferimento agli elementi dell’entità del pregiudizio o del pericolo e dell’intensità dell’elemento psicologico, la violazione relativa all’omessa adozione delle misure minime di sicurezza  risulta di particolare gravità poiché estesa a più sistemi dispositivi in uso nella società;

b. ai fini della valutazione dell’opera svolta dall’agente, deve essere considerato in termini favorevoli il fatto che la società abbia comunque prestato massima collaborazione agli accertamenti ispettivi della Guardia di finanza;

c. circa la personalità dell’autore della violazione, la società non risulta gravata da precedenti procedimenti sanzionatori definiti con pagamento in misura ridotta o ordinanza-ingiunzione;

d. in merito alle condizioni economiche dell’agente, è stato preso in considerazione il bilancio d’esercizio per l’anno 2016; 

RITENUTO, quindi, di dover determinare, ai sensi dell’art. 11 della L. n. 689/1981, l’ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura di: 

- euro 20.000 (ventimila) per la violazione delle disposizioni in tema di misure minime di sicurezza, in relazione all’omessa adozione di idonei sistemi di autenticazione informatica;

- euro 10.000 (diecimila) per la violazione delle disposizioni in tema di trattamento di dati idonei a rilevare lo stato di salute degli interessati, in relazione alla mancata acquisizione del consenso scritto da parte del titolare del trattamernto;

VISTA la documentazione in atti;

VISTA la legge n. 689/1981, e successive modificazioni e integrazioni;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

DISPONE

l'archiviazione del procedimento sanzionatorio di cui al verbale n. 8 del 25 gennaio 2017 relativo alla contestazione della violazione amministrativa di cui all'art. 163, del Codice, in relazione all'art. 37,  nei termini di cui in motivazione;

ORDINA

a Autosat S.p.A., in persona del legale rappresentante pro-tempore, con sede legale in Surbo (LE), via Unità d’Italia n. 1, C.F. 03575990753, di pagare la somma di euro 30.000 (trentamila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione;

INGIUNGE

alla predetta società di pagare la somma di euro 30.000,00 (trentamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689. 

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero. 

Roma, 31 maggio 2018

IL PRESIDENTE
Soro

Il RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia