g-docweb-display Portlet

Ordinanza ingiunzione - 2 febbraio 2019 [9101755]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9101755]

Ordinanza ingiunzione - 2 febbraio 2019

Registro dei provvedimenti
n. 40 del 7 febbraio

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il D.lgs. 196/2003 recante il “Codice in materia di protezione dei dati personali” (d’ora innanzi “Codice”);

VISTA la legge n. 689/1981 e successive modificazioni e integrazioni e, in particolare, l’art. 1, comma 2, ai sensi del quale le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e per i tempi in esse considerati;

RILEVATO che il Nucleo Speciale Privacy della Guardia di Finanza, in esecuzione della richiesta di informazioni del Garante n. 26779/97157 del 28 settembre 2015, formulata ai sensi dell’art. 157 del Codice, ha svolto gli accertamenti, ai sensi dell’art. 13 della legge 689/1981, presso la “XX a.r.l.s.f.l.” quale associata - per l’utilizzo del marchio “XX Roma” di proprietà della “XX L.L.C. - alla “XX S.r.l.”,  (di seguito la “Società”), concessionaria esclusiva su Roma del suddetto marchio, con sede legale in Roma, Via ... - P.I. .... Tali accertamenti, diretti a verificare la liceità dei trattamenti di dati personali effettuati dalla Società, sono stati formalizzati dai militari della Guardia di Finanza nel verbale di operazioni compiute in data 7 ottobre 2015;

VISTI gli atti dell’accertamento ispettivo;

CONSIDERATO che, sulla base delle dichiarazioni rese nel corso degli accertamenti e della documentazione prodotta dalla Società al Nucleo Speciale Privacy della Guardia di Finanza, è risultato che:

-  “ (…) la XX a.r.l.s.f.l. (presso la quale si è svolto l’accertamento ispettivo) utilizza il marchio XX per la propria palestra sita in Roma .... Tale marchio è di proprietà della XX L.L.C. ed è stato dato in licenza alla XX S.r.l. che a sua volta ha (stipulato) un contratto con la XX a.r.l.s.f.l. per l'utilizzo del suddetto marchio. (…) La XX a.r.l.s.f.l. è partecipata al 60% dalla XX S.r.l., con sede legale in Roma in via ...” (cfr. verbale di operazioni compiute del 7 ottobre 2015, pag. 2, punto 1);

- la Società è proprietaria del sito internet www... e del sito redirect www... nei quali, nella pagina “contattaci” (utile per entrare in contatto con il centro e che prevede tre opzioni quali “info centro”, “cerco lavoro” e “partnership”), nella pagina “sospensioni” (utile al fine di sospendere un abbonamento), nonché nella pagina “guest” (utile per ricevere un invito a provare il club), sono previsti form di raccolta dei dati personali di clienti, o di eventuali clienti, finalizzati allo svolgimento, da parte della Società, dei servizi sopra descritti;

- in calce ai predetti form di raccolta dati, le caselle (c.d. check-box) per accedere al testo dell’“Informativa privacy” e del “Regolamento”, documenti entrambi accessibili mediante i relativi link, sono già pre-flaggate (all. n. 7 al verbale di operazioni compiute del 7 ottobre 2015) e sono contrassegnate come campi obbligatori da appositi asterischi.  In particolare, al punto n. 5 dell'informativa, la Società informa che i dati raccolti saranno “(…) trattati per tutta la durata dei rapporti contrattuali istaurati e anche successivamente per l’espletamento di norme di legge e per fnalità commerciali”, e, al punto n. 26 del Regolamento, è previsto che “ (…) tali dati verranno utilizzati per l’invio di proposte commerciali e/o delle comunicazioni agli iscritti da parte di XX e/o dei Partner. Se il frequentatore non intende ricevere le suddette proposte commerciali è tenuto a darne comunicazione scritta a: XX Roma, via ...”;

- la Società, per lo svolgimento delle attività di cui sopra, riferibili alla raccolta di dati attraverso i form, ai sensi dell’art. 4, comma 1, lett. f), e 28 del Codice, è titolare del trattamento dei dati personali; 

VISTO il verbale n. 80 del 8 ottobre 2015 con cui il Nucleo Speciale Privacy della Guardia di Finanza ha contestato alla Società il trattamento in violazione delle disposizioni indicate nell’art. 167 del Codice per la mancata acquisizione del consenso di cui all’art. 23, comma 3, in relazione all’art. 162, comma 2-bis, del medesimo Codice; ciò, in quanto “ (…) per inviare le richieste tramite i form di raccolta dati presenti nelle pagine “contattaci” “sospensioni” e “guest” gli interessati trovano le caselle relative a “informativa privacy” e “regolamento” già preflaggate e contrassegnate come campi obbligatori, fornendo, in tal modo, obbligatoriamente, il consenso per l'invio di proposte commerciali da parte della XX S.r.l.”, contrariamente a quanto prevede il sopra citato art. 23, comma 3, per il quale “il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato (…) e se sono state rese all'interessato le informazioni di cui all'articolo 13”;

RILEVATO che dal rapporto amministrativo prot. n. 159648/15 del 10 dicembre 2015, predisposto dal Nucleo Speciale Privacy della Guardia di Finanza ai sensi dell’art. 17 della legge 24 novembre 1981 n. 689, non risulta essere stato effettuato il pagamento in misura ridotta di cui all’art. 16 della legge 689/81;

VISTA la memoria difensiva datata 3 novembre 2015, prodotta dalla Società ai sensi dell'articolo 16 della legge 24 novembre 1981 n. 689, al fine di dimostrare la correttezza della propria condotta.

In particolare, con riferimento alla contestazione effettuata, la parte, al fine di ottenere l’archiviazione del procedimento sanzionatorio, ha sostenuto che “per la sussistenza della violazione in esame l'utente dovrebbe essere messo nella condizione di non poter accedere al servizio prescelto senza prestare il consenso al trattamento dei dati anche ai fini commerciali”. Tale ipotesi “nel caso che ci occupa (non si ravvisa in quanto) il consenso non può dirsi prestato obbligatoriamente (dal momento che) per accedere e per poter fruire delle medesime prestazioni di cui alle aree del sito in contestazione, l'utente aveva a disposizione anche i numeri di telefono del centro e poteva accedervi senza necessariamente prestare il consenso al trattamento dei dati ai fini commerciali (…)”.

In subordine, al fine della “(…) riduzione della ipotizzata lesività della condotta e conseguentemente della sanzione (…)” qualora sia accertata la responsabilità contestata,  la Società ha posto in evidenza di essere titolare di un unico sito riferito all’indirizzo www...., costituendo, invece, una “redirect” l’indirizzo relativo a www.....

Nella memoria è stato, poi, posto in evidenza sia che le offerte di natura commerciale agli utenti del sito sono state esclusivamente quelle inviate dalla Società e riferite al centro XX (con esclusione, quindi, di comunicazioni di dati da parte della Società a terzi) sia che la maggioranza degli utenti che accedono al sito sono abbonati della palestra e prestano, pertanto, valido consenso scritto, per ricevere offerte, al momento dell'iscrizione al centro sportivo sia che la Società si è immediatamente attivata per il superamento della irregolarità rilevata nel corso dell’ispezione;  

VISTO il verbale di audizione delle parti, avvenuta in data 7 novembre 2016, nel corso della quale la Società, richiamando integralmente le memorie difensive già presentate, ha specificato che la preflaggatura del consenso è stata eliminata in data 3 novembre 2015 e ha, inoltre, ribadito la richiesta di archiviazione del procedimento  sanzionatorio nonché, in subordine, l’applicazione del minimo edittale della sanzione, ulteriormente ridotta ai sensi dell’art. 164-bis, comma 1, del Codice;

VISTA la memoria difensiva inviata al Garante, in data 23 ottobre 2018, ai sensi dell’art. 18, comma 4, del D.lg. 101 del 10 agosto 2018, con la quale la Società ha rinnovato quanto rappresentato e richiesto con la prima memoria difensiva, nonché nel corso della suddetta audizione;

RITENUTO che le argomentazioni addotte dalla Società non sono idonee ad accogliere integralmente le richieste formulate nelle memorie difensive.

Infatti, in tale circostanza, la sussistenza della violazione non si configura, come prospettato, a motivo dell’accesso da parte dell’utente al servizio, anche a fini commerciali, “condizionato” alla prestazione del consenso, ma a fronte dell’attivazione di quanto previsto al punto n. 5 dell'informativa e al punto n. 26 del Regolamento, riguardante l’invio di offerte promozionali, attraverso un consenso viziato in quanto espresso non dall’utente liberamente, bensì dalla Società, a mezzo della flaggatura delle caselle (c.d. check-box) per accedere al testo del modello di “Informativa privacy” e del modello di “Regolamento”. Il requisito della libertà nella prestazione del consenso viene meno, infatti, quando tali caselle risultino già preselezionate dal titolare del trattamento in modo da recepire automaticamente il consenso dell’interessato, come evidenziato sia nel Parere - WP187 n.15 del 13 luglio 2011, sulla definizione di consenso, sia dal Garante, più volte, in diversi provvedimenti, tra cui quello citato anche nel verbale di contestazione n. 80 del 8 ottobre 2015: “Consenso al trattamento in Internet e utilizzo dei dati per finalità promozionali “ del 10 maggio 2006, doc. web n. 1298709, rintracciabile in www.gpdp.it.;

RILEVATO che, sulla base delle considerazioni sopra richiamate, la Società, in qualità di titolare del trattamento ai sensi dell’art. 4, comma 1, lett. f), e 28 del Codice, risulta aver commesso la violazione di una delle disposizioni indicate dall’art. 167, specificamente dell’art. 23 del Codice, sanzionata dall’art.162, comma 2-bis, del Codice medesimo, per aver trattato dati personali della clientela e di eventuali clienti, raccolti attraverso il proprio sito web, per finalità promozionali in assenza del consenso degli interessati legittimamente prestato;

VISTO l’art. 162, comma 2-bis del Codice, che punisce le violazioni indicate nell’art. 167, tra cui la violazione relativa all’art. 23 del Codice, con la sanzione amministrativa del pagamento di una somma da euro 10.000,00 (diecimila)  a euro 120.000,00 (centoventimila);

RITENUTO che ricorrono le condizioni per applicare l’art. 164-bis, comma 1, del Codice che prevede che, se taluna delle violazioni di cui agli artt. 161, 162, 162-ter, 163 e 164, è di minore gravità, i limiti minimi e massimi sono applicabili in misura pari a due quinti. Nel caso di specie la minore gravità è stata valutata alla luce della tipologia dei dati personali oggetto di trattamento e dalla circostanza che tali dati non risultano essere stati comunicati a terzi;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge n. 689/1981, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

RITENUTO, quindi, in ragione dei suddetti elementi valutati nel loro complesso, considerato che la Società si è attivata subito dopo l’ispezione per correggere l’irregolarità accertata, di dover determinare, ai sensi dell’art. 11 della legge n. 689/1981, l’ammontare della sanzione pecuniaria prevista dall’art. 162, comma 2-bis del Codice, per la violazione amministrativa di cui all’art.  23 del Codice, nella misura minima di euro 10.000,00 (diecimila) ridotta dei due quinti, secondo quanto previsto dall’art. 164-bis, comma 1, del Codice per la ricorrenza del requisito della minore gravità, per un importo pari a euro 4.000,00 (quattromila);

VISTA la documentazione in atti;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la prof.ssa Licia Califano;

ORDINA

alla “XX S.r.l.”, con sede legale in Roma, Via ...- P.I. ...., di pagare la somma di euro 4.000 (quattromila) a titolo di sanzione  amministrativa pecuniaria per la violazione indicata in motivazione;

INGIUNGE

alla medesima Società di pagare la somma di euro 4.000,00 (quattromila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 7 febbraio 2019

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia