g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Ikea Italia Retail s.r.l. - 25 febbraio 2021 [9711614]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9711614]

Ordinanza ingiunzione nei confronti di Ikea Italia Retail s.r.l. - 25 febbraio 2021

Registro dei provvedimenti
n. 86 del 25 febbraio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il Prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTI i reclami presentati al Garante ai sensi dell’articolo 77 del Regolamento, da parte del sig. XX e della sig.ra XX con cui sono state lamentate presunte violazioni alla disciplina in materia di protezione dei dati personali, riguardanti, in particolare, il mancato riscontro da parte di Ikea Italia Retail s.r.l. alle istanze dagli stessi presentate al fine di ottenere l’accesso ai e la portabilità dei propri dati personali ai sensi degli artt. 15 e 20 del Regolamento;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

PREMESSO

1. I reclami e l’attività istruttoria

1.1 Con i reclami presentati in data 27 settembre 2019, i sig.ri XX e XX rappresentavano di avere avanzato, in data 25 agosto 2019, nei confronti di Ikea Italia Retail s.r.l. (di seguito la “Società”) due distinte istanze volte ad ottenere l’accesso ai propri dati personali e la portabilità degli stessi ai sensi degli artt. 15 e 20 del Regolamento, ma di non avere ottenuto alcun riscontro da parte della Società.

Nello specifico, le predette istanze di esercizio dei diritti erano dirette ad ottenere copia di tutti i dati personali dei reclamanti, corredate dalle informazioni di cui alle lettere da a) a h) dell’art. 15, par. 1, del Regolamento, nonché delle “richieste di servizio o triplette o tracciatura” delle chiamate al call center del servizio assistenza della Società e di tutti i contenuti inviati dalla squadra di consegna e monitoraggio riguardanti i reclamanti.

L’Ufficio, pertanto, provvedeva ad inviare due distinte note alla Società (prot. n. 36258 del 23.10.2019 e prot. n. 38250 del 7.11.2019), con cui la invitava a fornire osservazioni in ordine ai fatti oggetto di reclamo nonché ad aderire alle richieste di accesso avanzate dai reclamanti. La Società, con le note del 6 e dell’11 novembre 2019, confermava di essere in possesso dei dati personali dei reclamanti, in ragione del contratto di acquisto e di distribuzione dagli stessi sottoscritti con la Società, e di non aver ottemperato alla loro richiesta di accesso sulla base della previsione di cui all’art. 2-undecies del Codice, ritenendo sussistente “un effettivo e concreto rischio di pregiudicare l’esercizio del proprio diritto di difesa a fronte della già manifestata intenzione [degli interessati] di adire le vie legali per ottenere la tutela dei propri interessi a seguito di un asserito comportamento non conforme al contratto sottoscritto da parte di IKEA Italia Retail srl relativamente ad una fornitura di beni”.

1.2. La Società provvedeva ad inviare, in data 23 marzo 2020, a seguito di una specifica richiesta dell’Ufficio, idonea documentazione in ordine alla individuazione dei soggetti esterni, indicati quali responsabili del trattamento ai sensi dell’art. 28 del Regolamento, a cui i dati personali dei reclamanti erano stati comunicati per adempiere alle obbligazioni contrattuali.

1.3. Con la nota del 22 giugno 2020 (prot. n. 22842) l’Ufficio, sulla base degli elementi acquisiti nel corso dell’attività istruttoria e delle successive valutazioni, effettuava, ai sensi dell’art. 166, comma 5, del Codice, la notificazione al titolare del trattamento delle presunte violazioni, con riferimento agli artt. 12, comma 3, e 15 del Regolamento, invitandola a produrre scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, legge n. 689 del 24 novembre 1981).

1.4. La Società, in data 17 luglio 2020, provvedeva ad inviare i propri scritti difensivi, che qui integralmente si richiamano, con i quali, oltre a richiedere formalmente l’audizione, rappresentava che:
- “nel mese di ottobre 2019 IKEA (per il tramite del proprio Information Security and Data Privacy Specialist) riceveva una comunicazione dal proprio “Customer Support Centre” circa un presunto ritardo nel riscontrare una richiesta avanzata (presumibilmente risalente ad agosto 2019) da un soggetto interessato e relativa all’esercizio dei diritti in materia di privacy. A seguito di detta segnalazione IKEA procedeva alla ricostruzione dell’intera vicenda”, verificando che le contestazioni relative all’esercizio dei diritti fossero due e provenissero da due distinti soggetti, sebbene inviate dalla stessa casella di posta elettronica e recanti il medesimo contenuto;

- a seguito delle richieste formulate dall’Autorità, “IKEA predisponeva una comunicazione strutturata di riscontro (…) in cui si leggeva la piena volontà del Titolare di adesione alla richiesta di accesso ai sensi dell’art. 15 del Regolamento, nonché la conferma di aver trattato i dati personali relativi a[gli istanti] in ragione del contratto di acquisto e di distribuzione sottoscritto dalla stessa IKEA Italia Retail s.r.l.” e di aver comunicato “i dati personali de[gli interessati] (in particolare nome, cognome, indirizzo di residenza e numero di cellulare) (…) ad AF Logistic S.p.A. (…) appositamente nominato quale responsabile esterno del trattamento (…)”;

- “dal tenore delle comunicazioni intercorse con i due istanti (…)”, di cui il Garante è stato sempre a conoscenza, “non si può che evincere la piena e assoluta correttezza delle azioni intraprese da IKEA (…)”, per due ordini di ragioni:

1) “innanzitutto perché i dati a cui la contestazione del mancato riscontro si riferisce e ai quali i due interessati-reclamanti fanno riferimento (cfr. le registrazioni delle telefonate al call center) non sono nella materiale disponibilità di IKEA e, addirittura, non risultano neppure esistere all’interno dei sistemi IKEA;

2) e, in secondo luogo, perché gli stessi – anche qualora fossero stati nella materiale disponibilità del titolare, non avrebbero potuto essere trasmessi agli interessati-reclamanti in ragione del pregiudizio che tale comunicazione avrebbe arrecato (…) in fase di contenzioso”;

- in particolare, “l’espressa manifestata volontà di adire le vie legali ha fondatamente fatto insorgere in IKEA un concreto ed effettivo timore connesso al pregiudizio per l’esercizio dei propri diritti di difesa nei confronti dei due soggetti interessati”. A nulla sarebbe valsa la successiva comunicazione del sig. XX che sottolineava come non fosse in atto alcun contenzioso con IKEA, in quanto “il pregiudizio circa il diritto di difesa [è] ravvisabile ogni qualvolta ci si trovi in una specifica fase precontenziosa”;

- con riferimento ai criteri di cui all’art. 83, par. 2, del Regolamento, l’asserita violazione riguarda un numero esiguo di dati personali, tra l’altro da ritenersi non rilevanti (perché riferiti a documenti recanti mere informazioni di tipo cronologico) e comunque relativi solo a due soggetti interessati.

1.5. In sede di audizione, tenutasi il 23 ottobre 2020, la Società, nel riportarsi ai propri scritti difensivi, ha dichiarato, altresì, di aver adottato delle misure volte a migliorare i riscontri ai claims che pervengono dai propri clienti e ha chiesto che venisse valutata favorevolmente la circostanza che non è mai incorsa in precedenti violazioni della disciplina in materia di protezione dei dati personali.

2. L’esito dell’istruttoria e del procedimento sanzionatorio

2.1. L’art. 12 del Regolamento prevede che il titolare del trattamento fornisca all’interessato l’accesso ai propri dati e a tutte le informazioni da questo richieste ai sensi degli artt. 15 e ss. del Regolamento “senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa”; entro lo stesso termine il titolare, ove ritenga necessario applicare la prevista proroga di due mesi in ragione “della complessità e del numero delle richieste”, deve informarne l’interessato indicandone i motivi. Lo stesso art. 12 precisa che, “se non ottempera alla richiesta dell’interessato, il titolare del trattamento informa l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale”. I titolari del trattamento sono, altresì, tenuti ad adottare le misure tecniche e organizzative necessarie al fine di garantire la tempestività e la completezza del riscontro fornito.

2.2. Nel caso di specie, risulta evidente come, a fronte delle istanze di esercizio dei diritti formulate dai due reclamanti, non sia stato fornito alcun riscontro da parte di Ikea Italia Retail s.r.l. nei termini previsti dall’art. 12 del Regolamento. La Società ha, dapprima, fatto presente di essere stata informata delle richieste in materia di esercizio dei diritti dal proprio Customer Support Center nel mese di ottobre 2019; ha, poi, avuto modo di specificare come il mancato riscontro sia stato determinato dal pregiudizio all’esercizio di un diritto in sede giudiziaria che avrebbe subito a fronte della volontà dei due istanti di adire le vie legali. Sul punto, occorre precisare che, laddove tale pregiudizio fosse stato per la Società effettivo e concreto, l’art. 2- undecies, comma 3, del Codice prevede, comunque, che la limitazione all’esercizio dei diritti deve essere portata a conoscenza dell’interessato “con comunicazione motivata e resa senza ritardo (…)”, circostanza che non si è verificata nel caso di specie.

2.3. Va, ancora, rilevato che le due istanze di esercizio dei diritti, formulate ai sensi dell’art. 15 del Regolamento, erano volte a conoscere l’esistenza di un trattamento di dati personali posto in essere dalla Società, nonché i destinatari a cui i dati erano stati comunicati e l’origine degli stessi, unitamente a “tutte le informazioni previste dalla lettera a)-h) dell’art. 15 del Regolamento”. Elementi che, ad oggi, sono stati solo parzialmente comunicati ai due interessati (non risulta, infatti, che siano stati forniti i dati personali in possesso della Società).

Con riferimento al diritto alla portabilità, si rappresenta che questo non è stato oggetto di specifica richiesta da parte dell’Ufficio in quanto l’istanza volta a ottenere in formato strutturato copia delle rds (ovvero le richieste di servizio effettuate al call center) era compresa nella istanza ex art. 15. In merito a tale richiesta, aldilà della circostanza che le rds non fossero nella materiale disponibilità della Società, risulta che il riscontro, di tipo negativo, sia stato fornito alle parti solo successivamente all’invito ad aderire formulato dall’Autorità.

2.4. Con riferimento specifico alla configurabilità, al caso in esame, della fattispecie di cui all’art. 2-undecies, lett. e), del Codice, si osserva, preliminarmente, che l’art. 23 del Regolamento nell’attribuire al diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento la possibilità di introdurre, mediante misure legislative, limitazioni all’esercizio dei diritti, stabilisce che “tale limitazione [deve] rispett[are] l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica (…) ”. Nel rispetto di quanto affermato, l’art. 2-undecies del Codice, nell’effettuare un bilanciamento di interessi, individua una serie di casi in cui l’esercizio dei diritti non può essere pienamente realizzato a fronte di un pregiudizio effettivo e concreto di altri interessi giuridicamente rilevanti e, tra questi, figura l’esercizio di un diritto in sede giudiziaria.

Fermo restando quanto affermato sopra (vedi 2.3. con particolare riferimento al rispetto della tempistica prevista per le comunicazioni agli interessati), si osserva in via preliminare che le limitazioni previste dall’art. 2-undecies del Codice devono non solo essere interpretate in senso restrittivo al fine di non ledere “l’essenza dei diritti e delle libertà fondamentali” tutelati dal Regolamento ma anche valutate in concreto con riferimento al singolo diritto azionato dall’interessato in relazione ai contrapposti interessi di cui alle lett. a) – f) del comma 1. In tal senso, a titolo esemplificativo, se l’esercizio del diritto alla cancellazione ai sensi dell’art. 17 del Regolamento è astrattamente suscettibile di pregiudicare il diritto di difesa in sede giudiziale del titolare, lo stesso non si verifica con riferimento a diritti quali accesso o portabilità nella misura in cui, non privando il titolare della disponibilità del dato, non ne limita in alcun modo il diritto di difesa. Diversamente, nel condividere la tesi sostenuta dalla Società si perverrebbe ad una applicazione a tal punto ampia della limitazione di cui all’art. 2-undecies, comma 1, lett. e), del Codice da sacrificare non solo eccessivamente i diritti di cui agli artt. 15-22 del Regolamento, ma anche ogni giudizio di proporzionalità tra il diritto in concreto esercitato dall’interessato e gli interessi tutelati dalle lett. da a) a f) del medesimo articolo del Codice.

Pertanto per le ragioni suddette, nel caso di specie non si ritiene configurabile l’ipotesi di cui all’art. 2-undecies, lett. e), del Codice, invocata dalla Società, anche in considerazione del fatto che nessun contenzioso è stato avviato formalmente dalle parti e che quindi il diritto di difesa della Società non è stato leso né in astratto né in concreto, essendo la necessità di difendersi in sede giudiziaria meramente eventuale.

3. Conclusioni: illiceità dei trattamenti effettuati. Provvedimenti correttivi.

3.1. Alla luce delle valutazioni che precedono, si rileva che le dichiarazioni rese dal titolare del trattamento negli scritti difensivi ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentirne l’archiviazione, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del regolamento del Garante n. 1/2019, concernente le procedure interne all’Autorità aventi rilevanza esterna.

3.2. Per i suesposti motivi, pertanto, si dichiarano fondati i reclami presentati ai sensi dell’art. 77 del Regolamento, non avendo la Società ottemperato alle istanze avanzate dai reclamanti né comunicato la sussistenza di una ipotesi di limitazione dei diritti dell’interessato, nei termini previsti dall’art. 2-undecies del Codice.

3.3. Nell’esercizio dei poteri correttivi attribuiti all’Autorità dall’art. 58, par. 2 del Regolamento:

- si ingiunge alla Società di fornire riscontro alle istanze di accesso formulate dai reclamanti, in ordine ai dati personali a loro riferiti che siano ancora in suo possesso; - si dispone, inoltre, l’applicazione di una sanzione amministrativa pecuniaria, come previsto dall’art. 83, par. 5 del Regolamento.

4. Ordinanza di ingiunzione.

4.1. Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. L. 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali riferiti ai due reclamanti, di cui è stata accertata l’illiceità, nei termini sopra esposti.

4.2. Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state tenute in considerazione le circostanze sotto riportate:

- con riguardo alla natura, gravità e durata della violazione è stata considerata rilevante la natura della violazione che ha riguardato le disposizioni relative all’esercizio dei diritti degli interessati; nonché la circostanza che la violazione si è protratta per un lungo periodo, e che tuttora il riscontro fornito è solo parziale;

- la Società ha dichiarato di aver adottato misure volte a migliorare la gestione delle istanze volte all’esercizio dei diritti;

- la circostanza che la Società ha cooperato con l’Autorità nel corso del procedimento;

- l’assenza di precedenti specifici a carico della Società relativi a violazioni della disciplina in materia di protezione dei dati personali.

4.3. Si ritiene, inoltre, che assumono rilevanza nel caso di specie, in considerazione dei richiamati principi di effettività, proporzionalità e dissuasività (art. 83, par. 1, del Regolamento) ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione, le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti e riferiti al bilancio d’esercizio per l’anno 2020.

4.4. In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 20.000,00 (ventimila) per la violazione degli artt. 12 e 15 del Regolamento.

4.5. In tale quadro, anche in considerazione della tipologia di violazione accertata, che ha riguardato i diritti dell’interessato, si ritiene che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito internet del Garante.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

dichiara, ai sensi degli artt. 57, par. 1, lett. f) e 83 del Regolamento, l’illiceità del trattamento effettuato, nei termini di cui in motivazione, da Ikea Italia Retail s.r.l., per la violazione degli artt. 12 e ss. del Regolamento;

ORDINA

ai sensi dell’art. 58, par. 2, del Regolamento, a Ikea Italia Retail s.r.l., in persona del legale rappresentante pro-tempore, con sede legale in Carugate (MI), Strada Provinciale 208 - 3, C.F. 11574560154, di conformare i propri trattamenti a quanto disposto dall’art. 12 del Regolamento stesso, provvedendo a fornire riscontro agli interessati entro 30 giorni dal ricevimento del presente provvedimento, nonché di pagare la somma di euro 20.000,00 (ventimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione;

INGIUNGE

quindi alla medesima Società di pagare la somma di euro 20.000,00 (ventimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981. Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del regolamento n. 1/2019.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 25 febbraio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei