g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Omnia 24 S.r.l. - 2 dicembre 2021 [9731682]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9731682]

Ordinanza ingiunzione nei confronti di Omnia 24 S.r.l. - 2 dicembre 2021*

*Il provvedimento è stato impugnato

Registro dei provvedimenti
n. 424 del 2 dicembre 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale ha preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

Nel corso del 2020 sono pervenute al Garante diverse istanze – segnalazioni e reclami – relative alla ricezione di sms promozionali per il servizio Evo24, marchio riconducibile alla Società Omnia 24 S.r.l.. In un caso, nel testo del messaggio era indicato il nome e cognome del reclamante e il Comune di appartenenza.

In particolare, con segnalazione dell’8 maggio 2020, l’avv. XX ha lamentato la ricezione di un sms a seguito del quale ha esercitato il diritto di accesso ai dati nei confronti della Omnia 24. Quest’ultima ha risposto di aver acquisito tali dati dalla La Duomo S.r.l.s. che “ha garantito e certificato la regolarità dell’acquisizione”, assicurando di aver provveduto a cancellare i dati. L’avv. XX ha pertanto inviato alla La Duomo una richiesta di avere prova del consenso rilasciato per le finalità di marketing; in mancanza di riscontro ha inviato un sollecito il mese successivo inoltrando la pec anche a Omnia 24. Non ottenendo alcuna risposta ha inviato la segnalazione al Garante.

Con reclamo del 14 febbraio 2020, il signor XX ha lamentato la ricezione di un sms a seguito del quale ha esercitato il diritto di accesso ai dati nei confronti della Omnia 24 chiedendo di conoscere, tra l’altro, le modalità di acquisizione del consenso e l’origine dei dati. La Società ha inviato la seguente risposta: “Buongiorno, ci scusiamo per il disguido e La informiamo che non la disturberemo ulteriormente per info e promo commerciali. Cordiali saluti”. Insoddisfatto di tale riscontro, il signor XX ha reiterato con pec le sue richieste ma non ha ottenuto risposta, dovendo pertanto rivolgersi al Garante.

Nell’ambito delle istruttorie avviate dall’Ufficio sulla base delle suddette istanze, la Omnia 24 ha risposto che “la nostra società incarica aziende esterne in relazione alle attività di marketing, tra le quali l’invio di sms promozionali. Nel caso di specie, … , l’attività di marketing era stata esternalizzata alla società La Duomo Srls […] Nel fornire l’incarico richiediamo che la società esterna rispetti la normativa vigente e la stessa La Duomo Srl ci aveva garantito che le liste dei soggetti contattati erano corrette. Ci dichiariamo pertanto del tutto estranei alla vicenda”. La Società ha altresì aggiunto di aver provveduto a cancellare i dati dei reclamanti.

La società La Duomo, parimenti interpellata, ha dichiarato – in entrambi i casi – di aver acquisito un consenso ma di non poter fornire una prova documentale di tale acquisizione e di aver provveduto a cancellare i dati. Nessun’altra informazione è stata fornita in merito all’origine dei dati.

Successivamente, sono pervenute altre istanze, in alcuni casi già inoltrate dai reclamanti direttamente alla Omnia 24 (e comunque tutte trasmesse dall’Ufficio a Omnia 24), con le quali è stata lamentata la ricezione di sms indesiderati e l’inidoneo riscontro alla richiesta di accesso ai dati poiché, a fronte della richiesta di avere precise informazioni in merito all’origine dei dati, la Società avrebbe risposto soltanto con un messaggio di conferma della cancellazione dei dati stessi o non avrebbe risposto affatto.

2. LE VIOLAZIONI RINVENUTE

Sulla base delle laconiche risposte fornite, sia da Omnia 24 che dalla La Duomo, e in mancanza di documentazione contrattuale (mai fornita al Garante) utile a valutare complessivamente i ruoli e le responsabilità delle parti, con nota del 9 aprile 2021, consegnata con pec, è stato notificato a Omnia 24 l’atto di avvio del procedimento ai sensi dell’art. 166, comma 5 del Codice.

Si è tenuto conto del fatto che né Omnia 24 né La Duomo hanno fornito chiarimenti in merito al ruolo ricoperto nello specifico trattamento, ma entrambe hanno dichiarato di aver preso nota dell’opposizione manifestata dai reclamanti. Inoltre, Omnia 24 ha dichiarato di aver ricevuto dal partner assicurazioni in merito alla liceità della raccolta dei dati. Tali garanzie, tuttavia, non sono mai state prodotte nelle interlocuzioni con il Garante mentre, come già detto, la società La Duomo non è stata in grado di comprovare neanche l’acquisizione di idonei consensi.

Si deve preliminarmente richiamare la definizione di titolare e responsabile di cui all’art. 4 del Regolamento, dove è “titolare” la persona fisica o giuridica che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento, mentre è “responsabile del trattamento” il soggetto che tratta dati personali per conto del titolare.

Nel caso specifico, sulla base di quanto rappresentato nei reclami, si è avuto l’invio di sms contenenti offerte promozionali relative al servizio Evo24. Una tale configurazione dei messaggi è stata evidentemente atta a ingenerare nei riceventi la convinzione di essere stati contattati direttamente dalla Omnia24 e, per tali ragioni, gli stessi si sono rivolti in prima battuta proprio a quest’ultima, sulla base di tale legittimo affidamento.

Si deve richiamare, a tal proposito, quanto chiarito dal Garante con il provvedimento del 15 giugno 2011 (in www.garanteprivacy.it, doc. web n. 1821257) con specifico riguardo al fatto che “…i contatti a carattere promozionale sono effettuati in nome, comunque per conto e nell’interesse della società preponente; con l’effetto che negli interessati si ingenera un legittimo affidamento, dal momento che essi percepiscono di essere destinatari di iniziative pubblicitarie condotte direttamente dalla società per conto della quale viene formulata la proposta di vendita di prodotti o servizi”. In tali termini, il preponente, essendo il soggetto che determina la finalità promozionale del trattamento ed i mezzi per la sua effettuazione, oltre ad essere il soggetto nel cui interesse il trattamento è effettuato, si configura quale titolare del trattamento.

Invece, il soggetto che per suo conto concretamente svolge il servizio, può essere, a seconda dell’effettivo atteggiarsi dei ruoli fra le parti, un contitolare o un responsabile del trattamento, come chiarito dal Garante nelle Linee guida in materia di attività promozionale e contrasto allo spam del 4 luglio 2013 (doc. web n. 2542348) e nel provvedimento del 26 ottobre 2017 (doc. web n. 7320903).

Come precisato poi nelle Linee guida 7/2020 dell’EDPB , indipendentemente dalla qualificazione contrattuale dei ruoli, è titolare il soggetto che determina le finalità (why) e i mezzi, cioè le modalità (how), del trattamento; è invece da considerarsi responsabile il soggetto che opera per conto del titolare, eseguendone le istruzioni anche con un certo grado di autonomia senza tuttavia poter esercitare alcuna facoltà in ordine alla scelta delle finalità del trattamento.

Nel caso di specie pertanto si può ritenere che il ruolo di Omnia 24 sia da qualificare come titolare del trattamento.

La mancata qualificazione dei ruoli in ordine al trattamento dei dati personali ha comportato che il trattamento stesso sia stato privato dei requisiti di liceità, correttezza e trasparenza dal momento che non risulta sia stata fornita agli interessati un’idonea informativa, né al momento del contatto, né successivamente nei riscontri forniti alle richieste di esercizio dei diritti, tale da consentire agli interessati di comprendere le rispettive responsabilità nel trattamento. Peraltro, con riguardo a quest’ultimo aspetto, in alcuni casi è stato lamentato il mancato riscontro alle richieste o l’ottenimento di una risposta che soddisfaceva solo in parte l’istanza avanzata. È stata pertanto contestata la violazione dell’art. 5, par. 1, lett. a) e degli artt.  12, 13, 14 e 15 del Regolamento.

Inoltre, si deve ricordare che il titolare del trattamento è tenuto a mettere in atto misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento sia effettuato in conformità al Regolamento. Nel caso di specie, invece, non risulta che Omnia24 abbia adottato particolari precauzioni nell’affidamento del servizio promozionale alla La Duomo, sia con riguardo alla responsabilità in eligendo, sia relativamente a successivi interventi in vigilando.

Quanto sin qui descritto consente di delineare un quadro di scarso controllo da parte della Società nei trattamenti finalizzati alla realizzazione della campagna promozionale con conseguente incapacità di ottemperare all’obbligo di comprovare il rispetto delle norme (accountability del titolare). Per tali ragioni è stata contestata la violazione degli artt. 5, par. 2, 24 e 28 del Regolamento.

Inoltre, la condotta descritta ha dato luogo all’invio di messaggi promozionali senza consenso – dal momento che in entrambi i casi La Duomo ha dichiarato di non disporre della prova documentale - integrando altresì la violazione dell’art. 6, par. 1, lett. a) del Regolamento e dell’art. 130 del Codice.

3. CONCLUSIONI

Preso atto che la Società non ha presentato scritti difensivi, né ha richiesto di essere ascoltata dall’Autorità e ritenute pertanto confermate le violazioni contestate, si rende necessario ingiungere alla Omnia 24, ai sensi dell’art. 58, par. 2, lett. d), qualora intenda in futuro avvalersi di terzi per l’invio di messaggi promozionali, di adottare idonee procedure volte a regolare correttamente i rapporti contrattuali con gli altri soggetti coinvolti nel trattamento, effettuando i dovuti controlli e predisponendo un’adeguata informativa per gli interessati, nonché adottando idonee procedure per garantire un pieno ed effettivo riscontro all’esercizio dei diritti.

Inoltre, tenuto conto del fatto che la Società non ha fornito alcuna assicurazione in merito ad eventuali interventi correttivi, ritenendo invece di non avere alcuna responsabilità nel trattamento, si rende necessario, ai sensi dell’art. 58, par. 2, lett. f), vietare il trattamento per finalità promozionali dei dati personali di soggetti di cui non sia in grado di comprovare l’acquisizione di un idoneo consenso. 

Infine, con riguardo ai trattamenti già realizzati e alla mancanza di idonee misure a garanzia del trattamento, si ritiene sussistano i presupposti per l’applicazione di una sanzione amministrativa pecuniaria ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento.

4. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

In base a quanto sopra rappresentato, stanti le violazioni richiamate, si rende applicabile la sanzione prevista dall’art. 83, par. 5 del Regolamento.

Ai fini della quantificazione della sanzione amministrativa il citato art. 83, par. 5, nel fissare il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore, specifica le modalità di quantificazione della predetta sanzione, che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del  Regolamento), individuando, a tal fine, una serie di elementi, elencati al par. 2, da valutare all’atto di quantificarne il relativo importo.

In adempimento di tale previsione, nel caso di specie, devono essere considerate le seguenti circostanze aggravanti:

1. la durata della violazione dal momento che, sulla base di quanto emerso dalle segnalazioni, il trattamento si è protratto dal 2019 al 2020;

2. il grado di responsabilità del titolare del trattamento che non ha posto in essere alcun tipo di controllo sull’attività della La Duomo e si è dimostrata negligente nel fornire riscontro alle richieste degli interessati;

3. il grado di cooperazione mostrato nelle interlocuzioni con l’Autorità dal momento che la Società si è limitata a dichiararsi estranea al trattamento senza fornire alcun tipo di chiarimento in merito alla realizzazione della campagna promozionale.

Quali elementi attenuanti, si ritiene di dover tener conto:

1. della natura dei dati trattati, di tipo comune, e del conseguente livello di potenziale pregiudizio per gli interessati;

2. dei risultati economici registrati a bilancio nell’anno 2020;

3. dell’assenza di precedenti procedimenti avviati a carico della Società.

In una complessiva ottica di necessario bilanciamento fra diritti degli interessati e libertà di impresa, e in via di prima applicazione delle sanzioni amministrative pecuniarie previste dal Regolamento, occorre valutare prudentemente i suindicati criteri, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società.

Pertanto si ritiene che, in base al complesso degli elementi sopra indicati, debba applicarsi alla Omnia 24 la sanzione amministrativa del pagamento di una somma pari a euro 100.000,00 (centomila/00), pari allo 0,5% del massimo edittale e, in ragione degli elementi aggravanti rilevati, la sanzione accessoria della pubblicazione per intero del presente provvedimento nel sito web del Garante come previsto dall’art. 166, comma 7 del Codice e dall’art. 16 del regolamento del Garante n. 1/2019.

Si ricorda che ai sensi dell’art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto del trattamento è punito con la reclusione da tre mesi a due anni e che, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e), del Regolamento.

Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecito il trattamento descritto nei termini di cui in motivazione da parte di Omnia 24 S.r.l., con sede in Milano, Piazza della Repubblica 19, P.IVA n. 02240150975, e conseguentemente:

a) ai sensi dell’art. 58, par. 2, lett. lett. d), ingiunge alla Società, qualora intenda in futuro avvalersi di terzi per l’invio di messaggi promozionali, di adottare idonee procedure volte a regolare correttamente i rapporti contrattuali con gli altri soggetti coinvolti nel trattamento, effettuando i dovuti controlli e predisponendo un’adeguata informativa per gli interessati, nonché adottando idonee procedure per garantire un pieno ed effettivo riscontro all’esercizio dei diritti;

b) ai sensi dell’art. 58, par. 2, lett. f), vieta il trattamento per finalità promozionali dei dati personali di soggetti di cui non sia in grado di comprovare l’acquisizione di un idoneo consenso;

ORDINA

a Omnia 24 S.r.l., con sede in Milano, Piazza della Repubblica 19, P.IVA n. 02240150975, di pagare la somma di euro 100.000,00 (centomila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 100.000,00 (centomila/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

a) ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate;

b) ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento nel sito web del Garante.

Il Garante, ai sensi dell’art. 58, par. 1, del Regolamento (UE) 2016/679, invita altresì il titolare del trattamento, a comunicare entro 30 giorni dalla data di ricezione del presente provvedimento, quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel presente provvedimento e di fornire comunque riscontro adeguatamente documentato. Si ricorda che il mancato riscontro alla richiesta ai sensi dell’art. 58 è punito con la sanzione amministrativa di cui all'art. 83, par. 5, lett. e), del Regolamento (UE) 2016/679.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 2 dicembre 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei