g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di STS Di Prisinzano s.r.l. - 24 novembre 2022 [9842389]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9842389]

Ordinanza ingiunzione nei confronti di STS Di Prisinzano s.r.l. - 24 novembre 2022

Registro dei provvedimenti
n. 391 del 24 novembre 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il Prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il reclamo presentato dalla sig.ra XX in data 14/01/2021, ai sensi dell’art. 77 del Regolamento, con cui è stato lamentato un illecito trattamento di dati personali da parte di STS di Prisinzano s.r.l.;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1.  L’avvio del procedimento.

Con il reclamo presentato a questa Autorità in data 14/01/2021, la sig.ra XX lamentava un illecito trattamento di dati personali posto in essere da STS Di Prisinzano s.r.l. (di seguito “la Società”).

In particolare, la reclamante rappresentava che, a fronte del trattamento dei propri dati personali, raccolti dalla Società in occasione del servizio di soccorso stradale, questa aveva omesso di renderle una informativa idonea ai sensi dell’art. 13 del Regolamento UE 679/2016 (di seguito “Regolamento”).

La Società, invitata a fornire osservazioni in ordine ai fatti oggetto di reclamo, formulava le proprie osservazioni con la nota datata 18/05/2021, con cui evidenziava, in primis, l’infondatezza del reclamo presentato.

Ciò in quanto, a fronte di un’istanza di esercizio dei diritti, formulata dalla reclamante ai sensi dell’art. 15 del Regolamento, era stato fornito un idoneo riscontro comunicando alla stessa che gli unici dati in possesso (individuati nel nome, cognome, codice fiscale, numero di telefono e indirizzo email) erano stati utilizzati per predisporre il preventivo e la fattura inerente i lavori effettuati sull’autovettura e che, ad ogni modo, il trattamento era cessato.

In secondo luogo, la Società ha rappresentato di aver correttamente adempiuto all’obbligo di rendere l’informativa, di cui all’art. 13 del Regolamento, rendendola disponibile ai propri clienti sul proprio sito web www.soccorsostradalests.it.

Anche nei confronti della reclamante, tale obbligo era stato correttamente adempiuto mediante il richiamo all’art. 13 del Regolamento inserito nella cd. “Scheda lavoro”, in cui sono stati raccolti i dati dell’interessata al momento del soccorso stradale.

L’Ufficio, alla luce di quanto sopra, provvedeva a notificare l’atto di avvio del procedimento sanzionatorio, ai sensi dell’art. 166, comma 5, del Codice per la violazione degli artt. 13 e 5, par. 1, lett. a), del Regolamento (prot. n. 50523 del 08/10/2021).

La Società, in data 08/11/2021, inviava propri scritti difensivi, ai sensi dell’art. 18 della legge n. 689/1981, con cui confermava quanto già dichiarato nelle precedenti note di riscontro e produceva documentazione inerente alle misure di adeguamento alla disciplina in materia di protezione dei dati personali.

2. L’esito dell’istruttoria.

All’esito dell’esame della documentazione prodotta e delle dichiarazioni rese dalla parte nel corso del procedimento, premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice, risulta accertato che la Società ha effettuato un trattamento di dati personali riferiti alla reclamante, per mezzo di un modulo denominato “Scheda lavoro”, in cui sono stati raccolti i dati personali relativi a nome e cognome, indirizzo e-mail e numero di telefono, nonché dati relativi all’autovettura (targa e modello auto).

A fronte del trattamento dei dati personali così realizzato, è stata verificata l’assenza di una informativa idonea, ai sensi dell’art. 13 del Regolamento. Infatti, la cd. “Scheda lavoro” che è stata prodotta in atti, contiene, con formula generica, unicamente la dicitura “Autorizzo il trattamento dei dati personali ai sensi dell’art. 13 del d.lgs. 101/2018 e del GDPR Regolamento UE 679/2016”; tale espressione risulta del tutto priva di significato in assenza di tutte le informazioni richieste specificamente dal citato art. 13 del Regolamento.

Quanto all’informativa presente sul sito web, è stato verificato nel corso dell’istruttoria che quest’ultima non era aggiornata, contenendo ancora riferimenti alla normativa anteriore al Regolamento, ed era riferita unicamente ai trattamenti effettuati tramite il web con riguardo ai dati di navigazione e ai cookies, senza alcun riferimento agli altri trattamenti effettuati dalla Società, tra i quali quelli raccolti attraverso le “schede lavoro”.

Va tenuto conto, altresì, che l’informativa resa agli interessati è espressione del principio di correttezza e trasparenza dei trattamenti ai sensi dell’art. 5, par. 1, lett. a) del Regolamento e, pertanto, è obbligo del titolare fornire agli interessati le informazioni relative alle caratteristiche essenziali del trattamento che intende effettuare, in “forma concisa, trasparente, intellegibile e facilmente accessibile, con un linguaggio semplice e chiaro” (art. 12, par. 1, del Regolamento). Elementi che, in tutta evidenza, sono stati del tutto disattesi nel caso in esame.

3. Ordinanza di ingiunzione.

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. L. 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali riferito alla reclamante, di cui è stata accertata l’illiceità, nei termini sopra esposti.

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state tenute in considerazione le circostanze sotto riportate:

- con riguardo alla natura, gravità e durata della violazione è stata considerata rilevante la natura della violazione che ha riguardato l’inadempimento dell’obbligo di rendere alla interessata una idonea informativa, riguardi i trattamenti effettuati;

- le carenze relative all’informativa, rilevate nell’ambito dell’istruttoria relativa al reclamo, hanno riguardato in generale i trattamenti dei dati di tutti i clienti, fino all’adeguamento effettuato nel corso del procedimento;

- l’assenza di precedenti violazioni pertinenti commesse dal titolare del trattamento;

- le misure adottate dal titolare del trattamento che, nel corso dell’istruttoria, ha documentato di aver apportato le necessarie modifiche e integrazioni alle informative risultate inidonee;

- il grado di cooperazione fornito dalla Società nel corso del procedimento.

In considerazione dei richiamati principi di effettività, proporzionalità e dissuasività (art. 83, par. 1, del Regolamento) ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione, sono state prese in considerazione le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti e riferiti al bilancio d’esercizio per l’anno 2020.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 1.000,00 (mille) per la violazione degli artt. 5, par. 1, lett. a) e 13 del Regolamento.

In tale quadro, anche in considerazione della tipologia di violazione accertata, che ha riguardato i principi base del trattamento e diritti dell’interessato, si ritiene che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito internet del Garante.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

dichiara, ai sensi degli artt. 57, par. 1, lett. f) e 83 del Regolamento, l’illiceità del trattamento effettuato, nei termini di cui in motivazione, per la violazione degli artt. 5, par. 1, lett. a) e 13 del Regolamento;

ORDINA

a STS Di Prisinzano s.r.l., in persona del legale rappresentante pro-tempore, con sede legale in Parma, Via G. Giusti n. 13, P.I. 06397750826 ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, di pagare la somma di euro 1.000,00 (mille) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione;

INGIUNGE

alla medesima Società di pagare la somma di euro 1.000,00 (mille) secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981. Si rappresenta che ai sensi dell’art. 166, comma 8, del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del regolamento n. 1/2019.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 24 novembre 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei