g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Assiteca S.p.A. - 15 dicembre 2022 [9860553]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9860553]

Ordinanza ingiunzione nei confronti di Assiteca S.p.A. - 15 dicembre 2022

Registro dei provvedimenti
n. 430 del 15 dicembre 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA

Nei giorni 28 febbraio, 1° e 2 marzo 2022 è stato effettuato un accertamento ispettivo presso Assiteca SpA per verificare la raccolta di dati personali effettuata tramite i siti www.6sicuro.it e www.chiarezza.it, con particolare riguardo all’utilizzo di tali dati per finalità di marketing, anche tramite comunicazione a terzi, nonché, al fine di controllare la procedura adottata per rendere riscontro alle richieste degli interessati. L’accertamento è stato avviato d’ufficio in base alla pianificazione delle attività ispettive del Garante per il primo semestre 2022(1) e ha tenuto conto anche di alcune doglianze indirizzate per conoscenza al Garante e di un reclamo.

Preliminarmente la Assiteca, che nasce come broker di assicurazioni, ha chiarito che i servizi erogati tramite i menzionati portali erano stati realizzati dalla 6Sicuro SpA, società incorporata in Assiteca nel luglio 2021, con sistemi informativi separati al momento dell’accertamento (ma in fase di reingegnerizzazione).

Gli accertamenti in loco sono stati effettuati simulando una richiesta di comparazione di preventivi auto nei siti www.chiarezza.it e www.6sicuro.it e successivamente sono state verificate le corrispondenti registrazioni nei sistemi della Società mediante accesso diretto agli stessi.

Di seguito si dà atto di quanto emerso:

1. al termine della compilazione dei campi nei siti indicati venivano richiesti distinti consensi per altrettante finalità di trattamento oltre a specifici consensi per l’approvazione di clausole contrattuali. Con riguardo esclusivamente ai consensi relativi al trattamento dei dati personali, alcuni di essi erano qualificati come “obbligatori” e riguardavano la dichiarazione di presa visione dell’informativa e l’assenso alla comunicazione dei dati alle compagnie assicurative per l’elaborazione dei preventivi e per la finalizzazione del contratto. È stato inoltre fatto presente alla Società che i verbalizzanti avevano effettuato un accesso d’ufficio ai medesimi siti il 17 febbraio 2022 dal quale era emerso che nel sito www.6sicuro.it il consenso relativo a “ricerca e profilazione” risultava già selezionato mentre nel sito www.chiarezza.it tutti i consensi facoltativi risultavano già selezionati; la Società ha giustificato tale risultato chiarendo che, durante il processo di compilazione, dopo l’inserimento dell’indirizzo e-mail, una query automaticamente rinviene da database gli eventuali consensi già prestati e li visualizza in questo modo all’utente;

2. nel corso della compilazione del preventivo nel sito www.chiarezza.it veniva mostrato all’utente un pop-up con la richiesta “Possiamo contattarti in merito a questo preventivo? SI/NO”. La società ha chiarito che tale funzionalità serviva a consentire all’utente di essere contattato anche se non portava a termine la compilazione del preventivo;

3. la Società utilizzava i dati per inviare comunicazioni promozionali via e-mail, sms o contatto telefonico ai soggetti presenti nel proprio database che avevano prestato uno specifico consenso e cedeva tali dati a terzi, qualora fosse presente lo specifico consenso, per le rispettive autonome finalità promozionali;

4. i dati raccolti mediante l’elaborazione del preventivo erano logicamente collegati al preventivo e non al singolo utente i cui dati venivano salvati solo se portata a termine la procedura di compilazione mediante la selezione del tasto “confronta prezzi”. Al momento dell’accertamento risultavano registrati 5.196.103 indirizzi e-mail (di cui 3.391.809 per i quali risultava fornito almeno un consenso) e 4.262.923 numeri telefonici (di cui 2.709.333 per i quali risultava fornito almeno un consenso);

5. all’esito della compilazione del modulo per ottenere il preventivo, ed effettuate le singole scelte in merito ai consensi privacy da conferire, l’utente riceveva una e-mail di conferma con un link “vai al preventivo” per visualizzare i risultati. Fatta una prova con gli indirizzi e-mail dei verbalizzanti, è stato accertato che, se veniva cliccato il tasto in calce alla e-mail, tutti i consensi facoltativi (anche se non concessi) venivano automaticamente valorizzati a “si” nei sistemi, indipendentemente dalle scelte effettuate dall’utente in sede di compilazione;

6. dal registro dei trattamenti “addendum 6 sicuro” risultava che venivano identificate due tipologie di trattamento: i) elaborazione di preventivi assicurativi; ii) iniziative di marketing, cessione dati a terzi, profilazione, invio newsletter. Per entrambe veniva indicata la base giuridica del consenso e i tempi di conservazione dei dati erano “fino a revoca del consenso”; tale impostazione è stata confermata anche dalle dichiarazioni rese in corso di accertamento durante il quale è stato anche rinvenuto un preventivo del 2009. La Società ha comunque assicurato di aver avviato le valutazioni per una revisione dei tempi di conservazione dei dati e per la migrazione dei sistemi su un’unica piattaforma che consentirà la gestione per utente e non per preventivo;

7. la Società ha fornito la lista dei soggetti terzi (cfr. verbale 2 marzo 2022) che hanno ricevuto dati personali da utilizzare per finalità di marketing (per un totale di 25.399.805 utenti). Tali soggetti tuttavia non risultavano presenti (o lo erano solo in minima parte) nell’elenco delle società terze cessionarie dei dati pubblicato nei due siti e raggiungibile tramite apposito link presente al punto 6 dell’informativa privacy. Tale verifica è stata effettuata dall’Ufficio sia in data 21 febbraio 2022, sia in data 16 giugno 2022;

8. i verbalizzanti hanno fornito una lista di 863 utenze cellulari per le quali è stato chiesto di fornire evidenza dello storico dei consensi e dell’utilizzo in campagne promozionali. Sono stati inoltre esaminati i primi due numeri della lista ed è stato riscontrato che il numero XX risultava acquisito nel 2009 e modificato nel 2014 ma riportava come data di ultima modifica il 01/01/1901;

9. i verbalizzanti hanno chiesto di effettuare verifiche circa i consensi rilasciati da tre soggetti che nel 2021 avevano inviato segnalazioni e reclami al Garante per la ricezione di messaggi promozionali di 6Sicuro SpA nonostante l’opposizione: dalle estrazioni effettuate nel database di backend è emerso che per due segnalanti risultava revocato il consenso per finalità di marketing nelle date indicate nelle segnalazioni, mentre i dati di un segnalante (cell. XX) che non aveva mai fornito alcun consenso erano stati utilizzati a gennaio e marzo 2021 per attività di telemarketing.

Con nota del 18 marzo 2022 la Società ha fatto pervenire una memoria integrativa, a scioglimento delle riserve, nella quale ha confermato l’aggiornamento delle misure organizzative e tecniche avviate per integrare completamente l’unità 6Sicuro, acquisita a luglio 2021. In particolare, Assiteca ha dichiarato di aver acquistato una piattaforma di Customer Relationship Management (CRM) al fine di unificare le funzionalità dei diversi settori aziendali, attualmente separati, per consentire anche ad ogni utente di accedere a una propria area personale nei due siti al fine di verificare le proprie informazioni e gestire autonomamente i consensi. Di tutto il processo di modifica delle procedure aziendali è stato dato conto allegando la relativa tempistica di realizzazione.

Con riguardo alle specifiche informazioni rimaste oggetto di riserva, Assiteca:

a) relativamente agli approfondimenti relativi alla problematica descritta al punto 5 del precedente elenco, ha dichiarato che è stato rilevato un bug di sistema che ha riguardato circa 9.700 anagrafiche. La Società ha dichiarato che avrebbe provveduto entro il mese di marzo a: i) correggere l’errore, ii) ripristinare lo stato dei consensi, iii) informare gli eventuali terzi cui i dati fossero stati comunicati;

b) ha fornito elementi di dettaglio in merito alle 863 numerazioni fornite dai verbalizzanti;

c) con riguardo all’anomalia descritta al precedente punto 8, la Società ha ritenuto che essa “sia imputabile ad un errore informatico generato dalle interruzioni di sessione nell’ambito del processo di importazione dati dalla vecchia alla nuova infrastruttura IT”. Non essendo stato possibile ripristinare gli originari consensi, l’anomalia è stata segnalata nei sistemi apponendo una data fittizia. La problematica comunque ha riguardato solo 9 utenti;

d) con riguardo alle richieste di esercizio dei diritti pervenute dagli interessati nel 2021, la Società ha dichiarato che esse ammontano a 120.894 di cui il 98,88% già gestite;

e) con riguardo al pop-up generato in corso di compilazione del questionario, la Società, all’esito delle verifiche effettuate, ha dichiarato che nessun dato veniva conservato se non si portava a termine la richiesta di preventivo. Pertanto, detto pop-up sarebbe solo un mero refuso, derivante da successivi interventi di carattere grafico, senza alcuna conseguenza nella conservazione dei dati ed è stato pertanto rimosso.

Inoltre, la Società ha ritenuto di dover fornire maggiori chiarimenti in merito al fatto che, all’accesso effettuato d’ufficio dai funzionari del Garante, alcuni consensi risultavano pre-flaggati; la Società ha confermato che, all’epoca della verifica, era in atto una procedura che, riconoscendo il numero di telefono, presentava all’interessato l’ultimo stato dei consensi raccolti. È stato comunque assicurato che tale procedura sarebbe stata superata entro il 31 marzo 2022.

Infine, il 7 aprile 2022, la Società ha spontaneamente integrato le informazioni rese dando atto degli aggiornamenti effettuati. In particolare, ha dichiarato:

a) di aver ultimato la procedura di verifica e correzione del bug di sistema che aveva portato all’indebita variazione dei consensi per gli utenti che avevano cliccato sul tasto “vai al preventivo”. A tal proposito, la Società ha precisato che delle circa 9700 utenze interessate, in realtà solo 2155 utenti avevano subito la variazione del consenso poiché nei restanti casi vi era stata solo una sovrascrittura di un consenso già reso;

b) di aver ultimato la gestione delle residuali richieste di revoca del consenso non ancora lavorate al momento della presentazione della memoria del 18 marzo 2022;

c) di aver definitivamente soppresso la funzione che consentiva la presentazione del consenso pre-flaggato in caso di dato di contatto già presente nel database.

2. LA CONTESTAZIONE DELLE VIOLAZIONI

Sulla base delle risultanze dell’attività ispettiva, con nota del 20 luglio 2022 è stato comunicato alla Società l’avvio del procedimento, ai sensi dell’art. 166, comma 5, del Codice.

In tale sede, l’Ufficio ha ritenuto sussistente un quadro di complessiva carenza di misure tecniche e organizzative del titolare. Ciò in ragione di diversi errori di sistema che avevano portato ad aggirare la volontà espressa dagli interessati con il conseguente invio di messaggi promozionali e con la conseguente comunicazione a terzi in assenza di un idoneo consenso (come di fatto avvenuto nel caso del segnalante di cui al numero XX). Anche la precisazione che delle 9.700 utenze, “solo” 2.155 erano state interessate dalla modifica del consenso, non rendeva esenti da pregiudizio le altre 7.545 poiché per queste ultime la sovrascrittura del consenso ha costituito comunque un travisamento della volontà dell’interessato che, pur avendo dato il consenso in precedenza, potrebbe non averlo voluto conferire compilando un successivo preventivo (pertanto anche il precedente consenso avrebbe dovuto considerarsi revocato ed è stato invece confermato).

Si è osservato che la stessa impostazione dei sistemi, che incentrava l’anagrafica sulla base del preventivo e non dell’utente, non consentiva la corretta gestione nel tempo della volontà dell’interessato che, in mancanza della registrazione come utente in un’apposita area personale, non poteva neanche avvalersi della facoltà di verificare/ modificare i dati rilasciati e i consensi resi (se non, ovviamente, scrivendo direttamente alla Società).

Con riguardo, invece, all’idoneità dei consensi acquisiti, è stato osservato che la Società – come descritto nell’informativa privacy - basava sul consenso il trattamento per finalità di marketing, la comunicazione a terzi e la profilazione. Inoltre, con riguardo alle “finalità di comunicazione e commerciali” (punto 2.1.e dell’informativa), tenuto conto dei singoli numerosi consensi che venivano richiesti al termine del preventivo, è stato ritenuto difficile comprendere se tale trattamento riguardasse comunicazioni promozionali di Assiteca oppure (anche o esclusivamente) la comunicazione a terzi per proprie finalità promozionali. Inoltre, sempre con riguardo alla comunicazione a terzi, non risultava che la lista dei soggetti cessionari dei dati riportasse le società cui tali dati erano stati effettivamente ceduti. Inoltre, le finalità indicate al punto 2.1.g dell’informativa erano numerose, eterogenee e di fatto consentite “a qualsiasi titolo”.

Invece, con riguardo alla profilazione non veniva chiarito nell’informativa quale fosse la finalità di tale trattamento. Al punto 2.1.f. dell’informativa, rubricata “finalità di ricerca e profilazione” si definiva così lo scopo del trattamento: “svolgimento di verifiche concernenti il livello di soddisfazione della clientela di Assiteca; attività di ricerca ed elaborazione di statistiche, anche in forma anonima, nonché di studi e ricerche di mercato, profilazione degli utenti anche con strumenti elettronici”. Tale generica dizione lascerebbe intendere che l’attività di profilazione fosse finalizzata ad effettuare per lo più analisi statistiche. Tuttavia, al successivo punto 4 dell’informativa si leggeva che il mancato conferimento del consenso avrebbe reso impossibile “per Assiteca di analizzare le abitudini di consumo dell’Interessato al fine di elaborare ed inviare offerte specifiche sulla base delle preferenze dello stesso”. Qui dunque la finalità della profilazione sembrerebbe essere quella di veicolare comunicazioni promozionali personalizzate.

Su tali presupposti, si è ritenuto che ogni consenso eventualmente ottenuto non avrebbe potuto considerarsi di fatto informato e, di conseguenza, libero dal momento che non era chiara la finalità per la quale veniva effettuata la profilazione sui dati conferiti e, di conseguenza, l’interessato non era in grado di valutare le conseguenze di tale trattamento. Analoghe considerazioni sono state fatte per la comunicazione a terzi e per le finalità di marketing.

Inoltre, si è notato che venivano richiesti dei “consensi obbligatori”, dizione che rappresenta di fatto un ossimoro essendo, come noto, il consenso caratterizzato dal requisito della libertà. Si è perciò ipotizzato che la Società non avesse adeguatamente valutato la più opportuna base giuridica per tali trattamenti o avesse equivocamente presentato come richiesta di consenso la mera dichiarazione di presa visione dell’informativa.

Infine, pur avendo documentato di avere avviato degli approfondimenti, non risulta che la Società avesse mai definito i tempi di conservazione dei dati, che non risultavano specificati nell’informativa, con il risultato che i dati raccolti non erano mai stati cancellati.

Pertanto, pur tenendo conto del fatto che la Società aveva preso atto degli errori rilevati e vi aveva posto rimedio (o aveva avviato le procedure per le necessarie modifiche), si è ritenuto che i trattamenti così descritti avessero comportato la violazione degli artt. 5, par. 1, lett. a), d) ed e), 6, par. 1, lett. a), 7, 13 e 24 del Regolamento e la violazione dell’art. 130 del Codice.

3. LA DIFESA DELLA SOCIETÀ

Con nota del 19 settembre 2022 Assiteca ha fatto pervenire una memoria difensiva, i cui contenuti si intendono qui integralmente richiamati, nella quale ha fornito dettagliati chiarimenti in merito alle contestazioni mosse dall’Ufficio, dando atto delle misure correttive puntualmente adottate.

In particolare la Società, con riguardo al generale addebito di mancanza di misure adeguate a garantire la conformità dei trattamenti, ha ricordato che la fusione per incorporazione della 6Sicuro S.p.A. aveva comportato anche la necessità di integrare i relativi sistemi informativi, con conseguente rischio di disallineamenti. Per tali ragioni, Assiteca aveva avviato una trattativa – già a partire dal mese di ottobre 2021 e dunque ben prima dell’accertamento ispettivo del Garante – per l’acquisizione di un nuovo sistema di CRM. La procedura di ingegnerizzazione dei sistemi, che ha richiesto molto tempo e diverse modifiche, è stata ultimata a settembre 2022 comportando una nuova versione dei siti web 6sicuro.it e chiarezza.it, molto più user friendly e incentrata sull’utente piuttosto che sul preventivo. Pertanto, le anomalie rilevate in corso di ispezione da parte del Garante, erano da considerare come circoscritti effetti addebitabili al disallineamento dei sistemi e non ad una sistematica mancanza di misure di sicurezza. Inoltre, tutte le anomalie tecniche rilevate sono state corrette immediatamente dopo l’accertamento ispettivo.

Con riguardo ad altri aspetti oggetto di contestazione – riconducibili alla comprensibilità dei trattamenti da parte degli interessati – la Società, pur ritenendo di aver adottato modalità già conformi alle norme, ha provveduto ad apportare delle misure correttive al fine di migliorare la comprensione da parte degli utenti scongiurando eventuali equivoci. In particolare:

- con riguardo alla chiarezza dell’informativa privacy, ha provveduto a riformulare il testo e ne ha dato ampia comunicazione agli utenti;

- con riguardo alla presenza di consensi pre-flaggati che davano atto delle preferenze già registrate a sistema, pur non ritenendo che tale modalità costituisse una violazione, la Società ha provveduto ad eliminare tale funzionalità in data 22 marzo 2022, quindi ben prima di ricevere l’atto di avvio del procedimento;

- con riguardo alle formule di consenso la cui accettazione risultava obbligatoria, ha provveduto a distinguere chiaramente le richieste di “consenso” dalla mera “presa visione” e da dichiarazioni di altra natura.

Infine, la Società ha confermato di aver provveduto a definire i tempi di conservazione dei dati per le diverse finalità e si è impegnata ad effettuare audit almeno ogni 12 mesi per verificare il funzionamento della piattaforma e la conformità dei trattamenti.

In data 5 ottobre 2022 si è tenuta un’audizione nella quale la Società ha fornito ulteriori dettagli in merito alle attività intraprese per ottimizzare le modalità con cui vengono effettuati i trattamenti, descrivendo nel dettaglio le tempistiche di realizzazione del nuovo sistema CRM e i sostanziali investimenti effettuati sia per bonificare i disallineamenti conseguenti all’integrazione dei sistemi delle società fuse, sia per rafforzare le misure di garanzia dei trattamenti.

4. VALUTAZIONI DI ORDINE GIURIDICO

Con riferimento ai profili fattuali sopra evidenziati, anche in base alle dichiarazioni della Società di cui si risponde ai sensi dell’art. 168 del Codice, si formulano le seguenti valutazioni in relazione ai profili riguardanti la disciplina in materia di protezione dei dati personali.

4.1 Sulla carenza di misure tecniche e organizzative

Richiamando le considerazioni svolte al punto 2 e tenuto conto dei chiarimenti forniti da Assiteca in sede difensiva, si ritiene che le misure tecniche adottate non fossero del tutto adeguate – nei casi specificamente oggetto di verifica – a garantire un trattamento che fosse esente da pregiudizi per gli interessati. Difatti, esse avevano dato luogo ad anomalie tecniche che avevano inciso sulla validità di alcune registrazioni o sulla validità degli stessi consensi espressi da alcuni utenti. Tuttavia, alla luce dei chiarimenti forniti, si ritiene di poter valutare tali condotte limitatamente agli specifici eventi accertati (senza attribuirvi valenza di violazione di carattere sistematico), soprattutto in virtù del fatto che era stata di recente effettuata l’integrazione di due diversi sistemi societari, potendo considerare tali eventi come il risultato accidentale di un processo che la Società già intendeva sottoporre a reingegnerizzazione.

Con riguardo agli specifici aspetti legati ai consensi pre-flaggati (in ragione di una volontà già manifestata) e al trattamento incentrato sul preventivo invece che sull’utente, pur essendo chiaro che tali modalità di trattamento non costituiscono, di per sé una violazione delle norme, si deve innanzitutto chiarire che il fatto che non sussista uno specifico obbligo giuridico non significa che il trattamento sia, per ciò solo, conforme ai dettami del Regolamento. Il quadro giuridico vigente è infatti orientato a dettare principi più che norme di condotta specifiche, in ragione dell’impossibilità di prevedere ab origine ogni singola modalità di trattamento. In tale contesto, spetta al titolare, scegliere le modalità più conformi alla propria natura e al tipo di trattamento che dovrà realizzare oltre che, ovviamente, alle soluzioni disponibili allo stato dell’arte. Nel caso di una Società come Assiteca, che tratta dati di milioni di utenti con finalità diverse, dove gli utenti ritornano periodicamente nei portali per effettuare preventivi aggiungendo o sovrascrivendo informazioni, è evidente che una modalità di gestione delle informazioni incentrata sull’utente piuttosto che sul preventivo garantisce maggiore chiarezza per l’interessato che si trova ad utilizzare i servizi e dunque costituisce una misura più adeguata alla tipologia di trattamento. Analogo ragionamento può essere fatto circa la scelta di presentare le caselle di consenso già selezionate (ma modificabili) in base a consensi eventualmente espressi in precedenza.

Si dà comunque atto del fatto che la Società aveva già previsto, prima ancora dell’accertamento ispettivo, di aggiornare i propri sistemi e che, allo stato, tutte le modifiche descritte risultano apportate. Per tali ragioni non si ritiene necessario intervenire ulteriormente.

4.2 Sulla chiarezza dell’informativa

Dall’esame del testo dell’informativa presente nei siti web della Società al momento dell’accertamento erano emersi diversi dubbi interpretativi in merito all’effettivo trattamento svolto, dato il tenore letterale di alcuni passaggi. In particolare, il punto 2.1.e dell’informativa non risultava sufficientemente chiaro poiché, pur avendo la Società precisato che l’intento era solo di descrivere le finalità promozionali di Assiteca stessa, il riferimento “a terze società – cui i dati stessi potranno essere comunicati – …” poteva far intendere che le finalità promozionali riguardassero invece soggetti diversi dal titolare.

Con riguardo invece al punto 2.1.f, relativo alla profilazione, le finalità del trattamento citate erano eterogenee (customer satisfaction, statistiche, ricerche di mercato, promozionali). In merito a ciò Assiteca ha chiarito di non aver effettuato attività di profilazione finalizzata al marketing ma di aver utilizzato tale trattamento solo per consentire di elaborare il profilo di rischio in virtù del proprio ruolo di intermediario assicurativo.

Ad oggi il testo dell’informativa è stato comunque modificato dando atto in maniera più chiara dei trattamenti effettuati e delle relative basi giuridiche.

Per tali ragioni non si ritiene necessario intervenire ulteriormente.

4.3 Sul consenso al trattamento per finalità promozionali

Dagli accertamenti svolti, come descritto sopra, è stato rilevato che, a causa di un bug di sistema, la volontà di alcuni utenti non è stata correttamente recepita dal momento che alcuni consensi risultavano involontariamente prestati a sistema dopo l’accesso all’e-mail contenente il preventivo. Anche se la Società ha chiarito che l’evento è stato originato da involontarie problematiche di carattere tecnico, resta il fatto che per 9.700 utenti è stato registrato un consenso che non ne comprova la reale volontà e, per 2.155 di questi, è stato acquisito un consenso che non era mai stato espresso, in violazione degli artt. 6, par. 1, lett. a) e 7 del Regolamento.

Inoltre, con riguardo al segnalante di cui al numero XX la Società ha sostenuto, nella propria memoria, che questi avesse ricevuto unicamente un’e-mail di servizio e non una comunicazione promozionale. Occorre tuttavia ricordare che il reclamante aveva lamentato dei contatti telefonici indesiderati (anche dopo l’opposizione) e non la ricezione di una e-mail. Dall’accertamento in loco è stato possibile verificare, come riportato nel verbale del 1° marzo 2022, che per quella numerazione non risultava acquisito alcun consenso eppure era stata ceduta per campagne di telemarketing nel 2020 e nel 2021, anno in cui è stato contattato due volte anche dopo l’opposizione manifesta il 28 gennaio 2021. Pertanto si rileva che il trattamento è avvenuto in assenza di consenso dell’interessato in violazione dell’art. 6, par. 1, lett. a) del Regolamento e dell’art. 130 del Codice.

Ciò premesso, tenuto conto che la Società ha già adottato misure correttive, non si ritiene necessario imporre ulteriori prescrizioni e si ritengono integrati i presupposti per l’applicazione di una sanzione amministrativo-pecuniaria, ai sensi dell’art. 58, par. 2, lett. i).

4.4 Sui tempi di conservazione dei dati personali

Come descritto sopra (cfr. il punto 6 del paragrafo 1) la Società non aveva provveduto a definire preventivamente i tempi di conservazione dei dati per le singole finalità. In sede difensiva Assiteca, pur assicurando di aver ora definito puntualmente diversi tempi di conservazione, ha ritenuto comunque di aver agito correttamente dal momento che la cancellazione dei dati era assicurata in caso di revoca del consenso per finalità promozionali. A supporto delle proprie argomentazioni la Società ha menzionato una precedente pronuncia del Garante(2) nella quale è stato chiarito che il consenso al trattamento dei dati personali “deve ritenersi valido, indipendentemente dal tempo trascorso, finché non venga revocato dall’interessato”. Si osserva tuttavia che la Società ha valutato solo in maniera parziale la pronuncia da lei stessa citata. Il principio espresso dal Garante, infatti, non esime il titolare dall’onere di stabilire a priori dei tempi di conservazione dei dati ma anzi chiarisce proprio che il consenso deve, sì, ritenersi valido fino a revoca, ma “a condizione che sia stato correttamente acquisito in origine e che sia ancora valido alla luce delle norme applicabili al momento del trattamento nonché dei tempi di conservazione stabiliti dal titolare, e indicati nell’informativa”.

A tal riguardo, si conferma quanto contestato con l’atto di avvio del procedimento, rilevando che il trattamento è avvenuto in violazione dell’art. 5, par. 1, lett. e) del Regolamento.

Ciò premesso, tenuto conto che la Società ha già adottato misure correttive, non si ritiene necessario imporre ulteriori prescrizioni e si ritengono integrati i presupposti per l’applicazione di una sanzione amministrativo-pecuniaria, ai sensi dell’art. 58, par. 2, lett. i).

5. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

In base a quanto sopra rappresentato, risultano violate varie disposizioni del Regolamento e del Codice in relazione a trattamenti collegati effettuati da Assiteca, per cui occorre applicare l'art. 83, par. 3, del Regolamento, in base al quale, se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento viola, con dolo o colpa, varie disposizioni del Regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave con conseguenziale applicazione della sola sanzione prevista dall’art. 83, par. 5, del Regolamento.

Ai fini della quantificazione della sanzione amministrativa il citato art. 83, par. 5, nel fissare il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore, specifica le modalità di quantificazione della predetta sanzione, che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1, del Regolamento), individuando, a tal fine, una serie di elementi, elencati al par. 2, da valutare all’atto di quantificarne il relativo importo.

In adempimento di tale previsione, nel caso di specie, verificato, sulla base dell’ultimo bilancio disponibile, il ricorrere della prima ipotesi prevista dal citato art. 83, par. 5 e quantificato quindi in 20 milioni di euro il massimo edittale applicabile, devono essere considerate le seguenti circostanze aggravanti:

1. l’ampia portata dei trattamenti che hanno riguardato 9.700 interessati per alcuni mesi (art. 83, par. 2, lett. a), del Regolamento);

2. la gravità delle violazioni rilevate, in ragione del fatto che, per 9.700 utenti la volontà espressa è stata travisata a loro insaputa esponendo i rispettivi dati personali a potenziale trattamento per finalità promozionale anche in assenza di consenso (art. 83, par. 2, lett. a), del Regolamento);

3. la maniera in cui l’Autorità di controllo ha preso conoscenza delle violazioni, emerse nel corso di un’attività ispettiva, avviata d’ufficio tenendo conto di alcune segnalazioni e di un reclamo (art. 83, par. 2, lett. h), del Regolamento).

Quali elementi attenuanti, si ritiene di dover tener conto:

1. delle intenzioni della Società che, sulla base di quanto acquisito in atti, non paiono volte a realizzare consapevolmente gli effetti delle condotte contestate; ciò anche tenuto conto delle modifiche societarie intervenute e della conseguente necessità di integrare sistemi e procedure aziendali diverse (art. 83, par. 2, lett. b), del Regolamento);

2. della tempestiva adozione di misure correttive, alcune delle quali già avviate prima degli accertamenti ispettivi, nonché degli ingenti investimenti effettuati – decisi già prima dell’intervento del Garante - per rendere i trattamenti conformi alle norme e per migliorare la gestione delle proprie informazioni da parte degli utenti (art. 83, par. 2, lett. c) e d), del Regolamento);

3. del fatto che la Società ha dato atto di rispondere in maniera tempestiva alle richieste di esercizio dei diritti da parte degli interessati (art. 83, par. 2, lett. c) e d), del Regolamento);

4. dell’assenza di precedenti violazioni pertinenti commesse dal titolare del trattamento (art. 83, par. 2, lett. e), del Regolamento);

5. dell’elevato grado di cooperazione nell’interazione con l’Autorità di controllo (art. 83, par. 2, lett. f), del Regolamento).

In una complessiva ottica di necessario bilanciamento fra diritti degli interessati e libertà di impresa, tenuto conto che la Società, e in via di prima applicazione delle sanzioni amministrative pecuniarie previste dal Regolamento, occorre valutare prudentemente i suindicati criteri, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società.

Pertanto si ritiene che - in base al complesso degli elementi sopra indicati e dei risultati dell’ultimo bilancio, debba applicarsi alla Assiteca la sanzione amministrativa del pagamento di una somma pari allo 0,6% della sanzione edittale massima di 20 milioni di euro, corrispondente a euro 120.000,00 (centoventimila). La sanzione edittale massima è individuata con riferimento al disposto dell’art. 83, par. 5, del Regolamento, tenuto conto che il 4% del fatturato di Assiteca, sulla base dell’ultimo bilancio disponibile, risulta inferiore ai 20 milioni di euro.

Si rileva che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Si ritiene altresì – in considerazione della vasta portata delle violazioni rilevate - che, ai sensi dell’art. 166, comma 7, del Codice, e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento nel sito web del Garante, a titolo di sanzione accessoria.

TUTTO CIÒ PREMESSO, IL GARANTE

nei confronti di Assiteca S.p.A., con sede legale in Via Costanza Arconati 1, Milano, codice fiscale 09743130156

ORDINA

ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, alla Assiteca S.p.A., in persona del suo legale rappresentante, di pagare la somma di euro 120.000,00 (centoventimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 120.000,00 (centoventimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981;

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 15 dicembre 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei

 

(1) Cfr. Deliberazione del 22 dicembre 2021 - Attività ispettiva di iniziativa curata dall'Ufficio del Garante, anche per mezzo della Guardia di finanza, limitatamente al periodo gennaio-giugno 2022, in www.garanteprivacy.it, doc web n. 9737049.

(2) Cfr. provv. 15 ottobre 2020, in www.garanteprivacy.it doc web n. 9486485.