g-docweb-display Portlet

Ordinanza ingiunzione - 2 marzo 2023 [9880317]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9880317]

Ordinanza ingiunzione - 2 marzo 2023

Registro dei provvedimenti
n. 60 del 2 marzo 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Claudio Filippi, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018 n. 101, recante disposizioni per l'adeguamento dell’ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;  

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

Al Garante sono pervenuti, nel corso del 2021, diversi reclami da parte del signor XX che lamentava la ricezione di e-mail indesiderate contenenti comunicazioni promozionali di diversi soggetti. Dalle istruttorie condotte, e sulla base di quanto integrato successivamente dal reclamante, è emerso che tali soggetti avevano incaricato dello svolgimento di campagne di e-mail marketing un soggetto terzo che non risultava immediatamente identificabile.

Infatti, dalla documentazione acquisita in atti è emerso che le offerte di servizi di e-mail marketing a detti committenti risultavano formulate da tale “Flowers R – Gruppo Digitech” e sottoscritte, o comunque promosse, da un soggetto che si firmava come “Claudio Alfieri” riportando dati fiscali inesistenti. In alcuni casi, in corso di istruttoria è stata anche prodotta all’Ufficio la copia di una liberatoria, sottoscritta dal sedicente Claudio Alfieri in qualità di “resp. Reparto mailing della società Flowers R”, con la quale si sollevava l’acquirente dei servizi da tutte le “responsabilità inerenti la privacy e il gdpr per l’invio delle newsletter per tutti gli indirizzi presenti e inviati nella lista in oggetto”.

Inoltre, nello stesso periodo, un segnalante, che aveva ricevuto un’analoga offerta per la realizzazione di campagne promozionali tramite e-mail, nutrendo dubbi circa la liceità di tale condotta, ha provveduto ad inoltrarla al Garante.

L’Ufficio, condotti i primi accertamenti, ha incaricato il Nucleo speciale privacy della Guardia di Finanza di verificare l’identità del soggetto che si presentava come Claudio Alfieri/Flowers R – Gruppo Digitech e di notificare a questi la richiesta di informazioni n. 10838 del 17 febbraio 2022.

Il Nucleo, identificato detto soggetto nella ditta individuale Flowers R di Malalan Mitja (di seguito “Flowers” o “Mitja”), ha provveduto alla notifica il 12 aprile 2022 acquisendo contestualmente gli elementi oggetto di richiesta.

Dalle dichiarazioni rese a verbale dal signor Mitja, integrate con successiva pec del 25 aprile 2022, è emerso innanzitutto che l’attività promozionale veniva effettuata dallo stesso in maniera del tutto autonoma attraverso un personal computer installato nella propria abitazione in Croazia. Sulla base delle fatture registrate nel sistema delle Agenzie delle Entrate(1) è risultato che l’erogazione del servizio, e il correlato trattamento dei dati, si svolgeva da oltre un anno.

Con riguardo alla denominazione con cui sono state sottoscritte le offerte commerciali, il signor Mitja ha dichiarato che l’appellativo “Flowers R – Gruppo Digitech” deriva dai nomi di sue precedenti attività commerciali, ora cessate, aventi diverso oggetto sociale. Il nome “Claudio Alfieri”, invece, è un nome di fantasia, così come il rispettivo codice fiscale, che Mitja avrebbe scelto per presentarsi con maggior facilità ai potenziali acquirenti dei suoi servizi, ritenendo che il suo vero nome fosse poco comprensibile.

Lo stesso ha poi aggiunto di essersi occupato personalmente della promozione del servizio di direct mailing da lui offerto, inviando un’e-mail di presentazione a indirizzi di posta elettronica, reperiti in rete, di soggetti che avrebbero potuto essere potenzialmente interessati ai suoi servizi.

Con riguardo invece alle modalità di raccolta degli indirizzi e-mail da utilizzare per veicolare le campagne promozionali, Mitja ha dichiarato di aver utilizzato un software che genera a caso possibili indirizzi di posta elettronica, assicurando di averne interrotto l’utilizzo dopo l’avvio dell’istruttoria. Si osserva tuttavia che, in uno dei riscontri forniti al reclamante XX (cfr. email del 19 novembre 2021 inviata al reclamante), Mitja aveva dichiarato di non sapere con esattezza da dove i suoi dati fossero stati acquisiti ma di presumere che essi potessero essere contenuti in un database di indirizzi acquistato on-line precedentemente.

Infine, lo stesso ha precisato che in calce alle e-mail inviate era presente un link per opporsi alla ricezione di ulteriori messaggi; alla selezione di detto link, il corrispondente indirizzo e-mail veniva inserito in una black list e, così, escluso da successive campagne promozionali. A tal proposito, Mitja ha fornito copia di tale black list, consistente unicamente in un elenco di indirizzi e-mail (cfr. all. 3 all’e-mail del 25 aprile 2022).

2. LA CONTESTAZIONE DELLE VIOLAZIONI

L’Ufficio ha provveduto a contestare le violazioni rilevate con l’atto di avvio del procedimento del 22 settembre 2022 prot.n. 50638/22, notificato a Mitja tramite il Nucleo speciale privacy in data 3 novembre 2022.

Dandosi qui per interamente richiamate le motivazioni espresse nel menzionato atto, a Mitja è stata contestata la violazione degli artt. 5, par. 1, lett. a), 6, par. 1, lett. a) del Regolamento e dell’art. 130 del Codice, poiché l’invio di comunicazioni promozionali via e-mail è risultato effettuato senza il consenso degli interessati.

3. VALUTAZIONI DI ORDINE GIURIDICO

Con riferimento ai profili fattuali sopra evidenziati, anche in base alle affermazioni rese dal signor Mitja in corso di istruttoria, di cui il dichiarante risponde ai sensi dell’art. 168 del Codice, tenuto conto che questi non si è avvalso della possibilità di presentare memorie o di essere audito dopo la notifica della contestazione, si formulano le seguenti valutazioni di ordine giuridico.

Come confermato anche a verbale, Mitja ha inviato numerose e-mail promozionali senza aver provveduto a raccogliere un idoneo e preventivo consenso da parte dei destinatari delle stesse. Ciò vale sia nei confronti dei potenziali committenti che egli ha dichiarato di aver contattato dopo aver reperito gli indirizzi e-mail in Internet, sia nei confronti dei numerosi soggetti che ha inserito nelle campagne promozionali effettuate per conto dei propri clienti e i cui indirizzi e-mail, stando a quanto dichiarato, sarebbero stati generati in maniera casuale.

Al riguardo, si deve preliminarmente ricordare che, ai sensi dell’art. 6 del Regolamento, il trattamento è lecito solo se effettuato in base ad un idoneo presupposto giuridico. Come specificato dall’art. 130 del Codice, l’invio di comunicazioni promozionali via e-mail, a persone fisiche e giuridiche, è consentito solo con il consenso del ricevente. Tale consenso, per essere valido, deve essere stato conferito preventivamente, liberamente e in maniera specifica dopo aver ricevuto adeguate informazioni da parte del titolare.

In tale contesto, la generazione casuale di indirizzi e-mail non può dunque essere ritenuta lecita, né può considerarsi sufficiente il fatto che il titolare garantisca (come del resto dovuto) il diritto di opposizione attraverso l’inserimento in una black list. Peraltro, le comunicazioni promozionali inviate al reclamante, oltre al link “unsubscribe”, non presentavano alcuna informazione riconducibile alla Flowers e ai recapiti presso i quali poter esercitare i diritti previsti dal Regolamento. Infatti il signor XX ha appreso del trattamento svolto dalla Flowers solo dopo aver interpellato uno dei soggetti che avevano commissionato le campagne promozionali ma non è riuscito ad avere conferma della reale identità del signor Mitja e dell’origine dei dati nemmeno dopo aver fatto successive indagini per proprio conto ed aver avviato un’interlocuzione diretta con il soggetto che ha continuato a presentarsi come Claudio Alfieri.

Pertanto il trattamento di dati personali per finalità di marketing, svolto con l’utilizzo di liste anagrafiche reperite in Internet o generate casualmente, è risultato essere privo dei requisiti di liceità, correttezza e trasparenza individuati dall’art. 5 del Regolamento.

Inoltre, la condotta descritta ha dato luogo all’invio di messaggi promozionali senza consenso, ai sensi degli artt. 6, par. 1, lett. a) del Regolamento e 130, commi 1 e 2, del Codice, dal momento che lo stesso Mitja ha dichiarato di non aver mai acquisito un preventivo consenso.

Per tali ragioni, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, si rende necessario imporre a Malalan Mitja il divieto di trattare i dati personali inseriti nella banca dati oggetto di istruttoria; in conseguenza di tale divieto, essendo illecito ogni trattamento di tali dati, compresa la conservazione, si ritiene necessario, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiungere a Malalan Mitja di provvedere senza ritardo alla cancellazione di detti dati, fatti salvi quelli che sia necessario conservare per l’adempimento di un obbligo di legge (come ad esempio i dati dei soggetti che hanno acquistato servizi) o per la difesa di un diritto in sede giudiziaria e ferma restando l’inutilizzabilità di tali dati per ogni altra finalità.

Inoltre, in considerazione dell’illiceità della condotta, interrotta solo dopo l’intervento del Garante, si ritiene ricorrano i presupposti per l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 58, par. 2, lett. i) del Regolamento.

4. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

In base a quanto sopra rappresentato, risultano violate varie disposizioni del Regolamento e del Codice in relazione a trattamenti collegati effettuati da Malalan Mitja, per cui occorre applicare l'art. 83, par. 3, del Regolamento, in base al quale, se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento viola, con dolo o colpa, varie disposizioni del Regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave con conseguenziale applicazione della sola sanzione prevista dall’art. 83, par. 5, del Regolamento.

Ai fini della quantificazione della sanzione amministrativa il citato art. 83, par. 5, nel fissare il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore, specifica le modalità di quantificazione della predetta sanzione, che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1, del Regolamento), individuando, a tal fine, una serie di elementi, elencati al par. 2, da valutare all’atto di quantificarne il relativo importo.

In adempimento di tale previsione, ipotizzato, sulla base delle informazioni economiche disponibili, ossia esclusivamente le fatture emesse per la vendita del servizio di email marketing registrate dall’Agenzia delle entrate, il ricorrere della prima ipotesi prevista dal citato art. 83, par. 5 e quantificato quindi in 20 milioni di euro il massimo edittale applicabile, devono essere considerate le seguenti circostanze aggravanti:

1. l’ampia portata dei trattamenti, interrotti solo a seguito dell’intervento del Garante, che han-no riguardato migliaia di interessati e si sono protratti per oltre un anno (art. 83, par. 2, lett. a), del Regolamento);

2. la gravità delle violazioni rilevate, in ragione del fatto che i dati sono stati oggetto di tratta-mento per finalità promozionale, non solo in assenza di consenso, ma nella totale inconsape-volezza degli interessati (art. 83, par. 2, lett. a), del Regolamento);

3. l’intenzionale volontà di camuffare la propria identità, presentandosi ai potenziali clienti e al reclamante con false generalità, tale da far ritenere la violazione di carattere doloso anche in considerazione del fatto che, offrendo ai potenziali clienti una manleva per eventuali danni generati dal trattamento, Mitja ha dimostrato di avere conoscenza del quadro normativo ap-plicabile e delle possibili conseguenze di una violazione (art. 83, par. 2, lett. b), del Regola-mento);

4. i modi in cui l’Autorità di controllo ha preso conoscenza delle violazioni, a seguito di alcuni reclami e delle conseguenti attività istruttorie avviate nei confronti dei committenti delle campagne promozionali (art. 83, par. 2, lett. h), del Regolamento).

Quali elementi attenuanti, si ritiene di poter tener conto:

1. dell’iscrizione in black list dei soggetti che avevano manifestato la propria opposizione al trat-tamento, che costituisce una, seppur minima, misura di contenimento dei potenziali danni per gli interessati (art. 83, par. 2, lett. c) del Regolamento);

2. dell’assenza di precedenti violazioni pertinenti commesse dal titolare del trattamento (art. 83, par. 2, lett. e), del Regolamento);

3. del grado di cooperazione nell’interazione con l’Autorità di controllo (art. 83, par. 2, lett. f), del Regolamento);

4. della natura dei dati trattati, consistenti in dati comuni anagrafici e di contatto (art. 83, par. 2, lett. g) del Regolamento);

In una complessiva ottica di necessario bilanciamento fra diritti degli interessati e libertà di impresa, tenuto conto che gli unici dati economici resi disponibili sono quelli relativi alle fatture allegate al verbale del 12 aprile 2022, in via di prima applicazione delle sanzioni amministrative pecuniarie previste dal Regolamento, occorre valutare prudentemente i suindicati criteri, anche al fine di limitare l’impatto economico della sanzione nei confronti di una persona fisica.

Pertanto si ritiene che - in base al complesso degli elementi sopra indicati - debba applicarsi a Malalan Mitja la sanzione amministrativa del pagamento di una somma di euro 5.000,00 (cinquemila) pari allo 0,025% della sanzione edittale massima di 20 milioni di euro. La sanzione edittale massima è individuata con riferimento al disposto dell’art. 83, par. 5, del Regolamento, tenuto conto che il 4% del fatturato di Malalan Mitja, sulla base dei dati registrati presso l’Agenzia delle Entrate, risulta inferiore ai 20 milioni di euro.

Si rileva che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Si ritiene altresì – in considerazione della vasta portata delle violazioni rilevate - che, ai sensi dell’art. 166, comma 7, del Codice, e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento nel sito web del Garante, a titolo di sanzione accessoria.

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecito il trattamento descritto nei termini di cui in motivazione effettuato dalla ditta individuale Flowers R di Malalan Mit-ja, con sede in Trieste, XX, P.IVA n. XX;  

b) ai sensi dell’art. 58, par. 2, lett. f) impone a Flowers R di Malalan Mitja il divieto di trattare i dati personali inseriti nella banca dati oggetto di istruttoria;

c) in conseguenza di tale divieto, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiunge a Flowers R di Malalan Mitja di provvedere senza ritardo alla cancellazione di detti dati, fatti salvi quelli che sia necessario conservare per l’adempimento di un obbligo di legge (co-me ad esempio i dati dei soggetti che hanno acquistato servizi) o per la difesa di un diritto in sede giudiziaria e ferma restando l’inutilizzabilità di tali dati per ogni altra finalità.

ORDINA

ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, alla ditta individuale Flowers R di Malalan Mitja, in persona del suo legale rappresentante, di pagare la somma di euro 5.000,00 (cinquemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

alla predetta ditta individuale, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 5.000,00 (cinquemila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981;

DISPONE

a) ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante;

b) ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, dispone l’annotazione nel regi-stro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle viola-zioni e delle misure adottate.

Si ricorda che, ai sensi dell’art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto del trattamento è punito con la reclusione da tre mesi a due anni e che, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e) del Regolamento.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 2 marzo 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL VICE SEGRETARIO GENERALE
Filippi

 

(1) Durante le operazioni compiute il 12 aprile 2022, su richiesta dei verbalizzanti e in loro presenza, Mitja ha fatto accesso alla propria area riservata dell’Agenzia delle Entrate – “Corrispettivi e fatture” dove risultavano registrate ventuno fatture nel 2021 e tre nel 2022, con ultima fattura datata 6 aprile 2022.