[doc. web n. 10006950]

Provvedimento del 22 febbraio 2024

Registro dei provvedimenti
n. 111 del 22 febbraio 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;   

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA 

Con il reclamo del 13 marzo 2023 il signor XX ha lamentato la perdurante presenza nel sito internet www.telasutela.it, gestito da Ossitocina24 di Patrono Antonella (di seguito «Ossitocina24» o «titolare» o «impresa»), dei propri dati personali nonostante il 4 luglio 2022 abbia espresso, tramite pec, la volontà di recedere dal contratto sottoscritto il 18 novembre 2021 con il citato titolare. Il contratto aveva ad oggetto “la vendita […] e la promozione, anche sul web, delle opere d’arte” realizzate dal medesimo interessato. Quest’ultimo ha ritenuto che la cessazione del rapporto contrattuale comportasse automaticamente la cancellazione dei propri dati personali dal citato sito internet.

Avendo l’Ufficio chiarito che con la comunicazione del 4 luglio 2022 risultava essere stata espressa una volontà contrattuale e non anche una richiesta specifica a tutela dei dati personali, l’interessato, su invito dell’Autorità, ha successivamente formulato apposito interpello preventivo in data 24 marzo 2023 al fine di ottenere la cancellazione di detti dati dal sito internet www.telasutela.it. Tale richiesta, inviata all’indirizzo pec di Ossitocina24 indicato nel contratto, è rimasta inevasa.

Anche la richiesta di informazioni dell’Ufficio, formulata ai sensi dell’art. 157 del Codice in data 2 maggio 2023 (rif. prot. n. 70496/23) e che è risultata regolarmente consegnata all’indirizzo pec XX, non ha ottenuto riscontro. Né è stato possibile stabilire un contatto telefonico con Ossitocina24 in quanto le numerazioni indicate nel sito internet alla pagina dedicata ai recapiti (https://www.telasutela.it/contatti) non hanno prodotto alcun risultato utile.

Permanendo il silenzio da parte del titolare, e considerata l’impossibilità di stabilire un contatto con il medesimo, è stato adottato l’atto di avvio del procedimento del 18 luglio 2023 (rif. prot. n. 109644/23) – anticipato in pari data via pec e notificato con l’ausilio del Nucleo speciale privacy della Guardia di Finanza il 3 agosto 2023 - con il quale è stato contestato il mancato riscontro alla richiesta ex art. 157 del Codice. In tale circostanza, l’organo notificante è stato anche incaricato di provvedere ad acquisire le informazioni oggetto della richiesta del 2 maggio 2023. 

Pertanto, nell’ambito dell’istruttoria avviata nei confronti di Ossitocina24, in data 3 agosto 2023 il Nucleo speciale privacy della Guardia di Finanza ha eseguito una verifica ispettiva presso la sede legale dell’impresa in questione ad esito della quale è emerso quanto segue:

- i dati del signor XX sono stati cancellati non appena ricevuta, via pec, la comunicazione di avvio del procedimento in data 18 luglio 2023; circostanza, questa, confermata dall’accesso, in sede ispettiva, al sito www.telasutela.it dal quale non sono risultati più rinvenibili i dati del reclamante che, in tale occasione, è stato informato dell’avvenuta rimozione;

- la richiesta di cancellazione formulata dall’interessato il 24 marzo 2023 non è stata riscontrata per “una mera svista”;

- “è regola aziendale che vengano cancellati i dati dei […] clienti non appena cessi il mandato, se disdetto tre mesi prima, come previsto nel contratto in uso”.

2. LA CONTESTAZIONE

Sulla base di quanto acquisito in atti - tenuto conto che il mancato riscontro al Garante era già stato contestato con nota del 18 luglio 2023 (prot. n. 109644/23) - in data 8 novembre 2023, con atto n. 150926/23, è stata imputata al titolare, in aggiunta alla violazione dell’art. 157 del Codice, la presunta violazione delle seguenti disposizioni del Regolamento:

- artt. 12, 17 e 21 del Regolamento per non aver riscontrato l’istanza di esercizio dei diritti formulata dall’interessato e per non aver tempestivamente registrato la relativa opposizione, considerato che il citato riscontro è stato reso dal titolare soltanto dopo l’intervento del Garante;

- art. 5, par. 1, lett. b), c) ed e), del Regolamento per aver conservato i dati dell’interessato per un periodo di tempo ulteriore rispetto alla finalità di pubblicazione perseguita oggetto di contratto e in assenza di una ragione giustificativa;

- art. 6, par. 1, lett. a), del Regolamento per aver diffuso i dati personali del reclamante mediante sito internet in assenza di consenso e dopo la cessazione del contratto di pubblicazione sottoscritto con il medesimo interessato.

3. VALUTAZIONI DI ORDINE GIURIDICO

Ossitocina24 non ha presentato memorie difensive, né ha chiesto di essere ascoltata dall’Autorità, essendosi limitata a fornire alcuni elementi in sede di riscontro alla richiesta di informazioni notificata dalla Guardia di finanza, di cui il dichiarante risponde ai sensi dell’art. 168 del Codice.

Da quanto emerso in atti, risulta che il titolare abbia avuto contezza della richiesta di cancellazione avanzata dal reclamante il 24 marzo 2023 soltanto dopo aver ricevuto la comunicazione di avvio del procedimento in data 18 luglio 2023, adducendo ad una “mera svista” il motivo del mancato riscontro. Nessuna giustificazione, invece, è stata fornita per la mancata risposta alla richiesta di informazioni dell’Ufficio del 2 maggio 2023 formulata ai sensi dell’art. 157 del Codice e regolarmente consegnata all’indirizzo pec dell’impresa.

Tale negligenza, che denota una non adeguata gestione dei canali di comunicazione (in particolare della pec), ha comportato un appesantimento degli adempimenti istruttori e un rallentamento dell’azione amministrativa ma, soprattutto, non ha garantito l’esercizio dei diritti che il Regolamento attribuisce agli interessati. Né il titolare ha prontamente informato il reclamante dell’avvenuta cancellazione dei suoi dati personali.

L’art. 12, par. 2, del Regolamento richiede al titolare di agevolare l’esercizio dei diritti e, in base al successivo par. 3, di dare riscontro all’interessato entro un termine ragionevole e, al più tardi, entro 30 giorni. Tale riscontro è stato reso dal titolare soltanto il 3 agosto 2023, in occasione dell’acquisizione di informazioni da parte della Guardia di Finanza e dopo la comunicazione di avvio del procedimento dinanzi al Garante.

Anche la cancellazione dei dati personali del signor XX dal sito Internet è avvenuta solo dopo la ricezione della contestazione, ex art. 166, comma 5, del Codice e in difformità, peraltro, degli accordi contrattuali in base ai quali, come rappresentato nel corso della verifica ispettiva dall’impresa stessa, tale cancellazione è contestuale alla cessazione del mandato. Il profilo del signor XX è, invece, risultato rinvenibile nel sito internet www.telasutela.it anche dopo un anno dalla richiesta di recesso dal contratto formulata il 4 luglio 2022 (come da una verifica effettuata dall’Ufficio il 17 luglio 2023 della quale sono stati acquisiti gli screen print) e, quindi, in assenza di un’idonea base giuridica. Considerato, inoltre, che detti dati sono stati conservati, senza alcun apparente motivo, per oltre un anno dalla cessazione del contratto, il trattamento in parola si pone in contrasto con i principi di finalità, di minimizzazione e di limitazione.

Per tali ragioni, si ritiene di dover confermare la violazione delle disposizioni contenute negli artt. 5, par. 1, lett. b), c) ed e), 6, par. 1, lett. a), 12, 17 e 21 del Regolamento.

Il titolare, inoltre, ha omesso di fornire riscontro alla richiesta del Garante del 2 maggio 2023, determinando un aggravamento del procedimento e rendendo necessario incaricare il Nucleo speciale privacy della Guardia di Finanza per ottenere le informazioni utili a completare l’istruttoria. Non ha neanche fornito spiegazioni in ordine alla mancata risposta a dispetto della puntuale richiesta dell’Ufficio. Peraltro l’indirizzo di posta elettronica certificata di Ossitocina24 è apparso operativo, considerato che agli invii della richiesta di informazioni e del successivo atto di contestazione il sistema ha restituito le attestazioni di accettazione e consegna che hanno perfezionato la notifica degli atti. Si ritiene, pertanto, integrata la violazione dell’art. 157 del Codice.

4. CONCLUSIONI

Accertata l’illiceità delle sopra descritte condotte di Ossitocina24, si rende necessario:

a) ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiungere di adottare misure tecniche e organizzative adeguate a fornire un idoneo riscontro alle richieste di esercizio dei diritti degli interessati mediante il corretto presidio dei canali di comunicazione e, in particolare, dell’indirizzo pec preposto alla relativa trattazione (ex artt. 12 e 15 del Regolamento);

b) ai sensi degli artt. 58, par. 2, lett. i) e 83, par. 5, del Regolamento, con riguardo ai trattamenti già realizzati, si ritiene sussistano i presupposti per l’applicazione di una sanzione amministrativa pecuniaria ai sensi degli artt. 58, par. 2, lett. i) e 83, par. 5, del Regolamento.

5. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

In base a quanto sopra rappresentato, risultano violate diverse disposizioni del Regolamento e del Codice in relazione a trattamenti collegati effettuati da Ossitocina24, per cui occorre applicare l’art. 83, par. 3, del Regolamento, in base al quale “se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento viola, con dolo o colpa, varie disposizioni del Regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, con conseguente applicazione della sola sanzione prevista dall’art. 83, par. 5, del Regolamento.

Per la determinazione dell’ammontare della sanzione, che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1, del Regolamento), occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento.

Quali circostanze da prendere in considerazione nel caso di specie deve essere considerata, sotto il profilo delle aggravanti:

1) la dimensione soggettiva della condotta, da ritenersi gravemente colposa, tenuto conto che il titolare ha agito con noncuranza rispetto alla iniziale istanza di cancellazione del reclamante, cui non ha prestato la dovuta attenzione (art. 83, par. 2, lett. b del Regolamento);

2) il grado di cooperazione con l’Autorità poiché l’impresa non ha tenuto conto delle conseguenze che potevano derivare dal mancato riscontro alla richiesta del Garante, anche sotto il profilo della completa istruzione del procedimento sul reclamo, né ha fornito spiegazioni in merito al suo silenzio; anche la condotta tenuta in occasione della descritta visita dell’organo accertatore incaricato della notificazione ha dato atto di una generale noncuranza per i compiti dell’Autorità (art. 83, par. 2, lett. f del Regolamento).

Quali elementi attenuanti, devono invece essere presi in considerazione:

1) la natura isolata della condotta dal momento che il procedimento in parola è scaturito da un solo reclamo (art. 83, par. 2, lett. a del Regolamento);

2) l’avvenuta cancellazione dei dati personali del reclamante, seppur tardivamente e dopo l’intervento dell’Autorità, tale da far ritenere cessati gli effetti della condotta lamentata (art. 83, par. 2, lett. c del Regolamento);

3) l’assenza di precedenti procedimenti avviati a carico del titolare (art. 83, par. 2, lett. e del Regolamento);

4) la natura dei dati trattati, consistenti in dati comuni e, più precisamente, nel nome e cognome del reclamante (art. 83, par. 2, lett. g del Regolamento);

5) la complessiva valutazione sulla capacità economica di Ossitocina24, con particolare riferimento al “Modello Redditi Persone fisiche”, conseguiti dai lavoratori autonomi con partita IVA, per il periodo di imposta 2022 (art. 83, par. 2, lett. k del Regolamento).

In una complessiva ottica di necessario bilanciamento fra diritti degli interessati e libertà di impresa, occorre valutare prudentemente i suindicati criteri, anche al fine di limitare l’impatto economico della sanzione.

Pertanto si ritiene che - in base al complesso degli elementi sopra indicati - debba applicarsi a Ossitocina24 la sanzione amministrativa del pagamento di una somma di euro 5.000,00 (cinquemila,00) pari allo 0,025% della sanzione edittale massima di 20 milioni di euro e, in ragione degli elementi aggravanti rilevati, la sanzione accessoria della pubblicazione per intero del presente provvedimento nel sito web del Garante come previsto dall’art. 166, comma 7 del Codice e dall’art. 16 del regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecito, nei termini di cui in motivazione, il trattamento effettuato da Ossitocina24 di Patrono Antonella, con sede legale in Bari, via Roccaporena 25, P.IVA 08116950729, e di conseguenza:     

a) ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiunge di adottare misure tecniche e organizzative adeguate a fornire un idoneo riscontro alle richieste di esercizio dei diritti degli interessati mediante il corretto presidio dei canali di comunicazione e, in particolare, dell’indirizzo pec preposto alla relativa trattazione (ex artt. 12 e 15 del Regolamento);

b) ai sensi dell’art. 157 del Codice, ingiunge all’impresa di comunicare all’Autorità, nel termine di 30 giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alle misure imposte; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

ORDINA

a Ossitocina24 di Patrono Antonella, in persona del suo legale rappresentante, di pagare la somma di euro 5.000,00 (cinquemila/00), a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta impresa, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 5.000,00 (cinquemila/00) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981;

DISPONE

quale sanzione accessoria, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16 del Regolamento del Garante n. 1/2019, la pubblicazione nel sito del Garante del presente provvedimento e, ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 22 febbraio 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei