[doc. web n. 9019838]

Ordinanza ingiunzione nei confronti di Cristiano Panepinto - 18 marzo 2018

Registro dei provvedimenti
n. 185 del 18 marzo 2018 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale; 

RILEVATO che il Garante per la protezione dei dati personali (di seguito Garante), con il provvedimento n. 4 del 12 gennaio 2017 (www.garanteprivacy.it, in doc. web n. 5986406), ha definito il procedimento amministrativo relativo a una segnalazione, accertando (al punto 3.1 del provvedimento in parola) che Media Service Italia di Panepinto Cristiano P.Iva: 10259710019, con sede in Torino, Strada Cebrosa n. 86, raccoglie, “(…) grazie ad un apposito form presente sul sito web www.mediaserviceitalia.it, i dati di quanti intendono richiedere preventivi sui servizi resi dalla società (…)” predisponendo per tale raccolta (punto 3.2 del citato provvedimento) “(…) un’unica opzione per la manifestazione del consenso degli interessati, da manifestarsi selezionando l’unica casella (box) predisposta in corrispondenza del menzionato form di raccolta dei dati denominata privacy (…) sulla base di tale unica manifestazione del consenso, tratta i dati della propria clientela, oltre che per la conclusione e l’esecuzione dei contratti stipulati(…); anche per le finalità di: pubblicità via mail o ricerche di mercato e sondaggi via email per i propri prodotti e servizi (…) newsletter (…)”, con ciò effettuando un invio di comunicazioni automatizzate di natura promozionale senza che sia stato manifestato dagli utenti o contraenti un libero e specifico consenso, in violazione di quanto previsto dall’art. 130, commi 1 e 2 del Codice.  

Con il medesimo provvedimento (punti 5.1 e 5.3) il Garante ha parimenti accertato che Media Service Italia di Panepinto Cristiano “(…) contatta telefonicamente le utenze autonomamente reperite in internet riferite a (…) professionisti e imprese individuali senza aver previamente acquisito il consenso dei destinatari delle comunicazioni telefoniche (…)” in violazione di quanto previsto dall’art. 23 del Codice e senza aver reso loro la prescritta informativa di cui all’art. 13 del Codice;

VISTO il verbale n. 5496/92971 del 15 febbraio 2017 con cui sono state contestate alla Media Service Italia di Panepinto Cristiano, due violazioni entrambe previste dall’art. 162, comma 2-bis del Codice, in relazione agli artt. 23 e 130, commi 1 e 2, nonché la violazione prevista dall’art. 161 del codice, in relazione all’art. 13, informandola della facoltà di effettuare, per i tre rilievi, il pagamento in misura ridotta ai sensi dell’art. 16 della legge 24 novembre 1981, n. 689;

RILEVATO dal rapporto predisposto ai sensi dell’art. 17 della legge 24 novembre 1981, n. 689, relativo al suddetto verbale di contestazione, che non risulta essere stato effettuato il pagamento in misura ridotta;

VISTA la memoria datata 23 febbraio 2017 la quale, ancorchè predisposta al fine di fornire i prescritti riscontri a quanto disposto nel provvedimento del Garante n. 4 del 12 gennaio 2017, contiene elementi utili anche ai sensi dell’art. 18 della legge 24 novembre 1981, n. 689, in base ai quali Media Service Italia di Panepinto Cristiano, rilevando preliminarmente “(…) la violazione del termine decadenziale di cui all’art. 14 della Legge 689/1981(…)” poiché “(…) a fronte del sopralluogo ispettivo dell’8-9 marzo 2016, ove il nucleo di agenti intervenuti reperivano tutte le informazioni richieste, non prescrivendo alcunchè alla ricorrente, l’Autorità ha provveduto a notificare il provvedimento (Provvedimento del Garante n. 4 del 12 gennaio 2017) solo in data 27 gennaio 2017 e le conseguenti sanzioni ancora in epoca successiva, avendo notificato il relativo provvedimento sanzionatorio (verbale di contestazione n. 5496/92971 del 15 febbraio 2017) solo il 15 febbraio 2017”, nel merito, con riferimento al rilievo inerente la violazione delle disposizioni di cui all’art. 130, commi 1 e 2 del Codice, ha osservato, “(…) come anche il Nucleo privacy (della Guardia di finanza) incaricato (delle attività di controllo in loco a seguito di segnalazione) ha avuto modo di appurare, il sito web della ditta (Media Service Italia di Panepinto Cristiano) risultava all’epoca delle ispezioni già offline per manutenzione. (…) La copia dell’informativa detenuta dagli agenti altro non era che una versione di prova, recante data antecedente a quella del sopralluogo e, fondamentalmente, mai utilizzata da parte della ditta per ottenere il consenso di alcun utente del web. Mai alcun contatto era stato generato dal sito e, nello specifico, dal form in questione. Infatti, (…), non è mai stato eseguito alcun trattamento dei dati raccolti da quella pagina di contatti. E ciò perché non erano mai arrivate richieste”. Ha rilevato, altresì, come “A seguito delle lavorazioni avvenute sul sito internet (…), è stato modificato il testo dell’informativa soprattutto avuto riguardo alle finalità del trattamento, dalle quali è stata eliminata quella del marketing diretto, vuoi con mezzi digitali, vuoi cartaceo e telefonici. Pertanto il form summenzionato aveva mutato il contenuto del consenso richiesto, non avendo più il medesimo consenso finalità pubblicitarie”. Dunque “(…) il form compilato autonomamente e liberamente dall’utente navigatore sul sito (…), è chiaramente e senza possibilità di errore finalizzato ad ottenere un preventivo relativo ai servizi resi dalla società”, ove “Il preventivo è, in sé, promozione dei servizi resi da un determinato soggetto”.

Ha osservato, inoltre, come “(…) qualora le dipendenti incaricate dalla ditta avessero contattato telefonicamente le numerazioni di utenti reperite su pubblici registri, ai sensi dell’art. 130, comma 3-bis del Codice sulla Privacy, in ottemperanza alle stesse linee guida del Garante, di cui al provvedimento web n. 330 del 4 luglio 2005 (…), le ragazze, prima di offrire beni o servizi della ditta, fornivano l’informativa completa ai sensi dell’art. 13 del Codice e acquisivano il consenso. (…) La ditta, infatti, reperisce da pubblici elenchi i nominativi di aziende e/o professionisti che potrebbero essere interessati ai nuovi servizi e, per mezzo di alcune dipendenti, contatta le numerazioni”. Sul punto, poi, evidenziando come “(…) l’esponente (Media Service Italia di Panepinto Cristiano) risulta essere registrato come operatore al registro delle opposizioni”, ha precisato che “(…) in caso di opposizione al provvedimento (…) l’Amministrazione, pur essendo formalmente convenuta in giudizio, assume sostanzialmente la veste di attrice e spetta quindi ad essa ai sensi dell’art. 2697 c.c., fornire la prova dell’esistenza degli elementi di fatto integranti la violazione contestata e della loro riferibilità all’intimato”;

VISTO il verbale di audizione delle parti redatto in data 4 luglio 2017 ai sensi dell’art. 18 della legge n. 689/1981, nel quale la ditta, riassumendo le argomentazioni prospettate nella citata memoria, le ha illustrate in relazione ai singoli rilievi, evidenziando che, riguardo quanto accertato alla lettera a) della contestazione, “(…) al momento del sopralluogo del marzo 2016 il sito della Società risultava offline già da tempo a causa di un ammodernamento dello stesso (…). Sicché la Società risulta di fatto sanzionata per un form che non risultava essere effettivamente fruibile dagli utenti del sito.(…). In estrema sintesi giova rilevare come il rilievo inerente il vizio del consenso a causa della prefleggatura presente sul form di raccolta del sito della Società, in effetti non possa sussistere in ragione del fatto che, come evincibile dai verbali di operazioni compiute redatti dalla G.d.f. e da quanto statuito ai punti 4.1 e 4.2 del provvedimento n. 4 del 12.01.2017, alcun dato risulta essere stato in alcun modo trattato poiché tale form risulta essere stato inutilizzato. Riguardo la fattispecie contestata in argomento si evidenzia come il fatto che i militari della G.d.f. che hanno effettuato le operazioni ispettive, fossero in possesso di stampe relative al form di raccolta, ricavate anteriormente alla citata attività ispettiva non può costituire elemento rilevante in ordine all’accertamento della violazione di che trattasi atteso che tali documenti non dimostrano che alcun trattamento di dati sia stato effettuato tramite il citato form, ove sul punto, si ribadisce, i successivi atti di accertamento hanno acclarato che nessun dato personale risulta essere stato acquisito attraverso lo strumento in parola”.

Relativamente a quanto accertato alle lettere b) e c) della contestazione, “(…) relativamente all’attività di call center, si precisa che, così come rilevato dalla G.d.f. nei verbali di operazioni compiute e accertato nel citato provvedimento n. 4 del 12.012017 al punto 5.1, l’informativa ai sensi dell’art. 13 del Codice ed il consenso di cui all’art. 23 c. 3, venivano rispettivamente resa ed acquisito prima che le operatrici di call center proponessero agli interessati un appuntamento con un agente per la successiva definizione della proposta commerciale. In caso di mancato consenso da parte dell’interessato le operatrici terminavano la chiamata”;

RITENUTO che le argomentazioni addotte non risultano idonee a determinare l’archiviazione del procedimento sanzionatorio. Risulta privo di pregio quanto argomentato relativamente allo spirare del termine di cui all’art. 14, comma 2 della legge n. 689/1981, atteso che il dies a quo per la notificazione della contestazione va correttamente individuato nella data di accertamento della violazione e questa deve intendersi come la data in cui sono stati acquisiti (e valutati dall’organo accertatore) tutte le circostanze di fatto e gli elementi di diritto rilevanti ai fini dell’individuazione di una condotta sanzionata quale illecito amministrativo, così come statuito dalla medesima giurisprudenza della Corte di Cassazione citata nella memoria. Nel caso in esame l’Impresa ritiene erroneamente che il termine decadenziale di cui all’art. 14 della legge n. 689/1981 decorra “(…) a fronte del sopralluogo ispettivo dell’8-9 marzo 2016, ove il nucleo di agenti intervenuti reperivano tutte le informazioni richieste (…)”. In realtà la violazione, così come espressamente rilevato nel verbale contestazione, è stata accertata, ai sensi dell’art. 13 della legge n. 689/1981, con il provvedimento del Garante n. 4 del 12 gennaio 2017, nel quale, per tutti e tre i rilievi contestati, viene statuito come “(…)l’Autorità si riserva di verificare, con autonomo procedimento, la sussistenza dei presupposti per contestare la violazione amministrativa (…)”. Il Dipartimento attività ispettive e sanzioni, peraltro dopo aver ricevuto la trattazione in argomento inviata dal Dipartimento competente per materia, ha proceduto a notificare la contestazione nel rispetto del termine di novanta giorni previsto dall’art. 14 della legge n. 689/1981, ovvero in data 15 febbraio 2017.

Riguardo quanto dedotto circa la violazione prevista dall’art. 130, commi 1 e 2, con riferimento alla lett. a) della contestazione di che trattasi, si evidenzia come l’Impresa non tenga conto del fatto che il verbale di operazioni compiute della Guardia di finanza datato 8 marzo 2016, relativamente al trattamento di dati riconducibili al sito web dell’Impresa www.mediaserviceitalia.it, riporta come “(…) per tutto il periodo in cui il servizio di richiesta preventivo è stato operativo, nel corso del tempo abbiamo ricevuto circa una quarantina di contatti; da un controllo effettuato su vostra richiesta siamo stati in grado di estrapolare l’unica richiesta di preventivo presente nel nostro server (…)”. D’altro canto, proprio a fronte di tale informazione l’Autorità, ha accertato, ai sensi e per gli effetti dell’art. 13 della legge n. 689/1981, che “(…) deve comunque ritenersi che, alla luce degli elementi in atti, il trattamento dei dati riferiti alla clientela raccolti mediante il menzionato form sul sito web di Media Service in vista del perseguimento di finalità promozionali sia avvenuto in modo illecito, non risultando comprovato che, al momento della raccolta o successivamente, sia stato manifestato il libero e specifico consenso da parte dei clienti per l’invio di comunicazioni automatizzate (…)”. Sul punto, poi, giova rilevare come l’inserimento dei dati personali di quanti intendono richiedere preventivi sui servizi resi dalla società nel form di raccolta del sito web www.mediaserviceitalia.it, sostanzia, ai sensi dell’art. 4, comma 1 lett. a) del Codice, un trattamento di dati personali. 

Peraltro, con specifico riferimento a quanto argomentato circa il flag preimpostato di acquisizione del consenso al trattamento per un invio di comunicazioni automatizzate di natura promozionale sul sito web citato, si evidenzia che, così come accertato ai sensi dell’art. 13 della legge n. 689/1981 nel provvedimento n. 4 del 12 gennaio 2017 il fatto, non contestato, che il form di raccolta del consenso era predisposto in modo che l’utente potesse manifestare un’unica opzione quale espressione della sua volontà, attraverso la necessaria selezione di un’unica casella, al fine di consentire il trattamento dei dati personali che lo riguardano per il perseguimento di molteplici finalità, incluse quelle promozionali, con ciò determinando la violazione del disposto di cui all’art. 130, commi 1 e 2 del Codice, risultando pertanto inconferente quanto asserito circa il fatto che “Il preventivo è, in sé, promozione dei servizi resi da un determinato soggetto”.

Quanto sopra esposto non consente di qualificare alcuno degli elementi costitutivi della disciplina sull’errore scusabile comunemente definibile come buona fede, di cui all’art. 3 della legge n. 689/1981, anche in base a quanto asserito dalla giurisprudenza (Cass. Civ. sez. I del 15 maggio 2006 n. 11012; Cass. Civ. sez II del 13 marzo 2006, n. 5426).

Riguardo quanto dedotto circa le due violazioni previste rispettivamente dagli artt. 13 e 23 del Codice, con riferimento alle lett. b) e c) della contestazione, l’Impresa travisa le norme regolanti il settore sia riguardo ai citati articoli del Codice che individuano le condotte oggetto di contestazione (artt. 13 e 23), sia quanto disciplinato dal richiamato provvedimento dell’Autorità n. 330 del 4 luglio 2013 recante “Linee guida in materia di attività promozionale e contrasto allo spam (in www.garanteprivacy.it, doc web n. 2542348). In effetti la corretta interpretazione delle citate norme regolatorie è ampiamente illustrata nel provvedimento n. 4 del 12 gennaio 2017 con il quale sono stati accertati gli illeciti contestati, precisando (vgs. punto 5.2) che “non è risultato comprovato il previo consenso informato degli interessati (come richiesto dagli artt. 13 e 23, comma 3, del Codice”. Le argomentazioni prodotte nel procedimento sanzionatorio non hanno apportato pertanto alcun elemento aggiuntivo rispetto a quelli già valutati e quindi accertati ai sensi dell’art. 13 della legge n. 689/1981, con ciò impedendo, come in precedenza,  di qualificare alcuno degli elementi costitutivi della disciplina sull’errore scusabile comunemente definibile come buona fede, di cui all’art. 3 della legge n. 689/1981;

RILEVATO che Media Service Italia di Panepinto Cristiano, in qualità di titolare del trattamento dei dati personali dei suoi clienti (artt. 4 comma 1, lett. a), b) e f) e 28 del Codice) ha: raccolto i dati di quanti intendono richiedere preventivi sui servizi resi dalla società tramite apposito form presente sul sito web www.mediaserviceitalia.it, predisponendo per tale raccolta un’unica opzione per la manifestazione del consenso degli interessati, da manifestarsi selezionando l’unica casella (box) predisposta, in violazione dell’art. 130, commi 1 e 2 del Codice; contattato telefonicamente le utenze autonomamente reperite in internet riferite a professionisti e imprese individuali senza aver previamente acquisito il consenso dei destinatari delle comunicazioni telefoniche, in violazione di quanto previsto dall’art. 23 del Codice e senza aver reso loro la prescritta informativa di cui all’art. 13 del Codice;

VISTO l’art. 161 del Codice che punisce la violazione delle disposizioni di cui all’art. 13 con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro;

VISTO l’art. 162, comma 2-bis, del Codice, che punisce la violazione delle disposizioni indicate nell’art. 167 del Codice, tra le quali quelle di cui agli artt. 23 e 130, del medesimo Codice, con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro per ciascuno dei due rilievi;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge 24 novembre 1981 n. 689, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore e che pertanto l’importo della sanzione pecuniaria per la violazione dell’art. 161 del Codice deve essere determinato nella misura di euro 6.000,00 (seimila) e l’importo della sanzione pecuniaria di cui all’art. 162, comma 2-bis del Codice deve essere quantificata nella misura di euro 10.000,00 (diecimila), per ciascuna delle due violazioni contestate, per un importo complessivo, per i tre rilievi, pari a euro 26.000,00 (ventiseimila);

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni ed integrazioni;

VISTE le osservazioni dell’Ufficio, formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Antonello Soro;

ORDINA

a Cristiano Panepinto Cod. fisc.: PNPCST74A02L219N, quale titolare dell’Impresa Individuale Media Service Italia di Panepinto Cristiano P.Iva: 10259710019, con sede in Torino, Strada Cebrosa n. 86, di pagare la somma di euro 26.000,00 (ventiseimila) a titolo di sanzione amministrativa pecuniaria per le due violazioni entrambe previste dall’art. 162, comma 2-bis del Codice e per la violazione prevista dall’art. 161 del Codice;

INGIUNGE

al medesimo soggetto di pagare la somma di euro 26.000,00 (ventiseimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689. 

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 29 marzo 2018

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia