g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di I-Model s.r.l. - 10 novembre 2022 [9837981]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9837981]

Ordinanza ingiunzione nei confronti di I-Model s.r.l. - 10 novembre 2022

Registro dei provvedimenti
n. 370 del 10 novembre 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il reclamo presentato dal sig. XX in data 23/12/2020, regolarizzato in data 08/03/2021, ai sensi dell’art. 77 del Regolamento, con cui è stato lamentato il mancato riscontro all’istanza di esercizio dei diritti formulata nei confronti di I-Model s.r.l.;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

PREMESSO

1. L’avvio del procedimento.

Con il reclamo presentato a questa Autorità in data 22/12/2020, regolarizzato in data 08/03/2021, il sig. XX lamentava un illecito trattamento di dati personali posto in essere da I-Model s.r.l. (di seguito “la Società”), consistente in un riscontro meramente formale alle istanze di cancellazione dei dati personali, formulate nei confronti della Società in data 26/08/2020 e 17/12/2020. In particolare, il reclamante rappresentava che, dopo aver ricevuto dalla Società conferma della cancellazione dei dati personali presenti nei propri archivi, continuava a ricevere dalla stessa messaggi SMS inerenti proposte lavorative.

Con la nota del 03/05/2021 (prot. n. 24545), la Società veniva invitata a fornire osservazioni in ordine ai fatti oggetto di reclamo e ad aderire all’istanza di esercizio dei diritti, avanzata dal reclamante.

La Società forniva riscontro con la nota del 20/05/2021, dichiarando che “solo per un errore/disguido i dati non sono stati cancellati”, precisando altresì che le istanze di cancellazione erano state inviate a una ex-dipendente e di non poter verificare la corrispondenza intercorsa (e quindi l’effettivo riscontro) in quanto “il relativo dominio di posta elettronica con tutta la corrispondenza collegata allo stesso è stato cancellato/annullato”.

Veniva, in ogni caso, confermata la cancellazione dei dati personali del reclamante dai propri archivi ad eccezione di quanto necessario all’assolvimento di obblighi di legge e fiscali.

L’Ufficio, alla luce di quanto sopra, provvedeva a notificare l’atto di avvio del procedimento sanzionatorio, ai sensi dell’art. 166, comma 5, del Codice per la violazione dell’art. 17, par. 1, lett. b) e dell’art. 6, par. 1, lett. a) del Regolamento (prot. n. 43349 del 25/08/2021).

La Società, in data 22/09/2021, inviava propri scritti difensivi, ai sensi dell’art. 18 della legge n. 689/1981, con cui dichiarava che:

- “la soc. I-Model s.r.l., nella persona della sig.ra XX, non ha avuto modo di verificare l’effettivo invio delle richieste/istanze di cancellazione dei dati che, secondo quanto esposto nel reclamo, sarebbero state inviate dal sig. XX né le risposte che il medesimo avrebbe ricevuto”, in quanto “le richieste sarebbero state inviate all’indirizzo di posta elettronica di una segretaria (sig.ra XX) e le risposte sarebbero state ricevute tramite tale indirizzo, e non, invece, trasmesse all’indirizzo ufficiale info@i-model.it”;

- il reclamo sarebbe, in ogni caso, privo di pregio in quanto il reclamante non avrebbe sufficientemente documentato l’invio delle istanze di cancellazione né l’effettiva ricezione sulla propria utenza cellulare dei messaggi, contenenti proposte lavorative, inviati dalla Società:

- in ogni caso, laddove accertata, la violazione sarebbe stata determinata da una svista o da un errore umano e “non certo dalla volontà della soc. I-Model s.r.l. di ledere/violare e/o trattare abusivamente i dati del sig.”.

2. L’esito dell’istruttoria.

All’esito dell’esame della documentazione prodotta e delle dichiarazioni rese dalla parte nel corso del procedimento, premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice, risulta accertato che la Società, per il tramite di un propria dipendente (e, comunque, utilizzando un indirizzo di posta elettronica avente dominio i-model.it), ha dato un riscontro meramente formale alle istanze di cancellazione dei dati personali avanzate dal reclamante in due occasioni, limitandosi a dichiarare di aver rimosso i dati dalla mailing list ma, in effetti, continuando a conservare e a trattare i dati senza un’idonea base giuridica.
Risulta documentato in atti inoltre che le istanze di cancellazione dei dati personali, datate 26/08/2020 e 17/12/2020, sono state inviate all’indirizzo e-mail XX, e che siano state ricevute, in entrambe le circostanze, e-mail di conferma dell’avvenuta cancellazione (rispettivamente in data 26/08/2020 e 18/12/2020).

La circostanza che tali istanze non siano state indirizzate alla casella di posta elettronica della Società (info@i-model.it) bensì a quello di una dipendente, è del tutto irrilevante, posto che tale indirizzo di posta elettronica recava il dominio @i-model.it, con ciò creando nell’istante la legittima aspettativa di un riscontro effettivo proveniente dalla Società.

Occorre, tra l’altro, precisare che, a norma dell’art. 12, par. 2, del Regolamento “il titolare agevola l’esercizio dei diritti dell’interessato ai sensi degli articoli da 15 a 22” e che, in base all’art. 17, par. 1, del Regolamento, “l’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali se sussiste uno dei [seguenti]motivi” indicati alle lettere a-f della medesima norma.

Ciò posto, si ritiene che nel caso di specie il titolare del trattamento avrebbe dovuto fornire un riscontro effettivo, e non meramente formale, alle istanze di cancellazione formulate dal reclamante per la sussistenza dei motivi indicati all’art. 17, par.1, del Regolamento.

Tra l’altro, si evidenzia che nessun elemento di prova è stato presentato dalla Società a supporto dell’errore che avrebbe determinato la illecita conservazione dei dati del reclamante.

Infatti, venendo meno il consenso dell’interessato al trattamento dei propri dati personali (come risulta dalle due istanze presentate), ne deriva che il trattamento successivamente posto in essere dalla Società sia avvenuto in maniera illegittima, in quanto nessuna base giuridica, tra quelle indicate all’art. 6, par. 1, del Regolamento ricorre nel caso in esame. 

3. Conclusioni: illiceità dei trattamenti effettuati. Provvedimenti correttivi.

Alla luce delle valutazioni che precedono, si rileva che le dichiarazioni rese dal titolare del trattamento negli scritti difensivi ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗  non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentirne l’archiviazione, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del regolamento del Garante n. 1/2019, concernente le procedure interne all’Autorità aventi rilevanza esterna.

Il riscontro meramente formale fornito dalla Società alle istanze di cancellazione presentate dal reclamante, risulta illecito nei termini su esposti, con ciò determinando la violazione dell’art. 17 del Regolamento.

Il trattamento posto in essere dalla Società, successivamente alle richieste di cancellazione, risulta altresì illecito in quanto privo di un’idonea base giuridica, con conseguente violazione dell’art. 6, par. 1, del Regolamento.

Per i suesposti motivi, pertanto, si dichiara fondato il reclamo presentato ai sensi dell’art. 77 del Regolamento e, nell’esercizio dei poteri correttivi attribuiti all’Autorità ai sensi dell’art. 58, par. 2, del Regolamento si dispone l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, del Regolamento.

4. Ordinanza di ingiunzione.

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. L. 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali riferito al reclamante, di cui è stata accertata l’illiceità, nei termini sopra esposti.

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state tenute in considerazione le circostanze sotto riportate:

- con riguardo alla natura, gravità e durata della violazione è stata considerata rilevante la natura della violazione che ha riguardato le disposizioni relative all’esercizio dei diritti degli interessati; nonché la circostanza che la violazione si è protratta per un lungo periodo;

- l’assenza di precedenti violazioni pertinenti commesse dal titolare del trattamento;

- il grado di cooperazione fornito dalla Società nel corso del procedimento.

In considerazione dei richiamati principi di effettività, proporzionalità e dissuasività (art. 83, par. 1, del Regolamento) ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione, sono state prese in considerazione le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti e riferiti al bilancio d’esercizio per l’anno 2021.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 10.000,00 (diecimila) per la violazione degli artt. 17 e 6 del Regolamento.

In tale quadro, anche in considerazione della tipologia di violazione accertata, che ha riguardato i diritti dell’interessato, si ritiene che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito internet del Garante.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

dichiara, ai sensi degli artt. 57, par. 1, lett. f) e 83 del Regolamento, l’illiceità del trattamento effettuato, nei termini di cui in motivazione, per la violazione degli artt. 17 e 6 del Regolamento;

ORDINA

a I-Model s.r.l., in persona del legale rappresentante pro-tempore, con sede legale in Thiene (VI), Via Monsignor Pertile n. 18/5, P.I. 03829050248, ai sensi dell’art. 58, par. 2, del Regolamento, di pagare la somma di euro 10.000,00 (diecimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione;

INGIUNGE

alla medesima Società di pagare la somma di euro 10.000,00 (diecimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981. Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del regolamento n. 1/2019.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 10 novembre 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei