[doc. web n. 2117683]

Ordinanza di ingiunzione nei confronti di ad Alitalia – Compagnia Aerea Italiana s.p.a. - 12 aprile 2012

Registro dei provvedimenti
n. 142 del 12 aprile 2012

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Daniele De Paoli, segretario generale;

VISTA la richiesta di informazioni n. 22439/58513 datata 14 ottobre 2009, formulata ex art. 157 del d.lgs. n.196/2003, recante Codice in materia di protezione dei dati personali (di seguito denominato "Codice"), indirizzata ad Alitalia s.p.a.;

ESAMINATI gli atti relativi agli accertamenti ispettivi effettuati ex art. 157 del Codice nei giorni 15 e 16 dicembre 2009 e 21 gennaio 2010 dal Nucleo speciale privacy della Guardia di finanza nei confronti di Alitalia – Compagnia Aerea Italiana s.p.a., con sede in Fiumicino (RM), piazza Almerico da Schio (di seguito "Alitalia"), e i verbali di contestazione per violazione amministrativa nn. 12 e 13 redatti dal medesimo Nucleo speciale privacy in data 12 febbraio 2010 nei confronti della medesima società, in persona del rappresentate legale pro-tempore, rispettivamente ai sensi dell´art. 162, comma 2-bis, e 161 del Codice, per la violazione delle disposizioni di cui agli artt. 33  e 13 del medesimo Codice, che qui si intendono integralmente richiamati;

VISTI gli scritti difensivi inviati in data 2 aprile 2010 ai sensi dell´art. 18 della legge n. 689/1981 nei quali, circa la violazione dell´art. 13, relativa all´inidonea informativa resa in occasione delle chiamate ricevute al proprio call center contattabile al n. unico 06/2222, Alitalia ha dichiarato:

a) di aver "ritenuto di contemperare l´interesse ad una informativa a mezzo telefono che fosse chiara, con la necessità di rilasciarla celermente e senza generare costi aggiuntivi. A tal fine, [la società] si è avvalsa di una formula certo sintetica e con l´uso di un breve messaggio preregistrato nel corso del tempo di attesa del servizio ma, al contempo, assolutamente in linea con [il provvedimento del Garante] del 15 novembre 2007 sugli adempimenti semplificati per il customer care";

b) che "l´informativa resa alla clientela è stata considerata coerente con le prescrizioni contenute in detto provvedimento, in particolare, in considerazione del fatto che gli elementi richiesti ai sensi dell´art. 13, e non esplicitati in detta informativa, sono necessariamente conosciuti ed evidenti per la clientela, dal momento che la stessa si rivolge ad Alitalia per l´acquisto ovvero per la prenotazione di un viaggio o per effettuare un reclamo. Ne consegue che il cliente è consapevole degli estremi identificativi del titolare del trattamento […] ha chiara la finalità dello stesso e l´ambito di utilizzazione dei dati […] come pure le conseguenze di un eventuale rifiuto di rispondere e la natura obbligatoria o facoltativa del conferimento";

c) "che, come prescritto a pag 7 del manuale Standard Comportamentale […] fornito a tutti gli addetti al call center, nel caso in cui il cliente chieda ulteriori informazioni riguardanti il trattamento dei suoi dati ovvero ponga domande che comportino la necessità di fornire maggiori dettagli al riguardo, l´operatore indirizza il cliente alla consultazione del sito web Alitalia, ove tali informazioni sono reperibili in dettaglio, nell´apposita sezione privacy";

VISTO il provvedimento del Garante dell´8 gennaio 2009 (doc. web n. 1580603) con il quale Compagnia Aerea Italiana s.p.a. (ora Alitalia – Compagnia Aerea Italiana s.p.a.) è stata autorizzata a fornire un´informativa semplificata sul trattamento di dati personali relativi a clienti, fornitori, equipaggi e soggetti manutentori e certificatori della flotta di aeromobili acquisiti a conclusione delle operazioni di cessione di Alitalia e a trattare, senza chiedere un nuovo consenso, i dati della clientela aderente a programmi di fidelizzazione o creditrice di prestazioni da parte di Alitalia (c.d. clienti non volati);

CONSIDERATO che nell´ambito del predetto provvedimento non ha formato oggetto di esame l´informativa resa dalla società attraverso il proprio call center per le chiamate c.d. inbound, nei confronti delle quali trova invece applicazione il provvedimento generale del Garante del 15 novembre 2007 (doc. web n. 1462788) relativo agli adempimenti semplificati per il customer care;

RILEVATO che, in ordine alla condotta in esame, risulta accertato in atti che Alitalia, nel rendere l´informativa di cui all´art. 13 del Codice tramite il proprio call center, ha utilizzato un messaggio preregistrato durante la fase di attesa delle chiamate che testualmente recita: "la informiamo che i suoi dati personali saranno trattati nel rispetto della vigente normativa in materia di privacy";
CONSIDERATO che:

- il messaggio preregistrato utilizzato dalla società si limita a richiamare un generico e del tutto superfluo "rispetto della vigente normativa", senza indicare nessuna delle informazioni previste dall´art. 13 del Codice;

- sebbene, come ricordato anche dalla società nelle proprie memorie, sia il Codice che il citato provvedimento del 15 novembre 2007 prevedano che non sia necessario fornire all´interessato gli elementi che gli sono già noti o che sono già chiaramente evidenti  (quali, nel caso specifico, possono risultare gli estremi identificativi del titolare, le conseguenze di un eventuale rifiuto di rispondere, la natura obbligatoria o facoltativa del conferimento, la finalità del servizio e l´ambito di utilizzazione dei dati), è tuttavia prescritto nel provvedimento medesimo che il titolare indichi attraverso l´operatore ovvero nell´ambito del messaggio preregistrato "la modalità attraverso la quale l´interessato potrà consultare o ascoltare a richiesta un´informativa più specifica, ad esempio mediante un sito web o tramite operatore o messaggio registrato ascoltabile digitando una cifra sulla tastiera del telefono";

- al contrario, la società, nell´ambito del "manuale Standard Comportamentale" fornito agli addetti al call center, ha previsto che l´operatore indirizzi il cliente alla consultazione dell´apposita sezione "privacy" del sito web Alitalia solo nel caso in cui sia lo stesso cliente a chiedere ulteriori informazioni in merito al trattamento dei propri dati personali; al riguardo si evidenzia che, da un lato, tale soluzione non risulta pienamente in linea con quanto previsto dal citato provvedimento del 15 novembre 2007, dall´altro, in ogni caso, l´informativa presente nella sezione "privacy" del sito web Alitalia (http://www.alitalia.com/IT_IT/privacy/index.aspx  acquisita agli atti) si riferisce esclusivamente ai trattamenti effettuati attraverso il medesimo sito web, il sito "Mobile" e i dati comunicati ad Alitalia "a mezzo posta e posta elettronica", senza che venga fornita alcuna informazione relativa ai trattamenti effettuati tramite il call center della società;

CONSIDERATO, pertanto, che le argomentazioni addotte da Alitalia non sono idonee, per le motivazioni sopra riportate, ad escludere la responsabilità della società in ordine alla violazione relativa all´inidonea informativa resa attraverso il proprio call center;

VISTI gli scritti difensivi inviati in data 2 aprile 2010 ai sensi dell´art. 18 della legge n. 689/1981 nei quali, in merito alla violazione dell´art. 33, relativa alla mancata adozione del documento programmatico sulla sicurezza, Alitalia ha dichiarato:

a) "di avere iniziato la propria attività in data 13 gennaio 2009, conseguentemente al verificarsi di tutte le condizioni sospensive previste dall´accordo di "Cessione di complessi di beni e contratti" stipulato in data 12 dicembre 2008 con Alitalia – Linee Aeree Italiane s.p.a. in amministrazione straordinaria […] ed altre quattro società dalla stessa controllate o partecipate";

b) che "Alitalia, nella sua qualità di nuovo vettore aereo, ha iniziato la sua attività, riprendendo in sostanza, senza soluzione di continuità, quella della Alitalia in a.s.";

c) che, a seguito di una richiesta di parere formulata dalla società, "le modalità di trattamento dei dati […] da parte della Scrivente sono state, quindi, quelle fissate dal Garante nel parere [rectius provvedimento] adottato l´8 gennaio 2009, a cominciare dall´informativa a clienti e fornitori attraverso annunci su quotidiani di rilevanza nazionale nonché all´informativa effettuata nei confronti dei dipendenti (anche solo potenziali) attraverso il sito web";

d)  che, a parere della società, "sarebbe stato oggettivamente irrealistico, per una società che ha avviato la propria attività il 13 gennaio 2009, e con le complessità aziendali e di contesto appena richiamate, redigere ed adottare entro il successivo 31 marzo (termine previsto dalla legge) un DPS che fosse un documento compiuto non solo a livello formale ma anche sostanziale";

e) "che, nonostante gli sforzi compiuti, la redazione di una prima versione del DPS, il cui testo è stato elaborato entro marzo, non è stata formalizzata con la  relativa adozione nei tempi richiesti in ragione di quanto sopra rappresentato e, in particolare, del livello non ancora completamente definito dell´attribuzione delle funzioni aziendali. […] In buona sostanza, la Società, consapevole di non poter raggiungere un quadro definito di valutazioni ed accertamenti entro il 31 marzo 2009, ha concentrato la sua attenzione e si è attivata al fine di assicurare il rispetto sostanziale di tutte le pertinenti disposizioni del Codice della Privacy";

f) "che, successivamente alle verifiche […] Alitalia ha continuato ad adoperarsi per completare il quadro delle misure a tutela della privacy, pervenendo, in data 5 gennaio 2010, alla finalizzazione del DPS attraverso l´adozione dello stesso da parte del Presidente e dell´Amministratore Delegato della Società";

RILEVATO che l´attività svolta dalla società configura un trattamento di dati personali (art. 4, comma 1, lett. a) e b), del Codice) per il quale dovevano essere assolti gli obblighi di cui all´art. 33 del Codice e, in particolare, alla regola n. 19 del disciplinare tecnico di cui all´allegato B) al medesimo Codice, relativa alla redazione e all´aggiornamento del documento programmatico sulla sicurezza;

RILEVATO che, in ordine alla condotta relativa alla mancata adozione del documento programmatico sulla sicurezza, risulta accertato in atti che Alitalia, pur avendo avviato la propria attività il 13 gennaio 2009 (data in cui si sono verificate tutte le condizioni sospensive previste dall´accordo di "Cessione di complessi di beni e contratti", stipulato in data 12 dicembre 2008, con Alitalia – Linee Aeree Italiane s.p.a. in amministrazione straordinaria), ha adottato il documento programmatico sulla sicurezza solamente in data 5 gennaio 2010;

CONSIDERATO che:

-  Alitalia, al fine di giustificare l´omissione in questione, ha posto l´accento sulle difficoltà incontrate nelle fasi iniziali di avvio della propria attività, durante le quali ha dichiarato di aver concentrato la propria attenzione sugli adempimenti ritenuti, a proprio giudizio, prioritari al fine di assicurare il rispetto sostanziale delle disposizioni in tema di protezione dei dati personali;

- in ragione della natura e della finalità sottesa all´adempimento in esame, la società avrebbe dovuto adottare il D.P.S., previsto dall´art. 34, comma 1, lett. g), del Codice e dalla regola n. 19 del disciplinare tecnico allegato B) al medesimo Codice, da predisporre sulla base delle informazioni disponibili all´atto della sua elaborazione, prima dell´effettivo avvio dell´operatività della nuova impresa e dei conseguenti trattamenti di dati personali, per poi procedere al suo aggiornamento anche in corso d´anno, in caso di variazioni rilevanti ai fini della protezione dei dati personali, dovute ai processi di riorganizzazione dell´impresa (cfr. art. 34, comma 1, lett. g), del Codice), al fine di assicurare quel livello minimo di protezione dei dati personali che, proprio in occasione di operazioni come quelle in esame, risultano essere maggiormente esposti a rischi di utilizzi illeciti o non conformi alle finalità per le quali sono stati raccolti;

- tra l´altro, appare evidente come l´adozione del D.P.S. sarebbe risultata relativamente agevole sia in ragione della sostanziale continuità della propria attività, ribadita da Alitalia nelle proprie memorie, con quella della precedente società Alitalia – Linee Aeree Italiane s.p.a. in amministrazione straordinaria, sia in relazione al "rispetto sostanziale di tutte le pertinenti disposizioni del Codice", manifestato dalla società, e non avrebbe richiesto ad Alitalia un ulteriore rilevante impegno rispetto agli adempimenti già posti in essere (tra cui, ad es., l´adozione di un articolato ordine di servizio in materia di protezione dei dati personali, l´individuazione di una Unità Privacy, gli aggiornamenti all´informativa presente sul sito web, le istruzioni fornite agli incaricati del trattamento dei dati, le misure minime di sicurezza relative alle banche dati informatiche, la designazione degli amministratori di sistema e l´effettuazione nei loro confronti di corsi di formazione, la pianificazione di ulteriori attività di formazione);

CONSIDERATO, pertanto, che le giustificazioni addotte da Alitalia non sono idonee, per le motivazioni sopra riportate, ad escludere la responsabilità della società in ordine alla violazione in questione, relativa alla mancata adozione del documento programmatico sulla sicurezza;

PRESO ATTO di quanto dichiarato da Alitalia in ordine al comportamento complessivo tenuto dalla società con riferimento ai restanti adempimenti in tema di protezione dei dati personali nonché della condotta tenuta successivamente alla rilevazione delle violazioni in questione, consistita nella tempestiva adozione di un aggiornato documento programmatico sulla sicurezza;

VISTO l´art. 161 del Codice, che punisce la violazione delle disposizioni di cui all´art. 13 del medesimo Codice con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro;

VISTO l´art. 162, comma 2-bis, del Codice, nella formulazione antecedente alla modifica apportata con la legge 20 novembre 2009, n. 166, che punisce la violazione delle misure indicate nell´art. 33 del Codice con la sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge 24 novembre 1981 n. 689, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

RITENUTO che, nel caso in cui l´infrazione non abbia caratterizzazioni specifiche che possano portare a valutazioni di maggiore o minor rigore, nella determinazione della sanzione può ritenersi corretta l´individuazione di un importo pari al terzo del massimo o, se più favorevole, al doppio del minimo, in linea con quanto previsto dall´art. 16 della L. n. 689/1981, ferma restando la valutazione degli ulteriori elementi previsti dall´art. 11 della medesima legge [cfr. Cass. civ., sez. I, 4 novembre 1998, n. 11054];

CONSIDERATO che, nel caso in esame:

a) in ordine all´aspetto della gravità, con riferimento alle modalità concrete della condotta, la violazione relativa all´informativa resa tramite call center non risulta connotata da elementi specifici, mentre, per la violazione relativa all´omessa adozione del D.P.S., occorre tener conto in misura favorevole alla società della particolarità delle concomitanti vicende societarie attraversate da Alitalia; invece, sotto i profili dell´entità del danno o del pericolo arrecato e dell´intensità dell´elemento psicologico, devono essere valutate in termini di aumento della sanzione, rispettivamente, le circostanze che:

- le violazioni in esame, commesse da una compagnia aerea di rilevanti dimensioni, siano relative a trattamenti che riguardano una considerevole quantità di dati personali dei clienti;

- l´elemento soggettivo della colpa relativo alle violazioni in esame assume caratteri di maggiore gravità in relazione alla presenza in azienda di specifiche figure professionali dedicate agli adempimenti in tema di protezione dei dati personali;

b) ai fini della valutazione dell´opera svolta dall´agente:

- con riferimento alla violazione relativa all´inidonea informativa, deve essere considerata in termini negativi la circostanza che la società, sulla base delle risultanze in atti, non abbia documentato modifiche alle modalità con le quali rende le informazioni in questione;

- in merito alla violazione connessa alla mancata adozione del D.P.S., deve essere favorevolmente apprezzato il comportamento dell´azienda che ha proceduto prontamente all´effettuazione degli adempimenti in precedenza omessi, rimuovendo le cause della violazione contestata;

c) circa la personalità dell´autore della violazione, deve essere positivamente considerata la circostanza che la società non risulti avere precedenti specifici in termini di violazioni alle disposizioni del Codice;

d) in merito alle condizioni economiche dell´agente, al fine di commisurare l´importo della sanzione alla reale capacità economica del trasgressore nel rispetto del principio di uguaglianza, devono essere apprezzati in termini di aumento della sanzione gli elementi desumibili dal bilancio d´esercizio di Alitalia per gli anni 2009 e 2010, con particolare riferimento al volume d´affari realizzato dalla società;

RITENUTO di dover determinare, ai sensi dell´art. 11 della L. n. 689/1981, l´ammontare delle sanzioni pecuniarie, avuto riguardo alla rispettiva gravità valutata in ragione dei suddetti elementi considerati - per ciascuna violazione - nel loro complesso, nella misura di:

a) euro 20.000,00 (ventimila) per la violazione relativa all´inidonea informativa resa tramite il proprio call center;

b) euro 20.000,00 (ventimila) per la violazione relativa alla mancata adozione del documento programmatico sulla sicurezza, anche tenuto conto delle modifiche apportate dall´art. 45, comma 1, lettera c), del D.L. 9 febbraio 2012, n. 5;

VISTO l´art. 164-bis, comma 4, del Codice che prevede che le sanzioni amministrative di cui al Titolo III, Capo I, del Codice possono essere aumentate fino al quadruplo quando possono risultare inefficaci in ragione delle condizioni economiche del contravventore;

RITENUTO che la valutazione delle condizioni economiche del contravventore possa essere condotta a partire dai criteri di classificazione delle imprese indicati nel decreto del ministro delle attività produttive del 18 aprile 2005, recante "Adeguamento alla disciplina comunitaria dei criteri di individuazione di piccole e medie imprese", considerando imprese di rilevanti dimensioni quelle che superino i parametri ivi indicati;

RILEVATO che l´applicazione della predetta sanzione nei confronti di Alitalia – Compagnia Aerea Italiana s.p.a. risulterebbe inefficace, in ragione dei volumi d´affari rilevabili dai bilanci degli anni 2009 e 2010;

RITENUTO che, nel caso di specie, ricorrano le condizioni per applicare l´aumento previsto dall´art. 164-bis, comma 4, del Codice nella misura, ritenuta congrua, pari a tre volte l´importo delle sanzioni che, pertanto, risultano rispettivamente determinate in euro 60.000,00 (sessantamila) per l´informativa tramite call center e in euro 60.000,00 (sessantamila) per l´omessa adozione del D.P.S.;

VISTA la documentazione in atti;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE il dott. dott. Giuseppe Fortunato;

ORDINA

ad Alitalia – Compagnia Aerea Italiana s.p.a., con sede in Fiumicino (RM), piazza Almerico da Schio, in persona del legale rappresentante pro tempore, di pagare la somma:

a) di euro 60.000,00 (sessantamila) a titolo di sanzione amministrativa pecuniaria per la violazione dell´art. 161 del Codice, come determinata in motivazione;

b) di euro 60.000,00 (sessantamila) a titolo di sanzione amministrativa pecuniaria per la violazione dell´art. 162, comma 2-bis, del Codice, come determinata in motivazione,

INGIUNGE

alla medesima società di pagare la somma di euro 120.000,00 (centoventimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale o in copia autentica, quietanza dell´avvenuto versamento;

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 12 aprile 2012

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE
De Paoli