Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Ordinanza di ingiunzione nei confronti di BBJ s.r.l. - 13 giugno 2013 [2616804]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
2616804
Data:
13/06/13
Tipologia:
Ordinanza ingiunzione o revoca

DOCUMENTI CITATI


 [doc. web n. 2616804]

Ordinanza di ingiunzione nei confronti di BBJ s.r.l. - 13 giugno 2013

Registro dei provvedimenti
n.  291 del 13 giugno 2013

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

RILEVATO che, a fronte di un ciclo di accertamenti ispettivi volti a verificare il rispetto della normativa in materia di protezione dei dati personali, con particolare riferimento alle campagne di marketing effettuate tramite numeri di cellulari (per l´invio di sms e mms) e indirizzi di posta elettronica, l´Autorità ha adottato, in data 10 giugno 2011, il provvedimento n. 229 (in www.garanteprivacy.it, doc. web n. 1836396)  nei confronti di BBJ s.r.l. P.Iva: 12904270159, con sede in Milano, via Alamanni n. 16/2.3, in persona del legale rappresentante pro-tempore ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice in materia di protezione dei dati personali – d.lg. 30 giugno 2003, n. 196 (di seguito denominato Codice) che qui deve intendersi integralmente riportato. Con tale provvedimento l´Autorità, in estrema sintesi, ha accertato che B.B.J. s.r.l. ha comunicato a Buongiorno Marketing Services s.p.a. dati personali acquisiti da un terzo (Cemit Interactive Media s.p.a.) senza fornire agli interessati la necessaria informativa ai sensi dell´art. 13, comma 4 del Codice e senza aver acquisito il previsto consenso di cui all´art. 23 del Codice;

VISTO il verbale n. 13265/70393 del 28 giugno 2011 con cui sono state contestate alla predetta società le violazioni amministrative previste dall´art. 161, in relazione all´art. 13 del Codice e dall´ art. 162, comma 2-bis del Codice, in relazione all´art. 23, entrambe aggravate per effetto dell´applicazione dell´art. 164-bis, comma 3 del Codice;

CONSIDERATO che la parte è stata informata della facoltà di effettuare il pagamento in misura ridotta ai sensi dell´art. 16 della legge n. 689/1981;

ESAMINATO il rapporto dell´Ufficio del Garante per la protezione dei dati personali predisposto ai sensi dell´art. 17 della legge 24 novembre 1981, n. 689, dal quale risulta che non è stato effettuato il pagamento in misura ridotta; 

TENUTO CONTO del fatto che la società, pur non avendo prodotto scritti difensivi o chiesto di essere sentita ai sensi dell´art. 18 della legge n. 689/1981, ha presentato un ricorso datato 31 agosto 2011, ai sensi dell´art. 152 del Codice, avverso il verbale di contestazione n. 13265/70393 del 28 giugno 2011, del quale l´Avvocatura distrettuale dello Stato di Milano ha comunicato la cancellazione dai ruoli. Alla luce di tale circostanza, pur volendo considerare le argomentazioni proposte, si evidenzia come la Società non neghi la ricorrenza dei fatti contestati, ammettendo testualmente, nel ricorso, che "BBJ ha senza dubbio (e non è certo intenzione della Società ricorrente negarlo) fatto un uso non previsto dal Codice della nomina a responsabile interno del trattamento di cui all´articolo 29", mentre avrebbe dovuto chiedere a Cemit di procedere a tale nomina nei confronti della Buongiorno. Ma ciò, secondo BBJ, si risolverebbe in un mero errore formale e non costituirebbe un illecito trasferimento del database a Buongiorno senza informativa e consenso degli interessati. Ciò si dedurrebbe, a quanto pare, dalla buona fede della ricorrente e dalla mancanza di danni in carico agli interessati. Inoltre, il Garante avrebbe contestato alla società  una violazione amministrativa "che necessita come elemento imprescindibile, per la sua sussistenza, un comportamento doloso volto ad ottenere un beneficio ingiusto, in danno dei clienti della Cemit, vale a dire la cessione del database", ma nella fattispecie in esame non vi sarebbe alcun dolo, in quanto la condotta dovrebbe considerarsi un "errore procedurale" e non sussisterebbe alcun beneficio ingiusto a favore della BBJ, né alcun danno a carico degli interessati inseriti nel database. Rileva, altresì, che, non ricorrendo l´ipotesi di illecita cessione di dati personali, la sanzione indicata nell´atto di contestazione dovrebbe essere annullata, e/o dovrebbe disconoscersi l´aggravante ex art. 164-bis comma 3 del Codice, considerata la lieve entità dell´infrazione e le condizioni economiche della ricorrente;

CONSIDERATO che le argomentazioni addotte non consentono di escludere la responsabilità della società in relazione a quanto contestato. Deve preliminarmente rilevarsi che il citato provvedimento del 10 giugno 2010, con il quale il Garante ha accertato la violazione da parte di BBJ del Codice relativamente all´obbligo di rendere l´informativa agli interessati e di acquisire il loro consenso, non è stato opposto dalla società, ed è quindi divenuto definitivo.  Le censure espresse dall´opponente non possono quindi ora trasformarsi in una sorta di tardiva impugnazione, mettendo surrettiziamente in discussione il merito di quanto accertato con quel provvedimento. Posto quanto sopra, si rileva come quanto dedotto dalla società circa il fatto che l´accertata violazione delle disposizioni in materia di tutela dei dati personali sia un mero errore materiale o procedurale, non ha pregio. Infatti, per ammissione della ricorrente - sia nel corso del procedimento amministrativo sia nell´atto di ricorso -, il database contenente gli oltre duecentomila numeri di utenze telefoniche è stato, incontrovertibilmente e senza titolo, comunicato da BBJ a Buongiorno. Tale fattispecie configura una cessione di dati personali altrui che, secondo le disposizioni legislative del Codice, non può essere effettuata all´insaputa degli interessati e senza avere ottenuto dai medesimi un idoneo consenso, in violazione degli articoli 13 e 23 del Codice. Nel merito, inoltre, la mancata idonea individuazione di Buongiorno quale soggetto del trattamento, non può essere rubricata quale semplice irregolarità formale poiché le norme sulla corretta designazione di responsabili e incaricati del trattamento mirano a conferire al titolare il pieno controllo del trattamento medesimo del quale egli risponde sia in ordine a modalità e finalità, sia per i profili connessi alla sicurezza dei dati: tale controllo non si è realizzato nell´occasione del passaggio dei dati da B.B.J. a Buongiorno esponendo i dati degli interessati trasferiti da Cemit a B.B.J. a concreti rischi di dispersione o utilizzo non conforme alle finalità della raccolta. Riguardo l´insussistenza della violazione amministrativa per mancanza di dolo, si evidenzia come tale argomentazione sia  manifestamente infondata, in quanto la violazione oggetto di contestazione non ha natura penale, bensì amministrativa e, pertanto, ricorre anche in mancanza di dolo, ovvero anche quando la condotta dell´agente sia meramente colposa (art. 3 della legge n. 689/81). Né appare sussistere, contrariamente a quanto apoditticamente asserito nel ricorso, "l´assoluta buona fede di BBJ" (pagg. 7 e 8 del ricorso), di cui la ricorrente non fornisce alcun elemento di riscontro. Sul punto, si ricorda che la giurisprudenza di rito, in tema di illeciti amministrativi, ha precisato che l´esimente della buona fede, intesa come errore sulla liceità del fatto, assume rilievo solo in presenza di elementi positivi, idonei ad ingenerare nell´autore della violazione il convincimento della liceità del suo operato, purché tale errore sia incolpevole ed inevitabile, in quanto determinato da un elemento positivo, idoneo ad indurlo in errore ed estraneo alla sua condotta e non ovviabile con l´ordinaria diligenza e prudenza (Cass. 2007, n. 5894; Cass. 2006, n. 11012; Cass. 1999, n. 1151). A proposito, poi, dell´errore c.d. di diritto, il Supremo Collegio ha precisato che questo non può essere identificato, tout court, nella ignoranza della norma o nella mera asserita incertezza del dettato normativo, specie se causata da un´errata soggettiva percezione dello stesso, trattandosi di condizione sempre superabile, anche mediante una richiesta di informazioni alla p.a.. E ciò tanto più ove l´ignoranza interessi un operatore professionale, cioè un soggetto nei cui confronti il dovere di conoscenza e di informazione in ordine ai limiti e condizioni del proprio operare è particolarmente intenso, con l´effetto che la sua condotta, sotto il profilo considerato, dovrebbe semmai essere valutata con maggiore rigore (Cass. 2006, n. 21779; Cass. 2009, n. 20866). Ebbene, nell´atto di ricorso non vi è alcun elemento che dimostri, alla stregua dei criteri indicati dalla giurisprudenza del Supremo Collegio,  la sussistenza di un errore scusabile a fondamento della condotta illecita della ricorrente. La pretesa inapplicabilità dell´aggravante di cui all´art. 164-bis comma 3 del Codice ("In altri casi di maggiore gravità e, in particolare, di maggiore rilevanza del pregiudizio per uno o più interessati, ovvero quando la violazione coinvolge numerosi interessati, i limiti minimo e massimo delle sanzioni di cui al presente Capo sono applicati in misura pari al doppio."), non è adeguatamente motivata dalla ricorrente, mentre è oggetto di specifica considerazione nella parte motiva del provvedimento impugnato, ove si rileva che le violazioni contestate hanno coinvolto numerosi interessati inseriti nel database, che conteneva 203.779 numeri di utenze telefoniche. Occorre infine rilevare che, come riportato nel provvedimento datato 10 giugno 2011, "Le criticità sono tanto più rilevanti se si considera che la campagna di marketing commissionata da Cemit, era in realtà una campagna di propaganda elettorale svolta attraverso diversi canali di comunicazione (sms e email) per la quale l´Autorità ha ricevuto numerose segnalazioni";

RILEVATO, pertanto, che la società ha effettuato un trattamento di dati personali (art. 4 comma 1, lett. a) e b) del Codice) senza rendere l´informativa agli interessati ai sensi dell´art. 13 del Codice e  in carenza di un valido consenso ai sensi dell´art. 23, comma 3, del medesimo Codice;

VISTO l´art. 161 del Codice, che punisce la violazione delle disposizioni di cui all´art. 13 del medesimo Codice con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro;

VISTO l´art. 162, comma 2-bis, del Codice che punisce la violazione delle disposizioni indicate nell´articolo 167 del medesimo Codice (tra le quali l´articolo 23) con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

RITENUTO che, così come rilevato nel verbale di contestazione in argomento, sussistono,  in ragione dell´elevato numero di interessati coinvolti nelle violazioni, gli elementi che consentono di applicare l´aggravante prevista dall´art. 164-bis, comma 3, del Codice per entrambe gli illeciti contestati;

CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge 24 novembre 1981 n. 689, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a) in ordine all´aspetto della gravità,  gli elementi dell´entità del pregiudizio o del pericolo, dell´intensità dell´elemento psicologico e della modalità concreta della condotta devono essere valutati in funzione delle ragioni per le quali, al caso di specie, è applicabile l´aggravante di cui all´art. 164-bis, comma 3 del Codice;

b) ai fini della valutazione dell´opera svolta dall´agente, deve essere considerato il fatto che la società non ha fornito elementi circa le modalità di attuazione del divieto di cui al provvedimento del Garante datato 10 giugno 2011 mai impugnato;

c) circa la personalità dell´autore della violazione, deve essere positivamente considerata la circostanza che la società non risulti avere precedenti specifici in termini di violazioni alle disposizioni del Codice;

d) in merito alle condizioni economiche dell´agente, al fine di commisurare l´importo della sanzione alla reale capacità economica del trasgressore nel rispetto del principio di uguaglianza, si rileva che la società, per l´anno 2011, risulta avere conseguito un significativo valore della produzione;

RITENUTO di dover determinare, ai sensi dell´art. 11 della legge n. 689/1981, l´ammontare delle sanzioni pecuniarie, in considerazione di quanto previsto dall´art. 164-bis, comma 3 del Codice, nella misura di euro 24.000,00 euro (ventiquattromila) per la violazione di cui all´art. 161 del Codice e di euro 40.000,00 euro (quarantamila) per la violazione di cui all´art. 162, comma 2-bis, del Codice,  per un importo complessivo pari a euro 64.000,00 (sessantaquattromila);

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la prof.ssa Licia Califano;

ORDINA

a BBJ s.r.l. P.Iva: 12904270159, con sede in Milano, via Alamanni n. 16/2.3, in persona del legale rappresentante pro-tempore, di pagare la somma complessiva di euro 64.000,00 (sessantaquattromila) a titolo di sanzione amministrativa pecuniaria per le violazioni previste dagli artt. 161 e 162, comma 2-bis, del Codice, in combinato disposto con l´art. 164-bis, comma 3 del Codice, come indicato in motivazione;

INGIUNGE

alla medesima società di pagare la somma di euro 64.000,00 (sessantaquattromila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale o in copia autentica, quietanza dell´avvenuto versamento.

Ai sensi degli artt. 152 del Codice e 10 del d. lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 13 giugno 2013

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia