Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Associazione “MEVALAUTE ONLUS - 26 luglio 2018 [9054309]

[doc. web n. 9054309]

Ordinanza ingiunzione nei confronti di Associazione “MEVALAUTE ONLUS - 26 luglio 2018

Registro dei provvedimenti
n. 443 del 26 luglio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, Segretario generale; 

VISTO il d.lgs. 30 giugno 2003, n.196 recante il “Codice in materia di protezione dei dati personali” (di seguito “Codice”); 

VISTO il documento del Garante “Linee guida in materia di attività promozionale e contrasto allo spam” del 4 luglio 2013 – doc. web n. 2542348,  rintracciabile sul sito www.gpdp.it ;  

VISTO il d.lgs. 7 marzo 2005, n. 82 recante il  "Codice dell'amministrazione digitale" e successive modificazioni e integrazioni;

VISTO il provvedimento n. 52 del 1 febbraio 2018 con cui il Garante ha vietato alla Associazione “MEVALAUTE ONLUS” (di seguito “Associazione”), C.F. 97858990589, in persona del legale rappresentante pro tempore, con sede legale in Roma, Via Nizza 45, nonché alla Società “MEVALUATE ITALIA S.r.l.”, l’ulteriore trattamento dei dati personali relativi all’invio delle comunicazioni PEC indesiderate da cui hanno avuto origine n. 17 segnalazioni al Garante,  nonché ha prescritto la cancellazione dei dati trattati in violazione di legge senza ritardo e, comunque, entro e non oltre 30 giorni, e la comunicazione, nello stesso termine, delle iniziative poste in essere al fine di dare attuazione a quanto prescritto. Ciò, in quanto, a seguito degli accertamenti ispettivi effettuati presso la sede dell’Associazione dal Nucleo Speciale Privacy della Guardia di Finanza nei giorni 3 e 4 luglio 2017, nonché degli approfondimenti effettuati dall’Ufficio del Garante, è emerso che: 

- “(...) le operazioni di raccolta dei dati hanno riguardato (...) gli indirizzi pec di avvocati, commercialisti e/o revisori contabili, consulenti del lavoro e notai, risultati (…) destinatari delle comunicazioni in parola (più precisamente: circa 240 mila pec ad avvocati, circa 117 mila pec a commercialisti e/o revisori contabili, circa 27 mila pec a consulenti del lavoro e circa 6000/7000 pec a notai. (…)” (punto 3.1);

- “(…) detta raccolta è stata effettuata, in via occasionale (...) dal registro INl-PEC (...) nonché dal sito www. registroimprese.it, e, in misura più contenuta, dagli elenchi dei professionisti pubblicali da alcuni ordini provinciali delle citate categorie ( ...)”  (ibidem, come sopra);

- “ (…) gli indirizzi (...) sono stati quindi inviati dall'Associazione ad un (altro) soggetto terzo (E-CARE S.p.A.) al quale è stato affìdato il servizio di invio del bando e delle successive comunicazioni oggetto di segnalazione (…)” (ibidem, come sopra);

- "( ...) in relazione al consenso dei destinatari al trattamento dei dati loro riferiti, è stato ritenuto di poter utilizzare gli indirizzi pec (…) senza la necessità di raccogliere il consenso degli interessali (…)" (punto 3.2);

- “ (…) a dispetto di quanto prospettato nel corso del procedimento (cfr. verbale 5 luglio 2017, p. 2; punto 3.1) ‒ secondo cui l’Associazione (Mevaluate) avrebbe operato in qualità di “titolare del trattamento” e la Società (Mevaluate) quale “responsabile del trattamento”, inquadramento formalizzato nell’atto di designazione, sottoscritto dalla medesima persona, recante la data del 20 febbraio 2016 ‒ deve ritenersi che nel caso di specie ricorra un rapporto di co-titolarità del trattamento dei dati in questione tra Associazione e Società, in ragione della circostanza che è evidente il coinvolgimento dei due menzionati soggetti nell’ambito di un unico progetto condiviso, quanto a principi, finalità e modalità attuative (art. 4, comma 1, lett. f e 28, del Codice), anche in ragione dell’identità del rappresentante legale nonché della comune sede legale (cfr. punto 3.1)” (punto 4);

- ulteriori indici confermano l’assunto di cui sopra, come la “(…) presenza  di un unico marchio "Mevaluate" nel bando e nelle comunicazioni inviate agli interessati (…)”, la “(…) circostanza che  il sito  www.it. mernluale.com/home  faccia riferimento  sia all’Associazione sia alla Società (...)", nonché “(…) la prospettata contrattualizzazione (pur rimasta lettera morta, in ragione del citato provvedimento di diniego) dei “consulenti reputazionali” in capo alla Società, come espressamente dichiarato dallo stesso rappresentante («Le comunicazioni in questione erano finalizzate a selezionare, fra i professionisti destinatari delle comunicazioni inviate via pec, 12.000 professionisti che sarebbero stati remunerati da Mevaluate Italia S.r.l. per svolgere l’attività di “consulente reputazionale”»: cfr. verbale (di operazioni compiute) 5 luglio 2017, cit., p. 3)”; 

- “ (...) le modalità utilizzate per raccogliere i dati personali degli interessali (...) si pongono in violazione dei principi di liceità e correttezza (art. 11, comma 1, lett. a), del Codice) nonché di finalità (art. 11, comma 1 , lett. b), del Codice) (…)”.  Con il citato provvedimento n. 52/2018 è stato, infatti, accertato che:

a) l'art. 6-bis, comma 1, d.lgs, n. 82/2005 (…) individua le fìnalità del registro pubblico INI-PEC ossia quella di "favorire lo scambio di informazioni e documenti tra la pubblica amministrazione e le imprese e i professionisti in modalità telematica.  Tale fìnalità è espressamente tenuta in considerazione nelle linee guida del 4 luglio 20 I 3 in materia di attività promozionali e contrasto allo spam, nelle quali il Garante ha precisato che senza il consenso preventivo degli interessali, non è lecito utilizzare per inviare e-mail promozionali agli indirizzi pec contenuti nell’”indice nazionale degli indirizzi  pec” (cfr. punto 2.5 Linee Guida) (…)” (punto 5.1);

b) “ (…) l 'art. 16, comma 10, del d.l. n. 185/2008 (…) in base al quale mentre “la consultazione dei singoli indirizzi di posta elettronica certificata avviene liberamente e senza oneri” (…) “l 'estrazione di elenchi di indirizzi è consentita alle sole pubbliche amministrazioni per le comunicazioni relative agli adempimenti amministrativi di loro competenza” (…)” (ibidem, come sopra);

- “(…) rispetto all'invio delle comunicazioni elettroniche in questione, consideralo il loro contenuto promozionale (…), l'Associazione e la Società, in qualità di co-titolari del trattamento, avrebbero dovuto acquisire il consenso informato degli interessati ai sensi degli artt. 13, commi 1 e 4 , 130, commi 1 e 2 , e 23 del Codice (v. pure Linee guida in materia di spam del 4 luglio 2013, cit., in particolare punto 2.6) (punto 6.1);

- “(…) in relazione alla dichiarata comunicazione ad un soggetto terzo (E-CARE S.p.A.) degli indirizzi pec in parola in vista del successivo inoltro delle email a contenuto promozionale in assenza di previa designazione dello stesso quale responsabile del trattamento (…) risulta ulteriormente violato l'art.23 del Codice non essendo detta operazione di trattamento (la comunicazione dei dati) fondata su un idoneo consenso degli interessati (…)” (punto 10);

VISTA la nota prot. n. 6435/100482 del 23 febbraio 2018 del Dipartimento comunicazioni e reti telematiche di questa Autorità con la quale sono stati trasmessi gli atti al Dipartimento attività ispettive e sanzioni competente per le valutazioni in ordine alla sussistenza delle violazioni amministrative in relazione al trattamento dei dati personali in questione;

VISTA la nota datata 2 marzo 2018 con la quale il legale della Associazione e della Società Mevaluate, in relazione al  provvedimento n. 52 del 1 febbraio 2018, ha dato atto “ (…) dell’intervenuta cancellazione di tutti gli archivi di indirizzi P.E.C. (…)”;

VISTO il verbale prot. n. 10365/100482 del 6 aprile 2018 con il quale, effettuate le necessarie valutazioni e richiamando integralmente le motivazioni di cui al citato provvedimento n. 52 del 1 febbraio 2018, il Garante ha contestato all’Associazione:

- ai sensi dell’art. 161 del Codice, la violazione dell’art. 13 del Codice medesimo per il mancato rilascio di un'idonea informativa per la comunicazione di dati personali degli iscritti a soggetti terzi;

- ai sensi dell’art. 162, comma 2-bis, del Codice, la violazione dell’art. 23 del medesimo Codice per alla mancata acquisizione di un consenso liberamente manifestato in ordine alla comunicazione dei dati degli interessati alla società E-CARE S.p.A.;

- ai sensi dell’art. 162, comma 2-bis, del Codice, la violazione dell’art. 130 del Codice medesimo per la mancata acquisizione di un consenso specifico in ordine all'invio delle comunicazioni indesiderate mediante pec ai professionisti sopra citati; 

VISTI gli scritti difensivi datati 4 maggio 2018, formulati ai sensi dell’art. 18 della legge n. 689/1981 con riferimento alle contestazioni di cui al sopra citato verbale n.10365/1000482 del 6 aprile 2018, con cui l’Associazione ha inteso rappresentare la propria  posizione ritenendo che:

- la condotta posta in essere dalla Associazione non “(…) configuri un'attività di marketing ovvero, più in generale, un'attività promozionale (…), (bensì dia luogo alla) applicabilità dell’art. 24,  comma 1, lettera  c) del Codice che, come noto, consente il trattamento, senza consenso, dei dati personali tratti da elenchi e registri pubblici conoscibili da chiunque (…)” in quanto (…) le comunicazioni (…) (inviate ai professionisti) non hanno natura pubblicitaria o promozionale, ma solo informativa per i professionisti dell'area giuridico-economica (…). (Con l’invio di) una prima informativa è stata, infatti, resa nota la scadenza del bando di selezione per la nuova attività professionale di "Consulente Reputazionale " (a) seguito (di) una prolungata attività di studio del progetto Mevaluate da parte dei Consigli Nazionali degli Ordini dei Professionisti a cui il Bando è diretto (e) le note successivamente inviate (…) hanno semplicemente informato dello svolgimento di un Webinar gratuito Mevaluate per la chiarificazione di aspetti del Bando. (…). (A fronte di ciò) risulta (…) evidente che il fine della comunicazione contestata non ha ad oggetto né l'invio di materiale pubblicitario, né lo svolgimento di attività di vendita diretta, né tantomeno il compimento di ricerche di mercato o di comunicazioni  commerciali.

- “(…) per quanto riguarda (…) la questione relativa alla nomina del responsabile del trattamento, non si è dato luogo alla nomina di un responsabile in ordine alla specifica attività di trasmissione dell'informativa riguardante la pubblicazione del Bando  trattandosi  di  attività  ricompresa nel più ampio progetto di cui è titolare l'Associazione Mevaluate Onlus (…) che ha nominato la società Mevaluate S.r.l. responsabile del trattamento dei dati personali, giusta notifica del 17 febbraio 2016 N. 2016021700219990 (…);

- può considerarsi “(…) dirimente anche sotto il profilo del legittimo affidamento, che codesta Autorità si era già espressa (…) nel senso della non illiceità dei medesimi fatti   odiernamente contestati (…)” con il provvedimento n. 8 del 12 gennaio 2017, con il quale il Garante si è pronunciato decidendo in ordine a un ricorso proposto nei confronti della Associazione Mavaluate Onlus  e Mevaluate Italia S.r.l.; 

RITENUTO che le argomentazioni addotte dal legale dell’Associazione negli scritti difensivi sopra citati e rivolte a dimostrare l’infondatezza dei rilievi mossi con il verbale n.10369/1000482 del 6 aprile 2018 non sono idonee a determinare l’archiviazione del procedimento sanzionatorio.

In riferimento all’argomentazione volta a escludere la finalità promozionale dell’attività della Associazione Mevaluate Onlus, nonché della Società Mevaluate Italia S.r.l., si evidenzia quanto già rappresentato nel provvedimento n. 52/2018 - in riferimento al quale non risulta sia stata proposta opposizione ai sensi dell’art. 152 del Codice e dell’art. 10 del d.lgs. 150/2011 - per cui le comunicazioni elettroniche inviate ai professionisti e dalle quali hanno avuto origine le n. 17 segnalazioni al Garante devono invece ritenersi connotate da finalità promozionali, in quanto volte allo sviluppo di attività connesse alla figura del "consulente reputazionale" all´interno del cd. "sistema Mevaluate" verso pagamento di un corrispettivo «per ottenere l´attestato di qualificazione che abilita alla nuova attività professionale da parte dell'organismo di certificazione indipendente» (cfr. bando 2 ottobre 2016). A ciò si aggiunga che l’estrazione dei dati dei professionisti destinatari delle sopra citate comunicazioni, oltre a quanto indicato dal Garante per cui “senza il consenso preventivo - come costantemente ribadito dal Garante a partire dal provvedimento generale sullo spamming del 29 maggio 2003 (doc. web n. 29840) - non è possibile inviare comunicazioni promozionali (…) neanche nel caso in cui i dati personali siano tratti da registri pubblici, elenchi, siti web atti o documenti conosciuti o conoscibili da chiunque” (cfr. “Linee guida in materia di attività promozionale e contrasto allo spam - 4 luglio 2013” doc. web n. 2542348 in www.gpdp.it), trova ulteriore limite nella disposizione contenuta nell’art. 16, comma 10, del d.l. n. 185/2008 sopra citata.

Quanto all’assenza della nomina della Società E-CARE S.p.A. quale responsabile del trattamento in vista del successivo inoltro delle email a contenuto promozionale, in considerazione della co-titolarità sopra evidenziata, la Società Mevaluate e l’Associazione Mevaluate avrebbero dovuto nominare la Società E-CARE quale responsabile esterno del trattamento dei dati ai sensi dell’art. 29 del Codice.

In ordine, infine, al riferimento al provvedimento n. 8 del 12 gennaio 2017 quale argomento volto a dimostrare che il Garante si era in precedenza espresso circa la non illiceità di quanto contestato all’Associazione, si rappresenta che in quella circostanza il Garante si è correttamente limitato a valutare e decidere in merito al riscontro fornito dalla Associazione e dalla Società Mevaluate al ricorrente, dichiarando il non luogo a provvedere avendo verificata la sufficienza di tale riscontro. E con riferimento al legittimo affidamento della Associazione, si fa presente che, secondo consolidata giurisprudenza, è necessario che l’errore - in relazione all’art. 3 della legge 689/1981 - affinché sia scusabile, si fondi su un elemento positivo, estraneo all’agente e idoneo a determinare in lui la convinzione della liceità del suo comportamento. Tale elemento positivo deve risultare non ovviabile dall’interessato con l’uso dell’ordinaria diligenza. La Associazione, quale co-titolare del trattamento, era tenuta a conoscere diligentemente l’esatto contenuto del provvedimento sopra citato nel quale non è asserita in alcun modo, come sostenuto dal legale di parte, la non illiceità dei trattamenti effettuati.

RILEVATO che la Associazione in qualità di co-titolare del trattamento ai sensi dell’art. 4, comma 1, lett. f), e 28 del Codice, sulla base delle considerazioni sopra richiamate, risulta aver commesso: 

- ai sensi dell’art. 161 del Codice, la violazione dell’art. 13 del Codice medesimo per il mancato rilascio di un'idonea informativa per la comunicazione di dati personali degli iscritti a soggetti terzi;

- ai sensi dell’art. 162, comma 2-bis, del Codice, la violazione dell’art. 23 del medesimo Codice per la mancata acquisizione di un consenso liberamente manifestato in ordine alla comunicazione dei dati degli interessati alla società E-CARE S.p.A.;

- ai sensi dell’art. 162, comma 2-bis, del Codice, la violazione dell’art. 130 del Codice medesimo per la mancata acquisizione di un consenso specifico in ordine all'invio delle comunicazioni indesiderate mediante pec ai professionisti sopra menzionati;

VISTO l'art. 161 del Codice, che punisce la violazione dell'art. 13, con la sanzione amministrativa del pagamento di una somma da euro 6.000,00 a 36.000,00;

VISTO l'art. 162, comma 2-bis del Codice, che punisce la violazione delle disposizioni indicate nell'art. 167, che richiama l'art. 23, con la sanzione amministrativa del pagamento di una somma da euro 10.000,00 a euro 120.000,00;

VISTO l'art. 162, comma 2-bis del Codice, che  punisce la violazione delle disposizioni indicate nell'art. 167, che richiama l'art. 130, con la sanzione amministrativa del pagamento di una somma da euro 10.000,00 a euro 120.000,00;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge n. 689/1981, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a) in ordine all’aspetto della gravità con riferimento agli elementi dell’entità del pregiudizio o del pericolo e dell’intensità dell’elemento psicologico la violazioni contestata non risulta connotata da elementi specifici;

b) circa la personalità dell’autore della violazione, deve essere considerata la circostanza che la associazione non risulta gravata da precedenti procedimenti sanzionatori;

c) in merito alle condizioni economiche dell’agente, non risultano presentati bilanci o dichiarazioni reddituali;

RITENUTO, quindi, di dover determinare, ai sensi dell’art. 11 della legge n. 689/1981, l’ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura minima di euro 6.000,00 (seimila) per la violazione di cui all’art. 161 in relazione all’art. 13 del Codice e nella misura minima di euro 10.000,00 (diecimila) per ciascuna delle due violazioni riferite, rispettivamente, all’art. 23 e all'art. 130 del Codice, per un ammontare complessivo pari a euro 26.000,00 (ventiseimila);

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981, n. 689 e successive modificazioni e integrazioni;

VISTO l’art. 1, comma 2, della legge sopra citata, ai sensi del quale le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e per i tempi in esse considerati;

VISTE le osservazioni dell’Ufficio formulate dal Segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la dott.ssa Augusta Iannini;

ORDINA

a Associazione “MEVALAUTE ONLUS”, C.F. 97858990589, in persona del legale rappresentante pro tempore, con sede legale in Roma, Via Nizza 45 di pagare la somma di euro 26.000,00 (ventiseimila), a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; 

INGIUNGE

di pagare la somma di euro 26.000,00 (ventiseimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689. 

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero. 

Roma, 26 luglio 2018

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia