Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di OneDirect S.r.l. - 25 marzo 2021 [9577323]

 

VEDI NEWSLETTER DEL 27 APRILE 2021

[doc. web n. 9577323]

Ordinanza ingiunzione nei confronti di OneDirect S.r.l. - 25 marzo 2021

Registro dei provvedimenti
n. 113 del 25 marzo 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

Sono pervenuti al Garante, ai sensi dell’art. 77 del Regolamento, i reclami della dottoressa XX, in data 14 novembre 2018, e del signor XX, il 15 gennaio 2019, con i quali è stata lamentata la ricezione di diverse comunicazioni promozionali via e-mail da parte di OneDirect S.r.l. (di seguito, “OneDirect” o “la Società”) nonostante l’opposizione manifestata via pec (anche a mezzo diffida di avvocato nel caso del signor XX). Inoltre, i reclamanti hanno lamentato l’impossibilità di interrompere gli invii tramite il tasto unsubscribe delle e-mail e l’assoluta mancanza di riscontro alle richieste di esercizio dei diritti previsti dagli artt. 15 ss del Regolamento.

Sulla base di tali istanze, l’Ufficio ha inviato due diverse richieste di informazioni, in data 21 febbraio 2019 e 6 maggio 2019, rimaste inevase nonostante l’avvenuta corretta ricezione. Si è pertanto provveduto a inoltrare nuovamente tali richieste ai sensi dell’art. 157 del Codice, anche queste correttamente ricevute, in data 21 maggio 2019 e 26 giugno 2019, ma non riscontrate. Si è pertanto dovuto procedere incaricando il Nucleo speciale privacy della Guardia di Finanza di acquisire tutte le informazioni richieste dal momento che anche le comunicazioni di avvio del procedimento sanzionatorio per violazione dell’art. 157 del Codice, correttamente recapitate il 26 giugno e il 30 luglio 2019, erano rimaste prive di riscontro.

Nell’ambito degli accertamenti in loco effettuati il 5 e 6 novembre 2019:

- è stata verificata la corretta ricezione delle istanze dei reclamanti e la relativa assenza di risposta; analogamente è stata verificata la corretta ricezione delle richieste inviate dal Garante: la Società ha dichiarato in merito che l’accesso alla casella pec è consentito al legale rappresentante e ad altri quattro incaricati mentre, nel periodo ottobre 2018/ maggio 2019, la gestione della stessa era affidata anche ad una dipendente che ha cessato il proprio rapporto lavorativo in data 23 maggio 2019;

- con riguardo agli specifici casi oggetto di reclamo, la Società ha dichiarato che l’attività di marketing è affidata alla capogruppo francese OneDirect S.A., che opera quale responsabile del trattamento di cui OneDirect è titolare; è stato verificato che, alla data dell’accertamento, i dati della dottoressa XX non risultavano presenti nei sistemi (pur avendo quest’ultima lamentato almeno 16 invii) mentre, con riguardo al signor XX, risultava presente l’indirizzo e-mail con un consenso valorizzato a “faux” (negativo) ma nessun invio di e-mail risultava effettuato dalla piattaforma verso quell’indirizzo negli ultimi tredici mesi (pur avendo il reclamante lamentato 3 invii); la Società pertanto si era riservata di effettuare ulteriori verifiche.

OneDirect, il 21 novembre 2019, ha fatto pervenire al Nucleo speciale privacy la documentazione integrativa oggetto di riserva, dalla quale è emerso che:

il 20 novembre 2019 la Società ha richiesto ai reclamanti di inoltrare i file delle e-mail oggetto di contestazione per effettuare ulteriori verifiche utili a comprendere l’origine dei dati e le modalità di invio; a tale richiesta, la dottoressa XX risulta aver dato risposta il giorno successivo ma non sono pervenute al Garante integrazioni in merito alle verifiche che la Società avrebbe dovuto effettuare;

la Società ha inviato un registro delle attività di trattamento redatto dalla capogruppo francese OneDirect SA – nominata responsabile rispetto ai trattamenti di cui OneDirect è titolare – ma non ha fatto pervenire il proprio registro dei trattamenti, malgrado questo fosse espressamente oggetto di riserva.

Pertanto, in data 30 ottobre 2020 è stata inviata alla Società la comunicazione di avvio del procedimento ai sensi dell’art. 166, comma 5 del Codice.

Inoltre, con note del 26 giugno e del 30 luglio 2019 era già stato contestato alla Società il mancato riscontro alle richieste inviate dal Garante ai sensi dell’art. 157 del Codice.

Il 28 novembre 2020 la Società ha fatto pervenire una memoria difensiva rappresentando che:

- non sono stati forniti riscontri alle richieste dei reclamanti e a quelle del Garante perché la casella pec “non veniva monitorata per criticità interne alla società”; si è dunque provveduto ad allontanare alcuni dipendenti e a modificare l’assegnazione delle mansioni;

- per le istanze di esercizio dei diritti, gli interessati possono comunque utilizzare il form presente nella sezione “contattaci” del sito web www.onedirect.it come indicato anche nell’informativa;

- con riguardo all’indirizzo e-mail del signor XX, non è stato possibile comprendere come mai questo sia stato oggetto di comunicazioni promozionali nonostante il diniego registrato nei sistemi; la Società ha dunque ipotizzato che il signor XX possa aver concesso il consenso utilizzando un altro indirizzo e-mail dal quale avrebbe poi effettuato un reindirizzamento all’account e-mail che di fatto riceve i lamentati messaggi; pur avendo richiesto conferma in tal senso al reclamante, questi non ha fatto pervenire risposta, pertanto la Società non è in grado di effettuare ulteriori indagini;

- con riguardo all’indirizzo e-mail della signora XX, questo non sarebbe riconducibile ad una persona fisica, dal momento che si tratta di un dato di contatto generico di uno studio professionale, e pertanto non sarebbe da considerare come dato personale; inoltre, i dati della reclamante non risultano presenti negli archivi della Società e “non si è in grado, pertanto, di risalire all’origine del dato e, anche in questo caso, l’email destinataria potrebbe essere un semplice redirect”;

- pur evidenziando che si è trattato di soli due casi, “la società ha però immediatamente preso consapevolezza della fallacità dei Suoi sistemi di gestione dei dati personali e firmato il contratto…con l’intestato studio al fine di un adeguamento completo alla normativa in vigore”.

2. VALUTAZIONI DI ORDINE GIURIDICO

Con riferimento ai profili fattuali sopra evidenziati, anche in base alle affermazioni della Società, di cui il dichiarante risponde ai sensi dell’art. 168 Codice, si formulano le seguenti valutazioni in relazione ai profili riguardanti la disciplina in materia di protezione dei dati personali.

2.1 Sull’invio di comunicazioni promozionali senza consenso.

La Società ha inviato diversi messaggi promozionali ai reclamanti senza essere in grado di documentare l’acquisizione di un idoneo consenso. Nel caso del signor XX è risultata la presenza dei dati nei sistemi ma non il suo consenso; nel caso della signora XX, invece, non risultava presente alcun dato, eppure la stessa ha documentato la ricezione di numerose e-mail. Quest’ultima, inoltre, risulta aver risposto alla richiesta di inviare copia delle e-mail ricevute, che la Società ha fatto per disporre ulteriori verifiche. Tuttavia, gli esiti di tali verifiche non sono mai stati resi noti al Garante, né si è data conferma della concreta effettuazione delle stesse, nonostante tale impegno fosse oggetto di riserva durante l’accertamento ispettivo condotto dal Nucleo privacy.

In tali termini, pare poco plausibile l’ipotesi di un reindirizzamento fatto da entrambi i reclamanti verso gli indirizzi e-mail che hanno ricevuto le lamentate comunicazioni; peraltro i reclamanti si sono più volte, invano, opposti alla ricezione di messaggi promozionali e di certo, dopo tale opposizione, alcun consenso poteva ritenersi sussistente.

Infine, con riguardo all’eccezione sollevata dalla Società nella memoria difensiva, relativa alla natura non personale dell’indirizzo e-mail della signora XX, si osserva che l’art. 130 del Codice tutela espressamente il “contraente”: tali sono, ai sensi dell’art. 121, comma 1-bis, lett. f) del Codice, anche le persone giuridiche per le quali sono previste, nel Titolo X, garanzie analoghe a quelle rivolte agli interessati persone fisiche .

Ciò premesso, stante l’avvenuto invio di e-mail promozionali in assenza di un idoneo consenso, si ritiene integrata la violazione degli artt. 6, par. 1, lett. a) e 7, par. 1 del Regolamento, nonché dell’art. 130, commi 1 e 2 del Codice e si rende necessario, ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, rivolgere un ammonimento alla OneDirect circa l’illiceità di tale trattamento dovendo altresì imporre, ai sensi dell’art. 58, par. 2, lett. f) il divieto di utilizzare per finalità promozionali i dati personali che la Società ha acquisito senza poter documentare l’esistenza di un idoneo consenso.
Inoltre, stante la rilevata mancanza di controllo in merito all’invio dei messaggi promozionali e il conseguente difetto di adeguati interventi correttivi prospettati dalla Società, si ritiene sussistano i presupposti per l’applicazione di una sanzione amministrativa pecuniaria ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento.

2.2 Sul mancato riscontro all’esercizio dei diritti di cui agli artt. 15 e ss..

Oltre alla ricezione di e-mail promozionali, i reclamanti hanno lamentato anche l’impossibilità di interrompere l’arrivo di comunicazioni indesiderate. In particolare, il signor XX ha riportato come sia stato vano ogni tentativo di interrompere gli invii selezionando il tasto unsubscribe posto in calce alle mail dovendo, pertanto, richiedere al proprio avvocato di inviare alla società due diffide a mezzo pec.

La signora XX, invece, ha rappresentato di aver trasmesso al titolare una richiesta a mezzo pec, continuando tuttavia a ricevere messaggi promozionali.

Entrambi hanno dichiarato di non aver avuto alcun tipo di riscontro alle richieste fatte.

Come è emerso dagli accertamenti svolti, il titolare ha correttamente ricevuto le pec ma non ha fornito riscontro in quanto la casella di posta non sarebbe stata monitorata per diversi mesi.

Nell’articolare la propria difesa, la Società ha eccepito che il corretto canale attraverso cui gli interessati possono esercitare i propri diritti è indicato nell’informativa privacy pubblicata nel sito web www.onedirect.it dove viene suggerito di avvalersi del modulo presente al link “contattaci”. Se, dunque, i reclamanti avessero utilizzato tale canale invece delle pec, avrebbero, a suo dire, avuto risposta.

A tal riguardo occorre tuttavia svolgere le seguenti osservazioni:

- alcune delle comunicazioni allegate risalgono anche al 2018 e, in mancanza di specifiche indicazioni in merito da parte della Società, non è dato sapere se all’epoca fosse vigente la stessa informativa e la stessa modalità di contatto;

- esaminando il contenuto delle e-mail ricevute dai reclamanti, allegate alle istanze, si evince che le uniche informazioni di contatto presenti erano la denominazione sociale, il numero di partita IVA, l’indirizzo fisico e il numero di telefono e fax. Non era presente invece alcuna indicazione in merito all’indirizzo, o anche solo all’esistenza, di un sito web; pertanto, l’unico modo di individuare in maniera certa un canale di comunicazione era la ricerca dell’indirizzo pec, rinvenibile nei pubblici registri a partire dalla partita IVA e dalla denominazione sociale;

- se anche, all’epoca dei fatti, fosse stato attivo il canale indicato dalla Società, questo di certo non è stato reso noto ai reclamanti con lo stesso mezzo con cui sono stati contattati; gli stessi, dunque, si sono avvalsi degli ordinari mezzi di contatto, cui la pubblicazione in appositi registri conferisce certezza;

- infine, il tasto unsubscribe presente in calce alle mail non è risultato comunque funzionante, dal momento che il signor XX ha continuato a ricevere i messaggi indesiderati, e nulla ha dichiarato in merito la Società.

Ne consegue che la mancanza di indicazioni chiare, all’interno delle stesse e-mail, circa le modalità con cui contattare la Società, unitamente alla mancanza di adeguate misure tecniche e organizzative, che avrebbero dovuto consentire il funzionamento del tasto unsubscribe e il corretto monitoraggio della posta elettronica, hanno provocato l’impossibilità per i reclamanti di esercitare i propri diritti, comportando altresì l’invio di comunicazioni promozionali anche in presenza di una espressa opposizione (da considerarsi aggiuntiva alla mancanza di un consenso ab origine).

Per tali ragioni si ritengono integrate le violazioni degli artt. 12 e 24 del Regolamento e - tenuto conto dell’incarico conferito al legale di rivedere i processi aziendali e delle assicurazioni fornite in merito alle modifiche organizzative apportate - si rende necessario, ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, rivolgere un ammonimento alla Società in merito alla necessità di garantire agli interessati l’esistenza e la conoscenza dei canali di contatto e delle modalità con cui esercitare i propri diritti.

Pur tenuto conto delle assicurazioni fornite dal titolare in merito alla futura gestione e controllo della corrispondenza, si ritiene di dover comunque ingiungere al titolare del trattamento di adottare con immediatezza le misure organizzative necessarie per fornire tempestivo riscontro alle richieste degli interessati nei termini previsti dall’art. 12 del Regolamento.

2.3 Sul registro delle attività di trattamento.

Come ricostruito in premessa, durante l’accertamento ispettivo delegato alla Guardia di Finanza, la Società ha fatto riserva di esibire il registro delle attività di trattamento. Tuttavia, in sede di integrazione della documentazione, ha prodotto esclusivamente il registro istituito dalla controllante francese OneDirect S.A. che opera quale responsabile del trattamento.

Con la comunicazione di avvio del procedimento del 30 ottobre 2020, è stata contestata alla Società la mancanza di un registro delle attività di trattamento. La memoria difensiva pervenuta in replica non contiene alcuna menzione al riguardo non chiarendo neanche se esista tale registro (che, in ogni caso, non è stato mai esibito). Inoltre, viene allegato un contratto con il quale si incarica lo studio legale XX di adeguare i trattamenti alla normativa vigente. Tra le voci presenti in tale contratto è prevista un’attività di “revisione registro del trattamento ex art. 30 regolamento UE 2016/679”.

Pertanto, non essendo stata documentata l’esistenza del registro delle attività di trattamento del titolare, si deve ritenere integrata la violazione dell’art. 30 del Regolamento e si rende necessario, infliggere una sanzione amministrativa-pecuniaria ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento.

2.4 Sul grado di cooperazione con l’Autorità e l’accountability del titolare del trattamento.

Come ricostruito in premessa, l’Ufficio ha più volte cercato di contattare la Società per chiedere informazioni in merito ai trattamenti lamentati, senza ottenere mai riscontro perché, come visto, la casella pec non veniva controllata da mesi. È stato pertanto necessario incaricare il Nucleo speciale privacy della Guardia di Finanza di acquisire, tramite apposito accertamento ispettivo, le informazioni a suo tempo richieste.

Durante tale accertamento la Società non è stata in grado di documentare tutti i trattamenti e ha fatto riserva di integrare le informazioni entro 15 giorni. Tali integrazioni, tuttavia, sono risultate parziali non essendo pervenuti chiarimenti in merito alle verifiche effettuate dopo la risposta della signora XX e non essendo stato fornito, come detto, alcun chiarimento in merito alla presenza di un registro delle attività di trattamento. Tali informazioni non sono state rese neanche con la memoria difensiva del 28 novembre 2020 dove, tuttavia, si è affermato che l’impossibilità di accertare i trattamenti effettuati dovrebbe essere considerata quale elemento attenuante di una eventuale colpa.

Si ritengono pertanto integrate le violazioni dell’art. 31 del Regolamento e dell’art. 157 del Codice (quest’ultima violazione è già stata oggetto di contestazione con note di avvio del procedimento del 26 giugno e 30 luglio 2019) e si ritiene sussistano i presupposti per l’applicazione di una sanzione amministrativa pecuniaria ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento.

Inoltre, si deve ritenere che dette violazioni discendano dal mancato rispetto del principio di accountability, come già descritto al punto 2.2, non avendo il titolare dimostrato di aver messo in atto misure tecniche e organizzative adeguate. Per tali ragioni, tenuto conto che il titolare ha preso atto dell’insufficienza degli strumenti apprestati e che ha incaricato un legale di revisionare i processi di trattamento, ai sensi dell’art. 58, par. 2, lett. b), si ritiene di dover rivolgere al titolare un ammonimento in merito al fatto che l’insufficienza delle misure adottate ha comportato la violazione dell’obbligo di cooperazione con l’Autorità di controllo.

Le condotte descritte al presente punto, integranti le richiamate violazioni, non possono essere valutate compiutamente limitando l’osservazione ai soli casi oggetto di reclamo ma vanno invece esaminate nel più generale contesto delle attività poste in essere dalla OneDirect e, soprattutto, della complessiva capacità di quest’ultima di controllare i trattamenti effettuati al fine di garantire il rispetto dei diritti degli interessati.

Inoltre, la Società non ha dato prova di essere adeguatamente intervenuta per apportare misure correttive anzi, nel caso del registro dei trattamenti, non si è espressa affatto in merito ai rilievi fatti dall’Ufficio e non ha documentato in alcun modo le verifiche che avrebbe dovuto fare per giustificare il ripetuto invio di comunicazioni promozionali.

Per tali ragioni, integrate nei termini anzidetti le violazioni degli artt. 6, par. 1, lett. a), 7, par. 1, 30 e 31 del Regolamento, nonché dell’art. 130, commi 1 e 2 e 157 del Codice, si ritiene di dover adottare un’apposita ordinanza ingiunzione per l’applicazione delle sanzioni previste dall’art. 83, parr. 4 e 5, del Regolamento e dall’art. 166, comma 2 del Codice.

3. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

In base a quanto sopra rappresentato, risultano violate varie disposizioni del Regolamento e del Codice in relazione a trattamenti collegati effettuati da OneDirect, per cui occorre applicare l'art. 83, par. 3, del Regolamento, in base al quale, se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento viola, con dolo o colpa, varie disposizioni del Regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave con conseguenziale applicazione della sola sanzione prevista dall’art. 83, par. 5 del Regolamento.

Ai fini della quantificazione della sanzione amministrativa, per le violazioni di cui al punto 2, il citato art. 83, par. 5, nel fissare il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore, specifica le modalità di quantificazione della predetta sanzione, che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del  Regolamento), individuando, a tal fine, una serie di elementi, elencati al par. 2, , da valutare all’atto di quantificarne il relativo importo.

In adempimento di tale previsione, nel caso di specie, devono essere considerate le seguenti circostanze aggravanti:

1. il carattere sistemico delle violazioni rilevate che le rende dunque potenzialmente estese ad un vasto numero di interessati, tenuto conto della mancanza di adeguate misure tecniche e organizzative per un lungo periodo (art. 83, par. 2, lett. a) del Regolamento);

2. il grado di responsabilità del titolare del trattamento, da qualificarsi come gravemente colposo, tenuto conto che le misure organizzative descritte e la generale condotta non sono risultate adeguate alla diligenza attesa nell’effettuazione di attività di marketing, alla luce anche delle innumerevoli pronunce rese negli anni dal Garante da considerarsi ormai ampiamente note, almeno nei principi, ai titolari del trattamento (art. 83, par. 2, lett. b) e d) del Regolamento);

3. la scarsa collaborazione prestata nei confronti dell’Autorità, considerati - anche a voler ritenere dovute a cattiva organizzazione le mancate risposte alle varie richieste rivolte nel tempo - i lacunosi riscontri fatti avere in merito a diversi punti oggetto di istruttoria;

4. l’assenza di misure correttive proposte per evitare il ripetersi di eventi analoghi: la Società, infatti, non ha reso dichiarazioni in merito ad eventuali interventi correttivi che riguardino il trattamento in generale, tanto che si è reso necessario imporre il divieto di ulteriori invii di messaggi promozionali a soggetti di cui non sia dimostrata l’acquisizione del consenso, e non ha in alcun modo documentato l’esistenza del registro delle attività di trattamento (art. 83, par. 2, lett. c) del Regolamento);

5. l’esistenza di analoghe violazioni, conseguenti all’invio di e-mail promozionali in assenza di un documentato consenso, per le quali la Società era già stata destinataria del provvedimento di divieto del 13 maggio 2008, deliberato ai sensi della previgente disciplina.

Quali elementi attenuanti, si ritiene di dover tener conto:

1. della natura dei dati oggetto di violazione (dati comuni);

2. del basso livello di danno subito dai reclamanti, consistente nella ricezione di messaggi promozionali indesiderati e nell’impossibilità di opporsi ad essi;

3. dei dati del bilancio 2019, chiuso in rilevante perdita e con conseguente riduzione del personale dipendente, registrando anche per i primi mesi del 2020 una consistente riduzione del volume di affari in conseguenza dell’emergenza connessa alla pandemia in atto.

In una complessiva ottica di necessario bilanciamento fra diritti degli interessati e libertà di impresa, e in via di prima applicazione delle sanzioni amministrative pecuniarie previste dal Regolamento, occorre valutare prudentemente i suindicati criteri, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società.

Pertanto si ritiene che, in base al complesso degli elementi sopra indicati - tenuto conto che la sanzione edittale massima, individuata con riferimento al disposto dell’art. 83, comma 5, è pari al 4% del fatturato (che, nel caso di OneDirect, risulta inferiore ai 20 milioni di euro) - debba applicarsi alla OneDirect la sanzione amministrativa del pagamento di una somma pari a euro 30.000,00 (trentamila/00) e, in ragione degli elementi aggravanti rilevati, la sanzione accessoria della pubblicazione per intero del presente provvedimento nel sito web del Garante come previsto dall’art. 166, comma 7 del Codice e dall’art. 16 del regolamento del Garante n. 1/2019.

Si rileva che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Si ricorda che ai sensi dell’art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di limitazione definitiva del trattamento è punito con la reclusione da tre mesi a due anni e che, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e), del Regolamento.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara illecite le condotte descritte nei termini di cui in motivazione da parte di OneDirect S.r.l., con sede in Milano, via Tiziano 32, C.F. 05080100968 e, conseguentemente:

a) ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, vieta ogni ulteriore trattamento per finalità promozionali dei dati di cui non sia in grado di documentare l’esistenza di un idoneo consenso;

b) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce la predetta Società in ordine alla necessità di acquisire un consenso libero, specifico e preventivo degli interessati per l’invio di comunicazioni promozionali con modalità automatizzate nonché sulla necessità di garantire agli interessati l’esistenza e la conoscenza dei canali di contatto e delle modalità con cui esercitare i propri diritti;

c) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce in merito al fatto che l’insufficienza delle misure adottate ha comportato la violazione dell’obbligo di cooperazione con l’Autorità di controllo;

d) ai sensi dell’art. 58, par. 2, lett. d) del Regolamento ingiunge al titolare del trattamento di adottare con immediatezza le misure organizzative necessarie per fornire tempestivo riscontro alle richieste degli interessati nei termini previsti dall’art. 12 del Regolamento.

ORDINA

a OneDirect S.r.l., in persona del legale rappresentante pro-tempore, con sede legale in Milano, via Tiziano 32, C.F. 05080100968, di pagare la somma di euro 30.000,00 (trentamila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 30.000,00 (trentamila/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

a) ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate;

b) ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento nel sito web del Garante.

Il Garante, ai sensi dell’art. 58, par. 1, del Regolamento (UE) 2016/679, invita altresì il titolare del trattamento destinatario del provvedimento, a comunicare entro 30 giorni dalla data di ricezione del presente provvedimento, quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel presente provvedimento e di fornire comunque riscontro adeguatamente documentato. Si ricorda che il mancato riscontro alla richiesta ai sensi dell’art. 58 è punito con la sanzione amministrativa di cui all'art. 83, par. 5, lett. e), del Regolamento (UE) 2016/679.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 25 marzo 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei

 

_____________

(1) Cfr. anche il provvedimento del Garante del 20 settembre 2012, in www.garanteprivacy.it, doc. web n. 2094932