g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Soluzione Tasse S.p.A. - 24 giugno 2021 [9689637]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9689637]

Ordinanza ingiunzione nei confronti di Soluzione Tasse S.p.A. - 24 giugno 2021

Registro dei provvedimenti
n. 257 del 24 giugno 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale ha preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

Con reclamo del 29 ottobre 2019, presentato al Garante ai sensi dell’art. 77 del Regolamento, il sig. XX ha lamentato la ricezione, in date diverse, di tre e-mail aventi ad oggetto la ricerca di personale e provenienti, apparentemente, dall’indirizzo reclutamento@selezionecontabili.it. Tutte le e-mail, recavano nell’incipit la formula di saluto rivolta nominalmente a “XX”. Nessuna della tre comunicazioni risultava sottoscritta da un soggetto identificabile. La prima (del 28 marzo 2019) recava in calce l’indicazione “Dep. Human Resource – SelezioneContabili.it via Lungaggine, 28 Roma, Italia, 00100 Italy”; la seconda (del 20 maggio 2019) indicava “il team HR di Soluzione Tasse”; la terza (del 25 luglio 2019) solo la firma “il team HR”.

Il reclamante ha fatto presente che, non essendovi all’interno delle e-mail ricevute alcun riferimento che consentisse di individuare il titolare del trattamento, né link per la disicrizione, non aveva potuto fare altro che inviare una richiesta di esercizio dei diritti all’indirizzo reclutamento@selezionecontabili.it, risultante come mittente delle e-mail. Non avendo ottenuto alcuna risposta, il sig. XX ha inoltrato reclamo al Garante.

L’Ufficio, per poter identificare il titolare del trattamento, ha effettuato delle verifiche sugli header delle e-mail in questione, risalendo alla Soluzione Tasse S.r.l. (di seguito “Soluzione Tasse” o “la Società”) e al sito web www.soluzionetasse.com dove, pur essendo indicata come intestataria e referente la società Soluzione Tasse S.p.A., veniva menzionata quale titolare del trattamento la società Soluzione Tasse S.r.l., che però risultava cancellata dal registro delle imprese.

Pertanto, con nota del 16 giugno 2020 è stata inviata una richiesta di informazioni indirizzata ad entrambe le società (utilizzando l’indirizzo pec che dal registro delle imprese risultava riferito ad entrambe), chiedendo chiarimenti in merito a quanto rappresentato nel reclamo nonché agli effettivi ruoli in ordine al trattamento dei dati personali.

In mancanza di riscontro, la richiesta è stata reiterata ai sensi dell’art. 157 del Codice con pec del 14 ottobre 2020.

Con nota del successivo 5 novembre, la Soluzione Tasse S.p.A. ha dichiarato la sua assoluta estraneità alle condotte lamentate, precisando che l’indirizzo reclutamento@selezionecontabili.it “…come si evince dalla documentazione sottoposta, in realtà risulta fittizio ed è volto ad impedire l’identificazione e dissimulare l’effettiva email di provenienza, che corrisponde all’indirizzo: selezionecontabili.st@gmail.com” cui la Società ha inviato una mail di diffida.

Nulla è stato, invece, chiarito in merito alla titolarità del trattamento con particolare riguardo a quanto riportato nell’informativa privacy presente nel sito.

Tuttavia, dalle verifiche effettuate dall’Ufficio, come detto, era emersa una diretta responsabilità di Soluzione Tasse. Infatti, dall’esame degli header delle e-mail ricevute dal reclamante, che erano stati rimessi anche alla Società in allegato alla richiesta di informazioni, è stato possibile risalire alle diverse piattaforme utilizzate per l’invio. Tra queste, in particolare, è stata identificata quella messa a disposizione dalla XX. che, interpellata a riguardo, ha dichiarato che l’invio della e-mail del 20 maggio 2019 è stato richiesto dal sig.XX per conto di Soluzione Tasse S.r.l.; dalla visura camerale della Società il signor XX risulta essere procuratore speciale e pertanto una estraneità alle condotte lamentate è parsa difficilmente ipotizzabile.

Su tali presupposti, l’11 febbraio 2021 è stata notificata la comunicazione di avvio del procedimento ai sensi dell’art. 166, comma 5 del Codice.

Con la memoria difensiva del 13 marzo 2021, Soluzione Tasse ha preliminarmente dichiarato di aver provveduto a correggere l’informativa privacy nel proprio sito web eliminando ogni riferimento a Soluzione Tasse S.r.l., specificando che l’errata indicazione della forma giuridica è stata dovuta solo “a un mero refuso occorso all’atto della revisione della documentazione aziendale, resa necessaria dalle vicende di trasformazione da S.r.l. in S.p.A. che hanno interessato recentemente la Società”.

Con riguardo, invece, agli accertamenti svolti in merito all’invio delle e-mail, la Società ha chiarito che l’e-mail inviata tramite la piattaforma di XX non era stata richiesta dal procuratore della Società ma “….da un altro dipendente di Soluzione Tasse … il quale, all’atto dell’inserimento del pagamento dei servizi sulla piattaforma messa a disposizione dalla XX, ha utilizzato il nome del Sig. XX ed i dati della carta di pagamento a lui intestata. Il Sig. …, in ragione della propria funzione e qualifica, ha agito in maniera totalmente autonoma sia per quanto riguarda il reperimento dell’indirizzo del Dott. XX, sia per ciò che riguarda la scelta delle modalità di invio, alla sua casella di posta elettronica, delle comunicazioni che hanno dato vita al presente procedimento, disattendendo alle precise disposizioni aziendali ricevute in tema di invio di comunicazioni a mezzo mail a clienti o collaboratori. Per tali motivi Soluzione Tasse, successivamente all’apertura del presente procedimento, effettuate le verifiche rese necessarie dalle violazioni contestate dal Garante, ha provveduto a notificare al Sig. … una lettera di contestazione disciplinare ”.

La Società ha infine dichiarato di aver immediatamente provveduto a richiamare l’attenzione dei responsabili aziendali al rispetto delle norme in materia di protezione dei dati personali per effettuare qualsiasi tipo di contatto con clienti, consulenti e collaboratori (anche potenziali).

2. VALUTAZIONI DI ORDINE GIURIDICO

Con riferimento ai profili fattuali sopra evidenziati, anche in base alle affermazioni della Società di cui il dichiarante risponde ai sensi dell’art. 168 del Codice, si formulano le seguenti valutazioni in relazione ai profili riguardanti la disciplina in materia di protezione dei dati personali.

Sulla base di quanto ricostruito in premessa si evince una condotta della Società connotata da scarsa trasparenza con conseguente ostacolo all’esercizio dei diritti per l’interessato e all’attività istruttoria dell’Autorità. Si osserva, infatti, che il reclamante ha lamentato la ricezione di tre e-mail dal contenuto analogo, inviate nell’interesse di Soluzione Tasse in un arco temporale di alcuni mesi. L’ufficio, come descritto, ha accertato la responsabilità in capo alla Società con riguardo all’invio della sola e-mail del 20 maggio 2019 per la quale la Società ha attribuito la responsabilità ad una autonoma iniziativa di un proprio dipendente. Nulla è stato dichiarato in merito alle altre due e-mail di cui tuttavia appare palese la provenienza e l’interesse in capo alla stessa Soluzione Tasse, dato che sono tutte di contenuto pressoché identico e risultano inviate dal medesimo indirizzo e-mail apparente reclutamento@selezionecontabili.it, anche se l’invio è stato fatto utilizzando diverse piattaforme digitali.

Con riguardo alla e-mail oggetto di accertamento, la Società ha attribuito la condotta ad un’autonoma iniziativa di un proprio dipendente che avrebbe agito discostandosi dalle indicazioni aziendali. Anche tale giustificazione non è sufficiente ad escludere la responsabilità del titolare del trattamento. Innanzitutto perché non è stato in alcun modo descritto quali fossero le misure, adottate all’epoca dei fatti, che il dipendente avrebbe disatteso. Inoltre, perché pare poco plausibile la sussistenza di un interesse personale in capo al dipendente tale da spingerlo ad attivare un servizio a nome del procuratore della Società utilizzando dati, quali quelli della carta di pagamento, che dovrebbero essere conosciuti e conservati dal solo intestatario.

Come già descritto, i messaggi inviati erano privi di qualsiasi informazione in merito al mittente e lo stesso indirizzo di provenienza risultava modificato; peraltro, la prima e-mail ricevuta dal reclamante recava in calce il riferimento ad un sito web inesistente (soluzionecontabili.it) e ad un indirizzo fisico di fantasia (via della Lungaggine, Roma). Per tali ragioni è risultato impossibile per l’interessato esercitare il diritto di accesso ai dati, avendo questi potuto tentare unicamente l’invio di una e-mail all’indirizzo apparente reclutamento@selezionecontabili.it senza ottenere alcun riscontro. Allo stesso tempo, la mancanza di trasparenza e collaborazione ha comportato un aggravio delle indagini da parte dell’Ufficio per identificare il titolare del trattamento.

Per quanto su esposto, si ritiene integrata la violazione degli artt. 5, par. 1, lett. a), 12 e 15 del Regolamento e si rende necessario, ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, rivolgere un ammonimento alla Società in merito alla illiceità della condotta posta in essere dovendo altresì infliggere una sanzione amministrativa-pecuniaria ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento.

Infine, tenuto conto che allo stato non risulta che la Società abbia fornito riscontro alle richieste del reclamante di conoscere l’origine dei dati ed avere conferma della presenza di un eventuale consenso al trattamento, si ritiene necessario, ai sensi dell’art. 58, par. 2, lett. c), di ingiungere alla Soluzione Tasse di soddisfare le richieste del reclamante.

3. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

In base a quanto sopra rappresentato, risultando violati gli artt. 5, 12 e 15 del Regolamento, si rende applicabile la sanzione prevista dall’art. 83, par. 5 del Regolamento.

Ai fini della quantificazione della sanzione amministrativa, per le violazioni di cui al punto 2, il citato art. 83, par. 5, nel fissare il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore, specifica le modalità di quantificazione della predetta sanzione, che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del  Regolamento), individuando, a tal fine, una serie di elementi, elencati al par. 2, , da valutare all’atto di quantificarne il relativo importo.

In adempimento di tale previsione, nel caso di specie, devono essere considerate le seguenti circostanze aggravanti:

1. la durata della violazione, dato che l’invio delle e-mail è stato effettuato con cadenza periodica nell’arco di quattro mesi senza che il reclamante riuscisse mai a rivolgersi al titolare del trattamento e dovendo, di conseguenza, presentare reclamo al Garante per tutelare i propri diritti; pare, dunque, lecito presumere che, in assenza di un intervento dell’Autorità, la condotta si sarebbe potuta protrarre o ripetere;

2. il grado di responsabilità del titolare del trattamento, da qualificarsi come gravemente negligente, tenuto conto che la Società non è stata in grado di dimostrare la propria estraneità ai fatti lamentati e considerato che la stessa, stando a quanto dichiarato, non aveva contezza delle attività svolte per proprio conto fino all’intervento del Garante; si deve inoltre tener conto anche delle informazioni scorrette riportate nell’informativa privacy in merito alla denominazione sociale del titolare che, pur se confinabili ad un mero errore nella forma giuridica, hanno contribuito a rappresentare un quadro di scarso interesse per la tutela dei diritti degli interessati, tanto che si è dato atto dell’intervento correttivo solo dopo reiterate richieste da parte dell’Autorità;

3. il grado di cooperazione con l’Autorità di controllo, tenuto conto che la Società non ha fornito alcuna risposta alla richiesta di informazioni del 16 giugno 2020 (inviata via pec e regolarmente recapitata), né ha mai fornito alcuna spiegazione in merito a tale mancato riscontro; allo stesso tempo, la risposta fornita con nota del 5 novembre 2020, con la quale la Società si è limitata a disconoscere le e-mail inviate senza effettuare più approfondite verifiche (pur avendo a disposizione le email complete di header), ha comportato un’ulteriore dilazione dei tempi dell’istruttoria; infine, anche con riguardo ai chiarimenti richiesti dall’Ufficio in merito alle informazioni rese con l’informativa privacy pubblicata nel sito web, la Società ha reso riscontro solo dopo aver ricevuto la nota dell’11 febbraio 2021 con la quale è stato notificato l’avvio del procedimento; in tale contesto, la mancanza di collaborazione ha comportato un aggravio dell’attività istruttoria, dal momento che l’Ufficio, per accertare i fatti e le responsabilità, ha dovuto attivare ulteriori modalità di indagine, in luogo della prevista ordinaria cooperazione dei titolari del trattamento;

4. la mancata adesione alle richieste del reclamante dato che, allo stato, non risulta che la Società abbia mai risposto alle richieste formulate dall’interessato.

Quali elementi attenuanti, si ritiene di dover tener conto:

1. della natura dei dati oggetto di violazione (dati comuni);

2. delle misure correttive adottate dal titolare del trattamento;

3. del basso livello di danno subìto dal reclamante, consistente nella ricezione di messaggi contenenti, a quanto è dato comprendere, delle offerte di collaborazione professionale, pur essendo impossibile opporsi ad esse e ricevere informazioni in merito al trattamento;

4. il numero particolarmente esiguo di soggetti coinvolti, essendo pervenuto al Garante, allo stato, solo il reclamo del sig. XX;

5. l’assenza di precedenti procedimenti avviati a carico della Società.

In una complessiva ottica di necessario bilanciamento fra diritti degli interessati e libertà di impresa, e in via di prima applicazione delle sanzioni amministrative pecuniarie previste dal Regolamento, occorre valutare prudentemente i suindicati criteri, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società.

Pertanto si ritiene che, in base al complesso degli elementi sopra indicati - tenuto conto che la sanzione edittale massima, individuata con riferimento al disposto dell’art. 83, comma 5, è pari al 4% del fatturato (che, nel caso di Soluzione Tasse risulta inferiore ai 20 milioni di euro) - debba applicarsi alla Società la sanzione amministrativa del pagamento di una somma pari a euro 30.000,00 (trentamila/00) e, anche in ragione degli elementi aggravanti rilevati, la sanzione accessoria della pubblicazione per intero del presente provvedimento nel sito web del Garante come previsto dall’art. 166, comma 7 del Codice e dall’art. 16 del regolamento del Garante n. 1/2019.

Si rileva che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Si ricorda che, in caso di inosservanza dell’ordine impartito con il presente provvedimento, è altresì applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e), del Regolamento.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecito il trattamento descritto nei termini di cui in motivazione da parte di Soluzione Tasse S.p.A., con sede in Milano, via San Gregorio, 55, C.F e P.IVA 13812361007 e, conseguentemente:

a) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce detta Società sulla necessità di trattare i dati personali in modo lecito, corretto e trasparente;

b) ai sensi dell’art. 58, par. 2, lett. c) del Regolamento, ingiunge di soddisfare le richieste dell’interessato di conoscere l’origine dei dati e la presenza di un eventuale consenso al trattamento.

ORDINA

a Soluzione Tasse S.p.A., con sede in Milano, via San Gregorio, 55, C.F e P.IVA 13812361007, di pagare la somma di euro 30.000,00 (trentamila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 30.000,00 (trentamila/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

a) ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate;

b) ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento nel sito web del Garante.

Il Garante, ai sensi dell’art. 58, par. 1, del Regolamento (UE) 2016/679, invita altresì il titolare del trattamento, a comunicare entro 30 giorni dalla data di ricezione del presente provvedimento, quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel presente provvedimento e di fornire comunque riscontro adeguatamente documentato. Si ricorda che il mancato riscontro alla richiesta ai sensi dell’art. 58 è punito con la sanzione amministrativa di cui all'art. 83, par. 5, lett. e), del Regolamento (UE) 2016/679.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 24 giugno 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei