g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Runwhip s.r.l. - 25 novembre 2021 [9738356]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

- VEDI ANCHE NEWSLETTER DEL 31 GENNAIO 2022

[doc. web n. 9738356]

Ordinanza ingiunzione nei confronti di Runwhip s.r.l. - 25 novembre 2021

Registro dei provvedimenti
n. 414 del 25 novembre 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale ha preso parte la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

RILEVATO che l’Ufficio, con atto n. 13225/21 del 9 marzo 2021 (notificato dalla Guardia di Finanza il 4 maggio 2021), che qui deve intendersi integralmente riportato, ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento nei confronti di Runwhip s.r.l. (di seguito “Runwhip” o “la Società”), in persona del legale rappresentante pro-tempore, con sede legale in Verolanuova (BS), via Zanardelli 5/bis, C.F. 03605920986;

RILEVATO che, dall’esame degli atti del procedimento amministrativo, è emerso, in sintesi, quanto segue:

- con reclamo del 22 febbraio 2019, avanzato a questa Autorità ai sensi dell’art. 77 del Regolamento, l’avv. XX, rappresentando di aver ricevuto numerosi sms indesiderati con mittente “Dorelan”, ha lamentato l’impossibilità di esercitare a pieno i propri diritti di accesso ai dati e di opposizione;

- l’avv. XX ha ricostruito, allegando pertinente documentazione, gli scambi intercorsi con la B&T S.p.A. (di seguito, B&T), titolare del marchio Dorelan e soggetto identificato dal link in calce agli sms. Da tali interlocuzioni è emerso che la B&T si era dichiarata estranea al materiale invio degli sms, cui avrebbe provveduto per suo conto un terzo (non menzionato), ed aveva invitato il reclamante ad inserire il suo numero di telefono al link https://www.smsspot.it/privacy-cancellazione/ oppure a scrivere all’indirizzo supporto@smsspot.it. Proprio da quest’ultimo indirizzo, inserito per conoscenza negli scambi intercorsi, è pervenuta un’ulteriore risposta al reclamante a nome della Società Aimon S.r.l. che si è qualificata “responsabile esterno, in quanto…si rivolge a fornitori di Database”. Anche Aimon non ha fornito indicazioni in merito al detentore della banca dati, da lei qualificato come titolare del trattamento, ma si è limitata a comunicare al reclamante che le sue richieste sarebbero state inoltrate all’indirizzo privacy@runwhip.com. Dalla documentazione in atti, non risulta che da quest’ultimo indirizzo sia mai pervenuto riscontro al reclamante;

- l’Ufficio, con nota del 7 novembre 2019, ha trasmesso il reclamo a tutti i soggetti coinvolti (B&T, Aimon e Runwhip S.r.l.) chiedendo di fornire osservazioni in merito a quanto rappresentato; Runwhip non ha mai fornito riscontro a tale richiesta il cui invio pertanto è stato reiterato a mezzo posta elettronica certificata, ai sensi dell’art. 157 del Codice, con nota prot. 45160/19 del 24 dicembre 2019;

- non essendo pervenuta alcuna risposta a tale ultima richiesta, l’Ufficio ha provveduto a comunicare a Runwhip l’avvio del procedimento amministrativo finalizzato all’adozione dei provvedimenti correttivi e sanzionatori previsti dall’art. 58, par. 2, del Regolamento, invitando la medesima società a far pervenire entro trenta giorni scritti difensivi ovvero richiesta di audizione innanzi al Garante; dati i precedenti omessi riscontri alle comunicazioni notificate a mezzo pec, l’atto di avvio del procedimento è stato notificato dalla Guardia di Finanza il 4 maggio 2021;

- dalla documentazione contrattuale prodotta da Aimon (cfr. contratto tra Aimon e Runwhip sottoscritto il 5 ottobre 2018) è emerso che l’accordo fra le due Società prevedeva che Runwhip agisse quale “intermediario” fra Aimon stessa e il list provider Blade Consulting Sagl per l’acquisizione di una lista di potenziali destinatari di attività promozionale;

RILEVATO che con il richiamato atto del 9 marzo 2021, notificato il 4 maggio 2021, è stata contestata alla Società la violazione dell’art. 157 del Codice, dalla quale può derivare l’applicazione della sanzione prevista dall’art. 83, par. 5 del Regolamento, richiamata dall’art. 166, comma 2, del Codice, ed è stato altresì comunicato l’avvio del procedimento per l’adozione dei relativi provvedimenti correttivi;

PRESO ATTO che la Società non ha presentato scritti difensivi né ha richiesto di essere ascoltata dall’Autorità;

RILEVATO che i reiterati mancati riscontri della Società non hanno consentito di acquisire un quadro di informazioni completo aggravando sensibilmente l’attività istruttoria;

RILEVATO che già in un precedente procedimento avviato dall’Autorità, per doglianze analoghe, la Società aveva tenuto la medesima condotta omissiva, dovendosi di conseguenza adottare il provvedimento prescrittivo e sanzionatorio n. 12 del 23 gennaio 2020 (in www.garanteprivacy.it, doc web 9284622);

RITENUTA ormai superata la necessità di acquisire un riscontro alla richiesta di informazioni del Garante del 24 dicembre 2019, essendo stato chiuso il procedimento avviato con il reclamo, ma riservandosi ogni ulteriore approfondimento in ordine alla liceità dei trattamenti svolti dalla Società stessa;

RILEVATO che l’omesso riscontro alla richiesta di informazioni di cui al precedente punto, configurando la violazione dell’art. 157 del Codice, impone l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Runwhip della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento;

VISTI gli artt. 166, comma 2, del Codice e 83, par. 5, del Regolamento che, per la violazione sopra richiamata, prevede l’applicazione della sanzione amministrativa del pagamento di una somma fino a € 20.000.000 ovvero, per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento;

CONSIDERATO che, nel caso in esame, assumono rilevanza:

a. la gravità della violazione (art. 83, par. 2, lett. a) del RGPD), in ragione del reiterato, mancato riscontro alle richieste del Garante (segnatamente, all’invito ad aderire del 7 novembre 2019, alla richiesta di informazioni del 24 dicembre 2019 e alla comunicazione di avvio del procedimento notificata il 4 maggio 2021);

b. il carattere gravemente negligente, e apparentemente anche doloso, della condotta (art. 83, par. 2, lett. b) del Regolamento), poiché la Società non ha tenuto in alcun conto delle conseguenze che potevano derivare dal mancato riscontro alle richieste del Garante, anche sotto il profilo della completa istruzione del procedimento sul reclamo;

c. la mancata adozione di misure atte a mitigare o a eliminare le conseguenze della violazione (art. 83, par. 2, lett. c) del RGPD), poiché anche a seguito dell’avvio del procedimento sanzionatorio Runwhip non ha intrapreso alcuna iniziativa;

d. l’esistenza di una precedente violazione pertinente di cui si è dato atto con il provvedimento del 23 gennaio 2020 (art. 83, par. 2, lett. e) del RGPD);

e. il mancato rispetto di tale provvedimento, dal momento che, ad oggi, non risulta che la Società abbia fornito riscontro in merito all’adempimento degli ordini impartiti dall’Autorità (art. 83, par. 2, lett. i) del RGPD)

d.la mancata cooperazione con l’Autorità (art. 83, par. 2, lett. f) del Regolamento);

e. le condizioni economiche del contravventore (art. 83, par. 2, lett. k) del Regolamento), tenuto conto del valore della produzione e dell’utile di esercizio con riferimento al bilancio abbreviato per l’anno 2017;

RITENUTO che, in base al complesso degli elementi sopra indicati, e ai principi di effettività, proporzionalità e dissuasività indicati nell’art. 83, par. 1, del Regolamento, debba applicarsi a Runwhip la sanzione amministrativa del pagamento di una somma di euro 90.000,00 (novantamila);

RITENUTO altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della condotta della Società e dell’elevato numero dei soggetti potenzialmente coinvolti nei trattamenti dalla stessa effettuati;

RILEVATO che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;   

TUTTO CIÒ PREMESSO IL GARANTE

accertata nei confronti di Runwhip s.r.l., in persona del legale rappresentante pro-tempore, con sede legale in Verolanuova (BS), via Zanardelli 5/bis, C.F. 03605920986, la violazione dell’art. 157 del Codice per le motivazioni descritte in premessa

ORDINA

a Runwhip s.r.l., in persona del legale rappresentante pro-tempore, con sede legale in Verolanuova (BS), via Zanardelli 5/bis, C.F. 03605920986, di pagare la somma di euro 90.000,00 (novantamila) a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, mediante il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 90.000,00 (novantamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

a) ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate;

b) ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento nel sito web del Garante.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 25 novembre 2021

IL VICEPRESIDENTE
Cerrina Feroni

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei