[doc. web n. 9925674]

Provvedimento del 18 luglio 2023

Registro dei provvedimenti
n. 323 del 18 luglio 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA

Con il reclamo del 9 gennaio 2023, presentato a questa Autorità ai sensi dell’art. 77 del Regolamento, la signora XX ha lamentato la ricezione, “negli anni”, e da ultimo in data 1° dicembre 2022, di chiamate promozionali per conto della Maximum International Corp. S.r.l. (di seguito anche «Maximum» o «Società») in assenza di uno specifico consenso al marketing e anche dopo l’opposizione manifestata nel corso dei contatti indesiderati. Inoltre la reclamante ha rappresentato di non aver ottenuto riscontro all’istanza di esercizio dei diritti di accesso e cancellazione dei dati personali (di cui agli artt. 15 e 17 del Regolamento) avanzata il 2 dicembre 2022. 

In risposta alla richiesta di informazioni del 19 gennaio 2023, formulata dall’Autorità ai sensi dell’art. 157 del Codice (prot. n. 08991/23), la Società, con comunicazione del 16 febbraio 2023, ha dichiarato di non “vendere direttamente ai privati” e di avvalersi, per l’effettuazione dell’attività promozionale, di “agenzie concessionarie indipendenti ognuna con la propria natura giuridica”, non potendo, quindi, “rispondere in merito all’organizzazione commerciale di ognuna di esse”.

In data 7 aprile 2023 la reclamante ha lamentato la ricezione di un’ulteriore telefonata indesiderata promozionale per conto della Società.

2. LA CONTESTAZIONE DELLE VIOLAZIONI

Con nota del 19 aprile 2023 (prot. n. 65417/23) è stato comunicato alla Società l’avvio del procedimento, ai sensi dell’art. 166, comma 5, del Codice, per l’adozione di eventuali provvedimenti di cui all’art. 58, par. 2, del Regolamento, riconoscendo, in primo luogo, in capo alla Maximum il ruolo di titolare del trattamento, con conseguente imputazione della responsabilità per le presunte violazioni delle seguenti disposizioni del Regolamento:

2.1. artt. 5, par. 2, 24 e 25 del Regolamento per non aver adottato adeguate misure organizzative volte a tenere traccia delle attività di trattamento nell’ambito della filiera e a comprovare il rispetto delle norme;

2.2. artt. 12, parr. 2 e 3, 15, 17 e 21, par. 2, del Regolamento per non aver riscontrato l’istanza di esercizio dei diritti formulata dall’interessata e per non aver tempestivamente registrato la relativa opposizione;

2.3. artt. 6, par. 1, lett. a), 7 del Regolamento e art. 130 del Codice, per aver effettuato telefonate promozionali senza il consenso informato dell’interessata;

2.4. artt. 5, par. 1, lett. a), 6, par. 1, lett. a) e 7 del Regolamento per aver trattato i dati personali raccolti mediante il sito internet - https://www.maximumsrl.com/- in assenza di un’idonea base giuridica; al riguardo, infatti, l’Autorità ha avuto modo di constatare che la procedura di finalizzazione della richiesta di assistenza/consulenza on-line attraverso il form di raccolta dati rinvenibile al link https://www.maximumsrl.com/contatti è subordinata all’acquisizione dei consensi al trattamento dei dati personali per finalità di marketing diretto e di profilazione. In altri termini, è precluso all’utente accedere ai servizi di assistenza/consulenza offerti dalla Società senza aver prima obbligatoriamente accettato il trattamento dei dati per le diverse finalità di marketing e profilazione, determinando così una coartazione della volontà dell’interessato;

2.5. art. 25, par. 1, del Regolamento per la non adeguata impostazione dei trattamenti in ragione della mancata corrispondenza tra attività descritte nell’informativa privacy (invio di newsletter) e consensi da acquisire (nella fattispecie non richiesti dalla Società). In particolare, pur prospettando l’utilizzo dei dati acquisiti in fase di registrazione al sito internet (https://www.maximumsrl.com/) per  l’invio di newsletter (come emerge dall’informativa privacy rinvenibile al link https://www.iubenda.com/privacy-policy/86441273), non è stato rinvenuto uno specifico consenso per tale finalità, né è stato chiarito il presupposto giuridico che ne giustificherebbe  il perseguimento, ingenerando il ragionevole dubbio su quali siano gli effettivi trattamenti svolti dalla Maximum e quali mezzi siano stati utilizzati a tal fine.

3. OSSERVAZIONI DIFENSIVE E VALUTAZIONI DELL’AUTORITÀ

3.1. memoria difensiva

La Società, nell’esercizio del diritto di difesa, ha fatto pervenire una memoria in data 18 maggio 2023 con la quale ha chiesto l’archiviazione del procedimento avviato a suo carico in quanto estranea alla condotta lamentata.

In particolare, ha ribadito di non detenere i dati personali della reclamante, né, quindi, di aver contattato la stessa per finalità di marketing. Peraltro, il numero chiamante utilizzato a tal fine non è risultato essere “di proprietà” della Società che “non ha intermediari autorizzati a chiamare per conto della Maximum”. Al riguardo, ha precisato che “molti Call Center utilizzano in maniera impropria […] il marchio Maximum” per poi vendere prodotti differenti.

La Società opera nella vendita dei propri prodotti esclusivamente nei confronti di aziende private “del tutto indipendenti […] con una raccolta dati e di anagrafiche di cui [la] Maximum è […] estranea”. Pertanto non può essere ascritto alla Società il ruolo di titolare del trattamento, né, quindi, la stessa può esercitare un potere “direttivo e sanzionatorio” nei confornti di aziende che operano privatamente con l’obiettivo di vendere prodotti Maximum. Anche l’opposizione manifestata dalla reclamante è stata avanzata erroneamente nei confronti della Società, non essendo quest’ultima responsabile dei trattamenti in parola.

Con riferimento al sito internet la Società ha rappresentato di raccogliere i dati personali mediante form on-line esclusivamente per rispondere a segnalazioni e reclami relativi a problemi di carattere tecnico-funzionale degli apparecchi del marchio Maximum e non per attività di carattere commerciale. A sostegno di ciò, nel riscontro all’Autorità è stato riportato uno stralcio della mail inviata dal Dpo della Maximum (con allegazione della relativa copia) sulla politica di trattamento della Società dalla quale emerge che la stessa “non effettua alcuna attività di newsletter e che i dati raccolti vengono prontamente eliminati per richieste inoltrate oltre i 90 giorni”. Infine “da un primo controllo risultano 22 anagrafiche degli ultimi 90 gg dal sito www.maximumsrl.con di natura assistenziale”.

3.2. Valutazioni di ordine giuridico

Con riferimento ai profili fattuali sopra evidenziati, anche in base alle affermazioni della Società, di cui il dichiarante risponde ai sensi dell’art. 168 del Codice, si formulano le seguenti valutazioni di ordine giuridico.

3.2.1. Sulla titolarità e sull’accountability

In primo luogo deve ricondursi alla Maximum la titolarità dei trattamenti in esame e, conseguentemente, la responsabilità per le violazioni in materia di protezione dei dati personali. Pur rivendicando la propria estraneità rispetto al trattamento lamentato, non v’è dubbio che le telefonate ricevute dalla reclamante siano state effettuate in nome e nell’interesse della Società, al punto da ingenerare nell’interessata la convinzione di essere stata contattata direttamente dalla Maximum. Infatti la reclamante si è rivolta in prima battuta alla Società sulla base di tale legittimo affidamento, escludendo quindi eventuali addebiti di responsabilità ad altri soggetti (v., al riguardo, provv. 15 giugno 2011, doc. web n. 1821257).

Le stesse aziende terze, legate da un rapporto commerciale con la Società, anche se “indipendenti” e “con propria natura giuridica”, rientrerebbero in un unico complessivo disegno economico finalizzato ad accrescere la vendita di prodotti e servizi della Maximum non sollevando, quindi, quest’ultima da responsabilità connesse al trattamento dei dati personali.

Non è possibile escludere che da tale attività di vendita, parallela ed esterna alla Maximum e apparentemente caratterizzata da una certa sistematicità, possano derivare vantaggi per quest’ultima in termini di promozione del marchio, con conseguente attivazione di servizi o sottoscrizione di nuovi contratti. Inoltre, l’utilizzo di numerazioni chiamanti non riconducibili alla Società non consente di superare le descritte criticità dal momento che, come più volte affermato dall’Autorità, le telefonate non provenienti dalla forza vendita ufficiale dell’impresa o per le quali non sia possibile risalire all’individuazione dell’intestatario, potrebbero essere effettuate, come spesso avviene, camuffando l’utenza mittente mediante l’adozione di tecniche di mascheramento del CLI, quale quella dello spoofing telefonico.

Alla luce di quanto sopra, la Società, titolare del trattamento, ha dato atto della mancanza di adeguate misure tecniche e organizzative, disciplinate dall’art. 24 del Regolamento, con particolare riguardo all’incapacità di controllare efficacemente la filiera dei partner che effettuano attività promozionale a suo vantaggio. Peraltro non risultano iniziative o azioni correttive in tal senso da parte della Società neanche successivamente alla richiesta di informazioni dell’Ufficio e neppure dopo l’avvio del procedimento, avendo la reclamante lamentato la ricezione di ulteriori telefonate indesiderate, con cadenza “settimanale”, per la promozione di servizi della Maximum (come segnalato con nota del 26 giugno 2023). Né, dal contesto rappresentato, vi è evidenza dell’adozione di idonee e risolutive iniziative concrete nei confronti di eventuali soggetti abusivi che alimenterebbero il mercato illecito mediante l’indebita spendita del nome Maximum (denunce alle Autorità competenti, oppure l’adozione di misure tecniche e organizzative degne di apprezzamento).

Si ritiene, pertanto, di dover confermare la violazione degli artt. 5, par. 2, 24 e 25 del Regolamento, che inquadrano le competenze del titolare in un’ottica di necessaria valorizzazione del principio di responsabilizzazione (accountability) finalizzata a comprovare il rispetto delle norme in materia di protezione dei dati personali.

3.2.2. Sull’esercizio dei diritti

Come descritto al punto 1 del presente provvedimento, le telefonate promozionali nell’interesse della Maximum sarebbero continuate anche dopo l’opposizione manifestata dalla reclamante nel corso dei contatti lamentati. Pertanto la Società non soltanto parrebbe non aver registrato tempestivamente tale opposizione ma non risulta neanche aver riscontrato l’istanza di esercizio dei diritti di cui agli artt. 15 e 17 del Regolamento nei termini previsti dall’art. 12, par. 3, dello stesso. La Società ha risposto, seppur in modo evasivo, solo dopo essere stata in tal senso sollecitata dall’Autorità con la richiesta di informazioni del 19 gennaio 2023 e, con la memoria del 18 maggio 2023, ha ritenuto che l’opposizione della reclamante fosse stata avanzata erroneamente nei suoi confronti non considerandosi responsabile dei contatti lamentati.

Emerge, quindi, una condotta non coerente con l’obbligo del titolare di agevolare, con misure appropriate, l’esercizio dei diritti previsti dalla normativa in materia di protezione dei dati personali e di soddisfare, senza ritardo, le relative istanze, compreso il diritto di opposizione che può essere avanzato “in qualsiasi momento” (v. provv. n. 431 del 15 dicembre 2022, doc. web n. 9856345), integrando la violazione dell’art. 12 parr. 2 e 3, nonché degli artt. 15, 17 e 21, par. 2, del Regolamento.

3.2.3. Sul consenso

La reclamante ha dichiarato di non aver mai prestato il proprio consenso alla ricezione di comunicazioni promozionali da parte della Società e di aver chiesto più volte la cancellazione dei propri dati personali (anche nel corso delle telefonate lamentate come sopra descritto). Al riguardo, va evidenziato che il dissenso o l’opposizione all’ulteriore trattamento manifestate durante la telefonata indesiderata prevalgono sempre sull’eventuale consenso originariamente manifestato.

È invece chiaro che le telefonate effettuate successivamente al diniego della reclamante sono risultate prive della base giuridica del consenso, né la Società ha mai fatto menzione della presenza di un consenso originario che autorizzasse almeno la prima chiamata promozionale.

Pertanto, non risultando comprovata l’acquisizione di un idoneo consenso dell’interessata alla ricezione di telefonate promozionali, si ritiene di dover confermare la violazione degli artt. 6, par.1, lett. a) e 7 del Regolamento e dell’art. 130 del Codice.

3.2.4. Sul trattamento dei dati personali mediante form on-line in assenza di un idoneo presupposto giuridico

La circostanza rappresentata dalla Società di non trattare i dati personali raccolti mediante form on-line per finalità commerciali non risulta confermata dalla mail che il Dpo della Maximum ha fatto pervenire a supporto delle argomentazioni difensive. Nella memoria in parola, la Società ha eluso alcune informazioni riportate nella citata mail (di cui tuttavia è stata allegata copia) che farebbero emergere un quadro diverso rispetto a quello delineato dalla Maximum. Infatti, si rileva che le “22 anagrafiche degli ultimi 90 giorni dal sito www.maximumsrl.com [hanno] natura assistenziale e promozionale” e che le stesse vengono utilizzate “solo in caso di contatti che esplicitamente hanno lasciato il consenso […] specifico per finalità di marketing”. Inoltre “la società ha adottato misure per centralizzare i consensi per le finalità di marketing, dai contatti provenienti dal sito ufficiale […] al fine di assicurare la validità dei consensi e garantire che tutte le attività di marketing siano conformi alla normativa sulla privacy”.

Ne consegue che i dati personali raccolti mediante sito internet sono stati trattati anche per scopi promozionali, come confermato nella citata mail, previo consenso degli interessati. Tuttavia l’acquisizione del consenso al marketing e alla profilazione è risultata essere obbligata e condizione necessaria per procedere con la richiesta di assistenza/consulenza mediante form on-line, inficiando inevitabilmente la libera volontà degli interessati.

Pertanto, emergendo, da quanto sopra rilevato, l’assenza di un idoneo consenso, non solo in relazione al caso di cui al reclamo ma nel complesso dei trattamenti svolti da Maximum, si ritiene di dover confermare la violazione degli artt. 5, par.1, lett. a), 6, par. 1, lett. a) e 7 del Regolamento.
Infine, la circostanza descritta dalla Società di non effettuare “alcuna attività di newsletter” non consente di superare le criticità di cui al punto 2.5. alle quali si fa completo rinvio, confermando uno scollamento tra il piano formale (finalità perseguite descritte nell’informativa privacy, tra cui l’invio di newsletter) e quello fattuale dei trattamenti (le concrete attività svolte dalla Società). Ciò denota una non corretta adeguata impostazione dei trattamenti in rilievo, con la conseguente violazione dell’art. 25, par. 1, del Regolamento.

4. CONCLUSIONI

Per quanto sopra esposto si ritiene accertata la responsabilità della Maximum in ordine alle seguenti violazioni del Regolamento:

- art. 5, parr. 1, lett. a) e 2;

- art. 6;

- art. 7;

- art. 12, parr. 2 e 3;

- art. 15;

- art. 17;

- art. 21, par. 2;

- art. 24;

- art. 25;

nonché dell’art. 130 del Codice.Accertata l’illiceità delle sopra descritte condotte della Società, si rende necessario:

- ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, vietare il trattamento di dati personali raccolti mediante sito internet in assenza di un idoneo consenso degli interessati all’attività di marketing e di profilazione, ex artt. 6, 7 e 12 del Regolamento, nonché 130 del Codice;

- ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiungere alla Maximum di provvedere senza ritardo alla cancellazione di detti dati, fatti salvi quelli che sia necessario conservare per l’adempimento di un obbligo di legge o per la difesa di un diritto in sede giudiziaria nonché per ogni altra finalità che non richieda un consenso informato, libero, specifico, documentato e inequivocabile dell’interessato; 

- nel caso in cui la Società intenda proseguire nelle suddette attività di trattamento, prescrivere, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, di porre in essere tutte le misure necessarie affinché le stesse siano conformi alle disposizioni in materia di protezione dei dati personali, ossia, fra le altre:

a) fornire agli interessati un’idonea informativa ai sensi degli artt. 12 e 13 del Regolamento, in relazione ai singoli trattamenti di dati personali;

b) individuare un’idonea base giuridica per i trattamenti in questione che, allo stato, appare concretizzabile nell’acquisizione di un consenso informato, libero, specifico, documentato e inequivocabile per ciascuna delle finalità concretamente perseguite (artt. 6 e 7 del Regolamento);

c) porre in essere ogni misura organizzativa necessaria al fine di facilitare l’esercizio dei diritti previsti dalla normativa in materia di protezione dei dati personali e di soddisfare, senza ingiustificato ritardo, le relative istanze, compreso il diritto di opposizione che può essere avanzato “in qualsiasi momento” dall’interessato (art. 21, par. 2, del Regolamento);

d) idonee procedure volte a tenere traccia delle attività di trattamento nell’ambito della filiera e a comprovare il rispetto delle norme in materia di protezione dei dati personali, con particolare riferimento a quelle applicabili all’invio di comunicazioni commerciali (artt. 6, 7, 13, 14 del Regolamento e 130 del Codice);

- con riguardo ai trattamenti già realizzati, si ritiene sussistano i presupposti per l’applicazione di una sanzione amministrativa pecuniaria ai sensi degli artt. 58, par. 2, lett. i) e 83, parr. 4 e 5, del Regolamento.

5. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

Le violazioni sopra confermate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti della Maximum della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 4 e 5, del Regolamento. Tuttavia, risultando violate varie disposizioni del Regolamento e del Codice in relazione a trattamenti collegati effettuati dalla Società a fini di marketing, si ritiene applicabile l’art. 83, par. 3, del Regolamento, in base al quale, “se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento viola, con dolo o colpa, varie disposizioni del Regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, assorbendo così le violazioni meno gravi. Nello specifico, le suindicate violazioni - avendo ad oggetto anche l’esercizio dei diritti degli interessati - sono da ricondursi, ai sensi dell’art. 83, par. 3, dello stesso Regolamento, nell’alveo della violazione più grave, con conseguente applicazione della sanzione prevista all’art. 83, par. 5, del Regolamento.

Per la determinazione dell’ammontare della sanzione, che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1), occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento. 

Quali circostanze da prendere in considerazione nel caso di specie devono essere considerati, sotto il profilo delle aggravanti:

1. la gravità delle violazioni rilevate con particolare riferimento alla non adeguata gestione del diritto di opposizione dell’interessata, confermata dalla ricezione da parte di quest’ultima di ulteriori numerose telefonate indesiderate per la promozione di servizi della Maximum, anche dopo l’avvio del procedimento da parte dell’Autorità, e che vanno ad aggiungersi ai contatti registrati negli anni dalla reclamante (art. 83, par. 2, lett. a);

2. la dimensione soggettiva della condotta, da ritenersi gravemente colposa, con particolare riferimento all’inadeguatezza del controllo sulla filiera del trattamento (art. 83, par. 2, lett. b e d);

3. la difformità della condotta della Società rispetto alla consistente attività provvedimentale del Garante in materia di telemarketing con particolare riferimento all’informativa e al consenso, alla data retention e alla gestione della titolarità dei trattamenti (art. 83, par. 2 lett. k).

Quali elementi attenuanti, si ritiene di dover tener conto:

1. della natura dei dati trattati, di tipo comune (art. 83, par. 2, lett. a, g);

2. dell’assenza di precedenti procedimenti avviati a carico della Società (art. 83, par. 2 lett. e);

3. del grado di cooperazione nell’interazione con l’Autorità di controllo tale da rendere agevole lo svolgimento delle attività di indagine (art. 83, par. 2, lett. f);

4. della complessiva valutazione sulla capacità economica della Società, tenendo in considerazione l’ultimo fatturato societario disponibile (art. 83, par. 2 lett. k).

In base al complesso degli elementi sopra indicati, in applicazione dei richiamati principi di effettività, proporzionalità e dissuasività di cui all’art. 83, par. 1, del Regolamento, tenuto conto, altresì, del necessario bilanciamento fra diritti degli interessati e libertà di impresa, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società, si ritiene debba applicarsi alla Maximum – anche tenendo in considerazione altri casi analoghi - la sanzione amministrativa del pagamento di una somma di euro 5.000,00 (cinquemila/00), pari allo 0,025% del massimo edittale.

Nel caso in argomento si ritiene che debba applicarsi, altresì, la sanzione accessoria della pubblicazione nel sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della materia oggetto di istruttoria, vale a dire il fenomeno del marketing indesiderato, rispetto al quale questa Autorità ha adottato numerosi provvedimenti sia a carattere generale sia diretti a determinati titolari del trattamento e su cui è elevata l’attenzione dell’utenza.

Si ricorda che ai sensi dell’art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto del trattamento è punito con la reclusione da tre mesi a due anni e che, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e) del Regolamento.

Ricorrono, infine, i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecito, nei termini di cui in motivazione, il trattamento effettuato da Maximum International Corp. S.r.l., con sede legale in Contrada Zachia, 90038 Zachia (Palermo), P.IVA 04434710820, e di conseguenza:

a) ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, vieta il trattamento di dati personali raccolti mediante sito internet in assenza di un idoneo consenso degli interessati all’attività di marketing e di profilazione, ex artt. 6, 7 e 12 del Regolamento, nonché 130 del Codice;

b) ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiunge alla Maximum International Corp. S.r.l. di provvedere senza ritardo alla cancellazione di detti dati, fatti salvi quelli che sia necessario conservare per l’adempimento di un obbligo di legge o per la difesa di un diritto in sede giudiziaria nonché per ogni altra finalità che non richieda un consenso informato, libero, specifico, documentato e inequivocabile dell’interessato; 

c) nel caso in cui la Società intenda proseguire nelle suddette attività di trattamento, prescrive, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di porre in essere tutte le misure necessarie affinché le stesse siano conformi alle disposizioni in materia di protezione dei dati personali, ossia, fra le altre:

- fornire agli interessati un’idonea informativa ai sensi degli artt. 12 e 13 del Regolamento, in relazione ai singoli trattamenti di dati personali;

- individuare un’idonea base giuridica per i trattamenti in questione che, allo stato, appare concretizzabile nell’acquisizione di un consenso informato, libero, specifico, documentato e inequivocabile per ciascuna delle finalità concretamente perseguite (artt. 6 e 7 del Regolamento);

- porre in essere ogni misura organizzativa necessaria al fine di facilitare l’esercizio dei diritti previsti dalla normativa in materia di protezione dei dati personali e di soddisfare, senza ingiustificato ritardo, le relative istanze, compreso il diritto di opposizione che può essere avanzato “in qualsiasi momento” dall’interessato (art. 21, par. 2, del Regolamento);

- adottare idonee procedure volte a tenere traccia delle attività di trattamento nell’ambito della filiera e a comprovare il rispetto delle norme in materia di protezione dei dati personali, con particolare riferimento a quelle applicabili all’invio di comunicazioni commerciali (artt. 6, 7, 13, 14 del Regolamento e 130 del Codice);

d) ai sensi dell’art. 157 del Codice, ingiunge alla Società di comunicare all’Autorità, nel termine di 30 giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alle misure imposte; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento.

ORDINA

ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, a Maximum International Corp. S.r.l., in persona del suo legale rappresentante, di pagare la somma di euro 5.000,00 (cinquemila/00), a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 5.000,00 (cinquemila/00) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981;

DISPONE

quale sanzione accessoria, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16 del Regolamento del Garante n. 1/2019, la pubblicazione nel sito del Garante del presente provvedimento e, ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 18 luglio 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei