VEDI ANCHE Newsletter del 23 ottobre 2023

[doc. web n. 9939507]

Provvedimento del 18 luglio 2023

Registro dei provvedimenti
n. 393 del 18 luglio 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018 n. 101, recante disposizioni per l'adeguamento dell’ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

Con reclamo del 4 gennaio 2022 la signora XX ha lamentato la ricezione di sms promozionali da parte dell’Università e-Campus e il mancato riscontro alle reiterate richieste di esercizio dei diritti. In particolare, la reclamante ha dichiarato di aver inviato, il 16 luglio 2021 all’indirizzo indicato nell’informativa privacy, una prima richiesta di cancellazione dei dati personali; non avendo ricevuto riscontro e continuando a ricevere sms indesiderati, ha reiterato la propria richiesta, inviandola anche all’indirizzo del Responsabile della protezione dei dati, il 1° novembre e il 20 dicembre 2021. Perdurando la ricezione di sms indesiderati, la signora XX si è rivolta al Garante.

L’Ufficio ha dunque inviato all’Università una richiesta di informazioni via pec in data 15 marzo 2022 rimasta senza esito nonostante il sollecito inviato il 10 maggio 2022 agli indirizzi privacy@uniecampus.it e dpo@uniecampus.it. Si è reso pertanto necessario notificare l’atto di avvio del procedimento per il mancato riscontro, cui ha provveduto il Nucleo speciale privacy della Guardia di Finanza in data 7 luglio 2022.

Con pec del 28 luglio 2022 l’Università ha presentato una memoria difensiva nella quale, senza dare spiegazioni in merito al mancato riscontro, ha dichiarato – allegando la relativa documentazione - che una prima risposta alla signora XX era stata fornita il 26 luglio 2021 dalla XX s.r.l., qualificata come contitolare del trattamento, solo per confermare la ricezione della richiesta e promettere un riscontro in tempi brevi; il 24 agosto 2021, la stessa XX avrebbe comunque provveduto a confermare alla signora XX l’avvenuta cancellazione dei dati.

Con riguardo all’origine dei dati e alla possibilità di utilizzarli per finalità promozionali, l’Università ha dichiarato che la reclamante, il 21 giugno 2016, avrebbe compilato un form on-line, riconducibile al brand “Grandi Scuole” della XX Srl (di cui è stato prodotto un report).

Le medesime doglianze della signora XX sono state esposte al Garante dal signor XX con un reclamo del 30 marzo 2022 diretto anche all’Università E-Campus. In tale sede il reclamante ha dichiarato di aver ricevuto sms indesiderati e di aver più volte richiesto la cancellazione dei propri dati (il 10 dicembre 2019 e il 20 marzo 2020) senza tuttavia ottenere soddisfazione.

Anche in questo caso la richiesta di informazioni, inviata dall’Ufficio il 27 maggio 2022, è rimasta senza esito ed è stato necessario incaricare il Nucleo speciale privacy della Guardia di Finanza di notificare l’atto di avvio del procedimento per il mancato riscontro (notifica avvenuta il 21 novembre 2022).

Con pec del 30 novembre 2022 l’Università ha risposto che i dati del reclamante non erano stati rinvenuti nei propri database pertanto ha presunto che l’invio degli sms fosse stato effettuato da soggetti terzi, responsabili del trattamento, incaricati dalla stessa e-Campus dell’esecuzione delle campagne. Tali terzi sarebbero comunque stati informati della richiesta del reclamante.

In data 19 dicembre 2022 si è tenuta un’audizione nel corso della quale l’Università ha confermato quanto già dichiarato nelle memorie affermando che, a suo avviso, la documentazione prodotta era da considerarsi idonea a sanare, ancorché in maniera tardiva, il mancato riscontro al Garante (le cui motivazioni non sono state comunque chiarite).

Le doglianze contenute nei due reclami non rappresentavano casi isolati essendo pervenute al Garante anche delle segnalazioni, in buona parte dirette anche all’Università stessa e condivise con l’Autorità solo per conoscenza, con le quali si lamentava la ricezione di sms indesiderati e il mancato riscontro all’esercizio dei diritti. Dette segnalazioni, pur essendo già nella disponibilità del titolare del trattamento, sono state allegate all’atto di avvio del procedimento per le conseguenti valutazioni.

Infine, il 1° febbraio 2023, tramite il servizio telematico disponibile nel sito web del Garante per segnalare il telemarketing molesto, è pervenuta la segnalazione della signora XX con la quale si è lamenta la ricezione di telefonate indesiderate, reiterate per sei anni, dopo che “… 6 anni fa un mio contatto ha utilizzato il mio numero per chiamarli”. Anche questa segnalazione è stata trasmessa alla e-Campus unitamente all’atto di avvio del procedimento.

2. LA CONTESTAZIONE DELLE VIOLAZIONI

Stante il mancato riscontro alla richiesta di informazioni del 15 marzo 2022, l’Ufficio ha predisposto un atto di avvio del procedimento, notificato alla Università e-Campus tramite il Nucleo Privacy della Guardia di Finanza il 7 luglio 2022, per la violazione dell’art. 157 del Codice.

A seguito di tale notifica, l’Università ha reso riscontro con pec del 28 luglio 2022 chiedendo contestualmente di essere audita. L’Ufficio ha pertanto inviato la convocazione per l’audizione per la data del successivo 5 dicembre. Con pec del 1° dicembre 2022, l’Università ha comunicato l’impossibilità di partecipare all’audizione per motivi di lavoro e ne ha richiesto il differimento.

L’audizione, infine, si è tenuta il 19 dicembre 2022.

Stante il mancato riscontro alla richiesta di informazioni del 27 maggio 2022, l’Ufficio ha predisposto un atto di avvio del procedimento, notificato alla Università e-Campus tramite il Nucleo Privacy della Guardia di Finanza il 21 novembre 2022, per la violazione dell’art. 157 del Codice.

A seguito di tale notifica, l’Università ha reso riscontro con pec del 30 novembre 2022.

Esaminati i suddetti atti e rinvenute violazioni delle norme a tutela dei dati personali, L’Ufficio ha provveduto a contestarle con l’atto di avvio del procedimento del 14 febbraio 2023 prot. n. 26178/23, notificato a mezzo pec in pari data.

Dandosi qui per interamente richiamate le motivazioni espresse nel menzionato atto, alla Università e-Campus è stata contestata la violazione degli artt. 5, par. 1, lett. a) e lett. e); 5, par. 2; 6, par. 1, lett. a); 7, par. 1; 12; 13, par. 2, lett. a); 15; 17; 21; 24 del Regolamento nonché dell’art. 130 del Codice, poiché l’invio di comunicazioni promozionali via sms è risultato effettuato senza il consenso degli interessati, non sono stati rispettati i diritti di cancellazione e opposizione esercitati dai reclamanti, non è stata documentata l’adozione di misure di sicurezza adeguate e non risultavano correttamente definiti i tempi di conservazione dei dati per finalità promozionale.

A quest’ultimo atto di contestazione ha fatto seguito una memoria difensiva inviata il 15 marzo 2023, anch’essa da intendersi qui integralmente richiamata e riprodotta, con la quale, il titolare ha motivato le scelte in ordine al trattamento e ha fornito riscontro in merito alle singole segnalazioni trasmesse con l’atto di avvio del procedimento.

Contestualmente alla memoria difensiva, l’Università ha fatto richiesta di audizione, cui l’Ufficio ha risposto fissando la data al 28 marzo 2023. Alle 17,29 del giorno precedente l’audizione, L’Università ha comunicato di non poter partecipare per sopravvenuti e imprevisti impegni professionali e ha richiesto un ulteriore differimento. La nuova data per l’audizione è stata pertanto fissata al 4 aprile 2023 ma è andata deserta senza ulteriori comunicazioni in merito da parte di e-Campus.

3. VALUTAZIONI DI ORDINE GIURIDICO

Con riferimento ai profili fattuali sopra evidenziati, anche in base alle affermazioni rese dalla Università E-Campus in corso di istruttoria, di cui il dichiarante risponde ai sensi dell’art. 168 del Codice, si formulano le seguenti valutazioni di ordine giuridico.

3.1 Riscontro all’esercizio dei diritti da parte degli interessati

I reclami pervenuti, così come le segnalazioni allegate, danno atto di una sistemica carenza nelle procedure che dovrebbero garantire il riscontro alle richieste di esercizio dei diritti da parte degli interessati, considerato che tali richieste, quasi sempre inoltrate ai recapiti indicati nell’informativa privacy - e perfino allo stesso Responsabile della protezione dei dati - sono state del tutto ignorate anche dopo reiterati tentativi. Anche le risposte fornite ai singoli segnalanti, prodotte in sede difensiva, danno atto – come si vedrà di seguito – di un totale disinteresse per le richieste ricevute, cui è stato fornito riscontro in maniera tardiva e inidonea nonostante i ripetuti solleciti.

In particolare, la risposta fornita in merito al caso della signora XX, che avrebbe ricevuto un riscontro dalla contitolare XX S.r.l., non è sufficiente a far venire meno le responsabilità di e-Campus in ordine all’obbligo di fornire un riscontro. Ciò in quanto, innanzitutto, la risposta della XX non conteneva alcun riferimento utile a far comprendere all’interessata il rapporto di contitolarità con e-Campus e il fatto che stesse rispondendo per conto di quest’ultima; inoltre, dopo la cancellazione dei dati, asseritamente avvenuta il 24 agosto 2021, la signora XX, continuando a ricevere sms indesiderati, ha presentato altre richieste a detta Università (il 1° novembre e il 20 dicembre 2021) che non hanno avuto alcun riscontro.

Si osserva inoltre che l’informativa privacy resa disponibile nel sito web di e-Campus a febbraio 2023 (epoca della contestazione delle violazioni di cui all’atto del 26 febbraio 2023, prot. n. 26178), non forniva alcuna informazione riguardo a tale rapporto di contitolarità e ad un eventuale recapito comune ma indicava soltanto gli indirizzi (fisico e e-mail) di e-Campus come recapiti per le richieste di esercizio dei diritti da parte degli interessati. È pertanto lecito attendersi che il riscontro dovesse pervenire agli interessati dall’Università e-Campus, poiché i messaggi promozionali venivano inviati a suo nome e nel suo interesse senza alcuna possibilità per la reclamante di comprendere i rapporti tra le due Società. Anche lo stesso Ufficio del Garante si è avvalso degli indirizzi privacy@uniecampus.it e dpo@uniecampus.it per sollecitare informalmente la risposta alla richiesta di informazioni e non ha ricevuto alcun riscontro (né messaggio di errore).

Inoltre, al di là della validità o meno del riscontro veicolato tramite la XX, si deve ricordare che la condotta lamentata dalla signora XX non è stata in alcun modo interrotta, avendo questa continuato a ricevere sms indesiderati, pertanto le sue istanze risultano di fatto del tutto ignorate.

A ciò si deve aggiungere quanto lamentato dal signor XX e da altri segnalanti, tutti costretti a rivolgersi al Garante perché le richieste di esercizio dei diritti rivolte al titolare – anche reiteratamente – erano state completamente ignorate, nonostante in molti casi fossero dirette anche al Responsabile della protezione dati.

Nella memoria del 30 novembre 2022, diretta anche al signor XX, la e-Campus si è limitata a dire di non aver rinvenuto i dati nei propri sistemi dovendo “presupporre” che l’invio sia stato effettuato da propri partner (di cui non ha fornito alcuna generalità). Nulla è stato dichiarato in merito al mancato riscontro a XX che pure aveva scritto reiteratamente all’Università utilizzando tutti gli indirizzi disponibili e persino l’indirizzo pec.

Nella memoria difensiva del 15 marzo 2023, l’Università ha fornito riscontro anche in merito alle altre segnalazioni pervenute, di cui si riportano brevemente gli esiti:

a) con e-mail del 30 giugno 2021 il signor XX, lamentando la ricezione di comunicazioni indesiderate, aveva chiesto alla E-Campus di conoscere l’origine dei dati, compresa la documentazione del consenso fornito e l’identificazione di eventuali terzi che lo avrebbero raccolto, opponendosi ad ulteriori contatti; l’Università ha allegato una risposta, inviata a XX il 5 agosto 2021, nella quale si è limitata a dichiarare di aver dato seguito alla cancellazione dei dati; la risposta, dunque, oltre che tardiva è da considerarsi inidonea poiché priva delle informazioni richieste dall’interessato che, difatti, ha reiterato la propria richiesta a e-Campus il 20 ottobre 2021 lamentando inoltre di continuare a ricevere messaggi indesiderati;

b) riguardo alla segnalazione della signora XX, pervenuta al Garante tramite il canale automatizzato del sito istituzionale, la e-Campus si è limitata a dichiarare di aver cancellato i dati, allegando una nota di riscontro inviata alla segnalante il 27 febbraio 2023; anche in questo caso, nessun chiarimento è stato fornito in merito all’origine dei dati, nonostante l’interessata lamentasse la ricezione di telefonate dopo che il suo telefono era stato utilizzato per chiamare l’Università 6 anni prima;

c) la signora XX ha lamentato la ricezione di sms indesiderati e il mancato riscontro alle richieste di cancellazione inviate a e-Campus, da ultimo anche all’indirizzo del Responsabile della protezione dati il 26 ottobre 2021; in merito a tale segnalazione, l’Università ha prodotto una pec indirizzata alla signora XX il 16 marzo 2022 nella quale si assicurava la cancellazione dei dati; anche questo riscontro è evidentemente (e immotivatamente) tardivo;

d) con pec del 4 ottobre 2021 il signor XX ha reiterato a E-Campus una richiesta di cancellazione già inoltrata il precedente 9 agosto e rimasta priva di riscontro; l’Università ha prodotto una conferma di cancellazione inviata al signor XX il 1° dicembre 2021, anche in questo caso senza motivare in alcun modo il ritardo;

e) la signora XX ha richiesto per tre volte la cancellazione dei suoi dati dalle liste utilizzate per l’invio di sms promozionali; le richieste sono state inoltre a e-Campus il 26 febbraio 2021, il 29 marzo 2021 e il 15 aprile 2021. In allegato alla memoria difensiva inviata al Garante, l’Università ha prodotto la conferma di cancellazione inviata alla segnalante con e-mail del 7 maggio 2021 (anche questa immotivatamente tardiva, dato che la prima richiesta era del 26 febbraio 2021).

Ciò premesso - tenuto conto che per le valutazioni in merito ai mancati riscontri al Garante si rimanda al seguente punto 3.4 - si rileva la violazione degli artt. 5, par. 1, lett. a), 12, 15, 17 e 21 del Regolamento per la mancanza di adeguati e tempestivi riscontri agli interessati, con la conseguente impossibilità per gli stessi di esercitare i diritti di accesso ai dati, di cancellazione e di opposizione.

Inoltre, considerato che i fatti descritti danno atto di una totale carenza nelle misure tecniche e organizzative a presidio dei diritti e tenuto conto che l’Università non è stata in grado di giustificare i mancati riscontri agli interessati e al Garante, si rileva anche la violazione degli artt. 5, par. 2 e 24 del Regolamento.

Per tali ragioni, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, si rende necessario ingiungere al titolare di rivedere le proprie misure tecniche e organizzative, anche attraverso la veicolazione di apposite istruzioni agli incaricati del trattamento, al fine di assicurare che le richieste degli interessati siano tempestive e idonee a soddisfare quanto da essi richiesto.

Inoltre, tenuto conto della condotta tenuta nei casi in esame, con intento dissuasivo, si rinvengono i presupposti per l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 58, par. 2, lett. i) del Regolamento.

3.2 Invio di comunicazioni promozionali senza consenso

Tutte le doglianze pervenute hanno riguardato la ricezione di comunicazioni promozionali indesiderate (via sms e in un caso tramite telefono con operatore) aventi ad oggetto servizi di E-Campus.

Nel caso della reclamante XX, l’Università ha dichiarato di aver acquisito i dati, tramite la contitolare XX, a seguito della compilazione di un form on-line il 21 giugno 2016; nell’atto di avvio del procedimento del 14 febbraio 2023 è stato osservato che il documento prodotto per documentare anche lo specifico consenso al trattamento per finalità promozionali (cfr. all. 5 alla memoria del 28 luglio 2022) conteneva solo una lista di parole e numeri allineati in maniera incomprensibile su un foglio di testo che non si poteva ritenere idoneo a comprovare né la registrazione né, tantomeno, l’effettiva e specifica volontà di ricevere messaggi promozionali da parte proprio di E-Campus. Nella successiva memoria difensiva, l’Università non ha chiarito nulla in merito a tale contestato aspetto e pertanto la presenza del preventivo consenso rimane non documentata.

E comunque, se anche vi fosse stato in origine un consenso regolarmente acquisito, nessuna base giuridica poteva essere invocata per giustificare i messaggi promozionali pervenuti dopo le reiterate opposizioni dell’interessata. Peraltro, si deve anche osservare che la XX avrebbe confermato alla reclamante la cancellazione dei dati il 24 agosto 2021 ma al gennaio 2022 l’interessata ancora riceveva sms indesiderati.

Analoghe considerazioni possono essere fatte anche con riguardo alle segnalazioni allegate all’atto di avvio del procedimento per le quali, come riportato in dettaglio al punto precedente, l’Università non ha mai – in nessun caso - documentato un idoneo consenso né ha chiarito l’origine dei dati.

Anche in merito a quanto reclamato dal signor XX – a fronte dell’invio di comunicazioni promozionali anche dopo le reiterate opposizioni - l’Università non è stata in grado di documentare l’acquisizione di un originario consenso, richiamando presunti trattamenti affidati a generici soggetti terzi responsabili del trattamento.

Infine, con riguardo alla segnalazione della signora XX, l’utenza telefonica sarebbe stata acquisita dalla E-Campus e destinata ad attività promozionale solo perché utilizzata per chiamare l’Università sei anni prima. Su tale aspetto e, in generale sull’origine dei dati e sulla documentazione del consenso, la e-Campus non si è mai espressa pur essendo oggetto di specifica contestazione da parte del Garante.

Nella memoria difensiva del 15 marzo 2023 l’Università, nel tentare un’interpretazione delle norme del tutto personale e distante dal quadro consolidato, ha invocato, come base giuridica per l’invio delle comunicazioni promozionali, il proprio legittimo interesse. Essa infatti ha osservato che il Regolamento ammette il legittimo interesse del titolare, quale base alternativa al consenso “se l’interessato, al momento e nell’ambito della raccolta dei dati personali, possa ragionevolmente attendersi che abbia luogo un trattamento al tal fine” e “comunque garantendo l’esercizio del diritto di opposizione da parte dell’interessato”. Ferma restando l’impossibilità di invocare il legittimo interesse per l’invio di comunicazioni promozionali attraverso canali di comunicazione elettronica, come già chiarito dal Garante (1) e specificato di seguito, il trattamento di e-Campus non sarebbe lecito neanche nel quadro da essa stessa ipotizzato poiché:

1) gli interessati non potevano in alcun modo attendersi che il trattamento sarebbe avvenuto sulla base del legittimo interesse dato che l’informativa privacy di e-Campus recitava (e recita tuttora) che l’invio di comunicazioni commerciali può avvenire “in forza del consenso espresso”; stessa formulazione presenta anche l’informativa privacy di XX (cfr. all. 6 alla memoria prodotta dalla e-Campus il 28 luglio 2022) e, difatti, l’Università ha inteso giustificare l’invio delle comunicazioni alla signora XX producendo il documento già menzionato sopra (all. 5 alla medesima memoria) con l’intento di documentare proprio il possesso di un idoneo consenso; si ricorda inoltre che molti segnalanti hanno dichiarato di ricevere messaggi promozionali senza alcun rapporto pregresso con E-Campus e, dunque, senza alcun interesse nei suoi confronti;

2) con riguardo all’obbligo di garantire l’esercizio del diritto di opposizione si è già dato atto del fatto che nessuno dei soggetti che si sono rivolti al Garante ha ricevuto idoneo riscontro continuando in alcuni casi a ricevere messaggi indesiderati per diverso tempo.

Con riguardo, più in generale, all’interpretazione giuridica data dalla e-Campus in merito all’utilizzabilità della base giuridica del legittimo interesse, si deve osservare quanto segue. Rispetto al considerando 47 del Regolamento che ipotizza l’utilizzo del legittimo interesse nei casi in cui si trattino i dati per attività di marketing diretto, fermo restando che il valore giuridico dei considerando è puramente interpretativo e non prescrittivo, questo non sarebbe invocabile nel caso di specie. Si deve infatti ricordare che l’attività promozionale svolta attraverso canali di comunicazione elettronica (quale è l’invio di sms o l’effettuazione di telefonate) soggiace alla speciale disciplina originata dalla direttiva 2002/58/CE, recepita nell’ordinamento italiano con il Titolo X del Codice. In particolare, si richiama quanto disposto dall’art. 130 del Codice in base al quale l’invio di comunicazioni con modalità automatizzate è consentito solo con il consenso del contraente o utente potendosi ammettere una deroga unicamente nel caso in cui l’indirizzo e-mail – e solo l’indirizzo e-mail - sia stato rilasciato dall’interessato nel contesto di una vendita di beni o servizi analoghi.

Analoghe considerazioni devono essere fatte per le attività di telemarketing, veicolate anch’esse tramite canali di comunicazione elettronica e dunque, ricadendo nel perimetro della direttiva 2002/58/CE, effettuabili solo in forza di un idoneo consenso oppure – unica deroga ammessa – utilizzando numerazioni telefoniche che siano presenti negli elenchi telefonici e non iscritte nel Registro Pubblico delle Opposizioni.

Infine, se anche si volesse ammettere per assurdo la possibilità di ricondurre il trattamento al legittimo interesse – che E-Campus ha peraltro tardivamente invocato non essendo riuscita a documentare il possesso di idonei consensi – sarebbe stato necessario che il titolare dimostrasse (e non lo ha fatto) di aver effettuato approfondite valutazioni, preliminari al trattamento, per comprovare l’esistenza di determinati requisiti:

a) la sussistenza di un interesse del titolare o di terzi che deve essere legittimo oltre che collegato ad una situazione concreta e non meramente ipotetica;

b) la necessità di effettuare il trattamento per soddisfare quell’interesse e la proporzionalità dell’intervento;

c) la dimostrazione che il titolare ha effettuato un balancing test per assicurarsi che i diritti e le libertà degli interessati non siano prevalenti sull’interesse legittimo del titolare o di terzi.

Per tali ragioni, si ritiene integrata la violazione degli artt. 6, par. 1, lett. a) e 7, par. 1 del Regolamento, nonché dell’art. 130 del Codice e conseguentemente si rende necessario, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiungere al titolare di verificare le misure tecniche e organizzative adottate per il trattamento di dati personali con finalità promozionali, anche nel caso di affidamento a terzi, al fine di assicurare ed essere in grado di documentare che tali trattamenti avvengano in forza di un idoneo consenso. Con riguardo ad eventuali banche dati già costituite, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, si rende necessario imporre il divieto di trattamento per finalità promozionali dei dati di cui l’Università non sia in grado di documentare il possesso di un idoneo consenso.

Inoltre, tenuto conto della condotta tenuta nei casi in esame, si rinvengono i presupposti per l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 58, par. 2, lett. i) del Regolamento.

3.3 Tempi di conservazione dei dati per finalità promozionali

Nella memoria difensiva del 28 luglio 2022 l’Università ha dichiarato che i dati della signora XX sono stati acquisiti dal contitolare XX il 21 giugno 2016. Stando a quanto dichiarato dalla reclamante, tali dati sono stati utilizzati per finalità promozionali almeno fino al gennaio 2022, quando la stessa ha proposto reclamo al Garante. Ne consegue che codesta Università ha utilizzato tali dati per oltre cinque anni e ha interrotto il trattamento solo dopo l’intervento del Garante.

Analogamente, la segnalante XX, ha dichiarato di ricevere chiamate promozionali da sei anni.

Dall’esame dell’informativa privacy pubblicata a febbraio 2023 nel sito web www.uniecampus.it (cfr. punto G dell’informativa) il tempo di conservazione dei dati per le finalità promozionali non veniva indicato in maniera specifica né distinto dalle altre finalità ed era unicamente descritto che “per finalità commerciali, tenendo in considerazione l'interesse legittimo del Titolare di conservare i dati personali raccolti per offrire beni e servizi reputati di Suo interesse, i dati personali saranno conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo necessario al raggiungimento di detto interesse e precisamente fino alla perfezionamento dell'immatricolazione ivi inclusi i dati raccolti da soggetti terzi e/o contitolari”. Alla data del 28 giugno 2023 tale passaggio nell’informativa non risulta modificato.

Fermo restando che nei casi in esame non pare che gli interessati avessero anche un rapporto contrattuale con l’Università tale da far presumere una possibile immatricolazione, con riguardo ai tempi di conservazione dei dati per finalità promozionali il Garante ha già chiarito che “il consenso al trattamento dei dati personali per finalità promozionali, in quanto massima espressione dell’autodeterminazione dell’individuo, deve innanzitutto considerarsi scisso e non condizionato dall’esistenza o meno di un rapporto contrattuale e deve ritenersi valido, indipendentemente dal tempo trascorso, finché non venga revocato dall’interessato, a condizione che sia stato correttamente acquisito in origine e che sia ancora valido alla luce delle norme applicabili al momento del trattamento nonché dei tempi di conservazione stabiliti dal titolare, e indicati nell’informativa, nel rispetto dell’art. 5, par. 1, lett. e) del Regolamento” (cfr. provv. 15 ottobre 2020, doc. web n. 9486485).

Nel caso di specie, l’informativa si limita ad indicare, in maniera indeterminata ed esemplificativa, alcune condizioni per individuare i tempi di conservazione facendo riferimento all’interesse legittimo del titolare del trattamento (impropriamente citato e comunque non esimente dall’obbligo di determinare a priori i tempi di conservazione) “e precisamente fino al perfezionamento dell'immatricolazione”.

Tale modalità dunque non soddisfa le condizioni di trasparenza di cui al Regolamento e di conseguenza non consente agli interessati di comprendere a pieno le modalità del trattamento. Si rileva pertanto la violazione dell’art. 13, par.2, lett. a) del Regolamento.

Inoltre, il tempo di conservazione indicato nelle doglianze – pari a circa 6 anni (ma interrotto solo dalle istruttorie del Garante) – pare eccessivo in relazione al trattamento per finalità promozionali soprattutto perché, in mancanza di una preliminare valutazione del titolare che giustifichi e limiti i tempi di conservazione dei dati, questi rischiano di essere conservati sine die.

Si deve invece ricordare che, in conformità a quanto disposto dall’art. 5, par. 1, lett. e) del Regolamento, la conservazione è ammessa finché serve per il raggiungimento delle finalità per cui i dati sono stati raccolti. La conservazione sine die, che non è ammessa dalle norme, o una conservazione troppo prolungata, potrebbe non essere giustificata dato che, più si allunga il tempo di conservazione dei dati più è probabile che il consenso raccolto perda di attualità andando a scemare l’originario interesse per la ricezione di messaggi promozionali e, dunque, l’aspettativa dell’interessato rispetto al trattamento, fermo restando quanto previsto dal quadro normativo che istituisce e aggiorna il Registro Pubblico delle Opposizioni, attraverso il quale gli interessati possono revocare a tappeto tutti i consensi già prestati. Peraltro, anche dal punto di vista commerciale, l’utilità del trattamento (e dunque il ritorno sull’investimento) è inversamente proporzionale al trascorrere del tempo. Spetta dunque al titolare effettuare tali valutazioni prima di decidere il tempo di conservazione dei dati, sia in termini di quantificazione (per quanto tempo si conservano) che di decorrenza del termine (indicazione del momento da cui cominciare a conteggiare il tempo).

Con riguardo a quest’ultimo profilo si rileva dunque la violazione dell’art. 5, par. 1, lett. e) del Regolamento e conseguentemente, per tali ragioni, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, si rende necessario ingiungere al titolare di stabilire appropriati tempi di conservazione dei dati personali e di darne comunicazione agli interessati attraverso l’informativa privacy.

Inoltre, tenuto conto di quanto sin qui rilevato e dell’assenza di misure correttive anche dopo le contestazioni del Garante, con intento dissuasivo, si rinvengono i presupposti per l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 58, par. 2, lett. i) del Regolamento.

3.4 Mancato riscontro alle richieste di informazione del Garante

Come descritto in premessa, per ben due volte e a distanza di mesi l’Ufficio ha rivolto all’Università delle richieste ai sensi dell’art. 157 del Codice tentando in un caso di sollecitarne il riscontro attraverso i contatti e-mail indicati nell’informativa privacy (contatti tra cui vi era anche quello del responsabile della protezione dati). Essendo entrambe le richieste rimaste inevase, è stato necessario avvalersi della Guardia di Finanza per la notifica dell’atto di avvio del procedimento e delle stesse richieste di informazioni.

Riguardo alle motivazioni di tali mancati riscontri l’Università non ha mai fornito giustificazioni né nelle memorie difensive prodotte, né nel corso dell’audizione tenutasi il 19 dicembre 2022, che peraltro è stata concessa proprio per consentire la difesa in ordine alla contestazione del mancato riscontro (non essendo state ancora formulate contestazioni nel merito). Anzi, nel corso di detta audizione il legale delegato dall’Università, riferendosi unicamente al riscontro fornito per la prima richiesta di informazioni (relativa al reclamo di XX), ha ipotizzato che l’Università non avesse risposto per mero disguido riservandosi di fare ulteriori verifiche. Di tali verifiche non è stato mai comunicato l’esito e nulla è stato dichiarato in merito al fatto che l’Università non aveva fornito riscontro neanche alla seconda richiesta (relativa al reclamo del signor XX).

Pertanto, rilevata la violazione dell’art. 157 del Codice si ritiene ricorrano i presupposti per l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 58, par. 2, lett. i) del Regolamento.

4. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

In base a quanto sopra rappresentato, risultano violate diverse disposizioni del Regolamento e del Codice in relazione a trattamenti collegati effettuati dall’Università E-Campus, per cui occorre applicare l'art. 83, par. 3, del Regolamento, in base al quale, se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento viola, con dolo o colpa, varie disposizioni del Regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave con conseguenziale applicazione della sola sanzione prevista dall’art. 83, par. 5, del Regolamento.

Ai fini della quantificazione della sanzione amministrativa il citato art. 83, nel fissare al par. 5 il massimo edittale nella somma di 20 milioni di euro, specifica le modalità di quantificazione della predetta sanzione, che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1, del Regolamento), individuando, a tal fine, una serie di elementi, elencati al par. 2, da valutare all’atto di quantificarne il relativo importo.

In adempimento di tale previsione, tenuto conto delle informazioni economico-finanziarie contenute nel bilancio di esercizio al 31 dicembre 2021 prodotto dall’Università in sede difensiva, devono essere considerate le seguenti circostanze aggravanti:

1. la durata e la gravità dei trattamenti, protratti per anni e interrotti solo a seguito dell’intervento del Garante, che hanno comportato l’invio di messaggi promozionali indesiderati agli interessati senza alcun consenso e senza alcuna possibilità di ottenere l’interruzione della condotta (art. 83, par. 2, lett. a), del Regolamento);

2. il carattere gravemente colposo delle violazioni dal momento che l’Università ha dimostrato di non tenere in alcun conto i diritti degli interessati, cui non ha fornito tempestivi e adeguati riscontri nonostante fosse già a conoscenza delle numerose doglianze, dirette al titolare prima ancora che al Garante (art. 83, par. 2, lett. b), del Regolamento);

3. il grado di responsabilità del titolare, tenuto conto che non ha dato atto di disporre di misure tecniche e organizzative adeguate ad evitare il ripetersi delle condotte contestate né ha ritenuto di dover intervenire dopo le contestazioni mosse dal Garante (art. 83, par. 2, lett. d), del Regolamento);

4. lo scarso grado di cooperazione con l’Autorità di controllo, se non un vero e proprio ostacolo alla sua attività, non avendo – senza peraltro addurre alcuna motivazione - fornito riscontro per ben due volte e avendo richiesto di essere audita, salvo poi rinviare continuamente la data dell’audizione, da ultimo disertata senza giustificazioni; tali condotte hanno comportato inutile impegno di risorse pubbliche e una dilatazione dei tempi del procedimento a fronte di molti aspetti che non sono mai stati chiariti dal titolare, tenuto conto che, nonostante le contestazioni mosse, l’Università non ha adottato alcuna misura atta a correggere la propria condotta (art. 83, par. 2, lett. f), del Regolamento).

Quali elementi attenuanti, si ritiene di poter tener conto:

1. del numero di interessati coinvolti (atteso che risultano pervenuti solo due reclami) e del basso livello di danno da essi subito (art. 83, par. 2, lett. a) del Regolamento);

2. dell’assenza di precedenti analoghe violazioni commesse dal titolare (art. 83, par. 2, lett. e) del Regolamento);

3. della natura dei dati trattati, consistenti in dati comuni anagrafici e di contatto (art. 83, par. 2, lett. g) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 4 e 5 del Regolamento, nella misura di euro 75.000,00 (settantacinquemila) pari allo 0,375% della sanzione edittale massima di 20 milioni di euro, per le violazioni descritte al paragrafo 3 del presente provvedimento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva anche in considerazione delle capacità economiche del titolare.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione nel sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019, in considerazione della portata delle violazioni.

Si rileva che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecito il trattamento descritto nei termini di cui in motivazione effettuato dalla Università Telematica E-Campus, con sede in Como, via Isimbardi n. 10, P.IVA n. 03227780131, e conseguentemente:

a) ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiunge al titolare di rivedere le proprie misure tecniche e organizzative, anche attraverso la veicolazione di apposite istruzioni agli incaricati del trattamento, al fine di assicurare che le richieste degli interessati siano tempestive e idonee a soddisfare quanto da essi richiesto;

b) ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiunge al titolare di verificare le misure tecniche e organizzative adottate per il trattamento di dati personali con finalità promozionali, anche nel caso di affidamento a terzi, al fine di assicurare ed essere in grado di documentare che tali trattamenti avvengano in forza di un idoneo consenso;

c) con riguardo ad eventuali banche dati già costituite, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, impone il divieto di trattamento per finalità promozionali dei dati di cui l’Università non sia in grado di documentare il possesso di un idoneo consenso;

d) ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiunge al titolare di stabilire appropriati tempi di conservazione dei dati personali dandone comunicazione agli interessati attraverso l’informativa privacy;

e) ai sensi dell’art. 157 del Codice, ingiunge al titolare di comunicare all’Autorità, nel termine di 30 giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alle misure imposte; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5 lett. e) del Regolamento;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, alla Università Telematica E-Campus, in persona del suo legale rappresentante, di pagare la somma di euro 75.000,00 (settantacinquemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

alla predetta Università, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 75.000,00 (settantacinquemila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981;

DISPONE

a) ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento nel sito web del Garante;

b) ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.

Si ricorda che, ai sensi dell’art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto del trattamento è punito con la reclusione da tre mesi a due anni e che, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e) del Regolamento.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 18 luglio 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei

______

1) Cfr., tra i più recenti, il provvedimento n. 9 dell'11 gennaio 2023 in www.garanteprivacy.it, doc web n. 9861941 e il provvedimento n. 202 del 17 maggio 2023, doc web n. 9899880.