Ordinanza di ingiunzione nei confronti di Società delle terme s.p.a. - 7...
Ordinanza di ingiunzione nei confronti di Società delle terme s.p.a. - 7 febbraio 2013 [2914209]
Condividi[doc. web n. 2914209]
Ordinanza di ingiunzione nei confronti di Società delle terme s.p.a. - 7 febbraio 2013
Registro dei provvedimenti
n. 52 del 7 febbraio 2013
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;
RILEVATO che il Nucleo speciale privacy della Guardia di finanza, in esecuzione della richiesta di informazioni ai sensi dell´art. 157 del Codice in materia di protezione dei dati personali (di seguito denominato Codice) nr. 15250/53969 del 30 giugno 2010 formulata da questa Autorità, ha svolto un´attività di controllo nei confronti della Società delle Terme s.p.a., con sede in Pescara, via F. De Sanctis n. 14, in persona del legale rappresentante pro-tempore, formalizzata nel verbale di operazioni compiute redatto in data 23 settembre 2010, a fronte della quale e delle successive valutazioni sulla documentazione acquisita in sede di controllo, è stato accertato che la società: a) rendeva un´informativa inidonea ai sensi dell´art. 13 del Codice a fronte della raccolta dei dati personali, anche di natura sensibile, effettuata ai fini dell´accettazione dei clienti/pazienti (rilievo n. 1); b) acquisiva un consenso non validamente prestato ai sensi dell´art. 23 del Codice, attesa l´inidoneità dell´informativa di cui al precedente punto a) (rilievo n. 2); c) ometteva di rendere due distinte informative di cui all´art. 13 del Codice a fronte della raccolta di dati effettuata tramite due form di raccolta dati denominati "Richiesta informazioni" e "Lavora con noi" entrambe presenti sul sito Internet www.termedicaramanico.it (rilievi nn.rr. 3 e 4); d) acquisiva un consenso non liberamente espresso ai sensi dell´art. 23, comma 3 del Codice, attesa la preflaggatura della casella "ricevi newsletter" presente sul form di raccolta dati "richiesta informazioni" del sito Internet www.termedicaramanico.it (rilievo n. 5);
VISTO il verbale n. 91/2010 del 19 novembre 2010 con cui sono state contestate alla predetta società tre violazioni amministrative previste dagli artt. 161, in relazione all´art. 13, e due violazioni amministrative previste dall´art.162, comma 2-bis, nella formulazione antecedente alla modifica introdotta con legge 20 novembre 2009, n. 166, che punisce la violazione delle disposizioni indicate nell´art. 167 del Codice, tra le quali quelle di cui all´art. 23 del medesimo Codice;
ESAMINATO il rapporto del predetto Nucleo speciale ai sensi dell´art. 17 della legge 24 novembre 1981, n. 689, relativo al verbale di contestazione per violazione amministrativa redatto in data 19 novembre 2010 nei confronti della Società delle Terme s.p.a. per le violazioni degli artt. 13 e 23 del Codice, dal quale non risulta essere stato effettuato il pagamento in misura ridotta;
VISTO lo scritto difensivo inviato ai sensi dell´art. 18 della legge n. 689/1981, con il quale, oltre a chiedere la rateizzazione degli importi delle sanzioni eventualmente comminate, ha evidenziato, relativamente al rilievo n. 1, come la natura del contratto che viene ad instaurarsi tra la Società delle Terme e il fruitore del servizio sia a prestazioni corrispettive, "Quindi appare palese ed inconfutabile che la Società delle Terme s.p.a. (…) è obbligata contrattualmente a richiedere (…) i dati sensibili dell´utente ed a trattarli nei limiti e nell´ambito del trattamento richiesto. Pertanto tali dati (…) saranno trattati e comunicati alla Asl di competenza per poter adempiere necessariamente ad obblighi contrattuali di natura economica ed amministrativa con lo stesso ente". Pertanto circa "(…) la inidoneità dell´informativa ex art. 13 (resa dalla società sul retro della fattura del cliente), in quanto priva delle indicazioni contenute nell´art. 7 (del Codice), (…) vi è da osservare che il comma 2 dell´informativa stessa, (…) contiene le indicazioni delle finalità del trattamento dei dati sensibili", così come gli altri elementi riconducibili all´esercizio dei diritti di cui al citato art. 7 del Codice. Riguardo al rilievo n. 2, ha osservato come "(…) il destinatario dell´informativa (…) è posto nella esclusiva condizione di accettare il trattamento dei propri dati sensibili, così come indicato nei limiti dell´informativa (…)" così che trova applicazione la disciplina dei casi nei quali può essere effettuato il trattamento senza consenso di cui all´art. 24 del Codice. Con riferimento ai rilievi nn.rr. 3, 4 e 5, ha prodotto in atti una relazione della Web Agency New Way s.a.s. quale società gestrice del sito Internet della Società delle Terme s.p.a. nella quale si attesta che la mancanza delle due distinte informative di cui all´art. 13 del Codice a fronte della raccolta di dati effettuata tramite i due form di raccolta dati denominati "Richiesta informazioni" e "Lavora con noi" entrambe presenti sul sito Internet della Società delle Terme s.p.a. nonché la preflaggatura della casella "ricevi newsletter" presente sul form di raccolta dati "richiesta informazioni" del sito Internet della predetta società, è dovuta agli effetti di "(…) attacchi informatici di agenti esterni (…)";
RITENUTO che le argomentazioni addotte risultano idonee solo parzialmente in relazione agli illeciti accertati. In ordine al rilievo n. 1, si evidenzia come l´art. 13 del Codici, nell´indicare tassativamente gli elementi che deve contenere l´informativa agli interessati, preveda, alla lett. e), i diritti di cui all´art. 7. Tale indicazione deve essere diretta ed esplicita, senza che l´interessato debba desumere in maniera difficoltosa le indicazioni puntuali che devono metterlo nelle condizioni di essere consapevole delle proprie prerogative nei confronti del titolare del trattamento dei suoi dati. Riguardo ai rilievi nn.rr. 3 e 4, si evidenzia come la relazione della Web Agency New Way s.a.s., oltre alle semplici dichiarazioni, non fornisca alcun elemento tecnico che abbia una valenza probatoria tale da giustificare le irregolarità contestate dalla Guardia di finanza che, al contrario, ha effettuato gli accertamenti degli illeciti ai sensi dell´art. 13 della legge n. 689/1981, rilevando peraltro che attraverso i predetti form di raccolta dati risultano effettivamente essere stati acquisiti dati personali;
RITENUTO, invece, che i rilievi nn.rr. 2 e 5 devono essere archiviati in quanto, relativamente al rilievo n. 2, l´inidoneità dell´informativa determinata dalla sola assenza dell´indicazione dei diritti di cui all´art. 7 del Codice, non produce alcun effetto circa il fatto che il consenso sia stato espresso liberamente e specificatamente dall´interessato, come nel caso di specie, mentre, relativamente al rilievo n. 5, la casella prefleggata presente sul form di raccolta dati "richiesta informazioni" del sito Internet www.termedicaramanico.it e recante "ricevi newsletter" non può essere assimilata, sulla base degli atti, a un´acquisizione del consenso non liberamente espresso ai sensi dell´art. 23, comma 3 del Codice in assenza di elementi che consentano di rilevare l´effettivo contenuto e l´eventuale invio della medesima;
RILEVATO che la società ha quindi effettuato un trattamento di dati (art. 4 comma 1, lett. a) e b) del Codice) rendendo un´informativa inidonea ai sensi dell´art. 13 del Codice a fronte della raccolta dei dati personali, anche di natura sensibile, effettuata ai fini dell´accettazione dei clienti/pazienti (rilievo n. 1), omettendo di rendere due distinte informative di cui all´art. 13 del Codice a fronte della raccolta di dati effettuata tramite due form di raccolta dati denominati "Richiesta informazioni" e "Lavora con noi" entrambe presenti sul sito Internet www.termedicaramanico.it (rilievi nn.rr. 3 e 4);
VISTO l´art. 161 del Codice che punisce la violazione dell´art. 13 del medesimo Codice con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro per ciascuna delle tre violazioni contestate;
CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge 24 novembre 1981 n. 689, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore e che pertanto l´ammontare delle sanzioni pecuniarie relative alle tre violazioni di cui all´art. 161 (rilievi nn.rr. 1,3 e 4) devono essere quantificati nella misura di euro 6.000,00 (seimila) per quella relativa al rilievo n. 1 e di euro 8.000,00 (ottomila) per i restanti due rilievi, per un importo complessivo pari a euro 22.000,00 (ventiduemila);
VISTO l´art. 164-bis, comma 1, del Codice che prevede che per le sanzioni amministrative di cui al Titolo III, Capo I, del Codice i limiti minimi e massimi possono essere applicati in misura pari a due quinti se la violazione è di minore gravità ovvero in ragione della natura economica e sociale dell´attività svolta;
RITENUTO che, nel caso di specie, con esclusivo riferimento alla violazione di cui all´art. 161 del Codice afferente il rilievo n. 1, ricorrano le condizioni per applicare la diminuzione a due quinti, prevista dall´art. 164-bis, comma 1, del Codice nella misura di euro 2.400,00 (duemilaquattrocento) e che pertanto l´importo complessivo delle quattro sanzioni applicate è pari a euro 18.400,00 (diciottomilaquattrocento);
VISTA la documentazione in atti;
VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;
VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;
RELATORE la dott.ssa Augusta Iannini;
DISPONE
l´archiviazione del procedimento amministrativo sanzionatorio con riferimento alle due violazioni amministrative previste dall´art. 162, comma 2 bis del Codice di cui ai rilievi nn.rr. 2 e 5 del verbale di contestazione;
ORDINA
a Società delle terme s.p.a., con sede in Pescara, via F. De Sanctis n. 14, nella persona del legale rappresentante pro tempore, di pagare la somma di euro 18.400,00 (diciottomilaquattrocento) a titolo di sanzione amministrativa pecuniaria per le violazioni previste dall´art. 161 del Codice, frazionandola, in accoglimento alla richiesta di rateizzazione, in 10 rate mensili dell´importo di 1.840,00 euro (milleottocentoquaranta) i cui versamenti saranno effettuati a partire dal giorno 15 del mese successivo a quello in cui avverrà la notifica della presente ordinanza;
INGIUNGE
alla medesima società di pagare la somma di euro 18.400,00 (diciottomilaquattrocento) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale o in copia autentica, quietanza dell´avvenuto versamento.
Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.
Roma, 7 febbraio 2013
IL PRESIDENTE
Soro
IL RELATORE
Iannini
IL SEGRETARIO GENERALE
Busia
