g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di B&T S.p.A. - 25 novembre 2021 [9737185]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

- VEDI ANCHE NEWSLETTER DEL 31 GENNAIO 2022

 

[doc. web n. 9737185]

Ordinanza ingiunzione nei confronti di B&T S.p.A. - 25 novembre 2021

Registro dei provvedimenti
n. 413 del 25 novembre 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale ha preso parte la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

Con reclamo del 22 febbraio 2019, avanzato a questa Autorità ai sensi dell’art. 77 del Regolamento, l’avv. XX, rappresentando di aver ricevuto numerosi sms indesiderati con mittente “Dorelan”, ha lamentato l’impossibilità di esercitare a pieno i propri diritti di accesso ai dati e di opposizione.

In particolare, l’avv. XX ha ricostruito, allegando pertinente documentazione, gli scambi intercorsi con la B&T S.p.A. (di seguito, B&T), titolare del marchio Dorelan e soggetto identificato dal link in calce agli sms. Da tali interlocuzioni è emerso che la B&T si era dichiarata estranea al materiale invio degli sms, cui avrebbe provveduto per suo conto un terzo (non menzionato), ed aveva invitato il reclamante ad inserire il suo numero di telefono al link https://www.smsspot.it/privacy-cancellazione/ oppure a scrivere all’indirizzo supporto@ smsspot.it. Proprio da quest’ultimo indirizzo, inserito per conoscenza negli scambi intercorsi, è pervenuta un’ulteriore risposta al reclamante a nome della Società Aimon s.r.l. che si è qualificata “responsabile esterno, in quanto…si rivolge a fornitori di Database”. Anche Aimon ha omesso di fornire indicazioni in merito al detentore della banca dati, qualificato come titolare del trattamento, ma si è limitata a comunicare al reclamante che le sue richieste sarebbero state inoltrate all’indirizzo privacy@runwhip.com. Dalla documentazione in atti, non risulta che da quest’ultimo indirizzo sia mai pervenuto riscontro al reclamante.

L’Ufficio, con nota del 7 novembre 2019, ha trasmesso il reclamo a tutti i soggetti coinvolti (B&T, Aimon e Runwhip S.r.l.) chiedendo di fornire osservazioni in merito a quanto rappresentato.
Runwhip non ha mai fornito riscontro, neanche in occasione dei successivi solleciti e della notifica della comunicazione di avvio del procedimento da parte della Guardia di Finanza (tale condotta sarà oggetto di valutazione in separato provvedimento).

Dai riscontri forniti da B&T e Aimon alla richiesta di informazioni è invece emerso quanto segue:

- B&T ha dichiarato di non avere la materiale disponibilità dei dati ma di essersi rivolta alla Aimon che avrebbe provveduto all’invio dei messaggi promozionali attraverso la piattaforma “SMS Spot” utilizzando banche dati acquisite nel mercato; nel caso lamentato da XX è stata utilizzata una banca dati fornita da Runwhip S.r.l.;

- Aimon, confermando la ricostruzione di B&T, ha aggiunto di aver acquisito il dato del reclamante da Runwhip che lo avrebbe raccolto dalla società XX e di averlo utilizzato per l’invio dell’sms; non ha tuttavia fornito documentazione comprovante i dati acquisiti e le verifiche fatte sull’asserita liceità degli stessi;

- entrambe hanno assicurato che, pur non avendo la materiale disponibilità dei dati del reclamante, avevano comunque preso nota della sua opposizione alla ricezione di ulteriori contatti volti a promuovere il marchio Dorelan.

Successivamente - con pec del 20 gennaio 2020 diretta al Garante, ad Aimon, Runwhip e B&T - l’avv. XX ha lamentato la ricezione di un ulteriore sms contenente offerte promozionali a marchio Dorelan, nonostante l’asserito recepimento dell’opposizione. A tale istanza, la Aimon ha risposto il 6 febbraio 2020, con pec indirizzata a XX e al Garante, che il numero del reclamante “è stato messo a disposizione al solo fine di utilizzarlo per l’invio del messaggio a favore della B&T S.p.A. alla scrivente società dalla società XX [che] commercializza i dati a sua volta raccolti dalla XX”. Ha, inoltre, aggiunto che quest’ultima società avrebbe raccolto i dati del XX il 23 maggio 2016, a seguito di una iscrizione perfezionata nel sito web www.ricercaperte.com e, per comprovare tale affermazione, ha allegato una stringa estratta da un database in cui risultano tali informazioni unitamente ai campi denominati “1° Privacy” e “2° Privacy” valorizzati a “Yes”. Con riguardo all’invio effettuato dopo l’opposizione e nonostante le assicurazioni fornite in merito al recepimento della stessa, la Aimon ha dichiarato trattarsi di un disguido tecnico.

Infine, il 3 dicembre 2020, con risposta a una specifica richiesta di chiarimenti dell’Ufficio inviata anche a XX, B&T ha ribadito di non aver agito in qualità di titolare del trattamento, ma di aver affidato il servizio promozionale alla Aimon, confidando nelle garanzie contrattuali da quest’ultima offerte in merito alla liceità dei dati personali utilizzati per la campagna promozionale. La stessa ha, inoltre, aggiunto di aver risolto il contratto con Aimon in conseguenza dei fatti emersi con la doglianza.

Quello prospettato con il reclamo in esame, peraltro, non rappresenta un caso isolato essendo pervenuto, il 20 gennaio 2020, un reclamo del signor XX con doglianze pressoché analoghe: la ricezione di un sms con mittente “Dorelan” contenente offerte promozionali relative al marchio Dorelan, a seguito del quale l’interessato si è rivolto a B&T che lo ha invitato a rivolgersi ad Aimon. Anche in questo caso, Aimon ha risposto all’interessato che il titolare del trattamento è il soggetto che detiene la banca dati (in specie, XX).

2. LA CONTESTAZIONE DELLE VIOLAZIONI E L’ESERCIZIO DEL DIRITTO DI DIFESA

2.1. La contestazione

Alla luce di quanto emerso dall’istruttoria preliminare, il 9 marzo 2021 è stata notificata congiuntamente a B&T e Aimon la comunicazione di avvio del procedimento ai sensi dell’art. 166, comma 5, del Codice. L’Ufficio, in particolare, ha osservato che sia B&T che Aimon avevano effettuato dei trattamenti di dati personali, pur non riconoscendosi alcun ruolo in merito e senza provvedere, di conseguenza, a regolare i rispettivi ruoli e responsabilità. Di conseguenza, è stata contestata la violazione dell’art. 5, par. 1, lett. a) e degli artt. 12, 13 e 14 del Regolamento, dal momento che non risultava neanche fornita un’adeguata informativa agli interessati e che questi ultimi non erano stati messi in grado di esercitare correttamente i propri diritti.

Inoltre, è stata contestata anche la violazione dell’art. 21 del Regolamento, non essendo stato possibile esercitare il diritto di opposizione, nonché la violazione dell’art. 6, par. 1, lett. a) del Regolamento e dell’art. 130 del Codice, in ragione dell’invio del secondo sms a XX, nonostante l’opposizione già manifestata dall’interessato e asseritamente recepita dalle Società.

Le memorie difensive successivamente inoltrate, con cui è stata per la prima volta prodotta la documentazione contrattuale che aveva regolato i rapporti tra le parti, hanno consentito di ricostruire il concreto atteggiarsi dei ruoli e delle responsabilità in ordine al trattamento dei dati personali, al di là della qualificazione che le parti stesse si erano attribuite e con risultati in parte diversi da quanto prospettato nelle risposte fornite agli interessati e al Garante.

2.2. La difesa di B&T

B&T, che è stata anche ascoltata in audizione, ha dichiarato di non aver mai avuto la materiale apprensione dei dati ma di aver incaricato la Aimon, che si presentava come leader di mercato, di reperire le liste di contatto, selezionandole esclusivamente tra quelle che garantivano maggiore affidabilità, e di provvedere materialmente all’invio degli sms. Tale incarico era stato remunerato con un corrispettivo ingente proprio in virtù delle maggiori garanzie richieste in termini di liceità dei contatti utilizzati. Affidandosi a tali garanzie contrattuali e contando sugli esiti positivi della collaborazione instaurata, non vi era stata necessità di esercitare un potere di controllo che andasse oltre le interlocuzioni verbali di prassi. Del resto, a detta di B&T, la Aimon aveva la piena autonomia nella scelta dei fornitori di banche dati e per tali ragioni era deputata ad occuparsi anche delle eventuali richieste di cancellazione pervenute (che B&T non poteva in alcun modo verificare non avendo accesso alle liste).

Ad ogni buon conto B&T, al fine di agevolare al massimo la tutela degli interessati, ha provveduto ad implementare alcune misure correttive come, ad esempio, la modifica dell’informativa pubblicata nella landing page raggiungibile dal link posto in calce agli sms, con indicazione dei canali per inviare richieste di esercizio dei diritti. La stessa, inoltre, ha provveduto a riscontrare tempestivamente ogni richiesta pervenuta al servizio clienti, inoltrandola contestualmente alla Aimon (come ad esempio nel caso lamentato dal signor XX). In tale contesto si è inserita la scelta di utilizzare il marchio Dorelan all’interno dei messaggi con l’obiettivo, da un lato, di garantire maggiore serietà alla comunicazione e, dall’altro, di poter avere indirettamente un controllo sull’operato del fornitore, attraverso i feedback da parte degli interessati.

Infine, proprio in conseguenza del reclamo di XX, B&T ha ritenuto venir meno i requisiti di fiducia nei confronti della Aimon e ha risolto il contratto, pur consapevole delle perdite causate dall’interruzione della campagna promozionale in pieno periodo di saldi.

2.3. La difesa di Aimon

Nella memoria dell’8 aprile 2021, Aimon ha descritto l’attività svolta per conto di B&T rappresentando che, ove questa aveva di fatto il ruolo di mero committente, la Aimon aveva operato quale responsabile del trattamento per conto dei soggetti che realizzano le banche dati e che sono da considerare gli unici titolari del trattamento. In particolare, nella ricostruzione fatta da Aimon è stato rappresentato che alcuni soggetti terzi, utilizzando piattaforme web hanno provveduto alla materiale raccolta dei dati degli interessati (ad esempio mediante la partecipazione a concorsi o la registrazione a servizi on line) acquisendo, previa informativa, uno specifico consenso per l’invio di messaggi promozionali e per la trasmissione a terzi. Tali soggetti si sarebbero, poi, avvalsi della piattaforma di Aimon per il materiale inoltro di messaggi il cui contenuto promozionale riguardava prodotti di terzi come B&T. Pertanto, avendo definito le finalità del trattamento (lo sfruttamento a fini promozionali dei dati raccolti), tali list provider sono stati qualificati come titolari.

Con riguardo, invece, agli specifici casi oggetto di reclamo, Aimon ha dichiarato che:

- “in data 29/11/2018 la XX ha utilizzato i dati dell’avv. XX per inviare, in qualità di titolare del trattamento utilizzando la nostra piattaforma di invio sms, il messaggio, contenente informazioni relative a B&T”;

- “in data 17/01/2020 la XX Inc ha utilizzato i dati dell’avv. XX per inviare, in qualità di titolare del trattamento utilizzando anche in questo caso la nostra piattaforma di invio sms, il messaggio, anche in questo caso contenente informazioni relative a B&T”;

- “i dati del signor XX, sono parimenti stati utilizzati in data 16/01/2020 sempre dalla XX”.
La Società dunque, “ospitando tali dati sulla propria piattaforma”, avrebbe agito quale responsabile del trattamento per conto di detti soggetti (di seguito, XX e XX) occupandosi anche della gestione delle richieste di cancellazione pervenute da parte degli interessati.

Aimon, inoltre, ha aggiunto che “i rapporti con i suddetti titolari del trattamento sono frutto dell’attività di intermediazione svolta da parte di due diverse società tramite le quali è stato possibile individuare tali soggetti come fornitori”. In particolare, la Runwhip S.r.l. si era occupata di fungere da intermediario commerciale con XX mentre la XX aveva promosso l’accordo commerciale con XX. Sia Runwhip che XX, stando a quanto dichiarato nella memoria di Aimon, non avrebbero svolto alcuna attività in merito al trattamento dei dati, limitandosi ad intermediare i rapporti commerciali fra Aimon e i list provider (soggetti stranieri che vogliono operare nel mercato italiano).

La stessa Società ha rappresentato poi di aver effettuato delle verifiche preventive sulla liceità delle liste formate dai soggetti qualificati come titolari del trattamento, e in particolare:

- “con la fattiva collaborazione degli intermediari” (Runwhip e XX), ha verificato le caratteristiche delle informative utilizzate al momento della raccolta dei dati e l’esistenza di idonei consensi (verificati a campione); tuttavia, non è stata allegata documentazione comprovante tali verifiche a campione;

- con riguardo al primo sms inviato a XX, ha verificato che i dati dell’interessato erano stati raccolti nel sito www.bedrive.it; la parte ha prodotto (all. 9 alla memoria) copia dell’informativa a suo tempo pubblicata nel detto sito (da cui risulta come titolare del trattamento la XX) e uno scambio di email fra XX, Aimon e XX da cui risulta che quest’ultima ha risposto a XX il 21 gennaio 2019, dopo aver “ricevuto la segnalazione da parte del … referente Runwhip”, indicando i dati personali in suo possesso, il sito web di acquisizione, la data (3 gennaio 2017) e l’IP con cui sarebbe stata effettuata la registrazione; si evidenzia che la risposta di XX risulta inviata all’indirizzo email XX, indirizzo mai utilizzato da XX nelle sue interlocuzioni con il Garante e con tutti i soggetti coinvolti e risultante unicamente dall’estrazione asseritamente effettuata dalla banca dati di XX stessa. Dall’allegato risulta infatti che la Runwhip ha inoltrato alla XX la richiesta di XX, pregandola di fornire riscontro, e che tale richiesta proveniva dall’indirizzo pec del reclamante e non dal menzionato indirizzo gmail. È pertanto probabile che XX non abbia mai ricevuto tale riscontro dal momento che il reclamo è stato integrato a marzo 2019 lamentando la mancanza di informazioni, così come fatto nelle interlocuzioni successive fino all’ulteriore segnalazione del 20 gennaio 2020;

- con riguardo al secondo sms inviato a XX e a quello inviato a XX a gennaio 2020, ha verificato che i dati degli interessati erano stati raccolti nel sito www.ricercaperte.com, di cui allegano l’informativa e due stringhe indicanti la registrazione, che sarebbe avvenuta in data 23 maggio 2016 per XX e 18 dicembre 2016 per XX. Per entrambi risultano valorizzati a “yes” i campi indicati come “1° privacy” e “2° privacy”. Aimon dichiara che, sulla base di quanto confermato dal fornitore XX, i due campi riportati indicavano rispettivamente l’accettazione di “termini e condizioni generali e desidero ricevere informazioni da ricercaperte e siti web associati” e il consenso al trattamento “per l’invio di informazioni e offerte commerciali anche da parte di soggetti terzi ai quali sarà possibile per il titolare comunicare i dati personali da me forniti” (cfr. all. 10 alla memoria);

- per XX, viene allegato uno scambio di conversazioni fra l’interessato, B&T e Aimon (in parte già prodotte con il reclamo) da cui emerge che XX, il 20 gennaio 2020, ha ricevuto dall’indirizzo privacy@ricercaperte.com la medesima stringa comprovante l’iscrizione al sito e i consensi prestati; la comunicazione risulta sottoscritta da “lo staff di Ricercaperte” senza altre indicazioni in merito all’identità del mittente. Si osserva che, con la replica inviata il 20 gennaio 2020 ad Aimon, B&T e XX, XX ha disconosciuto l’iscrizione e ha segnalato che i dati di residenza riportati erano in parte errati;

- per valutare l’adeguatezza delle misure adottate dai fornitori di banche dati, Aimon avrebbe ritenuto sufficiente l’indicazione della data di acquisizione del consenso tramite selezione di apposite caselle nei siti web e avrebbe verificato che “i titolari prevedessero procedure idonee a garantire che la volontà dell’interessato di revocare il suo consenso venga effettivamente rispettata”; di tali verifiche non è stata prodotta documentazione;

- la Società, preso atto di quanto emerso in istruttoria, ha provveduto a modificare alcune modalità operative, ad esempio indicando nel testo dei messaggi un riferimento del titolare, di modo da renderlo contattabile direttamente dagli interessati; inoltre, ha dichiarato di aver provveduto a far cancellare i dati dei reclamanti.

3. GLI ACCERTAMENTI EFFETTUATI DALL’UFFICIO

Aimon ha allegato alla propria memoria difensiva le informative che sarebbero state pubblicate, all’epoca dell’asserita iscrizione da parte degli interessati, nei siti web di XX e XX Dall’esame di tali informative risulta che:

- XX, proprietaria del sito www.bedrive.it, ha sede a Lugano, in Svizzera, e indica come dati di contatto un indirizzo fisico in Svizzera e l’email XX; non è indicato uno stabilimento nel territorio dell’Unione europea e non è indicato il rappresentante nell’Unione (come previsto dall’art. 27 del Regolamento); inoltre, i tempi di conservazione indicati nell’informativa non risultano definiti facendo riferimento solo “ai tempi strettamente necessari ad espletare le finalità illustrate”;

- XX, proprietaria del sito web www.ricercaperte.com, ha sede in Florida e indica come dati di contatto un indirizzo fisico in Florida e le email XX e XX; non è indicato uno stabilimento nel territorio dell’Unione europea, né un  rappresentante nell’Unione; anche qui, con riguardo ai tempi di conservazione si fa riferimento solo al “tempo necessario allo svolgimento del servizio richiesto dall’utente o richiesto dalle finalità descritte”;

- con riguardo al sito web www.ricercaperte.com, l’Ufficio in data 6 ottobre 2021 ha verificato che nello stesso è contenuto esclusivamente un form da compilare per partecipare al concorso denominato “vinci un iPhone XS”. Viene richiesto di inserire obbligatoriamente i seguenti dati: nome, cognome, data e luogo di nascita, indirizzo di residenza, email, numero di telefono; sono presenti quattro caselle, con selezione facoltativa, per l’espressione dei seguenti consensi: accettazione dei termini contrattuali e ricezione di informazioni dal sito e da partner; ricezione di messaggi promozionali da terzi cui i dati potranno essere comunicati; cessione dei dati a terzi; profilazione da parte di promoemail.org e società collegate. Tale sito www.promoemail.org contiene un form del tutto simile e promette la vincita di un iPad ma indica come titolare del trattamento la Società XX XX, con sede a Londra e con indirizzo email XX In entrambi i siti sono riportati, al link “regolamento”, i termini e le condizioni del concorso che, a quanto indicato, si svolge nel territorio della Repubblica italiana; in nessun caso viene indicato il rappresentante fiscale nel territorio dello Stato, che, trattandosi di soggetti stranieri, dovrebbe invece essere nominato come previsto dall’art. 5, comma 2, del dPR 26 ottobre 2001, n. 430.

Aimon ha allegato alla propria memoria difensiva due atti denominati “accordo sul trattamento dei dati” sottoscritti, uno con XX il 5 ottobre 2018, e l’altro con XX il 6 dicembre 2019. In tali documenti Aimon è qualificata come responsabile del trattamento, mentre XX e XX come titolari.

Inoltre, Aimon ha allegato il contratto sottoscritto con Runwhip il 5 ottobre 2018 e quello sottoscritto con XX il 6 dicembre 2019. Dall’esame dei due contratti, dalla medesima impostazione, emerge che Runwhip e XX sono qualificate come “intemediario” con il ruolo di facilitare l’accesso nel mercato italiano di soggetti, quali XX e XX, detentori di banche dati. Viene inoltre specificato che tali intermediari operano, a loro volta, come responsabili del trattamento rispetto al proprietario della banca dati, qualificato come titolare. Quest’ultimo soggetto “avvalendosi dell’assistenza dell’intermediario” provvede a caricare il proprio database nella piattaforma gestita da Aimon per il materiale invio agli utenti finali. Inoltre, in entrambi i contratti è specificato che l’intermediario, in quanto responsabile del trattamento, dichiara sotto la sua responsabilità che le banche dati sono state formate nel rispetto delle norme a tutela dei dati personali. Non è stato possibile verificare in concreto il ruolo di tali “intermediari” dal momento che Runwhip si è sottratta a qualsiasi interlocuzione e XX, menzionata solo in chiusura di istruttoria, non è stata interpellata.

Sia Aimon che B&T hanno allegato i tre contratti sottoscritti per le campagne 2018/2019/2020.

In particolare, dall’esame del contratto firmato il 4 ottobre 2018 emerge che Aimon si impegnava a selezionare un determinato target, differenziando gli invii per punto vendita/ area geografica e avrebbe provveduto a gestire le richieste di cancellazione mediante l’indirizzo email supporto@smsspot.it. Non c’è alcuna qualificazione dei ruoli e delle responsabilità in ordine al trattamento dei dati: B&T, in quanto cliente, è definita “inserzionista” e determina i requisiti della campagna e i testi dei messaggi; Aimon, invece, “si impegna ad effettuare l’invio su contatti profilati secondo i requisiti della campagna indicati dal cliente”. È riportata l’informazione che i dati dei destinatari provengono da registrazioni a servizi on line e che i titolari sono gli  “editori” dei siti web. È inoltre previsto che “all’inizio o in calce al testo dell’sms o e-mail viene inserito l’identificativo dell’editore e/o del responsabile del trattamento dati per il quale vengono utilizzati fino a un massimo di nove caratteri. L’identificativo … è di tipo collegamento ipertestuale e conduce a uno spazio web all’interno del quale il destinatario può ottenere informazioni dettagliate circa l’informativa privacy sottoscritta e i riferimenti del titolare del trattamento”. Tuttavia, come già descritto, nel testo degli sms ricevuti dai reclamanti era indicato come mittente “Dorelan” e il link rimandava al sito del marchio Dorelan.

Il contratto sottoscritto il 3 gennaio 2019, simile nei contenuti, prevede anche che Aimon gestisca per conto di B&T, nel caso di campagne interattive, un database con i dati dei soggetti che, rispondendo ai messaggi, abbiano espresso la volontà di essere ricontattati.
Infine, dall’esame del contratto concluso il 17 dicembre 2019, si nota l’aggiunta di alcuni passaggi. In particolare, viene concordata la responsabilità di Aimon di “verificare la legittimità dei database da utilizzare e a rendere conoscibili al cliente i dati identificativi dei fornitori dai quali riceve i database….Il cliente ha la facoltà di opporsi all’utilizzo di determinati fornitori” con espressa manleva a favore di B&T per qualsiasi danno dovesse derivare dall’utilizzo dei dati personali contenuti in tali database. In tale contratto risulta allegata la lista dei fornitori di database “dei contatti forniti in licenza d’uso” ad Aimon.

4. VALUTAZIONI DI ORDINE GIURIDICO

Con riferimento ai profili fattuali sopra evidenziati, anche in base alle affermazioni della Società di cui il dichiarante risponde ai sensi dell’art. 168 del Codice, si formulano le seguenti valutazioni in relazione ai profili riguardanti la disciplina in materia di protezione dei dati personali.

4.1. Sulla qualificazione dei ruoli in ordine al trattamento dei dati personali

Richiamando quanto ricostruito al precedente punto 3, si osserva innanzitutto che, confrontando le prospettazioni riportate nelle memorie, i contratti allegati e la documentazione prodotta dai reclamanti, la volontà cartolare delle parti non risulta corrispondente alla concreta esecuzione della condotta da parte di Aimon e B&T. Se infatti nei contratti le parti non si sono date alcuna qualificazione nel trattamento, hanno invece effettuato comunque un trattamento, pur con ruoli e responsabilità differenti, che si è in parte discostato nei fatti da quanto pattuito. Ad esempio, si osserva che, pur avendo previsto l’inserimento del nome del proprietario della banca dati nel testo dell’sms, il messaggio effettivamente inviato recava solo un link alla landing page del marchio Dorelan (nel caso di specie, con riferimento al punto vendita di Siena).

Pertanto, al fine di determinare il concreto atteggiarsi dei ruoli e, di conseguenza, il grado di responsabilità di B&T e di Aimon, occorre esaminare congiuntamente le dichiarazioni delle parti con gli elementi documentali da queste prodotti in fase difensiva.

Si devono poi richiamare le definizioni di titolare e responsabile di cui all’art. 4 del Regolamento, dove è “titolare” la persona fisica o giuridica che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento, mentre è “responsabile del trattamento” il soggetto che tratta dati personali per conto del titolare.

Come meglio chiarito nelle Linee guida 7/2020 dell’EDPB , indipendentemente dalla qualificazione contrattuale dei ruoli, è titolare il soggetto che determina le finalità (why) e i mezzi, cioè le modalità (how), del trattamento; è invece da considerarsi responsabile il soggetto che opera per conto del titolare, eseguendone le istruzioni anche con un certo grado di autonomia senza tuttavia poter esercitare alcuna facoltà in ordine alla scelta delle finalità del trattamento.

Come già affermato dal Garante in un caso analogo (provvedimento del 26 ottobre 2017 doc. web n. 7320903), il committente di una campagna promozionale, indipendentemente dalla materiale apprensione dei dati, deve ritenersi titolare del trattamento avendo in concreto determinato le decisioni in ordine alle finalità e modalità del trattamento stesso.

Nel caso di specie si può ritenere che il ruolo di B&T sia certamente da qualificare come titolare del trattamento mentre quello di Aimon, che ha agito in via delegata per conto di B&T, sia inquadrabile come responsabile. Ciò in quanto B&T: ha in concreto determinato il motivo per cui è stato posto in essere il trattamento (la veicolazione di messaggi promozionali); ha scelto i criteri che Aimon avrebbe dovuto seguire per realizzare il trattamento (scelta del target, frequenza degli invii, contenuto dei messaggi), con ciò definendo i mezzi essenziali del trattamento; ha selezionato nel mercato il responsabile del trattamento e gli ha fornito istruzioni in merito al livello di qualità atteso nella scelta delle liste chiedendo anche di verificare che i dati fossero stati raccolti nel rispetto delle norme.

Anche la precisazione, effettuata in corso di audizione, in merito alla scelta di indicare “Dorelan” come mittente per avere un feedback utile a controllare l’operato del fornitore, esprime una legittima prerogativa di controllo da parte del preponente che, allo stesso tempo, realizza una delle principali responsabilità del titolare del trattamento.

Del resto, se la realizzazione di una campagna promozionale può (auspicabilmente) apportare benefici in termini di incremento delle vendite, questa può anche comportare, se non correttamente eseguita, una lesione dei diritti delle persone nonché un danno proprio a quell’immagine aziendale che invece si voleva promuovere. È pertanto comprensibile che un committente abbia interesse ad esercitare quelle attività di selezione e vigilanza, proprie di chi opera come titolare del trattamento, che costituiscono per esso un obbligo (come previsto dall’art. 28 del Regolamento) ma allo stesso tempo anche una importante occasione di verificare la corretta esecuzione della commessa.

Inoltre si deve aver riguardo agli effetti prodotti sugli interessati. Nel caso specifico, sulla base di quanto rappresentato nel reclamo di XX ma anche nel successivo reclamo di XX, si è avuto l’invio di sms promozionali recanti come mittente “Dorelan” e contenenti offerte promozionali a marchio Dorelan. Una tale configurazione dei messaggi ha evidentemente ingenerato nei riceventi la convinzione di essere stati contattati direttamente dalla società facente capo al marchio Dorelan. Difatti, gli stessi si sono rivolti in prima battuta proprio a B&T, sulla base di tale legittimo affidamento, e difficilmente hanno compreso i successivi addebiti di responsabilità ad altri soggetti.

Si deve richiamare, a tal proposito, quanto chiarito dal Garante con il provvedimento generale del 15 giugno 2011 (in www.garantepivacy.it, doc. web n. 1821257) con specifico riguardo al fatto che “…i contatti a carattere promozionale sono effettuati in nome, comunque per conto e nell’interesse della società preponente; con l’effetto che negli interessati si ingenera un legittimo affidamento, dal momento che essi percepiscono di essere destinatari di iniziative pubblicitarie condotte direttamente dalla società per conto della quale viene formulata la proposta di vendita di prodotti o servizi”.

In tale quadro, i proprietari delle banche dati (XX e XX) hanno agito quali titolari autonomi dal momento che il trattamento da loro posto in essere (raccolta, conservazione e trasmissione a terzi dei dati) è precedente e del tutto indipendente dal trattamento effettuato da B&T.

Per tali ragioni non è condivisibile la ricostruzione prospettata dalle parti in base alla quale, nel trattamento in questione, B&T sarebbe stato un mero committente senza ruolo, i fornitori di banche dati XX e XX sarebbero stati titolari dello specifico trattamento che ha portato all’invio degli sms a XX e XX e, infine, Aimon avrebbe agito quale responsabile del trattamento per conto dei proprietari di banche dati.

4.2. Sulla responsabilità di B&T

La mancata qualificazione dei ruoli in ordine al trattamento dei dati personali, ha comportato che il trattamento stesso sia stato privato dei requisiti di liceità, correttezza e trasparenza, in violazione dell’art. 5, par. 1, lett. a) e degli artt. 12, 13 e 14 del Regolamento, dal momento che non risulta sia stata fornita agli interessati un’idonea informativa né, di fatto, consentito il pieno esercizio dei diritti (data l’impossibilità per loro di risalire agevolmente la lunga filiera dei soggetti coinvolti per ottenere le informazioni richieste).

Tuttavia B&T, pur non essendosi riconosciuto alcun ruolo in tal senso, e non avendo di conseguenza provveduto agli adempimenti formali in capo al titolare del trattamento, risulta, di fatto, aver comunque esercitato le prerogative del titolare stesso come già chiarito sopra, dimostrando di aver prestato attenzione nella fase di selezione e istruzione del responsabile.

Al contempo, si deve tenere conto che il controllo esercitato dal titolare sull’operato del responsabile, in virtù della fiducia riposta nelle garanzie professionali e negoziali, non è stato affatto adeguato.

Infatti, stando a quanto dichiarato, la B&T ha valutato i contatti verbali tra i propri incaricati e lo scarso numero di doglianze pervenute sufficienti per ritenere che l’attività fosse svolta correttamente, mentre non risulta che abbia richiesto al partner (ed esaminato) la documentazione comprovante la sussistenza dei requisiti di liceità del trattamento. Ad esempio, non risulta che B&T abbia mai chiesto ad Aimon di documentare la provenienza dei dati e, con riguardo alle campagne pubblicitarie nelle quali sono compresi gli sms pervenuti ai reclamanti a gennaio 2020, si deve osservare che il contratto sottoscritto tra le parti a dicembre 2019 recava l’elenco dei list provider di cui Aimon intendeva avvalersi, con facoltà per B&T di richiederne la sostituzione. In tale sede B&T, se avesse effettuato un controllo, ben avrebbe potuto accorgersi della mancanza di alcuni importanti presupposti di garanzia della liceità del trattamento.

Come riportato al precedente punto 3, dalla lettura dell’informativa di XX (indicata per la campagna 2020) e da una semplice consultazione del sito www.ricercaperte.com, era possibile rinvenire già elementi di dubbia conformità al livello di qualità atteso dal titolare.

Innanzitutto era facilmente verificabile il fatto che i dati erano stati raccolti da soggetti stabiliti al di fuori dell’UE senza alcuna indicazione in merito al rappresentante del titolare nell’Unione. Tale requisito è invece obbligatorio ai sensi dell’art. 27 del Regolamento, in base al quale (cfr. art. 27, par. 3) tale rappresentante non deve essere solo stabilito nell’Unione ma deve avere sede in uno degli Stati membri in cui si trovano gli interessati e i cui dati sono trattati nell’ambito dell’offerta di beni o servizi. Inoltre, come già osservato sopra in merito al concorso a premi presente nel sito ricercaperte.com, mancava anche l’indicazione del rappresentante fiscale in Italia, prevista dalle norme che regolano i concorsi a premi.

La scelta di un soggetto non residente nel territorio italiano, o almeno nel territorio dell’UE non garantisce agli interessati la facoltà di far valere i propri diritti e, allo stesso tempo, ostacola le attività di indagine del Garante rendendo estremamente difficile verificare la liceità di tali trattamenti e imporre misure correttive. Tali problematiche, già emerse in occasione di altre istruttorie tuttora in corso, hanno trovato conferma anche nei casi oggetto di reclamo.

Anche con riguardo alla liceità dei consensi asseritamente espressi dagli interessati, si osserva che la documentazione prodotta dai list provider, per il tramite di Aimon, non risulta idonea a dimostrare la reale espressione del consenso alla ricezione di messaggi promozionali e al trasferimento a terzi. Infatti, con riguardo al primo sms inviato a XX, la risposta di XX allegata da Aimon indica soltanto una data e un indirizzo IP senza alcun altro riferimento e, per tali ragioni, potrebbe al massimo indicare la data di avvenuta registrazione nel sito ma non anche documentare la prestazione di uno o più specifici consensi. Invece, con riguardo alle stringhe prodotte da XX per documentare i consensi espressi da XX e da XX, si osserva che il primo consenso comprende, in un’unica formula, l’accettazione dei termini contrattuali e l’assenso a ricevere informazioni da ricercaperte e siti web associati. Sulla veridicità di tale documentazione, inoltre, non è stato possibile effettuare alcun tipo di verifica dal momento che XX ha sede in Florida e, come detto, non risulta aver nominato un rappresentante in Italia né per il trattamento dei dati né per gli aspetti fiscali connessi al concorso a premi.

Del resto, la documentazione del consenso tramite l’indicazione del solo indirizzo IP è una modalità che il Garante ha già ritenuto insufficiente a certificare la volontà inequivocabile degli interessati (cfr. il menzionato provvedimento del 26 ottobre 2017) esistendo invece alternative più idonee a garantire un maggior grado di certezza circa la genuinità della manifestazione del consenso (come la prassi di inviare un messaggio di conferma al recapito indicato in fase di iscrizione).

La previsione pattizia di clausole di manleva non è di alcun rilievo rispetto alle garanzie da prestare all’interessato ma ha valore solo con riguardo alla responsabilità contrattuale delle parti. Pertanto, pur avendo B&T fatto leva sulla fiducia riposta nei confronti di Aimon e sulle garanzie contrattuali apprestate, non è possibile considerarla priva di responsabilità in merito agli effetti prodotti sugli interessati (non solo i reclamanti ma tutti i destinatari dell’attività promozionale effettuata nell’ambito di tali contratti). È onere del titolare del trattamento avvalersi di responsabili che offrano sufficienti garanzie ma questo non basta a ridurre il grado di responsabilità in vigilando che il titolare deve costantemente esercitare nel corso delle attività di trattamento. E ciò è ancor più necessario quando l’attività comporti il coinvolgimento di soggetti terzi, in ragione della potenziale elusione delle norme di garanzia attraverso la ripartizione negoziale delle responsabilità.

Si deve ricordare che l’ordinato svolgimento delle attività di marketing, con l’utilizzo di dati raccolti lecitamente e aggiornati, oltre ad evitare pericolose derive (quali phishing e truffe), giova al mercato stesso tutelando gli operatori virtuosi e rafforzando la fiducia degli interessati. È pertanto necessario adottare la massima diligenza nella selezione delle banche dati ed è compito di questa Autorità vigilare sulla corretta realizzazione dei trattamenti e arginare la circolazione nel mercato di dati personali di cui non si possa verificare in concreto la provenienza.

4.3. Sull’esercizio del diritto di opposizione

La mancata qualificazione dei ruoli e la numerosità di soggetti coinvolti nel trattamento ha comportato anche la difficoltà per gli interessati di esercitare i propri diritti dal momento che, una volta rivolta l’istanza alla B&T, non sono state fornite corrette indicazioni in merito ai soggetti coinvolti nel trattamento e alle modalità per contattarli direttamente, in violazione dell’art. 12 del Regolamento. Ne è conseguito un rilevante limite all’esercizio di quell’autodeterminazione informativa che si esprime proprio attraverso il controllo che l’interessato può effettuare sui propri dati rispetto ai rischi di una dispersione o di un utilizzo non conforme alle finalità della relativa raccolta. Non può infatti ritenersi che una manifestazione di volontà inizialmente espressa in modo consapevole rispetto a determinati trattamenti possa dispiegare effetti a catena, attraverso successivi passaggi dei dati personali da un titolare all’altro in maniera del tutto imponderabile per l’interessato stesso. Nel caso in esame, l’interessato non ha potuto fare altro che rivolgersi a B&T ma questa, pur essendo titolare del trattamento, non aveva strumenti per acquisire direttamente le informazioni richieste e ha incaricato la Aimon; quest’ultima, pur essendo il responsabile del trattamento incaricato di acquisire i dati e riscontrare le richieste, non ha fatto altro che inoltrarle agli “intermediari” che a loro volta le hanno inoltrate ai list provider pregandoli di rispondere direttamente agli interessati in virtù della autonoma titolarità di un altro trattamento, quello che aveva portato all’iniziale raccolta dei dati.

È evidente che una modalità così farraginosa e opaca non può costituire un corretto adempimento dell’obbligo del titolare di fornire agli interessati tutte le comunicazioni di cui agli articoli da 15 a 22 del Regolamento. Obbligo al quale il titolare deve provvedere direttamente, o per il tramite del proprio responsabile, non potendo delegare tale compito ad altri autonomi titolari tanto più se non può verificarne direttamente l’operato.

Oltre a non poter ottenere informazioni in merito a chi aveva ottenuto i dati e alla documentazione del consenso, gli interessati non hanno neanche potuto esercitare correttamente il diritto di opposizione. Ciò in quanto Aimon, pur avendo provveduto a prendere atto della volontà di XX di non ricevere altre comunicazioni da parte di B&T, ha conferito maggiore importanza al fatto che i dati fossero stati estratti da due diverse banche dati, appartenenti a due diversi titolari e ha pertanto realizzato il secondo invio.

In via generale, si deve tenere conto del fatto che l’opposizione al trattamento presentata dall’interessato sarebbe vanificata – come difatti è avvenuto nel caso di XX – in assenza di idonee procedure, poste in essere dal titolare del trattamento, volte a tenere traccia di tale opposizione (anche in caso di affidamento a terzi di parte del trattamento). L’acquisizione da parte di un partner commerciale di un generico consenso per attività promozionale di terzi non può ritenersi, infatti, sufficiente ad eludere la volontà di non essere (più) contattati, specificamente manifestata nei confronti di un titolare del trattamento. È pertanto onere del titolare assicurare che i soggetti che hanno revocato il consenso, o hanno espresso uno specifico diniego, non siano più oggetto di attività promozionale per proprio conto (cfr. anche provvedimento del 9 luglio 2020, doc. web n. 9435753). Nel caso in esame, difatti, si è avuto l’invio di un sms promozionale da parte di Aimon e nell’interesse di B&T anche dopo che l’interessato aveva manifestato la propria opposizione ad entrambe le società. La mancanza di idonee procedure per recepire la volontà degli interessati non ha garantito l’esercizio del diritto di opposizione, in violazione dell’art. 21 del Regolamento comportando, di conseguenza, che l’invio del secondo sms a XX è stato effettuato in assenza di un valido consenso, in violazione dell’art. 6, par. 1, lett. a) del Regolamento e dell’art. 130 del Codice.

4.4. Conclusioni

Tutto ciò premesso, si deve ritenere che le argomentazioni esposte nella memoria difensiva di B&T non siano sufficienti a superare le contestazioni mosse con l’atto di avvio del procedimento del 9 marzo 2021.

Sulla base di quanto sin qui osservato, rinvenuta una responsabilità di B&T nelle illiceità emerse, si ritiene pertanto integrata la violazione degli artt. 5, par. 1, lett. a), 6, par. 1, lett. a), 12, 13, 14 e 21 del Regolamento e dell’art. 130 del Codice.

Di conseguenza, si rende necessario ingiungere alla stessa, ai sensi dell’art. 58, par. 2, lett. d), qualora intenda in futuro avvalersi di terzi per l’invio di messaggi promozionali, di adottare idonee procedure volte a regolare correttamente i rapporti contrattuali con i responsabili del trattamento, effettuando i dovuti controlli e predisponendo un’adeguata informativa per gli interessati, nonché adottando idonee procedure per garantire un pieno ed effettivo riscontro all’esercizio dei diritti.

Inoltre, pur dovendo tenere conto del fatto che la condotta è stata interrotta, con riguardo ai trattamenti già realizzati si ritiene sussistano i presupposti per l’applicazione di una sanzione amministrativa pecuniaria ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento.

5. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

In base a quanto sopra rappresentato, stanti le violazioni richiamate, si rende applicabile la sanzione prevista dall’art. 83, par. 5 del Regolamento.

Ai fini della quantificazione della sanzione amministrativa il citato art. 83, par. 5, nel fissare il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore, specifica le modalità di quantificazione della predetta sanzione, che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del  Regolamento), individuando, a tal fine, una serie di elementi, elencati al par. 2, da valutare all’atto di quantificarne il relativo importo.

In adempimento di tale previsione, nel caso di specie, devono essere considerate le seguenti circostanze aggravanti:

1. la gravità e la durata della violazione, dal momento che il trattamento, pur non essendo assistito dalle necessarie garanzie, si è protratto dal 2018 al 2020, con l’invio di sms a numerosissime utenze mobili (rispettivamente: 2.490.000, 1.800.000, 3.220.000);

2. il grado di responsabilità del titolare del trattamento che non ha posto in essere alcun tipo di controllo sull’attività del responsabile, pur avendone la possibilità.

Quali elementi attenuanti, si ritiene di dover tenere conto:

1. delle misure comunque adottate dalla B&T al fine di contenere il pregiudizio, compreso il fatto che i riscontri da questa resi agli interessati, seppur insoddisfacenti per i motivi anzidetti, sono stati comunque tempestivi e la Società ha dimostrato di essersi prontamente attivata per richiedere l’intervento del responsabile Aimon;

2. del fatto che, se pure si riconosce una colpa derivante da negligenza e imperizia, non si rinviene un dolo nella condotta dal momento che B&T, non possedendo le competenze professionali per selezionare i list provider, si è rivolta ad un soggetto noto nel mercato sostenendo un adeguato investimento economico con l’intenzione di assicurarsi un livello di qualità corrispondente;

3. dell’assenza di precedenti procedimenti avviati a carico della Società;

4. del grado di cooperazione mostrato nelle interlocuzioni con l’Autorità;

5. del fatto che la Società, una volta informata del procedimento instaurato presso il Garante e prim’ancora di ricevere la formale contestazione, abbia deciso di interrompere la campagna promozionale commissionata ad Aimon nonostante le potenziali perdite.

In una complessiva ottica di necessario bilanciamento fra diritti degli interessati e libertà di impresa, e in via di prima applicazione delle sanzioni amministrative pecuniarie previste dal Regolamento, occorre valutare prudentemente i suindicati criteri, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società.

Pertanto si ritiene che, in base al complesso degli elementi sopra indicati, nel raffronto fra il livello di gravità della condotta delle parti e il rispettivo fatturato, debba applicarsi alla B&T la sanzione amministrativa del pagamento di una somma pari a euro 400.000,00 (quattrocentomila/00), pari al 2% del massimo edittale e, anche in ragione degli elementi aggravanti rilevati, la sanzione accessoria della pubblicazione per intero del presente provvedimento nel sito web del Garante come previsto dall’art. 166, comma 7 del Codice e dall’art. 16 del regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecito il trattamento descritto nei termini di cui in motivazione da parte di B&T S.p.A., con sede in Forlì, Via Due Ponti 9, P.IVA n. 00903510402, e conseguentemente:

a)    ai sensi dell’art. 58, par. 2, lett. lett. d), ingiunge alla Società, qualora intenda in futuro avvalersi di terzi per l’invio di messaggi promozionali, di adottare idonee procedure volte a regolare correttamente i rapporti contrattuali con i responsabili del trattamento, effettuando i dovuti controlli e predisponendo un’adeguata informativa per gli interessati, nonché adottando idonee procedure per garantire un pieno ed effettivo riscontro all’esercizio dei diritti.

ORDINA

a B&T S.p.A., con sede in Forlì, Via Due Ponti 9, P.IVA n. 00903510402, di pagare la somma di euro 400.000,00 (quattrocentomila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 400.000,00 (quattrocentomila/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

a) ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate;

b) ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento nel sito web del Garante.

Il Garante, ai sensi dell’art. 58, par. 1, del Regolamento (UE) 2016/679, invita altresì il titolare del trattamento, a comunicare entro 30 giorni dalla data di ricezione del presente provvedimento, quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel presente provvedimento e di fornire comunque riscontro adeguatamente documentato. Si ricorda che il mancato riscontro alla richiesta ai sensi dell’art. 58 è punito con la sanzione amministrativa di cui all'art. 83, par. 5, lett. e), del Regolamento (UE) 2016/679.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 25 novembre 2021

IL VICEPRESIDENTE
Cerrina Feroni

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei