[doc. web n. 9985659]

Provvedimento dell'11 gennaio 2024

Registro dei provvedimenti
n. 14 dell'11 gennaio 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018 n. 101, recante disposizioni per l'adeguamento dell’ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;   

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

Con reclamo del 21 novembre 2022, il signor XX ha lamentato la pubblicazione indebita di suoi dati personali (nome, cognome e titolo di studio) e il mancato riscontro ad un’istanza di esercizio dei diritti (cancellazione dei dati). Questi, in particolare, ha rappresentato di essere un ex socio della Build Lenders S.r.l. (di seguito Build Lenders o la Società) e di aver ceduto le quote societarie, con interruzione di ogni rapporto, a settembre 2021. A distanza di un anno tuttavia i dati del sig. XX erano presenti nella visura camerale e nel sito web https://startup.registroimprese.it/ dove egli veniva indicato (ormai erroneamente) come collaboratore.

Per tali ragioni, il 30 settembre 2022 il sig. XX ha inviato alla Società una richiesta di cancellazione dei dati. Non avendo ricevuto riscontro ed essendo i dati ancora presenti, ha proposto reclamo al Garante.

Il 10 marzo 2023 l’Ufficio ha inviato a Build Lenders, ai sensi dell’art. 157 del Codice, una richiesta di informazioni e di eventuale adesione alle richieste del reclamante cui ha fatto seguito unicamente una comunicazione nella quale si rappresentava la mancanza del reclamo allegato alla richiesta. L’Ufficio ha replicato il successivo 17 marzo e, osservando che la richiesta risultava già completa di allegato, ha comunque provveduto al reinoltro dello stesso. Non essendo più pervenuto alcun riscontro, è stato adottato l’atto di avvio del procedimento prot. n. 75048 del 10 maggio 2023 - notificato con l’ausilio del Nucleo speciale privacy della Guardia di Finanza il 20 giugno 2023 - con il quale è stata contestata la mancata risposta alla richiesta di informazioni del Garante. In pari data, l’organo notificante è stato anche incaricato di provvedere ad acquisire le informazioni oggetto della richiesta del 10 marzo 2023. Sulla base di quanto riportato nel verbale di operazioni compiute del 20 giugno 2023, i verbalizzanti si sono recati presso la sede legale della Build Lenders ma, non trovando nessuno presente, hanno richiesto al portiere dello stabile di contattare un referente. I verbalizzanti sono così stati messi in contatto con la segretaria della Società che si è incaricata di provvedere a contattare il rappresentante legale. Trascorsa più di un’ora dalla predetta telefonata senza che vi fosse stato alcun seguito e non riuscendo più a mettersi in contatto con alcuno, i verbalizzanti si sono recati presso la sede del commercialista incaricato di tenere le scritture contabili della Build Lenders riuscendo a reperire, dopo un’ulteriore telefonata, una socia dello studio nonché moglie del rappresentante legale. Quest’ultimo, delegando per iscritto la moglie, si è limitato a dichiarare che avrebbe provveduto a cancellare i dati del reclamante dalla visura societaria “in sede di rinnovo dei requisiti di start-up innovativa … entro 30 giorni dalla data di approvazione del bilancio di esercizio, che sarà approvato entro fine luglio”.

Infine, il 19 luglio u.s. è pervenuta al Garante una comunicazione dall’indirizzo pec della Società, priva di sottoscrizione, con la quale è stato dichiarato che “la mail pec del 17 marzo 2023 era sfuggita alla visione dell'addetta al controllo” ed è stato ribadito che i dati del reclamante sarebbero stati cancellati entro 30 giorni dall’approvazione del bilancio.
Tuttavia, ad una verifica effettuata dall’Ufficio il 21 dicembre 2023, tali modifiche non risultano essere state effettuate: nella pagina web indicata dal reclamante si rinvengono ancora i dati e l’errata qualifica di collaboratore; inoltre la scheda dell’impresa risulta aggiornata sulla base di una dichiarazione del rappresentante legale del 28 agosto 2023. Gli stessi dati sono presenti anche nella visura camerale.

2. LA CONTESTAZIONE DELLE VIOLAZIONI

Sulla base di quanto acquisito in atti, tenuto conto che il mancato riscontro al Garante era già stato contestato con autonomo procedimento avviato con la nota prot. n. 75048 del 10 maggio 2023, l’Ufficio ha provveduto a notificare a Build Lenders l’atto di avvio del procedimento del 26 settembre 2023 prot.n. 132841/23.

Dandosi qui per interamente richiamate le motivazioni espresse nel menzionato atto, a Build Lenders è stata contestata, in aggiunta alla violazione dell’art. 157 del Codice, la violazione dei seguenti articoli del Regolamento: art. 5, par. 1, lett. a) e d); art. 6; art. 12, par. 3; art. 17.

3. VALUTAZIONI DI ORDINE GIURIDICO

I fatti descritti sono idonei a far ritenere illecito il trattamento posto in essere da Build Lenders. Questa infatti ha trattato i dati del reclamante, mediante pubblicazione on line, senza che vi fosse alcuna base giuridica a giustificare il trattamento. Il sig. XX infatti non era più socio da oltre un anno e pertanto i suoi dati non avevano più motivo di essere presenti nella documentazione societaria. I dati peraltro risultano tuttora presenti in rete nonostante le dichiarazioni rese dalla Società in merito ai tempi di cancellazione.

Per tali ragioni, tenuto anche conto che in corso di istruttoria non è stata fornita alcuna motivazione in merito alle ragioni dell’errata pubblicazione, deve darsi per confermata la violazione dell’art. 5, par. 1, lett. a) e d) e dell’art. 6 del Regolamento; ciò in quanto la pubblicazione di dati non aggiornati, di cui il reclamante ha chiesto la cancellazione, è effettuata in assenza di base giuridica qualificando il trattamento come privo di liceità, correttezza e trasparenza.

Inoltre, la Società non ha fornito riscontro alla richiesta di cancellazione del reclamante inviata con pec del 30 settembre 2022. Pertanto, tenuto conto che anche in questo caso la Società non ha giustificato in alcun modo tale silenzio e, contrariamente a quanto dichiarato al Garante, non ha provveduto a cancellare i dati, risulta integrata la violazione degli artt. 12, par. 3 e 17 del Regolamento. Infine, con riguardo al mancato riscontro alla richiesta di informazioni del Garante si osserva che, in un primo momento, la Società ha dichiarato di non poter rispondere perché la richiesta era priva di copia del reclamo. L’Ufficio ha prontamente replicato facendo notare che il reclamo risultava correttamente allegato ma ha comunque provveduto a reinoltrarlo (benché già presente). Nonostante ciò la Società, che pure era al corrente dell’avvio di un’istruttoria, non ha più fornito riscontro limitandosi a dichiarare successivamente che l’addetta alla visione della posta non si era accorta dell’arrivo del messaggio. La condotta descritta, che resta priva di giustificazioni plausibili, dà atto di un’immotivata mancanza di riscontro alle richieste del Garante e ha reso necessario incaricare il Nucleo speciale privacy della Guardia di Finanza per ottenere le informazioni utili a completare l’istruttoria. Per tali ragioni si ritiene confermata la violazione dell’art. 157 del Codice.

Tutto ciò premesso - tenuto conto che la Società non ha mai provveduto a cancellare i dati del reclamante dalla scheda societaria presente nel portale del Registro delle imprese - ai sensi dell’art. 58, par. 2, lett. c) e g) del Regolamento, si rende necessario ordinare a Build Lenders di provvedere senza ritardo alla cancellazione di detti dati in tutte le sedi in cui non sia più necessaria la loro conservazione e pubblicazione.
 Inoltre, in considerazione dell’illiceità della condotta e della mancanza di azioni correttive, si ritiene ricorrano i presupposti per l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 58, par. 2, lett. i) del Regolamento.

4. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

In base a quanto sopra rappresentato, risultano violate varie disposizioni del Regolamento e del Codice in relazione a trattamenti collegati effettuati da Build Lenders, per cui occorre applicare l'art. 83, par. 3, del Regolamento, in base al quale, se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento vìola, con dolo o colpa, varie disposizioni del Regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave con conseguenziale applicazione della sola sanzione prevista dall’art. 83, par. 5, del Regolamento.

Ai fini della quantificazione della sanzione amministrativa il citato art. 83, par. 5, nel fissare il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore, specifica le modalità di quantificazione della predetta sanzione, che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1, del Regolamento), individuando, a tal fine, una serie di elementi, elencati al par. 2, da valutare all’atto di quantificarne il relativo importo.

In adempimento di tale previsione, ipotizzato, sulla base delle informazioni economiche riportate nel bilancio disponibile nel Registro delle imprese, il ricorrere della prima ipotesi prevista dal citato art. 83, par. 5 e quantificato quindi in 20 milioni di euro il massimo edittale applicabile, devono essere considerate le seguenti circostanze aggravanti:

1. la gravità e la durata delle violazioni rilevate, in ragione del fatto che il reclamante risulta indicato in un registro pubblico come collaboratore della Società nonostante l’intervenuta interruzione del rapporto professionale, tenuto conto che tale erronea informazione è presente da oltre due anni e non è stata corretta neanche dopo l’intervento del Garante né, come promesso, all’atto dell’aggiornamento dei dati nel Registro delle imprese che risulta effettuato con dichiarazione del 28 agosto 2023 (art. 83, par. 2, lett. a), del Regolamento);

2. il carattere gravemente colposo della condotta tenuto conto che il titolare ha agito con noncuranza sia rispetto alla iniziale richiesta di cancellazione ricevuta dal sig. XX, cui non ha mai fornito riscontro né ha motivato tale silenzio, sia rispetto alle richieste rivolte dal Garante cui non ha prestato la dovuta attenzione (art. 83, par. 2, lett. b), del Regolamento);

3. il grado di responsabilità del titolare del trattamento che, nonostante le dichiarazioni rese al Garante, non ha provveduto a cancellare i dati illecitamente pubblicati (art. 83, par. 2, lett. d), del Regolamento);

4. il grado di cooperazione con l’Autorità tenuto conto che la Società non ha fornito riscontro alla prima richiesta di informazioni lamentando la mancanza di un allegato che in realtà era presente, non ha fornito riscontro neanche successivamente e non ha mai fornito giustificazioni in merito alla mancata cancellazione dei dati; anche la condotta tenuta in occasione della descritta visita dei finanzieri incaricati della notificazioni ha dato atto di una generale noncuranza per i compiti dell’Autorità (art. 83, par. 2, lett. f), del Regolamento);

Quali elementi attenuanti, si ritiene di poter tener conto:

1. dell’assenza di precedenti violazioni pertinenti commesse dal titolare del trattamento (art. 83, par. 2, lett. e), del Regolamento);

2. della natura dei dati trattati, consistenti in dati comuni e, più precisamente, solo nel nome, cognome e titolo di studio del reclamante (art. 83, par. 2, lett. g) del Regolamento);
In una complessiva ottica di necessario bilanciamento fra diritti degli interessati e libertà di impresa, in via di prima applicazione delle sanzioni amministrative pecuniarie previste dal Regolamento, occorre valutare prudentemente i suindicati criteri, anche al fine di limitare l’impatto economico della sanzione.

Pertanto si ritiene che - in base al complesso degli elementi sopra indicati, tenuto conto della natura di microimpresa del titolare e dei dati di bilancio - debba applicarsi a Build Lenders la sanzione amministrativa del pagamento di una somma di euro 10.000,00 (diecimila) pari allo 0,05% della sanzione edittale massima di 20 milioni di euro. La sanzione edittale massima è individuata con riferimento al disposto dell’art. 83, par. 5, del Regolamento, tenuto conto che il 4% del fatturato di Build Lenders risulta inferiore ai 20 milioni di euro.

Si rileva che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Si ritiene altresì – in considerazione del fatto che la mancata cancellazione dei dati ha comportato la pubblicazione di errate informazioni in registri pubblici - che, ai sensi dell’art. 166, comma 7, del Codice, e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento nel sito web del Garante, a titolo di sanzione accessoria.

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecito il trattamento descritto nei termini di cui in motivazione effettuato dalla Build Lenders S.r.l., con sede in Bologna, via Santo Stefano n. 11, codice fiscale n. 03874891207;  

b) ai sensi dell’art. 58, par. 2, lett. c) e g) del Regolamento, ordina a Build Lenders di provvedere senza ritardo alla cancellazione dei dati del reclamante dalla documentazione societaria pubblicata nel Registro delle imprese e in tutte le sedi in cui non sia più necessaria la loro conservazione e pubblicazione;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, alla Build Lenders S.r.l., in persona del suo legale rappresentante, di pagare la somma di euro 10.000,00 (diecimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 10.000,00 (diecimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981;

DISPONE

a) ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante;

b) ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, dispone l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.

Si ricorda che, in caso di inosservanza del presente provvedimento, è applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e) del Regolamento.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 11 gennaio 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei