[doc. web n. 9993105]

Provvedimento del 24 gennaio 2024

Registro dei provvedimenti
n. 40 del 24 gennaio 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presentato ai sensi dell’art. 77 del Regolamento dal Sig. XX nei confronti di MP1 s.r.l.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

PREMESSO

1. Il reclamo nei confronti della società e l’attività istruttoria.

Con reclamo del 3 agosto 2021, il Sig. XX ha lamentato presunte violazioni del Regolamento da parte di MP1 s.r.l. (di seguito, la Società), con riferimento al mancato riscontro all’esercizio del diritto di opposizione, limitazione del trattamento e cancellazione dei dati trattati mediante l’indirizzo di posta elettronica XX, assegnato nell’ambito del rapporto di collaborazione professionale con la Società.

In particolare, è stato rappresentato che l’interessato ha utilizzato il predetto indirizzo e-mail fino al 31 dicembre 2020, per un periodo anche successivo alla cessazione del rapporto di collaborazione, avvenuta il 27 luglio 2020, in base ad un accordo intercorso con la Società.

A seguito della inibizione, da parte della Società, della disponibilità del predetto indirizzo e-mail, secondo quanto lamentato, il reclamante avrebbe chiesto, anche mediante presentazione di una diffida, la cancellazione dell’account.

Dopo la ricezione di una comunicazione, datata 9 aprile 2021, con la quale la Società ha rappresentato di aver “provveduto a reindirizzare in forward la posta in ricezione su altra casella dedicata; ciò, al solo scopo di gestire i relativi ordini e informare i propri clienti […] che il [reclamante] non collabora più con MP1”, in data 7 luglio 2021 il reclamante ha presentato formale richiesta di esercizio dei diritti. A tale istanza la Società non ha fornito riscontro.

Con il reclamo è stato pertanto chiesto all’Autorità di ingiungere al titolare del trattamento di soddisfare le richieste di esercizio dei diritti presentate dall’interessato e, in caso di mancata ottemperanza, di “imporre il divieto del trattamento illegittimo consistente nella persistente attività dell’account riferito al ricorrente”. Con il reclamo è stato altresì chiesto di “disporre a carico della società […] una congrua somma a titolo di risarcimento dei danni conseguenti all’illegittimo comportamento”.

La Società, nel fornire riscontro a un invito ad aderire alle richieste dell’interessato inviato dall’Autorità, con nota del 9 maggio 2023, ha rappresentato che:

a. “la presente vicenda, unitamente ad altre pendenze giudiziali, nasce dalla cessazione del rapporto di collaborazione tra le parti e nello specifico con riferimento alla cessione da parte di [diversa società], di cui il [reclamante] è legale rappresentante, delle quote societarie di minoranza a MP1” (nota 9/5/2023, p. 3);

b. “Dopo la cessione delle quote societarie a favore [della Società], quest’ultima ha lamentato a carico [del reclamante], una condotta illecita in termini di sviamento di clientela […], perpetrata […] anche attraverso l’utilizzo dell’account aziendale” oggetto di reclamo” (nota cit., p. 3);

c. in tale contesto “a fronte della richiesta di dismissione dell’account [da parte del reclamante, la Società] chiariva di aver già da tempo provveduto a reindirizzare inforward la posta in ricezione sull’account in uso all’interessato […] e solo per ultimare la gestione transitoria degli ordini commerciali curata per molti anni (dal 2012) dal proprio collaboratore” (nota cit., p. 4);

d. “nel successivo mese di luglio 2021 e dopo la formale richiesta del [reclamante] l’utenza in esame è stata definitivamente disattivata” (nota cit., p. 4);

e. “si ritiene che la condotta tenuta [dalla Società] nella gestione dei dati di cui all’account in esame sia stata corretta, non essendovi stato alcun trattamento illecito dei dati transitanti sulla casella e-mail, aventi contenuto di carattere non personale, trattandosi di e-mail aziendale, dedicata alla sola gestione degli ordini commerciali indirizzati alla Società” (nota cit., p. 4-5);

f. “l’accorgimento tecnico adottato [dalla Società] nelle more della cessazione dell’utenza telematica in uso all’interessato [è] stato corretto e tale da scongiurare una lesione rilevante ai sensi della normativa di riferimento, avendo [la Società] provveduto a informare gli utenti della casella mail circa la necessità di indirizzare gli ordini commerciali inviati sulla stessa su diverso indirizzo mail all’uopo dedicato” (nota cit., p. 5).

In risposta ad una richiesta di ulteriori informazioni e chiarimenti, la Società, con nota del 10 maggio 2023, ha successivamente dichiarato che:

a. con riferimento alla gestione della posta elettronica aziendale “i dipendenti e i collaboratori della Società […] autorizzano la stessa, nella persona del responsabile del trattamento dei dati personali […] al relativo trattamento tramite apposita informativa […], mentre per la gestione dei relativi accounts aziendali […] a ciascuno viene assegnata dal server gestionale una password temporanea che ciascun utente è libero di cambiare”;

b. il legale rappresentante della Società ha avuto accesso all’account oggetto di reindirizzamento attraverso l’utilizzo di una “apposita mail dedicata […], utilizzata dal medesimo [rappresentante legale] nonché dal personale addetto alla gestione commerciale degli ordini”.

2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e le deduzioni della Società.

Il 1° settembre 2023, l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione alla Società delle presunte violazioni del Regolamento riscontrate, con riferimento agli artt. 5, 12, e 17 del Regolamento.

Con memorie difensive inviate in data 29 settembre 2023, la Società ha dichiarato che:

a. “si ritiene che nessuna condotta della Società rilevi ex art. 12 del Regolamento, avendo [la stessa] provveduto a informare il reclamante sulla gestione transitoria dell’account aziendale e sulle azioni correttive adottate, ben prima dell’esercizio formale dell’azione e della formalizzazione del reclamo” (nota 29/9/2023, p. 1);

b. “ciò è avvenuto, per come già documentato, nella corrispondenza intercorsa tra i rispettivi legali e nell’ambito di una lunga trattativa diretta a dirimere varie pendenze tra le stesse, nascenti dalla fuoriuscita del reclamante dalla compagine sociale” (nota cit., p. 1);

c. il reclamante “è stato reso edotto subito del reinoltro (in-forward) su altra casella mail delle comunicazioni transitanti sull’account di riferimento, secondo una modalità di utilizzo indiretto legittima ex art.12, in quanto nessun dato sensibile e/o personale è stato trattato con riferimento al contenuto esclusivamente “commerciale” delle comunicazioni relative a ordini destinati direttamente” alla Società (nota cit., p. 1);

d. “con tale condotta la Società ha certamente rispettato il principio di minimizzazione dei dati, per come evocato nella comunicazione di avvio del procedimento, con riferimento alle finalità esclusivamente “commerciale” dell’utilizzo, senza invadere la sfera personale del reclamante” (nota cit., p. 1);

e. “la Società ha legittimamente continuato a gestire il flusso degli ordinativi in corso e mantenuto i rapporti con i clienti senza invadere la sfera personale dell’interessato, così realizzando quell’adeguato bilanciamento degli interessi in gioco (necessità di prosecuzione dell’attività economica del titolare del trattamento e diritto alla riservatezza dell’interessato), richiamato dal Garante, provvedendo poi alla definitiva chiusura dell’account dando di fatto riscontro alla richiesta di cancellazione formalizzata dall’interessato; ciò, nel pieno rispetto del diritto alla cancellazione dei dati previsto dall’art. 17, sia pure con tempi e con modalità informali e non previste dal regolamento” (nota cit., p. 1-2);

f. “sulla definitiva cessazione dell’account e sulla relativa tempistica si evidenzia l’impossibilità della [Società] di documentare con data certa e precisa la data di effettiva dismissione dell’indirizzo […], in quanto il gestore della casella non è stato in grado […] di fornire un report cronologico completo, ma solo limitato ad alcuni periodi di funzionamento della casella data in gestione, per cui sotto tale profilo nessuna responsabilità può ricadere sulla Società” (nota cit., p. 2);

g. “si ritiene che la Società abbia agito in assoluta buona fede e nel rispetto delle norme e delle prescrizioni di riferimento, ritenendo non sanzionabili eventuali carenze rilevate dal Garante secondo i criteri valutativi della condotta di cui all’art.83 comma 2, per cui si chiede l’archiviazione del presente procedimento” (nota cit., p. 2).

Nel corso dell’audizione richiesta dalla Società, tenutasi in data 16 novembre 2023, la stessa ha infine sostenuto, tra l’altro, che “la Società ha sostanzialmente riscontrato la richiesta dell’interessato in merito alla cancellazione dell’account. È già stato documentato come in realtà gli obblighi relativi all’istanza dell’interessato siano stati ottemperati anche se al di fuori delle regole di esercizio dei diritti, considerato che vi è stata una interlocuzione tra i legali della Società e quelli del reclamante nell’ambito di una vicenda più ampia”.

Inoltre “qualsiasi condotta riferita alla Società sarebbe scriminata ai sensi dell’art. 17 par. 3 lett. e) del Regolamento Ue 2016/679. Infatti proprio relativamente all’account oggetto di reclamo era nato un contenzioso tra le parti in ordine alla gestione del pacchetto clienti (gestione che avveniva attraverso l’account oggetto di reclamo) quando il reclamante è uscito dall’ambito societario. A seguito della cessione delle quote era stato ipotizzato tra le parti un accordo relativo alla spartizione dei clienti, accordo a cui non è stato dato seguito posto che la Società si è dovuta tutelare a fronte del lamentato sviamento della clientela”.

Infine la Società ha ribadito di aver “attivato il reindirizzamento ad altro account […] in quanto era l’unico strumento che aveva per gestire la situazione transitoria e non perdere i clienti. Non era ipotizzabile un’altra soluzione tecnica”.

3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

3.1. Esito dell’istruttoria. Violazione degli artt. 12 e 17 del Regolamento.

All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, risulta che la Società, in qualità di titolare, ha effettuato alcune operazioni di trattamento, riferite al reclamante, che risultano non conformi alla disciplina in materia di protezione dei dati personali.

In proposito si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

Nel merito è dunque emerso che il reclamante, dopo aver inviato, in data 6 aprile 2021, alla Società una “Diffida a chiudere l’indirizzo di posta elettronica” oggetto di reclamo, il successivo 9 aprile ha ricevuto, da parte della stessa, un riscontro contenente tra l’altro l’indicazione che “nessun diretto utilizzo dell’account e-mail indicato avviene da parte della Società […], avendo la stessa provveduto a reindirizzare in forward la posta in ricezione su altra casella dedicata; ciò, al solo scopo di gestire i relativi ordini e informare i propri clienti tramite la diversa mail che il [reclamante] non collabora più con [la Società]” (All. 3, nota della Società 9/3/2023).

Successivamente, in data 5 luglio 2021, decorsi quasi tre mesi dalla precedente richiesta, il reclamante ha inviato alla Società formale istanza di “ESERCIZIO DI DIRITTI IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (artt. 15-22 del Regolamento (UE) 2016/679)” (All. 6, reclamo 3/8/2021), esercitando in particolare il diritto di opposizione al trattamento dei propri dati personali mediante l’indirizzo di posta elettronica e chiedendo la limitazione del trattamento e la cancellazione del predetto indirizzo di posta elettronica, senza ricevere riscontro.

La Società ha dunque risposto, il 9 aprile 2021, all’atto di diffida del 6 aprile 2021 (“a chiudere l’indirizzo di posta elettronica” riferito al reclamante) sostenendo che “nessun utilizzo” dell’account veniva effettuato, nonostante subito dopo precisasse che l’account stesso era stato reindirizzato su altro account aziendale, circostanza che comporta, invece, l’effettuazione di attività di trattamento da parte della Società.

A fronte della successiva istanza formale di esercizio dei diritti previsti dal Regolamento presentata dal reclamante, la Società non ha poi fornito alcun riscontro all’interessato.

Tale condotta risulta in contrasto con quanto stabilito dall’art. 17 del Regolamento laddove stabilisce che l’interessato ha il diritto di ottenere, dal titolare del trattamento, la cancellazione “senza ingiustificato ritardo” dei dati personali che lo riguardano in presenza di specifici motivi indicati dalla norma.

Il correlativo obbligo posto in capo al titolare del trattamento deve seguire le modalità prescritte dall’art. 12, in particolare laddove prescrive che “il titolare del trattamento fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa”.

La Società avrebbe pertanto dovuto fornire “al più tardi entro un mese” una risposta specifica alla richiesta di cancellazione dei dati trattati a seguito della cessazione del rapporto di lavoro.

Né quanto previsto dalle disposizioni sopra richiamate può essere soddisfatto, come ritenuto dalla Società, dalla circostanza che la cancellazione sarebbe stata effettuata “di fatto”, vale a dire senza osservare le specifiche modalità previste dalla disciplina di protezione dei dati personali (“con tempi e con modalità informali e non previste dal regolamento”: memorie difensive 29/9/2023).

Tale argomento non può essere accolto sia perché le concrete modalità previste dal Regolamento sono parte integrante del diritto riconosciuto all’interessato. Inoltre, dagli atti del procedimento, non emerge con certezza la data dell’avvenuta cancellazione dell’indirizzo di posta elettronica oggetto di reclamo.

La Società, infatti, ha in proposito dichiarato al Garante di aver disattivato l’indirizzo e-mail nel corso del “mese di luglio 2021 e dopo la formale richiesta del [reclamante]”, allegando una dichiarazione del gestore che, in data 22 febbraio 2023, attesta che la casella e-mail oggetto di reclamo “risulta eliminata da più di 3 mesi” (All. 4, nota della Società 9/3/2023).

Sulla base della documentazione fornita dal titolare del trattamento, emerge pertanto che la cancellazione è avvenuta in una data imprecisata, anteriore alla metà di dicembre 2022.

Da ultimo si osserva che, se pure la Società, come dichiarato nell’audizione del 16 novembre 2023, non avesse fornito riscontro all’istanza dell’interessato in applicazione dell’art. 17, par. 3, lett. e) del Regolamento (in base al quale il diritto alla cancellazione non si applica se il trattamento è necessario “per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria”), nondimeno avrebbe dovuto fornire un riscontro volto ad informare l’interessato circa i motivi per i quali non si dava corso all’istanza, o si forniva un riscontro parziale, e i rimedi previsti dall’ordinamento avverso tale decisione.

Ciò alla luce di quanto espressamente stabilito dall’art. 12, comma 4, del Regolamento, in base al quale il titolare “Se non ottempera alla richiesta dell'interessato, […] informa l'interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell'inottemperanza e della possibilità di proporre reclamo a un'autorità di controllo e di proporre ricorso giurisdizionale” (sull’obbligo di fornire comunque un riscontro all’interessato ai sensi dell’art. 12, par. 4 del Regolamento, sebbene con riguardo al diritto di accesso, v. Cass., sez. I civ., 4/4/2023, n. 9313).

La Società, pertanto, nei termini sopra descritti, non ha ottemperato all’obbligo di fornire riscontro all’interessato a seguito dell’esercizio dei diritti previsti dal Regolamento - nel caso di specie il diritto di cancellazione ai sensi dell’art. 17 -, nei termini e con le modalità prescritte dall’art. 12 del Regolamento.

3.2. Violazione dell’art. 5, par. 1, lett. c) del Regolamento.

È altresì emerso che la Società, dopo la cessazione del rapporto di collaborazione con il reclamante (avvenuto formalmente il 27/7/2020), ha consentito che quest’ultimo utilizzasse, fino al 31 dicembre 2020, l’account di posta elettronica già assegnatogli.

Successivamente, la Società ha reindirizzato l’account di posta elettronica, a suo tempo assegnato al reclamante, su un altro indirizzo e-mail aziendale, accessibile al rappresentante legale e al personale addetto alla gestione commerciale degli ordini.

Ciò è avvenuto per un periodo di tempo che non è stato possibile quantificare con certezza, posto che, come esposto nel precedente paragrafo, il titolare non è stato in grado di comprovare che la cancellazione sia avvenuta proprio nella data indicata (il mese di luglio 2021).

È in ogni caso certo che il reindirizzamento si è protratto per un periodo compreso tra la fine del mese di dicembre 2020 e – quantomeno – il mese di luglio 2021 (v. All. 5 alla nota 9/3/2023 della Società, contenente copia di una comunicazione inviata il 2/7/2021 all’indirizzo e-mail oggetto di reclamo, alla particolare attenzione del reclamante, alla quale è stata fornita risposta da un esponente della Società tramite l’indirizzo aziendale sul quale l’account assegnato al reclamante è stato reindirizzato).

Secondo quanto dichiarato dalla Società nel corso del procedimento, il reindirizzamento avrebbe rappresentato l’unica “soluzione tecnica” idonea a “gestire il flusso degli ordinativi in corso e manten[ere] i rapporti con i clienti”.

Alla luce di quanto sopra, il trattamento effettuato attraverso l’account oggetto del reclamo non appare tuttavia adeguato e proporzionato rispetto alla finalità dichiarata (“ultimare la gestione transitoria degli ordini commerciali curata per molti anni (dal 2012) dal proprio collaboratore”: nota della Società 9/3/2023).

Tale valutazione emerge sia dalla constatazione dell’ampio periodo di attivazione della misura del reindirizzamento (almeno sette mesi) che peraltro sarebbe stata interrotta, secondo quanto dichiarato, non già all’esito della valutazione del venir meno delle esigenze “transitorie” di gestione degli ordini bensì su richiesta (reiterata) dell’interessato.

La Società non ha comunque comprovato che tale misura fosse l’unica disponibile, né peraltro che, tramite la gestione dell’account, il reclamante avrebbe posto in essere attività di sviamento della clientela.

Posto che, in termini generali, lo scambio di corrispondenza elettronica − estranea o meno all’attività lavorativa − su un account aziendale di tipo individualizzato configura un’operazione che consente di conoscere alcune informazioni personali relative all’interessato (v. "Linee guida del Garante per posta elettronica e Internet", 1.3.2007, in G. U. n. 58 del 10.3.2007, spec. punto 5.2, lett. b), il Garante ha già ritenuto conforme ai principi di necessità e minimizzazione che dopo la cessazione del rapporto di lavoro il titolare provveda alla rimozione dell’account previa disattivazione dello stesso e contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti alla sua attività professionale (v., tra gli altri, da ultimo: Provv. 27 aprile 2023, doc. web n. 9909235; Provv. 9 marzo 2023, n. 68, doc. web n. 9877754).

Ciò anche a tutela dei terzi mittenti delle comunicazioni, la cui aspettativa di riservatezza non risulta essere stata tutelata nel caso concreto posto che gli stessi sono stati resi edotti della cessazione del rapporto professionale del reclamante con la Società dopo che il contenuto delle comunicazioni indirizzate all’account riferito a quest’ultimo era stata appresa dalla Società (v. il già richiamato All. 5 alla nota 9/3/2023 della Società).

La condotta della Società, così come accertata, ha pertanto violato il principio di minimizzazione dei dati (art. 5, par. 1, lett. c) del Regolamento) in base al quale il titolare del trattamento deve trattare solo i dati “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”.

Conformemente a quanto stabilito dal Garante in casi analoghi, la finalità (legittima) di gestire il flusso degli ordinativi in corso e mantenere così i contatti con i propri clienti, si sarebbe potuta perseguire con trattamenti meno invasivi e, quindi, conformi alla disciplina di protezione dei dati, rispetto a quello posto in essere nel caso di specie.

Si rileva, infine, che non può essere accolto quanto obiettato dalla Società nelle memorie difensive, ossia che tale profilo di violazione delle disposizioni poste in materia di protezione dei dati costituirebbe una “nuova censura contenuta nella comunicazione di avvio del procedimento, in quanto mai contestata prima, e non oggetto di specifica doglianza da parte del reclamante”.

L’Autorità di controllo, infatti, svolge i compiti ed esercita i poteri attribuiti dagli artt. 57 e 58 del Regolamento anche indipendentemente dalle istanze presentate dagli interessati. La riscontrata violazione del principio di minimizzazione è stata oggetto di contestazione con la notifica della comunicazione di avvio del procedimento del 1° settembre 2023 e anche su tale punto la Società ha esercitato il proprio diritto di difesa.

Si evidenzia infine che l’ordinamento non attribuisce all’Autorità alcuna competenza in ordine all’accertamento di eventuali danni subiti dall’interessato per effetto del trattamento dei dati personali a sé riferiti (v. art. 82 del Regolamento e 152 del Codice).

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Per i suesposti motivi l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati personali effettuato dalla Società e segnatamente l’inidoneo riscontro all’ istanza di cancellazione presentata dal reclamante e il reindirizzamento - per un periodo significativo di tempo – dell’indirizzo di posta elettronica individualizzato dopo la cessazione del rapporto di collaborazione con il reclamante stesso, risulta infatti illecito, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. c), 12 e 17 del Regolamento.

La violazione accertata nei termini di cui in motivazione non può essere considerata “minore”, tenuto conto della natura della violazione che ha riguardato l’esercizio dei diritti dell’interessato, della gravità e della durata della violazione stessa, del grado di responsabilità e della maniera in cui l'autorità di controllo ha preso conoscenza della violazione (v. Considerando 148 del Regolamento).

Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento, si dispone una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) Regolamento).

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

All’esito del procedimento risulta che MP1 s.r.l.  ha violato gli artt. 5, par. 1, lett. c), 12 e 17 del Regolamento. Per la violazione delle predette disposizioni è prevista l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. a) e b) del Regolamento, mediante adozione di un’ordinanza ingiunzione (art. 18, l. 24.11.1981, n. 689).

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

a) in relazione alla natura, gravità e durata della violazione è stata considerata rilevante la natura della violazione che ha riguardato i principi generali del trattamento e l’esercizio dei diritti dell’interessato nonché la durata della violazione stessa (non meno di sette mesi);

b) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare è stata presa in considerazione la condotta della Società e il grado di responsabilità della stessa che non si è conformata alla disciplina in materia di protezione dei dati relativamente a una pluralità di disposizioni;

c) a favore della Società si è tenuto conto della cooperazione con l’Autorità di controllo, della circostanza che la violazione accertata ha riguardato il solo reclamante e della avvenuta cancellazione della casella email oggetto di reclamo.

Si ritiene inoltre che assumano rilevanza, nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla Società con riferimento al bilancio ordinario d’esercizio per l’anno 2022. Da ultimo si tiene conto dell’entità delle sanzioni irrogate in casi analoghi.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di MP1 s.r.l. la sanzione amministrativa del pagamento di una somma pari ad euro 15.000 (quindicimila).

In tale quadro si ritiene, altresì, in considerazione della tipologia delle violazioni accertate che hanno riguardato l’esercizio dei diritti dell’interessato, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante.

Si ritiene, altresì, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO, IL GARANTE

rileva l’illiceità del trattamento effettuato da MP1 s.r.l., in persona del legale rappresentante, con sede legale in Via Umberto Agnelli, 11, Montecelio di Guidonia (RM), C.F. 06613721007, ai sensi dell’art. 143 del Codice, per la violazione degli artt. 5, par. 1, lett. c), 12 e 17 del Regolamento;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento a MP1 s.r.l., di pagare la somma di euro 15.000 (quindicimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

quindi alla medesima Società di pagare la predetta somma di 15.000 (quindicimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/20129, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 24 gennaio 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei