Garante per la protezione
    dei dati personali


Ordinanza diingiunzione nei confronti di Composad s.r.l.

PROVVEDIMENTO DEL 6DICEMBRE 2011

Registro dei provvedimenti
n. 471 del 6dicembre 2011

IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti,presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott.Giuseppe NELLA riunione odierna, alla presenza del prof. Francesco Pizzetti,presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. MauroPaissan e del dott. Giuseppe Fortunato, componenti e del dott. Daniele DePaoli, segretario generale;

ESAMINATO il rapporto dell'Ufficio del Garante per la protezione deidati personali predisposto ai sensi dell'art. 17 della legge 24 novembre 1981,n. 689, relativo al verbale di contestazione per violazione amministrativaredatto in data 30 dicembre 2009 nei confronti di Composad s.r.l., con sede inViadana (Mn), via Lombardia n. 29, in persona del legale rappresentantepro-tempore, per violazione degli artt. 13 e 23 del Codice in materia diprotezione dei dati personali (di seguito denominato Codice);

CONSIDERATO che dagli accertamenti svolti in data 22 maggio 2009 dalNucleo di polizia tributaria della Guardia di finanza di Mantova in attuazionedella richiesta di informazioni  ex art. 157 del Codice (n. 4804/53969datata 4 marzo 2009), giusta delega di questa Autoritą e dalle informazioniacquisite con la nota pervenuta dalla societą in data 5 ottobre 2009, Źrisultato, tra l'altro, che, a fronte della raccolta, effettuata da Composads.r.l., dei dati personali di coloro che si registrano in un apposito form delsito Internet www.emporiokit.it, i relativi trattamenti vengono effettuatida DataConSec s.r.l., nonostante il titolare del trattamento (Composad s.r.l.)abbia designato responsabile del trattamento in out sourcing solamente lapersona del dott. Domenico Carnicella che riveste anche l'incarico diamministratore di DataConSec s.r.l.. E' risultato, inoltre, che la Nascars.r.l., societą specializzata nel web design e web marketing, gestisce alcunisiti di e–commerce della Composad s.r.l. senza che i rapporti tra talisocietą, sotto il profilo della tutela dei dati personali, siano regolati inalcun modo. Quanto riscontrato ha consentito di accertare che Composad s.r.l.riceve gli ordini dai clienti che conferiscono i loro dati personali attraversoil sito web www.emporiokit.it registrandosi per mezzo di un apposito formdi raccolta, rendendo loro, ai sensi dell'art. 13 del Codice, un'informativainidonea poiché non individua il titolare del trattamento, non indicachiaramente le modalitą di esercizio dei diritti di cui all'art. 7 del Codice enon specifica i soggetti terzi a cui i dati vengono comunicati, senza,peraltro, acquisire il prescritto consenso ai sensi dell'art. 23 del Codice;

VISTO il verbale n. 28246/64271 del 30 dicembre 2009 con cui sonostate contestate alla predetta societą le violazioni amministrative previstedagli artt. 161 e 162, comma 2-bis del Codice, in relazione agli artt. 13 e 23,informandola della facoltą di effettuare il pagamento in misura ridotta aisensi dell'art. 16 della legge n. 689/1981;

RILEVATO dal predetto rapporto che non risulta essere stato effettuatoil pagamento in misura ridotta;

VISTI gli scritti difensivi inviati ai sensi dell'art. 18 della leggen. 689/1981, con i quali la societą, in riferimento all'idoneitądell'informativa di cui all'art. 13 del Codice, con particolare riguardo allamancata indicazione del titolare del trattamento dei dati, rileva che "Ilsito web e la pagina che ospita l'informativa (…) riportano chiaramente al lorointerno sia l'indicazione della ragione sociale (…) e dei riferimentitelefonici (…) della Composad s.r.l.  sia il numero di partita I.V.A. diquest'ultima (…)"; mentre relativamente a quanto accertato riguardo la nonchiara indicazione dei diritti di cui all'art. 7 del Codice, osserva che"Questo adempimento Ź sicuramente stato ottemperato dal titolare nelmomento in cui ha espresso l'indicazione dei diritti (…)" nellaformulazione contenuta nell'informativa presente nel sito al momento delcontrollo. Infine, riguardo l'ulteriore elemento di inidoneitą dell'informativaagli interessati, la societą "(…) sottolinea come non venga effettuataalcuna comunicazione di dati a terzi, eccezion fatta per quelle comunicazioniche sono funzionali all'esecuzione stessa del contratto". Circa quantocontestato in ordine alla mancata acquisizione del consenso al trattamento dicui all'art. 23 del Codice, Composad s.r.l. (evidenziando che Nascar s.r.l. noneffettua alcun trattamento di dati personali acquisiti mediante il sitointernet www.emporiokit.it, e che DataConSec s.r.l. Ź stata "(…)chiamata in causa (…) in virtĚ della nomina a responsabile del trattamento deidati personali del dott. Domenico Carnicella, che della DataConSec s.r.l. Źanche amministratore") ritiene che l'omissione rilevata si fondisull'erronea convinzione che Nascar s.r.l. e DataConSec s.r.l. abbiano inqualche modo trattato i dati provenienti dal sito Internet www.emporiokit.it;

RITENUTO che le argomentazioni addotte non risultano idonee inrelazione a quanto contestato, poiché, pur prendendo atto di quanto argomentatocirca il fatto che Nascar s.r.l e DataConSec s.r.l. non possono esserequalificate come autonomi titolari del trattamento dati in questione, si rilevacome tale precisazione risulti inconferente riguardo a quanto contestato. LaGuardia di finanza ha puntualmente accertato, ai sensi dell'art. 13 della leggen. 689/1981, sia la titolaritą del trattamento dei dati personali degliinteressati acquisiti attraverso un apposito form di raccolta del sito web www.emporiokit.it,da individuarsi nella Composad s.r.l., sia la carenza degli elementi previstidall'art. 13 lett. e) ed f). Sul punto, poi, si rileva come all'interessato,anche per effetto dei principi enunciati dall'art. 11 del Codice, devono esserefornite, ai sensi dell'art. 13 del Codice, tutte le informazioni attinenti allospecifico trattamento di dati personali che ci si accinge ad effettuare, nonpotendo essere rimesso allo stesso il compito di individuare (o indovinare)tutti gli elementi richiesti dalle lettere dalla a) alla f) del citato art. 13,comma 1. 

Inoltre, secondo quanto previsto dall'art. 4, comma 1, lett. l), delCodice, la comunicazione di dati personali a terzi puė avvenire, come nel casodi specie, anche "mediante la loro messa a disposizione oconsultazione". Anche sotto tale profilo, pertanto, l'informativa di chetrattasi risulta essere inidonea riguardo lo specifico elemento di cui all'art.13, comma 1 lett. d) del Codice.

Anche relativamente a quanto contestato in ordine alla violazionedell'art. 23 del Codice, si osserva come risulti ritualmente accertato, aisensi dell'art. 13 della legge n. 689/1981, che, diversamente da quantoasserito, Nascar s.r.l. e DataConSec s.r.l., trattano i dati degli interessatiin questione, (tale profilo, peraltro, risulta successivamente confermato anchedagli elementi contenuti nelle rispettive designazioni a responsabile deltrattamento delle predette societą, prodotte da Composad s.r.l. con la nota del28 giugno 2010);

RILEVATO che la societą ha quindi effettuato un trattamento di dati(art. 4 comma 1, lett. a) e b) del Codice) acquisiti tramite un apposito formdi raccolta del sito web www.emporiokit.it, rendendo agli interessatiun'informativa inidonea ai sensi dell'art. 13 del Codice e senza acquisire ilnecessario consenso al trattamento dei dati stessi di cui all'art. 23 delCodice;

VISTO l'art. 161 del Codice che punisce la violazione dell'art. 13 delmedesimo Codice con la sanzione amministrativa del pagamento di una somma daseimila euro a trentaseimila euro;

VISTO l'art. 162, comma 2-bis, del Codice, nella formulazioneantecedente alla modifica introdotta con legge 20 novembre 2009, n. 166, chepunisce la violazione delle disposizioni indicate nell'art. 167 del Codice, trale quali quella di cui all'art. 23 del medesimo Codice, con la sanzioneamministrativa del pagamento di una somma da ventimila euro a centoventimilaeuro;

CONSIDERATO che, nel caso in esame:

a) in ordine all'aspetto della gravitą, l'entitą del pregiudizioo del pericolo deve considerarsi modesta, l'intensitą dell'elemento psicologicoŹ lieve e la modalitą concreta della condotta deve essere valutata inriferimento non alla omessa bensď all'inidonea informativa resa agliinteressati;

b) ai fini della valutazione dell'opera svolta dall'agente, lasocietą ha tempestivamente provveduto ad adeguare l'informativa di cui all'art.13 in argomento nonché a inserire adeguate formule di acquisizione delconsenso, inviando, inoltre, gli scritti difensivi ai sensi dell'art. 18 dellalegge n. 689/1981;

c) circa la personalitą dell'autore della violazione, deve esserepositivamente considerata la circostanza che la societą non risulti avereprecedenti specifici in termini di violazioni alle disposizioni del Codice;

d) in merito alle condizioni economiche dell'agente, al fine dicommisurare l'importo della sanzione alla reale capacitą economica deltrasgressore nel rispetto del principio di uguaglianza, si rileva, per l'anno2010, un consistente attivo patrimoniale;

RITENUTO di dover determinare, ai sensi dell'art. 11 della L. n.689/1981, l'ammontare delle sanzioni pecuniarie per entrambe le violazioni,nella misura del minimo pari a un importo complessivo di euro 26.000,00 euro(ventiseimila);

RILEVATO, altresď, che non si ravvisano gli elementi necessari  aconfigurare uno dei casi di minore gravitą previsto dall'art. 164-bis, comma 1,del Codice;

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni eintegrazioni;

VISTE le osservazioni dell'Ufficio, formulate dal segretario generaleai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Giuseppe Fortunato;

ORDINA

a Composad s.r.l., con sede in Viadana (Mn), via Lombardia n. 29,nella persona del legale rappresentante pro tempore, di pagare la somma di euro26.000,00 (ventiseimila) a titolo di sanzione amministrativa pecuniaria per leviolazioni previste dagli artt. 161 e 162, comma 2-bis del Codice;

INGIUNGE

alla medesima societą di pagare la somma di euro 26.000,00(ventiseimila) secondo le modalitą indicate in allegato, entro 30 giorni dallanotificazione del presente provvedimento, pena l'adozione dei conseguenti attiesecutivi a norma dall'art. 27 della legge 24 novembre 1981, n. 689,prescrivendo che, entro il termine di giorni 10 (dieci) dal versamento, siainviata a questa Autoritą, in originale o in copia autentica, quietanzadell'avvenuto versamento.

Si precisa che avverso il presente provvedimento, ai sensi dell'art.152 del Codice, puė essere proposta opposizione davanti al tribunale ordinariodel luogo ove ha sede il titolare del trattamento entro il termine di trentagiorni dalla notificazione del presente provvedimento.

Roma, 6 dicembre 2011

Il presidente
Pizzetti

Il relatore
Fortunato

Il segretario generale reggente
De Paoli