Garante per la protezione
    dei dati personali


Ordinanza di ingiunzione nei confronti diAlitalia – Compagnia Aerea Italiana s.p.a.

PROVVEDIMENTO DEL 12 APRILE 2012

Registrodei provvedimenti
n. 142 del 12 aprile 2012

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna,alla presenza del prof. Francesco Pizzetti, presidente, del dott. GiuseppeChiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. GiuseppeFortunato, componenti e del dott. Daniele De Paoli, segretario generale;

VISTA la richiesta diinformazioni n. 22439/58513 datata 14 ottobre 2009, formulata ex art. 157 deld.lgs. n.196/2003, recante Codice in materia di protezione dei dati personali(di seguito denominato "Codice"), indirizzata ad Alitalia s.p.a.;

ESAMINATI gli atti relativiagli accertamenti ispettivi effettuati ex art. 157 del Codice nei giorni 15 e16 dicembre 2009 e 21 gennaio 2010 dal Nucleo speciale privacy della Guardia difinanza nei confronti di Alitalia – Compagnia Aerea Italiana s.p.a., consede in Fiumicino (RM), piazza Almerico da Schio (di seguito"Alitalia"), e i verbali di contestazione per violazioneamministrativa nn. 12 e 13 redatti dal medesimo Nucleo speciale privacy in data12 febbraio 2010 nei confronti della medesima società, in persona delrappresentate legale pro-tempore, rispettivamente ai sensi dell'art. 162, comma2-bis, e 161 del Codice, per la violazione delle disposizioni di cui agli artt.33  e 13 del medesimo Codice, che qui si intendono integralmenterichiamati;

VISTI gli scritti difensiviinviati in data 2 aprile 2010 ai sensi dell'art. 18 della legge n. 689/1981 neiquali, circa la violazione dell'art. 13, relativa all'inidonea informativa resain occasione delle chiamate ricevute al proprio call center contattabile al n.unico 06/2222, Alitalia ha dichiarato:

a) di aver "ritenuto dicontemperare l'interesse ad una informativa a mezzo telefono che fosse chiara,con la necessità di rilasciarla celermente e senza generare costi aggiuntivi. Atal fine, [la società] si è avvalsa di una formula certo sintetica e con l'usodi un breve messaggio preregistrato nel corso del tempo di attesa del servizioma, al contempo, assolutamente in linea con [il provvedimento del Garante] del15 novembre 2007 sugli adempimenti semplificati per il customer care";

b) che "l'informativa resaalla clientela è stata considerata coerente con le prescrizioni contenute indetto provvedimento, in particolare, in considerazione del fatto che glielementi richiesti ai sensi dell'art. 13, e non esplicitati in dettainformativa, sono necessariamente conosciuti ed evidenti per la clientela, dalmomento che la stessa si rivolge ad Alitalia per l'acquisto ovvero per laprenotazione di un viaggio o per effettuare un reclamo. Ne consegue che ilcliente è consapevole degli estremi identificativi del titolare del trattamento[] ha chiara la finalità dello stesso e l'ambito di utilizzazione dei dati []come pure le conseguenze di un eventuale rifiuto di rispondere e la naturaobbligatoria o facoltativa del conferimento";

c) "che, come prescritto apag 7 del manuale Standard Comportamentale [] fornito a tutti gli addetti alcall center, nel caso in cui il cliente chieda ulteriori informazioniriguardanti il trattamento dei suoi dati ovvero ponga domande che comportino lanecessità di fornire maggiori dettagli al riguardo, l'operatore indirizza ilcliente alla consultazione del sito web Alitalia, ove tali informazioni sonoreperibili in dettaglio, nell'apposita sezione privacy";

VISTO il provvedimento delGarante dell'8 gennaio 2009, con il quale Compagnia Aerea Italiana s.p.a. (oraAlitalia – Compagnia Aerea Italiana s.p.a.) è stata autorizzata a fornireun'informativa semplificata sul trattamento di dati personali relativi aclienti, fornitori, equipaggi e soggetti manutentori e certificatori dellaflotta di aeromobili acquisiti a conclusione delle operazioni di cessione diAlitalia e a trattare, senza chiedere un nuovo consenso, i dati della clientelaaderente a programmi di fidelizzazione o creditrice di prestazioni da parte diAlitalia (c.d. clienti non volati);

CONSIDERATO che nell'ambitodel predetto provvedimento non ha formato oggetto di esame l'informativa resadalla società attraverso il proprio call center per le chiamate c.d. inbound,nei confronti delle quali trova invece applicazione il provvedimento generaledel Garante del 15 novembre 2007, relativo agli adempimenti semplificati per ilcustomer care;

RILEVATO che, in ordine allacondotta in esame, risulta accertato in atti che Alitalia, nel renderel'informativa di cui all'art. 13 del Codice tramite il proprio call center, hautilizzato un messaggio preregistrato durante la fase di attesa delle chiamateche testualmente recita: "la informiamo che i suoi dati personali sarannotrattati nel rispetto della vigente normativa in materia di privacy";
CONSIDERATOche:

- il messaggio preregistratoutilizzato dalla società si limita a richiamare un generico e del tuttosuperfluo "rispetto della vigente normativa", senza indicare nessunadelle informazioni previste dall'art. 13 del Codice;

- sebbene, come ricordato anchedalla società nelle proprie memorie, sia il Codice che il citato provvedimentodel 15 novembre 2007 prevedano che non sia necessario fornire all'interessatogli elementi che gli sono già noti o che sono già chiaramente evidenti (quali, nel caso specifico, possono risultare gli estremi identificativi deltitolare, le conseguenze di un eventuale rifiuto di rispondere, la naturaobbligatoria o facoltativa del conferimento, la finalità del servizio el'ambito di utilizzazione dei dati), è tuttavia prescritto nel provvedimentomedesimo che il titolare indichi attraverso l'operatore ovvero nell'ambito delmessaggio preregistrato "la modalità attraverso la quale l'interessatopotrà consultare o ascoltare a richiesta un'informativa più specifica, adesempio mediante un sito web o tramite operatore o messaggio registratoascoltabile digitando una cifra sulla tastiera del telefono";

- al contrario, la società,nell'ambito del "manuale Standard Comportamentale" fornito agliaddetti al call center, ha previsto che l'operatore indirizzi il cliente allaconsultazione dell'apposita sezione "privacy" del sito web Alitaliasolo nel caso in cui sia lo stesso cliente a chiedere ulteriori informazioni inmerito al trattamento dei propri dati personali; al riguardo si evidenzia che,da un lato, tale soluzione non risulta pienamente in linea con quanto previstodal citato provvedimento del 15 novembre 2007, dall'altro, in ogni caso,l'informativa presente nella sezione "privacy" del sito web Alitalia(http://www.alitalia.com/IT_IT/privacy/index.aspx  acquisita agli atti) siriferisce esclusivamente ai trattamenti effettuati attraverso il medesimo sitoweb, il sito "Mobile" e i dati comunicati ad Alitalia "a mezzoposta e posta elettronica", senza che venga fornita alcuna informazionerelativa ai trattamenti effettuati tramite il call center della società;

CONSIDERATO, pertanto, chele argomentazioni addotte da Alitalia non sono idonee, per le motivazioni soprariportate, ad escludere la responsabilità della società in ordine allaviolazione relativa all'inidonea informativa resa attraverso il proprio callcenter;

VISTI gli scritti difensiviinviati in data 2 aprile 2010 ai sensi dell'art. 18 della legge n. 689/1981 neiquali, in merito alla violazione dell'art. 33, relativa alla mancata adozionedel documento programmatico sulla sicurezza, Alitalia ha dichiarato:

a) "di avere iniziato lapropria attività in data 13 gennaio 2009, conseguentemente al verificarsi ditutte le condizioni sospensive previste dall'accordo di "Cessione dicomplessi di beni e contratti" stipulato in data 12 dicembre 2008 conAlitalia – Linee Aeree Italiane s.p.a. in amministrazione straordinaria []ed altre quattro società dalla stessa controllate o partecipate";

b) che "Alitalia, nella suaqualità di nuovo vettore aereo, ha iniziato la sua attività, riprendendo insostanza, senza soluzione di continuità, quella della Alitalia in a.s.";

c) che, a seguito di unarichiesta di parere formulata dalla società, "le modalità di trattamentodei dati [] da parte della Scrivente sono state, quindi, quelle fissate dalGarante nel parere [rectius provvedimento] adottato l'8 gennaio 2009, a cominciaredall'informativa a clienti e fornitori attraverso annunci su quotidiani dirilevanza nazionale nonché all'informativa effettuata nei confronti deidipendenti (anche solo potenziali) attraverso il sito web";

d)  che, a parere dellasocietà, "sarebbe stato oggettivamente irrealistico, per una società cheha avviato la propria attività il 13 gennaio 2009, e con le complessitàaziendali e di contesto appena richiamate, redigere ed adottare entro ilsuccessivo 31 marzo (termine previsto dalla legge) un DPS che fosse undocumento compiuto non solo a livello formale ma anche sostanziale";

e) "che, nonostante glisforzi compiuti, la redazione di una prima versione del DPS, il cui testo èstato elaborato entro marzo, non è stata formalizzata con la  relativaadozione nei tempi richiesti in ragione di quanto sopra rappresentato e, inparticolare, del livello non ancora completamente definito dell'attribuzionedelle funzioni aziendali. [] In buona sostanza, la Società, consapevole di nonpoter raggiungere un quadro definito di valutazioni ed accertamenti entro il 31marzo 2009, ha concentrato la sua attenzione e si è attivata al fine diassicurare il rispetto sostanziale di tutte le pertinenti disposizioni delCodice della Privacy";

f) "che, successivamente alleverifiche [] Alitalia ha continuato ad adoperarsi per completare il quadrodelle misure a tutela della privacy, pervenendo, in data 5 gennaio 2010, allafinalizzazione del DPS attraverso l'adozione dello stesso da parte delPresidente e dell'Amministratore Delegato della Società";

RILEVATO che l'attivitàsvolta dalla società configura un trattamento di dati personali (art. 4, comma1, lett. a) e b), del Codice) per il quale dovevano essere assolti gli obblighidi cui all'art. 33 del Codice e, in particolare, alla regola n. 19 deldisciplinare tecnico di cui all'allegato B) al medesimo Codice, relativa allaredazione e all'aggiornamento del documento programmatico sulla sicurezza;

RILEVATO che, in ordinealla condotta relativa alla mancata adozione del documento programmatico sullasicurezza, risulta accertato in atti che Alitalia, pur avendo avviato lapropria attività il 13 gennaio 2009 (data in cui si sono verificate tutte lecondizioni sospensive previste dall'accordo di "Cessione di complessi dibeni e contratti", stipulato in data 12 dicembre 2008, con Alitalia –Linee Aeree Italiane s.p.a. in amministrazione straordinaria), ha adottato ildocumento programmatico sulla sicurezza solamente in data 5 gennaio 2010;

CONSIDERATO che:

-  Alitalia, al fine digiustificare l'omissione in questione, ha posto l'accento sulle difficoltàincontrate nelle fasi iniziali di avvio della propria attività, durante lequali ha dichiarato di aver concentrato la propria attenzione sugli adempimentiritenuti, a proprio giudizio, prioritari al fine di assicurare il rispettosostanziale delle disposizioni in tema di protezione dei dati personali;

- in ragione della natura e dellafinalità sottesa all'adempimento in esame, la società avrebbe dovuto adottareil D.P.S., previsto dall'art. 34, comma 1, lett. g), del Codice e dalla regolan. 19 del disciplinare tecnico allegato B) al medesimo Codice, da predisporresulla base delle informazioni disponibili all'atto della sua elaborazione,prima dell'effettivo avvio dell'operatività della nuova impresa e deiconseguenti trattamenti di dati personali, per poi procedere al suoaggiornamento anche in corso d'anno, in caso di variazioni rilevanti ai finidella protezione dei dati personali, dovute ai processi di riorganizzazionedell'impresa (cfr. art. 34, comma 1, lett. g), del Codice), al fine diassicurare quel livello minimo di protezione dei dati personali che, proprio inoccasione di operazioni come quelle in esame, risultano essere maggiormenteesposti a rischi di utilizzi illeciti o non conformi alle finalità per le qualisono stati raccolti;

- tra l'altro, appare evidentecome l'adozione del D.P.S. sarebbe risultata relativamente agevole sia inragione della sostanziale continuità della propria attività, ribadita daAlitalia nelle proprie memorie, con quella della precedente società Alitalia –Linee Aeree Italiane s.p.a. in amministrazione straordinaria, sia in relazioneal "rispetto sostanziale di tutte le pertinenti disposizioni delCodice", manifestato dalla società, e non avrebbe richiesto ad Alitalia unulteriore rilevante impegno rispetto agli adempimenti già posti in essere (tracui, ad es., l'adozione di un articolato ordine di servizio in materia diprotezione dei dati personali, l'individuazione di una Unità Privacy, gli aggiornamentiall'informativa presente sul sito web, le istruzioni fornite agli incaricatidel trattamento dei dati, le misure minime di sicurezza relative alle banchedati informatiche, la designazione degli amministratori di sistema el'effettuazione nei loro confronti di corsi di formazione, la pianificazione diulteriori attività di formazione);

CONSIDERATO, pertanto, chele giustificazioni addotte da Alitalia non sono idonee, per le motivazionisopra riportate, ad escludere la responsabilità della società in ordine allaviolazione in questione, relativa alla mancata adozione del documentoprogrammatico sulla sicurezza;

PRESO ATTO di quantodichiarato da Alitalia in ordine al comportamento complessivo tenuto dallasocietà con riferimento ai restanti adempimenti in tema di protezione dei datipersonali nonché della condotta tenuta successivamente alla rilevazione delleviolazioni in questione, consistita nella tempestiva adozione di un aggiornatodocumento programmatico sulla sicurezza;

VISTO l'art. 161 delCodice, che punisce la violazione delle disposizioni di cui all'art. 13 delmedesimo Codice con la sanzione amministrativa del pagamento di una somma daseimila euro a trentaseimila euro;

VISTO l'art. 162, comma2-bis, del Codice, nella formulazione antecedente alla modifica apportata conla legge 20 novembre 2009, n. 166, che punisce la violazione delle misureindicate nell'art. 33 del Codice con la sanzione amministrativa del pagamentodi una somma da ventimila euro a centoventimila euro;

VISTA la legge 24 novembre1981 n. 689, e successive modificazioni e integrazioni;

CONSIDERATO che, ai finidella determinazione dell'ammontare della sanzione pecuniaria, occorre tenereconto, ai sensi dell'art. 11 della legge 24 novembre 1981 n. 689, dell'operasvolta dall'agente per eliminare o attenuare le conseguenze della violazione,della gravità della violazione, della personalità e delle condizioni economichedel contravventore;

RITENUTO che, nel caso incui l'infrazione non abbia caratterizzazioni specifiche che possano portare avalutazioni di maggiore o minor rigore, nella determinazione della sanzione puòritenersi corretta l'individuazione di un importo pari al terzo del massimo o,se più favorevole, al doppio del minimo, in linea con quanto previsto dall'art.16 della L. n. 689/1981, ferma restando la valutazione degli ulteriori elementiprevisti dall'art. 11 della medesima legge [cfr. Cass. civ., sez. I, 4 novembre1998, n. 11054];

CONSIDERATO che, nel casoin esame:

a) in ordine all'aspetto dellagravità, con riferimento alle modalità concrete della condotta, la violazionerelativa all'informativa resa tramite call center non risulta connotata daelementi specifici, mentre, per la violazione relativa all'omessa adozione delD.P.S., occorre tener conto in misura favorevole alla società dellaparticolarità delle concomitanti vicende societarie attraversate da Alitalia;invece, sotto i profili dell'entità del danno o del pericolo arrecato edell'intensità dell'elemento psicologico, devono essere valutate in termini diaumento della sanzione, rispettivamente, le circostanze che:

- le violazioni in esame,commesse da una compagnia aerea di rilevanti dimensioni, siano relative atrattamenti che riguardano una considerevole quantità di dati personali deiclienti;

- l'elemento soggettivo dellacolpa relativo alle violazioni in esame assume caratteri di maggiore gravità inrelazione alla presenza in azienda di specifiche figure professionali dedicateagli adempimenti in tema di protezione dei dati personali;

b) ai fini della valutazionedell'opera svolta dall'agente:

- con riferimento alla violazionerelativa all'inidonea informativa, deve essere considerata in termini negativila circostanza che la società, sulla base delle risultanze in atti, non abbiadocumentato modifiche alle modalità con le quali rende le informazioni inquestione;

- in merito alla violazioneconnessa alla mancata adozione del D.P.S., deve essere favorevolmenteapprezzato il comportamento dell'azienda che ha proceduto prontamenteall'effettuazione degli adempimenti in precedenza omessi, rimuovendo le causedella violazione contestata;

c) circa la personalitàdell'autore della violazione, deve essere positivamente considerata lacircostanza che la società non risulti avere precedenti specifici in termini diviolazioni alle disposizioni del Codice;

d) in merito alle condizionieconomiche dell'agente, al fine di commisurare l'importo della sanzione allareale capacità economica del trasgressore nel rispetto del principio diuguaglianza, devono essere apprezzati in termini di aumento della sanzione glielementi desumibili dal bilancio d'esercizio di Alitalia per gli anni 2009 e2010, con particolare riferimento al volume d'affari realizzato dalla società;

RITENUTO di doverdeterminare, ai sensi dell'art. 11 della L. n. 689/1981, l'ammontare dellesanzioni pecuniarie, avuto riguardo alla rispettiva gravità valutata in ragionedei suddetti elementi considerati - per ciascuna violazione - nel lorocomplesso, nella misura di:

a) euro 20.000,00(ventimila) per la violazione relativa all'inidonea informativa resa tramite ilproprio call center;

b) euro 20.000,00(ventimila) per la violazione relativa alla mancata adozione del documentoprogrammatico sulla sicurezza, anche tenuto conto delle modifiche apportatedall'art. 45, comma 1, lettera c), del D.L. 9 febbraio 2012, n. 5;

VISTO l'art. 164-bis, comma4, del Codice che prevede che le sanzioni amministrative di cui al Titolo III,Capo I, del Codice possono essere aumentate fino al quadruplo quando possonorisultare inefficaci in ragione delle condizioni economiche del contravventore;

RITENUTO che la valutazionedelle condizioni economiche del contravventore possa essere condotta a partiredai criteri di classificazione delle imprese indicati nel decreto del ministrodelle attività produttive del 18 aprile 2005, recante "Adeguamento alladisciplina comunitaria dei criteri di individuazione di piccole e medieimprese", considerando imprese di rilevanti dimensioni quelle che superinoi parametri ivi indicati;

RILEVATO che l'applicazionedella predetta sanzione nei confronti di Alitalia – Compagnia AereaItaliana s.p.a. risulterebbe inefficace, in ragione dei volumi d'affaririlevabili dai bilanci degli anni 2009 e 2010;

RITENUTO che, nel caso dispecie, ricorrano le condizioni per applicare l'aumento previsto dall'art.164-bis, comma 4, del Codice nella misura, ritenuta congrua, pari a tre voltel'importo delle sanzioni che, pertanto, risultano rispettivamente determinatein euro 60.000,00 (sessantamila) per l'informativa tramite call center e ineuro 60.000,00 (sessantamila) per l'omessa adozione del D.P.S.;

VISTA la documentazione inatti;

VISTE le osservazionidell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 delregolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno2000;

RELATORE il dott. dott.Giuseppe Fortunato;

ORDINA

ad Alitalia –Compagnia Aerea Italiana s.p.a., con sede in Fiumicino (RM), piazza Almerico daSchio, in persona del legale rappresentante pro tempore, di pagare la somma:

a) di euro 60.000,00(sessantamila) a titolo di sanzione amministrativa pecuniaria per la violazionedell'art. 161 del Codice, come determinata in motivazione;

b) di euro 60.000,00(sessantamila) a titolo di sanzione amministrativa pecuniaria per la violazionedell'art. 162, comma 2-bis, del Codice, come determinata in motivazione,

INGIUNGE

alla medesima società dipagare la somma di euro 120.000,00 (centoventimila) secondo le modalitàindicate in allegato, entro 30 giorni dalla notificazione del presenteprovvedimento, pena l'adozione dei conseguenti atti esecutivi a norma dall'art.27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine digiorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale oin copia autentica, quietanza dell'avvenuto versamento;

Ai sensi degli artt. 152del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento puòessere proposta opposizione all'autorità giudiziaria ordinaria, con ricorsodepositato al tribunale ordinario del luogo ove ha la residenza il titolare deltrattamento dei dati, entro il termine di trenta giorni dalla data dicomunicazione del provvedimento stesso, ovvero di sessanta giorni se ilricorrente risiede all'estero.

Roma, 12 aprile 2012

Il presidente
Pizzetti

Il relatore
Fortunato

Il segretario generale reggente
De Paoli