Garante per la protezione
    dei dati personali


Ordinanza di ingiunzione nei confrontidi Italiasalute s.r.l.

PROVVEDIMENTO DEL 15 NOVEMBRE 2012

Registro dei provvedimenti
n. 346 del 15 novembre 2012

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, alla presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano,componente e del dott. Giuseppe Busia, segretario generale;

RILEVATOche la Guardia di finanza, Nucleo speciale privacy, in esecuzione dellarichiesta di informazioni ex art. 157 del Codice in materia di protezione deidati personali (di seguito denominato "Codice") prot. n. 4804/53969del 4 marzo 2009, ha svolto accertamenti presso la società Italiasalute s.r.l.(di seguito la "società"), con sede legale in Roma, Via Antonio Serran. 81/B, P.I. 06442601008, redigendo apposito verbale di operazioni compiute,datato 14 maggio 2009, da cui à risultato che la società ha effettuato untrattamento di dati personali per mezzo del form presente sul sito internetwww.italiasalute.it senza rendere un'idonea informativa agli interessati e inviolazione delle disposizioni sul consenso al trattamento dei dati personali;

VISTOil verbale n. 8293/63913 del 12 aprile 2010, con cui sono state contestate allapredetta società, in persona del legale rappresentante pro-tempore, leviolazioni amministrative previste dagli artt. 161 e 162, comma 2-bis delCodice, posto che la stessa ha effettuato un trattamento di dati personali sulproprio sito web sul quale à stata riscontrata un'informativa inidonea (non sidistinguono le finalità per le quali il rilascio del consenso sia facoltativo etra queste vi à anche quella di profilazione della clientela per lo svolgimentodi attività promozionali e di marketing), e, in ordine al consenso, questo àunico per tutte le finalità indicate nell'informativa, viene acquisitoindistintamente per le finalità di profilazione e marketing e la casella di selezioneà preimpostata al rilascio del consenso;

CONSIDERATOche la parte à stata informata della facoltà di effettuare il pagamento inmisura ridotta ai sensi dell'art. 16 della legge n. 689/1981;

RILEVATOche dal rapporto predisposto dall'Ufficio del Garante, ai sensi dell'art. 17della legge n. 689/1981, non risultano effettuati i pagamenti in misuraridotta;

VISTIgli scritti difensivi inviati ai sensi dell'art. 18 della legge n. 689/1981,con cui la società, oltre a chiedere di essere sentita dall'Autorità, hadichiarato che "l'informativa () era stata copiata () per questomenzionava attività come la profilazione di cui non conoscevo neanche il verosignificato" e, circa il flag preimpostato sul consenso al trattamento deidati, che "era stato aggiunta per di più, per scrupolo, perché nonnecessaria, in quanto se viene effettuata solo la spedizione dell'ordine, àchiaro che chi fa l'acquisto voglia dare il consenso al trattamento perché seno non si potrebbe spedire il pacco". La società, infine, ha fattorichiesta di rateizzazione;

LETTOil verbale dell'audizione delle parti, tenutasi in data 28 aprile 2011 ai sensidell'art. 18 della legge n. 689/1981, nel corso della quale la parte haribadito quanto dichiarato negli scritti difensivi, precisando di averprovveduto immediatamente all'adeguamento dell'informativa e alla rimozione delflag e ha chiesto l'annullamento delle contestazioni adottate nei suoiconfronti;

CONSIDERATOche le argomentazioni addotte non consentono di escludere la responsabilità dellasocietà in relazione a quanto contestato. Con riguardo alla violazione di cuiall'art. 161 del Codice, si osserva che, già al momento dell'accertamentoispettivo e come rilevato successivamente dall'Ufficio, il testodell'informativa, presente sul sito web della società, conteneva indicazionipoco chiare e comunque inesatte rispetto ai trattamenti effettivamente posti inessere dalla società, con ciò facendo venir meno la ragione stessadell'informativa, tra cui quella di rendere note agli interessati le operazionidi trattamento dei dati conferiti. Tale circostanza à stata, tra l'altro,confermata dalla stessa società, laddove ha riferito di aver provveduto amodificare il testo dell'informativa. Anche rispetto alla violazione di cuiall'art. 162, comma 2-bis, del Codice, si rileva che à stato accertato come incalce al form "Registrazione" era presente una sola formula diacquisizione del consenso, tra l'altro già impostata sull'opzione di tipopositivo, relativamente alle diverse finalità indicate nell'informativa. Laformula di consenso così impostata non à legittima in quanto, come rilevatodall'Autorità in diversi provvedimenti (tra gli altri, provv. 31 gennaio 2008doc. web n. 1500829), gli interessati devono essere messi in grado di esprimereconsapevolmente e liberamente le proprie scelte. Ciò si realizza predisponendoformule di tipo positivo e distinte per ciascuna finalità che si intendeperseguire, secondo la prescrizione dell'art. 23 del Codice;

RILEVATO,pertanto, che la società ha effettuato un trattamento di dati personali (art. 4comma 1, lett. a) e b) del Codice) rendendo agli interessati un'informativainidonea ai sensi dell'art. 13 del Codice e in carenza di un valido consenso aisensi dell'art. 23;

VISTOl'art. 161 del Codice che punisce la violazione delle disposizioni di cuiall'art. 13 con la sanzione amministrativa del pagamento di una somma daseimila euro a trentaseimila euro;

VISTOl'art. 162, comma 2-bis, del Codice, nella formulazione antecedente allamodifica introdotta con la legge 20 novembre 2009, n. 166, che punisce laviolazione delle disposizioni di cui all'art. 167, tra le quali quella di cuiall'art. 23 del medesimo Codice, con la sanzione amministrativa del pagamentodi una somma da ventimila a centoventimila euro;

VISTOl'art. 164-bis, comma 1, del Codice il quale prevede che se taluna delleviolazioni di cui agli art. 161, 162, 163 e 164 à di minore gravità, i limitiminimi e massimi stabiliti negli stessi articoli sono applicati in misura paria due quinti;

VISTAla legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

CONSIDERATOche, ai fini della determinazione dell'ammontare della sanzione pecuniaria,occorre tenere conto, ai sensi dell'art. 11 della legge 24 novembre 1981 n.689, dell'opera svolta dall'agente per eliminare o attenuare le conseguenzedella violazione, della gravità della violazione, della personalità e dellecondizioni economiche del contravventore;

RITENUTOdi dover determinare, ai sensi dell'art. 11 della L. n. 689/1981, l'ammontaredella sanzione pecuniaria nella misura di euro 6.000,00 (seimila) per laviolazione di cui all'art. 161, nella misura di euro 20.000,00 (ventimila) perla violazione di cui all'art. 162, comma 2-bis;

RITENUTOche, nel caso di specie, ricorrano le condizioni per applicare, la diminuzioneprevista dall'art. 164-bis, comma 1, del Codice e pertanto l'importocomplessivo delle sanzioni à pari a euro 10.400,00 (diecimilaquattrocento);

VISTAla documentazione in atti;

VISTEle osservazioni dell'Ufficio, formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazionedel 28 giugno 2000;

RELATOREla prof.ssa Licia Califano ;

ORDINA

aItaliasalute s.r.l., con sede in Roma, Via Antonio Serra n. 81/B, in personadel legale rappresentante pro-tempore, di pagare la somma complessiva di euro10.400,00 (diecimilaquattrocento) a titolo di sanzione amministrativapecuniaria per le violazioni previste dall'art. 161 e 162, comma 2-bis, delmedesimo Codice, come indicato in motivazione, frazionandola, in accoglimentoalla richiesta di rateizzazione, in 10 rate mensili dell'importo di 1.040,00euro (millequaranta) i cui i cui versamenti saranno effettuati a partire dalgiorno 15 del mese successivo a quello in cui avverrà la notifica dellapresente ordinanza;

INGIUNGE

allamedesima società di pagare la somma di euro 10.400,00 (diecimilaquattrocento)secondo le modalità indicate in allegato, entro 30 giorni dalla notificazionedel presente provvedimento, pena l'adozione dei conseguenti atti esecutivi anorma dall'art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che,entro il termine di giorni 10 (dieci) da ogni versamento, sia inviata a questaAutorità, in originale o in copia autentica, quietanza dell'avvenutoversamento.

Aisensi degli artt. 152 del Codice e 10 del d. lg. n. 150/2011, avverso ilpresente provvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenzail titolare del trattamento dei dati, entro il termine di trenta giorni dalladata di comunicazione del provvedimento stesso, ovvero di sessanta giorni se ilricorrente risiede all'estero.

Roma, 15 novembre 2012

Il presidente
Soro

Il relatore
Califano

Il segretario generale
Busia