Garante per la protezione
    dei dati personali


Ordinanza di ingiunzione nei confrontidi Edipro s.a.s.

PROVVEDIMENTO DEL 7 FEBBRAIO 2013

Registro dei provvedimenti
n. 54 del 7 febbraio 2013

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, alla presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia,segretario generale;

VISTOl'atto di contestazione, che qui deve intendersi integralmente riportato, n.7323/63176 del 31 marzo 2010 (notificato in data 20 aprile 2010) nei confrontidi Edipro s.a.s., con sede in Treviso, viale della Repubblica n. 193/f (diseguito denominata "Edipro"), in persona del legale rappresentantepro-tempore, per la violazione delle disposizioni di cui agli artt. 23, 162,comma 2-bis e 167 del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito denominato Codice), ritenutal'aggravante di cui all'art. 164-bis, comma 3, del medesimo Codice;

ESAMINATOil rapporto dell'Ufficio del Garante per la protezione dei dati personalipredisposto ai sensi dell'art. 17 della legge 24 novembre 1981, n. 689,relativo all'atto di contestazione sopra richiamato;

RILEVATOdal predetto rapporto che non risulta essere stato effettuato il pagamento inmisura ridotta;

VISTIgli scritti difensivi del 16 maggio 2010, inviati ai sensi dell'art. 18 dellalegge n. 689/1981, che qui si intendono integralmente richiamati;

LETTIi verbali in data 20 settembre 2010 e 24 gennaio 2011, relativi all'audizionedei rappresentanti di Edipro ai sensi dell'art. 18, comma 2, della legge n.689/1981;

RITENUTOche le argomentazioni addotte da Edipro nelle memorie difensive e nelleaudizioni non consentono di escludere le responsabilità in relazione a quantocontestato per le motivazioni di seguito riportate:

a.nelle memorie difensive Edipro lamenta, quale primo motivo di censura dell'attodi contestazione, che "per quanto inequivocabilmente emerge dallo stessoatto di contestazione, notificato alla Edipro s.a.s. solamente in data 20aprile 2010, Codesto Garante, già in data 28 aprile 2009, a seguitodell'accertamento ispettivo effettuato ai sensi  dell'art. 157 del Codice,disponeva di tutti gli elementi di valutazione del caso [] Atteso quantosopra, dunque, la contestazione della violazione avrebbe potuto e dovuto essereeffettuata nell'immediatezza, non ostandovi alcun elemento che la impedisse, edin ogni caso avrebbe dovuto e potuto essere notificata alla Edipro s.a.s. entroil termine di decadenza di 90 giorni (art. 14, comma 2 l.n. 689/1981) decorrentidal 28 aprile 2009, e cioè non oltre il 28 luglio 2009, pena la estinzionedell'obbligazione di pagamento []. Chiaro che nel caso di specie il 28 aprile2009, ultimo giorno dell'accertamento ispettivo, costituisce il dies a quo [].".

Alriguardo si deve evidenziare che l'accertamento ispettivo nei confronti diEdipro era ricompreso in una più ampia attività di controllo nei confronti deiprincipali operatori del settore del telemarketing e del marketing medianteposta cartacea, che si era resa necessaria in conseguenza del dilagantefenomeno delle telefonate di disturbo e della indiscriminata raccolta ecomunicazione di dati personali, fenomeno che all'epoca evidenziavasignificative sinergie fra gli operatori medesimi. Di qui la necessità disvolgere un ciclo di accertamenti in un ben delimitato lasso temporale (dieciispezioni in nove mesi, dal 19 settembre 2008 al 21 maggio 2009) che tenesseconto del complessivo fenomeno e delle relative interazioni. Dalle risultanzedel ciclo di accertamenti ispettivi è emersa la necessità, attesa la complessitàdella materia e degli atti assunti nonché la consistenza della documentazioneacquisita, di instaurare diversi procedimenti amministrativi nei confronti deisoggetti ispezionati, fra i quali Edipro, necessari per l'emanazione di piùprovvedimenti collegiali di natura prescrittiva e/o inibitoria, in base aquanto previsto dai regolamenti nn. 1 e 2 del 14 dicembre 2007, concernenti leprocedure interne all'Autorità aventi rilevanza esterna, finalizzate allosvolgimento dei compiti demandati al Garante, e i relativi termini. In osservanza dei predetti termini, in data 31luglio 2009 è stata inviata a Edipro la comunicazione dell'avvio delprocedimento a seguito della quale la società, dapprima ha esercitato ildiritto di accesso ai documenti amministrativi (17 settembre 2009) e poi hapresentato un'articolata memoria (5 ottobre 2009) chiedendo l'archiviazione delprocedimento amministrativo. In data 28 gennaio 2010, il Garante ha emesso ilprovvedimento che ha concluso l'iter del procedimento amministrativo e nelquale l'Autorità si è riservata di verificare "con autonomo procedimento,la sussistenza dei presupposti per contestare a Edipro quanto previsto per laviolazione dell'art. 23 (art. 162, comma 2-bis, del Codice)". Pertanto,diversamente da quanto ritenuto, la violazione in argomento è stata accertataproprio con il provvedimento del Garante del 28 gennaio 2010 al quale l'atto dicontestazione ha fatto integrale richiamo per relationem e i cui contenuti sonostati portati a conoscenza di Edipro con la nota n. 4086/63176.  E' a taledata del 28 gennaio 2010 che deve farsi riferimento per valutare il rispettodei principi di tempestività di cui all'art. 14 della legge n. 689/1981 (Cass.Civ., Sez. lav. n. 5467/2008 ma più recente anche Cons. Stato, Sez. VI, 20giugno 2012, n. 3583), in quanto solo a quella data, dall'esame del complessodei documenti e delle dichiarazioni acquisite (fra i quali anche gli esitidegli accertamenti ispettivi nei confronti di un'altra azienda, FastwebS.p.A.), è stato possibile qualificare oggettivamente e soggettivamente, daparte del Dipartimento attività ispettive e sanzioni, competente perl'instaurazione del procedimento sanzionatorio, le violazioni in argomento.Occorre evidenziare di conseguenza che la contestazione risulta notificata aEdipro il 20 aprile 2010, ovvero entro il termine di 90 giorni dalla datadell'accertamento;

b.nel merito, poi, Edipro, rappresenta che il Garante avrebbe qualificato qualeillegittima comunicazione di dati personali il trasferimento dei dati presentinel proprio database denominato "DB Consumers Italia" a Fastweb sullabase di soli due assunti: che Edipro avrebbe trasferito i predetti dati senzasvolgere successive ulteriori attività e che la stessa Edipro avrebbe designatoquali responsabili del trattamento per l'effettuazione di attività ditelemarketing, call center indicati da Fastweb, demandando a quest'ultima tuttele decisioni in ordine all'utilizzo dei dati medesimi. Per l'effetto, ilGarante avrebbe erroneamente attribuito a Fastweb la qualificazione giuridicadi titolare del trattamento considerando fittizio il rapporto titolare (Edipro)– responsabile (Fastweb) contrattualmente previsto, nell'ambito del qualeil trasferimento di dati personali non costituirebbe "comunicazione"a norma dell'art. 4 del Codice. Edipro al riguardo rappresenta che le duesocietà "non hanno affatto inteso dissimulare una cessione del DBConsumers Italia [] bensì ed al contrario hanno ritenuto, in considerazionedell'incapacità e dell'impossibilità per Edipro di avvalersi di propriestrutture, cioè di propri call center, di trovare una soluzione di partnershipcommerciale rigorosamente rispettosa della disciplina vigente in materia diutilizzo dei dati personali, mantenendo  esclusivamente in capo a EdiproSas la titolarità del DB, con tutte le conseguenti strutture di responsabilitàche fanno capo, appunto al solo titolare"; "la piana e nonpreconcetta lettura del contratto stipulato fra le parti in data 3.12.2008,consente di pervenire all'inequivocabile certezza che nel rapporto dedottol'unico titolare del trattamento dei dati contenuti nel DB Consumers Italia []è Edipro s.a.s. e non anche Fastweb s.p.a., che, all'evidenza, risulta esseremero partner commerciale, nominato da Edipro, a limitati e predeterminati fini[] responsabile del trattamento dei dati, senza che con ciò abbia, l'aziendatelefonica, acquisito alcun dominio, né autonomo potere decisionale in ordinealle finalità del trattamento, alle modalità del trattamento, agli strumenti utilizzati".Inoltre Edipro evidenzia che "la distribuzione dei dati ai call center,seppur avvenuta per mezzo di risorse umane e fisico/logiche di Fastweb [] e daFastweb messe a disposizione di Edipro, contrariamente a quanto ritenuto daquesto Garante, è vicenda  che vista con la lente del Codice Privacy ègiuridicamente opera di Edipro che ha agito per mezzo di suoi responsabiliesterni a tali limitati fini nominati e preposti" e che "anche lavicenda del server e del contratto di hosting è stata letta in termini errati,poiché la scelta del modus procedendi è stata dettata esclusivamente dallanecessità tecnologica, da parte di Edipro, di poter disporre di linee dicollegamento informatiche adatte a trasferire ai call center i dati che daquesti dovevano essere trattati in termini di telemarketing. E non risponde alvero, per fatto pacifico, che Edipro, una volta trasferiti i dati al server diFastweb abbia concluso la propria attività e se ne sia stata con le mani inmano essendo, l'attività di inoltro ai successivi call center opera ed attivitàdi Edipro, quantunque realizzata dal suo responsabile esterno (Fastweb) []".

Partendoproprio dall'ultima osservazione di Edipro, deve evidenziarsi che, già in sedeispettiva la società, alla domanda circa le modalità di trasferimento dei datidel DB Consumers Italia a Fastweb aveva rappresentato che"approssimativamente all'inizio del 2009, Edipro ha provveduto atrasferire per via telematica, tramite protocollo di comunicazione logico deltipo SSH/ASFT (SSH file transfer protocol), i dati del DB Consumers Italiapresso un server protetto di Fastweb. Ha dichiarato che le operazioni ditrasferimento sono state materialmente effettuate dal sig. Pilotto sulla basedelle indicazioni fornite telefonicamente da un tecnico di Fastweb, tale dott.Tazza, e di non aver svolto alcuna ulteriore attività sui predetti dati dopo iltrasferimento. [] Ha altresì dichiarato, per quanto a sua conoscenza, che idati, una volta trasferiti nel server di Fastweb, mediante una piattaformainformatica gestita da Fastweb, sono stati instradati ai vari call-center epertanto presumibilmente non sono più residenti presso il serverprotetto". Assai significativo inoltre il passaggio del medesimoaccertamento nel quale si dà atto che "i verbalizzanti hanno chiesto allaparte di indicare il luogo in cui è ubicato il server protetto di Fastweb. Laparte (Pilotto) ha dichiarato che, per quanto a sua conoscenza, tale server,costituito da tre macchine, è ubicato in Bernina (MI)" laddove"Bernina" dovrebbe coincidere con la sede della server-farm diFastweb, in via Bernina n. 6, Milano, evidentemente sconosciuta ad Edipro. Ledichiarazioni di cui sopra pongono in risalto che il ruolo di Edipro nelrapporto con Fastweb si è limitato alla sola operazione di trasferimentodell'intero DB Consumers Italia nei server di Fastweb, dei quali ignoravapersino l'ubicazione precisa, peraltro seguendo istruzioni di un tecnicoFastweb, senza svolgere "alcuna ulteriore attività sui predetti dati dopoil trasferimento". Le risultanze dell'accertamento risultano confermateanche dalle successive attività ispettive compiute nei confronti di Fastweb,svolte nel maggio del 2009, richiamate nel provvedimento del 28 gennaio 2009, ei cui atti hanno formato oggetto di accesso ex l. 241/1990 da parte di Edipro.Dal complesso dell'istruttoria è stato possibile rilevare che i dati trasferitida Edipro ai server di Fastweb sono stati veicolati ai call-center mediante unapiattaforma informatica denominata "Sales force automation" (SFA). Lemodalità di gestione delle campagne promozionali veicolate attraverso SFA,secondo quanto dichiarato da Fastweb nel verbale di operazioni compiute del 14maggio 2009,  sono stabilite centralmente in completa autonomia dallapredetta azienda "da un responsabile di canale, il quale tramitel'intervento di propri collaboratori (quattro responsabili di macro-areegeografiche) e dei cd. "area manager" (competenti in ambitoregionale) assegnano ai call-center volumi di record di contattabili. Il pianodi lavoro complessivo è delineato dalle strutture Fastweb dedicate alla forza-vendita. Per ciascun call-center è individuato un referente per irapporti con Fastweb. Tale referente accetta il programma di lavoro mensilmenteassegnato al call-center". Che Fastweb abbia utilizzato i dati provenientida Edipro per autonomi trattamenti sottratti al controllo di quest'ultimasocietà lo conferma anche quanto dichiarato in sede di audizione il 24 gennaio2011, nel corso della quale i rappresentanti di Edipro hanno rilevato che"dall'esame degli atti relativi al procedimento Fastweb emergerebbe []che le anagrafiche di cui Edipro era titolare sarebbero confluite in undatabase di Fastweb e che, quindi, i dati del database di Edipro sarebberostati incrociati con ulteriori dati già nella disponibilità di Fastweb".La circostanza sopra evidenziata appare del tutto incompatibile con losvolgimento di un corretto rapporto titolare-responsabile, e tale anomalia,qualora non conosciuta preventivamente da Edipro, sarebbe potuta emergerefacilmente nell'ambito delle verifiche periodiche che il titolare ha l'obbligodi effettuare sull'operato del responsabile del trattamento, ai sensi dell'art.29, comma 5, del Codice (e che non risultano invece effettuate). Tutti glielementi sopra richiamati attestano invece che Fastweb ha effettuato attivitàdi telemarketing utilizzando in piena autonomia e quindi in qualità di titolaredel trattamento i dati del DB Consumers Italia forniti da Edipro, senza chequest'ultima società sia in alcun modo intervenuta nella definizione dellemodalità del trattamento, delle scelte relative ai soggetti contattabili, dellalogica utilizzata dai sistemi informatici e senza che fosse neanche nota lamera ubicazione dei server che custodivano i dati. A ciò si aggiunga infineche, come evidenziato nel provvedimento del 28 gennaio 2010, "nelcontratto stipulato con Edipro è Fastweb stessa a redigere gli scriptcontenenti il testo dell'informativa da rendere agli interessati al momento delcontatto promozionale (cfr. punto 5 del citato contratto)": orbene, lapredisposizione dell'informativa, dovendo dare conto delle modalità, dellefinalità e delle altre scelte di fondo relative al trattamento, è un atto chedeve necessariamente promanare dal titolare del trattamento e non può di certoessere demandato ad un "mero partner commerciale", così come Fastweb è stata definita nelle memorie difensive.

RILEVATO,quindi, che Edipro, sulla base delle considerazioni sopra richiamate, risultaaver commesso la violazione di cui all'articolo 162, comma 2-bis, in relazioneall'art. 167 del Codice, per aver ceduto dati personali presenti nel DBConsumers Italia senza il consenso di cui all'art. 23 del Codice;

VISTOl'art. 162, comma 2-bis, (nella formulazione vigente all'epoca dei fatti equindi antecedente alle modifiche di cui all'art. 20-bis, comma 1, lettera c),punto 1, del decreto legge 25 settembre 2009, n. 135, convertito dalla legge 20novembre 2009, n. 166) che punisce la violazione dell'art. 23 con la sanzioneda ventimila a centoventimila euro;

CONSIDERATOche, ai fini della determinazione dell'ammontare della sanzione pecuniaria,occorre tenere conto, ai sensi dell'art. 11 della legge 24 novembre 1981 n.689, dell'opera svolta dall'agente per eliminare o attenuare le conseguenzedella violazione, della gravità della violazione, della personalità e dellecondizioni economiche del contravventore;

PRESOATTO che, con nota del 21 settembre 2010, Edipro ha dichiarato all'Autorità che"al fine di evitare quanto spiacevolmente accaduto con Fastweb S.p.a.,comunichiamo di aver individuato, per il futuro, una struttura contrattuale checonsente ad Edipro di effettuare attività di promozione commerciale per contodi terzi senza alcun passaggio di dati presso il server dei soggettibeneficiari dell'attività promozionale stessa";

CONSIDERATOche, nel caso in esame:

a)  inordine all'aspetto della gravità, la violazione, riguardo gli elementidell'entità del pregiudizio o del pericolo e dell'intensità dell'elementopsicologico, risulta connotata da elementi specifici dettati dalla circostanzache l'illecita cessione di dati personali è stata realizzata sulla base di unfittizio rapporto titolare-responsabile; peraltro tale illegittimacomunicazione di dati ha prodotto l'effettuazione di chiamate indesiderate neiconfronti di diversi milioni di utenti (come attestato da Fastweb con nota del22 maggio 2009);

b)  aifini della valutazione dell'opera svolta dall'agente, deve essere consideratoin termini favorevoli il fatto che Edipro, come evidenziato nella nota del 21settembre 2010, ha individuato, una struttura contrattuale che le consente dieffettuare attività di promozione commerciale per conto di terzi senza alcunpassaggio di dati;

c)  circala personalità dell'autore della violazione, deve essere positivamenteconsiderata la circostanza che Edipro non risulta avere precedenti specifici intermini di violazioni delle disposizioni del Codice;

d)  inmerito alle condizioni economiche dell'agente, si è tenuto conto del fatturatoe del risultato d'esercizio relativi all'anno 2011;

VISTOl'art. 164-bis, comma 3, del Codice che prevede che nei casi di maggiore gravità  e, in particolare, di maggiore rilevanza del pregiudizio per unoo più interessati, ovvero quando la violazione coinvolge numerosi interessati,i limiti minimo e massimo delle sanzioni di cui al presente Capo sono applicatiin misura pari al doppio;

RILEVATOche la cessione di dati da Edipro a Fastweb S.p.A. è stata causa di unrilevante numero di segnalazioni pervenute all'Autorità in un breve arco ditempo e che tale circostanza, unitamente all'elevato numero accertato dianagrafiche cedute da Edipro a Fastweb S.p.A. (15.600.000) e all'elevato numerodi contatti generati dalla cessione dei dati, è idonea a far ritenere applicabile,nel caso di specie, l'aggravante prevista dall'art. 164-bis, comma 3, delCodice, perché la violazione commessa ha coinvolto un rilevante numero diinteressati;

RITENUTOdi dover determinare, ai sensi dell'art. 11 della L. n. 689/1981, l'ammontaredella sanzione pecuniaria,  in ragione dei suddetti elementi valutati nelloro complesso, nella misura di euro 100.000,00 (centomila) per la violazionedi cui al combinato disposto degli artt. 162, comma 2-bis, e 164-bis, comma 3,del Codice;

VISTAla documentazione in atti;

VISTAla legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTEle osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazionedel 28 giugno 2000;

RELATOREla dott.ssa Giovanna Bianchi Clerici;

ORDINA

aEdipro s.a.s., con sede in Treviso, viale della Repubblica n. 193/f, in personadel legale rappresentante pro-tempore, di pagare la somma di euro 100.000,00(centomila) a titolo di sanzione amministrativa pecuniaria per la violazioneprevista dall'art. 164-bis, comma 2 del Codice indicata in motivazione;

INGIUNGE

allamedesima società di pagare la somma di euro 100.000,00 (centomila), secondo lemodalità indicate in allegato, entro 30 giorni dalla notificazione del presenteprovvedimento, pena l'adozione dei conseguenti atti esecutivi a norma dall'art.27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine digiorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale oin copia autentica, quietanza dell'avvenuto versamento.

Aisensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso ilpresente provvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 7 febbraio 2013

Il presidente
Soro

Il relatore
Bianchi Clerici

Il segretario generale
Busia