Garante per la protezione
    dei dati personali


Ordinanza di ingiunzione nei confrontidi American Express Services Europe Limited

PROVVEDIMENTO DEL 21 FEBBRAIO 2013

Registro dei provvedimenti
n. 79 del 21 febbraio 2013

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, alla presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia,segretario generale;

RILEVATOche l'Ufficio del Garante per la protezione dei dati personali, in esecuzionedella richiesta di informazioni ai sensi dell'art. 157 del Codice in materia diprotezione dei dati personali (di seguito denominato Codice) nr. 24555/71200dell'8 novembre 2010, ha svolto un'attività di controllo nei confronti diAmerican Express, con sede in Roma, Largo Caduti di El Alamein n. 9 P.Iva:05090991000, in persona del legale rappresentante pro-tempore, formalizzata neiverbali di operazioni compiute redatti in data 9 e 10 novembre 2010 e in data 1e 2 dicembre 2010 e integrata con la successiva nota di trasmissione del 12gennaio 2011, a fronte della quale è stato accertato che American Express, nonha provveduto ad aggiornare il documento programmatico sulla sicurezza (DPS)previsto dalla regola 19 del Disciplinare tecnico in materia di misure minimedi sicurezza dal 31 marzo 2007 all'8 novembre 2010 (data in cui risultaadottato l'ultimo DPS);

VISTOil verbale nr. 2735/71200 datato 11 febbraio 2011 (che qui si intendeintegralmente richiamato) con il quale è stata contestata alla predetta società la violazione amministrativa prevista dall'art. 162, comma 2-bis in relazioneall'art. 33 del Codice, non definibile in via breve ai sensi dell'art. 16 dellalegge n. 689/1981;

CONSIDERATOche la società, relativamente all'illecito amministrativo contestato, non si èavvalsa della facoltà previste dall'art. 18 della legge n. 689/1981(non avendoinviato all'Autorità scritti difensivi e documenti e non avendo chiesto diessere sentito);

CONSIDERATOche le due prescrizioni impartite, con i provvedimenti entrambe datati 10febbraio 2011, dall'Ufficio del Garante sono state prontamente adempiute e si èaltresì provveduto, nei termini previsti, al pagamento del quarto del massimodella sanzione prevista per la violazione amministrativa, in applicazione diquanto disposto dall'art. 169, comma 2, del Codice;

RILEVATO,che l'Azienda ha effettuato un trattamento di dati personali senza adottare lemisure minime di sicurezza di cui all'art. 33;

VISTOl'art. 162, comma 2-bis, del Codice che punisce la violazione delledisposizioni indicate nell'art. 33 del Codice con la sanzione amministrativadel pagamento di una somma da diecimila euro a centoventimila euro;

CONSIDERATOche, ai fini della determinazione dell'ammontare della sanzione pecuniaria,occorre tenere conto, ai sensi dell'art. 11 della legge 24 novembre 1981 n.689, dell'opera svolta dall'agente per eliminare o attenuare le conseguenzedella violazione, della gravità della violazione, della personalità e dellecondizioni economiche del contravventore;

RITENUTOche, nel caso in cui l'infrazione non abbia caratterizzazioni specifiche chepossano portare a valutazioni di maggiore o minor rigore, nella determinazionedella sanzione può ritenersi corretta l'individuazione di un importo pari alterzo del massimo o, se più favorevole, al doppio del minimo, in linea conquanto previsto dall'art. 16 della L. n. 689/1981, ferma restando lavalutazione degli ulteriori elementi previsti dall'art. 11 della medesima legge (Cass. civ., sez. I, 4 novembre 1998, n. 11054);

CONSIDERATOche, nel caso in esame:

a) inordine all'aspetto della gravità, gli elementi delle modalità concrete dellacondotta, dell'intensità dell'elemento psicologico e dell'entità delpregiudizio o del pericolo arrecato, devono essere valutati in relazione alfatto che la società non ha ottemperato all'obbligo di aggiornare il DPS perquattro annualità (2007, 2008, 2009 e 2010), provvedendovi solo successivamenteall'avvio dell'attività di controllo dell'Autorità;

b) aifini della valutazione dell'opera svolta dall'agente, si evidenzia come lasocietà abbia provveduto alla redazione di un DPS aggiornato in data 8 novembre2010;

c) circala personalità dell'autore della violazione, si deve evidenziare che la società,a fronte di distinte violazioni alle disposizioni del Codice, è già statadestinataria dell'Ordinanza ingiunzione n. 270 del 4 ottobre 2012;

d) inmerito alle condizioni economiche dell'agente, al fine di commisurare l'importodella sanzione alla reale capacità economica del trasgressore nel rispetto delprincipio di uguaglianza, deve rilevarsi che la società ha conseguito unconsistente utile di esercizio per l'anno 2011;

RITENUTOdi dover determinare, ai sensi dell'art. 11 della legge n. 689/1981,l'ammontare della sanzione pecuniaria nella misura di euro 20.000,00(ventimila);

VISTOl'art. 164-bis, comma 4, del Codice che prevede che le sanzioni amministrativedi cui al Titolo III, Capo I, del Codice possono essere aumentate fino alquadruplo quando possono risultare inefficaci in ragione delle condizionieconomiche del contravventore;

RILEVATOche l'applicazione della sanzione così determinata nei confronti di AmericanExpress Services Europe Limited risulterebbe inefficace, in ragione dellecondizioni economiche rilevabili dal bilancio dell'anno 2011;

RITENUTOche, nel caso di specie, ricorrano le condizioni per applicare l'aumentoprevisto dall'art. 164-bis, comma 4, del Codice nella misura, ritenuta congrua,pari a euro 60.000,00 (sessantamila);

VISTAla documentazione in atti;

VISTAla legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTEle osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazionedel 28 giugno 2000;

RELATOREla dott.ssa Giovanna Bianchi Clerici;

ORDINA

aAmerican Express Services Europe Limited, con sede in Roma, Largo Caduti di ElAlamein n. 9, in persona del legale appresentante pro-tempore, di pagare lasomma complessiva di euro 60.000,00 (sessantamila) a titolo di sanzioneamministrativa pecuniaria per la violazione prevista dall'art. 162, comma2-bis, del Codice, come indicato in motivazione;

INGIUNGE

allamedesima società di pagare la somma di euro 60.000,00 (sessantamila), secondole modalità indicate in allegato, entro 30 giorni dalla notificazione delpresente provvedimento, pena l'adozione dei conseguenti atti esecutivi a normadall'art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro iltermine di giorni 10 (dieci) dal versamento, sia inviata a questa Autorità, inoriginale o in copia autentica, quietanza dell'avvenuto versamento.

Aisensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso ilpresente provvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 21 febbraio 2013

Il presidente
Soro

Il relatore
Bianchi Clerici

Il segretario generale
Busia