Garante per la protezione
    dei dati personali


Ordinanza di ingiunzione nei confrontidi BBJ s.r.l.

PROVVEDIMENTO DEL 13 GIUGNO 2013

Registro dei provvedimenti
 n.  291 del 13 giugno2013

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, alla presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia,segretario generale;

RILEVATOche, a fronte di un ciclo di accertamenti ispettivi volti a verificare ilrispetto della normativa in materia di protezione dei dati personali, conparticolare riferimento alle campagne di marketing effettuate tramite numeri dicellulari (per l'invio di sms e mms) e indirizzi di posta elettronica,l'Autorità ha adottato, in data 10 giugno 2011, il provvedimento n. 229 nei confronti di BBJ s.r.l. P.Iva: 12904270159, con sede in Milano, viaAlamanni n. 16/2.3, in persona del legale rappresentante pro-tempore ai sensidegli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice inmateria di protezione dei dati personali – d.lg. 30 giugno 2003, n. 196(di seguito denominato Codice) che qui deve intendersi integralmente riportato.Con tale provvedimento l'Autorità, in estrema sintesi, ha accertato che B.B.J.s.r.l. ha comunicato a Buongiorno Marketing Services s.p.a. dati personaliacquisiti da un terzo (Cemit Interactive Media s.p.a.) senza fornire agliinteressati la necessaria informativa ai sensi dell'art. 13, comma 4 del Codicee senza aver acquisito il previsto consenso di cui all'art. 23 del Codice;

VISTOil verbale n. 13265/70393 del 28 giugno 2011 con cui sono state contestate allapredetta società le violazioni amministrative previste dall'art. 161, inrelazione all'art. 13 del Codice e dall' art. 162, comma 2-bis del Codice, inrelazione all'art. 23, entrambe aggravate per effetto dell'applicazionedell'art. 164-bis, comma 3 del Codice;

CONSIDERATOche la parte è stata informata della facoltà di effettuare il pagamento inmisura ridotta ai sensi dell'art. 16 della legge n. 689/1981;

ESAMINATOil rapporto dell'Ufficio del Garante per la protezione dei dati personalipredisposto ai sensi dell'art. 17 della legge 24 novembre 1981, n. 689, dalquale risulta che non è stato effettuato il pagamento in misura ridotta; 

TENUTOCONTO del fatto che la società, pur non avendo prodotto scritti difensivi ochiesto di essere sentita ai sensi dell'art. 18 della legge n. 689/1981, hapresentato un ricorso datato 31 agosto 2011, ai sensi dell'art. 152 del Codice,avverso il verbale di contestazione n. 13265/70393 del 28 giugno 2011, delquale l'Avvocatura distrettuale dello Stato di Milano ha comunicato lacancellazione dai ruoli. Alla luce di tale circostanza, pur volendo considerarele argomentazioni proposte, si evidenzia come la Società non neghi laricorrenza dei fatti contestati, ammettendo testualmente, nel ricorso, che"BBJ ha senza dubbio (e non è certo intenzione della Società ricorrentenegarlo) fatto un uso non previsto dal Codice della nomina a responsabileinterno del trattamento di cui all'articolo 29", mentre avrebbe dovutochiedere a Cemit di procedere a tale nomina nei confronti della Buongiorno. Maciò, secondo BBJ, si risolverebbe in un mero errore formale e non costituirebbeun illecito trasferimento del database a Buongiorno senza informativa econsenso degli interessati. Ciò si dedurrebbe, a quanto pare, dalla buona fededella ricorrente e dalla mancanza di danni in carico agli interessati. Inoltre,il Garante avrebbe contestato alla società  una violazione amministrativa"che necessita come elemento imprescindibile, per la sua sussistenza, uncomportamento doloso volto ad ottenere un beneficio ingiusto, in danno deiclienti della Cemit, vale a dire la cessione del database", ma nellafattispecie in esame non vi sarebbe alcun dolo, in quanto la condotta dovrebbeconsiderarsi un "errore procedurale" e non sussisterebbe alcunbeneficio ingiusto a favore della BBJ, né alcun danno a carico degliinteressati inseriti nel database. Rileva, altresì, che, non ricorrendol'ipotesi di illecita cessione di dati personali, la sanzione indicatanell'atto di contestazione dovrebbe essere annullata, e/o dovrebbedisconoscersi l'aggravante ex art. 164-bis comma 3 del Codice, considerata lalieve entità dell'infrazione e le condizioni economiche della ricorrente;

CONSIDERATOche le argomentazioni addotte non consentono di escludere la responsabilitàdella società in relazione a quanto contestato. Deve preliminarmente rilevarsiche il citato provvedimento del 10 giugno 2010, con il quale il Garante haaccertato la violazione da parte di BBJ del Codice relativamente all'obbligo direndere l'informativa agli interessati e di acquisire il loro consenso, non èstato opposto dalla società, ed è quindi divenuto definitivo.  Le censureespresse dall'opponente non possono quindi ora trasformarsi in una sorta ditardiva impugnazione, mettendo surrettiziamente in discussione il merito diquanto accertato con quel provvedimento. Posto quanto sopra, si rileva comequanto dedotto dalla società circa il fatto che l'accertata violazione delledisposizioni in materia di tutela dei dati personali sia un mero erroremateriale o procedurale, non ha pregio. Infatti, per ammissione dellaricorrente - sia nel corso del procedimento amministrativo sia nell'atto diricorso -, il database contenente gli oltre duecentomila numeri di utenzetelefoniche è stato, incontrovertibilmente e senza titolo, comunicato da BBJ aBuongiorno. Tale fattispecie configura una cessione di dati personali altruiche, secondo le disposizioni legislative del Codice, non può essere effettuataall'insaputa degli interessati e senza avere ottenuto dai medesimi un idoneoconsenso, in violazione degli articoli 13 e 23 del Codice. Nel merito, inoltre,la mancata idonea individuazione di Buongiorno quale soggetto del trattamento,non può essere rubricata quale semplice irregolarità formale poiché le normesulla corretta designazione di responsabili e incaricati del trattamento miranoa conferire al titolare il pieno controllo del trattamento medesimo del qualeegli risponde sia in ordine a modalità e finalità, sia per i profili connessialla sicurezza dei dati: tale controllo non si è realizzato nell'occasione delpassaggio dei dati da B.B.J. a Buongiorno esponendo i dati degli interessatitrasferiti da Cemit a B.B.J. a concreti rischi di dispersione o utilizzo nonconforme alle finalità della raccolta. Riguardo l'insussistenza dellaviolazione amministrativa per mancanza di dolo, si evidenzia come taleargomentazione sia  manifestamente infondata, in quanto la violazioneoggetto di contestazione non ha natura penale, bensì amministrativa e,pertanto, ricorre anche in mancanza di dolo, ovvero anche quando la condottadell'agente sia meramente colposa (art. 3 della legge n. 689/81). Né apparesussistere, contrariamente a quanto apoditticamente asserito nel ricorso,"l'assoluta buona fede di BBJ" (pagg. 7 e 8 del ricorso), di cui laricorrente non fornisce alcun elemento di riscontro. Sul punto, si ricorda chela giurisprudenza di rito, in tema di illeciti amministrativi, ha precisato chel'esimente della buona fede, intesa come errore sulla liceità del fatto, assumerilievo solo in presenza di elementi positivi, idonei ad ingenerare nell'autoredella violazione il convincimento della liceità del suo operato, purché taleerrore sia incolpevole ed inevitabile, in quanto determinato da un elementopositivo, idoneo ad indurlo in errore ed estraneo alla sua condotta e nonovviabile con l'ordinaria diligenza e prudenza (Cass. 2007, n. 5894; Cass.2006, n. 11012; Cass. 1999, n. 1151). A proposito, poi, dell'errore c.d. didiritto, il Supremo Collegio ha precisato che questo non può essereidentificato, tout court, nella ignoranza della norma o nella mera asseritaincertezza del dettato normativo, specie se causata da un'errata soggettiva percezionedello stesso, trattandosi di condizione sempre superabile, anche mediante unarichiesta di informazioni alla p.a.. E ciò tanto più ove l'ignoranza interessiun operatore professionale, cioè un soggetto nei cui confronti il dovere diconoscenza e di informazione in ordine ai limiti e condizioni del propriooperare è particolarmente intenso, con l'effetto che la sua condotta, sotto ilprofilo considerato, dovrebbe semmai essere valutata con maggiore rigore (Cass.2006, n. 21779; Cass. 2009, n. 20866). Ebbene, nell'atto di ricorso non vi èalcun elemento che dimostri, alla stregua dei criteri indicati dallagiurisprudenza del Supremo Collegio,  la sussistenza di un errorescusabile a fondamento della condotta illecita della ricorrente. La pretesainapplicabilità dell'aggravante di cui all'art. 164-bis comma 3 del Codice("In altri casi di maggiore gravità e, in particolare, di maggiorerilevanza del pregiudizio per uno o più interessati, ovvero quando laviolazione coinvolge numerosi interessati, i limiti minimo e massimo dellesanzioni di cui al presente Capo sono applicati in misura pari aldoppio."), non è adeguatamente motivata dalla ricorrente, mentre è oggettodi specifica considerazione nella parte motiva del provvedimento impugnato, ovesi rileva che le violazioni contestate hanno coinvolto numerosi interessatiinseriti nel database, che conteneva 203.779 numeri di utenze telefoniche.Occorre infine rilevare che, come riportato nel provvedimento datato 10 giugno2011, "Le criticità sono tanto più rilevanti se si considera che lacampagna di marketing commissionata da Cemit, era in realtà una campagna dipropaganda elettorale svolta attraverso diversi canali di comunicazione (sms eemail) per la quale l'Autorità ha ricevuto numerose segnalazioni";

RILEVATO,pertanto, che la società ha effettuato un trattamento di dati personali (art. 4comma 1, lett. a) e b) del Codice) senza rendere l'informativa agli interessatiai sensi dell'art. 13 del Codice e  in carenza di un valido consenso aisensi dell'art. 23, comma 3, del medesimo Codice;

VISTOl'art. 161 del Codice, che punisce la violazione delle disposizioni di cuiall'art. 13 del medesimo Codice con la sanzione amministrativa del pagamento diuna somma da seimila euro a trentaseimila euro;

VISTOl'art. 162, comma 2-bis, del Codice che punisce la violazione delledisposizioni indicate nell'articolo 167 del medesimo Codice (tra le qualil'articolo 23) con la sanzione amministrativa del pagamento di una somma dadiecimila euro a centoventimila euro;

RITENUTOche, così come rilevato nel verbale di contestazione in argomento, sussistono, in ragione dell'elevato numero di interessati coinvolti nelle violazioni, glielementi che consentono di applicare l'aggravante prevista dall'art. 164-bis,comma 3, del Codice per entrambe gli illeciti contestati;

CONSIDERATOche, ai fini della determinazione dell'ammontare della sanzione pecuniaria,occorre tenere conto, ai sensi dell'art. 11 della legge 24 novembre 1981 n.689, dell'opera svolta dall'agente per eliminare o attenuare le conseguenzedella violazione, della gravità della violazione, della personalità e dellecondizioni economiche del contravventore;

CONSIDERATOche, nel caso in esame:

a) inordine all'aspetto della gravità,  gli elementi dell'entità delpregiudizio o del pericolo, dell'intensità dell'elemento psicologico e dellamodalità concreta della condotta devono essere valutati in funzione delleragioni per le quali, al caso di specie, è applicabile l'aggravante di cuiall'art. 164-bis, comma 3 del Codice;

b) aifini della valutazione dell'opera svolta dall'agente, deve essere consideratoil fatto che la società non ha fornito elementi circa le modalità di attuazionedel divieto di cui al provvedimento del Garante datato 10 giugno 2011 maiimpugnato;

c) circala personalità dell'autore della violazione, deve essere positivamenteconsiderata la circostanza che la società non risulti avere precedentispecifici in termini di violazioni alle disposizioni del Codice;

d) inmerito alle condizioni economiche dell'agente, al fine di commisurare l'importodella sanzione alla reale capacità economica del trasgressore nel rispetto delprincipio di uguaglianza, si rileva che la società, per l'anno 2011, risultaavere conseguito un significativo valore della produzione;

RITENUTOdi dover determinare, ai sensi dell'art. 11 della legge n. 689/1981,l'ammontare delle sanzioni pecuniarie, in considerazione di quanto previstodall'art. 164-bis, comma 3 del Codice, nella misura di euro 24.000,00 euro(ventiquattromila) per la violazione di cui all'art. 161 del Codice e di euro40.000,00 euro (quarantamila) per la violazione di cui all'art. 162, comma2-bis, del Codice,  per un importo complessivo pari a euro 64.000,00(sessantaquattromila);

VISTAla documentazione in atti;

VISTAla legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTEle osservazioni dell'Ufficio, formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazionedel 28 giugno 2000;

RELATOREla prof.ssa Licia Califano;

ORDINA

aBBJ s.r.l. P.Iva: 12904270159, con sede in Milano, via Alamanni n. 16/2.3, inpersona del legale rappresentante pro-tempore, di pagare la somma complessivadi euro 64.000,00 (sessantaquattromila) a titolo di sanzione amministrativapecuniaria per le violazioni previste dagli artt. 161 e 162, comma 2-bis, delCodice, in combinato disposto con l'art. 164-bis, comma 3 del Codice, comeindicato in motivazione;

INGIUNGE

allamedesima società di pagare la somma di euro 64.000,00 (sessantaquattromila)secondo le modalità indicate in allegato, entro 30 giorni dalla notificazionedel presente provvedimento, pena l'adozione dei conseguenti atti esecutivi anorma dall'art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che,entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questaAutorità, in originale o in copia autentica, quietanza dell'avvenutoversamento.

Aisensi degli artt. 152 del Codice e 10 del d. lg. n. 150/2011, avverso ilpresente provvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 13 giugno 2013

Il presidente
Soro

Il relatore
Califano

Il segretario generale
Busia