Garante per la protezione
    dei dati personali


Ordinanza di ingiunzione nei confrontidi X.Y. s.r.l.

PROVVEDIMENTO 27 GIUGNO 2013

Registro dei provvedimenti
n. 320 del 27 giugno 2013

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, alla presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia,segretario generale;

RILEVATOche, nell'ambito di un procedimento amministrativo inerente una segnalazionenella quale si lamentava la ricezione, in data 8 luglio 2010, di una e-mailindesiderata inviata dalla X.Y. s.r.l. P.I.: 01234567890, consede in Padova, e a seguito del mancato riscontro a unaprima richiesta d'informazioni del 23 settembre 2010 nei confronti della citatasocietà, l'Ufficio del Garante ha inviato una successiva richiesta diinformazioni, ai sensi dell'art. 157 del Codice in materia di protezione deidati personali – d.lg. 30 giugno 2003, n. 196 (di seguito denominatoCodice), n. prot. 3394/U del 21 febbraio 2011, ritualmente notificata in data25 febbraio 2011 mediante raccomandata il cui avviso di ricevimento è agli attidel fascicolo, a fronte della quale non veniva fornito riscontro contravvenendoa quanto disposto dal citato art. 157;

RILEVATO,altresì, che, a fronte del mancato riscontro anche a questa richiesta diinformazioni, l'Ufficio del Garante ha appositamente delegato al Nucleospeciale privacy della Guardia di finanza l'acquisizione delle informazioni, icui esiti, formalizzati nel verbale di operazioni compiute dell'11 maggio 2011,hanno consentito di accertare che X.Y. s.r.l., in qualità dititolare del trattamento, ha utilizzato l'indirizzo di posta elettronica dellasegnalante, inviando una comunicazione di natura promozionale tramite e-mail,in carenza dell'esplicito consenso di cui al combinato disposto degli artt. 23e 130 del Codice e senza averle reso un'idonea informativa ai sensi dell'art.13 del medesimo Codice;

VISTIil verbale dell'Ufficio del Garante n. 8018/70053 del 19 aprile 2011 con cui èstata contestata alla predetta società, in persona del legale rappresentantepro-tempore, la violazione amministrativa prevista dall'art. 164 del Codice inrelazione all'art. 157 informandola della facoltà di effettuare il pagamento inmisura ridotta ai sensi dell'art. 16 della legge 24 novembre 1981, n. 689 e ilverbale del Nucleo speciale privacy della Guardia di finanza n. 41 del 20 giugno2011 con cui sono state contestate, sempre alla predetta società, in personadel legale rappresentante pro-tempore, le violazioni amministrative previstedagli artt. 161 e 162, comma 2-bis, del Codice, in relazione agli artt. 13 e alcombinato disposto degli artt. 23 e 130, informandola della facoltà dieffettuare il pagamento in misura ridotta ai sensi dell'art. 16 della legge 24novembre 1981, n. 689;

ESAMINATIi rapporti dell'Ufficio del Garante per la protezione dei dati personali e delNucleo speciale privacy della Guardia di finanza, predisposti ai sensidell'art. 17 della legge 24 novembre 1981, n. 689, dai quali non risulta esserestati effettuati i pagamenti in misura ridotta per nessuna delle succitatecontestazioni;

VISTIgli scritti difensivi datati 6 giugno 2011 e 9 agosto 2011 inviati ai sensidell'art. 18 della legge 24 novembre 1981, n. 689, con cui la società, conspecifico rifermento alla violazione di cui all'art. 164 del Codice, harilevato come l'art. 157 del Codice, che si assume essere stato violato,"() nell'indicare i poteri del Garante di chiedere informazioni, non hatuttavia previsto dei termini entro cui il destinatario della richiesta debbadare una risposta lasciando pertanto intendere che, laddove discrezionalmenteposti dall'autorità, gli stessi devono ritenersi meramente ordinatori e noncerto perentori". Inoltre, ha evidenziato come, a fronte delle trerichieste di informazioni formulate dall'Autorità, "() le risposte alledomande poste dal Garante sono state date tramite la Guardia di finanza edintegrate dalle successive osservazioni inviate a codesto Ufficio il25.05.2011. Pertanto, nessuna omissione può essere imputata alla societàscrivente considerato che il Codice della privacy sanziona, ai sensi dell'art.164 "Chiunque omette di fornire le informazioni ()" e nessunasanzione può essere applicata al caso de quo poiché trattasi eventualmente disolo ritardo dovuto alla convinzione di essere in regola ()". Haosservato, altresì, l'incongruità della sanzione applicata poiché "() ilGarante applicava una sanzione () superiore al minimo previsto per legge senzatuttavia addurre alcuna motivazione a sostegno della decisione arbitrariamentepresa". Riguardo la violazione di cui all'art. 161 del Codice, ha osservatocome l'informativa resa al segnalante in data 12 luglio 2010 e ritenutainidonea deve essere invece considerata esaustiva alla luce di quanto dispostodal Garante nel provvedimento datato 19 giugno 2008, atteso che con taleprovvedimento l'Autorità ha ritenuto di fare "() fronte ad esigenze disemplificazioni avanzate da imprese, libero professionisti e artigianirelativamente alla gestione delle informazioni ()", rilevando, inoltre,che "() l'unico dato in possesso di X.Y. s.r.l. eral'indirizzo e-mail generico aaa@hotmail.com che certamente non potevaconsiderarsi dato sensibile trattandosi di dato generico, non idoneo a farrisalire all'identità della persona fisica utilizzatrice", e che "()l'attività della società () avveniva nel pieno rispetto di quanto sancitodall'art. 20-bis della Legge 166/2009 ()". Riguardo alla violazione dicui all'art. 162, comma 2-bis del Codice, evidenziando che il segnalante"() prima di ricevere la mail pubblicitaria del 12.07.2010, aveva liberamenteespresso il proprio consenso alla ricezione di mail pubblicitarie a seguito diuna procedura conclusa via internet, nel corso della quale gli veniva fornital'informativa breve prevista dall'art. 13 D. Lgs. 196/03", ha osservatocome, anche in base alle diverse norme richiamate, "Una e-mail (quella del12 luglio 2010) con la quale l'operatore si limiti a richiedere il consenso peril successivo inoltro di comunicazioni commerciali () non pare () possaessere fatta rientrare nella previsione di cui all'art. 130, commi 1 e 2 delCodice della privacy ()". Per le ragioni esposte, nel caso di specie, sidovrà applicare il regime del consenso al trattamento di cui all'art. 23, pereffetto del quale, ai sensi dell'art. 24, comma 1 lett. d) del Codice il consensonon è richiesto; ove, peraltro, il citato art. 23, comma 3, del Codice prevedeche "il consenso è manifestato in forma scritta quando il trattamentoriguarda dati sensibili". Inoltre, analogamente a quanto già asseritocirca il "rispetto di quanto sancito dall'art. 20-bis della Legge166/2009", la società ha ritenuto applicabile la disciplina del"Registro pubblico delle opposizioni", retto dal principiodell'opt-out, ove, il "() sistema, quello dell'opt-out, che in virtùdella recentissima semplificazione al Codice della Privacy introdotta dal punto6) del comma 2 dell'art. 6 del decreto per lo sviluppo 13 maggio 2011 n. 70, èstato esteso al marketing basato anche sugli indirizzi postali". Anche perla violazione in trattazione ha rilevato l'incongruità della sanziona applicatapoiché "() il Garante applicava una sanzione () superiore al minimoprevisto per legge senza tuttavia addurre alcuna motivazione a sostegno delladecisione arbitrariamente  presa";

VISTOil verbale di audizione delle parti redatto in data 17 settembre 2012 ai sensidell'art. 18 della legge 24 novembre 1981, n. 689, nel quale la società,ribadendo quanto già rappresentato negli scritti difensivi, con riferimento alverbale di contestazione n. 8018/70053 dell'11 maggio 2011, ha evidenziato che"() alla richiesta del sig. A.B. la società ha provveduto con unarisposta entro le 24 ore ()", evidenziando, altresì, che "()l'indirizzo dell'utente (segnalante), aaa@hotmail.com,  sia un datogenerico e non un dato identificativo dell'utente stesso e quindi non possaessere considerato un dato personale ai sensi dell'art. 4 del Codice". Haprecisato altresì come "() il Regolamento n. 1/2007, all'art. 10, nonprevede termini per rispondere alla richiesta di informazioni così come l'art.157 ()", richiedendo anche di valutare la gravità dell'illecitocontestato ai fini dell'applicazione dell'art 164-bis comma 1 del Codice.Riguardo al verbale di contestazione n. 41 del 18 luglio 2011, ribadendo quantogià rappresentato negli scritti difensivi, ha sottolineato che "() comedichiarato nel verbale di operazioni compiute dell'11.05.2011 la X.Y. non detiene banche dati e quindi può essere qualificata qualeintermediario che opera per propri clienti che hanno già ottenuto il consensoprevia informativa, da parte dei destinatari delle proprie comunicazionipubblicitarie". Anche in questo caso ha richiesto di valutare la gravitàdell'illecito contestato ai fini dell'applicazione dell'art 164-bis, comma 1,del Codice;

RITENUTOche le argomentazioni addotte non risultano idonee per escludere laresponsabilità della società in relazione alle contestazioni in argomento. Conspecifico riferimento alla violazione dell'art. 157 del Codice, sanzionatadall'art. 164, si osserva che, diversamente da quanto ritenuto, il termineentro cui adempiere alla richiesta di informazioni n. prot. 3394/U del 21febbraio 2011, è specificatamente individuato (entro il 10 marzo p.v. -ovvero2011) ed è perentorio. La perentorietà del termine indicato nella richiesta diinformazioni ai sensi dell'art. 157 del Codice, emerge dalla necessità diacquisire gli elementi istruttori indispensabili per definire i procedimentiamministrativi nel rispetto dei termini previsti dai Regolamenti nn. 1 e 2/2007del Garante senza che il soggetto destinatario della richiesta di informazioniabbia la possibilità di eludere o ritardare le comunicazioni cui fornireobbligatoriamente riscontro. Peraltro, la mancata risposta nei termini previstiha causato un ritardo e un aggravio dei costi dell'attività istruttoriadell'Autorità imputabile alla società (Trib. Milano, Sez. I civile, sentenza n.5637 del 16 aprile 2013). Nel merito, sotto il profilo generale, vapreliminarmente sottolineato come sia pacifico, anche per stessa ammissione deltrasgressore (così come esplicitamente riportato nel verbale di contestazionen. 41 del 20 giugno 2011), che X.Y. s.r.l. ha inviato unae-mail promozionale al segnalante in data 8 luglio 2010. Inoltre, si evidenziacome, diversamente da quanto ritenuto, l'art. 4, comma 1, lett. a) del Codicenel definire "trattamento", qualunque operazione o complesso dioperazioni, (), concernenti la raccolta, la registrazione, l'organizzazione,la conservazione, la consultazione,() l'estrazione, () l'utilizzo,() didati, anche se non registrati in una banca di dati, e l'art. 4, comma 1, lett.b) del medesimo Codice nel definire quale "dato personale" qualunqueinformazione relativa a persona fisica, (), identificata o identificabile, ancheindirettamente, mediante riferimento a qualsiasi altra informazione, ivicompreso un numero di identificazione personale, consentono di qualificarequanto accertato nel verbale di operazioni compiute, quale trattamento di datipersonali; quanto asserito circa il fatto che "() la X.Y. non detiene banche dati ()" viene smentito da quanto contenutonella e-mail promozionale dell'8 luglio 2010 dove è riportata la dicitura:"Il tuo nominativo è stato prelevato dalla banca dati di: X.Y.. S.r.l.". Risulta poi inconferente quanto osservato in ordineall'incongruità delle sanzioni contestate, atteso che sia gli importi edittalidel minimo e massimo sia gli importi relativi alla definizione in via brevedelle contestazioni medesime sono previsti dalla legge, non potendo, gliaccertatori quantificarli diversamente. Ove il contravventore non si avvalgadella facoltà di definire il procedimento in via breve effettuando il pagamentoin misura ridotta, spetta all'Autorità competente (Garante per la protezionedei dati personali) determinare, ai sensi dell'art. 11 della legge n. 689/1981,la somma dovuta per le violazioni contestate, ingiungendone il pagamento.Parimenti inconferente risulta il richiamo all'art. 20-bis del D.L. 25 settembre2009 n. 135, convertito con modificazioni nella legge 20 novembre 2009 n. 166,atteso che tale norma inerisce esclusivamente le chiamate promozionali e nonanche l'invio di e-mail. Tale rilievo risulta dirimente anche in ordine alregime del "Registro delle opposizioni" basato sul principiodell'opt-out. In relazione alla violazione dell'art. 130 del Codice, sanzionatadall'art. 162, comma 2-bis, si evidenzia come non sia stata provata in alcunmodo la circostanza secondo la quale il segnalante "() prima di riceverela mail pubblicitaria del 12.07.2010, aveva liberamente espresso il proprioconsenso alla ricezione di mail pubblicitarie a seguito di una proceduraconclusa via internet, nel corso della quale gli veniva fornita l'informativabreve prevista dall'art. 13 D.Lgs. 196/03", ragione per la quale siaconsiderando l'e-mail di natura evidentemente promozionale datata 8 luglio 2010sia quella del 12 luglio 2010, non risulta assolto l'obbligo di acquisire ilconsenso al trattamento dei dati in base al combinato disposto degli artt. 23 e130, comma 2, del Codice. Con specifico riferimento, invece, alla violazionedell'art. 13 del Codice, sanzionata dall'art. 161, si rileva come a frontedell'e-mail promozionale dell'8 luglio 2010, che ha generato la segnalazione,non risulta essere stata resa alcuna informativa ai sensi dell'art. 13 delCodice da parte della X.Y., mentre per stessa ammissione dellasocietà nei propri scritti difensivi, l'informativa resa successivamente alsegnalante, in data 12 luglio 2010, non contiene tutti gli elementi elencatidalla lettera a) alla lettera f) dell'art. 13. Si osserva, infine, come al casodi specie non si possa applicare quanto previsto dal provvedimento del Garantedatato 19 giugno 2008 recante "Semplificazioni di taluni adempimenti inambito pubblico e privato rispetto ai trattamenti per finalità amministrative econtabili", atteso che il trattamento di dati personali posto in esseredalla X.Y., avendo natura promozionale, non rientra tra quellidisciplinati con il citato provvedimento;

RILEVATOche la società ha quindi effettuato un trattamento di dati personali (art. 4comma 1, lett. a) e b) del Codice) inviando messaggi di natura promozionale viae-mail senza rendere l'informativa ai sensi dell'art. 13 del Codice e senzaacquisire il consenso ai sensi degli artt. 23 e 130 del Codice;

VISTOl'art. 161 del Codice, che punisce la violazione dell'art. 13 del medesimoCodice con la sanzione amministrativa del pagamento di una somma da seimilaeuro a trentaseimila euro;

VISTOl'art. 162, comma 2-bis, del Codice, che punisce la violazione delledisposizioni indicate nell'art. 167 del Codice, tra le quali quella di cuiall'art. 130 del medesimo Codice, con la sanzione amministrativa del pagamentodi una somma da diecimila euro a centoventimila euro;

VISTOl'art. 164 del Codice, che punisce chiunque omette di fornire le informazioni odi esibire i documenti richiesti dal Garante ai sensi dell'art. 157, con lasanzione amministrativa del pagamento di una somma da diecimila euro asessantamila euro;

VISTOl'art. 164-bis, comma 1, del Codice il quale prevede che se taluna delleviolazioni di cui agli art. 161, 162, 163 e 164 è di minore gravità, i limitiminimi e massimi stabiliti negli stessi articoli sono applicati in misura paria due quinti;

RITENUTOche, nel caso di specie, ricorrano le condizioni per applicare l'art. 164-bis,comma 1, del Codice limitatamente alle violazioni di cui agli artt. 161 e 162,comma 2-bis;

CONSIDERATOche, ai fini della determinazione dell'ammontare della sanzione pecuniaria,occorre tenere conto, ai sensi dell'art. 11 della legge 24 novembre 1981 n.689, dell'opera svolta dall'agente per eliminare o attenuare le conseguenzedella violazione, della gravità della violazione, della personalità e dellecondizioni economiche del contravventore;

RITENUTOdi dover determinare, ai sensi dell'art. 11 della legge 24 novembre 1981 n.689, l'ammontare della sanzione pecuniaria: per la violazione dell'art. 161 delCodice in combinato disposto con l'art. 164-bis, comma 1, nella misura di euro2.400,00 (duemilaquattrocento); per la violazione dell'art. 162, comma 2-bisdel Codice in combinato disposto con l'art. 164-bis, comma 1, nella misura dieuro 4.000,00 (quattromila) e per la violazione dell'art. 164 del Codice nellamisura di euro 10.000,00 (diecimila), per un importo complessivo di euro16.400,00 (sedicimilaquattrocento);

VISTAla documentazione in atti;

VISTAla legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTEle osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazionedel 28 giugno 2000;

RELATOREla dott.ssa Giovanna Bianchi Clerici;

ORDINA

adX.Y. s.r.l. P.I.: 01234567890, con sede in Padova, in persona del legale rappresentante pro-tempore, di pagare lasomma di euro 16.400,00 (sedicimilaquattrocento) a titolo di sanzioneamministrativa pecuniaria per le violazioni previste dagli artt. 161 e 162,comma 2-bis e 164 del Codice indicata in motivazione;

INGIUNGE

allamedesima società di pagare la somma di euro 16.400,00 (sedicimilaquattrocento)secondo le modalità indicate in allegato, entro 30 giorni dalla notificazionedel presente provvedimento, pena l'adozione dei conseguenti atti esecutivi anorma dall'art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che,entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questaAutorità, in originale o in copia autentica, quietanza dell'avvenutoversamento.

Aisensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso ilpresente provvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 27 giugno 2013

Il presidente
Soro

Il relatore
Bianchi Clerici

Il segretario generale
Busia