Garante per la protezione
    dei dati personali


Ordinanza di ingiunzione nei confrontidi Axis Strategic Vision srl

PROVVEDIMENTO DEL 25 LUGLIO 2013

Registro dei provvedimenti
n. 371 del 25 luglio 2013

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, alla presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia,segretario generale;

RILEVATOche il Nucleo privacy della Guardia di finanza, in esecuzione della richiestadi informazioni formulata da questa Autorità ai sensi dell'art. 157 del d. lgs.196/2003, recante il Codice in materia di protezione dei dati personali (prot.n. 5703/53969 del 28 marzo 2011), ha svolto accertamenti presso Axis StrategicVision srl, con sede in Cagliari, Via Azuni n. 46, P.I. 02380570925, redigendoapposito verbale di operazioni compiute, datato 6 settembre 2011, dal qualerisulta che la società gestisce due siti internet (www.axis-sv.it e www.bancadaticurriculum.it)tramite i quali effettua un trattamento di dati personali per mezzo di due formdi raccolta dati, in calce ai quali sono riportate informative inidonee, perchéprive degli elementi previsti dall'art. 13 del Codice;

VISTOil verbale n. 55 del 6 settembre 2011 con cui sono state contestate allapredetta società, in persona del legale rappresentante pro-tempore, leviolazioni amministrative previste dall'art. 161 del Codice, applicate incombinato disposto con l'art. 164-bis, comma 1, in relazione alla raccolta didati personali effettuata tramite i due distinti form;

CONSIDERATOche la parte è stata informata della facoltà di effettuare il pagamento inmisura ridotta ai sensi dell'art. 16 della legge 24 novembre 1981 n. 689;

RILEVATOche dal rapporto predisposto dal predetto Nucleo ai sensi dell'art. 17 dellalegge 24 novembre 1981 n. 689 non risultano effettuati i pagamenti in misuraridotta;

VISTIgli scritti difensivi inviati ai sensi dell'art. 18 della legge 24 novembre1981 n. 689, con cui la società ha dichiarato che il modulo di raccolta datipresente sul sito internet www.axis-sv.it assolve l'unica finalità di fornireinformazioni agli utenti che ne facciano richiesta circa il servizio reso, percui "il contesto del trattamento è noto all'interessato ()presumibilmente già consapevole degli elementi essenziali deltrattamento". Per quanto concerne, invece, il sito internetwww.bancadaticurriculum.it la parte ha precisato che tale sito era statorealizzato in virtù di un contratto stipulato con l'Agenzia Regionale dellavoro della Regione Sardegna, in base al quale la società Axis si limitava adinserire i contenuti di volta in volta stabiliti dalla committente, motivo percui la titolarità del trattamento deve essere riconosciuta in capo allasuddetta Agenzia. A seguito della risoluzione contrattuale, e precisamente apartire dal 13 ottobre 2009, il sito è "accessibile e visibile liberamentesolo all'interno degli uffici della scrivente", mentre dall'esterno èaccessibile solo previa autenticazione. La parte ha, infine, richiamato ledisposizioni del Codice che prevedono modalità semplificate sul rilasciodell'informativa (artt. 11, 118 e 134) e, in particolare, la modificalegislativa che ha eliminato l'obbligo di fornire l'informativa nei casi diinvio spontaneo dei curricula;

CONSIDERATOche le argomentazioni addotte non consentono di escludere la responsabilitàdella società in relazione a quanto contestato. Il mero riferimento ai principidi correttezza, liceità e trasparenza nel trattamento dei dati personalieffettuato dalla parte, come indicato nei testi posti in calce a entrambi iform di raccolta dati, non soddisfa i requisiti previsti dall'art. 13 delCodice che, invece, individua una serie di elementi di cui l'interessato devevenire a conoscenza all'atto del conferimento dei propri dati personali e chesono del tutto assenti al punto da non essere nemmeno qualificabile comeinformativa semplificata. Tale assunto rileva a prescindere dalla circostanzache i dati siano conferiti spontaneamente dall'utente al fine di ottenere unriscontro alle proprie richieste. Per quanto concerne il sitowww.bancadaticurriculum.it, rispetto al quale la parte ha escluso la propriatitolarità, si osserva che, sebbene dalla documentazione prodotta (risalente alperiodo 2003-2004) risulti che la società Axis sia stata incaricatadall'Agenzia regionale del lavoro a provvedere alla progettazione e allarealizzazione del sito, limitandosi all'inserimento dei contenuti dalla stessaindicati (circostanza che permetterebbe di attribuire la titolarità deltrattamento alla committente), a seguito della risoluzione contrattuale labanca dati ha continuato ad essere visibile e fruibile da parte della Axis,tanto che al momento dell'accertamento ispettivo la consultazione dei curriculaera possibile all'amministratore della Axis, sig. Pili, che era in possessodelle credenziali di autenticazione. Dal verbale redatto dalla Guardia difinanza, inoltre, si evince che non solo il sito in questione era ancora visibileon line ma anche che gli utenti erano ancora in grado di "modificare ocancellare il proprio profilo in qualsiasi momento tramite le credenziali inloro possesso" e che risultavano presenti 223 curricula. Tali circostanzeinducono ad attribuire la titolarità del trattamento alla parte anche per quelche concerne i dati personali raccolti tramite il sitowww.bancadaticurriculum.it. Per quanto riguarda, infine, l'applicabilità alcaso di specie dell'art. 13, comma 5-bis, del Codice, va precisato che talenorma prevede che il titolare del trattamento possa rendere l'informativa acoloro che inviano spontaneamente il proprio curriculum successivamente allaricezione dello stesso, in considerazione dell'impossibilità di assolvere taleobbligo previamente. In tal senso si era già espresso il Garante con ilprovvedimento del 10 gennaio 2002 in materia di "Lavoro e previdenza sociale- informativa negli annunci relativi ad offerte di lavoro". Diversamente, nel caso che ci occupa, il titolaredel trattamento ha predisposto un form per raccogliere i curricula e talecircostanza, ben diversa dal caso di invio spontaneo e non sollecitato deicurricula, richiede, anche a normativa vigente, che l'interessato siapreviamente informato ai sensi dell'art. 13 del Codice;

RILEVATO,pertanto, che la società ha effettuato un trattamento di dati personali (art. 4comma 1, lett. a) e b) del Codice) per mezzo di due form di raccolta datifornendo un'informativa inidonea;

VISTOl'art. 161 del Codice che punisce la violazione delle disposizioni di cuiall'art. 13 con la sanzione amministrativa del pagamento di una somma daseimila a trentaseimila euro;

VISTOl'art. 164-bis, comma 1, del Codice il quale prevede che se taluna delleviolazioni di cui agli art. 161, 162, 163 e 164 è di minore gravità, i limitiminimi e massimi stabiliti negli stessi articoli sono applicati in misura paria due quinti;

VISTAla legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

CONSIDERATOche, ai fini della determinazione dell'ammontare della sanzione pecuniaria,occorre tenere conto, ai sensi dell'art. 11 della legge 24 novembre 1981 n.689, dell'opera svolta dall'agente per eliminare o attenuare le conseguenzedella violazione, della gravità della violazione, della personalità e dellecondizioni economiche del contravventore;

RITENUTOdi dover determinare, ai sensi dell'art. 11 della legge 24 novembre 1981 n.689, l'ammontare delle sanzioni pecuniarie nella misura di euro 4.800,00(2.400,00 per ciascuno dei form);

VISTAla documentazione in atti;

VISTEle osservazioni dell'Ufficio, formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazionedel 28 giugno 2000;

RELATOREdott.ssa Giovanna Bianchi Clerici;

ORDINA

aAxis Strategic Vision srl, con sede in Cagliari, Via Azuni n. 46, P.I.02380570925, in persona del legale appresentante pro-tempore, di pagare lasomma di euro 4.800,00 (quattromilaottocento) a titolo di sanzioneamministrativa pecuniaria per le violazioni previste dall'art. 161 del Codice,come indicato in motivazione;

INGIUNGE

allamedesima società di pagare la somma di euro 4.800,00 (quattromilaottocento) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazionedel presente provvedimento, pena l'adozione dei conseguenti atti esecutivi a normadall'art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro iltermine di giorni 10 (dieci) dal versamento, sia inviata a questa Autorità, inoriginale o in copia autentica, quietanza dell'avvenuto versamento.

Aisensi degli artt. 152 del Codice e 10 del d. lg. n. 150/2011, avverso ilpresente provvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 25 luglio 2013

Il presidente
Soro

Il relatore
Bianchi Clerici

Il segretario generale
Busia