Garante per la protezione
    dei dati personali


Ordinanza di ingiunzione nei confrontidi Continental Terme srl

PROVVEDIMENTO DEL 30 OTTOBRE 2013

Registro dei provvedimenti
 n. 487 del 30 ottobre 2013

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, alla presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia,segretario generale;

RILEVATOche la Guardia di finanza, Tenenza di Ischia, in esecuzione della richiesta diinformazioni n. 15250/53969 del 30 giugno 2010 formulata da questa Autorità aisensi dell'art. 157 del Codice in materia di protezione dei dati personali –d.lgs. 30 giugno 2003, n. 196 (di seguito denominato "Codice"), hasvolto un'attività di controllo presso Continental Terme srl, con sede legalein Napoli, Via Cervantes n. 55, P.I. 03376570630, formalizzata nel verbale dioperazioni compiute redatto in data 22 settembre 2010, a fronte della quale èstato accertato che la società effettua una raccolta di dati personali, anchedi natura sensibile, di coloro che si recano presso la struttura alberghierasita a Ischia (NA), via M. Mazzella, per effettuare le cure termali, rendendoun'informativa inidonea, perché priva degli elementi di cui alle lettere d), e)ed f) dell'art. 13 del Codice, e acquisendo un unico consenso a fronte didiversi trattamenti, in violazione dell'art. 23, comma 3, del Codice;

VISTOil verbale del 13 dicembre 2010 con cui sono state contestate alla predettasocietà, in persona del legale rappresentante pro-tempore, le violazioniamministrative previste dagli artt. 161 e 162, comma 2-bis, del Codice inrelazione agli artt. 13 e 23 del medesimo Codice;

ESAMINATOil rapporto della Guardia di finanza predisposto ai sensi dell'art. 17 dellalegge 24 novembre 1981, n. 689 dal quale non risulta essere stato effettuato ilpagamento in misura ridotta;

VISTOlo scritto difensivo inviato ai sensi dell'art. 18 della legge 24 novembre 1981n. 689, con il quale la società ha eccepito la fondatezza della violazionedell'art. 23 del Codice, in quanto il consenso viene espresso da parte degliinteressati "sottoscrivendo la scheda sanitaria a piè di pagina inconformità a quanto stabilito dal comma 2 del citato art. 23". Per quantoconcerne, invece, la violazione dell'art. 13 del Codice, la parte ha precisatoche il riferimento alla "Terme di Merano" contenuta nel testodell'informativa "è da considerarsi un mero lapsus calami, non in grado diincidere e di inficiare la sostanza dell'atto stesso, ove si consideri che inpiù punti dell'informativa, nell'intestazione e a piè di pagina, risulta benchiara la stampigliatura della società erogante i servizi che è appuntol'istante Continental Terme"; quanto alla mancata indicazione dei dirittidi cui all'art. 7 del Codice e dei terzi a cui i dati sono comunicati, la parteha fatto presente che l'informativa agli interessati può essere resa ancheoralmente;

PRESOATTO della rinuncia all'audizione inizialmente richiesta ai sensi dell'art. 18della legge 24 novembre 1981 n. 689 e delle ulteriori osservazioni pervenute indata 8 giugno 2012 con cui la parte ha osservato che in calce alla schedasanitaria sono riportate le autorizzazioni al consenso da parte degliinteressati. "I verbalizzanti hanno contestato che la sottoscrizionedoveva essere pretesa singolarmente per quanto attiene all'informativa di cuial decreto legislativo 196/2003 e per il consenso al trattamento dei datipersonali e sensibili. Nel caso di specie invece le due dichiarazioni sonocontenute in un unico atto che l'utente sottoscrive ()";

RITENUTOche le argomentazioni addotte non risultano idonee in relazione agli illecitiaccertati. Per quanto concerne la violazione dell'art. 13 del Codice, siosserva che l'informativa adottata dalla società è carente di alcuni elementiessenziali, quali: l'indicazione dei soggetti ai quali i dati personali possonoessere comunicati (art. 13, comma 1, lett. d) e l'indicazione relativaall'esercizio dei diritti di cui all'art. 7 del Codice (art. 13, comma 1, lett.e). Va, inoltre, osservato che l'esame della modulistica utilizzata dallasocietà (modulo denominato "scheda sanitaria" e l'informativa ad essacorrelata) prevede che i dati personali raccolti siano utilizzati per diversitrattamenti di dati, oltre a quelli relativi alle cure termali, tra i quali visono il marketing, le ricerche di mercato e la spedizione di materialeinformativo/pubblicitario. In base alle disposizioni del Codice, laddove i datipersonali raccolti siano utilizzati per trattamenti diversi, il titolare deltrattamento deve acquisire un consenso specifico in rapporto a ciascuntrattamento chiaramente individuato. Nel caso di specie, la società doveva,quindi, necessariamente distinguere il consenso relativo alle finalità di curada quello relativo agli ulteriori trattamenti per finalità amministrative ecommerciali eventualmente ad essi correlati. Sotto questo aspetto, dunque, laformula predisposta dalla società non è corretta, perché costringe di fatto gliinteressati ad acconsentire, all'atto della prestazione del consenso relativoai trattamenti dei dati necessari per l'erogazione delle cure termali, anche atrattamenti non indispensabili, aventi natura promozionale, così impedendo lorodi esprimere liberamente la propria scelta;

RILEVATO,pertanto, che la società ha effettuato un trattamento di dati personali deiclienti (art. 4 comma 1, lett. a) e d) del Codice), rendendo un'informativainidonea e omettendo di acquisire un  consenso specifico;

VISTOl'art. 161 del Codice che punisce la violazione dell'art. 13 del medesimoCodice con la sanzione amministrativa del pagamento di una somma da seimilaeuro a trentaseimila euro;

VISTOl'art. 162, comma 2-bis, del Codice, che punisce la violazione delledisposizioni indicate nell'art. 167 del Codice, tra le quali quelle di cuiall'art. 23 del medesimo Codice, con la sanzione amministrativa del pagamentodi una somma da diecimila euro a centoventimila euro;

VISTOl'art. 164-bis, comma 1, del Codice, che prevede che, se taluna delleviolazioni di cui agli artt. 161, 162, 163 e 164 è di minore gravità, i limitiminimi e massimi stabiliti nei medesimi articoli sono applicati in misura paria due quinti;

CONSIDERATOche, ai fini della determinazione dell'ammontare della sanzione pecuniaria,occorre tenere conto, ai sensi dell'art. 11 della legge 24 novembre 1981 n.689, dell'opera svolta dall'agente per eliminare o attenuare le conseguenzedella violazione, della gravità della violazione, della personalità e dellecondizioni economiche del contravventore;

RITENUTOche, limitatamente alla violazione di cui all'art. 161 del Codice, ricorrono lecondizioni per applicare l'art. 164-bis, comma 1, del medesimo Codice;

RITENUTOdi dover determinare, ai sensi dell'art. 11 della legge 24 novembre 1981 n.689, l'ammontare della sanzione pecuniaria prevista dall'art. 161 del Codicenella misura di euro 2.400,00 (duemilaquattrocento) e l'ammontare dellasanzione pecuniaria prevista dall'art. 162, comma 2-bis, nella misura di euro10.000,00 (diecimila) per un ammontare complessivo pari a euro 12.400,00(dodicimilaquattrocento);

VISTAla documentazione in atti;

VISTAla legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTEle osservazioni dell'Ufficio, formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000;

RELATOREla dott.ssa Giovanna Bianchi Clerici;

ORDINA

aContinental Terme srl, con sede legale in Napoli, Via Cervantes n. 55, P.I.03376570630, nella persona del legale rappresentante pro tempore, di pagare lasomma di euro 12.400,00 (dodicimilaquattrocento) a titolo di sanzioneamministrativa pecuniaria per le violazioni previste dagli artt. 161 e 162, comma2-bis del Codice;

INGIUNGE

allamedesima società di pagare la somma di euro 12.400,00 (dodicimilaquattrocento)secondo le modalità indicate in allegato, entro 30 giorni dalla notificazionedel presente provvedimento, pena l'adozione dei conseguenti atti esecutivi anorma dall'art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che,entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questaAutorità, in originale o in copia autentica, quietanza dell'avvenutoversamento.

Ai sensidegli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presenteprovvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 30 ottobre 2013

Il presidente
Soro

Il relatore
Bianchi Clerici

Il segretario generale
Busia