Garante per la protezione
    dei dati personali


Ordinanza di ingiunzione nei confrontidi Compagnia Assicuratrice Linear s.p.a.

PROVVEDIMENTO DEL 30 OTTOBRE 2013

Registro dei provvedimenti
n. 486 del 30 ottobre 2013

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, alla presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia,segretario generale;

RILEVATOche il Nucleo speciale privacy della Guardia di finanza, in esecuzione dellarichiesta di informazioni ex art. 157 del Codice in materia di protezione deidati personali – d.lg. 30 giugno 2003, n. 196 (di seguito denominatoCodice) (n. 4804/53969 del 4 aprile 2009), ha svolto gli accertamenti di cui alverbale di operazioni compiute del 6 maggio 2009 nei confronti di CompagniaAssicuratrice Linear s.p.a. (di seguito Linear s.p.a.), con sede in Bologna,via Giuseppe Cesare Gualandi n. 1 P.Iva: 04260280377 indirizzo PEC:LINEAR@PEC.UNIPOL.IT, in persona del legale rappresentante pro-tempore, daiquali è risultato, tra l'altro, che la società, per mezzo di due distinti formrelativi, uno all'iscrizione al servizio "Tribù Linear", presente sulsito web www4.onlinear.it e l'altro alla registrazione on line del preventivo,presente sul sito web www.linear.it, acquisiva, per ciascuno dei due descrittitrattamenti, dati personali in carenza di un consenso espresso in modospecifico ai sensi dell'art. 23 del Codice per ciascuna delle finalità,ulteriori rispetto a quella di iscrizione ai relativi servizi, indicate nellerispettive informative rese agli interessati ai sensi dell'art. 13 del Codice.E' stato altresì rilevato come i consensi raccolti ai sensi dell'art. 23 delCodice, di cui ai trattamenti di dati citati, venissero raccolti prevedendo,quale valore di default nei relativi menù a tendina, rispettivamente la frase"Si, do il mio consenso" e la frase "Si, accetto i termini e lecondizioni";

VISTOil verbale n. 20716/63802 del 24 settembre 2009 con cui sono state contestate,alla società, per i trattamenti effettuati mediante i due form di raccolta, tral'altro, due violazioni amministrative, entrambe previste dall'art. 162, comma2-bis del Codice, in relazione all'art. 23, informandola della facoltà dieffettuare il pagamento in misura ridotta ai sensi dell'art. 16 della legge 24novembre 1981, n. 689;

RILEVATOdal rapporto dell'Ufficio del Garante, predisposto ai sensi dell'art. 17 dellalegge 24 novembre 1981, n. 689, relativo al suddetto verbale di contestazione,che non risulta essere stato effettuato, con riferimento ai due illeciti inargomento, il pagamento in misura ridotta;

VISTOlo scritto difensivo datato 11 novembre 2009 inviato ai sensi dell'art. 18della legge 24 novembre 1981, n. 689, con il quale, con riferimento al rilievoinerente il servizio "Tribù Linear", presente sul sito webwww4.onlinear.it, ha preliminarmente evidenziato come quanto accertato "()risulti infondato, perché il contestato trattamento illecito di dati personali èstato effettuato in un'epoca antecedente all'entrata in vigore dell'art. 162,comma 2-bis del Codice, così come modificato dall'art. 44 del d.l. 30 dicembre2008 n. 207, convertito, con modificazioni, dalla legge 27 febbraio 2009 n.14". Ciò, in quanto, secondo quanto precisato nello specifico passaggiodel verbale di operazioni compiute, citato nella contestazione in argomento,emerge come alla data dell'ispezione "() non vi fosse più possibilità diiscrizione al servizio Tribù Linear tramite il suddetto form ()", oveperaltro, sul punto, rileva come dai medesimi atti "() si ricava () chel'iniziativa commerciale relativa alla partecipazione a Tribù Linear avevacomunque una durata limitata, con inizio al 12.06.07 e termine al 31.12.2007 ()termine (che) ha poi subito uno slittamento tecnico alla data del 15 luglio2008 (). Dopo tale ultima data (antecedente all'entrata in vigore dellemodifiche apportate dall'art. 44 del d.l. n. 207 cit.) non è stato piùpossibile iscriversi al servizio e visualizzare il form ()". Sempreriguardo il medesimo rilievo, ha osservato come la disciplina del consenso dicui all'art. 23 del Codice preveda che "() il consenso sia prestato"specificatamente in riferimento ad un trattamento chiaramenteindividuato" e non per ogni finalità di trattamento: nella"giurisprudenza" del Garante è difatti pacifico che il consenso possaessere rilasciato per un insieme di finalità del trattamento aventi le stessecaratteristiche". Nel caso di specie, "al di là dello stileutilizzato "() le "finalità ulteriori" per le quali vienerichiesto un unico consenso paiono tutte da ricomprendere nella più ampianozione  di marketing diretto di cui al Titolo XIII, Capo I, art. 140 delCodice, nonché (degli) artt. 7, comma 4, lett. b), e 130 del Codice,riguardando, nella sostanza, il trattamento di dati personali consistente ()in un'attività di contatto o comunicazione (one to one) con gli interessati ().Sostenere, secondo quanto indicato nel verbale di contestazione, l'obbligo diarticolare "() distinte opzioni di consenso per ogni singola finalità dimarketing, nonostante il chiaro dettato normativo che permette di raggrupparle(), sarebbe () contrari(o) al principio di semplificazione di cui all'art. 2,comma 2, del Codice, così come confermato dai recenti orientamenti normativisul tema, e risulterebbe ingiustificata anche in relazione agli ultimiprovvedimenti adottati dal Garante da fine 2008 a oggi in analoghi casi omaterie concernenti i moduli di informativa e consenso per finalità dimarketing e/o di profilazione – in cui non risulta emergere anche l'avviodi procedimenti sanzionatori". Inoltre, è stato rilevato come quantocontestato in ordine alle modalità di raccolta del consenso mediante lapre-impostazione, quale valore di default nei relativi menù a tendina, dellafrase "Si, do il mio consenso", sia "() del tuttosproporzionat(o), oltre che palesemente discriminatori(o) rispetto alle prassituttora seguite dagli altri operatori in vari settori ()". Ciò anche inconsiderazione del fatto che la previsione dell'art. 162, comma 2-bis delCodice "() è stata recentemente oggetto di modifica nell'ambito dellalegge di conversione del decreto legge 25 settembre 2009 n. 135 () (che) introduceun dimezzamento dell'importo minimo della sanzione in questione ()".

Conriferimento, invece, al rilievo inerente il servizio registrazione on line delpreventivo, presente sul sito web www.linear.it, nel ribadire le medesimeargomentazioni afferenti il precedente rilievo, ha inteso precisare come unadelle due informative presenti nel form di registrazione "() contienel'indicazione anche dell'attività di profilazione della clientela, oltre allefinalità di marketing diretto ()", ove sul punto evidenzia come la società"() non svolge al momento alcuna attività di profilazione del cliente sulpiano commerciale ()". Ritiene, altresì, come quanto contestato in ordinealle modalità di raccolta del consenso mediante la pre-impostazione, qualevalore di default nei relativi menù a tendina, della frase "Si, do il mioconsenso", "() non abbia completamente inficiato il requisito dellalibera espressione del consenso, essendovi per l'utente la possibilità diselezionare l'opzione negativa senza riflessi sulla procedura di registrazione()", menzionando tra gli altri, a sostegno di tale tesi, il provvedimentodell'Autorità datato 24 febbraio 2005. Aggiunge, sul punto, come, "In virtù di quantoprevisto dall'art. 130, comma 4, del Codice, ferma l'informativa conl'indicazione del diritto di opposizione (), il consenso preventivo richiestonel contesto della registrazione al sito web di Linear ed in relazione allarichiesta dei relativi servizi () può quindi essere considerato superfluo inrelazione al predetto trattamento consistente nell'invio per posta elettronicadi informazioni commerciali/newsletter nei confronti di Linear (), tenutoconto anche della documentata circostanza che le newsletter inviate da Linearriguardano informative commerciali relative a prodotti e servizi analoghi econtengono alla fine le informative con le indicazioni per l'esercizio deldiritto di c.d. opt-out";

VISTOil verbale di audizione delle parti redatto in data 14 luglio 2010 ai sensidell'art. 18 della legge n. 689/1981, nel quale la società, nel ribadire quantoargomentato negli scritti difensivi, ha aggiunto "() che è recentementeintervenuto () il Regolamento n. 34 dell'ISVAP, che entrerà in vigore il 15luglio p.v., il quale () detta regole particolari circa le modalità diacquisizione del consenso ulteriori rispetto a quelle contenute nel Codice ()per analoghe finalità di commercializzazione a distanza di prodotti e serviziassicurativi. () la società stà attendendo che si chiarisca compiutamente ilquadro normativo di riferimento prima di avviare le predette iniziative diriacquisizione del consenso degli interessati per le predette finalità", etenuto anche conto di quanto rappresentato dalla società nella nota datata 6maggio 2011, con la quale è stato fornito un quadro riassuntivo e aggiornatodelle iniziative assunte in ordine ai trattamenti di dati personali di cui allacontestazione in argomento;

RITENUTOche le argomentazioni addotte non risultano idonee in relazione a quantocontestato. Riguardo al rilievo inerente il servizio "Tribù Linear",si deve preliminarmente osservare come non possa essere condiviso quantosostenuto dalla società in ordine al fatto che "() le "finalitàulteriori" per le quali viene richiesto un unico consenso paiono tutte daricomprendere nella più ampia nozione di marketing diretto ()". E'pacifico, infatti che la società, nel raccogliere i dati degli interessati chesi sono a suo tempo iscritti a "Tribù Linear", ha reso loro delleinformative ai sensi dell'art. 13 del Codice nelle quali erano indicatemolteplici operazioni di trattamento afferenti sia a marketing sia allacomunicazione e/o cessione dei dati a terzi anch'essa finalizzata al marketing.Posto quanto sopra, se da un lato deve ritenersi che le distinte finalità deltrattamento riconducibili agli artt. 7, comma 4, lett. b), 130, comma 1 e 140del Codice sono complessivamente ed effettivamente preordinate a perseguire unapiù ampia finalità di marketing per la quale è lecito acquisire, anche sullabase di quanto recentemente stabilito dall'Autorità nel provvedimento n. 330del 4 luglio 2013, un unico consenso, dall'altro, la comunicazione e/ocessione degli stessi dati a terzi per l'effettuazione di attività di marketingpresuppone invece, in ragione del grado di autonomia che caratterizza talipeculiari operazioni di trattamento, l'acquisizione di uno specifico consenso.Tale ultima posizione interpretativa, oltre ad essere stata ribadita, conparticolare riferimento al caso di specie, nella nota di chiusura dell'attivitàistruttoria da parte del Dipartimento realtà economiche e produttive n.19370/63802 del 25 luglio 2013, era già stata esplicitata più volte in variprovvedimenti dell'Autorità (ex multis, provvedimento dell'11 ottobre 2012; provvedimento del 19 maggio 2011, nonchè avallata anche dalla pronuncia, in sedegiurisdizionale, del Tribunale di Roma con sentenza n. 19281 del 5 ottobre2011. Relativamente a quanto invece osservato in ordine alle modalità diraccolta del consenso mediante la pre-impostazione della formula "Si, doil mio consenso", si evidenzia come tale procedura non è lecita in quanto,come rilevato dall'Autorità in diversi provvedimenti (tra gli altri, provv. 31gennaio 2008), gli interessati devono essere messi in grado diesprimere consapevolmente e liberamente le proprie scelte. Ciò è incompatibilecon impostazioni che prevedano di default il consenso senza un'effettiva econsapevole azione dell'interessato. Si evidenzia, inoltre, come la societàritenga erroneamente che la condotta illecita debba essere individuata nelmomento in cui l'interessato ha prestato il proprio consenso al trattamentoancorché viziato. In realtà la condotta che sostanzia l'illecito contestato,per inequivoca disposizione dell'art. 162, comma 2-bis del Codice, deve essereindividuata "nel trattamento di dati personali effettuato in violazionedelle disposizioni indicate nell'art. 167 del Codice" (tra le quali èpresente anche l'art. 23). Alla luce di quanto esposto è indubitabile, ancheper stessa ammissione del trasgressore, che i dati degli interessati a suotempo iscritti a "Tribù Linear" continuavano ad essere trattati dallaCompagnia assicuratrice, almeno fino all'epoca dell'accertamento ispettivo,come risulta dagli atti, atteso che "Dalla predetta data di luglio 2008 –e ancora oggi – è rimasta soltanto la possibilità, evidenziata anche nelverbale ispettivo, per i potenziali clienti che calcolano un preventivo on-line() di decidere se contattare tramite un messaggio un cliente Linear che haaderito alla Tribù". E' quindi incontestabile che, almeno fino alla datadell'attività ispettiva, i dati degli iscritti a "Tribù Linear" hannocontinuato ad essere trattati sul presupposto di un'informativa resa ai sensidell'art. 13 del Codice, nella quale, tra le tante, era presente anche lacomunicazione a terzi per finalità di marketing per la quale l'acquisizione delconsenso è da ritenersi viziata per le ragioni precedentemente esposte. D'altrocanto, la natura permanente dell'illecito omissivo contestato, determina,quindi, l'individuazione del suo momento consumativo all'atto dell'accertamentodella violazione, ovvero, in attuazione del principio di legalità di cuiall'art. 1 della legge n. 689/1981, nella piena vigenza dell'art. 162, comma2-bis del Codice, così come modificato dall'art. 44 del d.l. 30 dicembre 2008n. 207, convertito, con modificazioni, dalla legge 27 febbraio 2009 n. 14. Sonopoi inconferenti le osservazioni sulla sproporzione di quanto contestato,atteso che l'importo della sanzione viene determinato, in applicazione delprincipio del tempus regit actum di cui all'art. 1 della legge n. 689/1981,dalla norma vigente all'epoca della commessa violazione, ovvero dall'art. 162,comma 2-bis del Codice nella stesura antecedente all'entrata in vigore dellemodifiche introdotte dall'art. 44 del d.l. 30 dicembre 2008 n. 207, convertito,con modificazioni, dalla legge 27 febbraio 2009 n. 14 che, solosuccessivamente, hanno diminuito da ventimila a diecimila il minimo dellasanzione edittale.

Conriferimento, invece, al rilievo inerente il servizio di registrazione on linedel preventivo, presente sul sito web www.linear.it, non si possono cheribadire le medesime argomentazioni afferenti il precedente rilievo, anche conriferimento alle modalità di raccolta del consenso mediante lapre-impostazione, del valore di default nei relativi menù a tendina. Il citatoarticolo del Codice consente di utilizzare i dati degli interessati senza unospecifico consenso, solo con riferimento alla finalità "di vendita direttadei propri prodotti o servizi", mentre le ulteriori finalità dicomunicazione e/o cessione dei dati a terzi (anche se per l'effettuazione diattività di marketing) e di profilazione, come già illustrato, non possonoessere assimilate nella previsione di vendita diretta di cui al citato art.130, comma 4, del Codice necessitando, quindi, di uno specifico e distintoconsenso. Inoltre, anche in questo caso la condotta che sostanzia l'illecitocontestato, per inequivoca disposizione dell'art. 162, comma 2-bis del Codice,deve essere individuata "nel trattamento di dati personali effettuato inviolazione delle disposizioni indicate nell'art. 167 del Codice" (tra lequali è presente anche l'art. 23). Alla luce di quanto, esposto è indubitabileche, almeno fino alla data dell'attività ispettiva, i dati inerenti il serviziodi registrazione on line del preventivo, presente sul sito web www.linear.it,hanno continuato ad essere trattati sul presupposto di un'informativa resa aisensi dell'art. 13 del Codice, nella quale, tra le tante, era presente anche lafinalità della profilazione e per la quale l'acquisizione del consenso eraviziata anche a causa delle modalità della sua raccolta mediante lapre-impostazione della formula "Si, do il mio consenso". Non risultaapprezzabile neanche quanto dichiarato in sede di audizione, atteso che ilRegolamento n. 34 dell'ISVAP, in via di approvazione all'epoca dei fatti, purdettando regole particolari circa le modalità di acquisizione del consensoulteriori rispetto a quelle contenute nel Codice, non consente di derogare aquanto disposto dall'art. 23 del Codice stesso che è norma di rango primario.Conclusivamente quanto doviziosamente rappresentato dalla società in ordine aentrambe i rilievi contestati, seppure non sufficiente a far venir meno ipresupposti per l'applicazione delle sanzioni di legge, rileva ai fini dellevalutazioni sulla gravità della violazione;

RILEVATOche la società ha quindi effettuato due distinti trattamenti di dati personali(art. 4 comma 1, lett. a) e b) del Codice) senza acquisire il prescrittoconsenso ai sensi dell'art. 23 del Codice attraverso due distinti formrelativi, uno all'iscrizione al servizio "Tribù Linear", presente sulsito web www4.onlinear.it, e l'altro alla registrazione on line del preventivo,presente sul sito web www.linear.it;

VISTOl'art. 162, comma 2-bis, del Codice, che punisce la violazione delledisposizioni indicate nell'art. 167 del Codice, tra le quali quelle di cui agliartt. 23 e 130 del medesimo Codice, con la sanzione amministrativa delpagamento di una somma da ventimila euro a centoventimila euro per ciascunrilievo;

CONSIDERATOche, ai fini della determinazione dell'ammontare della sanzione pecuniaria,occorre tenere conto, ai sensi dell'art. 11 della legge 24 novembre 1981 n.689, dell'opera svolta dall'agente per eliminare o attenuare le conseguenzedella violazione, della gravità della violazione, della personalità e dellecondizioni economiche del contravventore;

CONSIDERATOche, nel caso in esame:

a) inordine all'aspetto della gravità, gli elementi delle modalità concrete dellacondotta, dell'intensità dell'elemento psicologico e dell'entità delpregiudizio o del pericolo arrecato, non si rilevano elementi specifici;

b) aifini della valutazione dell'opera svolta dall'agente, il trasgressore, con lacitata nota del 6 maggio 2011, ha fornito un quadro riassuntivo e aggiornatodelle iniziative assunte in ordine ai trattamenti di dati personali di cui allacontestazione in argomento elementi di merito;

c) circala personalità dell'autore della violazione, la società non risultadestinataria di procedimenti sanzionatori nella specifica materia;

d) inmerito alle condizioni economiche dell'agente, al fine di commisurare l'importodella sanzione alla reale capacità economica del trasgressore nel rispetto delprincipio di uguaglianza, si evidenzia che la società ha dichiarato, per l'anno2012, un cospicuo utile d'esercizio;

RITENUTOdi dover determinare, ai sensi dell'art. 11 della legge n. 689/1981, l'ammontaredelle due sanzioni pecuniarie di cui all'art. 162, comma 2-bis del Codice,nella misura di euro 20.000,00 (ventimila) per ciascuno dei due rilievi per unimporto complessivo pari a 40.000,00 (quarantamila) euro;

RITENUTOche, in ragione della rilevanza del volume d'affari dichiarato dalla societàper l'anno 2012, ricorrono le condizioni per applicare l'art. 164-bis, comma 4,del Codice che prevede che le sanzioni di cui al Capo I Titolo III del Codicepossono essere aumentate fino al quadruplo quando possono risultare inefficaciin ragione delle condizioni economiche del contravventore, e che pertantol'importo della sanzione pecuniaria deve essere quantificato in euro 80.000,00(ottantamila);

VISTAla documentazione in atti;

VISTAla legge 24 novembre 1981 n. 689, e successive modificazioni ed integrazioni;

VISTEle osservazioni dell'Ufficio, formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000;

RELATOREla prof.ssa Licia Califano;

ORDINA

aCompagnia Assicuratrice Linear s.p.a., con sede in Bologna, via Giuseppe CesareGualandi n. 1 P.Iva: 04260280377 indirizzo PEC: LINEAR@PEC.UNIPOL.IT, inpersona del legale rappresentante pro-tempore, di pagare la somma di euro80.000,00 (ottantamila) a titolo di sanzione amministrativa pecuniaria per ledue violazioni previste dall'art. 162, comma 2-bis del Codice indicate inmotivazione;

INGIUNGE

almedesimo soggetto di pagare la somma di euro 80.000,00 (ottantamila) secondo lemodalità indicate in allegato, entro 30 giorni dalla notificazione del presenteprovvedimento, pena l'adozione dei conseguenti atti esecutivi a norma dall'art.27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine digiorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale oin copia autentica, quietanza dell'avvenuto versamento.

Ai sensidegli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presenteprovvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria,con ricorso depositato al tribunale ordinario del luogo ove ha la residenza iltitolare del trattamento dei dati, entro il termine di trenta giorni dalla datadi comunicazione del provvedimento stesso, ovvero di sessanta giorni se ilricorrente risiede all'estero.

Roma, 30ottobre 2013

Il presidente
Soro

Il relatore
Califano

Il segretario generale
Busia