Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Ordinanza di ingiunzione nei confronti di Sigue Global Service Limited - 2 febbraio 2017 [6009876]

VEDI ANCHE: COMUNICATO STAMPA DEL 10 MARZO 2017

 

[doc. web n. 6009876]

Ordinanza di ingiunzione nei confronti di Sigue Global Service Limited - 2 febbraio 2017

Registro dei provvedimenti
n. 47 del 2 febbraio 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

RILEVATO che sulla scorta degli elementi acquisiti, il Nucleo polizia valutaria della Guardia di finanza, in esecuzione di una delega di indagini della Procura della Repubblica presso il Tribunale di Roma e previo nulla osta concesso dalla citata Procura, ha accertato che Sigue Global Service Limited (già Coinstar Money Transfer LTD) P.Iva: 08866911004, con sede legale in Manchester (GB) quale società stabilita nel territorio dello Stato con sede secondaria in Roma, via Luca Gaurico n. 9/11, in persona del legale rappresentante pro-tempore, si è avvalsa, nell'ambito di un'attività di money transfer, di Marc 1 s.r.l.; Yume s.r.l.; Euro Comunication System s.r.l. e Sirama s.r.l., quali società sub-mandatarie in virtù della stipula di appositi contratti di agenzia, per la raccolta ed il successivo trasferimento in Cina di somme di denaro riconducibili a imprenditori cinesi. Nell'esercizio di tale attività la Sigue Global Service Limited ha agito, in concorso con le predette società sub-mandatarie. In tale contesto, essendo la necessità della clientela quella di impedire la riconducibilità delle disponibilità finanziarie ai reali mittenti, ha costantemente e consapevolmente svolto un'attività di direzione e consulenza nei confronti delle società agenti, volta a consentire il ricorso alla tecnica del frazionamento, dividendo le somme di denaro in più operazioni sotto la soglia prevista dalla normativa antiriciclaggio e facendo attribuire, alle società sub-mandatarie, i trasferimenti di denaro a 583 soggetti differenti dai reali mittenti, e quindi senza acquisire il loro consenso al trattamento dei dati ai sensi dell'art. 23 del Codice. Nell'ambito della medesima attività di indagine è stato parimenti accertato che le citate 583 violazioni contestate nei confronti di Sigue Global Service Limited sono state commesse in relazione all'Archivio Unico Informatico (A.U.I.) istituito dalla medesima Sigue Global Service Limited ai sensi dell'art. 37 del D.Lgs. 21 novembre 2007, n. 231 che deve essere considerato una banca dati di particolare rilevanza e dimensioni riconducibile al disposto di cui all'art. 164-bis, comma 2 del Codice;

VISTO il verbale n. 01 del 19 maggio 2015, che qui si intende integralmente richiamato, con cui sono state contestate a Sigue Global Service Limited quale titolare del trattamento dei dati, 583 violazioni amministrative previste dall'art. 162, comma 2-bis del Codice, per aver effettuato, per ciascun interessato, un trattamento di dati personali, consistente in altrettanti trasferimenti di denaro a nome di soggetti ignari e comunque differenti dai reali mittenti, senza, quindi, acquisire il relativo consenso degli interessati stessi al trattamento dei dati ai sensi dell'art. 23 del Codice, nonché la violazione prevista dall'art. 164-bis, comma 2 del Codice, per la quale non è prevista la definizione in via breve ai sensi dell'art. 16 della Legge n. 689/1981, in relazione all'Archivio Unico Informatico (A.U.I.) istituito da Sigue Global Service Limited ai sensi dell'art. 37 del D.Lgs. 21 novembre 2007, n. 231 che deve essere considerato una banca dati di particolare rilevanza e dimensioni;

RILEVATO dal rapporto predisposto dal Nucleo di polizia valutaria della Guardia di finanza di Roma, ai sensi dell'art. 17 della legge n. 689/1981, che, per il rilievo di cui all'art. 162, comma 2-bis del Codice, non risulta effettuato il pagamento in misura ridotta;

VISTI gli scritti difensivi datati 19 giugno 2015, redatti ai sensi dell'art. 18 della legge n. 689/1981 nei quali Sigue Global Service Limited, evidenziando come a fronte della presentazione, in data 11 giugno 2015, di un'istanza di accesso ai sensi degli artt. 22 e segg. della legge n. 241/1990 "(…) Codesto Ill.mo Garante non risulta avere (…) adottato alcun provvedimento", ha ravvisato l'oggettiva e concreta impossibilità di formulare deduzioni difensive, trovandosi costretta a "(…) depositare la presente memoria difensiva parziale e preliminare, riservandosi tuttavia di presentare eventuali ulteriori osservazioni e deduzioni, (…) una volta avuto accesso agli atti del procedimento e presa effettivamente conoscenza degli elementi di prova posti a fondamento dell'illecito contestato dalla GdF".

Inoltre, dopo aver considerato gli elementi essenziali delle violazioni contestate ribadendo "(…) l'assenza di prove alla data odierna" e riassunto gli elementi caratterizzanti il procedimento penale da cui è scaturita la contestazione in argomento, ha osservato, con riferimento alla violazione di cui all'art. 162, comma 2-bis del Codice, come "(…) non si possa imputare a Sigue, la quale ha implementato e sempre rispettato procedure atte a raccogliere i dati personali ed il consenso degli interessati per le finalità per cui era necessario e ha chiaramente disciplinato gli obblighi dell'agente nel contratto di agenzia e nell'allegato regolamento, l'eventuale assenza di consenso che sia conseguenza esclusivamente di un'attribuzione fittizia di un invio di denaro posta in essere dall'agenzia, in totale violazione degli impegni contrattuali assunti nei confronti di Sigue e delle normative applicabili, eventualmente su consiglio di un dipendente infedele il quale non aveva certo il potere di acconsentire verbalmente a deroghe contrattuali che, oltre essere violazioni delle leggi applicabili, avrebbero comportato l'immediata risoluzione del contratto di agenzia ai sensi dell'articolo 22 dello stesso".

Ha rilevato, altresì, come il "(…) corretto metodo di calcolo dell'importo della sanzione amministrativa di cui all'art. 162, comma 2-bis del Codice" non possa essere quello applicato nel verbale di contestazione che individua tante condotte illecite quanti sono gli interessati (583) per ciascun dei quali è stato effettuato, a sua insaputa, un trasferimento di denaro, ma debba considerare perfezionata un'unica condotta in ragione del fatto che "(…) unica è l'origine della mancata acquisizione del consenso; unica è la disposizione normativa che la GdF ha ritenuto (erroneamente) violata (art. 23 del Codice), e unico è il bene giuridico leso. Unico, pertanto, è il contesto spazio-temporale nella produzione dell'evento (la fittizia attribuzione) che ha determinato l'assenza di consenso al trattamento dei dati".

La società ha anche osservato come "(…) in caso dovesse ritenersi che l'unica condotta del sig. (omissis) (dipendente infedele di Sigue Global Service Limited) ha determinato più violazioni della stessa disposizione, troverebbe al massimo applicazione l'art. 8 della Legge n. 689/1981".

Relativamente alla violazione di cui all'art. 164-bis, comma 2 del Codice, ha evidenziato come "(…) nel caso in cui fosse ritenuta corretta l'imputabilità a Sigue del comportamento del sig. (omissis) (dipendente infedele di Sigue Global Service Limited), sarebbe comunque carente nel caso di specie il requisito della pluralità di violazioni, necessario per l'applicazione dell'art. 164-bis comma 2, del Codice".

Inoltre, la società ha rilevato come la "(…) GdF, ha erroneamente qualificato la banca dati in cui sarebbero stati inseriti i dati personali degli interessati da parte delle agenzie (Archivio Unico Informatico (A.U.I.) istituito da Sigue Global Service Limited ai sensi dell'art. 37 del D.Lgs. 21 novembre 2007, n. 231) come banca dati di particolare rilevanza e dimensioni" in quanto, relativamente al requisito delle dimensioni, in precedenti pronunce dell'Autorità (Ord. ing. del 2 ottobre 2014 in www.garanteprivacy.it, doc. web n. 3747707; Ord. ing. dell'8 maggio 2014 in www.garanteprivacy.it, doc. web n. 3275922; Ord. ing. del 10 gennaio 2013 in www.garanteprivacy.it, doc. web n. 2438949) sono state definite tali quelle di "(…) archivi contenenti milioni di nominativi, un numero quindi ben superiore a quello presente nella banca dati interessata". Riguardo al distinto requisito della rilevanza della banca dati, ha osservato come, diversamente da come indicato in precedenti pronunce dell'Autorità (Ord. ing. del 2 ottobre 2014 in www.garanteprivacy.it, doc. web n. 3747707; Ord. ing. dell'8 maggio 2014 in www.garanteprivacy.it, doc. web n. 3275922), nel caso che ci occupa non risultano "(…) alla data odierna disposizioni di legge o provvedimenti di Codesto Ill.mo Garante che abbiano previsto speciali condizioni di trattamento per i dati personali contenuti nell'archivio unico informatico di cui all'art. 37 del D.lgs. n. 231/2007 (…)" tali da "(…) qualificare tale banca dati come banca dati di particolare rilevanza".

Inoltre, sempre con riferimento alla rilevanza della banca dati, ha evidenziato, facendo riferimento a una pronuncia dell'Autorità (Ord. ing. del 12 novembre 2014 in www.garanteprivacy.it, doc. web n. 3685448), come nel caso di specie "Le informazioni contenute nell'archivio unico informatico di Sigue non risultano certo caratterizzate da (un) valore intrinseco (…)" che, in base alla citata pronuncia del Garante, "(…) sembra riconducibile ad una possibile utilizzazione di tipo economico delle informazioni (ossia dei dati contenuti nella banca dati) (…)";

LETTO il verbale di audizione, svoltasi il 10 gennaio 2017, ai sensi dell'art. 18 della legge n. 689/1981, con cui la parte ha sostanzialmente ribadito quanto già dedotto nelle memorie difensive, rilevando, nel contempo, che "(…) il  procedimento penale sia giunto alla fase di fissazione dell'udienza preliminare. Il raggiungimento di tale fase processuale ha consentito di poter prendere visione degli atti contenuti nel fascicolo processuale. Alla luce di ciò si osserva come non appaiano ravvisarsi ulteriori e distinti elementi rispetto a quelli già presentati nella memoria difensiva a suo tempo prodotta e datata 19 giugno 2015(…)";

RITENUTO che le argomentazioni addotte non risultano idonee ad escludere la responsabilità della parte in relazione a quanto contestato.

Diversamente da quanto asserito, l'Ufficio del Garante, con nota n. 18466 datata 23 giugno 2015, ha individuato puntualmente, comunicandoli nella citata richiesta, gli atti presenti nel fascicolo (n. 99842) attribuito al procedimento inerente Sigue Global Service Limited, evidenziando come tali atti (verbale di contestazione; relata di notifica della medesima contestazione, memoria difensiva della società) fossero già nella disponibilità della società. Eventuali ritenute istanze volte a conoscere ulteriori "(…) elementi di prova posti a fondamento dell'illecito contestato (…)" potevano essere inoltrate all'A.G. titolare del procedimento penale, in applicazione di quanto previsto dal combinato disposto degli artt. 25, comma 2 della legge n. 241/1990 e 2 del D.P.R. 12 aprile 2006 n. 184, atteso che la valutazione, da operare alla luce del disposto di cui all'art. 22, comma 1 lett. b) della citata legge n.241/1990, in ordine alla ricorrenza dell'interesse diretto, concreto e attuale corrispondente a una situazione giuridicamente tutelata e collegata ai documenti cui si chiede di accedere, deve essere effettuata dall'autorità competente a formare l'atto conclusivo o a detenerlo stabilmente la quale, peraltro, come risulta specificato nel verbale di contestazione in argomento, in data 12 maggio 2015 ha concesso all'organo accertatore gli illeciti amministrativi che ci occupano il "(…) nulla osta (…) all'utilizzo ai fini amministrativi dei dati e dei documenti acquisiti con i poteri di polizia giudiziaria (…)". Giova rilevare, poi, come l'A.G. titolare del procedimento, oltre quanto già esposto in ordine alla valutazione della ricorrenza dell'interesse qualificato, sia l'unica a poter valutare quali singoli atti del procedimento siano ostensibili in relazione alle esigenze di segretezza di cui all'art. 329 c.p.p.

Sotto il profilo della lamentata "(…) assenza di prove alla data odierna", si rileva come nell'atto di contestazione venga chiarito che la  società ha costantemente e consapevolmente svolto un'attività di direzione e consulenza nei confronti delle società  agenti, volta  a  consentire  il  ricorso  alla  tecnica  del  frazionamento,  dividendo  le  somme  di denaro in più operazioni sotto la soglia prevista dalla normativa antiriciclaggio e facendo attribuire, alle  società  sub-mandatarie, i  trasferimenti  di  denaro  a  583  soggetti  differenti  dai  reali  mittenti; sempre dall'atto di contestazione si evince chiaramente che tale circostanza emerge dall' "analisi investigativa delle conversazioni telefoniche intercettate nell'ambito del procedimento penale n. 51808/11, unitamente ai riscontri effettuati su tutta la documentazione sottoposta a sequestro nell'ambito di perquisizioni disposte dall'Autorità giudiziaria titolare delle indagini", non potendosi, pertanto, in nessun modo ritenere la contestazione sfornita di prova. Inoltre, l'assenza del consenso di cui all'art. 23 del Codice da parte dei predetti soggetti può essere agevolmente desunta da una cospicua serie di circostanze: a) i soggetti in questione non corrispondono mai ai reali mittenti; b) in alcuni casi i moduli send contengono dati personali relativi a soggetti deceduti od inesistenti o sono privi della sottoscrizione; c) gli invii di denaro sono stati effettuati dalle agenzie sottoposte ad indagine a pochi secondi gli uni dagli altri, per importi appena sotto soglia ed indirizzati ad un unico beneficiario. Inoltre, le citate 583 violazioni contestate a Sigue Global Service Limited sono state commesse in relazione all'Archivio Unico Informatico (A.U.I.) istituito dalla società medesima  ai sensi dell'art. 37 del D.Lgs. 21 novembre 2007, n. 231 che deve essere considerato una banca dati di particolare rilevanza e dimensioni, effettuando, pertanto, in qualità di titolare, un trattamento di dati personali ai sensi dell'art. 4, comma 1 lett. a) e f) del Codice. Posto quanto sopra, si evidenzia come la contestazione, sia un atto redatto dal pubblico ufficiale il cui contenuto è vero fino a querela di falso ai sensi dell'art. 2700 c.c..

Relativamente a quanto argomentato riguardo la violazione di cui all'art. 162, comma 2-bis del Codice, con specifico riferimento sia alla circostanza per cui la società "(…) ha implementato e sempre rispettato procedure atte a raccogliere i dati personali ed il consenso degli interessati per le finalità per cui era necessario e ha chiaramente disciplinato gli obblighi dell'agente nel contratto di agenzia e nell'allegato regolamento (…)", sia al "(…) consiglio di un dipendente infedele (…)", si deve osservare come le argomentazioni prodotte non forniscano alcun elemento di valutazione ulteriore rispetto a quelli già presi in considerazione in sede di accertamento degli illeciti contestati.

Inoltre, sia quanto osservato circa il fatto che, nel caso di specie, si debba considerare perfezionata, nell'ambito della previsione dell'art. 8, comma 1 della legge n. 689/1981 che disciplina il concorso formale di illeciti, un'unica condotta, sia quanto se ne fa discendere in ordine all'applicabilità, ai sensi del richiamato art. 8, comma 1 della legge n. 689/1981, del cumulo giuridico delle sanzioni pecuniarie a fronte della ricorrenza del concorso formale omogeneo di illeciti, risulta privo di pregio, atteso che dopo il verificarsi del primo evento, gli altri potevano essere impediti con altrettante azioni successive. Ciò determina la mancata ricorrenza dei presupposti applicativi del concorso formale di illeciti con conseguente necessaria applicazione del cumulo materiale delle sanzioni.

Riguardo il rilievo di cui all'art. 164-bis, comma 2 del Codice, ribadendo le argomentazioni già esposte con riferimento alla ricorrenza, nel caso che ci occupa, di una pluralità di azioni dalla quale scaturisce la pluralità di violazioni dell'art 162, comma 2-bis del Codice che, quindi, sostanziano il presupposto applicativo della violazione di cui all'art. 164-bis, comma 2 del Codice, si evidenzia come il requisito della particolare dimensione dell'Archivio Unico Informatico (A.U.I.) istituito da Sigue Global Service Limited ai sensi dell'art. 37 del D.Lgs. 21 novembre 2007, n. 231, così come puntualmente specificato nel verbale di contestazione, si perfeziona a fronte del fatto che "(…) la rimessa di denaro inviata in Cina dalla Sigue Global Service Limited, tra luglio 2010 ed luglio 2013, a seguito della raccolta effettuata dalle sole sei predette agenzie, ammonta a circa 1 miliardo 6 milioni di euro ed è stata realizzata attraverso l'inserimento in AUI di 785.088 operazioni". Tali elementi valutativi, peraltro in linea con i precedenti orientamenti dell'Autorità menzionati nella stessa memoria difensiva (Ord. ing. del 2 ottobre 2014 in www.garanteprivacy.it, doc. web n. 3747707; Ord. ing. dell'8 maggio 2014 in www.garanteprivacy.it, doc. web n. 3275922; Ord. ing. del 10 gennaio 2013 in www.garanteprivacy.it, doc. web n. 2438949), rendono palese la pretestuosità delle argomentazioni prodotte.

Risulta parimenti pretestuoso, anche alla luce dei precedenti orientamenti dell'Autorità menzionati nella stessa memoria difensiva (Ord. ing. del 12 novembre 2014 in www.garanteprivacy.it, doc. web n. 3685448) quanto argomentato sul requisito della particolare rilevanza del predetto Archivio circa il fatto che "Le informazioni contenute nell'archivio unico informatico di Sigue non risultano certo caratterizzate da (un) valore intrinseco (…)", in quanto il data-base oggetto di contestazione, la cui istituzione e tenuta sono disciplinate dal d.Lgs. 21 novembre 2007 n. 231, ha la finalità di consentire un possibile utilizzo, tra gli altri, per indagini su eventuali operazioni di riciclaggio e/o finanziamento del terrorismo, così come previsto dal comma 8 dell'art. 37 del citato d.Lgs. e puntualmente riportato nel verbale di contestazione. Risulta quindi di tutta evidenza come la "(…) possibile utilizzazione di tipo economico delle informazioni (…)" non possa essere considerato l'unico parametro di valutazione del requisito della particolare rilevanza dell'Archivio in argomento.

Peraltro, si deve arrivare alla medesima conclusione anche con riferimento a quanto argomentato, sul medesimo requisito della particolare rilevanza, circa il fatto che non risultano "(…) alla data odierna disposizioni di legge o provvedimenti di Codesto Ill.mo Garante che abbiano previsto speciali condizioni di trattamento per i dati personali (…)", atteso che il perfezionamento del requisito di che trattasi non è subordinato ad alcuna previsione che individui "(…) speciali condizioni di trattamento per i dati personali (…)", ma a valutazioni da effettuarsi caso per caso.

Ad ogni buon conto, nonostante nel caso di specie ricorrano, come argomentato, entrambe i requisiti della particolare rilevanza o dimensioni della banca dati, si evidenzia come, ai fini del perfezionamento dell'illecito amministrativo previsto dall'art. 164-bis, comma 2 del Codice, ne sia sufficiente anche uno;

RILEVATO, pertanto, che Sigue Global Service Limited ha effettuato il trattamento di dati personali di 583 interessati puntualmente individuati, consistente in altrettanti trasferimenti di denaro a nome di soggetti inconsapevoli ovvero differenti dai reali mittenti e, quindi, senza acquisire il loro consenso al trattamento dei dati ai sensi dell'art. 23 del Codice e rilevato altresì che le citate violazioni sono state commesse in relazione all'Archivio Unico Informatico (A.U.I.) (istituito da Sigue Global Service LTD ai sensi dell'art. 37 del D.Lgs. 21 novembre 2007, n. 231) che deve essere considerato, a mente del disposto di cui all'art. 164-bis, comma 2 del Codice, una banca dati di particolare rilevanza e dimensioni;

VISTO l'art. 162, comma 2-bis, del Codice, che punisce la violazione delle disposizioni indicate nell'art. 167 del Codice, tra le quali quella di cui all'art. 23 del medesimo Codice, con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro per ciascuno dei 583 interessati;

CONSIDERATO che, ai fini della determinazione dell'ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell'art. 11 della legge 24 novembre 1981 n. 689, dell'opera svolta dall'agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore e che pertanto l'ammontare delle sanzioni pecuniarie: con riferimento alla violazione di cui all'art. 162, comma 2-bis deve essere quantificato nella misura di euro 10.000,00 (diecimila), per ciascuna delle 583 sanzioni per un importo totale di euro 5.830.000,00 (cinquemilioniottocentotrentamila); con riferimento alla violazione di cui all'art. 164-bis, comma 2 del Codice, deve essere quantificata nella misura di euro 50.000,00 (cinquantamila), per un importo complessivo pari a euro 5.880.000,00 (cinquemilioniottocentottantamila);

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE il dott. Antonello Soro;

ORDINA

a Sigue Global Service Limited (già Coinstar Money Transfer LTD) P.Iva: 08866911004, con sede legale in Manchester (GB) quale società stabilita nel territorio dello Stato con sede secondaria in Roma, via Luca Gaurico n. 9/11, in persona del legale rappresentante pro-tempore, di pagare la somma complessiva di euro 5.880.000,00 (cinquemilioniottocentottantamila) a titolo di sanzione amministrativa pecuniaria per le violazioni previste dall'art. 162, comma 2-bis e 164-bis, comma 2 del Codice;

INGIUNGE

al medesimo soggetto di pagare la somma di euro 5.880.000,00 (cinquemilioniottocentottantamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l'adozione dei conseguenti atti esecutivi a norma dall'art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 2 febbraio 2017

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia