g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Arte del vivere S.r.l. - 10 febbraio 2022 [9756853]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9756853]

Ordinanza ingiunzione nei confronti di Arte del vivere S.r.l. - 10 febbraio 2022

Registro dei provvedimenti
n. 48 del 10 febbraio 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale ha preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, l’avv. Guido Scorza, componente, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;   

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

Con reclamo protocollato il 14 aprile 2021, avanzato a questa Autorità ai sensi dell’art. 77 del Regolamento, il signor XX ha lamentato la pubblicazione di suoi dati personali nel portale www.mondoshiatsu.com senza possibilità di ottenerne la cancellazione nonostante le reiterate richieste. In particolare, il reclamante ha rappresentato di essere stato automaticamente inserito in tale portale – che mostra i recapiti di diversi operatori shiatsu – dopo aver frequentato un corso di formazione annuale presso una scuola di tale disciplina nel 2003; tuttavia, non avendo mai operato nel settore ed essendo trascorsi molti anni, il reclamante ha contattato il riferimento indicato nel portale, signor XX, per richiedere la cancellazione. La richiesta sarebbe stata più volte reiterata, per telefono e con raccomandata, senza ottenere soddisfazione nonostante le assicurazioni verbali.

Istruito il reclamo, l’Ufficio ha verificato che il portale mondoshiatsu.com conteneva informazioni e pubblicazioni relative alla pratica dello shiatsu oltre a pubblicare un elenco in ordine alfabetico di 1897 persone qualificate come “operatori certificati” (tra cui il signor XX). Non essendo presente alcuna informativa in materia di protezione dei dati personali si è fatto riferimento alle informazioni pubblicate nel sito e raggiungibili dal link “contattaci” in base alle quali si rendeva noto che “MONDOSHIATSU.COM è edito da Arte del Vivere” riportando di quest’ultima i recapiti e la p.iva; inoltre, veniva indicato quale “direttore responsabile” il signor XX.

Pertanto, il 6 maggio 2021 è stata inviata una richiesta di informazioni, formulata ai sensi dell’art. 157 del Codice, alla Società Arte del Vivere Srl. (di seguito anche: “Società” o “Arte del Vivere”). Essendo questa tornata al mittente per compiuta giacenza, il 30 agosto 2021 è stata notificata, a mezzo Guardia di Finanza, una comunicazione di avvio del procedimento per contestare il mancato riscontro alla richiesta formulata dal Garante con la conseguente violazione dell’art. 157 del Codice. Nella stessa nota è stata altresì contestata la violazione degli artt. 12 e 17 del Regolamento dal momento che la richiesta di cancellazione avanzata dal reclamante non aveva avuto riscontro e che i dati personali dello stesso risultavano ancora pubblicati nel portale, come accertato dall’Ufficio il 15 giugno 2021.

Il 20 settembre 2021 il signor XX, presidente del consiglio di amministrazione della Società, faceva pervenire una e-mail nella quale rappresentava che il signor XX, cui era stata affidata la gestione del sito, non era in grado di apportare modifiche non disponendo più delle credenziali di accesso. XX aggiungeva di non sapere di chi fosse la proprietà del dominio mondoshiatsu.com. Al fine di condurre ulteriori accertamenti veniva infine richiesta una proroga del termine.

Tale proroga veniva accordata con nota del 23 settembre 2021. In tale occasione, inoltre, veniva chiarito che il procedimento era stato avviato nei confronti di Arte del vivere poiché, esaminato il contenuto del portale, questa operava quale titolare del trattamento e si presentava senza dubbio come il soggetto cui il portale era riferito, indipendentemente da chi avesse materialmente provveduto alla registrazione del dominio.

Il 4 ottobre 2021 gli avvocati della Società inviavano una email al signor XX per richiedere di provvedere tempestivamente alla cancellazione di tutti i contenuti del portale date le difficoltà incontrate per cancellare i dati del solo signor XX. La stessa comunicazione era inoltrata per conoscenza al Garante e al reclamante.

Il 9 ottobre 2021 il signor XX inviava una email all’Ufficio comunicando che, nonostante la diffida ricevuta, il signor XX non aveva cancellato i dati dovendo ritenere che “la mancata cancellazione dei dati non dipenda da inerzia ma dal fatto che il Responsabile del Trattamento dei Dati non sia in grado di cancellare i dati”. Pertanto, dichiarava di essersi rivolto alla polizia postale per richiedere la cancellazione dell’intero sito ma, non essendo questa competente in mancanza di un reato, stava valutando di attivare la procedura “abuse” con il provider del dominio. XX rappresentava altresì che il sito web non veniva aggiornato dal 2014 e conteneva i dati di 1897 operatori. Al fine di attivare anche questa procedura, il signor XX richiedeva un’ulteriore proroga dei termini e chiedeva chiarimenti su come poter altrimenti procedere.

Pertanto, il successivo 12 ottobre, l’Ufficio provvedeva a contattarlo telefonicamente per chiarire innanzitutto che l’esercizio del diritto di difesa è una facoltà concessa dall’ordinamento al soggetto che ha ricevuto una contestazione col fine di consentirgli di giustificare la propria condotta e di illustrare eventuale interventi correttivi. Non è necessario, invece, attendere che siano anche completati tali interventi, se non è possibile ultimarli entro il termine previsto per esercitare il diritto di difesa. Tenuto conto che una proroga di 15 giorni era già stata concessa, è stato fatto presente che l’invio di una memoria difensiva costituisce una facoltà e non un obbligo. Infine, con riguardo alle rappresentate difficoltà di ottenere il controllo tecnico sul sito web mondoshiatsu.com (che sarebbe stato delegato interamente al signor XX), l’Ufficio ha ribadito che il sito appariva a tutti gli effetti riconducibile ad Arte del Vivere Srl, di cui risultavano pubblicati i riferimenti e i contatti. Pertanto, essendo attivo il dominio, la Società, in quanto beneficiaria del servizio, avrebbe dovuto verosimilmente avere della documentazione contrattuale, o almeno contabile, afferente a tale servizio.

Il 12 ottobre 2021 il signor XX inviava una e-mail all’indirizzo abusereport@key-systems.net, e per conoscenza al Garante, per avere conferma della proprietà del dominio e per richiederne contestualmente la cancellazione.

Infine, con e-mail del 14 ottobre, diretta anche al reclamante, il signor XX confermava di aver ottenuto dal signor XX l’oscuramento del sito e aggiungeva che “la conclusione di questa incresciosa vicenda, evidenzia che Arte del Vivere srl non era e non è la proprietaria del Dominio e, quindi, non aveva nessuna possibilità di intervenire direttamente sul Dominio stesso”.

L’Ufficio ha verificato che, attualmente, il sito web non risulta più raggiungibile.

2. LE VIOLAZIONI RISCONTRATE

Con riferimento ai profili fattuali sopra evidenziati, anche in base alle affermazioni della Società di cui il dichiarante risponde ai sensi dell’art. 168 Codice, si formulano le seguenti valutazioni in relazione ai profili riguardanti la disciplina in materia di protezione dei dati personali.

Quanto sin qui ricostruito delinea un contesto in cui Arte del vivere, titolare del trattamento, si è dimostrata del tutto incapace di garantire il rispetto delle norme, che del resto sembra aver ignorato fino all’intervento del Garante. Da quanto emerso, infatti, il presidente del consiglio di amministrazione non sarebbe stato in grado di verificare la proprietà del dominio di un portale i cui contenuti sono indiscutibilmente riferiti alla Società stessa. Allo stesso tempo, non sarebbe stato in grado di apportare modifiche a tali contenuti né di cancellare il sito stesso pur avendo coscienza del fatto che questo non veniva più aggiornato dal 2014. E tali tentativi sarebbero stati posti in essere solo dopo aver ricevuto la nota di avvio del procedimento da parte del Garante, dal momento che le numerose richieste del signor XX sono state disattese.

Stando a quanto riferito, ciò sarebbe avvenuto in conseguenza di una totale mancanza di controllo sull’operato del signor XX che nel corso del procedimento è stato qualificato come responsabile del trattamento, pur senza fornire documentazione al riguardo.

Deve tuttavia osservarsi che il suddetto XX, da quanto risulta nella visura pubblicata nel Registro delle imprese, è socio di maggioranza della Società. Dal momento che non è stata prodotta alcuna documentazione in merito al ruolo di XX, non è possibile comprendere in che veste questi abbia operato per Arte del vivere. Il XX, infatti, avrebbe potuto prestare il proprio servizio come socio lavoratore o come fornitore esterno dovendosi qualificare, rispettivamente, come incaricato del trattamento o come responsabile. In entrambi i casi, la Società avrebbe dovuto disporre di misure adeguate ad intervenire a tutela dei dati trattati e, più in generale, del proprio patrimonio aziendale non essendo ammissibile che il titolare del trattamento diventi così facilmente “ostaggio” di chi gestisce un servizio per suo conto. Per tali ragioni, accertare la natura del rapporto contrattuale tra la Società e il signor XX (mai documentato) non avrebbe rilievo in questa sede dal momento che non cambierebbe il grado di responsabilità del titolare del trattamento.

Ciò detto, si deve ritenere che la Società, in quanto titolare del trattamento, sia direttamente responsabile della mancata cancellazione dei dati del reclamante, indipendentemente dalle responsabilità individuali dei singoli che in essa hanno agito. Le carenze organizzative emerse dalla vicenda hanno comportato il mancato aggiornamento dei dati presenti nel sito web e il mancato riscontro alle richieste di cancellazione del signor XX, in violazione degli artt. 12 e 17 del Regolamento.
Tenuto conto che il sito web, ad oggi, non è più raggiungibile e che pertanto i dati personali in esso contenuti non sono più pubblicati in Internet, non si rinvengono i presupposti per adottare misure correttive. Tuttavia, in considerazione dell’illiceità della condotta, tenuto conto del tempo occorso per ottenere la cancellazione di dati pubblicati in un sito web che non veniva aggiornato da anni e considerando che tale azione correttiva è stata posta in essere solo dopo l’intervento del Garante, si ritiene ricorrano i presupposti per l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 58, par. 2, lett. i) del Regolamento.

Infine, con riguardo al mancato riscontro alla richiesta di informazioni del Garante del 6 maggio 2021, dovuto alla compiuta giacenza della raccomandata, si osserva quanto segue.

Tale condotta omissiva ha reso necessario l’impiego della Guardia di Finanza per la notifica, avvenuta il 30 agosto 2021, con conseguente aggravio di spese e del procedimento, con l’impossibilità di effettuare accertamenti in sede istruttoria, essendo stato demandato ogni riscontro alla fase difensiva successiva all’avvio del procedimento.

Si ritiene, pertanto, sussistente la violazione dell’art. 157 del Codice.

Nonostante la mancanza di esplicite giustificazioni al riguardo, si deve tener conto del contesto eccezionale in cui la vicenda si è inserita, dando atto delle difficoltà incontrate a causa della pandemia in atto. Per tali ragioni, si ritiene di poter soprassedere dall’applicazione di una specifica sanzione amministrativa pecuniaria, inquadrando la violazione in parola solo nella più generale negligenza del titolare, da valutare relativamente alle già richiamate violazioni degli artt. 12 e 17 del Regolamento.

3. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

In base a quanto sopra rappresentato, stanti le violazioni richiamate, si rende applicabile la sanzione prevista dall’art. 83, par. 5 del Regolamento.

Ai fini della quantificazione della sanzione amministrativa il citato art. 83, par. 5, nel fissare il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore, specifica le modalità di quantificazione della predetta sanzione, che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del  Regolamento), individuando, a tal fine, una serie di elementi, elencati al par. 2, da valutare all’atto di quantificarne il relativo importo.

In adempimento di tale previsione, nel caso di specie, devono essere considerate le seguenti circostanze aggravanti:

1. la gravità della violazione dato che i dati di 1897 persone sono stati pubblicati per diversi anni senza mai essere aggiornati tenuto conto che, almeno nel caso indicato dal reclamante, non risultavano inseriti sulla base di una specifica richiesta dell’interessato e non sono stati rimossi neanche dopo reiterate richieste;

2. il carattere gravemente negligente del titolare del trattamento, come descritto al punto 2, dal momento che le norme a protezione dei dati personali sono state del tutto ignorate fino all’intervento del Garante;

3. il grado di responsabilità del titolare del trattamento che non ha fornito riscontro all’esercizio dei diritti del signor XX (costringendolo a rivolgersi al Garante) e che non ha posto in essere alcun tipo di controllo sull’attività affidata al signor XX non essendo, così, in grado di rendere conto del suo operato;

Quali elementi attenuanti, si ritiene di dover tener conto:

1. delle misure correttive adottate intervenendo per ottenere l’oscuramento del sito web, non più attivo;

2. del grado di cooperazione con l’Autorità successivamente all’avvio del procedimento;

3. del patrimonio della Società e dei risultati economici registrati nell’ultimo bilancio reso disponibile, relativo all’esercizio 2007; si ha inoltre riguardo all’eccezionale contesto economico causato dalla pandemia che ha comportato conseguenze sfavorevoli soprattutto in settori produttivi connessi ai servizi alla persona, come quello nel quale opera Arte del vivere;

4. dell’assenza di precedenti procedimenti avviati a carico della Società.

In una complessiva ottica di necessario bilanciamento fra diritti degli interessati e libertà di impresa, e in via di prima applicazione delle sanzioni amministrative pecuniarie previste dal Regolamento, occorre valutare prudentemente i suindicati criteri, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società.

Pertanto si ritiene che, in base all’insieme degli elementi sopra indicati, avuto riguardo alle decisioni adottate in precedenti casi analoghi e tenuto conto delle informazioni economiche rese disponibili nel registro delle imprese e non essendo pervenute indicazioni in merito da parte della Società, debba applicarsi ad Arte del vivere la sanzione amministrativa del pagamento di una somma pari a euro 5.000,00 (cinquemila/00), pari allo 0,05% del massimo edittale di 20 milioni di euro e, in ragione degli elementi aggravanti rilevati, la sanzione accessoria della pubblicazione per intero del presente provvedimento nel sito web del Garante come previsto dall’art. 166, comma 7 del Codice e dall’art. 16 del regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecito il trattamento descritto nei termini di cui in motivazione da parte di Arte del vivere S.r.l., con sede in Milano, Via Luigi Settembrini 52, P.IVA n. 10666240154, e conseguentemente:

ORDINA

a Arte del vivere S.r.l., con sede in Milano, Via Luigi Settembrini 52, P.IVA n. 10666240154, di pagare la somma di euro 5.000,00 (cinquemila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 5.000,00 (cinquemila/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

a) ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate;

b) ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento nel sito web del Garante.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 10 febbraio 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei