g-docweb-display Portlet

Ordinanza di ingiunzione nei confronti di H3g s.p.a. - 12 giugno 2014 [3310104]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 3310104]

Ordinanza di ingiunzione nei confronti di H3g s.p.a. - 12 giugno 2014

Registro dei provvedimenti
n. 300 del 12 giugno 2014

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il provvedimento n. 32 del 25 gennaio 2012 con il quale il Garante, a seguito della dell´attività ispettiva volta a verificare l´avvenuta attuazione degli accorgimenti prescritti dall´Autorità all´esito del procedimento della verifica preliminare di cui all´art. 17 del Codice, con riferimento all´attività di profilazione dei clienti sulla base dei dati di traffico;

VISTO l´atto di contestazione, che qui deve intendersi integralmente riportato, n. 9677/65698 del 13 aprile 2012 (notificato in data 23 aprile 2012) nei confronti di H3g s.p.a., con sede in Trezzano sul naviglio (Mi), via Leonardo da Vinci n. 1, in persona del legale rappresentante pro-tempore, per le violazioni delle disposizioni di cui agli artt. 17, 23, 162, comma 2-bis, 164-bis, comma 2 e 167 del Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196, di seguito denominato Codice);

PRESO ATTO che H3g s.p.a., per le violazioni definibili in via breve di cui all´art. 162, comma 2-bis, ha provveduto, in data 8 giugno 2012, ad effettuare nei termini il pagamento in misura ridotta previsto dall´art. 16 della legge 24 novembre 1981, n. 689, con effetto estintivo dei relativi procedimenti sanzionatori;

RILEVATO, pertanto, che la presente ordinanza-ingiunzione riguarda solamente la contestazione della violazione amministrativa di cui all´art. 164-bis, comma 2, del Codice, per la quale la legge non consente la definizione in via breve;

VISTO il verbale di audizione delle parti del 31 gennaio 2014 nel quale la società, ai sensi dell´art. 18 della legge n. 689/1981, delineando sinteticamente le motivazioni successivamente prodotte negli scritti difensivi, ha evidenziato come, nel caso di specie, non si sostanzi l´elemento costitutivo dell´illecito contestato di cui all´art. 164-bis, comma 2, atteso che "(…) all´indomani delle attività ispettive, la percentuale di clienti che avevano prestato lo specifico, separato, opzionale ed espresso consenso informato alla profilazione si attestava tra l´82 e 84% del totale della Customer base", ciò determinando l´impossibilità di qualificare la banca dati oggetto di contestazione come "di particolare rilevanza o dimensione". Osserva, inoltre, come dalla lettura dell´art. 164-bis, comma 2 del Codice, si rilevi come "L´art. 167 e le norme di cui all´art. 17 e 23 (…) non sono disposizioni del Capo indicato dall´art. 164-bis e la loro violazione non può comportare anche la sanzione prevista da quest´ultimo articolo, bensì solo quella (peraltro già pagata) prevista dall´art. 162, comma 2-bis" e comunque "(…) si deve ritenere che la fattispecie aggravata -di cui all´art. 164-bis, comma 2- sia di fatto oggettivamente incompatibile con la fattispecie aggravata di cui al comma 3 del medesimo articolo, già applicata alla scrivente società, che deve ritenersi implicitamente ricompresa". La società, in ordine alla quantificazione della sanzione, ribadisce, "Come già rappresentato all´interno della (…) Relazione –relazione di H3G sui trattamenti per finalità di profilazione della clientela datata 18 giugno 2012-, in merito può rilevarsi la condotta operosa di H3G, la quale, da una parte, ha avviato – anche in via cautelativa – una diversa strategia commerciale di profilazione individuale rivolta ai soli clienti in possesso dello specifico, separato, opzionale ed espresso consenso informato per finalità di profilazione e dall´altra, anche per detta scelta commerciale, già all´indomani della notifica del provvedimento di blocco (nr. 32 del 25 gennaio 2012), la scrivente ha avviato tempestivamente una specifica attività di verifica e analisi interna degli aspetti organizzativi, procedurali e attuativi delle politiche di trattamento dei dati personali finalizzati all´attività di profilazione";

RITENUTO che le argomentazioni addotte non risultano idonee in relazione a quanto contestato. Diversamente da quanto ritenuto, l´illecito di cui all´art. 164-bis, comma 2 del Codice è configurabile al sostanziarsi dei due distinti e autonomi presupposti della particolare rilevanza della banca dati, ovvero, delle rilevanti dimensioni. Nel caso di specie, pur prendendo atto degli elementi forniti con la relazione del 18 giugno 2012, si osserva come le molteplici violazioni di cui agli artt. 17 e 23 del Codice si riferiscono a dati trattati all´interno della banca dati di tutti i clienti della società, che ammontano a circa 9 milioni di interessati. Anche se si tenesse conto della sola porzione di dati illecitamente trattati (pari al 16% della base clienti della società, ovvero circa 1.440.000), essa ha già di per sé una dimensione assai rilevante e tale da sostanziare il requisito delle particolari dimensioni. In ogni caso, il dato dimensionale da tenere in considerazione, ai fini della sussistenza della violazione che costituisce oggetto del presente provvedimento, è quello relativo all´intera base clienti, ovvero 9 milioni di interessati, in quanto ciò che rileva, ai fini dell´applicazione della norma, è proprio il maggior pregiudizio che si determina quando i dati trattati illecitamente vengono aggregati all´interno di una banca dati che abbia le caratteristiche descritte dalla norma. D´altra parte, nel caso che ci occupa, risulta perfezionarsi anche l´elemento della particolare rilevanza del data-base, visto che il trattamento in questione (profilazione dei clienti sulla base dei dati di traffico) presenta rischi specifici per i diritti degli interessati tali da essere stato sottoposto al procedimento della verifica preliminare del Garante di cui all´art. 17 del Codice che, con il proprio provvedimento del 25 gennaio 2012 aveva prescritto le misure e gli accorgimenti ai quali dovevano attenersi i vari titolari che effettuavano questi tipi di trattamenti (tra i quali H3G) e che invece la società ha disatteso, come emerso proprio nel caso del presente procedimento. Si osserva, altresì, come non possa essere condiviso neanche quanto dedotto circa l´interpretazione dell´art. 164-bis, comma 2 del Codice, atteso che locuzione "(…) più violazioni di un´unica o di più disposizioni di cui al presente Capo (…)" non è riferita alle norme di precetto che, nel caso di specie, sono gli artt. 17 e 23 del Codice, bensì a quella che prevede le sanzioni contestate alla società di cui all´art. 162, comma 2-bis del Codice, la quale è ricompresa nel medesimo Capo I recante "Violazioni amministrative". Diversamente argomentando, la fattispecie di cui all´art. 164-bis, comma 2 non risulterebbe mai applicabile, atteso che, le norme sanzionatorie, contenute nel Capo I del Titolo II del Codice, sono tutte configurate mediante rinvio a norme precetto collocate in altri Capi del Codice. Riguardo, invece, quanto argomentato circa l´incompatibilità della fattispecie di cui all´art. 164-bis, commi 2 e 3, deve osservarsi che l´illecito previsto dall´art. 164-bis, comma 2, configura una "fattispecie complessa", collegata ma autonoma rispetto a quelle presupposte, tra le quali ricorrono, come nel caso di specie, quelle di cui all´art. 162, comma 2-bis. La violazione di cui all´art. 164-bis, comma 2, è infatti punita con una sanzione autonomamente quantificabile e non rapportata alle sanzioni delle correlate violazioni. Inoltre, il procedimento sanzionatorio che si instaura con la contestazione della violazione di cui all´art. 164-bis, comma 2, come peraltro rilevato dalla stessa società, si differenzia da quello relativo alle altre violazioni per l´inapplicabilità dell´art. 16 della legge n. 689/1981 in tema di pagamento in misura ridotta. Già nella sua struttura formale, pertanto, l´art. 164-bis, comma 2, ha le caratteristiche tipiche della fattispecie sanzionatoria autonoma (condotta e sanzione pecuniaria prevista tra un minimo e un massimo); l´alternatività della sanzione di cui all´art. 164-bis, comma 2, del Codice rispetto a quelle di cui all´art. 162, comma 2-bis, non è supportata da alcun elemento letterale e logico. La norma de quo infatti tutela un bene giuridico ulteriore e diverso rispetto a quello offeso dalle singole violazioni presupposte, poiché maggiore è la lesione che si determina ai diritti oggetto di tutela da parte del Codice quando dette plurime violazioni riguardano non singoli dati ma, come nel caso di specie, intere banche-dati di particolare rilevanza e dimensioni costituite da dati appartenenti a milioni di interessati. Sul punto, tale interpretazione trova conferma nella recente sentenza, datata 11 marzo 2014, del Tribunale di Milano – I sez. Civile.  Stante questa autonomia, nulla osta acché, nella contestazione delle fattispecie presupposte, si consideri l´applicazione, come nel caso di specie, dell´ipotesi aggravata di cui all´art. 164-bis, comma 3 del Codice, senza che ciò possa pregiudicare l´applicazione della sanzione di cui all´art. 164-bis, comma 2 del Codice;

VISTO l´art. 164-bis, comma 2 del Codice che, in caso di più violazioni di una o più di una delle disposizioni sopra richiamate (art. 162, comma 2-bis), commesse anche in tempi diversi in relazione a banche di dati di particolare rilevanza o dimensioni, prevede l´applicazione di una sanzione da cinquantamila a trecentomila euro;

CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge n. 689/1981, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a) in ordine all´aspetto della gravità, gli elementi dell´entità del pregiudizio o del pericolo, della modalità della condotta e dell´intensità dell´elemento psicologico non sono connotati da elementi specifici;

b) ai fini della valutazione dell´opera svolta dall´agente, deve essere considerato il fatto che, a fronte del provvedimento del Garante datato 25 gennaio 2012, la società ha effettuato la profilazione solamente nei confronti dei clienti che avevano rilasciato lo specifico consenso, avviando, peraltro, "(…) una specifica attività di verifica e di analisi interna degli aspetti organizzativi, procedurali e attuativi delle politiche di trattamento dei dati personali finalizzati all´attività di profilazione";

c) circa la personalità dell´autore della violazione, deve essere considerata la circostanza che H3G s.p.a. risulti essere già stata destinataria di analogo provvedimento ingiuntivo nel 2011;

d) in merito alle condizioni economiche dell´agente, si rileva che H3G s.p.a. risulta avere dichiarato, nell´anno 2012, una perdita di esercizio;

RITENUTO di dover determinare, ai sensi dell´art. 11 della legge n. 689/1981, l´ammontare della sanzione pecuniaria,  in ragione dei suddetti elementi valutati nel loro complesso, nella misura di euro 75.000,00 (settantacinquemila);

VISTA la documentazione in atti;

VISTA la legge n. 689/1981, e successive modificazioni e integrazioni;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la prof.ssa Licia Califano;

ORDINA

a H3g s.p.a., con sede in Trezzano sul naviglio (Mi), via Leonardo da Vinci n. 1, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 75.000,00 (settantacinquemila) a titolo di sanzione amministrativa pecuniaria per la violazione prevista dall´art. 164-bis, comma 2 del Codice indicata in motivazione;

INGIUNGE

alla medesima società di pagare la somma di euro 75.000,00 (settantacinquemila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale o in copia autentica, quietanza dell´avvenuto versamento.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 12 giugno 2014

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia