[doc. web n. 9124601]

Ordinanza ingiunzione nei confronti di SOGIMA S.r.l. - 16 maggio 2019

Registro dei provvedimenti
n. 120 del 16 maggio 2019

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO l’art. 1, comma 2, della legge 24 novembre 1981, n. 689, ai sensi del quale le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e per i tempi in esse considerati;

VISTO il D.lgs. 196/2003 recante il “Codice in materia di protezione dei dati personali” (d’ora innanzi “Codice”);

VISTA la segnalazione del 13 gennaio 2018 con la quale si è sottoposta all'attenzione del Garante l’anomalia riscontrata dal segnalante nel sito internet www.paccofacile.it, gestito da SOGIMA S.r.l. con sede in Aprilia (LT), Via Nerva 38 – c.a.p. 04011 – C.F. e P.IVA 02830440596 (d’ora innanzi la “Società”) per cui “ (…) accedendo alla pagina relativa a https://www.paccofacile.it/contrassegni, senza aver fatto nessuna registrazione né altre operazioni particolari, (…) (risultava) possibile visualizzare un elenco di mittenti e di destinatari, con i loro nomi e cognomi e con l'importo che queste persone hanno versato o incassato per spedizione in contrassegno, oltre alle modalità di versamento e di incasso”.

Inoltre, selezionando “(…) una voce tra quelle elencate si (…) (accedeva) liberamente ad ulteriori informazioni personali come l'indirizzo email, l'azienda del destinatario, la data di incasso, le coordinate della banca d'appoggio”;

VISTO il verbale prot. n. 1772 del 18 gennaio 2018 con il quale il Dipartimento Comunicazioni e Reti Telematiche ha accertato l’anomalia prospettata nella suddetta segnalazione, consistente in una diffusione - a mezzo del sito web della Società - di dati personali relativi a “ (…) un elenco contenente sei destinatari di spedizioni in contrassegno, identificati con nome e cognome, con l’indicazione degli importi relativi alla prestazione resa unitamente alla modalità di pagamento prescelta nonché, selezionando l’account cliente assegnato a ciascuno, ulteriori informazioni personali, tra le quali l’indirizzo email e le coordinate della banca d’appoggio (…)”; ciò, in modo che chiunque potesse accedere alla sezione contrassegni del sopra citato sito web, senza necessità di alcuna procedura di autenticazione;

CONSIDERATO che la Società, in riferimento alle attività da cui ha avuto origine la vicenda oggetto della segnalazione, risulta, titolare del trattamento dei dati personali, ai sensi del combinato disposto degli artt. 4, primo comma, lett. f) e 28 del Codice;

VISTO il provvedimento n. 11 del 18 gennaio 2018 - adottato a firma del Presidente del Garante in applicazione dell'articolo 5, comma 8, del Regolamento del Garante n.1 del 2000 in considerazione della particolare urgenza della questione segnalata che non consentiva la convocazione in tempo utile del Collegio - con il quale si è ritenuto necessario disporre, nei confronti della Società, in ragione delle menzionate conseguenze pregiudizievoli per i diritti degli interessati che potevano derivare dalla persistente diffusione in internet delle informazioni sopra citate, il blocco di quest’ultima documentazione, precludendone in tal modo l’indiscriminata diffusione in internet senza ritardo e comunque entro, e non oltre, 24 ore dalla ricezione del provvedimento ai sensi dell'art.154, comma 1, lettera d) del Codice ritenendo di valutare con separato procedimento la complessiva liceità del trattamento effettuato unitamente a eventuali conseguenze sanzionatorie dell'avvenuta diffusione dei dati personali in questione;

VISTA la nota protocollo n. 1854/123318 del 19 gennaio 2018 con la quale il  Dipartimento Comunicazioni e Reti Telematiche ha trasmesso alla Società il provvedimento del Garante n. 11 del 18 gennaio 2018 sopra citato e richiesto, altresì, a quest’ultima, ai sensi dell'art. 157 del Codice, di fornire prova, entro 15 giorni, dell'eventuale consenso informato degli interessati o di altra base giuridica per l'avvenuta diffusione oggetto della segnalazione, nonché, in mancanza di tali elementi, di comunicare le ragioni di tale diffusione e le misure di sicurezza adottate;

PRESO ATTO della PEC del 22 gennaio 2018 con cui la Società ha comunicato di aver prontamente risolto l’anomalia informatica riscontrata e che, dopo tale correzione, l'accesso ai dati poteva avvenire esclusivamente a seguito di registrazione e quindi di accesso attraverso l’inserimento delle credenziali di autenticazione da parte dell’utente registrato;

VISTA la nota protocollo n. 3014/123318 del 29 gennaio 2018 con la quale il Dipartimento Comunicazioni e Reti Telematiche faceva presente di restare comunque in attesa di ricevere, entro il termine indicato nella sopra citata nota protocollo n. 1854/123318 del 19 gennaio 2018, tutti gli elementi richiesti ai sensi dell'art. 157 del Codice;

VISTA la nota di risposta della Società, datata 2 febbraio 2018, nella quale si ribadiva che l'accesso libero ai dati di n. 6 spedizioni acquistate da clienti e visibile all'indirizzo https://www.paccofacile.it/contrassegni era derivato da un errore di codice durante una manutenzione ordinaria del software e che, a seguito del provvedimento di blocco e della nota di richiesta di informazioni da parte del Garante, la Società si era immediatamente attivata per  correggere l’anomalia;  

VISTA la nota prot. n. 10891/123318 del 11 aprile 2018 con la quale il sopra citato Dipartimento, tenuto conto delle misure correttive poste in essere dalla Società a seguito del provvedimento di blocco (per cui da una verifica effettuata da tale Dipartimento in data 9 aprile, verbalizzata e risultante agli atti del fascicolo, all’indirizzo telematico https://www.paccofacile.it/contrassegni non risultavano più visualizzabili a chiunque i dati personali oggetto di segnalazione),  ha disposto la chiusura dell'istruttoria preliminare non ravvisando i presupposti per l'adozione di ulteriori provvedimenti da parte del Garante, nonché ha comunicato, altresì, di trasmettere il fascicolo al competente Dipartimento Attività Ispettive per la verifica dei presupposti per l'applicazione delle sanzioni previste dalla legge, con particolare riferimento alla diffusione di dati personali in internet senza il consenso degli interessati di cui all'articolo 23 del Codice e in assenza di altra idonea base giuridica per il trattamento di cui all'articolo 24 del Codice medesimo;

VISTA la nota prot. n. 11019/123318 del 12 aprile 2018 con cui il Dipartimento Comunicazioni e Reti Telematiche ha trasmesso gli atti al Dipartimento Attività Ispettive, affinché valutasse i presupposti per l'applicazione della sanzione amministrativa di cui all'articolo 162, comma 2-bis, del Codice in relazione all’accertato illecito trattamento di dati personali;

VISTO l’atto prot. n. 16892/123318 del 4 giugno 2018 con il quale il Garante ha contestato alla Società la violazione della disposizione dell’art. 23 del Codice con riferimento alla diffusione di dati personali attraverso il proprio sito web, in assenza del consenso degli interessati;

RILEVATO che dal rapporto amministrativo prot. n. 290707/123318 del 4 ottobre, predisposto dall’Ufficio del Garante ai sensi dell’art. 17 della legge 24 novembre 1981 n. 689, non risulta effettuato il pagamento in misura ridotta;

VISTO il verbale di audizione, nel corso della quale la Società, oltre a ribadire che la diffusione è avvenuta per un errore intervenuto in fase di manutenzione del software, prontamente corretto a seguito della comunicazione del provvedimento di blocco del Garante, ha fatto, altresì, presente di essersi rivolta a “(…) una azienda Società di consulenza privacy che ha provveduto alla piena compliance” normativa in materia di protezione dei dati personali. La Società, ha richiesto l’archiviazione del procedimento o, in estremo subordine, l’applicazione del minimo della sanzione edittale, ulteriormente ridotta ai sensi dell’art. 164-bis, comma 1, del Codice;

RITENUTO che le giustificazioni addotte dalla Società non risultano idonee a determinare l’archiviazione del procedimento sanzionatorio, ricorrendo in tale circostanza tutti gli elementi costituenti l’illecito, pur avendo rilevato che la Società è intervenuta tempestivamete a correggere l’anomalia determinante tale illecito; 

VISTO l’art. 162, comma 2-bis, del Codice che punisce la violazione delle disposizioni indicate nell’art. 167 del medesimo Codice, tra cui l’art. 23, con la sanzione amministrativa del pagamento di una somma da euro 10.000,00 (diecimila) a euro 120.000,00 (centoventimila);

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge 24 novembre 1981 n. 689, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che la suddetta accertata diffusione di dati personali ha riguardato un numero esiguo di persone (n.6) e ha, altresì, avuto breve durata in quanto dalla data dell’accertamento (18 gennaio 2018)  - effettuato da parte Dipartimento Comunicazione e Reti telematiche in merito a quanto segnalato in data 13 gennaio 2018 - alla data della correzione dell’anomalia da parte della Società (l’immediatezza della correzione è stata assicurata con PEC del 22 gennaio 2018 dalla Società al Garante e accertata dal Dipartimento Comunicazione e Reti telematiche con verbale del 9 aprile 2018), è intercorso un breve lasso di tempo;

RITENUTO che ricorrono, pertanto, le condizioni per applicare l’art. 164-bis, comma 1, del Codice che prevede che, se taluna delle violazioni di cui agli artt. 161, 162, 162-ter, 163 e 164, è di minore gravità, i limiti minimi e massimi sono applicabili in misura pari a due quinti;

RITENUTO, quindi, in ragione degli elementi suddetti valutati nel loro complesso, di dover determinare, ai sensi dell’art. 11 della legge n. 689/1981, l’ammontare della sanzione pecuniaria prevista dall’art. 162, comma 2-bis del Codice, nella misura minima di euro 10.000,00 (diecimila) per la violazione dell’art. 23 del medesimo Codice, ridotta dei due quinti, secondo quanto previsto dall’art. 164-bis, comma 1, del Codice per la ricorrenza del requisito della minore gravità, per un importo pari a euro 4.000,00 (quattromila); 

VISTA la documentazione in atti;

VISTE le osservazioni dell’Ufficio, formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la prof.ssa Licia Califano;

ORDINA

a SOGIMA S.r.l. con sede in Aprilia (LT), Via Nerva 38 – c.a.p. 04011 – C.F. e P.IVA 02830440596 a titolo di sanzione amministrativa pecuniaria, la somma euro 10.000,00 (diecimila) prevista dall’art. 162, comma 2-bis del Codice, ridotta dei due quinti, secondo quanto previsto dall’art. 164-bis, comma 1, del Codice medesimo, per un importo pari a euro 4.000,00 (quattromila), per la violazione indicata in motivazione;

INGIUNGE

alla medesima di pagare la somma di euro 4.000,00 (quattromila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d. lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 16 maggio 2019

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia