g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di E-Mac Professional s.r.l. - 7 aprile 2022 [9774680]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9774680]

Ordinanza ingiunzione nei confronti di E-Mac Professional s.r.l. - 7 aprile 2022

Registro dei provvedimenti
n. 123 del 7 aprile 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il Prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il reclamo presentato dal sig. XX in data 23/11/2020, regolarizzato in data 05/06/2021, ai sensi dell’art. 77 del Regolamento, con cui è stata lamentata una violazione della disciplina in materia di protezione dei dati personali da parte di E-Mac Professional s.r.l.;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. L’avvio del procedimento.

1.1. Con il reclamo presentato a questa Autorità in data 23/11/2020, regolarizzato in data 05/06/2021, il sig. XX rappresentava di aver formulato, in data 10/07/2020, nei confronti di E-Mac Professional s.r.l. (di seguito “la Società”), un’istanza volta ad ottenere “l’accesso a tutti i dati personali per cui è in corso un trattamento, una copia degli stessi e tutte le informazioni previste alle lettere da a) a h) dell’art. 15, par. 1, del Regolamento; (…) link, copie o riproduzioni dei (…) dati personali relativamente ai trattamento in corso; ai sensi dell’art. 20 del Regolamento di ricevere tali dati in un formato strutturato di uso comune e leggibile da dispositivo automatico; ai sensi dell’art. 21, par. 2, del Regolamento, l’opposizione al trattamento dei dati per finalità di marketing diretto (…)”. Il reclamante precisava, inoltre, di aver acquistato dei prodotti dalla Società e che, nell’ambito del contraddittorio successivamente sorto, questa “richiamava dati personali riferiti al Sig.XX di cui, quest’ultimo, chiedeva conto attraverso l’istanza in oggetto”. Tuttavia, la richiesta, regolarmente notificata alla Società tramite pec in data 10/07/2020, non veniva riscontrata nei termini di cui all’art. 12, par. 3, del Regolamento.

Con la nota del 01/07/2021 (prot. n. 35160), l’Ufficio invitava la Società a fornire osservazioni in merito a quanto rappresentato nel reclamo e ad aderire alle richieste del reclamante.

La Società, con nota del 15/07/2021, produceva copia dell’informativa, predisposta ai sensi dell’art. 13 del Regolamento, da cui evincere le principali informazioni relative ai trattamenti posti in essere e confermava di essere in possesso dei dati personali riferiti al reclamante, impegnandosi a “predisporre nel più breve tempo possibile il materiale occorrente addebitando un contributo spese (…)”, ciò in quanto “la richiesta dell’interessato è manifestamente infondata e volta ad arrecare danno alla società (…)”. Nella medesima nota, la Società comunicava a questa Autorità e al reclamante le categorie di dati personali oggetto di trattamento, tra cui vi erano dati relativi al sig. XX (consistenti in nome e cognome, indirizzo e-mail e numero di telefono) e dati relativi all’attività commerciale da questi esercitata (tra cui sede e ragione sociale, coordinate bancarie), senza fornire all’interessato il dettaglio delle specifiche informazioni trattate.

1.2. Con nota prot. n. 49541 del 4/10/2021, l’Ufficio provvedeva a notificare alla Società l’atto di avvio del procedimento sanzionatorio, ai sensi dell’art. 166, comma 5, del Codice in relazione alla violazione degli artt. 12, par. 3, e 15 del Regolamento.

1.3. La Società, in data 02/11/2021, inviava propri scritti difensivi, ai sensi dell’art. 18 della legge n. 689/1981, con cui dichiarava preliminarmente che:

- “tra le parti, XX, in qualità di legale rappresentante della XX, intercorreva un rapporto contrattuale volto all’acquisto da parte della prima di beni mobili nella disponibilità della Società destinataria dell’odierno reclamo” che, tuttavia, sfociava in un contenzioso civile;

- “stante le trattative intercorse tra le Parti, il Sig. XX aveva piena cognizione dei dati in possesso della E-Mac da lui medesimo rilasciati, in qualità di legale rappresentante della XX;

- la richiesta avanzata dal reclamante, pertanto, deve considerarsi pretestuosa, in primo luogo perché “l’interessato disponeva già dell’informazione richiesta” e, in secondo luogo, perché era ben consapevole che “alla data del 10.07.2020 [data di presentazione dell’istanza di esercizio dei diritti], non era più in corso alcun trattamento in quanto le trattative erano concluse; nessun utilizzo diverso poteva essere fatto stante il mancato consenso”;

- in particolare, “si segnala che il sig. XX non ha mai fornito i dati personali di cui ha richiesto l’accesso ex art. 15 GDPR per sé stesso ma sempre e solo in qualità di legale rappresentante di una persona giuridica, pertanto non era nemmeno legittimato a fare la richiesta del 10.07.2020”.

2. L’esito dell’istruttoria.

2.1. All’esito dell’esame della documentazione prodotta e delle dichiarazioni rese dalla parte nel corso del procedimento, premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice, è emerso che la Società, a fronte dell’istanza di esercizio dei diritti formulata dal reclamante in data 10/07/2020, non ha fornito il riscontro richiesto dalle disposizioni.

2.2. Preliminarmente, si osserva che l’art. 15 del Regolamento riconosce all’interessato il diritto di ottenere dal titolare del trattamento la conferma che sia in corso un trattamento di dati che lo riguardano e, di conseguenza, ottenere l’accesso a tali dati e alle informazioni elencate alle lettere a) - h) del medesimo articolo. Si osserva, inoltre, che ai sensi degli artt. 12, par. 5 e 15, par. 3 del Regolamento, il titolare può “addebitare un contributo spese ragionevole tenendo conto dei costi amministrativi sostenuti per fornire le informazioni (…)”, laddove le richieste dell’interessato siano manifestamente infondate o eccessive o in caso di ulteriori copie. Va, altresì, rilevato che l’art. 12 del Regolamento prevede che il titolare del trattamento fornisca all’interessato l’accesso ai propri dati e a tutte le informazioni da questo richieste ai sensi degli artt. 15 e ss. del Regolamento “senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa” e che, entro lo stesso termine, ove ritenga necessario applicare la prevista proroga di due mesi in ragione “della complessità e del numero delle richieste”, deve informarne l’interessato indicandone i motivi; “se non ottempera alla richiesta dell’interessato, il titolare del trattamento informa l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale”.

2.3. Si rappresenta che, contrariamente a quanto ritenuto, l’istanza di esercizio dei diritti in argomento è stata formulata dal reclamante rispetto a dati personali riferiti alla propria persona (fisica) e non alla società XX di cui risulta essere anche rappresentante legale. Ciò si evince dall’istanza stessa (formulata in nome proprio dall’istante), ma anche sulla base degli elementi emersi nell’ambito dell’istruttoria, in cui il reclamante ha infatti precisato di voler avere contezza dei propri dati personali eventualmente trattati dalla Società. Tra l’altro, la Società stessa, nel riscontro fornito in data 15/07/2021, dichiarava di essere in possesso, oltre che dei dati riferiti alla società (ragione sociale, indirizzo della sede, coordinate bancarie e dati di pagamento), anche di dati riferiti alla persona fisica, quali il nome e cognome, indirizzo e-mail e numero di telefono, senza però comunicarle al reclamante, nemmeno dopo l’avvio dell’istruttoria da parte dell’Autorità, avendo la Società indicato genericamente le categorie di dati personali in suo possesso. Si evidenzia in ogni caso che la Società, in qualità di titolare del trattamento, anche in caso di diniego, avrebbe dovuto comunque informare l’interessato dei motivi dell’inottemperanza e della possibilità di presentare reclamo all’autorità e di proporre ricorso giurisdizionale (art. 12, par. 4 del Regolamento).

2.4. Va, altresì, confutata l’argomentazione addotta dalla Società in base alla quale la richiesta ex art. 15 del Regolamento è rimasta inevasa perché le informazioni erano già note all’interessato. Infatti, come noto, l’art. 15 del Regolamento riconosce, preliminarmente, all’interessato “il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano” e di conseguenza, e in caso affermativo, il diritto “di ottenere l’accesso ai dati” stessi e alle ulteriori informazioni. Ciò anche al fine di verificare la correttezza e la completezza dei dati oggetto di trattamento.

3. Conclusioni: illiceità dei trattamenti effettuati.

3.1. Alla luce delle valutazioni che precedono, si rileva che le dichiarazioni rese dal titolare del trattamento negli scritti difensivi ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗  non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentirne l’archiviazione, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del regolamento del Garante n. 1/2019, concernente le procedure interne all’Autorità aventi rilevanza esterna.

3.2. Per i suesposti motivi, pertanto, si dichiara fondato il reclamo presentato ai sensi dell’art. 77 del Regolamento e, nell’esercizio dei poteri correttivi attribuiti all’Autorità ai sensi dell’art. 58, par. 2, del Regolamento:

- si ingiunge alla Società di fornire riscontro all’istanza di esercizio dei diritti formulata dal reclamante, in ordine ai dati personali a lui riferiti, di cui sia ancora in possesso;

- si dispone l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, del Regolamento.

4. Ordinanza di ingiunzione.

4.1. Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. L. 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali riferito al reclamante, di cui è stata accertata l’illiceità, nei termini sopra esposti.

4.2. Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state tenute in considerazione le circostanze sotto riportate:

- con riguardo alla natura, gravità e durata della violazione è stata considerata rilevante la natura della violazione che ha riguardato le disposizioni relative all’esercizio dei diritti degli interessati; nonché la circostanza che la violazione si è protratta per un lungo periodo e che, tuttora il riscontro fornito è solo parziale;

- l’assenza di precedenti violazioni pertinenti commesse dal titolare del trattamento;

- il grado di cooperazione fornito dalla Società nel corso del procedimento.

4.3. In considerazione dei richiamati principi di effettività, proporzionalità e dissuasività (art. 83, par. 1, del Regolamento) ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione, sono state prese in considerazione le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti e riferiti al bilancio d’esercizio per l’anno 2020.

4.4. In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 10.000,00 (diecimila) per la violazione degli artt. 12 e 15 del Regolamento.

4.5. In tale quadro, anche in considerazione della tipologia di violazione accertata, che ha riguardato i diritti dell’interessato, si ritiene che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito internet del Garante.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

dichiara, ai sensi degli artt. 57, par. 1, lett. f) e 83 del Regolamento, l’illiceità del trattamento effettuato, nei termini di cui in motivazione, per la violazione degli artt. 12, par. 3. e 15 del Regolamento;

ORDINA

a E-Mac Professional s.r.l., in persona del legale rappresentante pro-tempore, con sede legale in Busto Arsizio (VA), via Zappellini n. 6, P.I. 03359850124, ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, di conformare i propri trattamenti a quanto disposto dall’art. 12 del Regolamento, provvedendo a fornire riscontro all’interessato entro 30 giorni dal ricevimento del presente provvedimento, nonché di pagare la somma di euro 10.000,00 (diecimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

alla medesima Società di pagare la somma di euro 10.000,00 (diecimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981. Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del regolamento n. 1/2019.

Roma, 7 aprile 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei