g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Cosmopol Security S.p.A. - 5 agosto 2022 [9811300]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9811300]

Ordinanza di ingiunzione nei confronti Cosmopol Security S.p.A. - 5 agosto 2022

Registro dei provvedimenti
n. 285 del 5 agosto 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il reclamo presentato dal sig. XX in data 04/02/2020, ai sensi dell’art. 77 del Regolamento, con cui è stato lamentato il mancato riscontro all’istanza di esercizio dei diritti formulata nei confronti di Cosmopol Security S.p.A.;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Il contenuto del reclamo.

Con il reclamo presentato a questa Autorità in data 04/02/2020, il sig. XX lamentava un illecito trattamento di dati personali posto in essere da Cosmopol Security S.p.A. (di seguito “la Società”), consistente nel mancato riscontro all’istanza di esercizio dei diritti, dallo stesso formulata nei confronti della Società in data 10/12/2019.

In particolare, il reclamante rappresentava di aver ricevuto delle fatture elettroniche di pagamento da parte della Società, senza tuttavia aver mai avuto con essa alcun rapporto contrattuale, motivo per il quale formulava l’istanza al fine di conoscere l’origine di propri dati personali e di prendere visione dell’informativa di cui all’art. 13 del Regolamento UE 679/2016 (di seguito “Regolamento”).

A fronte della suddetta istanza, regolarmente notificata all’indirizzo pec della Società, non perveniva alcun riscontro nei termini di cui all’art. 12, par. 3, del citato Regolamento.

2. Gli esiti dell’istruttoria.

Con note del 18/09/2020 e del 27/11/2020 (prot. n. 34632 e n. 45236), la Società veniva invitata a fornire osservazioni in ordine ai fatti oggetto di reclamo e ad aderire all’istanza di esercizio dei diritti, avanzata dal reclamante.

La Società, con il riscontro datato 28/09/2020, dichiarava preliminarmente che, in data 05/10/2019, aveva acquistato il ramo d’azienda della società XX, subentrando automaticamente in tutti i contratti in essere, e che “in forza della descritta operazione, la scrivente ha ereditato anche il contratto con il sig. XX, che aveva, evidentemente, fornito il proprio consenso al trattamento e alla cessione dei propri dati personali, in sede di sottoscrizione di contratto con il dante causa XX”.

Pertanto, avendo inviato al reclamante le fatture per il servizio svolto, dichiarava che “alla prima lamentela del sig. XX, abbiamo provveduto a cancellare dal nostro archivio ogni e qualsiasi dato del medesimo in conformità alle disposizioni vigenti”.

Con successiva comunicazione del 17/12/2020, la Società precisava che, “consapevole del ruolo e degli obblighi di legge”, aveva provveduto a chiedere alla società Cerved l’estrazione degli indirizzi pec dei clienti di XX al fine di informarli dell’intervenuta cessione d’azienda e che, solo a seguito del reclamo presentato dinanzi all’Autorità dal sig. XX, si era resa conto che l’indirizzo pec del reclamante non era presente nell’elenco e che non gli era stata recapitata l’anzidetta comunicazione.

Nell’ambito del riscontro e con riferimento a questo specifico punto, la Società non ha fornito alcuna informazione in ordine al contenuto della predetta comunicazione idoneo a comprovare, ai sensi dell’art. 5, par. 2 del Regolamento, il corretto adempimento di quanto previsto dall’art. 14 del Regolamento.

3. L’avvio del procedimento sanzionatorio.

L’Ufficio, alla luce di quanto sopra, provvedeva a notificare l’atto di avvio del procedimento sanzionatorio, ai sensi dell’art. 166, comma 5, del Codice in relazione alla violazione degli artt. 12, par. 3, 14 e 15 del Regolamento (prot. n. 16191 del 25/03/2021).

La Società, in data 23/04/2021, inviava propri scritti difensivi, ai sensi dell’art. 18 della legge n. 689/1981, con cui dichiarava che:

- “la cessione del ramo d’azienda effettuata da XX in data 5.10.2019 nei confronti di Cosmopol Security s.r.l. non [ha] esaurito i suoi effetti solo sul piano civilistico, ma [ha] anche investito l’aspetto relativo alla protezione dei dati personali di soggetti che, prima di allora, avevano contatti con la sola società cedente (all’epoca titolare del trattamento)”;

- “entrambe le società hanno convenuto che, anche a seguito della cessione del ramo d’azienda, il trattamento dei dati personali degli interessati sarebbe proseguito in termini sostanzialmente invariati rispetto a prima, nel rispetto delle finalità che ne avevano determinato la raccolta e con l’osservanza delle modalità sino ad allora seguite”;

- pertanto, “subentrando l’acquirente nella stessa posizione dell’alienante si è ritenuto che il trattamento dei dati personali di dipendenti, clienti, fornitori e titolari di contratti commerciali, per l’acquisto di beni e servizi connessi alla gestione dei rami d’azienda ceduti, non necessitasse di alcun nuovo consenso”;

- alla luce di quanto sopra, l’art. 14, par. 1-4, del Regolamento non sarebbe applicabile al caso di specie, sulla base di quanto statuito al par. 5 del medesimo art. 14 (“I paragrafi da 1 a 4 non si applicano se e nella misura in cui: a) l’interessato dispone già delle informazioni; b) comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato (…)”);

- nel caso in esame, considerata la rilevanza dei rapporti oggetto della cessione del ramo d’azienda, “si può effettivamente ritenere sussistente una oggettiva difficoltà nel rendere l’informativa a tutti gli interessati in forma individuale e che, comunque, anche qualora ciò fosse stato astrattamente realizzabile, avrebbe comportato un impiego di mezzi manifestamente sproporzionato – anche per costi e oneri - rispetto al diritto tutelato”;

- “nonostante tali oggettive difficoltà, la scrivente ha provveduto a richiedere alla società CERVED l’estrazione degli indirizzi pec dei clienti della società cedente al fine di comunicare immediatamente a questi ultimi l’intervenuta cessione d’azienda”.

Alle memorie difensive la Società ha allegato la comunicazione inviata ai clienti denominata “comunicazione di Cessione d’azienda ex art. 2558 e seg. Del Codice civile”.

Nel corso dell’audizione svoltasi in data 22/06/2022, la Società ha avuto modo di chiarire che la scelta di non informare i clienti della mutata titolarità del trattamento, acquisendo nuovamente il loro consenso al trattamento dei dati personali, è stata presa tenendo conto anche di una pronuncia del Tribunale di Cagliari (sentenza n. 5369 del 6/6/2017) in base alla quale, in caso di mutamento soggettivo della società, non è necessario “ricontattare” l’interessato se la finalità del trattamento rimane invariata.

Al pari di quanto verificatosi nel caso di specie, dove la Società acquirente ha proseguito la medesima attività della società cedente, lasciando sostanzialmente invariate tipologia e finalità del trattamento, si è ritenuto che non sussistesse alcun obbligo di fornire l’informativa agli interessati.

Ciò nonostante, per garantire maggiore trasparenza nei rapporti contrattuali con i propri clienti, la Società ha ritenuto opportuno inviare loro una comunicazione che, a causa di un disallineamento informativo non dipendente dalla propria volontà, non è pervenuta al reclamante.

Con specifico riferimento al rapporto contrattuale con il reclamante, inoltre, la Società ha avuto modo di produrre il contratto da questi sottoscritto con la XX, in cui si autorizzava alla comunicazione e alla cessione dei dati a terzi.

In ultimo, la Società ha rappresentato che, a fronte dell’istanza di esercizio dei diritti, ha provveduto a cancellare il nominativo del reclamante dalla propria banca dati, senza tuttavia fornirgli un riscontro specifico in merito, ritenendo si trattasse di una comunicazione di recesso.

4. Le valutazioni dell’Autorità.

All’esito dell’esame della documentazione prodotta e delle dichiarazioni rese dalla parte nel corso del procedimento, premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice, risulta accertato che la Società:

non ha fornito riscontro alla richiesta di accesso ai dati personali formulata dal reclamante in data 10/12/2019, entro il termine previsto dall’art. 12, par. 3, del Regolamento (“senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa”), né ha provveduto a informare l’istante, entro il medesimo termine, dei motivi dell’inottemperanza nonché della possibilità di proporre un reclamo all’Autorità (art. 12, par. 4 del Regolamento);

avendo raccolto i dati personali del reclamante dalla XX (e quindi non direttamente dall’interessato), non provveduto, essendovi tenuta, a rendere agli interessati l’informativa secondo le modalità e i termini di cui all’art. 14 del Regolamento (Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l’interessato).

A tale ultimo proposito, si osserva come non possa trovare accoglimento l’argomentazione della parte in base alla quale l’obbligo di rendere l’informativa agli interessati non sussiste se, a seguito di un mutamento nella titolarità del trattamento, la finalità del trattamento rimane invariata.

Tale interpretazione, infatti, non è conforme ai principi generali in materia di protezione dei dati personali, in primis con quelli di trasparenza e di correttezza nei confronti dell’interessato (art. 5, par. 1, lett. a) del Regolamento), né tantomeno con le indicazioni, in tema di fusione e scissione di società, contenute nel provvedimento adottato dal Garante l’8 aprile 2009 recante “Prescrizioni in materia di operazioni di fusione e scissione fra società” (doc. web n. 1609999).

In tale provvedimento, il Garante ha avuto modo di chiarire che “per effetto della fusione per incorporazione, la società incorporante assume i diritti e gli obblighi della società incorporata, proseguendo in tutti i rapporti (attivi e passivi) della medesima (anche processuali) anteriori alla fusione (art. 2504-bis, comma 1, cod. civ.)”.

Sotto il profilo della protezione dei dati personali, posto che i dati devono essere trattati secondo correttezza, è necessario che siano forniti “agli interessati i necessari aggiornamenti dell´informativa resa dalla società scissa o dalle società incorporate o comunque partecipanti all´operazione di fusione, e tra essi, in particolare, l´indicazione della nuova denominazione del titolare del trattamento e gli estremi identificativi dell´eventuale nuovo responsabile presso il quale esercitare il diritto di accesso ai dati personali e gli altri diritti previsti dall´art. 7 del Codice” (nella formulazione antecedente alle modifiche introdotte dal d.lgs. 101/2018).

Le indicazioni del provvedimento sopra citato, adottate con riferimento al quadro regolatorio anteriore all’entrata del Regolamento (UE) 2016/679 trovano ora conferma nella disposizione di cui all’art. 14 del Regolamento che prevede che “qualora i dati non siano ottenuti presso l’interessato, il titolare del trattamento fornisce all’interessato le seguenti informazioni (…)”, indicate alle successive lett. a)-f), tra cui anche l’informazione relativa alla “finalità del trattamento cui sono destinati i dati personali, nonché la base giuridica”.
La norma, inoltre, prevede che tali informazioni siano fornite agli interessati entro un termine ragionevole dall’ottenimento dei dati personali, al più tardi entro un mese, e nel caso in cui i dati personali siano destinati alla comunicazione con l’interessato entro un mese dalla prima comunicazione (art. 14, par. 3, lett. a) e b) del Regolamento).

Tali disposizioni non si applicano solo qualora “l’interessato dispone già delle informazioni” oppure quando “comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato (…)”, circostanze che comunque non ricorrono nel caso di specie.

Nel caso di specie è evidente che gli interessati non potevano disporre, senza un’adeguata informativa, delle informazioni relative all’identità e i dati di contatto del nuovo titolare del trattamento (art. 14, par. 1, lett. a), né potevano essere a conoscenza che “le società hanno convenuto che, anche a seguito della cessione del ramo d’azienda, il trattamento dei dati personali degli interessati sarebbe proseguito in termini sostanzialmente invariati rispetto a prima, nel rispetto delle finalità che ne avevano determinato la raccolta e con l’osservanza delle modalità sino ad allora seguite”, circostanza questa definita all’interno del contratto di cessione di ramo d’azienda il cui contenuto è noto solo tra le parti.

Quanto alla deroga prevista dall’art. 14, par. 5, lett. b), che esonera dall’adempimento quando “comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato (…)”, tale impossibilità risulta di fatto smentita nel caso di specie per stessa ammissione della Società che ha provveduto comunque a inviare una comunicazione via pec ai clienti.

Si osserva, inoltre, che, nel caso in esame, la comunicazione inviata dalla Società ai clienti della XX per informarli del mutamento societario, non può considerarsi idonea ai sensi di quanto previsto dall’art. 14 del Regolamento tant’è che il reclamante, proprio in assenza di adeguate informazioni sul trattamento dei propri dati personali, ha presentato l’istanza ex art. 15 del Regolamento, volta in particolare a conoscere l’origine dei dati personali oggetto di trattamento.

La violazione deve pertanto ritenersi accertata, non solo con riferimento al reclamante, ma anche di tutti gli altri interessati i cui contratti sono stati oggetto di cessione tra le due società.
Va, altresì, chiarito che la cd. autorizzazione alla comunicazione a terzi dei dati personali, prevista dall’art. 22 del contratto di servizio sottoscritta tra le parti, si riferisce alla possibilità di comunicare, nell’ambito delle operazioni di trattamento poste in essere dal titolare e previste dal contratto, i dati personali a soggetti terzi, autorizzati o incaricati del trattamento, e non alla diversa ipotesi (ricorrente nel caso di specie) del trasferimento dei dati a un diverso titolare.

Quanto poi alla sentenza del Tribunale di Cagliari richiamata dalla Società nelle memorie difensive si evidenzia che la stessa è stata annullata in Cassazione con sentenza n. 27325 del 07/10/2021 (Cass. Civ. sez. I) la quale ha chiarito che “il trasferimento dei dati dal titolare originario ad un altro soggetto, (…), dà luogo alla cessazione del trattamento originario – non alla successione nello stesso – comportando quindi l’inizio di un distinto trattamento ad opera del nuovo titolare, tenuto al rispetto della complessiva disciplina in tema di informativa e consenso”.

5. Conclusioni: illiceità dei trattamenti effettuati. Provvedimenti correttivi.

Alla luce delle valutazioni che precedono, si rileva che le dichiarazioni rese dal titolare del trattamento negli scritti difensivi ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentirne l’archiviazione, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del regolamento del Garante n. 1/2019, concernente le procedure interne all’Autorità aventi rilevanza esterna.

Per i suesposti motivi, pertanto, si dichiara fondato il reclamo presentato ai sensi dell’art. 77 del Regolamento e, nell’esercizio dei poteri correttivi attribuiti all’Autorità ai sensi dell’art. 58, par. 2, del Regolamento si:

ingiunge alla Società di fornire riscontro all’istanza di esercizio dei diritti formulata dal reclamante;

dispone, inoltre, l’applicazione di una sanzione amministrativa pecuniaria, come previsto dall’art. 83, par. 5 del Regolamento.

6. Ordinanza di ingiunzione.

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. L. 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali riferito al reclamante, di cui è stata accertata l’illiceità, nei termini sopra esposti.

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state tenute in considerazione le circostanze sotto riportate:

- con riguardo alla natura, gravità e durata della violazione è stata considerata rilevante la natura della violazione che ha riguardato le disposizioni relative all’esercizio dei diritti degli interessati e all’obbligo di fornire l’informativa;

- il fatto che la violazione relativa all’omessa informativa risulta accertata, non solo con riferimento al reclamante, ma anche di tutti gli altri interessati i cui contratti sono stati oggetto di cessione tra le due società;

- la circostanza che, allo stato attuale, permane una condizione di illiceità di trattamento dei dati personali;

- l’assenza di precedenti violazioni pertinenti commesse dal titolare del trattamento, nonché la mancanza di dolo da parte del medesimo;

- il grado di cooperazione fornito dalla Società nel corso del procedimento.

In considerazione dei richiamati principi di effettività, proporzionalità e dissuasività (art. 83, par. 1, del Regolamento) ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione, sono state prese in considerazione le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti e riferiti al bilancio d’esercizio per l’anno 2020.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 20.000,00 (ventimila) per la violazione degli artt. 12, 14 e 15 del Regolamento.

In tale quadro, anche in considerazione della tipologia di violazione accertata, che ha riguardato i diritti dell’interessato, si ritiene che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito internet del Garante.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

dichiara, ai sensi degli artt. 57, par. 1, lett. f) e 83 del Regolamento, l’illiceità del trattamento effettuato, nei termini di cui in motivazione, per la violazione degli artt. 12, par. 3. e 15 del Regolamento;

ORDINA

a Cosmopol Security S.p.A. in persona del legale rappresentante pro-tempore, con sede legale in Roma, Via Savoia n. 80/B, C.F. 02849920588, ai sensi dell’art. 58, par. 2, del Regolamento, di conformare i propri trattamenti a quanto disposto dall’art. 12 del Regolamento stesso, provvedendo a fornire riscontro all’interessato entro 30 giorni dal ricevimento del presente provvedimento, nonché di pagare la somma di euro 20.000,00 (ventimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione;

INGIUNGE

alla medesima Società di pagare la somma di euro 20.000,00 (ventimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981. Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del regolamento n. 1/2019.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 5 agosto 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei