[vedi anche: Newsletter del 24 maggio 2013]

[doc. web n. 2428316]

Ordinanza ingiunzione nei confronti di Edipro s.a.s. - 7 febbraio 2013

Registro dei provvedimenti
n. 54 del 7 febbraio 2013

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO l´atto di contestazione, che qui deve intendersi integralmente riportato, n. 7323/63176 del 31 marzo 2010 (notificato in data 20 aprile 2010) nei confronti di Edipro s.a.s., con sede in Treviso, viale della Repubblica n. 193/f (di seguito denominata "Edipro"), in persona del legale rappresentante pro-tempore, per la violazione delle disposizioni di cui agli artt. 23, 162, comma 2-bis e 167 del Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196, di seguito denominato Codice), ritenuta l´aggravante di cui all´art. 164-bis, comma 3, del medesimo Codice;

ESAMINATO il rapporto dell´Ufficio del Garante per la protezione dei dati personali predisposto ai sensi dell´art. 17 della legge 24 novembre 1981, n. 689, relativo all´atto di contestazione sopra richiamato;

RILEVATO dal predetto rapporto che non risulta essere stato effettuato il pagamento in misura ridotta;

VISTI gli scritti difensivi del 16 maggio 2010, inviati ai sensi dell´art. 18 della legge n. 689/1981, che qui si intendono integralmente richiamati;

LETTI i verbali in data 20 settembre 2010 e 24 gennaio 2011, relativi all´audizione dei rappresentanti di Edipro ai sensi dell´art. 18, comma 2, della legge n. 689/1981;

RITENUTO che le argomentazioni addotte da Edipro nelle memorie difensive e nelle audizioni non consentono di escludere le responsabilità in relazione a quanto contestato per le motivazioni di seguito riportate:

a. nelle memorie difensive Edipro lamenta, quale primo motivo di censura dell´atto di contestazione, che "per quanto inequivocabilmente emerge dallo stesso atto di contestazione, notificato alla Edipro s.a.s. solamente in data 20 aprile 2010, Codesto Garante, già in data 28 aprile 2009, a seguito dell´accertamento ispettivo effettuato ai sensi  dell´art. 157 del Codice, disponeva di tutti gli elementi di valutazione del caso […] Atteso quanto sopra, dunque, la contestazione della violazione avrebbe potuto e dovuto essere effettuata nell´immediatezza, non ostandovi alcun elemento che la impedisse, ed in ogni caso avrebbe dovuto e potuto essere notificata alla Edipro s.a.s. entro il termine di decadenza di 90 giorni (art. 14, comma 2 l.n. 689/1981) decorrenti dal 28 aprile 2009, e cioè non oltre il 28 luglio 2009, pena la estinzione dell´obbligazione di pagamento […]. Chiaro che nel caso di specie il 28 aprile 2009, ultimo giorno dell´accertamento ispettivo, costituisce il dies a quo […]. ".

Al riguardo si deve evidenziare che l´accertamento ispettivo nei confronti di Edipro era ricompreso in una più ampia attività di controllo nei confronti dei principali operatori del settore del telemarketing e del marketing mediante posta cartacea, che si era resa necessaria in conseguenza del dilagante fenomeno delle telefonate di disturbo e della indiscriminata raccolta e comunicazione di dati personali, fenomeno che all´epoca evidenziava significative sinergie fra gli operatori medesimi. Di qui la necessità di svolgere un ciclo di accertamenti in un ben delimitato lasso temporale (dieci ispezioni in nove mesi, dal 19 settembre 2008 al 21 maggio 2009) che tenesse conto del complessivo fenomeno e delle relative interazioni. Dalle risultanze del ciclo di accertamenti ispettivi è emersa la necessità, attesa la complessità della materia e degli atti assunti nonché la consistenza della documentazione acquisita, di instaurare diversi procedimenti amministrativi nei confronti dei soggetti ispezionati, fra i quali Edipro, necessari per l´emanazione di più provvedimenti collegiali di natura prescrittiva e/o inibitoria, in base a quanto previsto dai regolamenti nn. 1 e 2 del 14 dicembre 2007, concernenti le procedure interne all´Autorità aventi rilevanza esterna, finalizzate allo svolgimento dei compiti demandati al Garante, e i relativi termini (in www.garanteprivacy.it, docc. web nn. 1477480 e 1477624). In osservanza dei predetti termini, in data 31 luglio 2009 è stata inviata a Edipro la comunicazione dell´avvio del procedimento a seguito della quale la società, dapprima ha esercitato il diritto di accesso ai documenti amministrativi (17 settembre 2009) e poi ha presentato un´articolata memoria (5 ottobre 2009) chiedendo l´archiviazione del procedimento amministrativo. In data 28 gennaio 2010, il Garante ha emesso il provvedimento che ha concluso l´iter del procedimento amministrativo e nel quale l´Autorità si è riservata di verificare "con autonomo procedimento, la sussistenza dei presupposti per contestare a Edipro quanto previsto per la violazione dell´art. 23 (art. 162, comma 2-bis, del Codice)". Pertanto, diversamente da quanto ritenuto, la violazione in argomento è stata accertata proprio con il provvedimento del Garante del 28 gennaio 2010 al quale l´atto di contestazione ha fatto integrale richiamo per relationem e i cui contenuti sono stati portati a conoscenza di Edipro con la nota n. 4086/63176.  E´ a tale data del 28 gennaio 2010 che deve farsi riferimento per valutare il rispetto dei principi di tempestività di cui all´art. 14 della legge n. 689/1981 (Cass. Civ., Sez. lav. n. 5467/2008 ma più recente anche Cons. Stato, Sez. VI, 20 giugno 2012, n. 3583), in quanto solo a quella data, dall´esame del complesso dei documenti e delle dichiarazioni acquisite (fra i quali anche gli esiti degli accertamenti ispettivi nei confronti di un´altra azienda, Fastweb S.p.A.), è stato possibile qualificare oggettivamente e soggettivamente, da parte del Dipartimento attività ispettive e sanzioni, competente per l´instaurazione del procedimento sanzionatorio, le violazioni in argomento. Occorre evidenziare di conseguenza che la contestazione risulta notificata a Edipro il 20 aprile 2010, ovvero entro il termine di 90 giorni dalla data dell´accertamento;

b. nel merito, poi, Edipro, rappresenta che il Garante avrebbe qualificato quale illegittima comunicazione di dati personali il trasferimento dei dati presenti nel proprio database denominato "DB Consumers Italia" a Fastweb sulla base di soli due assunti: che Edipro avrebbe trasferito i predetti dati senza svolgere successive ulteriori attività e che la stessa Edipro avrebbe designato quali responsabili del trattamento per l´effettuazione di attività di telemarketing, call center indicati da Fastweb, demandando a quest´ultima tutte le decisioni in ordine all´utilizzo dei dati medesimi. Per l´effetto, il Garante avrebbe erroneamente attribuito a Fastweb la qualificazione giuridica di titolare del trattamento considerando fittizio il rapporto titolare (Edipro) – responsabile (Fastweb) contrattualmente previsto, nell´ambito del quale il trasferimento di dati personali non costituirebbe "comunicazione" a norma dell´art. 4 del Codice. Edipro al riguardo rappresenta che le due società "non hanno affatto inteso dissimulare una cessione del DB Consumers Italia […] bensì ed al contrario hanno ritenuto, in considerazione dell´incapacità e dell´impossibilità per Edipro di avvalersi di proprie strutture, cioè di propri call center, di trovare una soluzione di partnership commerciale rigorosamente rispettosa della disciplina vigente in materia di utilizzo dei dati personali, mantenendo  esclusivamente in capo a Edipro Sas la titolarità del DB, con tutte le conseguenti strutture di responsabilità che fanno capo, appunto al solo titolare"; "la piana e non preconcetta lettura del contratto stipulato fra le parti in data 3.12.2008, consente di pervenire all´inequivocabile certezza che nel rapporto dedotto l´unico titolare del trattamento dei dati contenuti nel DB Consumers Italia […] è Edipro s.a.s. e non anche Fastweb s.p.a., che, all´evidenza, risulta essere mero partner commerciale, nominato da Edipro, a limitati e predeterminati fini […] responsabile del trattamento dei dati, senza che con ciò abbia, l´azienda telefonica, acquisito alcun dominio, né autonomo potere decisionale in ordine alle finalità del trattamento, alle modalità del trattamento, agli strumenti utilizzati". Inoltre Edipro evidenzia che "la distribuzione dei dati ai call center, seppur avvenuta per mezzo di risorse umane e fisico/logiche di Fastweb […] e da Fastweb messe a disposizione di Edipro, contrariamente a quanto ritenuto da questo Garante, è vicenda  che vista con la lente del Codice Privacy è giuridicamente opera di Edipro che ha agito per mezzo di suoi responsabili esterni a tali limitati fini nominati e preposti" e che "anche la vicenda del server e del contratto di hosting è stata letta in termini errati, poiché la scelta del modus procedendi è stata dettata esclusivamente dalla necessità tecnologica, da parte di Edipro, di poter disporre di linee di collegamento informatiche adatte a trasferire ai call center i dati che da questi dovevano essere trattati in termini di telemarketing. E non risponde al vero, per fatto pacifico, che Edipro, una volta trasferiti i dati al server di Fastweb abbia concluso la propria attività e se ne sia stata con le mani in mano essendo, l´attività di inoltro ai successivi call center opera ed attività di Edipro, quantunque realizzata dal suo responsabile esterno (Fastweb) […]".

Partendo proprio dall´ultima osservazione di Edipro, deve evidenziarsi che, già in sede ispettiva la società, alla domanda circa le modalità di trasferimento dei dati del DB Consumers Italia a Fastweb aveva rappresentato che "approssimativamente all´inizio del 2009, Edipro ha provveduto a trasferire per via telematica, tramite protocollo di comunicazione logico del tipo SSH/ASFT (SSH file transfer protocol), i dati del DB Consumers Italia presso un server protetto di Fastweb. Ha dichiarato che le operazioni di trasferimento sono state materialmente effettuate dal sig. Pilotto sulla base delle indicazioni fornite telefonicamente da un tecnico di Fastweb, tale dott. Tazza, e di non aver svolto alcuna ulteriore attività sui predetti dati dopo il trasferimento. […] Ha altresì dichiarato, per quanto a sua conoscenza, che i dati, una volta trasferiti nel server di Fastweb, mediante una piattaforma informatica gestita da Fastweb, sono stati instradati ai vari call-center e pertanto presumibilmente non sono più residenti presso il server protetto". Assai significativo inoltre il passaggio del medesimo accertamento nel quale si dà atto che "i verbalizzanti hanno chiesto alla parte di indicare il luogo in cui è ubicato il server protetto di Fastweb. La parte (Pilotto) ha dichiarato che, per quanto a sua conoscenza, tale server, costituito da tre macchine, è ubicato in Bernina (MI)" laddove "Bernina" dovrebbe coincidere con la sede della server-farm di Fastweb, in via Bernina n. 6, Milano, evidentemente sconosciuta ad Edipro. Le dichiarazioni di cui sopra pongono in risalto che il ruolo di Edipro nel rapporto con Fastweb si è limitato alla sola operazione di trasferimento dell´intero DB Consumers Italia nei server di Fastweb, dei quali ignorava persino l´ubicazione precisa, peraltro seguendo istruzioni di un tecnico Fastweb, senza svolgere "alcuna ulteriore attività sui predetti dati dopo il trasferimento". Le risultanze dell´accertamento risultano confermate anche dalle successive attività ispettive compiute nei confronti di Fastweb, svolte nel maggio del 2009, richiamate nel provvedimento del 28 gennaio 2009, e i cui atti hanno formato oggetto di accesso ex l. 241/1990 da parte di Edipro. Dal complesso dell´istruttoria è stato possibile rilevare che i dati trasferiti da Edipro ai server di Fastweb sono stati veicolati ai call-center mediante una piattaforma informatica denominata "Sales force automation" (SFA). Le modalità di gestione delle campagne promozionali veicolate attraverso SFA, secondo quanto dichiarato da Fastweb nel verbale di operazioni compiute del 14 maggio 2009,  sono stabilite centralmente in completa autonomia dalla predetta azienda "da un responsabile di canale, il quale tramite l´intervento di propri collaboratori (quattro responsabili di macro-aree geografiche) e dei cd. "area manager" (competenti in ambito regionale) assegnano ai call-center volumi di record di contattabili. Il piano di lavoro complessivo è delineato dalle strutture Fastweb dedicate alla  forza-vendita. Per ciascun call-center è individuato un referente per i rapporti con Fastweb. Tale referente accetta il programma di lavoro mensilmente assegnato al call-center". Che Fastweb abbia utilizzato i dati provenienti da Edipro per autonomi trattamenti sottratti al controllo di quest´ultima società lo conferma anche quanto dichiarato in sede di audizione il 24 gennaio 2011, nel corso della quale i rappresentanti di Edipro hanno rilevato che "dall´esame degli atti relativi al procedimento Fastweb emergerebbe […] che le anagrafiche di cui Edipro era titolare sarebbero confluite in un database di Fastweb e che, quindi, i dati del database di Edipro sarebbero stati incrociati con ulteriori dati già nella disponibilità di Fastweb". La circostanza sopra evidenziata appare del tutto incompatibile con lo svolgimento di un corretto rapporto titolare-responsabile, e tale anomalia, qualora non conosciuta preventivamente da Edipro, sarebbe potuta emergere facilmente nell´ambito delle verifiche periodiche che il titolare ha l´obbligo di effettuare sull´operato del responsabile del trattamento, ai sensi dell´art. 29, comma 5, del Codice (e che non risultano invece effettuate). Tutti gli elementi sopra richiamati attestano invece che Fastweb ha effettuato attività di telemarketing utilizzando in piena autonomia e quindi in qualità di titolare del trattamento i dati del DB Consumers Italia forniti da Edipro, senza che quest´ultima società sia in alcun modo intervenuta nella definizione delle modalità del trattamento, delle scelte relative ai soggetti contattabili, della logica utilizzata dai sistemi informatici e senza che fosse neanche nota la mera ubicazione dei server che custodivano i dati. A ciò si aggiunga infine che, come evidenziato nel provvedimento del 28 gennaio 2010, "nel contratto stipulato con Edipro è Fastweb stessa a redigere gli script contenenti il testo dell´informativa da rendere agli interessati al momento del contatto promozionale (cfr. punto 5 del citato contratto)": orbene, la predisposizione dell´informativa, dovendo dare conto delle modalità, delle finalità e delle altre scelte di fondo relative al trattamento, è un atto che deve necessariamente promanare dal titolare del trattamento e non può di certo essere demandato ad un "mero partner commerciale", così come Fastweb è stata definita nelle memorie difensive.

RILEVATO, quindi, che Edipro, sulla base delle considerazioni sopra richiamate, risulta aver commesso la violazione di cui all´articolo 162, comma 2-bis, in relazione all´art. 167 del Codice, per aver ceduto dati personali presenti nel DB Consumers Italia senza il consenso di cui all´art. 23 del Codice;

VISTO l´art. 162, comma 2-bis, (nella formulazione vigente all´epoca dei fatti e quindi antecedente alle modifiche di cui all´art. 20-bis, comma 1, lettera c), punto 1, del decreto legge 25 settembre 2009, n. 135, convertito dalla legge 20 novembre 2009, n. 166) che punisce la violazione dell´art. 23 con la sanzione da ventimila a centoventimila euro;

CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge 24 novembre 1981 n. 689, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

PRESO ATTO che, con nota del 21 settembre 2010, Edipro ha dichiarato all´Autorità che "al fine di evitare quanto spiacevolmente accaduto con Fastweb S.p.a., comunichiamo di aver individuato, per il futuro, una struttura contrattuale che consente ad Edipro di effettuare attività di promozione commerciale per conto di terzi senza alcun passaggio di dati presso il server dei soggetti beneficiari dell´attività promozionale stessa";

CONSIDERATO che, nel caso in esame:

a)  in ordine all´aspetto della gravità, la violazione, riguardo gli elementi dell´entità del pregiudizio o del pericolo e dell´intensità dell´elemento psicologico, risulta connotata da elementi specifici dettati dalla circostanza che l´illecita cessione di dati personali è stata realizzata sulla base di un fittizio rapporto titolare-responsabile; peraltro tale illegittima comunicazione di dati ha prodotto l´effettuazione di chiamate indesiderate nei confronti di diversi milioni di utenti (come attestato da Fastweb con nota del 22 maggio 2009);

b) ai fini della valutazione dell´opera svolta dall´agente, deve essere considerato in termini favorevoli il fatto che Edipro, come evidenziato nella nota del 21 settembre 2010, ha individuato, una struttura contrattuale che le consente di effettuare attività di promozione commerciale per conto di terzi senza alcun passaggio di dati;

c) circa la personalità dell´autore della violazione, deve essere positivamente considerata la circostanza che Edipro non risulta avere precedenti specifici in termini di violazioni delle disposizioni del Codice;

d) in merito alle condizioni economiche dell´agente, si è tenuto conto del fatturato e del risultato d´esercizio relativi all´anno 2011;

VISTO l´art. 164-bis, comma 3, del Codice che prevede che nei casi di maggiore  gravità  e, in particolare, di maggiore rilevanza del pregiudizio per uno o più interessati, ovvero quando la violazione coinvolge numerosi interessati, i limiti minimo e massimo delle sanzioni di cui al presente Capo sono applicati in misura pari al doppio;

RILEVATO che la cessione di dati da Edipro a Fastweb S.p.A. è stata causa di un rilevante numero di segnalazioni pervenute all´Autorità in un breve arco di tempo e che tale circostanza, unitamente all´elevato numero accertato di anagrafiche cedute da Edipro a Fastweb S.p.A. (15.600.000) e all´elevato numero di contatti generati dalla cessione dei dati, è idonea a far ritenere applicabile, nel caso di specie, l´aggravante prevista dall´art. 164-bis, comma 3, del Codice, perché la violazione commessa ha coinvolto un rilevante numero di interessati;

RITENUTO di dover determinare, ai sensi dell´art. 11 della L. n. 689/1981, l´ammontare della sanzione pecuniaria,  in ragione dei suddetti elementi valutati nel loro complesso, nella misura di euro 100.000,00 (centomila) per la violazione di cui al combinato disposto degli artt. 162, comma 2-bis, e 164-bis, comma 3, del Codice;

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

ORDINA

a Edipro s.a.s., con sede in Treviso, viale della Repubblica n. 193/f, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 100.000,00 (centomila) a titolo di sanzione amministrativa pecuniaria per la violazione prevista dall´art. 164-bis, comma 2 del Codice indicata in motivazione;

INGIUNGE

alla medesima società di pagare la somma di euro 100.000,00 (centomila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale o in copia autentica, quietanza dell´avvenuto versamento.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 7 febbraio 2013

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia