[doc. web n. 9935519]

Provvedimento del 3 agosto 2023

Registro dei provvedimenti
n. 352 del 3 agosto 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. I reclami dell’interessato.

Il signor XX in data 7 aprile 2022 ha presentato un reclamo a quest’Autorità, esponendo di aver ricevuto numerose e-mail promozionali da vari soggetti in collegamento all’iscrizione ad una gara podistica nel 2020. A causa di ciò, egli ha lamentato di aver perso, nella moltitudine delle comunicazioni ricevute, quella in cui veniva invitato a confermare l’iscrizione per l’anno 2022; pertanto, il 10 marzo 2022, aveva scritto a vari soggetti, fra cui gli organizzatori dell’iniziativa per revocare il proprio consenso al trattamento per finalità promozionali, dando un preavviso di 15 giorni utili ad aggiornare i sistemi, salvaguardando “solo le finalità non strettamente legate alla partecipazione alla gara”.

Con un secondo reclamo, il 24 aprile 2022, l’interessato ha lamentato di continuare a ricevere - nonostante la scadenza del termine ex lege di 30 giorni per dar seguito all’istanza (ai sensi dell’art. 12, par.3, Regolamento) – e-mail promozionali, alcune delle quali scollegate dalla detta competizione sportiva.

Con un terzo reclamo, ricevuto il 16 febbraio 2023, lo stesso sig. XX ha segnalato ulteriori comunicazioni promozionali, successive alla manifestata opposizione.

2. L’istruttoria preliminare.

2.1. L’intervento dell’Ufficio mediante richieste di informazioni e documentazione.

Nell’ambito dell’istruttoria preliminare -per il dettaglio della quale si rinvia, per ragioni di economicità del presente testo al contenuto integrale degli atti di seguito indicati- l’Ufficio rilevava, rispetto al primo reclamo, che era in corso il detto termine di 30 giorni e che non poteva dunque intervenire, comunicando ciò all’interessato (v. nota 21 aprile 2022).

Rispetto al secondo reclamo, emergeva che le comunicazioni promozionali, lamentate dall’interessato, erano successive al termine in questione; pertanto, veniva formulata il 2 maggio 2022 una richiesta d’informazioni nei confronti di Engagico srl (“Engagico”), Infront Italy spa (“Infront”) ed altri soggetti, apparentemente coinvolti nel trattamento lamentato, in base all’analisi del reclamo, chiedendo loro di fornire osservazioni, ciascuno per quanto di rispettiva competenza, e di voler aderire alle richieste del reclamante. Si richiedeva, altresì, in particolare, di voler provvedere alla pronta cancellazione dei suoi dati e alla pronta interruzione di qualsiasi campagna promozionale (con qualsiasi modalità e mezzo), nonché alla conseguente interruzione di ogni trattamento eventualmente in essere (inclusa l’eventuale comunicazione a soggetti terzi per finalità di marketing o di profilazione).

L’Ufficio, avendo ricevuto, il 16 febbraio u.s., il citato terzo reclamo da parte del sig. XX con riguardo alla ricezione di plurime comunicazioni promozionali, successive all’opposizione effettuata dall’interessato, (in particolare, nelle seguenti date: 03/10/2022; 11/11/2022; 09/12/2022; 23/12/2022; 13/01/2023; 16/01/2023; 10/02/2023), ha formulato il 21 febbraio u.s. una seconda richiesta d’informazioni nei confronti di Engagico e di Infront, individuate come parti necessarie dell’istruttoria preliminare avviata.

Venivano complessivamente acquisiti i riscontri (quattro) forniti (il 4 e 23 maggio 2022; nonché il 13 e il 15 marzo 2023) dai due predetti soggetti (Infront -organizzatore degli eventi nonché titolare- e da Engagigo, suo responsabile del trattamento); riscontri, rivelatisi utili a ricostruire la vicenda fattuale.

2.2. Il riscontro di Engagico

Engagigo, in particolare nel riscontro del 4 maggio u.s., ha rappresentato che, attraverso la piattaforma di sua proprietà endu.net, aveva previsto più modalità di revoca del consenso, fra cui il link per la disiscrizione nel footer delle email; la gestione dei consensi nell’area personale dell’utente e l’invio di una e-mail all’indirizzo di posta elettronica ordinaria info@endu.net; l’interessato, tuttavia aveva utilizzato l’indirizzo pec, non previsto fra le suddette modalità, sicchè la sua istanza aveva subito un tempo di processamento più lungo. 

Inoltre, la Società ha affermato che la richiesta dell’interessato era stata presa in carico e soddisfatta entro i termini previsti dal Regolamento, di aver provveduto alla cancellazione di tutti i dati dell’utente; di aver rimosso la sua email dal database della piattaforma utilizzata per l’invio di comunicazioni commerciali, promozionali e newsletter, conservando solo i dati relativi all’iscrizione del Signor XX agli eventi, “conservazione necessaria - come indicato all’interno della (propria) Privacy Policy  … - per ottemperare ad obblighi amministrativi, fiscali e contrattuali (l’iscrizione all’evento comporta una transazione economica, l’accettazione del regolamento e eventuali facoltativi consensi alla ricezione di comunicazioni).” Inoltre, secondo quanto asserito da Engagigo, “… all’interno degli elenchi nella sua disponibilità, sono espressamente indicati i consensi rilasciati da ogni iscritto: ciò permette al Titolare del trattamento di verificare ed avere uno storico delle autorizzazioni rilasciate o meno.” A conclusione di quanto sopra, Engagigo ha affermato di non aver più trasmesso comunicazioni al signor XX e di essere totalmente estranea rispetto agli invii successivi al recepimento nel proprio data base dell’opposizione effettuata dall’interessato.

2.3. Il riscontro di Infront.

Infront, nel riscontro del 23 maggio 2022, ha rappresentato:

- di aver trattato i dati personali del segnalante in conformità al consenso da questi prestato, trasmettendogli, per il mezzo del proprio responsabile (e del relativo sub-responsabile) comunicazioni amministrative e commerciali inerenti alla gara;

- che nel periodo interessato (26 mesi), XX aveva ricevuto complessivamente n. 45 comunicazioni elettroniche - unico mezzo trasmissivo utilizzato - da parte di Infront e dei suoi responsabili, per “una media di 20 comunicazioni all’anno e di 1,7 al mese”; frequenza che, a uo avviso, “sarebbe ben lontana da qualsivoglia attività di spamming, men che meno delle ‘mille comunicazioni commerciali’ di cui lamenta il reclamante.”

La Società dunque riteneva “smentita completamente la tesi del signor XX di essere stato sommerso di e-mail al punto di impedirgli di consultare correttamente la propria casella di posta elettronica e prendere consapevolezza delle email amministrative relative alla sua iscrizione.”, e che detto trattamento non avesse “mai travalicato i limiti della proporzionalità e del rispetto della persona.”

Infront, con il detto riscontro, con particolare riguardo alle cinque comunicazioni ricevute dal ricorrente e  a sé riconducibili, affermava che, all’esito delle necessarie interlocuzioni con i propri incaricati, è emerso che “l’invio di tali comunicazioni al signor XX sia dovuto a un errore materiale, commesso dalla società Sdam Sport Data Management a r.l. (“Sdam”), con cui Infront ha in essere un contratto in forza del quale, tra le altre cose, Sdam si è impegnata a svolgere determinate prestazioni” gestionali ed informatiche. Sdam avrebbe consegnato a Infront “un database ove, contrariamente a tutte le precauzioni fornite, erano rimasti inavvertitamente e per errore ancora i dati del Signor XX, circostanza che ha causato l’invio di cinque comunicazioni.”

La detta Società precisava, e documentava, che in “ciascuna di queste mail erano presenti e ben visibili le indicazioni per accedere al meccanismo di “disiscrizione” dal sistema, che avrebbe consentito al signor XX (che si era avvalso della comunicazione a mezzo pec), laddove lo avesse voluto, di non essere più destinatario di mail. Così come appare evidente che cinque comunicazioni tra ottobre 2022 e febbraio 2023 non possano integrare quella condotta che il reclamante descrive come ‘continuato a bersagliare […] di mail commerciali’”.

Infront affermava di aver dimostrato di essersi immediatamente premurata di cancellare i dati del XX dal proprio database e di aver richiesto di fare lo stesso a tutti i soggetti che potessero detenere i dati dell’interessato.

Quale dato statistico al riguardo, Infront precisava che il numero di utenti che avevano effettuato la disiscrizione dal sistema, nel periodo 11 novembre 2022 - 27 febbraio 2023, è stato di circa 1.100, “a conferma del corretto funzionamento del sistema”, aggiungendo che “il signor XX, ad oggi, è stato definitivamente cancellato anche dal database Endu e pertanto il reclamante non è più presente né sul database autonomo di Infront, né su quello separato di Engagigo.”

2.4. Controdeduzioni del reclamante.

Il reclamante in data 24 marzo u.s. ha inviato una nota di controdeduzioni ai riscontri delle citate Società, in cui evidenziava il perdurare delle violazioni della normativa in materia di protezione dei dati, per il tramite della ulteriore ricezione delle e-mail in questione, ipotizzando la ravvisabilità, a suo avviso, di alcuni elementi aggravanti ai sensi dell’art. 83 del Regolamento. Fra questi, egli faceva riferimento al livello di danno subito da lui nonché dagli altri destinatari, dato che comunicazioni “importanti … sono state perse in mezzo alle 292 pubblicità inviate nell’arco di due anni e quattro mesi (0,68 % di mail utili rispetto agli spam inviati facendo pagare, nella migliore delle ipotesi, agli iscritti delle penali o, in alternativa, costringendoli a rinunciare a partecipare alla manifestazione dopo molti mesi di preparazione)…” [nonché al] “carattere doloso della violazione (nonostante fossero consapevoli delle gravi colpe non hanno adottato alcuna azione correttiva né hanno rispettato la volontà di non ricevere più pubblicità indesiderata)”.

Con un’ulteriore nota, il 24 maggio 2022, l’interessato ri-evidenziava di aver ricevuto “Un totale di 292 mail in due anni e quattro mesi …un  numero insostenibile di e-mail ricevute che ha creato un fenomeno di spam tale da impedire di poter prestare attenzione alle e-mail amministrative inerenti l’iscrizione” alla gara podistica, aggiungendo che, a suo avviso, “era completamente privo di fondamento il fatto che la richiesta formulata in via subordinata di cancellazione del proprio consenso al trattamento dei dati personali era inoltrata non agli indirizzi indicati nell’informativa per la corretta gestione di questi profili in quanto il sottoscritto ha preferito inviare una pec al fine di ottenere la certezza della ricezione. Tale procedura non può essere un ostacolo nelle richieste effettuate dagli utenti anche per tutelare i propri interessi nei confronti di società che, come dimostrano in modo evidente i fatti, … non sono in grado di dare riscontro ai reclami degli utenti.”

3. Contestazione nei confronti di Infront e Sdam.

Dall'analisi complessiva degli elementi acquisiti sono emerse - nell’ambito di un’articolata filiera di registrazione e trattamento di dati per finalità promozionali - le possibili responsabilità di Infront e di Sdam, seppur per ragioni diverse.

In particolare, Infront è parsa aver consentito l'invio di nuove comunicazioni promozionali a mezzo posta elettronica anche dopo l'opposizione al trattamento effettuata dall'interessato. Nella fattispecie, Infront - pur dichiarando di aver fornito precise istruzioni ai propri responsabili- non risulta aver comprovato di aver adeguatamente controllato che il database utilizzato per la propria campagna promozionale fosse stato correttamente 'bonificato" mediante l'inserimento del diniego alle finalità promozionali in corrispondenza dei dati del sig. XX. Infront altresì ha ammesso il conseguente invio, tramite soggetto da lei delegato, di cinque mail nonostante tale diniego. Si è ritenuto dunque che la suddetta Società sia incorsa nella possibile violazione del principio di accountability (artt. 5, par. 2, e 24 del Regolamento) nonché degli artt. 130, commi 1 e 2, del Codice e degli artt. 6 e 7 del Regolamento.

Riguardo al mailing indesiderato, quest’Autorità ribadisce che tale violazione sussiste anche quando l'invio promozionale indesiderato sia singolo, non distinguendo la disposizione del citato art. 130 a seconda della quantità degli invii. Altrettanto irrilevante, ai fini dell’esonero dall’imputazione dell’illecito trattamento, è la presenza del link per la pur agevole disiscrizione, considerato che la detta disposizione si basa sul consenso preventivo (c.d. opt in) e non sul mero diritto all'opposizione successiva al trattamento (c.d. opt-out). Peraltro, i provvedimenti correttivi e/o sanzionatori di cui agli artt. 58 e 83 del Regolamento sono applicabili sia in caso di dolo, sia in caso di colpa, mutando - con il variare dell’elemento soggettivo dell’illegittimo trattamento - non l’an dell’applicazione, ma la gradazione delle misure correttive nonché la quantificazione dell’eventuale sanzione..

È risultato inoltre che SDAM, come detto, nominato responsabile del trattamento, potesse aver determinato, pur erroneamente, l’invio delle cinque email promozionali e quindi dovesse rispondere anch'essa della presunta violazione degli artt. 130 del Codice nonché degli artt. 6 e 7 del Regolamento.

In base a quanto sopra evidenziato, il 28 aprile u.s., è risultato necessario contestare la presunta violazione delle seguenti disposizioni del Regolamento:

- artt. 5, par. 2; 6, par. 1, lett. a); 7; 24; (con riguardo solo a Infront); 

- nonché dell’art. 130, commi 1 e 2, del Codice (con riguardo a Infront e Sdam).

4. Le memorie difensive.

4.1. La memoria difensiva di Infront.

Infront, con memoria del 23 maggio 2023 e, analogamente, nel verbale dell’audizione del 3 luglio u.s., a cui si rinvia per i dettagli, si è difesa rispetto alle presunte violazioni contestate, rappresentando quanto segue e, in parte, ricostruendo alcune fasi della vicenda, nell’ambito di una complessa filiera del trattamento che ha visto coinvolti anche altri soggetti ad essacollegati.

In particolare: la suddetta cancellazione è avvenuta per il tramite della società Sportnetwork la quale, in data 6 aprile 2022, confermava a Starfarm (a cui Infront era legata da un rapporto di sub-responsabile, doc. 81) che l’operazione di cancellazione dei dati del sig. XX era andata a buon fine (doc. 10). La diligenza del comportamento di Infront sarebbe emersa anche sotto un altro profilo. Infatti, la società si sarebbe attivata direttamente, pur non essendovi tenuta, per sollecitare il rispetto dei diritti del sig. XX anche da parte di tutti i soggetti coinvolti nell’organizzazione delle iscrizioni alla Maratona di Roma che ne hanno trattato i dati in base a separati e autonomi consensi, tra cui, in particolare, la società Engagigo che gestiva la separata piattaforma ENDU.

A fronte di queste considerazioni, ad avviso di Infront, si deve pertanto escludere la violazione del principio di “accountability” e, analogamente, nessuna responsabilità può essere imputata alla medesima con riferimento alle cinque comunicazioni marchiate “Infront”, ricevute dal reclamante in un momento successivo allo svolgimento dei fatti sopra narrati (v. già riscontro del 13 marzo 2023).

Il suddetto invio sarebbe stato infatti conseguenza di un errore commesso dalla società Sdam, nonostante fosse tenuta nei confronti di Infront, in forza di un rapporto contrattuale - in essere dal 13 aprile 2022 al 31 marzo 2023 - a svolgere, tra le altre cose, determinate prestazioni (v. doc. 13 – allegato alla memoria del 23 maggio 2023). A seguito dell’integrazione del reclamo del sig. XX, Infront ha evidenziato di aver preso immediati provvedimenti confrontandosi con il proprio avente causa Sdam. Come riferito da Infront, dalle ricerche effettuate è risultato che, nonostante le specifiche indicazioni ermeneutiche sulla corretta attività promozionale fornite dell’Autorità con  nota del 2 maggio 2022., veicolate in almeno due ulteriori occasioni, Sdam non aveva provveduto alla cancellazione dei dati del sig. XX dal proprio database “storico” allorquando, in data 20 ottobre 2022, ha trasmesso a YTech, incaricata di Infront al riguardo, il file relativo ai soggetti che, nel 2021, risultavano inseriti, avendo prestato il relativo consenso, al database dei soggetti cui indirizzare comunicazioni di carattere commerciale relative alla gara podistica (doc. 14; mail del 20 ottobre 2022). Il predetto database era rappresentato da un file zip, criptato e protetto da password, contenente un file in formato csv coi dati personali degli utenti registrati su Piattaforma ENDU in occasione dell’edizione di Maratona di Roma 2021, al quale Infront non poteva accedere. Con separata mail, ENDU forniva a Y-Tech la password per accedere ai dati contenuti nel predetto database (doc. 15) e quindi Y-Tech inoltrava il database a Starfarm (doc. 16), che avrebbe poi elaborato i dati e predisposto le comunicazioni in tema di marketing sulla base dei consensi che erano stati evidenziati da Engagigo.

Infront, peraltro, aveva ricevuto la predetta password in forma criptata e non accessibile, “a conferma dei rigorosi protocolli di sicurezza in essere e a conferma dell’obiettivo di limitare il più possibile la condivisione dei dati degli interessati tra i soggetti coinvolti nel trattamento”. Infront ha aggiunto di aver prontamente cancellato dai propri database ogni informazione relativa al signor XX e aver invitato, formalmente e ripetutamente, tutti i propri aventi causa di fare altrettanto. In questo contesto, quando a distanza di sei mesi Infront ha ricevuto da ENDU il database degli interessati della Maratona (contenente più di 23 mila persone) per le legittime attività di comunicazione consentite in base ai consensi raccolti, non sarebbe stato ipotizzabile né ragionevole - oltreché materialmente impossibile per via della criptazione del relativo file protetto da password - per Infront effettuare un ulteriore controllo specifico su un aspetto particolare - la cancellazione del signor XX sul database di titolarità di un terzo. Infine, ha evidenziato che la presunta violazione lamentata dall’interessato ha avuto ad oggetto un numero esiguo di e-mail (cinque) che denota, in ogni caso, la non gravità della condotta di Infront tenuti in considerazione la natura, l’oggetto e la finalità del trattamento.

All’esito di tutto quanto sopra esposto, Infront ha concluso ritenendo che la violazione lamentata non sussisterebbe, e dunque di poter andare esente da provvedimenti da parte dell’Autorità, tenuto conto dei seguenti elementi: (i) la condotta per cui è causa non è imputabile a Infront né sotto il profilo di colpa, né di dolo, trattandosi di un errore materiale commesso da un terzo soggetto al quale, secondo precise obbligazioni contrattuali e, comunque, in buona fede, Infront si è affidata per quanto riguarda la gestione dei dati personali degli iscritti alla Maratona di Roma, confidando nel corretto adempimento anche da parte della Sdam  nonostante i chiarimenti ricevuti con la nota dell’Autorità del 2 maggio 2022; (ii) i dati personali trattati senza consenso  non erano dati sensibili della persona, bensì unicamente l’indirizzo e-mail dell’interessato;  ….; (iv) in ogni caso, a seguito dell’integrazione del reclamo presentata dal sig. XX in data 16 febbraio 2023, Infront aveva immediatamente provveduto ad eliminare definitivamente i suoi dati anche dal database ENDU; (v) le misure tecniche ed organizzative messe in atto da Infront per impedire il protrarsi dell’asserita condotta lesiva sono da ritenersi idonee a dimostrare il rispetto da parte della società del principio di accountability; (vi) il comportamento di Infront è stato subito cooperativo, sia nei confronti del reclamante, sia nei confronti dell'Autorità di controllo, al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi.

Per tutti i motivi sopra esposti, Infront ha anche chiesto che, in caso di adozione di ordinanza-ingiunzione, venga comminata la sanzione nella misura più lieve applicabile.

4.2. La memoria difensiva di Sdam.

Nella memoria del 26 maggio 2023, e analogamente nel verbale dell’audizione del 3 luglio u.s., Sdam ha lamentato, in via preliminare, la compromissione del diritto di difesa, asserendo di non esser stata informata nella fase di istruttoria preliminare.

Ha poi asserito di non aver alcuna responsabilità nella fattispecie. In particolare, rappresentando che, nell’ambito dei servizi offerti, ha messo a disposizione del titolare del trattamento (Infront) l’elenco dei partecipanti all’evento con i dati relativi alla partecipazione e alla registrazione all’evento. Oltre a tali informazioni, all’interno di tale elenco venivano conservate anche le scelte effettuate dai partecipanti in merito agli eventuali consensi rilasciati dagli utenti in fase di iscrizione all’evento.  Sdam ha precisato che la conservazione di tali informazioni raccoglieva e “fotografava” le manifestazioni di consenso e le autorizzazioni rilasciate in fase di iscrizione dall’utente. Ad avviso della Società, la successiva fase “dinamica” di revoca/opposizione delle manifestazioni di consenso rilasciate dagli utenti sarebbe rientrata nell’esclusiva competenza del titolare con il supporto di ulteriori soggetti (specificatamente individuati e nominati dal detto titolare).  La Società ha evidenziato che la gestione di questa fase “dinamica” (gestione dei consensi degli interessati),  non rientrava tra i servizi forniti da SDAM anche perché tali richieste, come indicato nelle informative rilasciate in fase di iscrizione ai partecipanti, dovevano essere indirizzate direttamente all’attenzione del titolare (l’organizzatore).

Sdam ha ulteriormente precisato che la conservazione dei dati dell’interessato, anche a seguito della sua richiesta di opposizione, era stata giustificata da ragioni contrattuali (prova dell’iscrizione e della partecipazione agli eventi) e da obblighi di legge; in particolare, l’iscrizione all’evento comportava l’accettazione di un regolamento, una transazione economica che necessitava di essere conservata per ragioni fiscali e contabili e per gestire evenienze, quali richieste di risarcimento per infortuni o  contestazioni di vario oggetto.

Sdam, in ragione delle attività oggetto del contratto con Infront, ha messo a disposizione di quest’ultima gli elenchi dei partecipanti all’evento del 2021, in cui necessariamente, per le ragioni sopra indicate, risultava presente anche i dati del XX. La Società concludeva asserendo che l’erronea trasmissione delle comunicazioni oggetto del reclamo non le fosse ascrivibile e pertanto chiedeva l’archiviazione del procedimento attivato.

5. Valutazioni di ordine giuridico.

Con riferimento ai profili fattuali sopra evidenziati, anche in base alle affermazioni delle Società, nonché alla documentazione dalle medesime prodotta, di cui rispondono ai sensi dell’art. 168 del Codice, si formulano le seguenti valutazioni di ordine giuridico.

Con riguardo a Infront, può dirsi che la medesima – avendo avvisato ripetutamente, per iscritto, le altre Società coinvolte nel trattamento in merito alla necessità di impedire ulteriori invii promozionali all’interessato, nonché in ragione del rimedio (crittografia) posto in essere per mantenere riservato tali dati e quelli degli altri interessati – abbia adottato misure organizzative e tecniche idonee per garantire la conformità del trattamento dei dati dell’interessato e deve pertanto ritenersi di non confermare la violazione ipotizzata in capo alla medesima Società.

Con riguardo a Sdam, relativamente anzitutto all’aspetto procedurale, oggetto di lagnanza, occorre evidenziare che una richiesta d’informazioni e/o documenti non è una fase necessaria ed ineludibile del complessivo procedimento attivato dal Garante. In tal senso, l’art.10, comma 3, del Regolamento n. 1/2019 del Garante –in www.gpdp.it, doc. web n. 9107633– prevede che l’Autorità, in relazione ai reclami pervenuti, “verifica se sussistono idonei elementi in ordine alle presunte violazioni e alle misure richieste dall’istante. A tal fine, il dipartimento, servizio o altra unità organizzativa esamina la documentazione pervenuta e può curare l’acquisizione di precisazioni e informazioni in ordine ai fatti e alle circostanze cui si riferisce il reclamo, anche sentendo personalmente o a mezzo di procuratore il titolare o il responsabile del trattamento, mediante richiesta di informazioni o di esibizione di documenti ai sensi dell’articolo 157 del Codice sottoscritta dal dirigente competente …“. Pertanto una contestazione di presunte violazioni può avvenire anche in difetto di una pregressa interlocuzione con l’Autorità, quando vengano rilevati, in base agli elementi già disponibili, i profili di una possibile violazione. Peraltro il diritto alla difesa, invocato da Sdam, è stato ampiamente garantito da due presidi fondamentali, a seguito della formale comunicazione di avvio del procedimento, quali la possibilità di presentare scritti difensivi e quella di chiedere audizione presso l’Autorità.

Nel merito, ferma restando la legittimità della conservazione dei dati in questione per le invocate finalità contrattuali ed amministrative, si deve ritenere che, nonostante le istruzioni fornitele da Infront, Sdam non abbia provveduto a “pulire” il proprio data base storico e che, senza la necessaria diligenza, abbia dunque comunicato i dati in questione ai soggetti incaricati della campagna promozionale. Inoltre a nulla rileva che tale compito non sia stabilito espressamente dal contratto, in quanto esso, anche in un’ottica di minimizzazione del trattamento (v. art.  5, par.1, lett. c) del Regolamento) può ritenersi ascrivibile a qualunque soggetto che tratti dati personali e,  tanto più, al ruolo del responsabile, quale alter ego del titolare.

Considerato quanto complessivamente dichiarato dalle parti, va inoltre chiarito che:

- l’applicazione dell’art. 130, commi 1 e 2, del Codice, relativo alle comunicazioni promozionali automatizzate in assenza di consenso, non richiede una pluralità di comunicazioni, né pone un minimo quantitativo, bastandone, dunque, anche una sola a ravvisarne la violazione, anche ai sensi dell’art. 83 del Regolamento (v. Linee Guida 4 luglio 2013 in materia di attività promozionale e contrasto allo spam);

- tale violazione può sussistere ed essere sanzionata dal Garante, anche in assenza di un asserito danno (come la perdita di una comunicazione suscettibile di essere risarcita dall’autorità giudiziaria ordinaria);

- come ricordato più volte dal Garante, l’esercizio dei diritti degli interessati ex artt. 12-22 del Regolamento va agevolato il più possibile, sicché va recepito ed attuato attraverso tutti i canali di comunicazione previsti dalla Società (incluso, tanto più, l’indirizzo di posta elettronica certificata in quanto idoneo a garantire la certezza del preciso momento dell’invio nonché della ricezione di una comunicazione), anche qualora non rientrino in quelli (come la posta elettronica ordinaria o l’area personale del sito web) messi appositamente a disposizione dalla medesima Società per i diritti in materia di protezione dei dati personali (v. analogamente  ord. ingiunz. nei confronti di Sky Italia S.r.l. - 16 settembre 2021 [doc. web n. 9706389], nel quale l’Autorità, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ha ingiunto alla medesima “di facilitare l’esercizio del diritto di opposizione prevedendo tra i canali di ricezione delle relative richieste anche la p.e.c. indicata nel registro delle imprese”);

- qualora i dati personali siano trattati per finalità di marketing diretto, l'interessato ha il diritto di opporsi in qualsiasi momento al trattamento dei dati personali effettuato per tali finalità, ed, in tal caso, i dati personali non possono essere più oggetto di trattamento per le medesime finalità (v art. 21 del Regolamento, par.2 e par 3).

Alla luce di tutto quanto detto sopra, si ritiene di dover confermare la violazione ipotizzata in capo a Sdam.

7. Conclusioni.

Per quanto sopra complessivamente esposto, si ritiene insussistente la responsabilità di Infront ed invece accertata la responsabilità della Sdam, in ordine alla violazione degli art. 130, commi 1 e 2, del Codice nonché degli artt. 6 e 7 del Regolamento, per il tramite della violazione del diritto dell’interessato all’opposizione al trattamento dei dati per finalità promozionali (art.21 del Regolamento).

Accertata l’illiceità della sopra descritta condotta della Società, si rende necessario ingiungere alla medesima, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento di adottare misure organizzative e tecniche atte a garantire il diritto d’opposizione degli interessati.

Inoltre, con riguardo ai trattamenti già realizzati e con finalità dissuasiva, si ritiene sussistano i presupposti per l’applicazione, in capo a Sdam, di una sanzione amministrativa pecuniaria ai sensi degli artt. 58, par. 2, lett. i) e 83, par. 5, del Regolamento.

8. Ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria.

Le violazioni sopra confermate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Sdam s.r.l della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

Per la determinazione dell’ammontare della sanzione, che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1), occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento; in particolare, nel caso di specie, non risultando applicabili circostanze aggravanti, invece devono essere considerati in funzione attenuante: il carattere individuale della segnalazione e la portata limitata della violazione (lett. a); l’assenza di analoghi reclami o segnalazioni ed il carattere episodico della  violazione (lett. a); la dimensione meramente colposa della condotta della Società (lett. b); l’assenza di precedenti procedimenti avviati a carico della Società (lett. e); la costante cooperazione con l’Autorità (lett. f); il carattere comune dei dati trattati (lett. g); la grave crisi socio-economica in atto e dei suoi riflessi anche sulla situazione economico-finanziaria della Società (lett. k).

In base al complesso degli elementi sopra indicati, in applicazione dei richiamati principi di effettività, proporzionalità e dissuasività di cui all’art. 83, par. 1, del Regolamento, tenuto conto, altresì, del necessario bilanciamento fra diritti degli interessati e libertà di impresa, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società, si ritiene debba applicarsi a Sdam s.r.l. – tenendo in considerazione casi analoghi, la sanzione amministrativa del pagamento di una somma di euro 5.000,00 (cinquemila/00), pari a circa lo 0,025% della sanzione edittale massima (20 milioni).

Nel caso in argomento si ritiene che debba applicarsi, altresì, la sanzione accessoria della pubblicazione nel sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della rilevanza del diritto d’opposizione degli interessati nonché dell’esigenza di non discriminazione rispetto a fattispecie analoghe.

Ricorrono, infine, i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.

TUTTO CIÒ PREMESSO, IL GARANTE

a) ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecito, nei termini di cui in motivazione, il trattamento effettuato da parte della società Sdam s.r.l., con sede in via Paciotto 6/A. Alberi di Vigatto (PR), P.IVA 02139130344; e, per l’effetto:

b) ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiunge alla medesima di adottare misure organizzative e tecniche atte a garantire il diritto d’opposizione degli interessati;

c) ai sensi dell’art. 157 del Codice, ingiunge alla Società di comunicare all’Autorità, nel termine di 30 giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alle misure imposte; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, a Sdam s.r.l., in persona del suo legale rappresentante, di pagare la somma di euro 5.000,00 (cinquemila/00), a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 5.000,00 (cinquemila/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981;

DISPONE

quale sanzione accessoria, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16 del Regolamento del Garante n. 1/2019, la pubblicazione nel sito del Garante del presente provvedimento e, ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 3 agosto 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei