[doc. web n. 10025887]

Provvedimento del 9 maggio 2024

Registro dei provvedimenti
n. 271 del 9 maggio 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018 n. 101, recante disposizioni per l'adeguamento dell’ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

Con reclamo del 26 giugno 2023 il sig. XX ha lamentato di aver ricevuto una email promozionale da parte della Azzurro Club Hotels S.r.l. (di seguito, ACH o la Società), soggetto con il quale il reclamante non aveva mai intrattenuto rapporti. Nello stesso reclamo il sig. XX ha lamentato di aver esercitato i diritti di cui all'art. 15 del Regolamento e di non aver mai ricevuto riscontro (egli aveva in particolare richiesto di conoscere l'origine dei dati e di averne copia).

La Società - che ha sempre interloquito per il tramite del proprio avvocato difensore - ha fornito risposta alla richiesta di informazioni dell'Ufficio con nota del 19 settembre 2023 dichiarando di disporre dei dati del reclamante poiché "... il sig. XX è stato cliente, negli anni passati, dell’“Hotel XX”, in XX.... Albergo oggi condotto in locazione proprio dalla XX "⁽¹⁾.

Tuttavia il sig. XX ha replicato a tali dichiarazioni osservando di non aver mai soggiornato neanche presso il menzionato Hotel XX. A tale replica, la ACH ha risposto: "Egregio sig. XX, appreso che Ella non ha mai soggiornato presso l’Hotel XX, è probabile che i Suoi dati personali li abbia rilasciati al Gruppo XX, che ha gestito in passato l’XX unitamente ad altre strutture presso una delle quali Ella avrà soggiornato".

Il tenore di tale ultima replica, nello smentire le dichiarazioni fatte il 19 settembre, lasciava intendere che il titolare stesse solo facendo ipotesi circa l'origine dei dati senza averne piena contezza. L'Ufficio pertanto ha richiesto, ad integrazione delle informazioni già fornite, di produrre documentazione attestante l’acquisizione dei dati del reclamante con indicazione della relativa data.

La Società ha risposto con nota del 27 dicembre 2023 limitandosi a dichiarare di aver cancellato i dati del reclamante.

In tutte le descritte interlocuzioni si rinviene, inoltre, che non è mai stato fornito alcun chiarimento in merito alle motivazioni del mancato riscontro alla richiesta di esercizio dei diritti presentata dal sig. XX l'8 maggio 2023.

2. LA CONTESTAZIONE DELLE VIOLAZIONI

L’Ufficio ha contestato le violazioni rilevate con l’atto di avvio del procedimento del 29 febbraio 2024, prot. n. 25368/24, notificato via pec. Dandosi qui per interamente richiamate le motivazioni espresse nel menzionato atto, a ACH è stata contestata la violazione dell’art. 6, par. 1, lett. a) del Regolamento e dell’art. 130, comma 2 del Codice per aver inviato un'email promozionale al sig. XX senza comprovare l'acquisizione di un idoneo consenso al trattamento dei dati per finalità promozionali.

Inoltre, si è ritenuta integrata anche la violazione dell'art. 12, par. 3 e dell'art. 15 del Regolamento per il mancato riscontro alla richiesta di accesso ai propri dati presentata dal sig. XX, richiesta che non è stata soddisfatta neanche dopo l'avvio dell'istruttoria da parte del Garante. 

3. LA DIFESA DELLA SOCIETÀ

Con la memoria difensiva del 29 marzo 2024 la Società, con riguardo al contestato invio di una email senza il consenso dell'interessato, ha ritenuto privo di fondamento il rilievo fatto dal Garante poiché tale comunicazione, a detta della Società, non avrebbe avuto natura promozionale ma sarebbe stata finalizzata esclusivamente ad acquisire il consenso del reclamante a ricevere future proposte commerciali. A fondamento della sua tesi, la ACH ha citato la sentenza del Tribunale di Roma n. 10789/2019, nella quale si riteneva ammissibile l'invio di una prima comunicazione per richiedere o recuperare il consenso da utilizzare per futuri invii di comunicazioni promozionali.

Con riguardo invece al contestato mancato riscontro alla richiesta di esercizio dei diritti del reclamante, la ACH ha dichiarato di non aver ricevuto l'email inviata dal sig. XX l'8 maggio 2023.

4. VALUTAZIONI DI ORDINE GIURIDICO

4.1 Invio di comunicazioni promozionali senza consenso

Contrariamente a quanto sostenuto da ACH nella memoria difensiva, dall'esame dell'email allegata al reclamo si evince come la stessa abbia una finalità inequivocabilmente promozionale essendo volta a sollecitare l'acquisto di un servizio attraverso il riconoscimento di una serie di bonus e sconti. La richiamata ipotesi di un'esimente, correlata al mero intento di acquisire il consenso dell'interessato, non è condivisibile in quanto - come più volte ricordato dal Garante - l'invio di una comunicazione per acquisire il consenso per finalità promozionale non è ammissibile avendo essa stessa natura teleologicamente promozionale. Lo stesso principio è stato espresso dalla Corte di Cassazione⁽²⁾ che, cassando proprio la sentenza del Tribunale di Roma n. 10789/2019 citata dalla ACH, ha ricordato che "ove il consenso alle campagne di marketing non sia stato anteriormente prestato, la condizione è nel senso di doversi ritenere che lo stesso sia stato semplicemente già negato al momento del contratto. Cosicché ogni successiva attività integrata da comunicazioni automatizzate volte a farne mutare il senso diventa essa stessa un'interferenza illegittima, poiché finalizzata a commercializzare il servizio aggiuntivo nonostante la mancanza del consenso esplicito".

Peraltro, si osserva che l'asserita giustificazione della natura non promozionale del messaggio è stata rappresentata solo nella memoria difensiva nonostante, in risposta alla prima richiesta di informazioni, la ACH avesse invece dichiarato di aver inviato proprio un'email promozionale; essa infatti ha dichiarato di aver agito avvalendosi della deroga, concessa dall'art. 130, comma 4, del Codice per il c.d. soft spam, di cui la Società ha dettagliatamente richiamato i presupposti - dichiarando di averli pienamente rispettati - compreso il requisito per cui "i messaggi devono essere inviati a fini di vendita diretta di prodotti e/o servizi forniti dal titolare".

Come già detto non è stata mai fornita prova di un eventuale consenso rilasciato dal sig. XX, né del fatto che questi fosse stato cliente della Società (circostanza smentita dallo stesso reclamante).

Per tali ragioni si conferma la violazione dell’art. 6, par. 1, lett. a) del Regolamento e dell’art. 130, comma 2 del Codice e si rende necessario infliggere una sanzione amministrativa pecuniaria, ai sensi dell'art. 58, par.2, lett. i, del Regolamento.

4.2 Mancato riscontro alla richiesta di esercizio dei diritti

La ACH si è limitata, in maniera del tutto generica, a dichiarare di non aver ricevuto l'email del reclamante e lo ha fatto solo in sede di memoria difensiva pur essendo stata destinataria di due richieste di informazioni; richieste alle quali ha fornito solo riscontri contraddittori e non documentati, senza mai invocare a sua discolpa la mancata ricezione dell'email. Si deve altresì osservare che, nonostante l'intervento del Garante, nessun riscontro è stato mai fornito in merito alla richiesta ex art. 15 del Regolamento con particolare riguardo all'origine dei dati. Nella prima risposta al Garante, la ACH ha infatti dichiarato - senza documentarlo - che i dati del sig. XX erano presenti nel database della XX in quanto cliente "negli anni passati" dell'Hotel XX; tale hotel sarebbe stato acquisito in locazione dalla XX che, tuttavia, è soggetto giuridico diverso dalla ACH. Tale circostanza, comunque, è stata successivamente smentita dalle dichiarazioni dello stesso reclamante cui il difensore della ACH ha replicato "appreso che Ella non ha mai soggiornato presso l’Hotel XX, è probabile che i Suoi dati personali li abbia rilasciati al Gruppo XX " con ciò dando prova di non disporre di alcuna documentazione comprovante quanto dichiarato.

Da ultimo, sollecitata dall'Ufficio a fornire un riscontro più puntuale in merito all'origine dei dati, la Società si è limitata a dichiarare che "ACH ricevuta la mail del reclamante, ha provveduto a soddisfare la sua richiesta di esercizio del 'Diritto di opposizione' e 'Diritto di cancellazione' al trattamento di cui agli artt. 21 e 17 del GDPR 679/16". L'incoerenza di tale riscontro è piuttosto evidente dal momento che il reclamante non ha mai esercitato i diritti di cui agli artt. 17 e 21 del Regolamento, ma solo il diritto di accesso ai dati cui, a tutt'oggi, non è stato fornito riscontro né, verosimilmente, potrà essere fornito in futuro dal momento che la Società ha dichiarato di aver cancellato tutti i dati inerenti al sig. XX.

Pertanto si ritiene integrata la violazione degli artt. 12, par. 3 e 15 del Regolamento e si rende necessario infliggere una sanzione amministrativa pecuniaria, ai sensi dell'art. 58, par. 2, lett. i, del Regolamento.

5. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

In base a quanto sopra rappresentato, risultano violate varie disposizioni del Regolamento e del Codice in relazione a trattamenti collegati effettuati da ACH, per cui occorre applicare l'art. 83, par. 3, del Regolamento, in base al quale, se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento viola, con dolo o colpa, varie disposizioni del Regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave con conseguenziale applicazione della sola sanzione prevista dall’art. 83, par. 5, del Regolamento.

Ai fini della quantificazione della sanzione amministrativa il citato art. 83, par. 5, nel fissare il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore, specifica le modalità di quantificazione della predetta sanzione, che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1, del Regolamento), individuando, a tal fine, una serie di elementi, elencati al par. 2, da valutare all’atto di quantificarne il relativo importo.

In adempimento di tale previsione, ipotizzato, sulla base delle informazioni rinvenibili nell'ultimo bilancio (registrato al 31 dicembre 2022), il ricorrere della prima ipotesi prevista dal citato art. 83, par. 5 e quantificato quindi in 20 milioni di euro il massimo edittale applicabile, devono essere considerate le seguenti circostanze aggravanti:

1. il carattere gravemente colposo della violazione, dal momento che la Società non è stata in nessun modo in grado di documentare l'origine dei dati del reclamante e non gli ha mai fornito adeguato riscontro, dimostrando grave negligenza nel trattamento dei dati personali (art. 83, par. 2, lett. b), del Regolamento);

2. il grado di responsabilità del titolare del trattamento che ha dimostrato totale incapacità di fornire un adeguato riscontro alla richiesta di accesso ai dati del reclamante, tenuto conto che, dopo l'avvio dell'istruttoria, la Società ha anche cancellato tutti i dati, pur non essendo stato richiesto dall'interessato, rendendo così impossibile documentare l'origine degli stessi (art. 83, par. 2, lett. d), del Regolamento);

3. il grado di cooperazione con l'Autorità di controllo che è stato del tutto insufficiente dal momento che, nonostante le due richieste inviate, la Società ha fornito risposte imprecise, contraddittorie e non documentate (art. 83, par. 2, lett. f), del Regolamento).

Quali elementi attenuanti, si ritiene di poter tener conto:

1. del numero di soggetti coinvolti poiché, per quanto risulta in atti, la condotta avrebbe riguardato solo il reclamante (art. 83, par. 2, lett. a) del Regolamento);

2. del livello di danno arrecato consistente nel mero disturbo di ricevere un'email indesiderata oltre a non avere contezza dell'origine dei dati (art. 83, par. 2, lett. a) del Regolamento);

3. dell’assenza di precedenti violazioni pertinenti commesse dal titolare del trattamento (art. 83, par. 2, lett. e), del Regolamento).

In una complessiva ottica di necessario bilanciamento fra diritti degli interessati e libertà di impresa, in via di prima applicazione delle sanzioni amministrative pecuniarie previste dal Regolamento, occorre valutare prudentemente i suindicati criteri, anche al fine di limitare l’impatto economico della sanzione.

Pertanto si ritiene che - in base al complesso degli elementi sopra indicati - debba applicarsi a ACH la sanzione amministrativa del pagamento di una somma di euro 10.000,00 (diecimila/00) pari allo 0,05% della sanzione edittale massima di 20 milioni di euro. La sanzione edittale massima è individuata con riferimento al disposto dell’art. 83, par. 5, del Regolamento, tenuto conto che il 4% del fatturato di ACH, sulla base dei dati riportati nell'ultimo bilancio, risulta inferiore ai 20 milioni di euro.

Si rileva che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Si ritiene altresì – in considerazione della rilevanza delle violazioni - che, ai sensi dell’art. 166, comma 7, del Codice, e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione dell'ordinanza ingiunzione nel sito web del Garante, a titolo di sanzione accessoria.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecito il trattamento descritto nei termini di cui in motivazione effettuato dalla Azzurro Club Hotels S.r.l., con sede in Ravenna, via Lavezzola 2, P.IVA n. 02882260603; di conseguenza

ORDINA

ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, alla Azzurro Club Hotels S.r.l., in persona del suo legale rappresentante, di pagare la somma di euro 10.000,00 (diecimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 10.000,00 (diecimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981;

DISPONE

a) ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante;

b) ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, dispone l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 9 maggio 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei

______

NOTA

1) Si nota che la XX, invocata dalla Società, è un diverso soggetto giuridico rispetto alla Azzurro Club Hotels S.r.l. avendo diversa denominazione sociale, diversa partita iva e diverso rappresentante legale.

2) Cfr. Cass. civ. Sez. I, Ord., (ud. 16/02/2022) 28-03-2022, n. 9920 con la quale è stato accolto il ricorso del Garante avverso la sentenza n. 10789/2019 del Tribunale di Roma. Il menzionato principio era inoltre già stato espresso dalla Suprema Corte con ordinanza Cass. Civ. sez. I – 26/04/2021, n. 110.