[doc. web n. 10026220]

Provvedimento del 9 maggio 2024

Registro dei provvedimenti
n. 273 del 9 maggio 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il Prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il reclamo, presentato dall’Ing. XX in data 12/10/2020, regolarizzato il 24/12/2020, ai sensi dell’art. 77 del Regolamento, con cui è stata lamentata una violazione della disciplina in materia di protezione dei dati personali da parte della Polisportiva Mimmo Ferrito s.r.l., in relazione al mancato riscontro all’istanza di esercizio dei diritti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE: l’avv. Guido Scorza;

PREMESSO

1. L’avvio dell’istruttoria a seguito del reclamo nei confronti della Società.

Con il reclamo presentato a questa Autorità in data 12/10/2020, regolarizzato il 24/12/2020, l’Ing. XX lamentava una violazione della disciplina in materia di protezione dei dati personali da parte della Polisportiva Mimmo Ferrito s.r.l. (di seguito “la Società”).

In particolare, il reclamante rappresentava che, dopo aver ricevuto una e-mail dalla Società che lo informava della riapertura della struttura con l’indicazione in chiaro degli altri destinatari, formulava un’istanza di esercizio dei diritti ai sensi dell’art. 15 del Regolamento con cui chiedeva l’accesso ai propri dati personali e, contestualmente, di ricevere copia dell’informativa, predisposta dalla Società ai sensi dell’art. 13 del medesimo Regolamento.

Tale istanza, regolarmente notificata all’indirizzo pec della Società in data 20/07/2020, non riceveva alcun riscontro nei termini indicati dalla normativa.

Con le note del 05/03/2021 e del 03/05/2021, questa Autorità invitava la Società a fornire osservazioni in ordine ai fatti oggetto di reclamo, nonché ad aderire all’istanza di esercizio dei diritti avanzata dal reclamante.

In considerazione del mancato riscontro, veniva formulata una nuova richiesta di informazione, ai sensi dell’art. 157 del Codice, con l’indicazione del termine entro cui fornire riscontro e delle conseguenze connesse al mancato adempimento (nota del 24/08/2021).

Preso atto del mancato riscontro anche a tale ultima nota, l’Ufficio delegava il Nucleo tutela privacy e frodi tecnologiche della Guardia di finanza di procedere alla notifica di una richiesta di informazioni, anch’essa formulata ai sensi dell’art. 157 del Codice e dell’atto di avvio del procedimento sanzionatorio ai sensi dell’art. 166 del Codice, in relazione alla violazione dell’art. 157 del Codice stesso (note del 03/11/2021).

Entrambi gli atti venivano notificati alla Società in data 10/05/2022, come risulta dal verbale di operazioni compiute redatto dal citato Nucleo in data 10 e 11 maggio 2022.

In occasione dell’accertamento ispettivo, la Società dichiarava che:

- il mancato riscontro alle richieste di informazioni dell’Autorità non era dipeso da propria negligenza, ma da un errore di digitazione dell’indirizzo pec, motivo per il quale le e-mail non erano mai pervenute;

- “l’esercizio dei diritti inoltrato alla società dal reclamante non è mai pervenuto alla direzione; presumibilmente la mail, inviata all’indirizzo info@polisportivamimmoferrito.it, essendo finita tra gli spam, non è mai stata oggetto di attenzione, per potervi dare idoneo riscontro”;

- “ad oggi la Società a seguito della nomina del DPO e della stipula del contratto con XX si è dotata di una procedura specifica per la gestione delle istanze dell’interessato, con la previsione di una risposta che tassativamente deve pervenire all’istante entro e non oltre 30 giorni”;

- con riferimento all’invio di una e-mail a tutti gli iscritti indicati in chiaro, “l’episodio è stato accidentale e determinato da un errore umano da parte di un operatore che presta servizio presso la società (…)”.

2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori e le osservazioni della Società.

Alla luce delle dichiarazioni rese, rilevato che, sulla base della documentazione trasmessa dal reclamante il 12/09/2022, risultava che l’istanza di esercizio dei diritti fosse stata regolarmente notificata all’indirizzo pec della Società, l’Ufficio provvedeva a notificare alla Società l’atto di avvio del procedimento sanzionatorio, ai sensi dell’art. 166, comma 5, del Codice in relazione alla violazione degli artt. 12, par. 3, e 15 del Regolamento (nota del 14/11/2022).

La Società, in data 25/11/2022, inviava propri scritti difensivi, ai sensi dell’art. 18 della legge n. 689/1981, con i quali osservava che:

- “la violazione contestata è relativa esclusivamente ad un interessato, …, tutt’oggi abbonato della scrivente, ed è relativa a un riscontro alla richiesta di esercizio di diritti da parte del su citato interessato che è stata effettuata oltre i termini previsti dall’art. 12, par. 3, del Regolamento, con ritardo”;

- “la gravità non appare elevata in quanto trattasi di dati comuni, relativi esclusivamente al suddetto, trattati ai sensi dell’art. 6, par. 1, lett. b), al fine della gestione del contratto di abbonamento ai servizi della piscina (…)”;

- “l’elemento soggettivo che ha determinato la condotta è ricollegabile a un deficit di organizzazione della segreteria, dovuti al periodo pandemico a cui si è aggiunto un grave evento (…), l’alluvione del 15/07/2020 che ha arrecato gravi danni materiali alla struttura”.

Con riferimento alle misure adottate per attenuare gli effetti della violazione (art. 83, par. 2, lett. c) del Regolamento), la Società ha dichiarato che:

- “ancor prima di avere contezza dell’istanza dell’interessato, la scrivente ha stipulato un contratto, in data 26/11/2021, per ricevere supporto e consulenza in merito all’implementazione di un sistema di compliance al GDPR, con una qualificata società (…) e ha nominato un responsabile della protezione dei dati (…)”;

- “i consulenti hanno implementato un sistema di gestione che (…)include una specifica procedura di Gestione_istanze¬_interessato emessa in data 03/01/2022 e si è provveduto ad effettuare degli specifici interventi formativi per il personale di segreteria (…).

3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

All’esito dell’esame della documentazione prodotta e delle dichiarazioni rese dalla parte nel corso del procedimento, nonché delle successive valutazioni dell’Ufficio, premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice, risulta accertato quanto segue.

In primo luogo, con riferimento alla violazione dell’art. 157 del Codice (di cui all’atto del 03/11/2021), preso atto del riscontro reso dalla Società e delle verifiche effettuate, risulta che la richiesta di informazioni del 24/08/2021 non risulta in effetti correttamente notificata al destinatario, a causa di un errore di digitazione dell’indirizzo pec.

Pertanto, rispetto a tale violazione, si dispone l’archiviazione del relativo procedimento, ai sensi dell’art. 11, comma 1, lett. b) e dell’art. 14 del regolamento del Garante n. 1/2019 (concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, datato 4 aprile 2019).

Con riferimento, invece, alla violazione degli artt. 12, par. 3 e 15 del Regolamento, è emerso che la Società, a fronte dell’istanza di esercizio dei diritti formulata dal reclamante in data 20/07/2020, non ha fornito alcun riscontro nei termini di legge. Non risulta infatti che, ad oggi, sia stato consentito all’istante di accedere ai dati personali detenuti dalla Società.

Preliminarmente, occorre richiamare la disposizione dell’art. 15 del Regolamento, che riconosce all’interessato il diritto di ottenere dal titolare del trattamento la conferma che sia in corso un trattamento di dati che lo riguardano e, di conseguenza, ottenere l’accesso a tali dati e alle informazioni elencate alle lettere a) - h) del medesimo articolo.

In base all’art. 12 del Regolamento, il titolare del trattamento è tenuto a fornire all’interessato l’accesso ai propri dati e a tutte le informazioni richieste, ai sensi degli artt. 15 e ss. del Regolamento, “senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa”.

Entro lo stesso termine, ove ritenga necessario avvalersi della possibilità di prorogare la risposta di due mesi in ragione “della complessità e del numero delle richieste”, il titolare deve informarne l’interessato indicandone i motivi; “se non ottempera alla richiesta dell’interessato, il titolare del trattamento informa l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale”.

Sulla base delle disposizioni sopra richiamate, risulta accertato che la Società non ha fornito alcun riscontro alle richieste del reclamante, omettendo anche di informarla dei motivi dell’inottemperanza.

Sebbene la Società abbia dichiarato nelle proprie memorie difensive di “attendere indicazioni di date utili per fissare un incontro” con il reclamante, non vi è alcuna evidenza in atti che sia stato consentito all’istante di accedere ai propri dati personali.

4. Conclusioni: illiceità dei trattamenti effettuati. Provvedimenti correttivi ai sensi dell’art. 58, par. 2, del Regolamento.

Alla luce delle valutazioni che precedono, si rileva che le dichiarazioni rese dal titolare del trattamento negli scritti difensivi ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗  non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento del 14/11/2022 e risultano insufficienti a consentirne l’archiviazione, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del citato regolamento del Garante n. 1/2019.

Preso atto di tutti gli elementi acquisiti nel corso dell’istruttoria, è emerso che la condotta posta in essere dalla Società, consistente nel mancato riscontro all’istanza di esercizio dei diritti, sia contraria alle disposizioni in materia di protezione dei dati personali e che, pertanto, occorra disporre l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, del Regolamento.

5. Ordinanza di ingiunzione.

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. L. 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali riferito al reclamante, di cui è stata accertata l’illiceità, nei termini sopra esposti.

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state tenute in considerazione le circostanze sotto riportate:

- con riguardo alla natura, gravità e durata della violazione è stata considerata rilevante la natura della violazione che ha riguardato le disposizioni relative all’esercizio dei diritti degli interessati, nonché la circostanza che la violazione è tuttora in corso;

- l’assenza di precedenti violazioni pertinenti commessi dal titolare del trattamento;

- le misure adottate dalla Società, utili a conformarsi alla disciplina in materia di protezione dei dati personali.

In considerazione dei richiamati principi di effettività, proporzionalità e dissuasività (art. 83, par. 1, del Regolamento) ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione, sono state prese in considerazione le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti e riferiti al bilancio d’esercizio per l’anno 2022.
In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 3.000,00 (tremila) per la violazione degli artt. 12, par. 3 e 15 del Regolamento.

In tale quadro, anche in considerazione della tipologia di violazione accertata, che ha riguardato i diritti dell’interessato, si ritiene che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito internet del Garante.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

dichiara, ai sensi degli artt. 57, par. 1, lett. f) e 83 del Regolamento, l’illiceità del trattamento effettuato dalla Polisportiva Mimmo Ferrito s.r.l., in persona del legale rappresentante pro-tempore, con sede in Palermo, Via Belgio n. 2/B, P.I. 05710450825, nei termini di cui in motivazione, per la violazione degli artt. 12, par. 3, e 15 del Regolamento;

ORDINA

alla suddetta Società, in persona del legale rappresentante pro tempore, ai sensi dell’art. 58, par. 2, del Regolamento, di pagare la somma di euro 3.000,00 (tremila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione;  

INGIUNGE

ai sensi dell’art. 58, par. 2, lett. c), del Regolamento di soddisfare le richieste dell’interessato, provvedendo a comunicare all’interessato le informazioni già oggetto dell’istanza datata 20/07/2020, entro 30 giorni dalla data di notifica del presente provvedimento, fornendo contestualmente comunicazione all’Autorità;

di pagare la somma di euro 3.000,00 (tremila) secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981. Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato

DISPONE

ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del regolamento n. 1/2019.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 9 maggio 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei