UNA telefonata promozionale senza consenso costa cara ad Altroconsumo: stangata do 100.000,00 Euro

Rispondi
Giancarlo Favero
Messaggi: 226
Iscritto il: dom gen 24, 2021 6:45 am

UNA telefonata promozionale senza consenso costa cara ad Altroconsumo: stangata do 100.000,00 Euro

Messaggio da Giancarlo Favero »

E' costata molto cara la telefonata promozionale non voluta, che Altroconsumo ha fatto ad una persona che si è rivolta al Garante, il quale ha sanzionato Altroconsumo con una multa di 100.000,00 Euro.

Di seguito trovate il testo integrale del Provvedimento, consultabile anche al seguente link:

https://www.garanteprivacy.it/web/guest ... eb/9852290

Grazie e buona lettura,
Giancarlo Favero

Provvedimento correttivo e sanzionatorio nei confronti di Altroconsumo Edizioni S.r.l - 15 dicembre 2022

Registro dei provvedimenti
n. 429 del 15 dicembre 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale ha preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza (astenuto), componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

Con il reclamo del 16 luglio 2021, presentato a questa Autorità ai sensi dell’art. 77 del Regolamento, la signora XX ha lamentato la ricezione, in data 25 settembre 2020, di una telefonata promozionale indesiderata effettuata per conto di Altroconsumo Edizioni S.r.l. (di seguito «Società», «Altroconsumo») e proveniente da un’utenza telefonica (n. 0312270026) che è risultata intestata alla società 8Mila S.r.l. Digital Contact Solutions. Quest’ultima, in riscontro alla richiesta formulata dall’interessata il 28 settembre 2020, con nota del 1° ottobre 2020, ha confermato di aver effettuato il contatto lamentato nel reclamo in forza del mandato conferitole da Altroconsumo in qualità di titolare del trattamento. Pertanto, la signora XX, in data 6 ottobre 2020, si è rivolta alla citata Società che, con nota del 14 ottobre 2020, ha rappresentato che il contatto della reclamante sarebbe stato fornito dalla Toleadoo GmbH, con sede in Germania di cui Altroconsumo si avvale “per reperire liste di utenti verso cui indirizzare le proprie promozioni”. Al fine di documentare quanto affermato, la Società ha allegato la nota del 30 settembre 2020 con la quale Toleadoo GmbH (di seguito «Toleadoo»; «Partner»), nell’assicurare di aver cancellato i dati personali dell’interessata dai propri database, ha dichiarato di aver acquisito gli stessi “in data 2016-09-08 23:34:41 in occasione dell'iscrizione della medesima al concorso www.vincitore-selezionato.it”; in tale circostanza la signora XX avrebbe espresso il proprio “consenso per finalità di marketing e per la cessione dei dati a terzi”. Inoltre, alla nota di riscontro, Altroconsumo ha allegato la documentazione relativa alla citata registrazione con i check box dei consensi richiesti all’esito della procedura.

In risposta alle osservazioni sollevate dalla reclamante in ordine alla mancata acquisizione di un consenso al trattamento dei dati personali (dal momento che, dallo screen shot di registrazione al concorso inviato dalla controparte, non risultano spuntate le caselle in corrispondenza dei consensi richiesti), Altroconsumo, con note del 22 e 26 ottobre 2020, ha affermato che “il consenso ai fini dell’e-commerce viene provato abbinando l’indirizzo IP con la data e l’ora esatta in cui l’utente ha completato la procedura di registrazione (per esempio cliccando sul tasto “conferma”, “invia” o simili)”.

Sulla base di quanto rappresentato in atti, l’Ufficio, in data 27 settembre 2021, ha formulato una richiesta di informazioni, ai sensi dell’art. 157 del Codice, al fine di acquisire maggiori elementi di valutazione, con riferimento al caso di specie ma anche e soprattutto con riguardo alla generalità dei trattamenti posti in essere da Altroconsumo, per verificare, quindi, se le criticità segnalate possano essere attribuite ad episodiche condotte o ad anomalie di sistema.

Con il riscontro del 15 ottobre 2021, Altroconsumo ha descritto il rapporto con i soggetti che intervengono, a vario titolo, nella realizzazione delle proprie campagne pubblicitarie e, nel rappresentare la procedura adottata per la formazione delle liste di numerazioni potenzialmente contattabili, ha specificato di effettuare controlli a campione delle utenze telefoniche fornite dal Partner (“normalmente 5 numerazioni”) e di procedere con la deduplica di tali liste al fine di escludere da queste i numeri non contattabili (ad esempio, le numerazioni per le quali l’interessato avesse espresso una opposizione al trattamento per finalità promozionali e le utenze già utilizzate nei precedenti 6 mesi, come accaduto per il numero telefonico della signora XX). Inoltre, la Società ha precisato di aver gestito da gennaio a dicembre 2020 “circa 2.698.000 contatti telefonici da cui sono derivati 22.317 soci”. Infine, nel confermare quanto già comunicato alla reclamante in ordine alla prova del consenso acquisito all’esito della registrazione al sito internet www.vincitore-selezionato.it (indirizzo IP abbinato a data e ora della registrazione), Altroconsumo ha allegato il testo dell’informativa privacy (relativa ai trattamenti dei dati personali effettuati da Toleadoo) e lo script di chiamata utilizzati in occasione dei contatti promozionali.

2. LA CONTESTAZIONE DELLE VIOLAZIONI E L’ESERCIZIO DEL DIRITTO DI DIFESA

2.1. La contestazione

Alla luce di quanto emerso nell’istruttoria preliminare nei termini sopra sintetizzati, e sulla base della documentazione in atti, il 12 novembre 2021 è stata notificata a Altroconsumo la comunicazione di avvio del procedimento ai sensi dell’art. 166, comma 5, del Codice, con la quale l’Ufficio ha contestato le seguenti violazioni:

- artt. 12, 13 e 14 del Regolamento per non aver fornito agli interessati un’idonea informativa sui trattamenti dei dati personali svolti da Altroconsumo dal momento che, in occasione delle telefonate promozionali effettuate per conto della Società, è stato reso soltanto il testo dell’informativa riguardante i trattamenti di Toleadoo;

- artt. 6, par. 1, lett. a) e 7 del Regolamento per non aver in alcun modo acquisito un consenso specifico ed informato per le finalità promozionali di Altroconsumo, né lo screen shot della registrazione della reclamante al concorso www.vincitore-selezionato.it contiene elementi atti a comprovarne l’idonea raccolta; inoltre, la formulazione utilizzata dal Partner per acquisire il consenso “al trattamento dei […] dati per la comunicazione a terzi con finalità di marketing diretto” non chiarisce se i dati personali, così raccolti, possano essere utilizzati per attività promozionali dalla stessa Toleadoo oppure anche da soggetti terzi (a cui i medesimi sono comunicati), né se Toleadoo possa svolgere campagne pubblicitarie per conto di terzi;

- dell’art. 5 del Regolamento, per aver effettuato i predetti trattamenti e quelli della medesima tipologia (svolti nei confronti di potenziali clienti della Società mediante acquisizione di liste di anagrafiche da soggetti terzi) in assenza delle condizioni di liceità di cui al paragrafo 1 del medesimo articolo ovvero senza aver comprovato la sussistenza di tali condizioni ai sensi del successivo paragrafo 2, con particolare riferimento al rilascio di un’idonea informativa e all’acquisizione di un consenso libero e specifico.

2.2. La difesa di Altroconsumo Edizioni S.r.l.

Con la memoria difensiva del 10 dicembre 2021, la Società ha fornito chiarimenti in ordine alle criticità sollevate nell’atto di contestazione adottato dall’Ufficio il 12 novembre 2021.

In primo luogo ha dichiarato che l’informativa orale fornita all’interessata in occasione del contatto telefonico lamentato nel reclamo è da ritenersi adeguata in quanto contiene gli “elementi essenziali inerenti al trattamento dei dati che Altroconsumo Edizioni S.r.l. ha svolto agendo quale autonomo titolare del trattamento”; in particolare, nello script di chiamata impiegato per contattare la signora XX, è specificato che la telefonata è effettuata per conto di Altroconsumo e che “Toleadoo GmbH ha raccolto i dati dell’interessata in occasione di un concorso al quale la stessa ha partecipato fornendo un consenso a ricevere comunicazioni promozionali”, indicando, quindi, in tale circostanza, sia la fonte dei dati trattati dalla Società, sia la finalità per la quale i medesimi dati vengono utilizzati. Inoltre, con riferimento a tali i dati, Altroconsumo “può effettuare un solo contatto utile (quindi una sola telefonata) salva la possibilità di richiamare per due ulteriori volte lo stesso numero solo in caso di mancata risposta o segnale occupato”.

Con riferimento alla contestata formulazione del consenso “al trattamento dei […] dati per la comunicazione a terzi con finalità di marketing diretto”, richiamata al punto 2.1. del presente provvedimento, dal momento che l’informativa resa da Toleadoo alla signora XX in sede di registrazione al sito www.vincitore-selezionato.it indicava le categorie merceologiche dei soggetti terzi riceventi i dati personali e la finalità promozionale da questi perseguita (punto 3 dell’informativa cit. - Ulteriori finalità di trattamento: comunicazione dei dati ai Partner del Titolare), l’interessata, fornendo tale consenso, maturava una legittima aspettativa ad essere contattata dai citati soggetti terzi “per ricevere le loro offerte promozionali”.

Lo screen shot fornito dalla Società in fase istruttoria “ripropone l’immagine che l’utente visualizza sullo schermo prima di esprimere le proprie volontà”, e quindi “le caselle poste in corrispondenza dei consensi richiesti risultano non flaggate […]”. Tuttavia, l’ulteriore documentazione prodotta consente di verificare che “i due consensi (marketing diretto e marketing di terzi) vengono esplosi rispettivamente in “consent 1 YES” e “consent 2 YES” confermando inequivocabilmente che l’interessata li ha prestati entrambi”; inoltre la stringa estratta dal software gestionale utilizzato da Toleadoo “riporta tutte le informazioni fornite dall’interessata in occasione del conferimento del suo consenso: i dati personali, l’indirizzo IP con la data e l’ora esatta, il comune di residenza, numero di telefono e i due consensi (marketing diretto e marketing di terzi) contrassegnati dalla dicitura “OK”.

La Società ha manifestato l’impegno di implementare alcune misure correttive, come ad esempio aumentare in modo significativo la quantità di utenze da verificare per l’attività di marketing, accogliendo la contestazione dell’Autorità in ordine alla limitata ampiezza del campione di verifica (“normalmente 5 numerazioni”); ha, inoltre, elencato una serie di altri adempimenti posti in essere (quali: deduplica delle liste di numerazioni utilizzate; - verifica dell’informativa sul trattamento dei dati personali resa al momento della raccolta dei dati; - verifica delle pagine web che contengono il form di raccolta dei dati; - cancellazione completa delle liste di numerazione dopo sei mesi dalla loro acquisizione; - l’effettuazione di una sola telefonata utile, al netto di due richiami in caso di linea occupata oppure di mancata risposta), chiedendo al Garante di tenerne conto in quanto indicativi di una condotta conforme alla normativa vigente.

3. VALUTAZIONI DI ORDINE GIURIDICO

Con riferimento ai profili fattuali sopra evidenziati, anche in base alle affermazioni della Società, di cui il dichiarante risponde ai sensi dell’art. 168 del Codice, si formulano le seguenti valutazioni in relazione ai profili riguardanti la disciplina in materia di protezione dei dati personali.

3.1. Sulla accountability del titolare

Richiamando quanto rappresentato al precedente punto 1, si osserva preliminarmente che Altroconsumo è da ritenersi titolare del trattamento dei dati, avendo la medesima Società stabilito sia le finalità che le modalità di contatto (v. art. 4 del Regolamento). Toleadoo, quale proprietaria della banca dati, avrebbe agito in qualità di titolare autonomo dal momento che il trattamento posto in essere (raccolta, conservazione e trasmissione a terzi dei dati) è precedente e del tutto indipendente dal trattamento effettuato da Altroconsumo, a cui sono dunque direttamente riconducibili tanto gli adempimenti posti dalla normativa in materia di protezione dei dati personali quanto la responsabilità per le violazioni rilevate.

Al riguardo, l’Autorità ha più volte evidenziato che i nuovi principi dettati dal Regolamento inquadrano le competenze del titolare in un’ottica di responsabilizzazione (accountability) ed impongono comportamenti proattivi e coerenti con la finalità di comprovare, in ogni fase, la liceità dei trattamenti. Spetta pertanto al titolare adottare misure di particolare garanzia al fine di comprovare che i contratti e le attivazioni registrati nei propri sistemi siano originati da contatti effettuati nel pieno rispetto delle disposizioni in materia di protezione dei dati personali (v. provvedimento n. 143 del 9 luglio 2020, doc. web n. 9435753).

Ciò posto, la ricostruzione fatta dalla Società in merito al processo di formazione delle liste di numerazioni e alle relative verifiche svolte, sebbene presenti un margine di apprezzamento, non può surrogare ad una carenza probatoria che avrebbe consentito una valutazione complessiva dei trattamenti posti in essere e, di conseguenza, del livello di garanzia assicurato dai fornitori.

Infatti - pur riconoscendo che la decritta attività di verifica, se effettuata su campioni significativi, è potenzialmente idonea a prevenire la circolazione di dati personali senza il prescritto consenso - deve evidenziarsi che, in concreto, il controllo di sole cinque numerazioni (anche se presumibilmente ripetuto più volte nel corso di un anno con diverse numerazioni) rispetto alla mole delle utenze utilizzate per finalità di marketing (come dimostrano i dichiarati 2.698.000 contatti telefonici effettuati), non appare sufficiente a garantire un livello di tutela adeguato, riducendo il controllo quasi ad un mero formalismo. Tale circostanza solleva dubbi in merito alla gestione di tutte le ulteriori utenze utilizzate nell’attività promozionale della Società. Altroconsumo, quindi, agendo in qualità di titolare con riferimento alla cosiddetta prima fase della campagna promozionale, che attiene alla corretta acquisizione dei dati, al rilascio di un’idonea informativa e alla acquisizione del consenso, avrebbe dovuto verificare che le procedure poste in essere fossero idonee a completare le predette fasi nel pieno rispetto delle disposizioni in materia di protezione dei dati personali e nello scrupolosa osservanza degli adempimenti necessari affinché l’interessato possa mantenere, in ogni momento, il pieno controllo dei propri dati.

Allo stato degli atti, emerge con evidenza che tali verifiche non sono state poste in essere, sottraendo pertanto i trattamenti di dati personali svolti da Altroconsumo con l’utilizzo di liste anagrafiche provenienti da soggetti terzi per finalità di marketing alle condizioni di liceità individuate dall’art. 5 del Regolamento.

Alla luce di quanto sopra, si ritiene integrata la violazione dell’art. 5, parr. 1 e 2, del Regolamento, da considerarsi quale condotta “di sistema” e non limitata al singolo caso di cui al reclamo.

Di conseguenza, si rende necessario ingiungere alla stessa, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, qualora intenda in futuro avvalersi di terzi per reperire le anagrafiche di interessati a cui inviare messaggi promozionali, di adottare idonee procedure volte a verificare costantemente che i dati personali siano trattati nel pieno rispetto delle disposizioni in materia.

Inoltre, pur avendo la Società dichiarato di impegnarsi ad aumentare “in modo significativo la quantità di verifiche” e di migliorare il sistema di gestione delle utenze, con riguardo ai trattamenti già realizzati, si ritiene sussistano i presupposti per l’applicazione di una sanzione amministrativa pecuniaria ai sensi degli artt. 58, par. 2, lett. i) e 83, par. 5, lett. a) del Regolamento.

3.2. Sulla trasparenza

L’informativa resa agli interessati in occasione delle telefonate promozionali effettuate da Altroconsumo chiarisce l’origine del dato e la possibilità di esercitare i diritti (accesso, rettificazione, cancellazione, opposizione, limitazione, portabilità) nei confronti di Toleadoo ma non fornisce un quadro completo dei trattamenti dei dati personali svolti dalla Società. In particolare, non vengono fornite informazioni sulla tipologia dei dati trattati e sull’effettiva titolarità del trattamento dal momento che Toleadoo viene indicata come soggetto a cui rivolgere le istanze di esercizio dei diritti, lasciando un vulnus nella conoscenza delle operazioni e delle modalità adottate dalla Società, con riferimento anche alla conservazione dei dati e alla registrazione di un eventuale diniego degli interessati. Peraltro, non risultando alcuna informazione in tal senso in atti e nello script di chiamata utilizzato, non è possibile avere certezza che il contatto si concretizzi in un solo tentativo di chiamata, con un effetto di complessiva non adeguata trasparenza.

Pertanto, si ritiene integrata la violazione degli artt. 12, 13 e 14 del Regolamento emergendo, da quanto sopra rilevato, l’inidoneità dell’informativa resa nel corso dei contatti promozionali, non solo in relazione al caso di cui al reclamo ma nel complesso dei trattamenti svolti da Altroconsumo.

Deve altresì osservarsi che il Regolamento, all’art. 14, par. 3, lett. b), ha introdotto una modalità estremamente agevole per il rilascio, da parte del titolare, della necessaria informativa restituendo concretezza a tale adempimento e indicando chiaramente entro quale limite di tempo e di azioni i dati personali acquisiti da terzi possono legittimamente fare ingresso nei database societari. Ne consegue che i dati acquisiti da Altroconsumo e in ordine ai quali non è stata fornita agli interessati un’idonea informativa nei termini previsti dal citato art. 14, par. 3, lett. b), del Regolamento, non possono essere più utilizzati.

Per tali ragioni, si rende necessario ingiungere a Altroconsumo, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, per le future acquisizioni di dati, di fornire un’idonea informativa agli interessati, nel senso sopra richiamato. Con riferimento ai dati già acquisiti e utilizzati per un primo contatto, se ne deve disporre il divieto di ulteriore utilizzo, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento.

3.3. Sulla prova dell’acquisizione del consenso per attività di telemarketing e di comunicazione a terzi per finalità di marketing diretto

Con riguardo alla liceità dei consensi espressi dall’interessata in sede di registrazione al sito www.vincitore-selezionato.it, si rappresenta preliminarmente che è da ritenersi errata la convinzione che l’indirizzo IP abbinato a data e ora di registrazione dell’utente al sito internet provino l’espressione di una volontà da parte degli interessati. La documentazione del consenso tramite l’indicazione del solo indirizzo IP è una modalità che il Garante ha già ritenuto insufficiente a certificare la volontà inequivocabile degli interessati (v. provv. 26 ottobre 2017, doc. web n. 7320903 e provv. 25 novembre 2021, doc. web n. 9737185) esistendo invece alternative più idonee a garantire un maggior grado di certezza circa la genuinità della manifestazione del consenso (come la prassi di inviare un messaggio di conferma al recapito indicato in fase di iscrizione).

Ciò premesso, una documentazione completa, ai fini del riscontro probatorio, è stata prodotta dalla Società solo successivamente, a seguito del procedimento di contestazione avviato ai sensi dell’art. 166 del Codice, a corredo della propria memoria difensiva. In particolare, è stato fornito il record completo riferibile alla reclamante, estratto dal software gestionale di Toleadoo, da cui è emerso che i consensi espressi dall’interessata in sede di registrazione al sito www.vincitore-selezionato.it sono stati acquisiti in un periodo risalente e addirittura antecedente alla piena efficacia del Regolamento (2016) senza che risulti documentata l’effettuazione di verifiche tese a valutarne l’idoneità anche dopo il cambio del quadro normativo. Occorre sottolineare che, in molti casi segnalati al Garante, è stata evidenziata la frequente inconsapevolezza delle asserite iscrizioni, talune disconosciute dagli interessati, come nella fattispecie in esame, soprattutto quando i relativi consensi sono stati forniti in epoca risalente.

Alla luce di ciò, si deve osservare che, sebbene il solo decorso del tempo non sia un parametro sufficiente, di per sé, per valutare l’idoneità della base giuridica, il consenso al trattamento dei dati personali per finalità promozionali, in quanto massima espressione dell’autodeterminazione dell’individuo, deve ritenersi valido, indipendentemente dal tempo trascorso, finché non venga revocato dall’interessato, a condizione che sia stato correttamente acquisito in origine e che sia ancora valido alla luce delle norme applicabili al momento del trattamento nonché dei tempi di conservazione stabiliti dal titolare e indicati nell’informativa, nel rispetto dell’art. 5, par. 1, lett. e) del Regolamento (v. provv. 15 ottobre 2020, doc. web n. 9486485). Ciò posto, i tempi di conservazione indicati nell’informativa di Toleadoo al momento della registrazione al sito internet non risultano definiti, facendo riferimento solo “ai tempi strettamente necessari ad espletare le finalità illustrate”. Ne deriva un trattamento di dati personali potenzialmente idoneo a dispiegare i suoi effetti per un tempo indeterminato, comprimendo notevolmente il controllo dell’interessato sulle informazioni che lo riguardano. Pertanto, il lamentato contatto promozionale deve ritenersi privo di un’idonea base giuridica, non solo in quanto effettuato a distanza di quattro anni, ma piuttosto in quanto mancante delle menzionate condizioni di validità.

Al riguardo deve evidenziarsi che le disposizioni del Regolamento (art. 4, punto 11 e considerando n. 32), in linea con il precedente assetto normativo, configurano il consenso come una fattispecie complessa nella quale l'elemento dell’espressione della volontà dell'interessato deve necessariamente essere correlato alla completezza delle informazioni sul trattamento rese dal titolare. Ne consegue che in carenza di idonee informazioni sul trattamento, come nel caso di specie rilevato al paragrafo 3.2., anche l'espressione di volontà dell'interessato risulta irrimediabilmente viziata e inidonea a costituire condizione di liceità per il trattamento stesso.

Deve pertanto confermarsi la responsabilità di Altroconsumo in ordine alla violazione di cui agli artt. 6 e 7 del Regolamento e, in ragione della sistematicità della condotta, deve altresì disporsi il divieto del trattamento dei dati in argomento, come già indicato al paragrafo 3.2.

4. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

In base a quanto sopra rappresentato, stanti le violazioni richiamate, si rende applicabile la sanzione prevista dall’art. 83, par. 5, del Regolamento.

Ai fini della quantificazione della sanzione amministrativa il citato art. 83, par. 5, nel fissare il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore, specifica le modalità di quantificazione della predetta sanzione, che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1, del Regolamento), individuando, a tal fine, una serie di elementi, elencati al par. 2, da valutare all’atto di quantificarne il relativo importo.

In adempimento di tale previsione, nel caso di specie, devono essere considerate le seguenti circostanze aggravanti:

1. la gravità della violazione, dal momento che il trattamento, pur non essendo assistito dalle necessarie garanzie, ha riguardato numerosissime utenze mobili (2.698.000 contatti telefonici da cui sono derivati 22.317 soci) (lett. a);

2. la natura colposa della violazione considerato che il titolare del trattamento ha posto in essere una limitata attività di controllo sull’attività dei fornitori di liste di numerazioni, pur avendone la possibilità (lett. d).

Quali elementi attenuanti, si ritiene di dover tenere conto:

1. della natura dei dati trattati, di tipo comune (lettere a, g);

2. delle misure comunque adottate da Altroconsumo al fine di contenere il pregiudizio, compreso il fatto che il riscontro da questa reso all’interessata, seppur originariamente insoddisfacente per i motivi anzidetti, è stato comunque tempestivo e la Società ha dimostrato di essersi prontamente attivata per sanare le criticità inerenti ai trattamenti evidenziati dall’Autorità (lett. c);

3. della cooperazione mostrata nelle interlocuzioni con l’Autorità (lett. f);

4. della mancanza di precedenti sanzionatori (lett. e);

5. della complessiva valutazione sulla capacità economica della Società e della necessità, in tal senso, di tenere conto anche della particolare congiuntura che ha interessato il Paese in relazione all’emergenza pandemica (lett. k).

In una complessiva ottica di necessario bilanciamento fra diritti degli interessati e libertà di impresa, e in via di prima applicazione delle sanzioni amministrative pecuniarie previste dal Regolamento, occorre valutare prudentemente i suindicati criteri, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società.

Pertanto si ritiene che, in base al complesso degli elementi sopra indicati, nel raffronto fra il livello di gravità della condotta delle parti e il rispettivo fatturato, debba applicarsi a Altroconsumo la sanzione amministrativa del pagamento di una somma pari a euro 100.000,00 (centomila/00), pari allo 0,5 % del massimo edittale e, considerato che si tratta di violazioni di adempimenti fondamentali e consolidati nella prassi applicativa della normativa, quale l’informativa, la sanzione accessoria della pubblicazione per intero del presente provvedimento nel sito web del Garante come previsto dall’art. 166, comma 7, del Codice e dall’art. 16 del regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecito il trattamento descritto nei termini di cui in motivazione da parte di Altroconsumo Edizioni S.r.l., con sede in Milano, Via Valassina 22, P.IVA n. 12581280158, e conseguentemente:

a) ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiunge alla Società di integrare l’informativa resa nel corso dei contatti promozionali con gli elementi indicati dagli artt. 12, 13 e 14 del citato Regolamento;

b) ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiunge alla Società, qualora intenda in futuro avvalersi di terzi per reperire le anagrafiche di interessati a cui inviare messaggi promozionali, di adottare idonee procedure (quale in particolare verifiche su campioni congrui rispetto alla mole dei dati acquisiti) volte a verificare costantemente che i dati personali siano trattati nel pieno rispetto delle disposizioni in materia;

c) ai sensi dell’art. 58, par. 2, lett. f), del Regolamento, dispone il divieto del trattamento dei dati acquisiti da Toleadoo e da altri fornitori terzi, in ordine ai quali non sia stata rilasciata agli interessati un’idonea informativa da parte del titolare e, per l’effetto, acquisito un consenso esente da vizi;

d) ai sensi dell’art. 157 del Codice, ingiunge alla Società di comunicare all’Autorità, nel termine di trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alle misure imposte; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento.

ORDINA

a Altroconsumo Edizioni S.r.l., con sede in Milano, Via Valassina 22, P.IVA n. 12581280158, di pagare la somma di euro 100.000,00 (centomila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 100.000,00 (centomila/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

a) ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate;

b) ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento nel sito web del Garante.

Il Garante, ai sensi dell’art. 58, par. 1, del Regolamento (UE) 2016/679, invita altresì il titolare del trattamento, a comunicare entro 30 giorni dalla data di ricezione del presente provvedimento, quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel presente provvedimento e di fornire comunque riscontro adeguatamente documentato. Si ricorda che il mancato riscontro alla richiesta ai sensi dell’art. 58 è punito con la sanzione amministrativa di cui all'art. 83, par. 5, lett. e), del Regolamento (UE) 2016/679.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 15 dicembre 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei

Rispondi