Stangata di 1.000.000,00 Euro a ad ASPI (Autostrade per l'Italia)

Rispondi
Giancarlo Favero
Messaggi: 226
Iscritto il: dom gen 24, 2021 6:45 am

Stangata di 1.000.000,00 Euro a ad ASPI (Autostrade per l'Italia)

Messaggio da Giancarlo Favero »

E' costata cara ad Autostrade per l'Italia non aver invividuato correttamente il titolare del trattamento relativamente al servizio "cashback" erogato mediante l'App Free To X.
Il problema è che nell'informativa agli utenti, come titolare del trattamento veniva dichiarata Free To X, mentre in realtà il titolare del trattamento, cioè il soggetto che ha deciso le finalità e le modalità del trattamento, è ASPI, cioè autorstrade per l'Italia. Detto tra noi, non è che ci volesse molta scuola per capirlo...

Provvedimento molto interessante ed istruttivo, di cui consiglio un'attenta lettura.

Di seguito trovate il testo integrale del provvediemnto, consultabile anche al seguente link:

https://www.garanteprivacy.it/web/guest ... eb/9909702

Grazie e buona lettura,

Giancarlo Favero

Provvedimento del 22 giugno 2023

Registro dei provvedimenti
n. 264 del 22 giugno 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTA la segnalazione dell’8 settembre 2021 presentata dall’Associazione Nazionale Utenti Servizi Pubblici (di seguito “Assoutenti”), con la quale è stata sottoposta all’attenzione del Garante l’iniziativa posta in essere da Autostrade per l’Italia S.p.A. concernente l’utilizzo di un’applicazione volta a consentire il rimborso totale o parziale del costo del biglietto autostradale per ritardi dovuti a cantieri per lavori;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal vice segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. L’attività istruttoria nei confronti della Società.

Con comunicazione presentata in data 8 settembre 2021, Assoutenti ha sollevato alcuni profili di criticità in merito alle attività di trattamento dei dati personali degli utenti poste in essere, da Autostrade per l’Italia S.p.A. (di seguito “ASPI”) e da Free to X S.r.l., per il tramite dell’applicazione denominata “Free To X” (di seguito “App”), volta a consentire il rimborso, totale o parziale, del costo del biglietto autostradale per ritardi dovuti a cantieri per lavori (c.d. servizio Cashback).

In merito, ASPI, nel fornire riscontro alle richieste di informazioni trasmesse dal Garante il 9 novembre 2021, il 10 maggio 2022 e il 18 maggio 2023, con note del 23 novembre 2021, del 24 maggio 2022 e del 29 maggio 2023 ha dichiarato che:

- l’origine del sistema di rimborso all’utenza autostradale denominato Cashback “è da ricondursi all’accordo transattivo conclusosi a definizione del procedimento di presunto grave inadempimento a carico di ASPI da parte di MIMS (già Ministero delle Infrastrutture e dei Trasporti - MIT) (“Accordo”)”. Invero, ASPI ha ideato tale meccanismo di rimborso al fine di dare attuazione alle misure compensative che con tale Accordo la stessa si è impegnata ad implementare, previo nulla osta del Ministero delle infrastrutture e della Mobilità sostenibili (di seguito “MIMS”). Al fine di ottenere il suddetto nulla osta, ASPI ha presentato una formale richiesta di autorizzazione il 15 luglio 2021 ove è stato “compiutamente ed espressamente descritto che il programma di rimborso, previsto dall’Accordo, sarebbe stato offerto per il tramite di Free to X (società costituita in data 20 gennaio 2021 e interamente controllata da ASPI), con un modello di esternalizzazione riconducibile al c.d. ‘appalto chiavi in mano’ a carico della società controllata” (v. nota del 24 maggio 2022, pagg. 1 e 2);

- successivamente all’ottenimento, in data 21 luglio 2021, del nulla osta del MIMS “ASPI ha incaricato Free To X S.r.l. (..) di gestire tramite l’omonima App i[l] servizio denominat[o] ‘Cashback’ (..)

- servizio per la gestione dei rimborsi sui ritardi significativi causati dalla presenza di cantieri sulle tratte autostradali affidate in concessione ad ASPI” (v. nota del 23 novembre 2021, pag. 1);

- in merito al “trattamento dei dati personali posto in essere nell’ambito del servizio di Cashback, ASPI opera in qualità di responsabile del trattamento ex art. 28 GDPR” (v. nota del 23 novembre 2021, pag. 2 e Allegati 1 e 2);

- “l’App è stata resa ufficialmente disponibile (..) in data 14 settembre 2021, in un regime sperimentale (..) iniziato il 15 settembre 2021” (v. nota del 23 novembre 2021, pag. 1);

- il numero complessivo di utenti iscritti all’App “è pari a 308.058 (trecentottomilacinquantotto)- di cui solo circa un terzo è costituito da utenti iscritti al servizio Cashback- a fronte di oltre 800.000.000 (ottocentomilioni) transiti annui lungo la rete autostradale ASPI effettuati da milioni di utenti” (v. nota del 29 maggio 2023, pag. 2).

Nell’ambito dell’attività istruttoria, sono state inoltre acquisite informazioni da Free to X S.r.l. (v. note del Garante del 9 novembre 2021 e del 10 maggio 2022), che, con comunicazioni del 23 novembre 2021, del 19 gennaio 2022 e del 24 maggio 2022, ha rappresentato quanto segue:

- Free to X S.r.l. “è una società interamente posseduta da ASPI che fornisce e gestisce l’omonima App, attraverso la quale gli utenti possono accedere ai servizi di ‘Cashback’ (v. nota del 23 novembre 2021, pag. 2);

- con particolare riguardo “al trattamento dei dati personali posto in essere nell’ambito del servizio di Cashback, [la stessa] opera in qualità di titolare del trattamento dei dati” (v. nota del 23 novembre 2021, pag. 2);

- l’esigenza di implementare il servizio di rimborso Cashback è nata a fronte dell’Accordo per la definizione negoziale del procedimento di presunto grave inadempimento a carico di ASPI da parte del MIMS (di seguito “Accordo”), il quale ha previsto “misure compensative a carico di ASPI sulle tariffe di pedaggio (…) tra cui figurano importi da destinare, nel periodo 2021-2024, a sconti/rimborsi tariffari a beneficio degli utenti autostradali (..). Tra le modalità di adempimento degli impegni contrattuali assunti nei termini sopra descritti, ASPI ha scelto di affidare interamente a Free to X (..) l’ideazione e la successiva gestione di un sistema che riconosca rimborsi all’utente autostradale e ritardi dovuti alla presenza di cantieri per l’esecuzione dei lavori straordinari di manutenzione sulle tratte autostradali di spettanza di ASPI (c.d. servizio di Cashback)” (v. nota del 19 gennaio 2022, pag. 3; cfr. in tal senso anche pag. 4);

- “sebbene ASPI abbia appaltato alla Società la realizzazione del servizio [Cashback] (..), ai fini dell’individuazione del titolare dei dati, Free to X ha considerato prevalente la circostanza che sia l’ideazione che la successiva gestione dell’intero servizio sarebbe stata appannaggio esclusivo della Società con pieni e autonomi poteri decisionali”; ciò in ordine sia alle “finalità (i.e. erogazione dell’App e fruizione del servizio di Cashback con relativo pagamento dei rimborsi su conto corrente dell’utente dell’App, assistenza del customer care di Free to X in fase di registrazione e utilizzo del servizio di Cashback; adempimento degli obblighi di legge o richieste delle autorità competenti, invio di newsletter)” sia ai “mezzi (essenziali e non) di trattamento dei dati degli utenti (i.e. il tipo di dati personali da trattare per il servizio di Cashback, i periodi di conservazione dei predetti dati, i destinatari dei medesimi, le misure di sicurezza da adottare, i soggetti da nominare come responsabili del trattamento)” (v. nota del 19 gennaio 2022, pagg. 4 e 5);

- la fase sperimentale di implementazione dell’App si è formalmente conclusa il 30 dicembre 2021 (v. nota del 19 gennaio 2022, pag. 6).

2. Avvio del procedimento per l’adozione dei provvedimenti correttivi.

Il 19 ottobre 2022 l’Ufficio ha notificato alla Società, ai sensi dell’art. 166, comma 5, del Codice, le presunte violazioni riscontrate, con riferimento agli artt. 5, par. 1, lett. a) e 13 del Regolamento, nonché all’art. 28 del Regolamento, contestando l’inesatta configurazione dell’ambito soggettivo del trattamento e l’inadeguatezza dell’informativa resa agli utenti.

Con la nota del 1° dicembre 2022, la Società, ha inviato i propri scritti difensivi, rappresentando che:

a. nell’ambito del sopra menzionato Accordo, “ASPI si è vincolata esclusivamente al rispetto di macro-parametri, tra cui gli importi da destinare nel periodo 2021-2024 a sconti e/o rimborsi tariffari a beneficio degli utenti autostradali” e “non ha mai prospettato la creazione di un servizio che comportasse necessariamente il trattamento di dati personali. Il servizio di Cashback (..) è stato infatti interamente progettato e realizzato da Free to X tramite la creazione dell’omonima App”; la Società non ha quindi agito in qualità di titolare del trattamento, in quanto si è limitata “alla sola determinazione dello scopo” dello stesso senza intervenire in alcun modo sulle relative finalità e mezzi (v. nota del 1° dicembre 2022, pag. 2);

b. ha ad ogni modo preso atto della posizione dell’Autorità provvedendo “a modificare il proprio ruolo, attribuendo a sè stessa la titolarità del trattamento dei dati inerenti al servizio Cashback”. Pertanto, “oltre ad alcuni (..) accorgimenti tecnico-gestionali volti a garantire l’effettiva titolarità di ASPI”, quest’ultima, a far data dal 15 dicembre 2022, ha modificato i documenti recanti l’“Informativa sulla Privacy dell’App”; i “Termini e Condizioni dell’App”; nonché predisposto i messaggi da inviare “tramite e-mail a tutti gli utenti registrati sull’App per cambio del Titolare” (v. nota del 1° dicembre 2022, pag. 3);

c. in ragione di quanto sopra ha altresì predisposto, il 21 novembre 2022, la “Nomina di responsabile di Free to X S.r.l. per tutti i servizi dell’App”, come indicato nell’allegato n. 1 alla nota del 1° dicembre 2022;

d. ASPI “ha immediatamente implementato ogni accorgimento volto a porre rimedio alla situazione originaria viziata e ad attenuare eventuali pregiudizi per gli interessati” e “non ha conseguito dal trattamento oggetto di prospettata violazione alcun beneficio economico”, considerato che “il servizio Cashback quanto gli ulteriori servizi a esso correlati, sono forniti a titolo gratuito” (v. nota del 1° dicembre 2022, pagg. 5 e 7);

e. da ultimo ha rilevato “che dalla data dell’ultima nota inviata da ASPI il 24.05.2022, l’Autorità abbia avuto a disposizione tutti gli elementi per poter agevolmente accertare la prospettata violazione; ciò nonostante, tale violazione è stata notificata, mediante la comunicazione in oggetto, solamente il 19.10.2022, ben oltre il termine di novanta giorni previsto dalla legge decorrente dalla conclusione dell’attività ispettiva” (v. nota del 1° dicembre 2022, pag. 7).

Successivamente, con nota del 21 dicembre 2022, ASPI ha fatto presente di aver ulteriormente modificato, il 19 dicembre 2022, i documenti recanti l’ “Informativa sulla Privacy dell’App” e i “Termini e Condizioni dell’App” di cui sopra, “in forza degli obblighi assunti con l’Autorità Garante della Concorrenza e del Mercato, ASPI, per il tramite di Free To X S.r.l.”, al fine di procedere alla configurazione “entro il 31 dicembre 2022 [di] una nuova sezione del sito internet www.freeto-x.it volta a permettere agli utenti, in aggiunta/alternativa alle modalità offerte per il tramite dell’App “Free To X”, di registrarsi al servizio Cashback” (v. nota del 21 dicembre 2022, pag. 1 e relativi allegati n. 2a recante l’“Informativa sulla Privacy dell’App e del Sito aggiornata” e n. 3a relativo a i “Termini e Condizioni dell’App e del Sito” ).

3. Osservazioni sulla normativa in materia di protezione dei dati personali rilevante nel caso di specie.

In via preliminare, stante quanto sollevato da ASPI in sede di memorie difensive, merita formulare alcune precisazioni in ordine ai termini procedurali, come previsti dal Regolamento del Garante n. 2/2019, adottato il 4 aprile 2019, concernente l’individuazione dei termini e delle unità organizzative responsabili dei procedimenti amministrativi presso il Garante per la protezione dei dati personali (di seguito “Reg. n. 2/2019”).

Sul punto si evidenzia che, diversamente da quanto sostenuto dalla Società (v. supra par. 2, lett. e), al procedimento in oggetto non si applica il termine di 90 giorni di cui alla l. del 24 novembre 1981, n. 689, ma quello specificatamente individuato dal Garante, ai sensi dell’art. 154, comma 3 e dell’art. 166, comma 9 del Codice, con il predetto Regolamento del Garante n. 2/2019, entrato in vigore a seguito della sua pubblicazione nella Gazzetta Ufficiale n. 107 del 9 maggio 2019.

Quest’ultimo invero stabilisce che la notifica, di cui all’art. 166, comma 5 del Codice, inerente alle presunte violazioni, debba essere effettuata entro il termine di 120 giorni dall’accertamento delle stesse (cfr. Tabella B, parte 2) del Reg. n. 2/2019). Sul punto si fa peraltro presente che, come rilevato dalla giurisprudenza di legittimità, in caso di più violazioni connesse fra di loro “la congruità del tempo complessivamente impiegato” dall’amministrazione procedente ai fini dell’accertamento delle predette violazioni è comunque strettamente connessa “alla complessità dell'attività di indagine” posta in essere dalla medesima (Cass. Sez. I civ. del 4 aprile 2018, n. 8326).

Ad ogni buon conto, occorre considerare che il predetto termine di 120 giorni “è sospeso dal 1° al 31 agosto di ciascun anno e riprende a decorrere dalla fine del periodo di sospensione” (v. art. 6, comma 1 del Reg. n. 2/2019). Inoltre lo stesso decorre da quando l’attività di accertamento si è realizzata, ovvero da quando sono state compiute sia la raccolta degli elementi istruttori, sia la valutazione dei medesimi da parte dell’amministrazione (cfr., in tal senso, Cass. dell’8 agosto 2005, n. 16642; v., anche, Cass. Sez. II civ. del 28 novembre 2012, n. 21114 e Cass. Sez. II civ. del 22 aprile 2016, n. 8204).

Alla luce di quanto sopra chiarito in ordine ai termini procedurali applicabili al caso di specie, come previsti dalla normativa vigente (ivi compresi quelli individuati dall’art. 6, comma 1 del Reg. n. 2/2019), ne consegue, pertanto, con riferimento al procedimento in esame, il rispetto degli stessi da parte dell’Autorità; ciò considerato il lasso di tempo di fatto intercorso tra l’accertamento della violazione e la contestazione della stessa.

Tanto doverosamente premesso, in ordine alle violazioni accertate da codesto Ufficio nel caso di specie, si rappresenta che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

In base agli elementi acquisiti nel corso dell’attività istruttoria nonché delle successive valutazioni dell’Autorità in merito, risulta accertato che il trattamento dei dati personali degli utenti, di cui al servizio Cashback, fornito per il tramite dell’App Free to X, è stato posto in essere da ASPI, in qualità titolare del trattamento, in violazione del Regolamento, nei termini di seguito più diffusamente esplicitati.

In merito, occorre, innanzitutto, evidenziare che i servizi offerti mediante la predetta App comportano distinte operazioni di trattamento degli utenti, effettuate, a diverso titolo, da ASPI e da Free to X S.r.l.
Si tratta nello specifico di quelle connesse all’erogazione del servizio Cashback -oggetto di contestazione nella fattispecie in esame-, di altri servizi correlati, nonché di quelli volti alla registrazione e alla gestione dell’account utente (cfr. in merito, nota di Free to X S.r.l. del 23 novembre 2021, All. n. 2 – “App Free To X: Overview delle principali funzionalità dell’app presente in data corrente negli store Apple e Google (versione 2.21.4)”, pagg. 2, 18, 21 e 23).

Tenuto conto di quanto precisato, ai fini della corretta applicazione della normativa in materia di protezione dei dati personali rispetto ai menzionati trattamenti, è necessario quindi identificare con precisione i soggetti che trattano i dati personali di cui sopra e definirne chiaramente, con riferimento al caso di specie, le rispettive attribuzioni, in particolare quella di titolare e di responsabile (art. 4, par. 1, punti 7 e 8 e art. 28 del Regolamento).

Al riguardo, si rammenta che il titolare del trattamento è il soggetto che stabilisce le finalità e i mezzi dello stesso. Sono pertanto rimesse alla piena ed esclusiva autonomia del titolare le decisioni in ordine al “«perché» [ovverosia «a quale fine» o «per che cosa» viene svolto il trattamento] e [a]l «come» dello stesso [ovverosia quali mezzi sono impiegati per conseguire tale obiettivo]” (v. Comitato europeo per la protezione dei dati -di seguito “EDPB”, Linee guida n. 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR, del 7 luglio 2021, pag. 16).

Di riflesso, il responsabile −quale soggetto che agisce per conto del titolare (art. 4, n. 8 del Regolamento) − “è chiamato a seguire le istruzioni impartite [da quest’ultimo] (..) per quanto concerne la finalità del trattamento e gli elementi essenziali che ne costituiscono i mezzi” (v. EDPB, Linee guida n. 07/2020, cit., pag. 28).

Ciò rappresentato, resta altresì inteso che, ai fini della corretta individuazione dell’ambito soggettivo del trattamento, i ruoli di titolare e di responsabile devono essere stabiliti sulla base di una valutazione delle circostanze concrete relative allo stesso.

Si tratta, invero, di una valutazione che deve tener conto degli elementi di fatto pertinenti al caso di specie, in quanto volta ad individuare il soggetto che esercita un’influenza determinante sul trattamento dei dati personali in questione (v. EDPB, Linee guida n. 07/2020, cit., pag. 13).

4. Le violazioni accertate in relazione al trattamento afferente al servizio Cashback.

Tanto doverosamente chiarito, in relazione al trattamento afferente al servizio Cashback oggetto del presente procedimento, non può essere accolto quanto sostenuto dalla Società nelle memorie difensive del 1° dicembre 2022 (cfr. supra par. 2, lett. a); ciò a fronte degli elementi di seguito esplicitati:

- il meccanismo di rimborso denominato Cashback è stato individuato da ASPI in qualità di concessionario della costruzione e dell’esercizio della rete autostradale (v. Convenzione del 18 settembre 1968, n. 9297, approvata con decreto interministeriale 12 ottobre 1968, n. 2890), quale forma di implementazione delle misure compensative contenute nell’Accordo sottoscritto il 14 ottobre 2021 con il MIMS a definizione del procedimento di presunto grave inadempimento a carico della stessa (v. nota di ASPI del 24 maggio 2022, pagg. 1-3);

- dalla documentazione acquisita nel corso dell’istruttoria, è emerso che la natura delle misure compensative, così come le modalità di adempimento delle stesse, sono state definite autonomamente da ASPI, previo ottenimento del nulla osta ministeriale e nel rispetto dei vincoli regolamentari e dei parametri definiti dall’Accordo. E’, in particolare, ASPI ad aver specificamente “idea[to] il meccanismo di rimborso denominato Cashback”, dando incarico a Free to X S.r.l. di sviluppare “uno strumento informatico” volto ad offrire “una soluzione gratuita, smart e user friendly per la gestione dei rimborsi sui ritardi significativi causati dalla presenza di cantieri di lavoro sulle tratte autostradali affidate in concessione ad ASPI” (v. nota di ASPI del 24 maggio 2022, All. 11A

- “Richiesta di nulla osta presentata al MIMS” il 15 luglio 2021 e Allegati nn. 11Bd e 11Ba);

- parimenti è la stessa Società ad aver individuato le condizioni e i requisiti della richiesta di rimborso da parte dell’utente (es. la tipologia di ritardo e la correlazione dello stesso con la presenza di cantieri in corso; v. nota di ASPI del 24 maggio 2022, Allegati nn. 11A e 11Bd); ciò affidando a Free to X S.r.l., sulla base di criteri già puntualmente stabiliti da ASPI, compiti inerenti esclusivamente alla fase di attuazione del predetto servizio;

- quest’ultima è il soggetto tenuto a fornire periodicamente aggiornamenti al “MIMS sull’andamento del sistema Cashback”, a rendere “chiarimenti e/o informazioni” su richiesta dello stesso, nonché a “rendicontare su base trimestrale l’ammontare progressivo dell’onere sostenuto” per adempiere alle misure compensative oggetto dell’Accordo (cfr. nota di ASPI del 24 maggio 2022, All. n. 11Bd, pag. 2).

Dal quadro complessivamente descritto, emerge che, con riferimento al trattamento inerente al servizio Cashback, le finalità e i relativi mezzi sono stati determinati da ASPI nei termini sopra esplicitati e, pertanto, la stessa riveste il ruolo di titolare.

Di contro, Free to X S.r.l., diversamente da quanto rappresentato dalla Società nel corso dell’istruttoria (cfr. supra par. 1), agisce, a fronte dell’incarico espressamente conferitole da ASPI rispetto al servizio Cashback, in qualità di responsabile del relativo trattamento.

Sul punto, a nulla rileva quanto indicato da ASPI e da Free to X S.r.l. nell’atto di designazione del responsabile sottoscritto in data 20 luglio 2021 (v. nota di ASPI del 23 novembre 2021, All. n. 2 e nota di Free to X S.r.l. del 23 novembre 2021, All. n. 4); ciò considerato anche quanto precisato dal Comitato europeo per la protezione dei dati in ordine alla circostanza che “se una parte (..) decide di fatto le finalità e le modalità del trattamento di dati personali, essa sarà il titolare [dello stesso] (..) anche laddove un contratto la indichi come responsabile” (v. EDPB, Linee guida n. 07/2020, cit., pag. 14). Free to X S.r.l., infatti, pone in essere una serie di attività che sottendono un trattamento di dati personali degli utenti, ma tali attività sono effettuate per conto di ASPI e sulla base della procedura e dei criteri dalla medesima individuati.

Inoltre, ai fini del corretto inquadramento dei ruoli di titolare e di responsabile del trattamento, non assume rilevanza neanche l’avvenuto riconoscimento, da parte di ASPI, di alcuni margini di autonomia decisionale in capo a Free to X S.r.l. relativi, nello specifico, alla ideazione e gestione dell’App (v. nota di Free to X del 19 gennaio 2022, pagg. 4-5).

La designazione quale responsabile del trattamento non esclude, infatti, la possibilità per quest’ultimo di adottare autonomamente determinate decisioni in odine al trattamento a condizione però che le stesse attengano alle modalità di esecuzione di quest’ultimo (c.d. detti “mezzi non essenziali”; cfr. EDPB, Linee guida n. 07/2020, cit., pag. 16).

I poteri decisionali in capo a Free to X S.r.l., infatti, non afferiscono alle finalità e ai mezzi essenziali dei trattamenti relativi al servizio Cashback, quanto piuttosto allo sviluppo e alla gestione dell’App quale strumento di realizzazione concreta dello stesso.

Tutto ciò considerato che:

- è stata ASPI ad aver individuato quale modalità di implementazione delle misure compensative a proprio carico, “il sistema automatico evolutivo di sconti tariffari agli utenti in caso di ritardi generati dai cantieri” denominato Cashback e a stabilire che lo stesso sarebbe stato “attivato mediante strumenti informatici ricompresi sotto la denominazione Free to X – Cashback, cui l’utente avrebbe potuto accedere registrandosi e fornendo i dati necessari all’effettuazione materiale del rimborso” (v. nota di ASPI del 24 maggio 2022, All. n. 11Bd, pagg. 1-2);

- le scelte poste in essere da Free to X S.r.l. in ordine allo sviluppo dell’App e alla gestione del servizio Cashback per il tramite della stessa, riguardano pertanto i “mezzi non essenziali” del trattamento, in quanto afferenti ad “aspetti (..) pratici legati all’esecuzione del[lo stesso]” la cui portata e relative finalità sono state oggetto, a monte, di esclusiva determinazione da parte di ASPI (cfr. EDPB, Linee guida n. 07/2020, cit., pag. 16).

Da ultimo, resta fermo che, in particolari contesti, quali ad esempio quelli inerenti ai trattamenti posti in essere tramite applicazioni mobili, uno stesso soggetto può agire comunque contemporaneamente in qualità di titolare rispetto a determinati trattamenti, e in qualità di responsabile in ordine ad altri trattamenti (v. EDPB, Linee guida n. 07/2020, cit., pag. 13; cfr. anche parere del Garante, adottato il 28 luglio 2022, sullo schema di decreto relativo alla piattaforma digitale per l’erogazione di benefici economici concessi dalle amministrazioni pubbliche, da adottarsi, di concerto con il Ministro dell’economia e delle finanze, ai sensi dell’art. 28bis, comma 3, del d.l. 6 novembre 2021, n. 152, convertito, con modificazioni, dalla l. 29 dicembre 2021, n. 233).

Tale circostanza appare configurarsi verosimilmente anche nel caso di specie, ove Free to X S.r.l., con riferimento ai trattamenti rispetto ai quali determina autonomamente le rispettive finalità e i relativi mezzi -quali quelli strettamente connessi alla registrazione e gestione dell’account utente (cfr. nota di Free to X S.r.l. del 23 novembre 2021, All. n. 2 e da ultimo nota del 21 dicembre 2022, All. n. 2a, punto A “Trattamenti di cui Free To X S.r.l. è titolare”)- agisce in qualità di titolare, rivestendo al contempo il ruolo di responsabile del trattamento inerente al servizio Cashback.

La predetta riqualificazione dei rapporti tra ASPI e Free to X S.r.l. nei termini sopra esplicitati ha immediate ripercussioni anche sulla conformità alla normativa in materia di protezione dei dati personali dell’informativa rilasciata, ai sensi dell’art. 13 del Regolamento, agli utenti.

Quest’ultima, infatti, individua Free to X S.r.l. quale titolare di tutti i trattamenti ivi indicati, ove risulta ricompreso anche quello avente come precipua finalità l’erogazione del servizio Cashback.

L’informativa, pertanto, nel caso di specie, non è stata adeguatamente formulata, considerato che, con riferimento al servizio Cashback, avrebbe dovuto riportare l’indicazione corretta in ordine all’effettiva identità del titolare (ossia ASPI) e alle finalità del relativo trattamento, nonché le ulteriori informazioni per assicurare, nel rispetto dei principi generali di cui all’art. 5 del Regolamento, un trattamento corretto e trasparente nei confronti degli utenti.

Ne consegue pertanto la violazione in capo ad ASPI dell’art. 5, par. 1, lett. a) del Regolamento per quanto concerne i principi di correttezza e di trasparenza, nonché dell’art. 13 del Regolamento con riferimento alle informazioni da fornire agli interessati.

Da ultimo, nel rappresentare che i rapporti tra le due Società devono essere regolati, ai sensi dell’art. 28 del Regolamento, sulla base di un contratto o altro atto giuridico, si rileva altresì, che lo stesso, con riferimento al servizio Cashback, contrariamente a quanto emerso dalla documentazione in atti, avrebbe dovuto vincolare Free to X S.r.l., in qualità di responsabile del trattamento, ad ASPI in quanto titolare del medesimo e non viceversa (v. nota di ASPI del 23 novembre 2021, All. n. 2 - Nomina a responsabile di ASPI per il servizio denominato “Cashback”).

La mancata designazione di Free to X S.r.l. quale responsabile del trattamento inerente al servizio Cashback determina, pertanto, la violazione, da parte di ASPI, dell’art. 28 del Regolamento.

L’evidenza delle richiamate violazioni emerge anche con riferimento a quanto rilevato nel corso del procedimento in merito all’iniziativa, recentemente assunta dalla Società, volta ad adeguare il modello di informativa da rendere agli utenti alla diversa configurazione dei ruoli privacy sopra prospettata, nonché a designare, ai sensi dell’art. 28 del Regolamento, Free to X S.r.l. quale responsabile del trattamento in ordine al servizio Cashback e per quelli ad esso correlati (v. nota del 1° dicembre 2022, pag. 3).

Tanto doverosamente considerato, per tutte le ragioni complessivamente evidenziate, risulta che il titolare abbia posto in essere una condotta in contrasto con l’art. 5, par. 1, lett. a), l’art. 13 e l’art. 28 del Regolamento per la durata di circa un anno (nello specifico, con riferimento ai profili inerenti all’informativa a far data dal 15 settembre 2021 sino al 15 dicembre 2022, mentre per quanto concerne l’adempimento di cui all’art. 28 del Regolamento dal 15 settembre 2021 al 21 novembre 2022). Le predette violazioni, a fronte di quanto dichiarato da ASPI (v. nota del 29 maggio 2023, pag. 2), hanno riguardato circa 100.000 (centomila) soggetti interessati in qualità di utenti del servizio Cashback.

5. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Alla luce di quanto complessivamente rilevato, l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria, non consentano di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultino pertanto inidonee a disporre l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati personali effettuato dalla Società risulta infatti illecito, nei termini su esposti, con riferimento alla violazione dei principi di correttezza e di trasparenza (artt. 5, par. 1, lett. a), dell’art. 13 del Regolamento, stante la mancata comunicazione di informazioni adeguate in relazione al trattamento, nonché dell’obbligo del titolare in ordine alla designazione dei responsabili del trattamento (art. 28 del Regolamento).

La violazione delle disposizioni sopra richiamate comporta l’applicazione delle sanzioni amministrative previste dall’art. 83, par. 4, lett. a) e dall’art. 83, par. 5, lettere a) e b) del Regolamento.

Da ultimo, per quanto concerne l’esercizio dei poteri correttivi di cui all’art. 58, par. 2, del Regolamento, si prende atto della circostanza che ASPI nel corso del procedimento ha provveduto ad allineare, in conformità al quadro normativo sopra descritto, l’ambito soggettivo del trattamento, adottando le seguenti misure consistenti in:

- la modifica del modello di informativa da rendere agli utenti che usufruiscono del servizio Cashback previa registrazione tramite App e/o il sito web www.freeto-x.it (cfr. “Informativa sulla Protezione dei Dati Personali ai sensi del Regolamento Europeo n. 679/2016” aggiornata al 19 dicembre 2022, All. n. 2a della nota del 21 dicembre 2022);

- la trasmissione agli utenti dell’App, a far data dal 15 dicembre 2022, della comunicazione recante le indicazioni in ordine alle modifiche apportate al modello di informativa di cui sopra (cfr. All. 4 della nota del 1° dicembre 2022);

- la designazione ai sensi dell’art. 28 del Regolamento di Free to X S.r.l. quale responsabile del trattamento in ordine al servizio Cashback (All. 1 della nota del 1° dicembre 2022).

In tale quadro, pertanto, considerato che sono state adottate specifiche misure per conformare il trattamento in esame alla disciplina vigente in materia di protezione dei dati personali, non ricorrono allo stato i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83 del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. L. 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali posto in essere da ASPI, di cui è stata accertata l’illiceità, nei termini sopra esposti.

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nell’ipotesi in esame, sono state tenute in considerazione le circostanze sotto riportate:

- in relazione alla gravità delle violazioni, è stata considerata rilevante la natura delle stesse −in quanto concernenti l’inosservanza dei principi generali del trattamento, e in particolare il principio di correttezza e quello di trasparenza−, la relativa durata −quantificabile in circa un anno− nonché l’elevato numero di interessati coinvolti in quanto corrispondente ad un terzo del numero complessivo dei soggetti registrati all’App. Tutto ciò rilevato, inoltre, che le predette violazioni hanno riguardato l’errata configurazione dell’ambito soggettivo del trattamento posto in essere dalla Società impedendo così agli utenti di disporre di informazioni esatte in merito alla titolarità di quest’ultimo (art. 83, par. 2, lett. a) del Regolamento);

- con riferimento al carattere doloso o colposo delle violazioni di cui all’art. 83, par. 2, lett. b) del Regolamento, è stata presa in considerazione la condotta colposa della Società che ha dichiarato di aver attribuito la titolarità dei trattamenti afferenti al servizio Cashback a Free to X S.r.l. avendo tenuto, erroneamente, in esclusiva considerazione la circostanza che “lo stesso è stato interamente progettato e realizzato da Free to X tramite la creazione dell’omonima App il cui funzionamento è interamente gestito e amministrato da quest’ultima” (v. nota del 1° dicembre 2022, pag. 2);

- l’adozione, da parte del titolare, di misure atte a mitigare o ad eliminare le conseguenze della violazione (art. 83, par. 2, lett. c) del Regolamento). Al riguardo va positivamente considerata la circostanza che ASPI abbia tempestivamente adottato le misure descritte al par. 5 del presente provvedimento;

- la circostanza che la Società abbia attivamente cooperato con l’Autorità nel corso del procedimento (art. 83, par. 2, lett. f) del Regolamento);

- il fatto che non risultino precedenti violazioni commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento (art. 83, par. 2, lett. e) del Regolamento).

A favore del titolare, si è inoltre tenuto conto della circostanza che il servizio Cashback è fornito dalla Società a titolo gratuito e pertanto quest’ultima non ha conseguito dal trattamento oggetto di contestazione alcun beneficio economico diretto (art. 83, par. 2, lett. k) del Regolamento).

Si ritiene inoltre che assumano rilevanza nel caso di specie, in ragione dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), le condizioni economiche del contravventore, determinate in base al volume d’affari della Società, di cui al bilancio d’esercizio per l’anno 2021 (ultimo disponibile), riferito esclusivamente alla voce di conto economico individuata nei c.d. “Ricavi da pedaggio”.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti ASPI la sanzione amministrativa del pagamento di una somma pari ad euro 1.000.000 (unmilione).

In tale quadro si ritiene, altresì, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante. Ciò in considerazione della tipologia delle violazioni accertate che hanno interessato i principi generali del trattamento, in particolare i principi di correttezza e di trasparenza, nonché della circostanza che le stesse hanno riguardato l’errata configurazione dell’ambito soggettivo del trattamento posto in essere dalla Società impedendo così agli utenti, per un considerevole lasso di tempo, di disporre di informazioni esatte in merito alla titolarità di quest’ultimo.

Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi degli artt. 57, par. 1, lett. a) e 83, del Regolamento e dell’art. 144, comma 1 del Codice, rileva l’illiceità del trattamento effettuato da Autostrade per l’Italia S.p.A., con sede in Roma, Partita IVA 07516911000, nei termini di cui in motivazione, per la violazione degli artt. 5, par. 1, lett. a) e 13 del Regolamento, nonché dell’art. 28 del Regolamento;

ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento ad Autostrade per l’Italia S.p.A., di pagare la somma di euro 1.000.000 (unmilione) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento.

INGIUNGE

quindi ad Autostrade per l’Italia S.p.A. di pagare la predetta somma di euro 1.000.000 (unmilione), secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981. Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 22 giugno 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL VICE SEGRETARIO GENERALE
Filippi
Top
Rispondi

Torna a “Forum su Privacy e Sicurezza”