>>>Provvedimento n. 285 del 5 agosto 2022<<<
Indice
1. I fatti
Un soggetto aveva presentato un reclamo dinanzi al Garante per la protezione dei dati personali, sostenendo di aver ricevuto delle fatture elettroniche di pagamento da parte di una società senza che avesse mai avuto alcun rapporto contrattuale con la stessa e aggiungendo che detta società non aveva fornito alcun riscontro alla sua richiesta di conoscere in quale modo la società avesse acquisito i suoi dati personali, né gli aveva fornito l’informativa privacy.
Ricevuto il reclamo, il Garante aveva prima invitato la società a fornire osservazioni sui fatti indicati dal reclamante e poi, dopo aver aperto il procedimento nei confronti della società per non aver ritenuto le osservazioni idonee a superare i rilievi contenuti nel reclamo, a depositare memorie difensive.
La società si era difesa sostenendo di aver acquisito i dati del reclamante a seguito dell’acquisto del ramo di azienda di una società terza, in virtù del quale acquisto la stessa era subentrata automaticamente in tutti in contratti in essere. Fra detti contratti, vi era anche il contratto sottoscritto fra la società cedente e il reclamante, nel quale quest’ultimo aveva fornito il proprio consenso al trattamento dei dati personali e alla loro cessione a soggetti terzi. In considerazione del fatto che le due società avevano convenuto nel contratto di cessione d’azienda che il trattamento dei dati personali degli interessati sarebbe proseguito negli stessi termini e per le stesse finalità con cui era stata fatta la raccolta dalla società cedente, il trattamento dei dati personali di dipendenti, clienti e fornitori dei rami d’azienda ceduti non necessitava di alcun nuovo consenso da parte degli interessati.
In secondo luogo, la società sosteneva di aver provveduto a cancellare dai loro archivi qualsiasi dato relativo al reclamante dopo che quest’ultimo aveva loro comunicato la prima lamentela, senza tuttavia aver comunicato al reclamante tale cancellazione.
Infine, la società sosteneva che, nel caso di specie, non era necessario per la cessionaria fornire l’informativa ex art. 14 del GDPR, in quanto l’interessato disponeva già delle informazioni connesse al trattamento o comunque comunicare dette informazioni all’interessato era impossibile o implicava uno sforzo sproporzionato visto il numero di rapporti che erano oggetto della cessione del ramo d’azienda.
In ogni caso, la società faceva presente che aveva recuperato gli indirizzi PEC dei clienti della società cedente l’azienda e li aveva informati dell’intervenuta cessione dell’azienda, ma che – solo dopo aver ricevuto notizia del reclamo presentato dal reclamante – si era resa conto che detta comunicazione informativa non era stata inviata al reclamante.
Potrebbero interessarti anche
- Cookie paywall e intervento del garante: una riflessione sul valore dei dati
- Comunicazione dati dell’assicurazione a terzi: il Garante interviene
- Perdita di cartelle cliniche in struttura sanitaria: il Garante interviene
2. Le valutazioni del Garante
Secondo il Garante, dall’istruttoria è emerso che la società non ha dato alcun riscontro alla richiesta del reclamante di accedere ai propri dati personali, entro il termine di 30 giorni dalla ricezione della richiesta come previsto dal GDPR, né – entro il medesimo termine – ha indicato al reclamante i motivi per cui non ha dato riscontro e non lo ha informato della possibilità di presentare un reclamo alle autorità.
In secondo luogo, è altresì emerso che la società – nonostante abbia raccolto i dati del reclamante in maniera non diretta (cioè a seguito della cessione dell’azienda) – non ha provveduto a fornire a quest’ultimo e a tutti gli altri interessati (i cui dati personali sono stati trasferiti mediante la cessione del ramo d’azienda) l’informativa prevista dall’art. 14 del GDPR.
Per quanto riguarda questo secondo aspetto, per il Garante non è accoglibile la difesa della società secondo cui, in caso di cambiamento del titolare del trattamento, non è necessario comunicare agli interessati la suddetta informativa privacy se le finalità del trattamento rimangono invariate.
D’altra parte, lo stesso Garante nel provvedimento generale relativo alle operazioni di fusione e scissione tra società, aveva già chiarito che la società incorporante deve fornire agli interessati i necessari aggiornamenti dell’informativa che era stata resa dalla società scissa o incorporata e soprattutto deve comunicare agli interessati il nome del nuovo titolare del trattamento e del nuovo responsabile presso cui gli interessati possono esercitare i loro diritti di accesso ai dati.
Con riferimento, invece al primo aspetto, il Garante ha ritenuto che nel caso di specie gli interessati non potevano conoscere le informazioni relative all’identità e ai contatti del nuovo titolare del trattamento, né potevano conoscere che le finalità del trattamento e in generale le sue modalità proseguivano negli stessi termini rispetto al momento in cui erano stati raccolti: ciò in quanto tale disciplina era prevista nel contratto di cessione del damo d’azienda di cui gli interessati non conoscevano il contenuto.
Inoltre, nel caso di specie non risulta neanche che fosse impossibile per la cessionaria comunicare l’informativa ex art. 14 GDPR a tutti gli interessati, come dimostra il fatto che la stessa società ha ammesso di aver effettuato dette comunicazioni mediante PEC.
3. La decisione del Garante
In considerazione di quanto sopra, il Garante ha ritenuto che la società cessionaria dell’azienda ha violato la normativa in materia di trattamento dei dati personali per le due condotte di cui sopra e conseguentemente, da un lato, le ha ingiunto di fornire riscontro alla richiesta del reclamante di esercizio dei propri diritti. Dall’altro lato, il Garante ha ritenuto altresì di applicare alla suddetta società una sanzione amministrativa pecuniaria.
Per quanto concerne la quantificazione dell’importo della sanzione, il Garante, tenuto conto della rilevante violazione compiuta dalla società (che ha riguardato l’esercizio dei diritti dell’interessato e l’obbligo di fornire l’informativa privacy) nonché del fatto che tutti i clienti della società cedente non hanno ricevuto l’informativa ex art. 14 GDPR, ha ritenuto di comminare una sanzione dell’importo di €. 20.000.
Volume consigliato
Compendio breve sulla privacy
L’obiettivo del libro è quello di illustrare la disciplina privacy in maniera informale, ma non per questo meno puntuale. Spesso, il tenore giuridico rende difficilmente comprensibile il senso, ovvero il contenuto e la ratio legis, ai non specialisti. Parafrasarne il testo, con l’ausilio di esempi e casi concreti, invece, consente di entrare immediatamente in argomento senza alcuna anticamera, pur restando imprescindibile la consultazione della disposizione ufficiale. Nello specifico, in questa monografia, la lettura della disciplina sulla protezione dei dati personali è guidata dall’articolazione del GDPR, integrato dai provvedimenti dell’Autorità Garante ed esplicato attraverso le pronunce della giurisprudenza su fattispecie particolari. In tal modo, da un lato viene facilitata la comprensione del dettato normativo, dall’altro il dato normativo assume la propria peculiare sostanza attraverso l’applicazione concreta. Questo manuale, grazie al suo taglio editoriale, intende rivolgersi non soltanto a professionisti e cultori della disciplina, ma anche a coloro che, nelle Pubbliche Amministrazioni e nelle imprese, si trovano a dover affrontare la materia e, altresì, a coloro che devono sostenere prove concorsuali. Jean Louis a Beccara Avvocato, certificato Responsabile della protezione dei dati (DPO) – Cepas Srl (Gruppo Bureau Veritas Italia Spa). Direttore dell’Ufficio Organizzazione e gestione della privacy della Provincia autonoma di Trento. Docente in corsi di formazione, relatore in convegni, nonché autore di numerose monografie e pubblicazioni in materia su riviste scientifiche e specialistiche.
Jean Louis a Beccara | 2021 Maggioli Editore
Scrivi un commento
Accedi per poter inserire un commento