Il titolare del trattamento dati ha l’obbligo di vigilare costantemente l’operato del Responsabile

di Muia' Pier Paolo, Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio
PDF

Il Garante per la protezione dei dati personali, con ordinanza di ingiunzione del 25.11.2021, dichiarava responsabile la società B&T per aver contribuito al trattamento illecito di dati personali denunciato dal ricorrente. Dunque, il Garante irrogava nei confronti della società una sanzione amministrativa, sotto forma di ordinanza ingiunzione, di €.400.000,00 (quattrocentomila//00).

Indice:

  1. I fatti
  2. Le violazioni contestate dall’Autorità
  3. Le valutazioni del Garante
  4. La decisione del Garante

1. I fatti

Il Garante per la protezione dei dati personali riceveva una nota di reclamo nella quale veniva denunciato il ricevimento di numerosi SMS indesiderati da parte di “Dorelan” e che il ricorrente era stato altresì impossibilitato ad esercitare a pieno i propri diritti di accesso ai dati e di opposizione all’invio.

In particolare, il reclamante sosteneva di essersi rivolto alla B&T S.p.a., titolare del marchio “Dorelan”, la quale però si dichiarava estranea all’invio di quegli SMS, in quanto vi provvedeva una società terza, ossia la Aimon s.r.l.

Il ricorrente, allora, su indicazione di B&T, contattava la società Aimon al fine di esporre i fatti ed esercitare i propri diritti di accesso e opposizione. Quest’ultima società, tuttavia, si qualificava come “responsabile esterno”, poiché sosteneva che, per la raccolta di contatti, la stessa si rivolgeva a società terze fornitrici di Database.

L’autorità Garante, dunque, inviava alle due società menzionate una nota al fine di ottenere informazioni utili in merito al caso in questione.

Anche in sede di chiarimenti forniti al Garante, la B&T dichiarava di non essere nella disponibilità materiale dei dati, in quanto si era rivolta alla società Aimon, la quale avrebbe provveduto all’invio dei messaggi promozionali. Aimon, poi, nell’espletamento della sua funzione, utilizzava banche dati acquisite nel mercato. In particolare, la Aimon sosteneva di aveva acquisito i dati dalla società Runwhip s.r.l.

Aimon e B&T assicuravano, inoltre, di aver preso atto dell’opposizione loro presentata dal reclamante. Tuttavia, il reclamante sosteneva di aver ricevuto successivamente ulteriori sms e aveva proceduto ad informare di tali episodi tutte e tre e le società nonché il Garante stesso.

A seguito delle successive note inviate alle società dall’Ufficio del Garante, B&T affermava di non aver agito in qualità di titolare del trattamento, in quanto il servizio promozionale tramite invio di SMS era stato affidato a Aimon. Aggiungeva, inoltre, di aver proceduto alla risoluzione del contratto in corso con la Aimon a causa dei fatti che ne erano emersi.

Consigliamo l’Ebook:

I rischi nel trattamento dei dati - e-Book in pdf

I rischi nel trattamento dei dati - e-Book in pdf

Michele Iaselli, 2021, Maggioli Editore

L’ebook analizza gli aspetti pratici dell’attività di analisi dei rischi connessi al trattamento dei dati, partendo dal quadro normativo e fornendo risposte alle principali FAQ in materia di DPIA. Michele IaselliAvvocato, Funzionario del Ministero della Difesa, Docente a...



2. Le violazioni contestate dall’Autorità

A seguito del procedimento avviato ai sensi dell’art.166, comma 5 del Codice Privacy, il Garante ha contestato sia a B&T sia ad Aimon le violazioni dei seguenti articoli:

  • 5, par. 1, lett.a) del GDPR: in quanto l’Autorità ritiene violato il principio di liceità, trasparenza e correttezza nel trattamento dei dati personali;
  • 12 GDPR, in virtù del quale il titolare è tenuto ad adottare misure appropriate per fornire all’interessato tutte le informazioni relative ai trattamenti gestiti dalla propria organizzazione in forma concisa, trasparente e facilmente accessibile. Inoltre, tale disposizione prevede che il titolare deve fornire un riscontro alla richiesta dell’interessato senza ingiustificato ritardo;
  • 13 del GDPR, in base al quale il titolare del trattamento deve fornire al titolare una serie di informazioni per ottemperare al principio per cui il trattamento deve essere corretto e trasparente e allo scopo di informare l’interessato dell’esistenza del trattamento e delle sue finalità;
  • 14 del GDPR, il quale prevede gli adempimenti dell’art. 13 con la differenza che in questo caso si tratta di informazioni che non sono state raccolte presso l’interessato;
  • 21 del GDPR, in quanto il Garante ha ritenuto violato il diritto di opposizione dell’interessato; in particolare l’art. 21 prevede che se i dati personali sono trattati per finalità di marketing diretto, l’interessato deve avere il diritto, in qualsiasi momento e gratuitamente, di opporsi a tale trattamento;
  • 6, par. 1, lett. a) del GDPR, in quanto il Garante ritiene che tale trattamento è stato compiuto illecitamente, in particolare senza il consenso dell’interessato;
  • 130 del Codice Privacy, il quale, disponendo sulle comunicazioni indesiderate, precisa che le comunicazioni per “l’invio di materiale pubblicitario o vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale” sono consentite previo consenso dell’interessato. In particolare, il sesto comma dispone che, in caso di reiterate violazioni, il Garante può intervenire e prescrivere alla società erogatrice il servizio pubblicitario “di adottare procedure di filtraggio o altre misure praticabili relativamente alle coordinate di posta elettronica da cui sono state inviate le comunicazioni”.

A seguito della contestazione di tali violazioni, le società hanno quindi presentato le proprie memorie difensive.

La B&T ha affermato di aver dato incarico, attraverso un apposito contratto, alla società Aimon il compito di reperire le liste di contatto.

La Aimon, invece, si è qualificata come mera responsabile del trattamento (ossia colui che tratta i dati per conto del titolare del trattamento), affermando che le società fornitrici di dati avevano agito in qualità di titolari del trattamento (ossia colui che stabilisce le finalità e le modalità del trattamento dei dati personali).

Consigliamo il volume:

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Monica Mandico, 2019, Maggioli Editore

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad...



3. Le valutazioni del Garante

Innanzitutto il Garante ha osservato, che nel caso oggetto di questo provvedimento, i due soggetti coinvolti non hanno mai provveduto ad una definizione precisa dei ruoli da loro assunti all’interno del procedimento relativo al trattamento dei dati personali.

Nonostante nel contratto intercorso tra le due società le stesse non abbiano proceduto ad una precisa qualificazione, il Garante ha ritenuto, sulla base della ricostruzione fattuale, che B&T deve considerarsi come titolare del trattamento, poiché ha determinato il motivo per cui il trattamento stesso è stato posto in essere (ossia: veicolazione di messaggi promozionali); mentre, Aimon deve essere considerata come responsabile del trattamento poiché ha agito sulla base di disposizioni impartite da B&T.

Secondo il Garante, quindi, la mancanza della specificazione dei ruoli delle due società nel contratto da loro sottoscritto, ha comportato la violazione dei principi di cui all’art. 5 del GDPR.

Inoltre, ciò ha comportato, altresì, la violazione degli artt. 12, 13 e 14 del GDPR, poiché il soggetto interessato non ha ricevuto un’adeguata chiara e coincisa informativa sulle finalità e la tipologia di trattamento che sarebbe stato posto in essere.


Potrebbero interessarti i seguenti articoli:


Il Garante, dunque, ha accertato che B&T, pur non essendosi riconosciuto alcun ruolo in tal senso, aveva agito in qualità di titolare, avendo anche dimostrato di aver avuto ruolo primario nella fase di selezione e istruzione del responsabile, ed inoltre non aveva proceduto a richiedere alla società incaricata la documentazione comprovante la sussistenza dei requisiti di liceità del trattamento posto in essere.

Ciò detto il Garante ha ritenuto ancora che la stessa B&T, pur avendo incaricato la società Aimon di procedere alla raccolta di dati, non può considerarsi esonerata da responsabilità rispetto agli effetti prodotti sui soggetti interessati. Secondo il Garante, infatti, È onere del titolare del trattamento avvalersi di responsabili che offrano sufficienti garanzie, ma questo non basta a ridurre il grado di responsabilità in vigilando che il titolare deve costantemente esercitare nel corso delle attività di trattamento

Altra conseguenza illecita derivante dalla mancata specificazione dei ruoli e dalla pluralità di soggetti (società) coinvolti nel trattamento, ha riguardato, ad opinione del Garante, la difficoltà in merito all’esercizio del diritto di opposizione degli interessati.

Nel caso in esame, infatti, il soggetto interessato non ha visto soddisfatto il suo diritto di opposizione, in quanto si è trovato di fronte ad una procedura farraginosa e poco chiara. Oltretutto, il soggetto ricorrente ha continuato a riceve sms promozionali anche dopo aver esercitato il suo diritto di opposizione.

In conseguenza di ciò, secondo il Garante, le società non hanno predisposto idonee procedure di reclamo, violando quanto disposto negli artt. 15-22 del GDPR. Il Regolamento, infatti, prevede che tali procedure devono essere predisposte direttamente dal titolare, oppure questo deve incaricare il responsabile.

4. La decisione del Garante

Alla luce di tutto quanto esposto, il Garante ha ritenuto sussistente una responsabilità in capo a B&T, che ha contribuito al trattamento illecito di dati personali denunciato dal ricorrente.

Dunque, il Garante ha irrogato nei confronti della società una sanzione amministrativa, sotto forma di ordinanza ingiunzione, di €.400.000,00 (quattrocentomila//00).

Infine, ha inviato un monito alla stessa esortandola ad adottare, per i futuri procedimenti di comunicazione pubblicitaria, procedure idonee per regolare correttamente i rapporti contrattuali con il responsabile del trattamento, effettuando i dovuti controlli e predisponendo un’adeguata informativa per gli interessati nonché predisponendo adeguate procedure per l’opposizione degli interessati.

Consigliamo il volume:

Il Responsabile della Protezione dei Dati (Data Protection Officer-DPO)

Il Responsabile della Protezione dei Dati (Data Protection Officer-DPO)

Stefano Comellini, 2018, Maggioli Editore

Quando deve essere designato un DPO? Chi deve nominarlo? Chi può essere nominato DPO e quali requisiti sono richiesti? DPO dipendente oppure soggetto esterno? Quale atto formale di nomina occorre in ambito pubblico? Se il DPO è un dipendente pubblico quale qualifica deve avere? Qual è la...



Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

pier-paolo-muia

Muia' Pier Paolo

Co-founder dello Studio Legale "MMP Legal", svolge la professione di avvocato in Firenze, Prato e Pistoia, occupandosi in via principale con il suo staff di responsabilità professionale e civile; internet law, privacy e proprietà intellettuale nonchè diritto tributario. In particolare, svolge attività di assistenza e difesa sia di professionisti destinatari di richieste di risarcimento  danni per inadempimento professionale sia di soggetti danneggiati da sinsitri, soprattutto per malpractice medica; consulenza relativamente alla gestione e alla tutela dei dati personali in ogni area e settore di attività nonché assistenza e difesa, stragiudiziale e giudiziale, per quanto riguarda i contratti e i rapporti tramite internet ed in generale tutte le problematiche relative ai servizi on line ed ai correlati diritti; redazione di accordi di licenza e cessione di marchi, dei diritti di sfruttamento economico delle opere dell'ingegno, di know-how e di brevetti; difesa giudiziale per la tutela dei diritti d'autore e di brevetti, marchi e disegni, nonché avverso attività di concorrenza sleale; difesa e rappresentanza nei giudizi dinanzi alle commissioni tributarie. Per Diritto.it è Referente delle sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio. Pagina Facebook: https://www.facebook.com/studiolegalemasimuia/?ref=br_rs Pagina Instagram: https://www.instagram.com/mmp_studiolegale/


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

  • Rimani aggiornato sulle novità del mondo del diritto
  • Leggi i commenti alle ultime sentenze in materia civile, penale, amministrativo
  • Acquista con lo sconto le novità editoriali – ebook, libri e corsi di formazione

Rimani sempre aggiornato iscrivendoti alle nostre newsletter!

Iscriviti alla newsletter di Diritto.it e