EntiOnLine
Categorie
indietro
15/03/2018 Ordinanza ingiunzione nei confronti di Directafin s.p.a. - 15 marzo 2018 > Raccoglimento dati personali dei clienti per la rilevazione del grado di soddisfazione sulla qualita' dei servizi , in assenza di consenso

Con provvedimento in data 15 marzo 2018 (Registro dei provvedimenti n. 159 del 15 marzo 2018) il Garante ha adottato una Ordinanza ingiunzione nei confronti di Directafin s.p.a. P.Iva: 09120751004, con sede in Roma, piazza Enrico Fermi n. 43, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 20.000,00 (ventimila) a titolo di sanzione amministrativa pecuniaria per le due violazioni entrambe previste dall’art. 162, comma 2-bis del Codice;

Continua a leggere

Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

RILEVATO che il Nucleo speciale privacy della Guardia di finanza, in esecuzione della richiesta di informazioni ex art. 157 del Codice in materia di protezione dei dati personali – d.lg. 30 giugno 2003, n. 196 (di seguito denominato Codice) (n. 29887/102969 del 7 ottobre 2016), ha svolto gli accertamenti di cui ai verbali di operazioni compiute del 18 e 19 ottobre 2016 nei confronti di Directafin s.p.a. P.Iva: 09120751004, con sede in Roma, piazza Enrico Fermi n. 43, in persona del legale rappresentante pro-tempore, dai quali è risultato che la società, acquisendo un unico consenso mediante specifico “flag” ai sensi dell’art. 23 del Codice, ha effettuato trattamenti di dati personali, raccolti tramite appositi form presenti sui siti web www.directafin.it, www.cessionequintopensione.it e www.cessione-delquinto.it, finalizzati a “(…) rilevazione del grado di soddisfazione della clientela sulla qualità dei servizi resi svolta da directafin (…); promozione e vendita di prodotti e servizi di directafin o di altre società del gruppo o di società terze effettuate attraverso servizi postali, telefono (fisso e mobile), sms, mms, posta elettronica, materiale pubblicitario, sistemi automatizzati/elettronici/digitali di comunicazione, etc; comunicazione di dati a società terze convenzionate con la directafin o con altre società del gruppo (…); indagini di mercato” così come indicato al punto 3 par. 3 dell’informativa ai sensi dell’art. 13 del Codice presente nei citati siti web (all. n. 8 al verbale di operazioni compiute del 18 ottobre 2016). Inoltre, relativamente ai citati siti web www.cessionequintopensione.it e www.cessione-delquinto.it, è stato rilevato come i “flag” preposti all’acquisizione del consenso fossero preimpostati con l’indicazione “il richiedente ricevuta e presa visione dell’informativa sulla privacy (D.L. 196/03) esprime il proprio consenso al trattamento dei dati personali”.

La medesima attività di controllo di cui ai citati verbali di operazioni compiute datati 18 e 19 ottobre 2016 ha consentito di accertare, altresì, che Directafin s.p.a., oltre ad acquisire mediante apposito modulo cartaceo uno specifico consenso ai sensi dell’art. 23 del Codice per il trattamento di dati contenuti nelle informazioni della documentazione comprovante la situazione retributiva e/o contributiva presso l’azienda/ente/amministrazione da cui dipende il cliente, ne acquisisce, sempre con il medesimo modulo cartaceo per gli effetti del citato art. 23 del Codice, uno unico e distinto per tutti i trattamenti di dati finalizzati a “(…) rilevazione del grado di soddisfazione della clientela sulla qualità dei servizi resi svolta da directafin (…); promozione e vendita di prodotti e servizi di directafin o di altre società del gruppo o di società terze effettuate attraverso servizi postali, telefono (fisso e mobile), sms, mms, posta elettronica, materiale pubblicitario, sistemi automatizzati/elettronici/digitali di comunicazione, etc; comunicazione di dati a società terze convenzionate con la directafin o con altre società del gruppo (…); indagini di mercato” così come indicato al punto 3 par. 3 dell’informativa resa ai sensi dell’art. 13 del Codice (all. n. 1 al verbale di operazioni compiute del 19 ottobre 2016);

VISTO il verbale n. 115 dell’11 novembre 2016 con cui sono state contestate alla Directafin s.p.a., due violazioni entrambe previste dall’art. 162, comma 2-bis del Codice, in relazione all’art. 23, informandola della facoltà di effettuare, per entrambe i rilievi, il pagamento in misura ridotta ai sensi dell’art. 16 della legge 24 novembre 1981, n. 689;

RILEVATO dal rapporto predisposto ai sensi dell’art. 17 della legge 24 novembre 1981, n. 689, relativo al suddetto verbale di contestazione, che non risulta essere stato effettuato il pagamento in misura ridotta;

VISTO lo scritto difensivo datato 7 dicembre 2016 e inviato ai sensi dell’art. 18 della legge 24 novembre 1981, n. 689, con il quale, osservando come “(…) l’acquisizione dei dati e del consenso da parte del cliente rientra in un’unica metodologia di lavoro da parte di directafin e che pertanto, (…), sia perlomeno considerata una violazione unica”, ha evidenziato che “(…) il consenso acquisito sia tramite form presento(e) sul sito web che tramite modulo cartaceo, è stato concepito con consenso unico per un puro errore formale e non sostanziale in quanto directafin si avvale di tale consenso solo ed esclusivamente per promuovere i propri prodotti e servizi e nella sostanza non svolge e non ha mai svolto attività di rilevazione del grado di soddisfazione della clientela (direttamente o tramite terzi); non svolge e non ha mai svolto attività di comunicazione di dati a società terze al fine di consentire a queste ultime di utilizzarli autonomamente per la promozione di propri prodotti e servizi; non svolge e non ha mai svolto indagini di mercato (direttamente o tramite terzi) (…)”;

VISTO il verbale di audizione delle parti redatto in data 4 aprile 2017 ai sensi dell’art. 18 della legge n. 689/1981, nel quale la società ha sostanzialmente ribadito quanto argomentato negli scritti difensivi;

RITENUTO che le argomentazioni addotte non risultano idonee ad escludere la responsabilità della società in ordine alle violazioni contestate. La stessa ritiene, infatti, erroneamente che i due rilievi oggetto della contestazione in argomento possano essere ricondotti a “(…) una violazione unica”. L’acquisizione di un unico consenso tramite appositi form presenti sui siti web www.directafin.it, www.cessionequintopensione.it e www.cessione-delquinto.it a fronte di trattamenti le cui molteplici finalità sono elencate nell’informativa resa agli interessati, costituisce una condotta distinta e separata (quindi una violazione autonoma) rispetto all’acquisizione del medesimo consenso mediante apposito modulo cartaceo per tutti i trattamenti le cui molteplici finalità sono anch’esse elencate nell’informativa resa agli interessati. La distinzione delle due condotte oggetto di contestazione è rilevabile non solo dalle diverse modalità di effettuazione dei trattamenti di dati, ma anche dal fatto che a fronte di tale diversificazione vengono rese agli interessati due distinte informative ai sensi dell’art. 13 del Codice.

Risulta privo di pregio anche quanto argomentato circa il fatto che “(…) directafin si avvale di tale consenso (consenso acquisito sia tramite form presenti sui siti web sia tramite modulo cartaceo) solo ed esclusivamente per promuovere i propri prodotti e servizi e nella sostanza non svolge e non ha mai svolto attività di rilevazione del grado di soddisfazione della clientela (direttamente o tramite terzi); non svolge e non ha mai svolto attività di comunicazione di dati a società terze al fine di consentire a queste ultime di utilizzarli autonomamente per la promozione di propri prodotti e servizi; non svolge e non ha mai svolto indagini di mercato (direttamente o tramite terzi) (…)”. Deve infatti essere evidenziato che, per effetto della previsione di cui all’art. 4, comma 1 lett. a) del Codice, anche la sola raccolta e conservazione dei dati personali determina l’effettuazione di un trattamento di dati. Peraltro, con specifico riferimento a quanto accertato circa i flag preimpostati con la dicitura “il richiedente ricevuta e presa visione dell’informativa sulla privacy (D.L. 196/03) esprime il proprio consenso al trattamento dei dati personali” presenti sui siti web della società www.cessionequintopensione.it e www.cessione-delquinto.it e preposti all’acquisizione del consenso, si evidenzia come il fatto, non contestato, che la manifestazione del consenso fosse predisposta mediante la pre-impostazione del “flag” costituiva un elemento idoneo a condizionare la volontà dell’interessato, così come peraltro più volte asserito dall’Autorità in diversi provvedimenti (già con provv. 10 maggio 2006 doc. web n. 1298709 e più di recente, tra gli altri, con provv. del 4 luglio 2013 doc. web n. 2542348 recante Linee guida in materia di attività promozionale e contrasto allo spam), ciò determinando la violazione del disposto di cui all’art. 23 del Codice.

Quanto sopra esposto non consente, pertanto, di ravvisare nella condotta posta in essere dalla società gli elementi costitutivi della disciplina dell’errore scusabile di cui all’art. 3 della legge n. 689/1981, così come ricostruito dalla giurisprudenza assolutamente dominante (Cass. Civ. sez. I del 15 maggio 2006 n. 11012; Cass. Civ. sez II del 13 marzo 2006, n. 5426);

RILEVATO che Directafin s.p.a., in qualità di titolare del trattamento dei dati personali dei suoi clienti (artt. 4 comma 1, lett. a), b) e f) e 28 del Codice) ha raccolto tali dati tramite appositi form presenti sui siti web www.directafin.it, www.cessionequintopensione.it e www.cessione-delquinto.it così effettuando trattamenti finalizzati a “(…) rilevazione del grado di soddisfazione della clientela sulla qualità dei servizi resi svolta da directafin (…); promozione e vendita di prodotti e servizi di directafin o di altre società del gruppo o di società terze effettuate attraverso servizi postali, telefono (fisso e mobile), sms, mms, posta elettronica, materiale pubblicitario, sistemi automatizzati/elettronici/digitali di comunicazione, etc; comunicazione di dati a società terze convenzionate con la directafin o con altre società del gruppo (…); indagini di mercato” così come indicato al punto 3 par. 3 dell’informativa ai sensi dell’art. 13 del Codice presente nei citati siti web, acquisendo un unico consenso mediante specifici “flag” preimpostati con la dicitura “il richiedente ricevuta e presa visione dell’informativa sulla privacy (D.L. 196/03) esprime il proprio consenso al trattamento dei dati personali”, in violazione di quanto previsto dall’art. 23 del Codice; nonché ha raccolto i dati personali dei suoi clienti per la “(…) rilevazione del grado di soddisfazione della clientela sulla qualità dei servizi resi svolta da directafin (…); promozione e vendita di prodotti e servizi di directafin o di altre società del gruppo o di società terze effettuate attraverso servizi postali, telefono (fisso e mobile), sms, mms, posta elettronica, materiale pubblicitario, sistemi automatizzati/elettronici/digitali di comunicazione, etc; comunicazione di dati a società terze convenzionate con la directafin o con altre società del gruppo (…); indagini di mercato”, così come indicato al punto 3 par. 3 dell’informativa resa ai sensi dell’art. 13 del Codice, acquisendo, mediante apposito modulo cartaceo, un unico consenso, in violazione di quanto previsto dall’art. 23 del Codice;

VISTO l’art. 162, comma 2-bis, del Codice, che punisce la violazione delle disposizioni indicate nell’art. 167 del Codice, tra le quali quelle di cui all’art. 23, del medesimo Codice, con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge 24 novembre 1981 n. 689, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore e che pertanto l’ammontare della sanzione pecuniaria di cui all’art. 162, comma 2-bis del Codice deve essere quantificata nella misura di euro 10.000,00 (diecimila), per ciascuna delle due violazioni contestate, per un importo complessivo pari a euro 20.000,00 (ventimila);

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni ed integrazioni;

VISTE le osservazioni dell’Ufficio, formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Augusta Iannini;

ORDINA

a Directafin s.p.a. P.Iva: 09120751004, con sede in Roma, piazza Enrico Fermi n. 43, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 20.000,00 (ventimila) a titolo di sanzione amministrativa pecuniaria per le due violazioni entrambe previste dall’art. 162, comma 2-bis del Codice;

INGIUNGE

al medesimo soggetto di pagare la somma di euro 20.000,00 (ventimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Banca dati