Garante per la protezione
    dei dati personali


Ordinanza di ingiunzione nei confontidi Giallooro s.r.l

PROVVEDIMENTO DEL 9 GENNAIO 2014

Registro dei provvedimenti
 n. 5 del 9 gennaio 2014

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, alla presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia,segretario generale;

RILEVATOche la Guardia di finanza, Gruppo di Firenze, in esecuzione della richiesta diinformazioni n. 28377/53969 del 20 dicembre 2011 formulata ai sensi dell'art.157 del d. lgs. 30 giugno 2003 n. 196, recante il Codice in materia diprotezione dei dati personali (di seguito "Codice"), ha svolto gliaccertamenti di cui al verbale di operazioni compiute del 7 marzo 2012 neiconfronti di Giallooro s.r.l., con sede legale in Firenze, viale Giannotti n.10/R, P.I. 06010050489, dai quali è risultato che la società effettua unaraccolta di dati personali (tra cui nome ed indirizzo e-mail) tramite un formdenominato "Contatti" presente sul sito internetwww.gialloorofirenze.it, a fronte del quale è stata riscontrata l'assenzadell'informativa di cui all'art. 13 del Codice;

VISTOil verbale n. 1 del 7 marzo 2012 con cui è stata contestata alla predettasocietà, in persona del legale rappresentante pro-tempore, la violazioneamministrativa prevista dall'art. 161 del Codice, in relazione all'omessainformativa, informandola della facoltà di effettuare il pagamento in misuraridotta ai sensi dell'art. 16 della legge 24 novembre 1981 n. 689;

RILEVATOche dal rapporto predisposto dal predetto Comando ai sensi dell'art. 17 dellalegge 24 novembre 1981 n. 689 non risulta effettuato il pagamento in misuraridotta;

VISTIgli scritti difensivi, datati 6 aprile 2012, inviati ai sensi dell'art. 18della legge 24 novembre 1981 n. 689, con cui la società ha rilevato che"il sito web è stato costruito ed implementato dalla ditta Dot. Media diFirenze (); tale ditta creatore e gestore del sito web in parola ha fattopervenire () le sue controdeduzioni in merito al verbale di contestazione ()",secondo cui i campi presenti sul form non erano obbligatori ai fini dell'inviodi messaggi alla società, ove, tra l'altro, non era richiesto nemmeno indicareil cognome "cosicchè viene meno la definizione di dato personale fornitadal Garante della privacy";

LETTOil verbale di audizione svoltosi in data 21 gennaio 2013, ai sensi dell'art. 18della legge 24 novembre 1981 n. 689, con cui la parte ha sottolineato cometramite il form non venisse effettuata alcuna raccolta di dati personali, inquanto gli unici campi utili alla società per fornire risposta alle richiestedegli utenti erano l'indirizzo e-mail e il testo del messaggio. In ogni caso,già al momento dell'accertamento ispettivo, la società ha provveduto adinserire il testo dell'informativa di cui all'art. 13 del Codice, pur nonconsiderandola necessaria;

RITENUTOche le argomentazioni addotte non risultano idonee per escludere laresponsabilità della società in relazione alla contestazione della violazioneamministrativa. Occorre, preliminarmente, precisare che il form oggetto dellacontestazione permette l'inserimento di dati personali, quali il nome el'indirizzo e-mail degli utenti. Considerato che l'art. 4, comma 1, lett. b)del Codice definisce quale "dato personale" qualunque informazionerelativa a persona fisica, (), identificata o identificabile, ancheindirettamente, mediante riferimento a qualsiasi altra informazione, ivicompreso un numero di identificazione personale" fa sì che il trattamentoeffettuato dalla parte debba essere sottoposto all'obbligo di renderel'informativa di cui all'art. 13 del Codice. Infine, la circostanza che lacostruzione del sito internet sia stata affidata a terzi (nel caso di specie laDot. Media) non fa venir meno la responsabilità della parte, posto che lastessa, in quanto titolare del trattamento, è tenuta ad adempiere all'obbligod'informare previamente gli interessati degli elementi espressamente elencatinell'art. 13 del Codice ovvero a verificare la correttezza degli adempimentiaffidati a terzi;

RILEVATOche la società ha quindi effettuato un trattamento di dati personali (art. 4comma 1, lett. a) e b) del Codice) per mezzo di un form di raccolta dati senzarendere l'informativa agli interessati ai sensi dell'art. 13 del Codice;

VISTOl'art. 161 del Codice che punisce la violazione delle disposizioni di cuiall'art. 13 con la sanzione amministrativa del pagamento di una somma daseimila euro a trentaseimila euro;

RITENUTOche ricorrono le condizioni per applicare l'art. 164-bis, comma 1, del Codiceil quale prevede che se taluna delle violazioni di cui agli artt. 161, 162, 163e 164 è di minore gravità, i limiti minimi e massimi stabiliti negli stessiarticoli sono applicati in misura pari a due quinti;

VISTAla legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

CONSIDERATOche, ai fini della determinazione dell'ammontare della sanzione pecuniaria,occorre tenere conto, ai sensi dell'art. 11 della legge 24 novembre 1981 n.689, dell'opera svolta dall'agente per eliminare o attenuare le conseguenzedella violazione, della gravità della violazione, della personalità e dellecondizioni economiche del contravventore;

RITENUTOdi dover determinare, ai sensi dell'art. 11 della legge 24 novembre 1981 n.689, l'ammontare della sanzione pecuniaria nella misura di euro 2.400,00(duemilaquattrocento) per la violazione di cui all'art. 161;

VISTAla documentazione in atti;

VISTEle osservazioni dell'Ufficio, formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazionedel 28 giugno 2000;

RELATOREla dott.ssa Augusta Iannini;

ORDINA

aGiallooro s.r.l., con sede legale in Firenze, viale Giannotti n. 10/R, P.I.06010050489, in persona del legale appresentante pro-tempore, di pagare lasomma di euro 2.400,00 (duemilaquattrocento) a titolo di sanzioneamministrativa pecuniaria per la violazione prevista dall'art. 161 del Codice;

INGIUNGE

allamedesima società di pagare la somma di euro 2.400,00 (duemilaquattrocento)secondo le modalità indicate in allegato, entro 30 giorni dalla notificazionedel presente provvedimento, pena l'adozione dei conseguenti atti esecutivi anorma dall'art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che,entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questaAutorità, in originale o in copia autentica, quietanza dell'avvenutoversamento.

Aisensi degli artt. 152 del Codice e 10 del d. lg. n. 150/2011, avverso ilpresente provvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 9 gennaio 2014

Il presidente
Soro

Il relatore
Iannini

Il segretario generale
Busia