Garante per la protezione
    dei dati personali


Ordinanza di ingiunzione nei confrontidi Goldenbridge s.r.l.

PROVVEDIMENTO DEL 9 GENNAIO 2014

Registro dei provvedimenti
 n. 6 del 9 gennaio 2014

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, alla presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia,segretario generale;

RILEVATOche la Guardia di finanza, Gruppo di Brescia, in esecuzione della richiesta diinformazioni n. 28377/53969 del 20 dicembre 2011 formulata ai sensi dell'art.157 del d. lgs. 30 giugno 2003 n. 196, recante il Codice in materia diprotezione dei dati personali (di seguito "Codice"), ha svolto gliaccertamenti di cui al verbale di operazioni compiute dell'8 marzo 2012 neiconfronti di Goldenbridge s.r.l., con sede legale in Pontevico (BS), via StradaTorchiera n. 35, P.I. 03162980985, dai quali è risultato che la societàeffettua una raccolta di dati personali (tra cui nome ed indirizzo e-mail)tramite un form denominato "Contatti" presente sul sito internetwww.comprooro-pagochiaro.it, a fronte del quale è stata riscontrata l'assenzadell'informativa di cui all'art. 13 del Codice;

VISTOil verbale dell'8 marzo 2012 con cui è stata contestata alla predetta società, inpersona del legale rappresentante pro-tempore, la violazione amministrativaprevista dall'art. 161 del Codice, in relazione all'omessa informativa,informandola della facoltà di effettuare il pagamento in misura ridotta aisensi dell'art. 16 della legge 24 novembre 1981 n. 689;

RILEVATOche dal rapporto predisposto dal predetto Comando ai sensi dell'art. 17 dellalegge 24 novembre 1981 n. 689 non risulta effettuato il pagamento in misuraridotta;

VISTIgli scritti difensivi, datati 2 aprile 2012, inviati ai sensi dell'art. 18della legge 24 novembre 1981 n. 689, con cui la società ha rilevato che"considerata la tipologia dei dati richiesti agli utenti e, inparticolare, il fatto che agli stessi sia richiesto di indicare unicamente ilproprio nome di battesimo, appare corretto escludere che attraverso detto formla società istante proceda alla raccolta di dati personali in sensostretto" anche perché "l'acquisizione del solo nome di battesimo,senza ulteriori informazioni (ad esempio indirizzo di residenza, recapitotelefonico, ecc.) non consente in sé di identificare l'utente con laconseguente esclusione dell'applicazione della disciplina di cui al Codicedella privacy". Inoltre, dalla data di attivazione del sito web, avvenutaa giugno 2011, il numero di utenti che ha tentato di inviare un messaggioattraverso il suddetto form è stato pari a 12, circostanza che renderebbe laviolazione particolarmente lieve;

LETTOil verbale di audizione svoltosi in data 12 novembre 2012, ai sensi dell'art.18 della legge 24 novembre 1981 n. 689, con cui la parte ha ribadito quanto giàdichiarato nelle memorie difensive;

RITENUTOche le argomentazioni addotte non risultano idonee per escludere laresponsabilità della società in relazione alla contestazione della violazioneamministrativa. Infatti, diversamente da quanto ritenuto dalla parte, leoperazioni effettuate mediante il form presente sul sito internet rientrano inquelle che il Codice definisce quale "trattamento di dato personale"di cui all'art. 4, comma 1, lett. a) del Codice. La stessa norma, poi, allalett. b), definisce quale "dato personale" qualunque informazionerelativa a persona fisica, identificata o identificabile, anche indirettamente,mediante riferimento a qualsiasi altra informazione, ivi compreso un numero diidentificazione personale", cosicché anche l'indirizzo e-mail deve esserevalidamente considerato quale dato personale e, come tale, fa sì che ilrelativo trattamento debba essere sottoposto all'obbligo di renderel'informativa di cui all'art. 13 del Codice. Quanto, invece, alla circostanzache i dati trattati sono in numero assai esiguo, la stessa può essere valutatautilmente ai fini della quantificazione della sanzione;

RILEVATOche la società ha quindi effettuato un trattamento di dati personali (art. 4comma 1, lett. a) e b) del Codice) per mezzo di un form di raccolta dati senzarendere l'informativa agli interessati ai sensi dell'art. 13 del Codice;

VISTOl'art. 161 del Codice che punisce la violazione delle disposizioni di cuiall'art. 13 con la sanzione amministrativa del pagamento di una somma daseimila euro a trentaseimila euro;

RITENUTOche ricorrono le condizioni per applicare l'art. 164-bis, comma 1, del Codiceil quale prevede che se taluna delle violazioni di cui agli artt. 161, 162, 163e 164 è di minore gravità, i limiti minimi e massimi stabiliti negli stessiarticoli sono applicati in misura pari a due quinti;

VISTAla legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

CONSIDERATOche, ai fini della determinazione dell'ammontare della sanzione pecuniaria,occorre tenere conto, ai sensi dell'art. 11 della legge 24 novembre 1981 n.689, dell'opera svolta dall'agente per eliminare o attenuare le conseguenzedella violazione, della gravità della violazione, della personalità e dellecondizioni economiche del contravventore;

RITENUTOdi dover determinare, ai sensi dell'art. 11 della legge 24 novembre 1981 n.689, l'ammontare della sanzione pecuniaria nella misura di euro 2.400,00(duemilaquattrocento) per la violazione di cui all'art. 161;

VISTAla documentazione in atti;

VISTEle osservazioni dell'Ufficio, formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazionedel 28 giugno 2000;

RELATOREla prof.ssa Licia Califano;

ORDINA

aGoldenbridge s.r.l., con sede legale in Pontevico (BS), Strada Torchiera n. 35,P.I. 03162980985, in persona del legale appresentante pro-tempore, di pagare lasomma di euro 2.400,00 (duemilaquattrocento) a titolo di sanzione amministrativapecuniaria per la violazione prevista dall'art. 161 del Codice;

INGIUNGE

allamedesima società di pagare la somma di euro 2.400,00 (duemilaquattrocento)secondo le modalità indicate in allegato, entro 30 giorni dalla notificazionedel presente provvedimento, pena l'adozione dei conseguenti atti esecutivi anorma dall'art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che,entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questaAutorità, in originale o in copia autentica, quietanza dell'avvenutoversamento.

Aisensi degli artt. 152 del Codice e 10 del d. lg. n. 150/2011, avverso ilpresente provvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 9 gennaio 2014

Il presidente
Soro

Il relatore
Califano

Il segretario generale
Busia