Garante per la protezione
    dei dati personali


Ordinanza di ingiunzione nei confrontidi H3g s.p.a.

PROVVEDIMENTO DEL 12 GIUGNO 2014

Registro dei provvedimenti
 n. 300 del 12 giugno 2014

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, alla presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia,segretario generale;

VISTOil provvedimento n. 32 del 25 gennaio 2012 con il quale il Garante, a seguitodella dell'attività ispettiva volta a verificare l'avvenuta attuazione degliaccorgimenti prescritti dall'Autorità all'esito del procedimento della verificapreliminare di cui all'art. 17 del Codice, con riferimento all'attività diprofilazione dei clienti sulla base dei dati di traffico;

VISTOl'atto di contestazione, che qui deve intendersi integralmente riportato, n.9677/65698 del 13 aprile 2012 (notificato in data 23 aprile 2012) nei confrontidi H3g s.p.a., con sede in Trezzano sul naviglio (Mi), via Leonardo da Vinci n.1, in persona del legale rappresentante pro-tempore, per le violazioni delledisposizioni di cui agli artt. 17, 23, 162, comma 2-bis, 164-bis, comma 2 e 167del Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003,n. 196, di seguito denominato Codice);

PRESOATTO che H3g s.p.a., per le violazioni definibili in via breve di cui all'art.162, comma 2-bis, ha provveduto, in data 8 giugno 2012, ad effettuare neitermini il pagamento in misura ridotta previsto dall'art. 16 della legge 24novembre 1981, n. 689, con effetto estintivo dei relativi procedimentisanzionatori;

RILEVATO,pertanto, che la presente ordinanza-ingiunzione riguarda solamente lacontestazione della violazione amministrativa di cui all'art. 164-bis, comma 2,del Codice, per la quale la legge non consente la definizione in via breve;

VISTOil verbale di audizione delle parti del 31 gennaio 2014 nel quale la società,ai sensi dell'art. 18 della legge n. 689/1981, delineando sinteticamente lemotivazioni successivamente prodotte negli scritti difensivi, ha evidenziatocome, nel caso di specie, non si sostanzi l'elemento costitutivo dell'illecitocontestato di cui all'art. 164-bis, comma 2, atteso che "() all'indomanidelle attività ispettive, la percentuale di clienti che avevano prestato lospecifico, separato, opzionale ed espresso consenso informato alla profilazionesi attestava tra l'82 e 84% del totale della Customer base", ciòdeterminando l'impossibilità di qualificare la banca dati oggetto dicontestazione come "di particolare rilevanza o dimensione". Osserva,inoltre, come dalla lettura dell'art. 164-bis, comma 2 del Codice, si rilevicome "L'art. 167 e le norme di cui all'art. 17 e 23 () non sonodisposizioni del Capo indicato dall'art. 164-bis e la loro violazione non puòcomportare anche la sanzione prevista da quest'ultimo articolo, bensì soloquella (peraltro già pagata) prevista dall'art. 162, comma 2-bis" ecomunque "() si deve ritenere che la fattispecie aggravata -di cuiall'art. 164-bis, comma 2- sia di fatto oggettivamente incompatibile con lafattispecie aggravata di cui al comma 3 del medesimo articolo, già applicataalla scrivente società, che deve ritenersi implicitamente ricompresa". Lasocietà, in ordine alla quantificazione della sanzione, ribadisce, "Comegià rappresentato all'interno della () Relazione –relazione di H3G suitrattamenti per finalità di profilazione della clientela datata 18 giugno2012-, in merito può rilevarsi la condotta operosa di H3G, la quale, da unaparte, ha avviato – anche in via cautelativa – una diversastrategia commerciale di profilazione individuale rivolta ai soli clienti inpossesso dello specifico, separato, opzionale ed espresso consenso informatoper finalità di profilazione e dall'altra, anche per detta scelta commerciale,già all'indomani della notifica del provvedimento di blocco (nr. 32 del 25gennaio 2012), la scrivente ha avviato tempestivamente una specifica attivitàdi verifica e analisi interna degli aspetti organizzativi, procedurali eattuativi delle politiche di trattamento dei dati personali finalizzatiall'attività di profilazione";

RITENUTOche le argomentazioni addotte non risultano idonee in relazione a quantocontestato. Diversamente da quanto ritenuto, l'illecito di cui all'art.164-bis, comma 2 del Codice è configurabile al sostanziarsi dei due distinti eautonomi presupposti della particolare rilevanza della banca dati, ovvero,delle rilevanti dimensioni. Nel caso di specie, pur prendendo atto deglielementi forniti con la relazione del 18 giugno 2012, si osserva come lemolteplici violazioni di cui agli artt. 17 e 23 del Codice si riferiscono adati trattati all'interno della banca dati di tutti i clienti della società,che ammontano a circa 9 milioni di interessati. Anche se si tenesse conto dellasola porzione di dati illecitamente trattati (pari al 16% della base clientidella società, ovvero circa 1.440.000), essa ha già di per sé una dimensioneassai rilevante e tale da sostanziare il requisito delle particolaridimensioni. In ogni caso, il dato dimensionale da tenere in considerazione, aifini della sussistenza della violazione che costituisce oggetto del presenteprovvedimento, è quello relativo all'intera base clienti, ovvero 9 milioni di interessati,in quanto ciò che rileva, ai fini dell'applicazione della norma, è proprio ilmaggior pregiudizio che si determina quando i dati trattati illecitamentevengono aggregati all'interno di una banca dati che abbia le caratteristichedescritte dalla norma. D'altra parte, nel caso che ci occupa, risultaperfezionarsi anche l'elemento della particolare rilevanza del data-base, vistoche il trattamento in questione (profilazione dei clienti sulla base dei datidi traffico) presenta rischi specifici per i diritti degli interessati tali daessere stato sottoposto al procedimento della verifica preliminare del Garantedi cui all'art. 17 del Codice che, con il proprio provvedimento del 25 gennaio2012 aveva prescritto le misure e gli accorgimenti ai quali dovevano attenersii vari titolari che effettuavano questi tipi di trattamenti (tra i quali H3G) eche invece la società ha disatteso, come emerso proprio nel caso del presenteprocedimento. Si osserva, altresì, come non possa essere condiviso neanchequanto dedotto circa l'interpretazione dell'art. 164-bis, comma 2 del Codice,atteso che locuzione "() più violazioni di un'unica o di più disposizionidi cui al presente Capo ()" non è riferita alle norme di precetto che,nel caso di specie, sono gli artt. 17 e 23 del Codice, bensì a quella cheprevede le sanzioni contestate alla società di cui all'art. 162, comma 2-bisdel Codice, la quale è ricompresa nel medesimo Capo I recante "Violazioniamministrative". Diversamente argomentando, la fattispecie di cui all'art.164-bis, comma 2 non risulterebbe mai applicabile, atteso che, le normesanzionatorie, contenute nel Capo I del Titolo II del Codice, sono tutteconfigurate mediante rinvio a norme precetto collocate in altri Capi delCodice. Riguardo, invece, quanto argomentato circa l'incompatibilità dellafattispecie di cui all'art. 164-bis, commi 2 e 3, deve osservarsi chel'illecito previsto dall'art. 164-bis, comma 2, configura una "fattispeciecomplessa", collegata ma autonoma rispetto a quelle presupposte, tra lequali ricorrono, come nel caso di specie, quelle di cui all'art. 162, comma2-bis. La violazione di cui all'art. 164-bis, comma 2, è infatti punita con unasanzione autonomamente quantificabile e non rapportata alle sanzioni dellecorrelate violazioni. Inoltre, il procedimento sanzionatorio che si instauracon la contestazione della violazione di cui all'art. 164-bis, comma 2, comeperaltro rilevato dalla stessa società, si differenzia da quello relativo allealtre violazioni per l'inapplicabilità dell'art. 16 della legge n. 689/1981 intema di pagamento in misura ridotta. Già nella sua struttura formale, pertanto,l'art. 164-bis, comma 2, ha le caratteristiche tipiche della fattispeciesanzionatoria autonoma (condotta e sanzione pecuniaria prevista tra un minimo eun massimo); l'alternatività della sanzione di cui all'art. 164-bis, comma 2,del Codice rispetto a quelle di cui all'art. 162, comma 2-bis, non è supportatada alcun elemento letterale e logico. La norma de quo infatti tutela un benegiuridico ulteriore e diverso rispetto a quello offeso dalle singole violazionipresupposte, poiché maggiore è la lesione che si determina ai diritti oggettodi tutela da parte del Codice quando dette plurime violazioni riguardano nonsingoli dati ma, come nel caso di specie, intere banche-dati di particolarerilevanza e dimensioni costituite da dati appartenenti a milioni diinteressati. Sul punto, tale interpretazione trova conferma nella recentesentenza, datata 11 marzo 2014, del Tribunale di Milano – I sez. Civile. Stante questa autonomia, nulla osta acché, nella contestazione dellefattispecie presupposte, si consideri l'applicazione, come nel caso di specie,dell'ipotesi aggravata di cui all'art. 164-bis, comma 3 del Codice, senza checiò possa pregiudicare l'applicazione della sanzione di cui all'art. 164-bis,comma 2 del Codice;

VISTOl'art. 164-bis, comma 2 del Codice che, in caso di più violazioni di una o piùdi una delle disposizioni sopra richiamate (art. 162, comma 2-bis), commesseanche in tempi diversi in relazione a banche di dati di particolare rilevanza odimensioni, prevede l'applicazione di una sanzione da cinquantamila atrecentomila euro;

CONSIDERATOche, ai fini della determinazione dell'ammontare della sanzione pecuniaria,occorre tenere conto, ai sensi dell'art. 11 della legge n. 689/1981, dell'operasvolta dall'agente per eliminare o attenuare le conseguenze della violazione,della gravità della violazione, della personalità e delle condizioni economichedel contravventore;

CONSIDERATOche, nel caso in esame:

a)in ordine all'aspetto della gravità, gli elementi dell'entità del pregiudizio odel pericolo, della modalità della condotta e dell'intensità dell'elementopsicologico non sono connotati da elementi specifici;

b)ai fini della valutazione dell'opera svolta dall'agente, deve essereconsiderato il fatto che, a fronte del provvedimento del Garante datato 25gennaio 2012, la società ha effettuato la profilazione solamente nei confrontidei clienti che avevano rilasciato lo specifico consenso, avviando, peraltro,"() una specifica attività di verifica e di analisi interna degli aspettiorganizzativi, procedurali e attuativi delle politiche di trattamento dei datipersonali finalizzati all'attività di profilazione";

c)circa la personalità dell'autore della violazione, deve essere considerata lacircostanza che H3G s.p.a. risulti essere già stata destinataria di analogoprovvedimento ingiuntivo nel 2011;

d)in merito alle condizioni economiche dell'agente, si rileva che H3G s.p.a.risulta avere dichiarato, nell'anno 2012, una perdita di esercizio;

RITENUTOdi dover determinare, ai sensi dell'art. 11 della legge n. 689/1981,l'ammontare della sanzione pecuniaria,  in ragione dei suddetti elementivalutati nel loro complesso, nella misura di euro 75.000,00(settantacinquemila);

VISTAla documentazione in atti;

VISTAla legge n. 689/1981, e successive modificazioni e integrazioni;

VISTEle osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazionedel 28 giugno 2000;

RELATOREla prof.ssa Licia Califano;

ORDINA

aH3g s.p.a., con sede in Trezzano sul naviglio (Mi), via Leonardo da Vinci n. 1,in persona del legale rappresentante pro-tempore, di pagare la somma di euro75.000,00 (settantacinquemila) a titolo di sanzione amministrativa pecuniariaper la violazione prevista dall'art. 164-bis, comma 2 del Codice indicata inmotivazione;

INGIUNGE

allamedesima società di pagare la somma di euro 75.000,00 (settantacinquemila),secondo le modalità indicate in allegato, entro 30 giorni dalla notificazionedel presente provvedimento, pena l'adozione dei conseguenti atti esecutivi anorma dall'art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che,entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questaAutorità, in originale o in copia autentica, quietanza dell'avvenutoversamento.

Aisensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presenteprovvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 12 giugno 2014

Il presidente
Soro

Il relatore
Califano

Il segretario generale
Busia