Il titolare del trattamento dati ha l’obbligo di vigilare costantemente l’operato del Responsabile

Scarica PDF Stampa
Il Garante per la protezione dei dati personali, con ordinanza di ingiunzione del 25.11.2021, dichiarava responsabile la società B&T per aver contribuito al trattamento illecito di dati personali denunciato dal ricorrente. Dunque, il Garante irrogava nei confronti della società una sanzione amministrativa, sotto forma di ordinanza ingiunzione, di €.400.000,00 (quattrocentomila//00).

Indice:

  1. I fatti
  2. Le violazioni contestate dall’Autorità
  3. Le valutazioni del Garante
  4. La decisione del Garante

1. I fatti

Il Garante per la protezione dei dati personali riceveva una nota di reclamo nella quale veniva denunciato il ricevimento di numerosi SMS indesiderati da parte di “Dorelan” e che il ricorrente era stato altresì impossibilitato ad esercitare a pieno i propri diritti di accesso ai dati e di opposizione all’invio.

In particolare, il reclamante sosteneva di essersi rivolto alla B&T S.p.a., titolare del marchio “Dorelan”, la quale però si dichiarava estranea all’invio di quegli SMS, in quanto vi provvedeva una società terza, ossia la Aimon s.r.l.

Il ricorrente, allora, su indicazione di B&T, contattava la società Aimon al fine di esporre i fatti ed esercitare i propri diritti di accesso e opposizione. Quest’ultima società, tuttavia, si qualificava come “responsabile esterno”, poiché sosteneva che, per la raccolta di contatti, la stessa si rivolgeva a società terze fornitrici di Database.

L’autorità Garante, dunque, inviava alle due società menzionate una nota al fine di ottenere informazioni utili in merito al caso in questione.

Anche in sede di chiarimenti forniti al Garante, la B&T dichiarava di non essere nella disponibilità materiale dei dati, in quanto si era rivolta alla società Aimon, la quale avrebbe provveduto all’invio dei messaggi promozionali. Aimon, poi, nell’espletamento della sua funzione, utilizzava banche dati acquisite nel mercato. In particolare, la Aimon sosteneva di aveva acquisito i dati dalla società Runwhip s.r.l.

Aimon e B&T assicuravano, inoltre, di aver preso atto dell’opposizione loro presentata dal reclamante. Tuttavia, il reclamante sosteneva di aver ricevuto successivamente ulteriori sms e aveva proceduto ad informare di tali episodi tutte e tre e le società nonché il Garante stesso.

A seguito delle successive note inviate alle società dall’Ufficio del Garante, B&T affermava di non aver agito in qualità di titolare del trattamento, in quanto il servizio promozionale tramite invio di SMS era stato affidato a Aimon. Aggiungeva, inoltre, di aver proceduto alla risoluzione del contratto in corso con la Aimon a causa dei fatti che ne erano emersi.

Consigliamo l’Ebook:

I rischi nel trattamento dei dati – e-Book in pdf

L’ebook analizza gli aspetti pratici dell’attività di analisi dei rischi connessi al trattamento dei dati, partendo dal quadro normativo e fornendo risposte alle principali FAQ in materia di DPIA.Michele IaselliAvvocato, Funzionario del Ministero della Difesa, Docente a contratto di Informatica giuridica all’Università di Cassino e Collaboratore della cattedra di Informatica giuridica alla LUISS ed alla Federico II. Inoltre è Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore di numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di Privacy, Informatica giuridica e Diritto dell’informatica con le principali case editrici. 

Michele Iaselli | 2021 Maggioli Editore

9.90 €  7.92 €

2. Le violazioni contestate dall’Autorità

A seguito del procedimento avviato ai sensi dell’art.166, comma 5 del Codice Privacy, il Garante ha contestato sia a B&T sia ad Aimon le violazioni dei seguenti articoli:

  • 5, par. 1, lett.a) del GDPR: in quanto l’Autorità ritiene violato il principio di liceità, trasparenza e correttezza nel trattamento dei dati personali;
  • 12 GDPR, in virtù del quale il titolare è tenuto ad adottare misure appropriate per fornire all’interessato tutte le informazioni relative ai trattamenti gestiti dalla propria organizzazione in forma concisa, trasparente e facilmente accessibile. Inoltre, tale disposizione prevede che il titolare deve fornire un riscontro alla richiesta dell’interessato senza ingiustificato ritardo;
  • 13 del GDPR, in base al quale il titolare del trattamento deve fornire al titolare una serie di informazioni per ottemperare al principio per cui il trattamento deve essere corretto e trasparente e allo scopo di informare l’interessato dell’esistenza del trattamento e delle sue finalità;
  • 14 del GDPR, il quale prevede gli adempimenti dell’art. 13 con la differenza che in questo caso si tratta di informazioni che non sono state raccolte presso l’interessato;
  • 21 del GDPR, in quanto il Garante ha ritenuto violato il diritto di opposizione dell’interessato; in particolare l’art. 21 prevede che se i dati personali sono trattati per finalità di marketing diretto, l’interessato deve avere il diritto, in qualsiasi momento e gratuitamente, di opporsi a tale trattamento;
  • 6, par. 1, lett. a) del GDPR, in quanto il Garante ritiene che tale trattamento è stato compiuto illecitamente, in particolare senza il consenso dell’interessato;
  • 130 del Codice Privacy, il quale, disponendo sulle comunicazioni indesiderate, precisa che le comunicazioni per “l’invio di materiale pubblicitario o vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale” sono consentite previo consenso dell’interessato. In particolare, il sesto comma dispone che, in caso di reiterate violazioni, il Garante può intervenire e prescrivere alla società erogatrice il servizio pubblicitario “di adottare procedure di filtraggio o altre misure praticabili relativamente alle coordinate di posta elettronica da cui sono state inviate le comunicazioni”.

A seguito della contestazione di tali violazioni, le società hanno quindi presentato le proprie memorie difensive.

La B&T ha affermato di aver dato incarico, attraverso un apposito contratto, alla società Aimon il compito di reperire le liste di contatto.

La Aimon, invece, si è qualificata come mera responsabile del trattamento (ossia colui che tratta i dati per conto del titolare del trattamento), affermando che le società fornitrici di dati avevano agito in qualità di titolari del trattamento (ossia colui che stabilisce le finalità e le modalità del trattamento dei dati personali).

Consigliamo il volume:

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder.  Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.

Monica Mandico | 2019 Maggioli Editore

32.00 €  25.60 €

3. Le valutazioni del Garante

Innanzitutto il Garante ha osservato, che nel caso oggetto di questo provvedimento, i due soggetti coinvolti non hanno mai provveduto ad una definizione precisa dei ruoli da loro assunti all’interno del procedimento relativo al trattamento dei dati personali.

Nonostante nel contratto intercorso tra le due società le stesse non abbiano proceduto ad una precisa qualificazione, il Garante ha ritenuto, sulla base della ricostruzione fattuale, che B&T deve considerarsi come titolare del trattamento, poiché ha determinato il motivo per cui il trattamento stesso è stato posto in essere (ossia: veicolazione di messaggi promozionali); mentre, Aimon deve essere considerata come responsabile del trattamento poiché ha agito sulla base di disposizioni impartite da B&T.

Secondo il Garante, quindi, la mancanza della specificazione dei ruoli delle due società nel contratto da loro sottoscritto, ha comportato la violazione dei principi di cui all’art. 5 del GDPR.

Inoltre, ciò ha comportato, altresì, la violazione degli artt. 12, 13 e 14 del GDPR, poiché il soggetto interessato non ha ricevuto un’adeguata chiara e coincisa informativa sulle finalità e la tipologia di trattamento che sarebbe stato posto in essere.


Potrebbero interessarti i seguenti articoli:


Il Garante, dunque, ha accertato che B&T, pur non essendosi riconosciuto alcun ruolo in tal senso, aveva agito in qualità di titolare, avendo anche dimostrato di aver avuto ruolo primario nella fase di selezione e istruzione del responsabile, ed inoltre non aveva proceduto a richiedere alla società incaricata la documentazione comprovante la sussistenza dei requisiti di liceità del trattamento posto in essere.

Ciò detto il Garante ha ritenuto ancora che la stessa B&T, pur avendo incaricato la società Aimon di procedere alla raccolta di dati, non può considerarsi esonerata da responsabilità rispetto agli effetti prodotti sui soggetti interessati. Secondo il Garante, infatti, È onere del titolare del trattamento avvalersi di responsabili che offrano sufficienti garanzie, ma questo non basta a ridurre il grado di responsabilità in vigilando che il titolare deve costantemente esercitare nel corso delle attività di trattamento

Altra conseguenza illecita derivante dalla mancata specificazione dei ruoli e dalla pluralità di soggetti (società) coinvolti nel trattamento, ha riguardato, ad opinione del Garante, la difficoltà in merito all’esercizio del diritto di opposizione degli interessati.

Nel caso in esame, infatti, il soggetto interessato non ha visto soddisfatto il suo diritto di opposizione, in quanto si è trovato di fronte ad una procedura farraginosa e poco chiara. Oltretutto, il soggetto ricorrente ha continuato a riceve sms promozionali anche dopo aver esercitato il suo diritto di opposizione.

In conseguenza di ciò, secondo il Garante, le società non hanno predisposto idonee procedure di reclamo, violando quanto disposto negli artt. 15-22 del GDPR. Il Regolamento, infatti, prevede che tali procedure devono essere predisposte direttamente dal titolare, oppure questo deve incaricare il responsabile.

4. La decisione del Garante

Alla luce di tutto quanto esposto, il Garante ha ritenuto sussistente una responsabilità in capo a B&T, che ha contribuito al trattamento illecito di dati personali denunciato dal ricorrente.

Dunque, il Garante ha irrogato nei confronti della società una sanzione amministrativa, sotto forma di ordinanza ingiunzione, di €.400.000,00 (quattrocentomila//00).

Infine, ha inviato un monito alla stessa esortandola ad adottare, per i futuri procedimenti di comunicazione pubblicitaria, procedure idonee per regolare correttamente i rapporti contrattuali con il responsabile del trattamento, effettuando i dovuti controlli e predisponendo un’adeguata informativa per gli interessati nonché predisponendo adeguate procedure per l’opposizione degli interessati.

Consigliamo il volume:

Il Responsabile della Protezione dei Dati (Data Protection Officer-DPO)

Quando deve essere designato un DPO? Chi deve nominarlo? Chi può essere nominato DPO e quali requisiti sono richiesti? DPO dipendente oppure soggetto esterno? Quale atto formale di nomina occorre in ambito pubblico? Se il DPO è un dipendente pubblico quale qualifica deve avere? Qual è la posizione del DPO nell’ente/azienda? Quali sono i suoi compiti?Aggiornata al D.lgs. del 10 agosto 2018, n. 101 in materia di privacy, questa pratica Guida risponde alle domande sopra enunciate e fornisce un’analisi dei compiti e dei margini di attività della nuova figura del “Responsabile dei dati personali” (anche noto come DPO, acronimo di Data Protection Officer), in considerazione degli adempimenti che imprese e soggetti pubblici devono affrontare per effetto del Regolamento UE 2016/679.Il testo è strutturato in numerosi quesiti di taglio pratico, ai quali l’autore fornisce una soluzione sulla scorta del testo normativo, delle linee guida adottate dal Gruppo di Lavoro ex art. 29 (WP29) e delle più recenti indicazioni fornite dal Garante della Privacy.Stefano ComelliniAvvocato in Bologna, patrocinante in Cassazione, si occupa prevalentemente di Diritto Industriale, Diritto dell’In- formatica e delle Telecomunicazioni nonché della disciplina della Privacy. E’ iscritto nell’elenco dei rappresentanti presso la EUIPO (Ufficio dell’Unione Europea per la proprietà intellettuale). Relatore in convegni, è particolarmente attivo sui social network, dove svolge attività di divulgazione giuridica. Nel 2002, il sito www.comellini.it, da lui cu- rato, ha ottenuto, dalla giuria di “Italex Award 2002 – il premio per i migliori siti giuridici italiani”, il riconoscimento di migliore studio legale online.Soluzioni di Diritto è una collana che offre soluzioni operative per la pratica professionale o letture chiare di problematiche di attualità. Uno strumento di lavoro e di approfondimento spendibile quotidianamente.L’esposizione è lontana dalla banale ricostruzione manualistica degli istituti ov- vero dalla sterile enunciazione di massime giurisprudenziali.Si giunge a dare esaustive soluzioni ai quesiti che gli operatori del diritto incon- trano nella pratica attraverso l’analisi delle norme, itinerari dottrinali e giuri- sprudenziali e consigli operativi sul piano processuale.

Stefano Comellini | 2018 Maggioli Editore

19.00 €  15.20 €

Avv. Muia’ Pier Paolo

Scrivi un commento

Accedi per poter inserire un commento