Il titolare del trattamento dati ha l’obbligo di vigilare costantemente l’operato del Responsabile

Il Garante per la protezione dei dati personali, con ordinanza di ingiunzione del 25.11.2021, dichiarava responsabile la società B&T per aver contribuito al trattamento illecito di dati personali denunciato dal ricorrente. Dunque, il Garante irrogava nei confronti della società una sanzione amministrativa, sotto forma di ordinanza ingiunzione, di €.400.000,00 (quattrocentomila//00).

Indice:

  1. I fatti
  2. Le violazioni contestate dall’Autorità
  3. Le valutazioni del Garante
  4. La decisione del Garante

1. I fatti

Il Garante per la protezione dei dati personali riceveva una nota di reclamo nella quale veniva denunciato il ricevimento di numerosi SMS indesiderati da parte di “Dorelan” e che il ricorrente era stato altresì impossibilitato ad esercitare a pieno i propri diritti di accesso ai dati e di opposizione all’invio.

In particolare, il reclamante sosteneva di essersi rivolto alla B&T S.p.a., titolare del marchio “Dorelan”, la quale però si dichiarava estranea all’invio di quegli SMS, in quanto vi provvedeva una società terza, ossia la Aimon s.r.l.

Il ricorrente, allora, su indicazione di B&T, contattava la società Aimon al fine di esporre i fatti ed esercitare i propri diritti di accesso e opposizione. Quest’ultima società, tuttavia, si qualificava come “responsabile esterno”, poiché sosteneva che, per la raccolta di contatti, la stessa si rivolgeva a società terze fornitrici di Database.

L’autorità Garante, dunque, inviava alle due società menzionate una nota al fine di ottenere informazioni utili in merito al caso in questione.

Anche in sede di chiarimenti forniti al Garante, la B&T dichiarava di non essere nella disponibilità materiale dei dati, in quanto si era rivolta alla società Aimon, la quale avrebbe provveduto all’invio dei messaggi promozionali. Aimon, poi, nell’espletamento della sua funzione, utilizzava banche dati acquisite nel mercato. In particolare, la Aimon sosteneva di aveva acquisito i dati dalla società Runwhip s.r.l.

Aimon e B&T assicuravano, inoltre, di aver preso atto dell’opposizione loro presentata dal reclamante. Tuttavia, il reclamante sosteneva di aver ricevuto successivamente ulteriori sms e aveva proceduto ad informare di tali episodi tutte e tre e le società nonché il Garante stesso.

A seguito delle successive note inviate alle società dall’Ufficio del Garante, B&T affermava di non aver agito in qualità di titolare del trattamento, in quanto il servizio promozionale tramite invio di SMS era stato affidato a Aimon. Aggiungeva, inoltre, di aver proceduto alla risoluzione del contratto in corso con la Aimon a causa dei fatti che ne erano emersi.

Consigliamo l’Ebook:

I rischi nel trattamento dei dati – e-Book in pdf

L’ebook analizza gli aspetti pratici dell’attività di analisi dei rischi connessi al trattamento dei dati, partendo dal quadro normativo e fornendo risposte alle principali FAQ in materia di DPIA.Michele IaselliAvvocato, Funzionario del Ministero della Difesa, Docente a contratto di Informatica giuridica all’Università di Cassino e Collaboratore della cattedra di Informatica giuridica alla LUISS ed alla Federico II. Inoltre è Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore di numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di Privacy, Informatica giuridica e Diritto dell’informatica con le principali case editrici. 

Michele Iaselli | 2021 Maggioli Editore

9.90 €  8.42 €

2. Le violazioni contestate dall’Autorità

A seguito del procedimento avviato ai sensi dell’art.166, comma 5 del Codice Privacy, il Garante ha contestato sia a B&T sia ad Aimon le violazioni dei seguenti articoli:

  • 5, par. 1, lett.a) del GDPR: in quanto l’Autorità ritiene violato il principio di liceità, trasparenza e correttezza nel trattamento dei dati personali;
  • 12 GDPR, in virtù del quale il titolare è tenuto ad adottare misure appropriate per fornire all’interessato tutte le informazioni relative ai trattamenti gestiti dalla propria organizzazione in forma concisa, trasparente e facilmente accessibile. Inoltre, tale disposizione prevede che il titolare deve fornire un riscontro alla richiesta dell’interessato senza ingiustificato ritardo;
  • 13 del GDPR, in base al quale il titolare del trattamento deve fornire al titolare una serie di informazioni per ottemperare al principio per cui il trattamento deve essere corretto e trasparente e allo scopo di informare l’interessato dell’esistenza del trattamento e delle sue finalità;
  • 14 del GDPR, il quale prevede gli adempimenti dell’art. 13 con la differenza che in questo caso si tratta di informazioni che non sono state raccolte presso l’interessato;
  • 21 del GDPR, in quanto il Garante ha ritenuto violato il diritto di opposizione dell’interessato; in particolare l’art. 21 prevede che se i dati personali sono trattati per finalità di marketing diretto, l’interessato deve avere il diritto, in qualsiasi momento e gratuitamente, di opporsi a tale trattamento;
  • 6, par. 1, lett. a) del GDPR, in quanto il Garante ritiene che tale trattamento è stato compiuto illecitamente, in particolare senza il consenso dell’interessato;
  • 130 del Codice Privacy, il quale, disponendo sulle comunicazioni indesiderate, precisa che le comunicazioni per “l’invio di materiale pubblicitario o vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale” sono consentite previo consenso dell’interessato. In particolare, il sesto comma dispone che, in caso di reiterate violazioni, il Garante può intervenire e prescrivere alla società erogatrice il servizio pubblicitario “di adottare procedure di filtraggio o altre misure praticabili relativamente alle coordinate di posta elettronica da cui sono state inviate le comunicazioni”.

A seguito della contestazione di tali violazioni, le società hanno quindi presentato le proprie memorie difensive.

La B&T ha affermato di aver dato incarico, attraverso un apposito contratto, alla società Aimon il compito di reperire le liste di contatto.

La Aimon, invece, si è qualificata come mera responsabile del trattamento (ossia colui che tratta i dati per conto del titolare del trattamento), affermando che le società fornitrici di dati avevano agito in qualità di titolari del trattamento (ossia colui che stabilisce le finalità e le modalità del trattamento dei dati personali).

Consigliamo il volume:

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder.  Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.

Monica Mandico | 2019 Maggioli Editore

32.00 €  30.40 €

3. Le valutazioni del Garante

Innanzitutto il Garante ha osservato, che nel caso oggetto di questo provvedimento, i due soggetti coinvolti non hanno mai provveduto ad una definizione precisa dei ruoli da loro assunti all’interno del procedimento relativo al trattamento dei dati personali.

Nonostante nel contratto intercorso tra le due società le stesse non abbiano proceduto ad una precisa qualificazione, il Garante ha ritenuto, sulla base della ricostruzione fattuale, che B&T deve considerarsi come titolare del trattamento, poiché ha determinato il motivo per cui il trattamento stesso è stato posto in essere (ossia: veicolazione di messaggi promozionali); mentre, Aimon deve essere considerata come responsabile del trattamento poiché ha agito sulla base di disposizioni impartite da B&T.

Secondo il Garante, quindi, la mancanza della specificazione dei ruoli delle due società nel contratto da loro sottoscritto, ha comportato la violazione dei principi di cui all’art. 5 del GDPR.

Inoltre, ciò ha comportato, altresì, la violazione degli artt. 12, 13 e 14 del GDPR, poiché il soggetto interessato non ha ricevuto un’adeguata chiara e coincisa informativa sulle finalità e la tipologia di trattamento che sarebbe stato posto in essere.


Potrebbero interessarti i seguenti articoli:


Il Garante, dunque, ha accertato che B&T, pur non essendosi riconosciuto alcun ruolo in tal senso, aveva agito in qualità di titolare, avendo anche dimostrato di aver avuto ruolo primario nella fase di selezione e istruzione del responsabile, ed inoltre non aveva proceduto a richiedere alla società incaricata la documentazione comprovante la sussistenza dei requisiti di liceità del trattamento posto in essere.

Ciò detto il Garante ha ritenuto ancora che la stessa B&T, pur avendo incaricato la società Aimon di procedere alla raccolta di dati, non può considerarsi esonerata da responsabilità rispetto agli effetti prodotti sui soggetti interessati. Secondo il Garante, infatti, È onere del titolare del trattamento avvalersi di responsabili che offrano sufficienti garanzie, ma questo non basta a ridurre il grado di responsabilità in vigilando che il titolare deve costantemente esercitare nel corso delle attività di trattamento

Altra conseguenza illecita derivante dalla mancata specificazione dei ruoli e dalla pluralità di soggetti (società) coinvolti nel trattamento, ha riguardato, ad opinione del Garante, la difficoltà in merito all’esercizio del diritto di opposizione degli interessati.

Nel caso in esame, infatti, il soggetto interessato non ha visto soddisfatto il suo diritto di opposizione, in quanto si è trovato di fronte ad una procedura farraginosa e poco chiara. Oltretutto, il soggetto ricorrente ha continuato a riceve sms promozionali anche dopo aver esercitato il suo diritto di opposizione.

In conseguenza di ciò, secondo il Garante, le società non hanno predisposto idonee procedure di reclamo, violando quanto disposto negli artt. 15-22 del GDPR. Il Regolamento, infatti, prevede che tali procedure devono essere predisposte direttamente dal titolare, oppure questo deve incaricare il responsabile.

4. La decisione del Garante

Alla luce di tutto quanto esposto, il Garante ha ritenuto sussistente una responsabilità in capo a B&T, che ha contribuito al trattamento illecito di dati personali denunciato dal ricorrente.

Dunque, il Garante ha irrogato nei confronti della società una sanzione amministrativa, sotto forma di ordinanza ingiunzione, di €.400.000,00 (quattrocentomila//00).

Infine, ha inviato un monito alla stessa esortandola ad adottare, per i futuri procedimenti di comunicazione pubblicitaria, procedure idonee per regolare correttamente i rapporti contrattuali con il responsabile del trattamento, effettuando i dovuti controlli e predisponendo un’adeguata informativa per gli interessati nonché predisponendo adeguate procedure per l’opposizione degli interessati.

Consigliamo il volume:

Avv. Muia’ Pier Paolo

Scrivi un commento

Accedi per poter inserire un commento