Il trattamento dei dati personali per finalità di telemarketing alla luce del Provvedimento del Garante del 13 novembre 2024.
-
- 31 Gennaio 2025
Il caso
Il procedimento trae origine da una istruttoria avviata dall’Autorità a seguito della ricezione di due separati atti di reclamo proposti nei confronti della Società in materia di trattamento di dati personali per finalità di telemarketing.[1]
Più in particolare, con reclamo n. 345203 l’interessato lamentava di essere stato contattato, in nome e per conto di Illumia, per finalità promozionali sulla propria utenza mobile, in assenza di un’idonea base giuridica e in costanza dell’iscrizione al Registro Pubblico delle Opposizioni (di seguito anche “RPO”).
Con reclamo n. 352673, invece, l’interessata rappresentava di essere stata contattata sull’utenza mobile del figlio, fornita abitualmente quale recapito di riferimento per la gestione delle forniture della propria abitazione, da un operatore che si era qualificato come “referente dell’ufficio commerciale” di Illumia. Nel corso del colloquio telefonico, emergeva che l’interlocutore era già a conoscenza dell’avvenuta richiesta di cd. switch verso XX (di seguito anche “XX”) effettivamente sottoscritta dal-la reclamante in relazione alle proprie utenze luce e gas. Nella medesima occasione, l’operatore telefonico informava, altresì, la reclamante che le attivazioni stipulate con XX non sarebbero potute andare a buon fine e che pertanto si rendeva necessario concludere un nuovo contratto con Illumia
In entrambi i casi oggetto di doglianza, la numerazione chiamante non risultava iscritta al Registro degli operatori della comunicazione (di seguito “ROC”).
L’attività istruttoria condotta dal Garante.
L’Ufficio, all’esito dell’istruttoria, adottava il sopra richiamato atto di contestazione n. 54793/24 nel quale, in primo luogo, si osservava che tutte le circostanze rappresentate da Illumia nelle note di riscontro presentavano indubbia natura documentale e che tuttavia la Società non aveva inteso produrre prova alcuna di tale documentazione, fatta eccezione per due atti di denuncia-querela risalenti a data successiva rispetto alla ricezione delle richieste di informazioni di questa Autorità.
Parimenti anche i chiarimenti relativi alla filiera di controlli e misure posti in essere nei confronti dei propri partner commerciali, appariva generica e contraddittoria, tale da non restituire un quadro completo e coerente della governance societaria in materia di protezione dei dati.
A parere dell’Ufficio, tali elementi valevano a integrare gli estremi della violazione del principio di accountability sancito dagli artt. 5, par. 2[2] e 24[3] del Regolamento, nella parte in cui prevedono che gravi sul titolare l’onere di dimostrare che le operazioni di trattamento dei dati personali siano condotte in ottemperanza alla normativa vigente in materia. Per le medesime ragioni, l’Ufficio riteneva che la documentazione agli atti del procedimento sembrava confermare l’avvenuta violazione degli artt. 5, 6[4] e 7[5] del Regolamento e dell’art. 130 del Codice, per come lamentate mediante gli atti di reclamo pervenuti all’attenzione dell’Autorità in relazione alla ricezione di chiamate promozionali, effettuate in nome e per conto di Illumia, in assenza di un’idonea base giuridica e utilizzando numerazioni non iscritte al Registro degli operatori di comunicazione (ROC).
Con la medesima contestazione, l’Ufficio rilevava altresì numerose criticità in relazione al processo di selezione e monitoraggio delle agenzie deputate allo svolgimento delle attività di teleselling in nome e per conto della Società con specifico riferimento agli obblighi posti in capo al titolare del trattamento ai sensi dell’art. 28 del Regolamento[6] (cd. culpa in eligendo e culpa in vigilando).
Più in particolare, non appariva del tutto aderente al dettato normativo la circostanza che la Società procedesse alla contrattualizzazione delle agenzie, anche in presenza di eventuali disallineamenti rispetto alla normativa in materia di protezione dei dati personali, concedendo tempo sino al termine del periodo di prova per porre in essere eventuali azioni di remediation. Peraltro, stando alle dichiarazioni rese da Illumia, specifici controlli in materia di protezione dei dati personali erano stati implementati soltanto a partire da gennaio 2024 e dunque con notevole ritardo ri-spetto alla data di entrata in vigore del Regolamento.
La prassi appena illustrata, a parere dell’Ufficio, non era condivisibile per un duplice ordine di aspetti, atteso che l’art. 28 del Regolamento impone al titolare del trattamento di avvalersi unicamente di responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi, fin dall’inizio, i requisiti del Regolamento e garantisca la tutela dei diritti dell’interessato. Inoltre, la risoluzione del contratto per mancato superamento della prova, non impediva che medio tempore venissero effettuati contatti telefonici in mancanza di un’idonea base giuridica e introitati gli emolumenti delle eventuali attivazioni che ne erano eventualmente derivate.
Lo scrutinio condotto sulla ipotesi di culpa in eligendo.
Sempre con riferimento alle attività di controllo e monitoraggio poste in essere dalla Società nei confronti delle agenzie e sulle liste di contattabilità, l’assenza di qualsivoglia indice di natura documentale o comunque probatoria, a parere dell’Ufficio induceva a dubitare dell’effettivo svolgimento di audit o visite in loco e della idoneità dei criteri utilizzati per l’individuazione delle agenzie da sottoporre a verifica. Inoltre, dai riscontri forniti emergeva che la Società aveva omesso di implementare misure idonee a impedire l’attivazione di contratti caricati sui sistemi aziendali a seguito di contatti illeciti e a informarne l’interessato.
Nell’atto di contestazione, infine, si rilevavano ulteriori criticità anche in relazione ai principi di integrità, sicurezza e riservatezza sanciti dagli artt. 5, 25[7] e 32[8] del Regolamento, atteso che la Società aveva dichiarato che erano in corso alcune valutazioni di fattibilità in merito all’implementazione di un sistema di tracciamento degli accessi al portale per l’inserimento dei contratti. La mancata implementazione di tale basilare e indispensabile presidio, induceva, infatti, a ritenere da un lato che le operazioni di trattamento non venivano effettuate in maniera tale da garantire un’adeguata sicurezza dei dati personali, compresa la protezione da trattamenti non autorizzati o illeciti e un’adeguata sicurezza dalla perdita, dalla distruzione o dal danno accidentali. Dall’altro lato, siffatta grave lacuna, denotava l’assenza di presidi volti a scongiurare il rischio che contratti derivanti da attività di telemarketing selvag-gio potessero entrare nei sistemi, alimentando così l’indotto del cd. “sottobosco” del telemarketing.
L’Ufficio, pertanto, contestava a Illumia la violazione degli artt. 5, 6, 7, 24, 25, 28 e 32 del Regolamento, nonché dell’art. 130 del Codice, per aver effettuato i sopra descritti trattamenti di dati personali di utenti e contraenti del settore energetico in contrasto con i principi di liceità e responsabilizzazione, in assenza di un’idonea base giuridica e mettendo in atto misure tecniche e organizzative non adeguate per garantire, fin dalla progettazione, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento.
Il significato di dato personale ed il suo perimetro di applicazione.
l’art. 4 punto 1) del regolamento definisce il dato personale come «qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» e che il considerando n. 26 chiarisce che «È auspicabile applicare i principi di protezione dei dati a tutte le informazioni relative a una persona fisica identificata o identificabile. I dati personali sottoposti a pseudonimizzazione, i quali potrebbero essere attribuiti a una persona fisica mediante l’utilizzo di ulteriori informazioni, dovrebbero essere considerati informazioni su una persona fisica identificabile. Per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi, come l’individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici (…)».
Applicando tali principi al caso di specie, è oltremodo evidente che in base alle dichiarazioni rese nell’atto di reclamo, l’operatore era in possesso di una serie di informazioni (indirizzo, numero di telefono, richiesta di switch, operatore prescelto) che, utilizzate congiuntamente, erano riferibili esclusivamente alla reclamante, ne consegue che la doglianza risulta contenere tutti i requisiti di forma e sostanza previsti dall’art. 77[9] del Regolamento.
Specifiche in merito alla individuazione del soggetto tutelato in caso di trattamento di dati per finalità di marketing
A ciò deve aggiungersi che destinatario di tutela nei trattamenti di dati per finalità di telemarketing non è solo il “contraente” di un rapporto di fornitura di servizi telefonici, ma anche l’“utente”, inteso come “qualsiasi persona fisica che utilizza un servi-zio di comunicazione elettronica accessibile al pubblico, per motivi privati o commerciali, senza esservi necessariamente abbonata”, così come specificato dall’art. 121, comma 1-bis, lett. g) del Codice[10].
Le obbligazioni in capo al titolare in caso di esternalizzazione del servizio, alla luce del principio di accountability.
In primo luogo, sul tema corre l’obbligo osservare che la mera previsione formale di istruzioni operative, obblighi e clausole di manleva non può valere quale adempimento degli obblighi gravanti sul titolare del trattamento, allorquando non sia accompagnata da periodiche ed efficaci iniziative di vigilanza e verifica.
Inoltre, non appare condivisibile la scelta di effettuare le attività di monitoraggio utilizzando criteri che si risolvono nell’individuazione di un numero eccessivamente ristretto di soggetti o correlati alla mera insorgenza di anomalie e segnalazioni.
Con l’entrata in vigore del Regolamento Europeo, nell’ordinamento giuridico italiano, tra le altre cose, è stato introdotto il concetto di accountability, un principio dalle molteplici ricadute e per molti versi dirompente. Tale richiamato principio, che risente indubbiamente dell’influenza degli ordinamenti di common low, si rivela del tutto innovativo.
Con il Legislatore italiano, infatti, il cittadino è abituato a conoscere esattamente la portata degli obblighi e dei divieti normativamente imposti.
Diversamente il principio di acccountability conferisce al titolare del trattamento un’ampia libertà di scelta rispetto alla implementazione della propria governance in materia di protezione dei dati, alla quale è intimamente correlato un complesso concetto di responsabilità.
Prova di tale innovativa visione della materia è la stessa formulazione delle norme sulla sicurezza, che non elencano più le misure minime da adottare, ma impongono al titolare di valutare e individuare gli accorgimenti adeguati in relazione al contesto, allo stato dell’arte e ai rischi.
Nell’ambito di tale nuova concezione del ruolo stesso del titolare, il principio di accountability deve necessariamente essere considerato alla stregua di un fil rouge che informa l’interpretazione e l’applicazione di tutte le norme e i principi contenuti all’interno del Regolamento e quindi un imprescindibile canone ermeneutico.
Per l’effetto, gli obblighi gravanti sul titolare del trattamento ai sensi dell’art. 28 del Regolamento, se interpretati alla luce del principio di responsabilizzazione, non possono ritenersi efficacemente assolti dalla mera previsione di clausole di stile o da interventi realizzati soltanto ex post al verificarsi di un’anomalia, ma impongono un quid pluris, vale a dire l’effettiva governabilità della filiera di trattamento e l’aggiornamento periodico delle stesse misure tecniche e organizzative implementa-te per realizzarla.
Il rispetto dei principi di integrità, sicurezza e riservatezza sanciti agli artt. 5, 25 e 32 del Regolamento.
Dalla documentazione e dalle informazioni complessivamente acquisite, appare infine acclarata anche l’avvenuta violazione dei principi di integrità, sicurezza e riservatezza sanciti agli artt. 5, 25 e 32 del Regolamento.
Pur essendo meritevole di pregio l’avvenuta proceduralizzazione di un sistema di caricamento dei contratti basato sulla creazione di profili personalizzati gestiti dai singoli operatori e protetti da password, la Società non ha fornito alcun elemento idoneo a comprovare l’adozione di misure atte a scongiurare il rischio dell’attivazione di contratti originati da un contatto illecito. Più in particolare, se è pur vero che Il-lumia sembra essere in grado di risalire a ritroso dal contratto all’operatore che l’ha inserito nei sistemi aziendali, allo stesso tempo ha omesso di implementare misure e accorgimenti che ne impediscano a monte l’ingresso (p.e. istruzioni sulla gestione delle password, misure atte a impedire l’utilizzo contestuale dell’account da più soggetti, misure idonee a rivelare accessi anomali per orario, numerosità o area geografica ecc.).
L’esito dell’attività istruttoria.
Per quanto sopra esposto si ritiene accertata la responsabilità di Illumia in ordine alle seguenti violazioni:
a) artt. 5, par. 2 e 24 del Regolamento per non avere compiutamente adempiuto nell’ambito dell’istruttoria preliminare del presente procedimento all’onere di dimostrare che le operazioni di trattamento siano condotte in ottemperanza alla normativa sulla protezione dei dati personali;
b) artt. 5, 6 e 7 del Regolamento, nonché 130 del Codice, per aver effettuato i contatti promozionali oggetto di doglianza in assenza di un’idonea base giuridica;
d) artt. 5, par. 2, 24 e 28 del Regolamento per la mancata implementazione di misure e procedure idonee a fare in modo che in caso di svolgimento di trattamenti in outsourcing, vengano selezionati soltanto soggetti che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato (cd. culpa in eligendo);
e) artt. 5, par. 2, 24 e 28 del Regolamento per la mancata implementazione di istruzioni, misure e procedure pienamente aderenti alla disciplina applicabile e idonee e garantire l’efficace vigilanza sull’operato dei Responsabili del trattamento (cd. culpa in vigilando);
f) artt. 5, 25 e 32 del Regolamento per la mancata implementazione di misure di sicurezza tecniche e organizzative idonee a scongiurare il rischio dell’attivazione di contratti originati da un contatto illecito, nonché dell’accesso ai sistemi aziendali da parte di soggetti non autorizzati.
Accertata altresì l’illiceità delle condotte della Società con riferimento ai trattamenti presi in esame, si rende necessario:
– rivolgere a Illumia un ammonimento ai sensi dell’art. 58, par. 2, lett. b)[11] per non avere compiutamente adempiuto nell’ambito dell’istruttoria preliminare del presente procedimento all’onere di dimostrare che le operazioni di trattamento siano condotte in ottemperanza alla normativa sulla protezione dei dati personali;
– imporre a Illumia, ai sensi dell’art. 58, par. 2, lett. f)[12] del Regolamento, il divieto di ogni ulteriore trattamento dei dati appartenenti ai reclamanti;
– ingiungere a Illumia, ai sensi dell’art. 58, par. 2, lett. d)[13] del Regolamento, di adottare misure tecniche e organizzative idonee ad assicurare il pieno rispetto degli obblighi gravanti sul titolare del trattamento ai sensi dell’art. 28 del Regolamento;
– ingiungere a Illumia, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento di adottare misure tecniche e organizzative idonee a scongiurare il rischio dell’attivazione di contratti originati da un contatto illecito e dell’accesso ai sistemi aziendali da parte di soggetti non autorizzati;
– adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Illumia della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento[14].
La determinazione della sanzione
Le violazioni sopra indicate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice[15] e 18 della legge n. 689/1981, per l’applicazione nei confronti di Illumia della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento (pagamento di una somma fino a € 20.000.000,00 ovvero, per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore).
Per la determinazione del massimo edittale della sanzione pecuniaria, occorre pertanto fare riferimento al fatturato di Illumia, come ricavato dall’ultimo bilancio d’esercizio disponibile (marzo 2023) in accordo con i precedenti provvedimenti adottati dall’Autorità, e quindi si determina tale massimo edittale, nel caso in argomento, in euro 27.155.872,00.
Per la determinazione dell’ammontare della sanzione occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento.
Nel caso in esame, assumono rilevanza:
1) la gravità delle violazioni (art. 83, par. 2, lett. a) del Regolamento[16]), tenuto conto dell’oggetto e delle finalità dei dati trattati, riconducibili al fenomeno complessi-vo del telemarketing, in ordine al quale l’Autorità ha adottato, in particolare negli ultimi tre anni, numerosi provvedimenti che hanno compiutamente preso in esame i molteplici elementi di criticità fornendo ai titolari numerose indicazioni per adeguare i trattamenti alla normativa vigente e per attenuare l’impatto delle chiamate di disturbo nei confronti degli interessati;
2) quale fattore attenuante, ai sensi dell’art. 83, par. 2, lett. d) le misure tecniche e organizzative già implementate dal titolare del trattamento ai sensi dell’art. 25 e 32 del Regolamento, quali in via esemplificativa l’utilizzo dal primo gennaio 2024 di un’apposita check list privacy per la selezione delle agenzie, l’implementazione di un sistema di controlli a campione sulle liste utilizzate e sui contratti, la creazione di account personali e protetti da password per l’acceso ai sistemi da parte di terzi.
In base al complesso degli elementi sopra indicati, e ai principi di effettività, proporzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, e tenuto conto del necessario bilanciamento fra diritti degli interessati e libertà di impresa, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative e funzionali della Società, si ritiene debba applicarsi a Illumia la sanzione amministrativa del pagamento di una somma di euro 678.897,00, pari al 2,5% della sanzione massima edittale.
Nel caso in argomento si ritiene che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della natura dei trattamenti e delle condotte della Società, nonché degli elementi di rischio per i diritti e le libertà degli interessati.
[1]Provvedimento del 13 novembre 2024 Registro dei provvedimenti n. 672 del 13 novembre 2024. [doc. web n. 10086536]
[2] Articolo 5 Principi applicabili al trattamento di dati personali
(omissis)
2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»). (C74)
[3] Articolo 24 Responsabilità del titolare del trattamento (C74-C78)
1. Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato
conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.
2. Se ciò è proporzionato rispetto alle attività di trattamento, le misure di cui al paragrafo 1 includono l’attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento.
3. L’adesione ai codici di condotta di cui all’articolo 40 o a un meccanismo di certificazione di cui all’articolo 42 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento.
[4] Articolo 6 Liceità del trattamento
1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni: (C40)
a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità; (C42, C43)
b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso; (C44)
c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento; (C45)
d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica; (C46)
e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento; (C45, C46)
f ) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore. (C47-C50) La lettera f ) del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti.
2. Gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto
anche per le altre specifiche situazioni di trattamento di cui al capo IX. (C8, C10, C41, C45, C51)
3. La base su cui si fonda il trattamento dei dati di cui al paragrafo 1, lettere c) ed e), deve essere stabilita: (C8, C10, C41, C45, C51)
a) dal diritto dell’Unione; o b) dal diritto dello Stato membro cui è soggetto il titolare del trattamento. La finalità del
trattamento è determinata in tale base giuridica o, per quanto riguarda il trattamento di cui al paragrafo 1, lettera e), è necessaria per l’esecuzione di un compito svolto nel pubblico interesse o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. Tale base giuridica potrebbe contenere disposizioni specifiche per adeguare
l’applicazione delle norme del presente regolamento, tra cui: le condizioni generali relative alla liceità del trattamento da parte del titolare del trattamento; le tipologie di dati oggetto del trattamento; gli interessati; i soggetti cui possono essere comunicati i dati personali e le finalità per cui sono comunicati; le limitazioni della finalità, i periodi di conservazione e le operazioni e procedure di trattamento, comprese le misure atte a garantire un trattamento lecito e corretto, quali quelle per altre specifiche situazioni di trattamento di cui al capo IX. Il diritto dell’Unione o degli Stati membri persegue un
obiettivo di interesse pubblico ed è proporzionato all’obiettivo legittimo perseguito.
4. Laddove il trattamento per una finalità diversa da quella per la quale i dati personali sono stati raccolti non sia basato sul consenso dell’interessato o su un atto legislativo dell’Unione o degli Stati membri che costituisca una misura necessaria e proporzionata in una società democratica per la salvaguardia degli obiettivi di cui all’articolo 23, paragrafo 1, al fine di verificare se il trattamento per un’altra finalità sia compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti, il titolare del trattamento tiene conto, tra l’altro: (C50)
a) di ogni nesso tra le finalità per cui i dati personali sono stati raccolti e le finalità dell’ulteriore trattamento previsto;
b) del contesto in cui i dati personali sono stati raccolti, in particolare relativamente alla relazione tra l’interessato e il titolare del trattamento;
c) della natura dei dati personali, specialmente se siano trattate categorie particolari di dati personali ai sensi dell’articolo 9, oppure se siano trattati dati relativi a condanne penali e a reati ai sensi dell’articolo 10;
d) delle possibili conseguenze dell’ulteriore trattamento previsto per gli interessati;
e) dell’esistenza di garanzie adeguate, che possono comprendere la cifratura o la pseudonimizzazione.
[5] Articolo 7 Condizioni per il consenso (C42, C43)
1. Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali.
2. Se il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Nessuna parte di una tale dichiarazione che costituisca una violazione del presente regolamento è vincolante.
3. L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima di esprimere il proprio consenso, l’interessato è informato di ciò. Il consenso è revocato con la stessa facilità con cui è accordato.
4. Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto.
[6] Articolo 28 Responsabile del trattamento (C81)
1. Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.
2. Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche.
3. I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento: a) tratti i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il responsabile del trattamento; in tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico; b) garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza; c) adotti tutte le misure richieste ai sensi dell’articolo 32; d) rispetti le condizioni di cui ai paragrafi 2 e 4 per ricorrere a un altro responsabile del trattamento; e) tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III; f ) assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento; g) su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati; e h) metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato. Con riguardo alla lettera h) del primo comma, il responsabile del trattamento informa immediatamente il titolare del trattamento qualora, a suo parere, un’istruzione violi il presente regolamento o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati.
4. Quando un responsabile del trattamento ricorre a un altro responsabile del trattamento per l’esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento di cui al paragrafo 3, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento. Qualora l’altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi dell’altro responsabile.
5. L’adesione da parte del responsabile del trattamento a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare le garanzie sufficienti di cui ai paragrafi 1 e 4 del presente articolo.
6. Fatto salvo un contratto individuale tra il titolare del trattamento e il responsabile del trattamento, il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 del presente articolo può basarsi, in tutto o in parte, su clausole contrattuali tipo di cui ai paragrafi 7 e 8 del presente articolo, anche laddove siano parte di una certificazione concessa al titolare del trattamento o al responsabile del trattamento ai sensi degli articoli 42 e 43.
7. La Commissione può stabilire clausole contrattuali tipo per le materie di cui ai paragrafi 3 e 4 del presente articolo e secondo la procedura d’esame di cui all’articolo 93, paragrafo 2.
8. Un’autorità di controllo può adottare clausole contrattuali tipo per le materie di cui ai paragrafi 3 e 4 del presente articolo in conformità del meccanismo di coerenza di cui all’articolo 63.
9. Il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 è stipulato in forma scritta, anche in formato elettronico.
10. Fatti salvi gli articoli 82, 83 e 84, se un responsabile del trattamento viola il presente regolamento, determinando le finalità e i mezzi del trattamento, è considerato un titolare del trattamento in questione.
[7] Articolo 25 Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita (C75-C78)
1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.
2. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare,
dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.
3. Un meccanismo di certificazione approvato ai sensi dell’articolo 42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo.
[8] Articolo 32 Sicurezza del trattamento (C83)
1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
2. Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale,
a dati personali trasmessi, conservati o comunque trattati.
3. L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.
4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.
[9] Articolo 77 Diritto di proporre reclamo all’autorità di controllo (C141)
1. Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l’interessato che ritenga che il trattamento che lo riguarda violi il presente regolamento ha il diritto di proporre reclamo a un’autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione.
2. L’autorità di controllo a cui è stato proposto il reclamo informa il reclamante dello stato o dell’esito del reclamo, compresa la possibilità di un ricorso giurisdizionale ai sensi dell’articolo 78.
[10] Art. 121 (Servizi interessati e definizioni)
1. Le disposizioni del presente titolo si applicano al trattamento dei dati personali connesso alla fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazioni, comprese quelle che supportano i dispositivi di raccolta dei dati e di identificazione.21
1-bis. Ai fini dell’applicazione delle disposizioni del presente titolo si intende per:
(omissis)
g) «utente», qualsiasi persona fisica che utilizza un servizio di comunicazione elettronica accessibile al pubblico, per motivi privati o commerciali, senza esservi necessariamente abbonata;
[11] Articolo 58 Poteri (C122, C129)
(omissis)
2. Ogni autorità di controllo ha tutti i poteri correttivi seguenti:
(omissis)
b) rivolgere ammonimenti al titolare e del trattamento o al responsabile del trattamento ove i trattamenti abbiano violato le disposizioni del presente regolamento;
[12] Articolo 58Poteri (C122, C129)
(omissis)
2. Ogni autorità di controllo ha tutti i poteri correttivi seguenti:
(omissis)
f ) imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento;
[13] Articolo 58Poteri (C122, C129)
(omissis)
2. Ogni autorità di controllo ha tutti i poteri correttivi seguenti:
(omissis)
d) ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine;
[14] Articolo 83Condizioni generali per infliggere sanzioni amministrative pecuniarie (C148, C150-C152)
(omissis)
3. Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave.
(omissis)
5. In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore:
a) i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;
b) i diritti degli interessati a norma degli articoli da 12 a 22;
c) i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49;
d) qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX; e) l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1.
[15] Art. 166 (Criteri di applicazione delle sanzioni amministrative pecuniarie e procedimento per l’adozione dei provvedimenti correttivi e sanzionatori)
(omissis)
7. Nell’adozione dei provvedimenti sanzionatori nei casi di cui al comma 3 si osservano, in quanto applicabili, gli articoli da 1 a 9, da 18 a 22 e da 24 a 28 della legge 24 novembre 1981, n. 689; nei medesimi casi puo’ essere applicata la sanzione amministrativa accessoria della pubblicazione dell’ordinanza-ingiunzione, per intero o per estratto, sul sito internet del Garante o della ingiunzione a realizzare campagne di comunicazione istituzionale volte alla promozione della consapevolezza del diritto alla protezione dei dati personali, sulla base di progetti previamente approvati dal Garante e che tengano conto della gravità della violazione. Nella determinazione della sanzione ai sensi dell’articolo 83, paragrafo 2, del Regolamento, il Garante tiene conto anche di eventuali campagne di comunicazione istituzionale volte alla promozione della consapevolezza del diritto alla protezione dei dati personali, realizzate dal trasgressore anteriormente alla commissione della violazione. I proventi delle sanzioni, nella misura del cinquanta per cento del totale annuo, sono riassegnati al fondo di cui all’articolo 156, comma 8, per essere destinati alle specifiche attivita’ di sensibilizzazione e di ispezione nonché’ di attuazione del Regolamento svolte dal Garante
[16] Articolo 83Condizioni generali per infliggere sanzioni amministrative pecuniarie (C148, C150-C152)
(omissis)
