La vicenda
Due persone (fisiche) si recano presso un’agenzia immobiliare (Agenzia Toscocountry DI Pizzi Claudia) per visionare alcuni immobili, al fine di valutare un possibile acquisto.
L’agenzia, in seguito, invia una mail, contenente un report sugli immobili visitati, non ad un indirizzo personale, ma ad un indirizzo PEC intestato all’azienda di cui una delle due persone è rappresentante legale.
La contestazione
I due reclamanti, contestano l’illegittimità dell’utilizzo di quell’indirizzo PEC da parte dell’agenzia, dato che il consenso per l’utilizzo dei recapiti previsti era stato dato per il cellulare e la mail personale di una delle due persone, tra l’altro, non il legale rappresentante della società proprietaria dell’account utilizzato.
Gli interessati ricorrono al Garante della Privacy.
Il parere dell’Authority del Garante
Il Garante prende atto della buona fede dell’agenzia e della mancanza del dolo, tuttavia, secondo l’art. 162, comma 2 bis del Codice, la sanzionabilità della condotta, rispetto ai consensi, è prevista “in ogni caso” a prescindere dalla finalità e dal comportamento doloso.
L’esito finale
La commissione dell’Authority, analizzata la situazione e valutata la condizione reddituale dell’agenzia, commina una sanzione di € 10.000 euro, ridotta a
€ 4.000. L’ingiunzione impone il pagamento entro 30 giorni dall’emissione dell’atto.
E’ possibile visionare la fonte originale del provvedimento (num. 468 dell’ 11 ottobre 2018) al seguente link:
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9073723
Il commento di Daniele Umberto Spano (Ceo di Kruzer)
L’attenzione da porre, quando avviene un trattamento di dati personali, deve essere ai massimi livelli. Più volte abbiamo sollecitato le imprese a considerare con maggior sollecitudine gli aspetti relativi alla protezione dei dati personali, sia applicando le buone pratiche nei trattamenti, sia implementando le misure idonee tecniche e organizzative. Tra le misure organizzative, sicuramente è fondamentale la formazione, indicata come “obbligatoria” dall’art. 29 del GDPR. Conoscendo le corrette modalità di applicazione del regolamento è meno probabile incorrere in sanzioni.
Nel caso specifico, l’agenzia coinvolta non è un grande e visibile network della capitale, ma una piccola agenzia in provincia di Pisa. Ciò è indicativo rispetto alla probabilità reale di finire nelle mire del Garante, specialmente nei casi in cui si accendono controversie o vengono inviate segnalazioni. Ci ricordiamo ancora del bar, ditta individuale, nel centro di Verona, costretto a pagare una sanzione di ben € 12.000 per non aver rispettato i tempi di conservazione dell’impianto di videosorveglianza.
La vicenda, oggi sopradescritta, denota che anche un approssima documentazione, nel caso specifico, il consenso fatto firmare ad uno dei due soggetti, non è sufficiente ad evitare le sanzioni quando le azioni pratiche del trattamento dei dati, pur se in buona fede, travalicano i limiti della legittimità che il documento avrebbe dovuto garantire.
Daniele Umberto Spano
Ceo Kruzer S.r.l.
