provvedimento

Apple e la garanzia biennale. Multa di 900.000 euro dall’Antitrust

La Apple ha posto in essere pratiche commerciali scorrette nel mercato italiano (e probabilmente anche europeo) con riguardo alla garanzia biennale dovuta nelle vendite commerciali con i consumatori.

Dopo numerosi casi, alcuni segnalati anche su Information Society & ICT Law, l’Antitrust italiana (Autorità Garante della Concorrenza e del Mercato – AGCM), nel corso dell’adunanza del 21 dicembre 2011, ha sanzionato tre società del gruppo Apple per un importo complessivo di 900.000 euro, per due distinte condotte.

Ecco il provvedimento integrale dell’AGCM (82 pag.) e l’estratto (1 pag.)

Come precisato dall’Authority,

In particolare (…) le tre società del gruppo, Apple Sales International, Apple Italia S.r.l. e Apple Retail Italia hanno messo in atto due distinte pratiche commerciali scorrette:

 

1) presso i propri punti vendita e/o sui siti internet apple.com e store.apple.com, sia al momento dell’acquisto che al momento della richiesta di assistenza, non informavano in modo adeguato i consumatori sui diritti di assistenza gratuita biennale previsti dal Codice del Consumo, ostacolando l’esercizio degli stessi e limitandosi a riconoscere la garanzia convenzionale del produttore di 1 anno;

 

2) le informazioni date su natura, contenuto e durata dei servizi di assistenza aggiuntivi a pagamento AppleCare Protection Plan, unite ai mancati chiarimenti sull’esistenza della garanzia legale biennale, erano tali da indurre i consumatori a sottoscrivere un contratto aggiuntivo quando la ‘copertura’ del servizio a pagamento si sovrappone in parte alla garanzia legale gratuita prevista dal Codice del Consumo.

 

In conseguenza dell’accertamento delle due violazioni sono state comminate diverse sanzioni:

Le sanzioni sono pari a 400mila euro per la prima pratica e 500mila per la seconda pratica. Per la prima pratica, l’Autorità ha infatti tenuto conto delle modifiche adottate dalle società del gruppo nel corso del procedimento, in grado di garantire una migliore informazione ai consumatori, riducendo così il massimo edittale di 500mila che è stato invece applicato per la seconda pratica.

 

Tali importi sono stati ripartiti tra le tre società in ragione del loro fatturato, secondo il seguente schema:

 

1) Mancata informazione e riconoscimento della garanzia legale:

 

- Apple Sales International 240 (duecentoquaranta) mila euro;

 

- Apple Italia S.r.l. 80 (ottanta) mila euro;

 

- Apple retail Italia S.r.l. 80 (ottanta) mila euro;

 

2) informazioni fuorvianti per indurre alla sottoscrizione del contratto di assistenza aggiuntiva a pagamento:

 

- Apple Sales International 300 (trecento) mila euro;

 

- Apple Italia S.r.l. 100 (cento) mila euro;

 

- Apple retail Italia S.r.l. 100 (cento) mila euro;

 

Le società, oltre a cessare le pratiche e comunicare all’Autorità le misure assunte per ottemperare al provvedimento, dovranno pubblicare un estratto della delibera dell’Antitrust sul sito www.apple.com in modo da informare i consumatori.

 

La società Apple Sales International, infine, entro 90 giorni, dovrà adeguare le confezioni di vendita dei servizi AppleCare Protection Plan, inserendo l’indicazione sulla esistenza e durata biennale della garanzia di conformità nonché indicando correttamente la durata del periodo di assistenza con riferimento alla scadenza della garanzia legale di conformità (…).

 

Fabio Bravo

www.fabiobravo.it

Privacy, tessera del tifoso e sicurezza negli stadi

Sulla tessera del tifoso è intervenuto il Garante per la protezione dei dati personali con un apposito provvedimento intitolato “Tessera del tifoso: più garanzia per i supporter“, come si legge in un comunicato stampa del 12 gennaio 2011:

I supporter delle squadre di calcio che aderiscono al programma “tessera del tifoso” devono essere informati in modo chiaro e dettagliato sull’uso dei dati personali forniti al momento della sottoscrizione. Devono inoltre essere messi in condizione di poter scegliere liberamente se autorizzare l’uso di questi dati anche per finalità di marketing e pubblicità.

Il Garante privacy ha fissato precise garanzie per i tifosi che aderiscono al programma “tessera del tifoso” con un provvedimento che tiene conto anche di alcune segnalazioni pervenute all’Autorità e che è stato inviato al Ministero dell’interno, al Coni, alla Figc e alle società sportive che aderiscono al programma. La tessera del tifoso è uno strumento multifunzionale che, oltre a consentire di far parte di una comunità “virtuosa” di tifosi, permette al possessore di fruire di facilitazioni e servizi messi a disposizione dalle società sportive, di seguire la squadra in trasferta nel settore “ospiti”, di accedere agevolmente agli impianti sportivi attraverso i varchi a lettura elettronica.

Ogni tessera rilasciata dalla società al tifoso dopo l’ok della questura, contiene i dati personali del possessore, è contrassegnata da un codice alfanumerico che la identifica in modo univoco e spesso contiene un dispositivo a radiofrequenza (rfid), utilizzato solo per l’accesso agli stadi e “leggibile” ad una distanza non superiore a 10 cm da appositi lettori posizionati presso i tornelli di ingresso.

L’Autorità nel suo provvedimento ha stabilito che le società sportive dovranno migliorare l’informativa da dare ai tifosi, mettendo ben in evidenza i trattamenti di dati che non richiedono il consenso, perché connessi al rilascio della tessera, e quelli che possono essere effettuati solo su base volontaria e con un consenso ad hoc (marketing, profilazione, invio di comunicazioni commerciali). Ai tifosi dovrà infatti essere sempre garantita la possibilità di poter esprimere esplicitamente il loro “no” all’uso dei dati per finalità di marketing.

Nell’informativa dovrà essere inoltre ben specificato che i dati anagrafici dei possessori delle tessera vengono comunicati alle questure allo scopo di verificare l’assenza di provvedimenti (D.a.spo., misure di prevenzione, sentenze di condanna per reati cosiddetti da stadio) che ostacolino il rilascio.

I tifosi, infine, dovranno essere informati sulle caratteristiche dei trattamenti effettuati tramite la tecnologia rfid.

L’Autorità si è comunque riservata approfondimenti in caso di revisioni eventualmente apportate al programma “tessera del tifoso”.

Fabio Bravo

www.fabiobravo.it

Information Society & ICT Law

Accesso non autorizzato dei dipendenti di una banca ai dati relativi al conto del cliente

Un interessante provvedimento del Garante è intervenuto sul caso di una cliente che si è vista produrre in giudizio, ad opera della controparte, dati relativi al proprio conto corrente, che solo lei e il personale della banca avrebbero potuto conoscere.

Ne è nata una contestazione, portata all’attenzione anche del Garante tramite segnalazione.

Il Garante, nell’accertare la violazione, ha imposto non solo adeguate misure di sicurezza, ma ha anche chiarito che la banca è tenuta a dare immediatamente informazione al cliente in ordine all’accesso illecito al trattamento dei dati da parte del proprio personale, rispondendo tale obbligo al principio di correttezza previsto all’art. 11 del Codice della privacy.

Segnatamente, il Garante ha stabilito, nel richiamato provvedimento, che

Deve altresì rilevarsi che la mancata comunicazione alla segnalante dell’accesso non autorizzato alle informazioni personali alla stessa riferibili, una volta accertato mediante le verifiche interne disposte dalla banca, integra una violazione del principio di correttezza nel trattamento (art. 11, comma 1, lett. a) del Codice). Tanto più, tenendo conto del comportamento osservato nel caso di specie nel quale la banca ha inizialmente dichiarato che le indagini aziendali concernenti gli accessi effettuati nei confronti dei conti correnti che facevano capo alla XY “non risulta[va]no direttamente riconducibili all’opera di dipendenti diversi da quelli addetti all’ordinaria e regolare gestione dei rapporti stessi” e che, pertanto, non erano stati riscontrati elementi oggettivi per ritenere che le informazioni utilizzate nell’ambito della controversia giudiziaria in corso provenissero da personale della banca (cfr. nota Intesa SanPaolo del 17 gennaio 2008); affermazioni risultate in seguito non rispondenti ai fatti realmente accaduti.

Tale tempestiva informazione, in termini generali, avrebbe potuto consentire alla correntista l’adozione di appropriate misure e, ove possibile, una minimizzazione dei rischi connessi alla violazione della disciplina di protezione dei dati personali (nel caso di specie preordinata ad assicurare anche il segreto bancario).

Deve ritenersi, pertanto che la banca, una volta acquisita la conoscenza di accessi non autorizzati che riguardano la clientela, sia tenuta a darne notizia senza ritardo agli interessati.

Tale principio, di enorme portata, vale ovviamente per tutti i trattamenti di dati personali, a prescindere dal fatto che il titolare sia o meno un istituto di credito.

In altre parole, l’illiceità del trattamento per violazione del precetto normativo contenuto nell’art. 11 del d.lgs. 196/2003 è duplice: da un lato si riscontra nell’accesso non autorizzato ai dati da parte del personale non legittimato  ad accedervi; dall’altro lato si riscontra nella mancata comunicazione al soggetto interessato dell’illiceità dell’accesso. L’omessa comunicazione, si noti,  impedirebbe all’interessato medesimo di reagire tempestivamente e di contenere il (rischio di) danno.

Nel provvedimento reso dal Garante viene definita, dunque, un’ipotesi di violazione del principio di correttezza del trattamento, il quale, essendo previsto per legge all’art. 11 del Codice, si traduce anche, contemporaneamente, in violazione di legge. Ove il titolare volesse evitare la violazione del principio di correttezza, secondo la prospettazione del Garante, è tenuto ad informare l’interessato (ossia il cliente) della violazione del trattamento (riscontrata, ad esempio, attraverso le indagini interne aziendali, da prevedere come misura di sicurezza).

L’osservanza del principio di correttezza previsto per legge, che così interpretato si traduce nell’obbligo di avvisare l’interessato della violazione, finisce per rappresentare in ultima analisi (e questo è ciò che più sorprende) un’autodenuncia di violazione imposta al titolare del trattamento.    

Per comprendere meglio la fattispecie, riporto di seguito quanto riportato dal Garante per la protezione dei dati personali nella newsletter del 9 settembre 2009:

Banche: dati dei clienti più protetti

Gli accessi non autorizzati devono essere tempestivamente comunicati al titolare del conto

La banca deve proteggere con particolare attenzione i dati della clientela e deve dare immediata notizia al titolare del conto di eventuali accessi ingiustificati, anche se effettuati da propri dipendenti, alle informazioni riguardanti il conto corrente.

È quanto ha stabilito il Garante per la privacy, con un provvedimento di cui è stato relatore Mauro Paissan, affrontando il caso di una signora che lamentava il trattamento illecito dei suoi dati personali da parte della propria banca. Nell’ambito di una causa di separazione, il marito aveva infatti prodotto una memoria contenente informazioni, relative a un conto corrente, che solo la donna stessa o il personale della filiale presso la quale aveva aperto il conto potevano conoscere.

Alla scoperta della violazione, la cliente si era subito rivolta all’istituto di credito per chiedere chi avesse avuto accesso ai dati, comunicandoli poi all’esterno. L’istituto bancario aveva inizialmente negato i fatti e solo in seguito a ulteriori richieste della donna, ammetteva che un dipendente aveva prima consultato senza giustificate “esigenze operative” i conti correnti della segnalante e poi inoltrato i dati a un altro funzionario del gruppo bancario. A causa del loro comportamento, entrambi i lavoratori erano stati temporaneamente sospesi dal lavoro.

La donna si era nel frattempo rivolta anche al Garante. Gli accertamenti dell’Autorità hanno messo in luce che la banca aveva sì adottato misure di sicurezza ma non sufficienti a impedire il trattamento non consentito dei dati del conto corrente. L’istituto di credito, inoltre, pur avendo rilevato l’accesso non autorizzato ai conti della sua cliente, non l’aveva tempestivamente avvertita, con ciò violando il principio di correttezza. La tempestiva informazione avrebbe, infatti, potuto consentire alla correntista perlomeno di ridurre i rischi derivanti dall’indebita divulgazione dei dati del suo conto.

L’Autorità ha prescritto al gruppo bancario di adottare misure di sicurezza idonee a garantire la scrupolosa vigilanza sull’operato degli incaricati, e di sensibilizzare i funzionari al rigoroso rispetto delle norme sulla privacy attraverso attività di formazione. Ha inoltre stabilito che la banca, una volta acquisita la conoscenza di accessi non autorizzati ai dati della clientela, inclusi quelli eventualmente effettuati dai suoi dipendenti, è tenuta a comunicarlo tempestivamente agli interessati.

L’Autorità ha infine disposto la trasmissione del provvedimento alla Procura della Repubblica per le valutazioni di competenza riguardo a eventuali illeciti penali commessi.

Fabio Bravo

www.fabiobravo.it

 

EnglishFrenchGermanItalianPortugueseRussianSpanish

My Projects

      EUPL.IT - Sito italiano interamente dedicato alla EUPL

E-Contract-U

Giornalismo Investigativo - Inchieste e Diritto dell'informazione

My Books

My e-Books