Civile.it
/internet
Osservatorio sul diritto e telecomunicazioni informatiche, a cura del dott. V. Spataro dal 1999, 9266 documenti.

Il dizionario e' stato letto volte.



Segui via: Email - Telegram
  Dal 1999   spieghiamo il diritto di internet  Store  Podcast  Dizionario News alert    
             

  


WPkit.it: privacy, formulari, check up per WordPress

Temi attuali:
Algoritmi ChatGPT Intelligenza artificiale Privacy WordPress



Privacy 17.05.2012    Pdf    Appunta    Letti    Post successivo  

Avete comprato liste di nominativi per fare pubblicita' ? Dovete controllarle ...

Decisione forte del Garante in un contesto particolare di leggerezze. Segnalata su Twitter dall'avv. Giorgio Battaglini di Mestre
Spataro

 

G

Garante per la protezione dei dati personali
 Prescrizioni e divieto del Garante [art. 154, 1 c) e d) del Codice] -        
 

[doc. web n. 1891156]

Trattamento di dati personali tratti da un questionario on-line in assenza di validi consenso e informativa. Ne risponde anche l'acquirente di liste di contatti da utilizzare a fini di marketing, indipendentemente dalla sua qualificazione giuridica nel contratto di fornitura - 5 aprile 2012

Registro dei provvedimenti
n. 136 del 5 aprile 2012

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito Codice) ed, in particolare, gli artt. 4, comma 1, lett. f) e g), 28 e 29 relativi all'individuazione delle figure soggettive del titolare e del responsabile del trattamento di dati personali, nonché gli artt. 13 e 23 in materia, rispettivamente, di informativa e consenso dell'interessato al trattamento dei propri dati personali da parte di soggetti privati ed, infine, l'art. 130, comma 3 che subordina, tra l'altro, l'effettuazione di chiamate con operatore a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale alla preventiva acquisizione del consenso informato dell'interessato;

VISTO il provvedimento generale di questa Autorità del 15 giugno 2011, n. 230 (doc. web n. 1821257) recante disposizioni in materia di titolarità del trattamento in capo ai soggetti che si avvalgono di agenti per lo svolgimento di attività promozionali nonché gli ulteriori provvedimenti ivi richiamati, tra cui il parere n. 1/2010 WP 169 adottato il 16 febbraio 2010 dal Gruppo di lavoro art. 29 (http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_it.pdf) ed i provvedimenti del Garante del 16 febbraio 2006 (doc. web n. 1242592), del 29 aprile 2009 (doc. web n. 1617709) e del 12 maggio 2011 (doc. web n. 1813953);

RIBADITE le considerazioni già oggetto dei richiamati provvedimenti relative alla corretta individuazione, anche in termini concreti ed effettivi, delle figure soggettive rilevanti in materia di trattamento dei dati personali, con particolare riguardo a quelle del titolare e del responsabile;

VISTO l'ulteriore provvedimento generale dell'Autorità del 29 maggio 2003 (doc. web n. 29840) ai sensi del quale, tra l'altro, l'acquirente di una banca dati contenente le informazioni personali di soggetti destinatari di iniziative promozionali è tenuto ad accertare che "ciascun interessato abbia validamente acconsentito" alla ricezione di tali contatti;

VISTA la documentazione in atti;

VISTE le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del Regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATORE il dott. Giuseppe Fortunato;

PREMESSO

È pervenuta all'Autorità una segnalazione da parte del sig. XY che ha lamentato la ricezione di chiamate indesiderate a carattere promozionale da parte di Alfa Energia S.p.A. sulla propria utenza di telefonia fissa, nonostante l'intestatario ne avesse curato l'iscrizione nel Registro pubblico delle opposizioni di cui all'art. 130, comma 5 del Codice.


In replica alla richiesta di informazioni formulata dall'Ufficio, la società ha affermato che i relativi recapiti non sono stati estratti dagli elenchi telefonici, bensì "acquisiti da Beta S.p.A., società che si occupa di generazione di anagrafiche con consenso per il marketing diretto … e da questa ceduti ad EE in virtù del contratto di fornitura di liste di nominativi stipulato … in data 3 dicembre 2010", versato in atti; che, inoltre, le informazioni personali in questione sono state comunicate dal sig. XY, in quanto possessore di un telefono cellulare marca Gamma, all'atto della compilazione di un questionario web sul sito della società Gamma il 1° febbraio 2007 per l'iscrizione al club Gamma Village, attraverso cui beneficiare di "servizi aggiuntivi e di customer care".

A seguito di un supplemento di istruttoria, Beta S.p.A., destinataria di ulteriore, specifica richiesta di informazioni, non ha provato l'avvenuta acquisizione di un valido consenso informato dell'interessato. Ha infatti dichiarato che "purtroppo … il web server utilizzato … era configurato in modo tale da non mantenere un'associazione diretta tra l'indirizzo IP dell'utente e i singoli dati da questi inseriti nel questionario né un collegamento fra l'indirizzo IP dell'utente e il rilascio del consenso". Ha ammesso, inoltre, che la manifestazione di volontà del sig. XY è stata in realtà condizionata da "un meccanismo bloccante per cui senza consenso le anagrafiche e le risposte inserite non venivano nemmeno memorizzate". In altri termini, "l'utente poteva passare alla pagina successiva solo se le precedenti pagine erano state correttamente compilate", di modo che "in caso di mancata selezione del check box di consenso ("no" al trattamento dei dati con fini di promozione commerciale) i dati non erano salvati e l'utente veniva reindirizzato verso una nuova pagina web che indicava la necessità del consenso pena la mancata iscrizione al club".

La formula utilizzata da Beta S.p.A. per l'acquisizione del consenso è risultata caratterizzata, tra l'altro, da notevole indeterminatezza, dunque inidonea ad acquisire una reale consapevolezza da parte dell'interessato sui concreti destinatari della comunicazione dei suoi dati personali. Il segnalante, in effetti, è stato testualmente indotto ad acconsentire al generico utilizzo dei propri dati "per finalità promozionali e di ricerche di mercato e per la comunicazione dei dati (CAMPO BLOCCANTE)" (cfr. punto D28 della legenda versata in atti da Beta). Anche la versione estesa del testo dell'informativa che Beta ha dichiarato essere presente sul sito riporta, quanto ai possibili destinatari della comunicazione dei dati, l'altrettanto generica dicitura di "società che operano nei settori di largo consumo, grande distribuzione, editoriale, finanziario, automobilistico, servizi ed associazioni benefiche"; con l'avvertenza che il loro elenco "è presente presso la sede di Beta" e dunque, di fatto, praticamente inaccessibile e non conoscibile dagli interessati.

Occorre poi valutare il ruolo ricoperto nella specifica vicenda da Alfa Energia S.p.A..

Questa società - la quale, lo si ribadisce, ha acquistato da Beta S.p.A. una lista di dati personali in relazione ai quali sarebbe stato preventivamente raccolto il consenso per l'utilizzo a fini commerciali - non è esente da responsabilità con riguardo al trattamento dei dati del segnalante.

Sebbene, infatti, il contratto per la "fornitura liste di nominativi nel segmento residenziale" stipulato tra Beta S.p.A. ed Alfa Energia S.p.A. stabilisca, a più riprese, che soltanto la prima società agisce nella qualità di titolare autonomo del trattamento dei dati personali dei soggetti destinatari delle iniziative commerciali di Alfa Energia S.p.A.; che, appunto in tale veste, si obbliga a nominare "i teleseller di Alfa … responsabili del trattamento … non prevedendosi alcuna comunicazione o accesso di Alfa alle informazioni", di modo che Alfa Energia S.p.A. si limiterebbe, invece, "a dettare … i criteri di individuazione dei nominativi da contattare senza alcuna ingerenza nel trattamento dei relativi dati" (in tal senso le premesse al contratto, nonché i suoi artt. 2.2 e 12), tuttavia anche Alfa Energia S.p.A. deve essere considerata titolare del trattamento delle informazioni personali dei destinatari delle iniziative commerciali adottate in suo nome e per suo conto. A questa società competono, infatti, le decisioni di cui all'art. 4, comma 1, lett. f), del Codice.

Confortano questo convincimento diversi elementi, che devono essere peraltro valutati anche alla luce dell'orientamento già espresso dal Garante nel richiamato provvedimento n. 230 del 15 giugno 2011 in materia di "titolarità del trattamento di dati personali in capo ai soggetti che si avvalgono di agenti per attività promozionali". Vi sono stati evidenziati gli indici che, in termini concreti, consentono di riconoscere la qualifica di titolare, tra l'altro, al soggetto che venga percepito come tale dall'interessato (in tal senso, la segnalazione del sig. XY); al soggetto, inoltre, che benefici del contatto promozionale, inteso quale antecedente logico dell'instaurando vincolo contrattuale tra la stessa Alfa Energia S.p.A. e l'utente; a quello che disciplini, regolamentandoli nel dettaglio, modalità, compiti, ruoli e procedure dell'attività di telemarketing. Nella fattispecie all'esame, fin dalle disposizioni del contratto si evince che ad Alfa Energia S.p.A. compete la scelta in ordine ai criteri di individuazione dei nominativi da contattare, dunque alle modalità del trattamento; che, inoltre, i teleseller agiscono "in qualità di responsabili del trattamento come da nomina diretta da parte di Beta e secondo le indicazioni che la stessa comunicherà direttamente, fatte salve le intese con il committente" (art. 2.1); che, poi, compete a Alfa Energia S.p.A. stessa "mettere a disposizione di Beta la piattaforma informatica che sarà necessaria per consentire a Beta la comunicazione ai teleseller dei dati provenienti dall'archivio di cui in premessa" (art. 4.2). Sono pattiziamente fissati i principi per i quali i contraenti disciplinano congiuntamente le modalità di effettuazione delle chiamate e le fasce orarie prescelte (art. 4.3 e 4.4) e si obbligano alla preventiva condivisione delle regole ("script") da utilizzare per lo svolgimento delle attività (ancora art. 4.4, lett. c)).

E ancora: in base alla disposizione dell'art. 4.4. lett. d) si conviene che il teleseller, in caso di esercizio del diritto di opposizione da parte dei soggetti contattati, comunichi "settimanalmente a Beta - a mezzo del committente (cioè Alfa) - le cancellazioni" da effettuare. È anche disciplinata dal contratto la "trasmissione delle richieste a Alfa" di coloro che aderiranno alle offerte prospettate, attività che compete ai "responsabili del trattamento" ancorché con l'ininfluente cautela derivante dal fatto che quei dati "verranno di seguito immediatamente cancellati".

Un ulteriore elemento per cui Alfa Energia S.p.A. non è esente da responsabilità in quanto titolare è costituito dalla clausola di manleva, di cui all'art. 12.4, ai sensi della quale Beta S.p.A. si obbliga a tenere indenne Alfa Energia S.p.A., tra l'altro, a fronte di eventuali "sanzioni penali o condanne conseguenti ad azioni in qualsiasi modo proposte e a provvedimenti di Autorità e pronunce giudiziali … in qualsiasi modo connesse all'utilizzo delle anagrafiche e dei dati contenuti nel data base"; con ciò dimostrando la piena consapevolezza di Alfa Energia S.p.A. della possibile attribuzione di responsabilità alla società committente per fatti connessi alla gestione di quei dati.

È poi la stessa Alfa Energia S.p.A. ad ammettere che, a seguito della ricezione della segnalazione, ha provveduto "a cancellare, conformemente alla volontà manifestata dall'utente, tutti i riferimenti riconducibili all'interessato dalle proprie banche dati" (cfr. il riscontro alla richiesta di informazioni formulata da questa Autorità); una esplicita conferma allora che, diversamente da quanto previsto nel contratto, le informazioni personali del Sig. XY, presenti all'interno degli archivi della società, hanno senz'altro costituito oggetto di trattamento anche da parte di quest'ultima.

D'altro canto diversamente argomentando, anche avuto riguardo ad un punto di vista squisitamente contrattuale, ci si troverebbe di fronte ad una pattuizione - il richiamato accordo tra Beta S.p.A. ed Alfa Energia S.p.A. - nella quale il sinallagma proprio del negozio giuridico posto in essere (e cioè la fornitura, verso corrispettivo, delle liste di dati personali di interessati che hanno acconsentito alla ricezione di iniziative di carattere commerciale) risulterebbe di fatto alterato, dal momento che quei dati sarebbero destinati, nella formale volontà dei contraenti, a permanere nella sfera giuridica del soggetto fornitore. Questi, infatti, si limiterebbe a riversarli ai propri responsabili, senza possibilità alcuna per l'acquirente di poterne disporre, nonostante il pagamento del relativo prezzo; con l'innegabile vantaggio di tenere indenne Alfa Energia S.p.A. da oneri, obblighi e responsabilità connessi all'esercizio della titolarità.

In tale situazione, tuttavia, l'oggetto stesso del contratto risulterebbe illecito poiché si realizzerebbe in tal modo un indiretto risultato elusivo delle norme imperative del Codice che disciplinano, appunto, obblighi, oneri e responsabilità del titolare del trattamento di quelle informazioni.

In realtà invece, e per tutti i motivi evidenziati, la disciplina pattizia non corrisponde al reale atteggiarsi dei rapporti, ivi compresi quelli rilevanti in materia di protezione dei dati personali: anche Alfa Energia S.p.A. deve essere, in effetti - lo si ribadisce - correttamente qualificata titolare del trattamento dei dati personali del segnalante; con l'effetto che, in tale accertata qualità, a questa società sono da ritenersi applicabili le specifiche prescrizioni adottate dal Garante nel menzionato provvedimento generale del 29 maggio 2003, segnatamente quelle relative alla fattispecie dell'acquisto di banche dati ed, in particolare, il principio per il quale "chi acquisisce la banca dati deve accertare che ciascun interessato abbia validamente acconsentito alla comunicazione del proprio indirizzo di posta elettronica ed al suo successivo utilizzo ai fini di invio di materiale pubblicitario". Non v'è dubbio che il medesimo principio debba essere applicato anche con riguardo alle attività promozionali effettuate utilizzando mezzi diversi dalla posta elettronica (nella fattispecie in esame, le telefonate con operatore), che sono vincolate all'obbligo della preventiva acquisizione del consenso dell'interessato.

TUTTO CIÒ PREMESSO

In considerazione delle ragioni esposte e della ricostruzione fattuale e giuridica effettuata, tenuto conto dunque che anche Alfa Energia S.p.A. deve essere qualificata titolare del trattamento dei dati personali dei destinatari di iniziative promozionali contenuti nella lista che questa società ha acquistato da Beta S.p.A. e che, pertanto, sulla stessa Alfa Energia S.p.A. gravano, tra gli altri, gli obblighi di accertamento e di verifica dei singoli consensi asseritamente prestati dagli interessati;
constatato che Alfa Energia S.p.A. ha dichiarato di aver già provveduto alla cancellazione, dai propri archivi, dei dati personali del sig. XY;
in considerazione del fatto che l'art. 11, comma 2, del Codice prevede che i dati trattati in violazione della normativa in materia di protezione dei dati personali non possano essere utilizzati e che al Garante, ai sensi degli artt. 143, comma 1, lett. b) e c) e 154, comma 1, lett. d), del Codice, spetta il compito di vietare anche d'ufficio il trattamento illecito o non corretto dei dati;

ravvisata, pertanto, la necessità dell'adozione, nei confronti della sola Beta S.p.A., di un provvedimento volto a disporre il divieto del trattamento di tutti i dati personali tratti dal questionario Gamma meglio descritto in precedenza, illecito in quanto relativo all'utilizzo, per finalità commerciali, di informazioni personali in carenza del valido consenso informato degli interessati;

reputato opportuno che la conseguente inutilizzabilità di tali dati personali venga portata a conoscenza anche dei terzi ai quali essi siano stati eventualmente comunicati da Beta S.p.A. in adempimento di ulteriori contratti di fornitura analoghi a quello posto in essere con Alfa Energia S.p.A. e riservata ogni iniziativa e valutazione, anche con separati procedimenti, in ordine alla liceità dei trattamenti di quei dati personali eventualmente effettuati da tali soggetti terzi;


considerato anche che, ai sensi dell'art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni e che, ai sensi dell'art. 162, comma 2-ter del Codice, in caso di inosservanza è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila a centottantamila euro;

IL GARANTE

    a) dichiara illecito il trattamento di dati personali posto in essere da Beta S.p.A., con sede legale in Roma, Via Mosca n. 43A/45, per la fornitura e l'utilizzo dei dati personali del segnalante e di tutti gli eventuali altri interessati i cui dati, utilizzati per finalità di comunicazioni promozionali, siano stati acquisiti per il tramite del medesimo questionario on-line disponibile sul sito della Gamma senza che sia stata rilasciata idonea informativa ai sensi dell'art. 13, comma 4 del Codice e che risulti la prova documentata di aver acquisito il consenso preventivo, specifico, libero e informato degli interessati ai sensi degli artt. 23 e 130 del Codice;

    b) dispone, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1 lett. d) del Codice, il divieto del trattamento dei dati personali di cui al punto precedente effettuato da Beta S.p.A.; per l'effetto;

    c) dispone che Beta S.p.A. renda edotti tutti coloro ai quali tali dati personali sono stati eventualmente comunicati in adempimento di contratti di fornitura analoghi a quello posto in essere con Alfa Energia S.p.A. circa l'inutilizzabilità dei medesimi dati a fini promozionali, poiché carenti di un valido consenso informato; che, inoltre, di tale adempimento dia comunicazione al Garante entro il termine di 60 giorni dalla notificazione del presente provvedimento specificando nel dettaglio i soggetti destinatari di tale comunicazione;

    d) dichiara illecito, in assenza di un valido consenso informato, il trattamento dei dati personali del segnalante effettuato da Alfa Energia S.p.A., con sede in Roma, Viale Regina Margherita n. 125, per l'effettuazione di chiamate a carattere commerciale;

    e) alla luce dell'accertata illiceità dell'attività di trattamento dei dati personali svolta sino ad oggi, ciascuna per la parte di propria competenza, da Beta S.p.A. ed Alfa Energia S.p.A., e delle conseguenti violazioni disciplinate dalla normativa sulla protezione dei dati personali, dispone la trasmissione degli atti al competente Dipartimento per l'avvio dei conseguenti procedimenti sanzionatori.

    Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso dinanzi al tribunale ordinario del luogo ove risiede il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero. Si ricorda che l'opposizione non sospende l'esecuzione del provvedimento (art. 152, comma 5 del Codice).

Roma, 5 aprile 2012

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE
De Paoli
 
stampa
   
chiudi

17.05.2012 Spataro
GarantePrivacy.it


Osservatorio privacy - come trattare i dati di un dipendente infedele…
Caso Unicredit - alcune riflessioni
Banche - sanzione per misure organizzative e tecniche per accesso a dati comuni non finanziari - doc 9991020
Battesimo e privacy
Privacy in Svizzera: prevale il segreto bancario sull'interesse a conoscere
Garante provvedimento per cartelle inviate a pazienti sbagliati e integrazione software - n. 9988652
Come funziona la Privacy, l'intelligenza artificiale e il riconoscimento della posizione tramite fotografia.
FCC (USA): Robocall con voci generate dalla AI e' illegale. Elezioni e Marketing avvertiti.
Provvedimento del 7 dicembre 2023 [9978568] dating online, password e durata
Company offering electronic communication services – no complete information of the data subjects & no sufficient technical and organisational measures | European Data Protection Board



Segui le novità in materia di Privacy su Civile.it via Telegram
oppure via email: (gratis Info privacy)





dallo store:
visita lo store








Dal 1999 il diritto di internet. I testi sono degli autori e di IusOnDemand srl p.iva 04446030969 - diritti riservati - Privacy - Cookie - Condizioni d'uso - in 0.375