g-docweb-display Portlet

Comunicazioni promozionali via telefax, sms ed e-mail: illecite senza consenso - 5 maggio 2011 [1822815]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 1822815]

Comunicazioni promozionali via telefax, sms ed e-mail: illecite senza consenso - 5 maggio 2011

Registro dei provvedimenti
n. 183 del 5 maggio 2011

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan, del dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito "Codice");

RILEVATO che - nell´ambito di un´istruttoria condotta dall´Ufficio con riguardo all´attività di trattamento dati svolta da Travel Factory s.r.l. - attività che ha poi portato all´adozione di un provvedimento inibitorio e prescrittivo nei confronti di detta società - è emerso che quest´ultima gestiva il sito www.totalfax.it, il quale, nella sua home page, informava gli utenti della sospensione della fornitura del servizio di invio fax, segnalando e pubblicizzando, in alternativa, per la fornitura del medesimo servizio "Digitaldox.it, società leader di mercato per quanto attiene al servizio di messaggistica fax/email/sms….";

RILEVATO, altresì, che la società Digitaldox.it s.r.l., di seguito indicata come "la società", dichiara sul proprio sito di avvalersi di una "piattaforma fruibile sia per invii massivi (circolari o messaggi marketing), sia per integrare applicazioni o altre piattaforme…per la gestione di documenti quali conferme d´ordine, notifiche, fatture o recupero crediti";

RILEVATO che conseguentemente il 26 e 27 gennaio 2011 è stata svolta un´attività ispettiva presso la società al fine di verificare le dimensioni della banca dati eventualmente in suo possesso e accertare in concreto le modalità operative riguardo alla raccolta dei dati, al contatto con i destinatari dei servizi di messaggistica nonché ai necessari adempimenti in materia di protezione dei dati personali;

RILEVATO che, in occasione dell´accertamento ispettivo di cui sopra, è emerso che le attività esercitate dalla società sono riconducibili alla messaggistica, ed in particolare all´invio di fax (nel 90% circa dei casi), e-mail ed sms in conto terzi, rappresentati nella maggior parte dei casi da tour operators che promuovono "pacchetti vacanze" ad agenzie di viaggio;

CONSIDERATO che l´attività per conto dei clienti è formalizzata attraverso appositi contratti, in base ai quali ciascun committente viene dotato di un account, caratterizzato da un user-id e da una password, e fruisce del servizio di messaggistica della società con due modalità principali: invio tramite l´accesso diretto al portale www.digitaldox.it, caricando la propria lista dei destinatari del messaggio; oppure invio, via e-mail, al servizio clienti della società di una lista di destinatari;

RILEVATO inoltre che, come risulta dai verbali del 26 e 27 gennaio 2011 relativi all´ispezione in questione, la società talora offre ai detti clienti un ulteriore diverso servizio di invio della messaggistica, mediante i propri operatori, a liste di destinatari, estrapolati dal proprio data base collocato sul proprio server, il quale contiene dati personali (ragione sociale, numerazione telefonica presso cui inviare i fax e/o indirizzo e-mail) di circa tredicimila imprese (agenzie di viaggio e tour operators) potenziali destinatarie di messaggi;

RILEVATO, altresì, che i dati, che compongono il detto data base, sono stati originariamente tratti dal sito www.annuariodelturismo.it e, in seguito, sono stati incrementati o modificati in base alle segnalazioni dei clienti o dei destinatari;

CONSIDERATO che la società qualora invii comunicazioni promozionali utilizzando i dati tratti dal proprio data base - come dalla stessa ammesso nel suindicato verbale ispettivo del 26 gennaio 2011 e nella nota integrativa inviata dalla medesima il 9 febbraio 2011 -  è da considerarsi titolare del trattamento dei dati;

CONSIDERATO altresì che risulta che la medesima società – come emerge dal detto verbale del 26 gennaio 2011 – alle imprese inserite nel proprio data base  "….non ha mai fornito alcuna informativa, presumendo che fosse sufficiente l´informativa eventualmente resa da chi ha raccolto i dati (principalmente sito www.annuariodelturismo.it)", né ha provveduto ad acquisire il consenso  delle medesime imprese per l´invio di comunicazioni automatizzate;

VISTI l´art. 13, comma 4 del Codice, in base al quale: "Se i dati personali non sono raccolti presso l´interessato, l´informativa di cui al comma 1, comprensiva delle categorie di dati trattati, è data al medesimo interessato all´atto della registrazione dei dati", e l´art. 130, comma 2, del Codice, il quale prevede il presupposto del consenso dei destinatari a ricevere comunicazioni di tipo automatizzato;

CONSIDERATO che l´invio di comunicazioni commerciali di tipo automatizzato effettuato dalla società senza aver fornito la necessaria informativa e senza l´acquisizione del prescritto consenso configurano trattamento illecito di dati;

RILEVATO che il trattamento in questione, considerate peraltro le rilevanti dimensioni del data base della società e la numerosità dei destinatari potenzialmente interessati, presenta carattere sistematico e configura un trattamento illecito di dati;

CONSIDERATO inoltre che l´Autorità si è recentemente espressa, con un provvedimento adottato il 7 aprile 2011 nei confronti della società Xpedite System S.r.l. fornitrice di un analogo servizio di messaggistica unificata, rilevando in quell´occasione che l´utilizzo diretto da parte dei committenti di un portale, attraverso il quale vengono inviate comunicazioni promozionali automatizzate, non consente agli interessati destinatari delle medesime di individuare agevolmente il soggetto verso il quale poter esercitare i diritti previsti dall´art. 7 del Codice;

RITENUTO che l´art. 11, comma 2, del Codice prevede che i dati trattati in violazione della normativa in materia di protezione dei dati personali non possono essere utilizzati;

CONSIDERATO che il Garante, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, ha il compito di vietare anche d´ufficio il trattamento illecito o non corretto dei dati o di disporne il blocco e di adottare, altresì, gli altri provvedimenti previsti dalla disciplina applicabile al trattamento dei dati personali;

RILEVATA altresì la necessità di adottare nei confronti della società un provvedimento di divieto del trattamento illecito di dati personali ai sensi degli artt. 143, comma 1, lett. c), e 154, comma 1, lett. d), del Codice, correlato all´invio di comunicazioni promozionali di tipo automatizzato;

RILEVATA la necessità di adottare nei confronti della società un provvedimento prescrittivo, ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice, per indicare le misure necessarie o opportune per rendere il trattamento dei dati conforme alle disposizioni vigenti;

RILEVATO che alla società, in relazione ai trattamenti di dati sopra descritti, sono state già contestate le violazioni amministrative di competenza di questa Autorità (in particolare, quelle di cui all´art. 161 del Codice, riguardo all´omesso rilascio della necessaria informativa ex art. 13, e all´art. 162, comma 2-bis del Codice, riguardo alla mancata acquisizione del necessario consenso ex artt. 23 e 130, comma 2, del Codice);

TENUTO  CONTO che, ai sensi dell´art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni e che, ai sensi dell´art. 162, comma 2-ter del Codice, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa,  in ogni caso, la sanzione del pagamento di una somma da trentamila a centottantamila euro;

RILEVATO, altresì, che resta impregiudicata la facoltà per gli interessati di far valere eventualmente i propri diritti in sede civile in relazione alla condotta accertata (cfr. anche art. 15 del Codice), con specifico riguardo agli eventuali profili di danno;

VISTA la documentazione in atti;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

Relatore il dott. Mauro Paissan;

TUTTO CIÒ PREMESSO IL GARANTE:

a) dichiara illecito il trattamento di dati personali posto in essere da Digitaldox.it s.r.l., con sede legale in Milano, in Via Gallarate n. 39, quale titolare del trattamento, con riferimento all´invio da parte della medesima di comunicazioni promozionali con modalità automatizzate quali sms ed e-mail o effettuate tramite telefax, utilizzando i dati tratti dal suo data base, senza aver fornito l´informativa di cui all´art. 13 del Codice ed aver acquisito il necessario consenso di cui all´art. 130, comma 2, del Codice;

b)  vieta - ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice - a Digitaldox.it s.r.l., quale titolare del trattamento, l´ulteriore trattamento di qualunque dato personale già acquisito tramite l´invio da parte della medesima di comunicazioni promozionali con le modalità automatizzate quali sms ed e-mail o effettuate tramite telefax, utilizzando i dati tratti dal suo data base, senza aver fornito la suindicata informativa ed aver acquisito il suindicato consenso;

c) qualora, inoltre, la società intenda continuare a fornire il detto servizio di invio di comunicazioni promozionali con modalità automatizzate, sia quando agisca come titolare del trattamento sia quando si limiti a mettere a disposizione dei clienti la propria piattaforma, il Garante prescrive - ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice - a Digitaldox.it s.r.l. di adottare tutte le misure necessarie e opportune atte a garantire agli interessati la possibilità di esercitare agevolmente i diritti di cui all´art. 7 del Codice e, in particolare di predisporre, per ogni messaggio in uscita, un riquadro (template) nel quale sia riportata un´idonea informativa, all´interno della quale siano evidenziati gli estremi identificativi del titolare del trattamento, precisando il ruolo di Digitaldox.it s.r.l. nel trattamento operato;

d) invita Digitaldox.it s.r.l. a fornire al Garante, entro trenta giorni dalla comunicazione del presente provvedimento, adeguata documentazione attestante gli interventi posti in essere.

Avverso il presente provvedimento, ai sensi dell´art. 152 del Codice, può essere proposta opposizione davanti al tribunale ordinario del luogo dove ha sede il titolare del trattamento, entro il termine di trenta giorni dalla notificazione del  provvedimento stesso.

Roma, 5 maggio 2011

IL PRESIDENTE
Pizzetti

IL RELATORE
Paissan

IL SEGRETARIO GENERALE
De Paoli