Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Trattamento di dati personali tratti da un questionario on-line in assenza di validi consenso e informativa. Ne risponde anche l'acquirente di lis...

[doc. web n. 1891156]

[vedi newsletter]

Trattamento di dati personali tratti da un questionario on-line in assenza di validi consenso e informativa. Ne risponde anche l'acquirente di liste di contatti da utilizzare a fini di marketing, indipendentemente dalla sua qualificazione giuridica nel contratto di fornitura - 5 aprile 2012

Registro dei provvedimenti
n. 136 del 5 aprile 2012

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito Codice) ed, in particolare, gli artt. 4, comma 1, lett. f) e g), 28 e 29 relativi all'individuazione delle figure soggettive del titolare e del responsabile del trattamento di dati personali, nonché gli artt. 13 e 23 in materia, rispettivamente, di informativa e consenso dell'interessato al trattamento dei propri dati personali da parte di soggetti privati ed, infine, l'art. 130, comma 3 che subordina, tra l'altro, l'effettuazione di chiamate con operatore a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale alla preventiva acquisizione del consenso informato dell'interessato;

VISTO il provvedimento generale di questa Autorità del 15 giugno 2011, n. 230 (doc. web n. 1821257) recante disposizioni in materia di titolarità del trattamento in capo ai soggetti che si avvalgono di agenti per lo svolgimento di attività promozionali nonché gli ulteriori provvedimenti ivi richiamati, tra cui il parere n. 1/2010 WP 169 adottato il 16 febbraio 2010 dal Gruppo di lavoro art. 29 (http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_it.pdf) ed i provvedimenti del Garante del 16 febbraio 2006 (doc. web n. 1242592), del 29 aprile 2009 (doc. web n. 1617709) e del 12 maggio 2011 (doc. web n. 1813953);

RIBADITE le considerazioni già oggetto dei richiamati provvedimenti relative alla corretta individuazione, anche in termini concreti ed effettivi, delle figure soggettive rilevanti in materia di trattamento dei dati personali, con particolare riguardo a quelle del titolare e del responsabile;

VISTO l'ulteriore provvedimento generale dell'Autorità del 29 maggio 2003 (doc. web n. 29840) ai sensi del quale, tra l'altro, l'acquirente di una banca dati contenente le informazioni personali di soggetti destinatari di iniziative promozionali è tenuto ad accertare che "ciascun interessato abbia validamente acconsentito" alla ricezione di tali contatti;

VISTA la documentazione in atti;

VISTE le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del Regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATORE il dott. Giuseppe Fortunato;

PREMESSO

È pervenuta all'Autorità una segnalazione da parte del sig. XY che ha lamentato la ricezione di chiamate indesiderate a carattere promozionale da parte di Enel Energia S.p.A. sulla propria utenza di telefonia fissa, nonostante l'intestatario ne avesse curato l'iscrizione nel Registro pubblico delle opposizioni di cui all'art. 130, comma 5 del Codice.

In replica alla richiesta di informazioni formulata dall'Ufficio, la società ha affermato che i relativi recapiti non sono stati estratti dagli elenchi telefonici, bensì "acquisiti da Consodata S.p.A., società che si occupa di generazione di anagrafiche con consenso per il marketing diretto … e da questa ceduti ad EE in virtù del contratto di fornitura di liste di nominativi stipulato … in data 3 dicembre 2010", versato in atti; che, inoltre, le informazioni personali in questione sono state comunicate dal sig. XY, in quanto possessore di un telefono cellulare marca Motorola, all'atto della compilazione di un questionario web sul sito della società Motorola il 1° febbraio 2007 per l'iscrizione al club Motorola Village, attraverso cui beneficiare di "servizi aggiuntivi e di customer care".

A seguito di un supplemento di istruttoria, Consodata S.p.A., destinataria di ulteriore, specifica richiesta di informazioni, non ha provato l'avvenuta acquisizione di un valido consenso informato dell'interessato. Ha infatti dichiarato che "purtroppo … il web server utilizzato … era configurato in modo tale da non mantenere un'associazione diretta tra l'indirizzo IP dell'utente e i singoli dati da questi inseriti nel questionario né un collegamento fra l'indirizzo IP dell'utente e il rilascio del consenso". Ha ammesso, inoltre, che la manifestazione di volontà del sig. XY è stata in realtà condizionata da "un meccanismo bloccante per cui senza consenso le anagrafiche e le risposte inserite non venivano nemmeno memorizzate". In altri termini, "l'utente poteva passare alla pagina successiva solo se le precedenti pagine erano state correttamente compilate", di modo che "in caso di mancata selezione del check box di consenso ("no" al trattamento dei dati con fini di promozione commerciale) i dati non erano salvati e l'utente veniva reindirizzato verso una nuova pagina web che indicava la necessità del consenso pena la mancata iscrizione al club".

La formula utilizzata da Consodata S.p.A. per l'acquisizione del consenso è risultata caratterizzata, tra l'altro, da notevole indeterminatezza, dunque inidonea ad acquisire una reale consapevolezza da parte dell'interessato sui concreti destinatari della comunicazione dei suoi dati personali. Il segnalante, in effetti, è stato testualmente indotto ad acconsentire al generico utilizzo dei propri dati "per finalità promozionali e di ricerche di mercato e per la comunicazione dei dati (CAMPO BLOCCANTE)" (cfr. punto D28 della legenda versata in atti da Consodata). Anche la versione estesa del testo dell'informativa che Consodata ha dichiarato essere presente sul sito riporta, quanto ai possibili destinatari della comunicazione dei dati, l'altrettanto generica dicitura di "società che operano nei settori di largo consumo, grande distribuzione, editoriale, finanziario, automobilistico, servizi ed associazioni benefiche"; con l'avvertenza che il loro elenco "è presente presso la sede di Consodata" e dunque, di fatto, praticamente inaccessibile e non conoscibile dagli interessati.

Occorre poi valutare il ruolo ricoperto nella specifica vicenda da Enel Energia S.p.A..

Questa società - la quale, lo si ribadisce, ha acquistato da Consodata S.p.A. una lista di dati personali in relazione ai quali sarebbe stato preventivamente raccolto il consenso per l'utilizzo a fini commerciali - non è esente da responsabilità con riguardo al trattamento dei dati del segnalante.

Sebbene, infatti, il contratto per la "fornitura liste di nominativi nel segmento residenziale" stipulato tra Consodata S.p.A. ed Enel Energia S.p.A. stabilisca, a più riprese, che soltanto la prima società agisce nella qualità di titolare autonomo del trattamento dei dati personali dei soggetti destinatari delle iniziative commerciali di Enel Energia S.p.A.; che, appunto in tale veste, si obbliga a nominare "i teleseller di Enel … responsabili del trattamento … non prevedendosi alcuna comunicazione o accesso di Enel alle informazioni", di modo che Enel Energia S.p.A. si limiterebbe, invece, "a dettare … i criteri di individuazione dei nominativi da contattare senza alcuna ingerenza nel trattamento dei relativi dati" (in tal senso le premesse al contratto, nonché i suoi artt. 2.2 e 12), tuttavia anche Enel Energia S.p.A. deve essere considerata titolare del trattamento delle informazioni personali dei destinatari delle iniziative commerciali adottate in suo nome e per suo conto. A questa società competono, infatti, le decisioni di cui all'art. 4, comma 1, lett. f), del Codice.

Confortano questo convincimento diversi elementi, che devono essere peraltro valutati anche alla luce dell'orientamento già espresso dal Garante nel richiamato provvedimento n. 230 del 15 giugno 2011 in materia di "titolarità del trattamento di dati personali in capo ai soggetti che si avvalgono di agenti per attività promozionali". Vi sono stati evidenziati gli indici che, in termini concreti, consentono di riconoscere la qualifica di titolare, tra l'altro, al soggetto che venga percepito come tale dall'interessato (in tal senso, la segnalazione del sig. XY); al soggetto, inoltre, che benefici del contatto promozionale, inteso quale antecedente logico dell'instaurando vincolo contrattuale tra la stessa Enel Energia S.p.A. e l'utente; a quello che disciplini, regolamentandoli nel dettaglio, modalità, compiti, ruoli e procedure dell'attività di telemarketing. Nella fattispecie all'esame, fin dalle disposizioni del contratto si evince che ad Enel Energia S.p.A. compete la scelta in ordine ai criteri di individuazione dei nominativi da contattare, dunque alle modalità del trattamento; che, inoltre, i teleseller agiscono "in qualità di responsabili del trattamento come da nomina diretta da parte di Consodata e secondo le indicazioni che la stessa comunicherà direttamente, fatte salve le intese con il committente" (art. 2.1); che, poi, compete a Enel Energia S.p.A. stessa "mettere a disposizione di Consodata la piattaforma informatica che sarà necessaria per consentire a Consodata la comunicazione ai teleseller dei dati provenienti dall'archivio di cui in premessa" (art. 4.2). Sono pattiziamente fissati i principi per i quali i contraenti disciplinano congiuntamente le modalità di effettuazione delle chiamate e le fasce orarie prescelte (art. 4.3 e 4.4) e si obbligano alla preventiva condivisione delle regole ("script") da utilizzare per lo svolgimento delle attività (ancora art. 4.4, lett. c)).

E ancora: in base alla disposizione dell'art. 4.4. lett. d) si conviene che il teleseller, in caso di esercizio del diritto di opposizione da parte dei soggetti contattati, comunichi "settimanalmente a Consodata - a mezzo del committente (cioè Enel) - le cancellazioni" da effettuare. È anche disciplinata dal contratto la "trasmissione delle richieste a Enel" di coloro che aderiranno alle offerte prospettate, attività che compete ai "responsabili del trattamento" ancorché con l'ininfluente cautela derivante dal fatto che quei dati "verranno di seguito immediatamente cancellati".

Un ulteriore elemento per cui Enel Energia S.p.A. non è esente da responsabilità in quanto titolare è costituito dalla clausola di manleva, di cui all'art. 12.4, ai sensi della quale Consodata S.p.A. si obbliga a tenere indenne Enel Energia S.p.A., tra l'altro, a fronte di eventuali "sanzioni penali o condanne conseguenti ad azioni in qualsiasi modo proposte e a provvedimenti di Autorità e pronunce giudiziali … in qualsiasi modo connesse all'utilizzo delle anagrafiche e dei dati contenuti nel data base"; con ciò dimostrando la piena consapevolezza di Enel Energia S.p.A. della possibile attribuzione di responsabilità alla società committente per fatti connessi alla gestione di quei dati.

È poi la stessa Enel Energia S.p.A. ad ammettere che, a seguito della ricezione della segnalazione, ha provveduto "a cancellare, conformemente alla volontà manifestata dall'utente, tutti i riferimenti riconducibili all'interessato dalle proprie banche dati" (cfr. il riscontro alla richiesta di informazioni formulata da questa Autorità); una esplicita conferma allora che, diversamente da quanto previsto nel contratto, le informazioni personali del Sig. XY, presenti all'interno degli archivi della società, hanno senz'altro costituito oggetto di trattamento anche da parte di quest'ultima.

D'altro canto diversamente argomentando, anche avuto riguardo ad un punto di vista squisitamente contrattuale, ci si troverebbe di fronte ad una pattuizione - il richiamato accordo tra Consodata S.p.A. ed Enel Energia S.p.A. - nella quale il sinallagma proprio del negozio giuridico posto in essere (e cioè la fornitura, verso corrispettivo, delle liste di dati personali di interessati che hanno acconsentito alla ricezione di iniziative di carattere commerciale) risulterebbe di fatto alterato, dal momento che quei dati sarebbero destinati, nella formale volontà dei contraenti, a permanere nella sfera giuridica del soggetto fornitore. Questi, infatti, si limiterebbe a riversarli ai propri responsabili, senza possibilità alcuna per l'acquirente di poterne disporre, nonostante il pagamento del relativo prezzo; con l'innegabile vantaggio di tenere indenne Enel Energia S.p.A. da oneri, obblighi e responsabilità connessi all'esercizio della titolarità.

In tale situazione, tuttavia, l'oggetto stesso del contratto risulterebbe illecito poiché si realizzerebbe in tal modo un indiretto risultato elusivo delle norme imperative del Codice che disciplinano, appunto, obblighi, oneri e responsabilità del titolare del trattamento di quelle informazioni.

In realtà invece, e per tutti i motivi evidenziati, la disciplina pattizia non corrisponde al reale atteggiarsi dei rapporti, ivi compresi quelli rilevanti in materia di protezione dei dati personali: anche Enel Energia S.p.A. deve essere, in effetti - lo si ribadisce - correttamente qualificata titolare del trattamento dei dati personali del segnalante; con l'effetto che, in tale accertata qualità, a questa società sono da ritenersi applicabili le specifiche prescrizioni adottate dal Garante nel menzionato provvedimento generale del 29 maggio 2003, segnatamente quelle relative alla fattispecie dell'acquisto di banche dati ed, in particolare, il principio per il quale "chi acquisisce la banca dati deve accertare che ciascun interessato abbia validamente acconsentito alla comunicazione del proprio indirizzo di posta elettronica ed al suo successivo utilizzo ai fini di invio di materiale pubblicitario". Non v'è dubbio che il medesimo principio debba essere applicato anche con riguardo alle attività promozionali effettuate utilizzando mezzi diversi dalla posta elettronica (nella fattispecie in esame, le telefonate con operatore), che sono vincolate all'obbligo della preventiva acquisizione del consenso dell'interessato.

TUTTO CIÒ PREMESSO

In considerazione delle ragioni esposte e della ricostruzione fattuale e giuridica effettuata, tenuto conto dunque che anche Enel Energia S.p.A. deve essere qualificata titolare del trattamento dei dati personali dei destinatari di iniziative promozionali contenuti nella lista che questa società ha acquistato da Consodata S.p.A. e che, pertanto, sulla stessa Enel Energia S.p.A. gravano, tra gli altri, gli obblighi di accertamento e di verifica dei singoli consensi asseritamente prestati dagli interessati;

constatato che Enel Energia S.p.A. ha dichiarato di aver già provveduto alla cancellazione, dai propri archivi, dei dati personali del sig. XY;

in considerazione del fatto che l'art. 11, comma 2, del Codice prevede che i dati trattati in violazione della normativa in materia di protezione dei dati personali non possano essere utilizzati e che al Garante, ai sensi degli artt. 143, comma 1, lett. b) e c) e 154, comma 1, lett. d), del Codice, spetta il compito di vietare anche d'ufficio il trattamento illecito o non corretto dei dati;

ravvisata, pertanto, la necessità dell'adozione, nei confronti della sola Consodata S.p.A., di un provvedimento volto a disporre il divieto del trattamento di tutti i dati personali tratti dal questionario Motorola meglio descritto in precedenza, illecito in quanto relativo all'utilizzo, per finalità commerciali, di informazioni personali in carenza del valido consenso informato degli interessati;

reputato opportuno che la conseguente inutilizzabilità di tali dati personali venga portata a conoscenza anche dei terzi ai quali essi siano stati eventualmente comunicati da Consodata S.p.A. in adempimento di ulteriori contratti di fornitura analoghi a quello posto in essere con Enel Energia S.p.A. e riservata ogni iniziativa e valutazione, anche con separati procedimenti, in ordine alla liceità dei trattamenti di quei dati personali eventualmente effettuati da tali soggetti terzi;

considerato anche che, ai sensi dell'art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni e che, ai sensi dell'art. 162, comma 2-ter del Codice, in caso di inosservanza è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila a centottantamila euro;

IL GARANTE

a) dichiara illecito il trattamento di dati personali posto in essere da Consodata S.p.A., con sede legale in Roma, Via Mosca n. 43A/45, per la fornitura e l'utilizzo dei dati personali del segnalante e di tutti gli eventuali altri interessati i cui dati, utilizzati per finalità di comunicazioni promozionali, siano stati acquisiti per il tramite del medesimo questionario on-line disponibile sul sito della Motorola senza che sia stata rilasciata idonea informativa ai sensi dell'art. 13, comma 4 del Codice e che risulti la prova documentata di aver acquisito il consenso preventivo, specifico, libero e informato degli interessati ai sensi degli artt. 23 e 130 del Codice;

b) dispone, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1 lett. d) del Codice, il divieto del trattamento dei dati personali di cui al punto precedente effettuato da Consodata S.p.A.; per l'effetto;

c) dispone che Consodata S.p.A. renda edotti tutti coloro ai quali tali dati personali sono stati eventualmente comunicati in adempimento di contratti di fornitura analoghi a quello posto in essere con Enel Energia S.p.A. circa l'inutilizzabilità dei medesimi dati a fini promozionali, poiché carenti di un valido consenso informato; che, inoltre, di tale adempimento dia comunicazione al Garante entro il termine di 60 giorni dalla notificazione del presente provvedimento specificando nel dettaglio i soggetti destinatari di tale comunicazione;

d) dichiara illecito, in assenza di un valido consenso informato, il trattamento dei dati personali del segnalante effettuato da Enel Energia S.p.A., con sede in Roma, Viale Regina Margherita n. 125, per l'effettuazione di chiamate a carattere commerciale;

e) alla luce dell'accertata illiceità dell'attività di trattamento dei dati personali svolta sino ad oggi, ciascuna per la parte di propria competenza, da Consodata S.p.A. ed Enel Energia S.p.A., e delle conseguenti violazioni disciplinate dalla normativa sulla protezione dei dati personali, dispone la trasmissione degli atti al competente Dipartimento per l'avvio dei conseguenti procedimenti sanzionatori.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso dinanzi al tribunale ordinario del luogo ove risiede il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero. Si ricorda che l'opposizione non sospende l'esecuzione del provvedimento (art. 152, comma 5 del Codice).

Roma, 5 aprile 2012

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE
De Paoli