Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Trattamento illecito di dati da parte di una società che opera nel settore del telemarketing - 11 ottobre 2012

[Vedi anche: Newsletter dell'8 novembre 2012]

[doc. web n. 2089777]

Trattamento illecito di dati da parte di una società che opera nel settore del telemarketing - 11 ottobre 2012

Registro dei provvedimenti
n. 286 dell'11 ottobre 2012

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito "Codice");

VISTE in particolare le  disposizioni di cui agli artt. 13, 23 e 130, commi 1, 2, 3bis, del Codice;

VISTO il provvedimento generale del 19 gennaio 2011, n. 16/2011, recante "Prescrizioni per il trattamento di dati personali per finalità di marketing, mediante l'impiego del telefono con operatore, a seguito dell'istituzione del Registro pubblico delle opposizioni" pubblicato in G.U. n. 24 del 31 gennaio 2011 [doc. web n. 1784528];

VISTO il provvedimento generale del 15 giugno 2011, n.230/2011, sulla "Titolarità del trattamento di dati personali in capo ai soggetti che si avvalgono di agenti per attività promozionali" pubblicato in G.U. n. 153 del 4 luglio 2011 [doc. web n. 1821257];

VISTO il provvedimento inibitorio e prescrittivo adottato in data 3 dicembre 2009 dal Garante nei confronti di Azienda Cassine di Pietra s.r.l. [doc. web n. 1679436], relativamente alla sua attività di telemarketing mediante telefonate promozionali in assenza dei  requisiti indicati dal Codice;

TENUTO conto che negli anni 2011 e 2012 l'Autorità ha ricevuto numerose segnalazioni relativamente alla ricezione di telefonate promozionali indesiderate aventi ad oggetto prodotti di Cassine di Pietra;

RILEVATO che l'Autorità, a seguito dell'istruttoria preliminare svolta al riguardo, ha accertato che l'attività di telemarketing oggetto delle segnalazioni è stata effettuata da S.S.T.C. s.r.l. -con sede legale in piazza Pradaval n.18, in Verona- società che, a partire dal settembre del 2009, ha prima preso in affitto e poi acquistato l'azienda e il marchio di Azienda Cassine di Pietra s.r.l., dichiarata fallita il 2 dicembre 2010;

RILEVATO che S.S.T.C. s.r.l., in relazione ad alcune delle segnalazioni pervenute al Garante, ha confermato, con nota del 24 maggio 2011, di essere intestataria dell'utenza telefonica (0117620116) tramite la quale sarebbe stato effettuato uno dei contatti indesiderati; rilevato altresì che, con successiva nota del 10 ottobre 2011, la società ha ammesso di aver effettuato, seppure per errore, le telefonate promozionali segnalate tramite la suddetta linea chiamante e di non aver acquisito il consenso degli interessati al trattamento dei relativi dati per finalità promozionali;

RILEVATO peraltro che, in base agli accertamenti svolti dall'Autorità, sono risultate intestate a S.S.T.C. s.r.l. anche altre due utenze telefoniche (0116910907; 0117620105), dalle quali provenivano le chiamate promozionali indesiderate oggetto delle segnalazioni pervenute;

RILEVATO pertanto che, rispetto ad alcune delle telefonate promozionali indesiderate segnalate, è stata contestata alla medesima società la prevista sanzione amministrativa di cui all'art. 162, comma 2-bis del Codice, notificata alla stessa in data 2 marzo 2012;

RITENUTO inoltre necessario lo svolgimento di un'attività di carattere ispettivo presso la sede operativa di San Pietro Mussolino (VC) della S.S.T.C. s.r.l. al fine di verificare la conformità dei trattamenti svolti dalla medesima alla vigente normativa in materia di protezione dei dati personali;

VISTI i verbali dell'accertamento ispettivo condotto dall'Autorità il 9 e il 10 maggio 2012 e la nota integrativa della medesima società del 25 maggio 2012;

RILEVATO che, in occasione del predetto accertamento, la società ha dichiarato, che –acquistando Azienda Cassine di Pietra s.r.l., nell'ottobre del 2011, nell'ambito della suddetta procedura fallimentare- ne ha acquisito "tutti i beni necessari all'espletamento dell'attività inclusa tutta la clientela della predetta società e di conseguenza anche del database dei clienti…"; rilevato inoltre che, riguardo ai dati degli interessati inclusi nel suddetto database, la società ha "ritenuto di considerare assolti gli obblighi previsti dagli artt. 13 e 23 del Codice poiché già a suo tempo assolti dalla citata Cassine di Pietra srl." in particolare  in ragione della circostanza che la banca dati acquistata conteneva le specifiche relative al consenso al trattamento dei dati e al suo diniego e pertanto "non ha ritenuto fosse necessario aggiornare l'informativa a suo tempo resa da Cassine di Pietra S.r.l.";

RILEVATO altresì che S.S.T.C. s.r.l. è soggetto giuridico diverso da Azienda Cassine di Pietra s.r.l. e riveste, rispetto ai dati acquisiti tramite tale Azienda, la qualifica di titolare del trattamento e che pertanto, non rilasciando alcuna informativa ai detti clienti, ha violato l'art.13, comma 4, del Codice, il quale prevede espressamente che, se i dati personali non sono raccolti direttamente presso l'interessato, l'informativa per il relativo trattamento deve essere resa allo stesso all'atto della registrazione dei dati;

RILEVATO inoltre che la società acquisisce anche direttamente i dati personali dei soggetti cui rivolge le comunicazioni promozionali, facendo ricorso a diverse modalità (inserti pubblicitari su riviste; moduli c.d. "presenta amico" con cui i clienti della società presentano propri amici; marketing postale; telemarketing; form di registrazione al sito www.cassine.com: v. verbale del 10 maggio 2012); rilevato peraltro che S.S.T.C. s.r.l. si avvale per l'attività di marketing svolta nei confronti dei propri clienti anche della posta elettronica (v. verbale 9 maggio sopracitato);

RILEVATO altresì che, con particolare riguardo all'attività di telemarketing, S.S.T.C. s.r.l. ha dichiarato di avvalersi di cinque call center, di cui uno utilizza proprie liste-clienti e quattro utilizzano elenchi forniti dalla stessa società (v. citato verbale del 9 maggio 2012) precisando di effettuare le comunicazioni promozionali in assenza del prescritto riscontro presso il Registro pubblico delle opposizioni, in quanto dette chiamate sono rivolte ai propri clienti o a soggetti che hanno già manifestato interesse per la sua attività (v. citato riscontro del 10 ottobre 2011);

RILEVATO che la medesima società, come dichiarato nel verbale del 9 maggio 2012, ha nominato responsabili del trattamento dei dati ai sensi dell'art. 29 del Codice tutti i menzionati call center che effettuano telemarketing in suo nome e per suo conto ed ha imposto contrattualmente ai medesimi di rispettare gli adempimenti previsti dal Codice, prevedendo l'effettuazione di visite e riunioni presso le rispettive sedi operative con riguardo al concreto svolgimento da parte dei relativi operatori dell'attività promozionale;

RILEVATO peraltro che -secondo quanto dichiarato dalla società nella medesima occasione- tutti i call center di cui si avvale sono contrattualmente obbligati a trasmetterle "quotidianamente report dettagliati da cui risultano il quantitativo dei contatti effettuati, il numero degli ordini ricevuti e le eventuali richieste di cancellazione", ed a comunicarle "per ciascun nominativo di cliente fornito, l'esito (positivo o negativo) del contatto promozionale effettuato che viene registrato nel sistema della società";

RILEVATO pertanto che, da quanto emerso, S.S.T.C. s.r.l. riveste effettivamente il ruolo di titolare del trattamento dei dati in questione, inclusi quelli acquisiti mediante i suoi call center, ciò anche alla luce di quanto il Garante ha avuto modo di precisare con il menzionato provvedimento del 15 giugno 2011 sulla titolarità del trattamento di dati personali;

ESAMINATA inoltre l'informativa resa dalla società ai sensi dell'art. 13 del Codice sia tramite gli inserti pubblicitari contenenti il modulo dell'ordine di acquisto, sia tramite i moduli c.d. "presenta amico", sia per svolgere attività di marketing postale e di telemarketing; rilevato che tale informativa -come accertato dall'Autorità il 17 settembre u.s.- risulta presente anche sul sito www.cassine.com nella pagina destinata alla richiesta da parte dell'utente dell'invio al proprio domicilio del catalogo contenente i prodotti aziendali;

RILEVATO peraltro che l'informativa rilasciata con i mezzi sopramenzionati risulta carente dell'indicazione di alcuni elementi come: la modalità del trattamento dei dati, e in particolare le modalità utilizzate per l'attività promozionale (quali ad esempio: telefono, posta cartacea o posta elettronica), la natura obbligatoria o facoltativa del relativo conferimento, le conseguenze di un eventuale rifiuto di rispondere, nonché i soggetti o le categorie di soggetti che possono venirne a conoscenza in qualità di responsabili o incaricati, ed è quindi da ritenersi inidonea ai sensi del citato art. 13, comma 1, del Codice che invece richiede tassativamente la presenza di tali elementi;

RILEVATO inoltre che la suddetta informativa prevede che i dati personali raccolti vengano trattati per diverse finalità, fra le quali l'invio di un prodotto o di un catalogo, l'invio di comunicazioni promozionali della società e la comunicazione dei dati a soggetti terzi, scelti dalla medesima società, per la vendita mediante corrispondenza e la presentazione di proprie offerte commerciali;

RILEVATO che con riguardo alle diverse finalità perseguite attraverso il tratta-mento dei dati personali degli interessati la società richiede agli stessi un unico e generico consenso, limitandosi a prevedere la possibilità di scegliere di non ricevere comunicazioni promozionali proprie o di terzi solo barrando la relativa casella, secondo un meccanismo di sostanziale "opt-out";

CONSIDERATO pertanto che, nel trattamento finalizzato all'acquisizione dei nuovi clienti, richiedendo agli interessati un unico consenso in relazione a differenti attività, quali quella di invio di proposte commerciali via posta cartacea ed elettronica e quella di comunicazione dei loro dati a soggetti terzi, la S.S.T.C. s.r.l. viola il disposto degli artt. 23, comma 3 e 130, commi 1 e 2, del Codice, secondo cui il trattamento di dati personali da parte dei privati è ammesso solo previa acquisizione di un consenso dell'interessato libero, informato e specifico, con riferimento a trattamenti chiaramente individuati e documentato per iscritto;

CONSIDERATO, altresì, che l'attività di telemarketing svolta dalla S.S.T.C. s.r.l. ri-sulta effettuata tramite l'acquisizione di dati tratti non da elenchi telefonici o da altri elenchi pubblici, ma dagli inserti pubblicitari su riviste, dai moduli c.d. "presenta amico" e dal form di registrazione al sito www.cassine.com;

RILEVATO pertanto che il trattamento per finalità promozionale di dati aventi origine diversa dagli elenchi telefonici non è soggetto alla disciplina del registro delle opposizioni di cui all'art. 130, comma 3bis, in base alla quale le chiamate telefoniche a carattere promozionale sono consentite nei confronti degli interessati, presenti nei detti elenchi, che non si sono opposti mediante l'iscrizione della loro utenza telefonica nel suddetto apposito registro;

RILEVATO che il detto trattamento effettuato mediante chiamate telefoniche per finalità promozionale è invece soggetto agli obblighi generali del rilascio di un'idonea informativa ex art. 13, comma 1 del Codice e della previa acquisizione del consenso specifico e documentato degli interessati, ex art. 23 del Codice (cfr. il suindicato provvedimento generale del 19 gennaio 2011) e che S.S.T.C. s.r.l. non risulta aver adempiuto correttamente ai detti obblighi;

CONSIDERATO che, alla luce delle motivazioni sopra esposte, l'attività di tratta-mento dei dati personali contenuti nel database di Azienda Cassine di Pietra s.r.l. e utilizzati da S.S.T.C. s.r.l., nonché dei dati personali degli interessati acquisiti direttamente da S.S.T.C. s.r.l. con le modalità sopra descritte, costituisce un trattamento illecito;

RILEVATO che l'art. 11, comma 2, del Codice prevede che i dati personali trattati in violazione della disciplina rilevante in materia di dati personali non possono es-sere utilizzati;

RILEVATO altresì che il trattamento posto in essere dalla società  in ragione delle descritte modalità di raccolta dati e del rilevante numero di soggetti (circa un milione) presenti nel suo attuale database  presenta carattere sistematico;

CONSIDERATO che il Garante, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, ha il compito di vietare anche d'ufficio il trattamento illecito o non corretto dei dati o di disporne il blocco e di adottare, altresì, gli altri provvedimenti previsti dalla disciplina applicabile al trattamento dei dati personali;

RILEVATA la necessità di adottare nei confronti di S.S.T.C. s.r.l., ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d) del Codice, un provvedimento di divieto del trattamento illecito effettuato dalla medesima -mediante l'invio di proprie comunicazioni promozionali nonché la comunicazione dei dati a terzi- dei dati personali contenuti nel database di clienti acquisito tramite Azienda Cassine di Pietra S.r.l., senza che S.S.T.C. s.r.l. abbia rilasciato l'informativa ai sensi dell'art. 13, comma 4 del Codice;

RILEVATO che tale provvedimento deve essere emanato ai sensi delle menzionate norme anche con riguardo al trattamento illecito che viene svolto -mediante le medesime attività sopra individuate- rispetto ai dati personali direttamente acquisi-ti da S.S.T.C. s.r.l. senza aver rilasciato un'idonea informativa ai sensi dell'art. 13, comma 1 del Codice e senza aver acquisito il necessario consenso libero, specifico e documentato per iscritto degli interessati ex art. 23, comma 3 e 130, commi 1 e 2, del Codice; rilevato, peraltro, che il suddetto provvedimento di divieto ha per oggetto anche il trattamento illecito, effettuato mediante il ricorso al telemarketing, dei dati personali degli interessati acquisiti direttamente da S.S.T.C. s.r.l. tramite gli inserti pubblicitari su riviste, i moduli c.d. "presenta amico" e il form di registrazione al sito www.cassine.com, senza aver rilasciato un'idonea informativa ai sensi dell'art. 13, comma 1 del Codice e senza aver acquisito il consenso previsto dal menzionato art. 23 del Codice;

RILEVATA, altresì, la necessità di adottare nei confronti di S.S.T.C. s.r.l.  ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice  un provvedi-mento prescrittivo volto a rendere il trattamento dei dati effettuato dalla società conforme alla normativa richiamata in materia di protezione dei dati personali;

TENUTO CONTO che, ai sensi dell'art. 170 del Codice, chiunque, essendovi tenu-to, non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni, e che, ai sensi dell'art. 162, comma 2-ter del Codice, in caso di inosservanza del medesimo provvedimento, è  altresì applicata in sede amministrativa,  in ogni caso, la sanzione del pagamento di una somma da trentamila a centot-tantamila euro;

RILEVATA la sussistenza dei presupposti per contestare a S.S.T.C. s.r.l. le violazioni amministrative di competenza di questa Autorità e quindi la necessità di avviare un autonomo procedimento sanzionatorio nei confronti della medesima;

RILEVATO che resta impregiudicata la facoltà per gli interessati di far valere i propri diritti in sede civile in relazione alla condotta accertata (cfr. anche art. 15 del Codice), con specifico riguardo agli eventuali profili di danno;

VISTA la documentazione in atti;

VISTE le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

TUTTO CIÒ PREMESSO IL GARANTE:

a) dichiara illecito il trattamento effettuato da S.S.T.C. s.r.l. -mediante l'invio di proposte commerciali via posta cartacea ed elettronica nonché la comunicazione a terzi- dei dati personali contenuti nel database acquisito tramite Azienda Cassine di Pietra s.r.l., senza che S.S.T.C. s.r.l. abbia rilasciato agli interessati l'informativa ai sensi dell'art. 13, comma 4 del Codice nonché dei dati personali acquisiti direttamente da S.S.T.C. s.r.l. senza aver rilasciato un'idonea informativa ai sensi dell'art. 13, comma 1 del Codice e senza aver acquisito il necessario consenso libero, specifico e documentato per iscritto degli interessati ex artt. 23, comma 3 e 130, commi 1 e 2, del Codice;

b) dichiara altresì illecito il trattamento effettuato da S.S.T.C. s.r.l. -mediante telemarketing- dei dati personali degli interessati acquisiti direttamente dalla medesima società tramite gli inserti pubblicitari su riviste, i moduli c.d. "pre-senta amico" e il form di registrazione al sito www.cassine.com, senza aver rilasciato un'idonea informativa ai sensi dell'art. 13, comma 1 del Codice e senza aver acquisito il consenso dei soggetti interessati ai sensi dell'art. 23 del Codice;

c) vieta a S.S.T.C. s.r.l., ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, l'ulteriore trattamento dei dati personali di cui alle precedenti lettere a) e b) per le attività diverse da quelle strumentali all'esecuzione degli obblighi contrattuali, effettuato dalla medesima società senza aver adempiuto agli obblighi in tali lettere indicati;

d) prescrive a S.S.T.C. s.r.l., ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice, di adottare le  misure necessarie e opportune al fine di rendere il trattamento dei dati personali conforme alle disposizioni del Codice, dandone -entro e non oltre il termine di sessanta giorni dalla data di ricezione del presente provvedimento- riscontro documentato a questa Autorità comprovante l'avvenuto adeguamento, accompagnato da una dichiarazione del legale rappresentante della società, rilasciata ai sensi e per gli effetti dell'art. 168 del Codice ed in particolare:

1) integrare l'informativa rilasciata agli interessati con gli ulteriori elementi richiesti dall'art. 13 del Codice, indicando le modalità del trattamento dei dati -e in particolare le modalità utilizzate per l'attività promozionale (quali ad esempio: chiamate telefoniche, posta cartacea, posta elettronica)- la natura obbligatoria o facoltativa del conferimento dei dati, le conseguenze di un eventuale rifiuto di rispondere, nonché i soggetti o le categorie di soggetti che possono venirne a conoscenza in qualità di responsabili o incaricati;

2) rilasciare l'informativa così integrata agli interessati i cui dati sono stati acquisiti tramite Azienda Cassine di Pietra s.r.l. e a quelli acquisiti e acquisendi di-rettamente da S.S.T.C. s.r.l. tramite gli inserti pubblicitari su riviste, i moduli c.d. "presenta amico" e il form di registrazione al sito www.cassine.com;

3) richiedere agli interessati, ai sensi degli artt. 23 e 130 del Codice, un preventivo consenso al trattamento dei dati personali libero, informato, documentato per iscritto e specifico per ogni diversa finalità del trattamento ed in particolare per l'invio di proposte commerciali e per la comunicazione dei dati personali a soggetti terzi;

4) effettuare, l'attività di telemarketing utilizzando i dati personali degli interessati acquisiti tramite gli inserti pubblicitari su riviste, i moduli c.d. "presenta amico" e il form di registrazione al sito www.cassine.com-  solo nei confronti degli interessati che avranno rilasciato il consenso libero, informato, documentato per iscritto e specifico, come indicato al punto 3) o, qualora intendesse acquisire i dati da elenchi di abbonati, previo il prescritto riscontro presso il Registro pubblico delle opposizioni;

e) dispone l'avvio di un autonomo procedimento sanzionatorio nei confronti di S.S.T.C. s.r.l.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 11 ottobre 2012

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia