Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Ordinanza di ingiunzione nei confronti di Consodata S.p.A. - 10 gennaio 2013 [2438949]

[vedi anche: Newsletter del 24 maggio 2013]

[doc. web n. 2438949]

Ordinanza di ingiunzione nei confronti di Consodata S.p.A. - 10 gennaio 2013

Registro dei provvedimenti
n. 06 del 10 gennaio 2013

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO l'atto di contestazione, che qui deve intendersi integralmente riportato, n. 3339/64094 del 15 febbraio 2010 (notificato in data 19 febbraio 2010) nei confronti di Consodata S.p.A., con sede in Roma, via Mosca n. 43-45 (di seguito denominata "Consodata"), in persona del legale rappresentante pro-tempore, per le violazioni delle disposizioni di cui agli artt. 13, 23 e 154, comma 1, lett. d), sanzionate dagli articoli 161, 162, commi 2-bis e 2-ter, 164-bis, comma 2, e 167 del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito denominato Codice);

ESAMINATO il rapporto dell'Ufficio del Garante per la protezione dei dati personali predisposto ai sensi dell'art. 17 della legge 24 novembre 1981, n. 689, relativo all'atto di contestazione sopra richiamato;

VISTI gli scritti difensivi dell'11 marzo 2010, inviati ai sensi dell'art. 18 della legge n. 689/1981, che qui si intendono integralmente richiamati;

PRESO ATTO che Consodata, per le violazioni di cui al capo b) dell'atto di contestazione ha provveduto, in data 19 marzo 2010, ad effettuare nei termini il pagamento in misura ridotta previsto dall'art. 16 della legge n. 689/1981, con effetto estintivo del relativo procedimento sanzionatorio;

LETTO il verbale in data 19 dicembre 2011 relativo all'audizione dei rappresentanti di Consodata ai sensi dell'art. 18, comma 2, della legge n. 689/1981;

RITENUTO che le argomentazioni addotte da Consodata nelle memorie difensive e nell'audizione del 19 dicembre 2011 non consentono di escludere le responsabilità in relazione a quanto contestato per le motivazioni di seguito riportate:

a. con riferimento alla contestazione riguardante l'inosservanza del provvedimento del Garante del 26 giugno 2008 (in www.garanteprivacy.it, doc. web n. 1544326) la società ha ammesso, nelle memorie difensive, che "effettivamente, nel periodo considerato, Consodata ha effettuato un numero, peraltro assai limitato, di operazioni di mailing (mail di tele-marketing). Tuttavia, dal settembre 2008 la Società le ha realizzate in qualità di autonoma Titolare – veicolando sì materiali pubblicitari di terzi, ma senza in alcun modo cedere questi dati a terzi – nei confronti di interessati alla maggior parte dei quali, prima del 1° agosto 2005, aveva reso un'informativa individuale, sempre in qualità di Titolare". La società ha quindi descritto le operazioni che hanno consentito di ricostruire il numero di interessati che hanno ricevuto una idonea informativa da Consodata in data antecedente al 1° agosto 2005, ammontante a circa 7 milioni di persone evidenziando che tale circostanza "ridimensiona notevolmente, in termini numerici, il novero di coloro che, estratti da elenchi telefonici anteriori al 1° agosto 2005, sono stati raggiunti da posta promozionale inviata da Consodata senza essere mai stati informati da Consodata Titolare, ai sensi dell'art. 13 del codice privacy". Le osservazioni di cui sopra sono state ribadite anche in sede di audizione (19 dicembre 2011) nel corso della quale la società ha inteso precisare che "come anche rappresentato nella memoria difensiva, a seguito di attente analisi dei database utilizzati si è avuto modo di acquisire documentazione idonea ad attestare che tutti i dati oggetto di trattamento utilizzati da Consodata, in qualità di titolare del trattamento, dal settembre 2008 al febbraio 2009, si riferivano a soggetti che in epoca antecedente al 1° agosto 2005 avevano ricevuto una informativa da parte della società". Sempre in quella sede la società ha richiesto all'Autorità di "svolgere una valutazione relativa all'applicabilità della sanzione di cui all'art. 162, comma 2-ter, anche alla luce dei principi in ordine alla successione delle leggi e alla circostanza che il nuovo regime sanzionatorio nella protezione dei dati personali è stato introdotto dal 1° gennaio 2009".

Quanto rappresentato da Consodata deve essere messo a confronto con gli elementi emergenti dal citato provvedimento del 26 giugno 2008, dagli accertamenti ispettivi del 12-16 febbraio 2009 e dal provvedimento adottato dal Garante a conclusione dell'istruttoria relativa ai predetti accertamenti il 26 novembre 2009, che qui deve intendersi integralmente richiamato.

Al riguardo si osserva che il provvedimento del 26 giugno 2008, adottato dal Garante a seguito di una complessa istruttoria sulla base di un numero ingente di segnalazioni con le quali è stata contestata la ricezione di chiamate promozionali indesiderate effettuate da operatori telefonici con l'utilizzo di dati acquisiti da Consodata, ha vietato a quest'ultima "di effettuare altri trattamenti di ulteriori dati personali provenienti da elenchi telefonici pubblicati prima del 1° agosto 2005, utilizzati senza idonea informativa […]".

Nel corso degli accertamenti ispettivi del 12-16 febbraio 2009 si è avuto modo di rilevare, attraverso acquisizioni documentali di contratti e fatture, che risultavano a quella data ancora in corso di esecuzione numerosi contratti stipulati con gestori di servizi di telefonia e altre aziende erogatrici di pubblici servizi aventi ad oggetto la cessione con licenza d'uso e il costante aggiornamento di dati acquisiti dagli elenchi telefonici "ante 2005" in quantitativi superiori ai dieci milioni di anagrafiche, nonostante Consodata avesse dichiarato che "a seguito dell'emanazione del provvedimento del 26 giugno 2008, Consodata, oltre a non utilizzare più i dati dei soggetti presenti negli elenchi ante 2005, così come prescritto dal Garante, ha sospeso, altresì, in via prudenziale, l'utilizzo per le medesime finalità dei dati presenti nel DB Lifestyle. […] Gli unici dati utilizzati per le attività di telemarketing, dopo il provvedimento del Garante del 26 giugno 2008, sono quelli riferiti ai circa 400.000 soggetti presenti nel DBU unitamente a piccole porzioni di DB Lifestyle".

Il provvedimento del 26 novembre 2009 ha invece evidenziato che "Consodata ha continuato a trattare i dati di cui le era stato inibito il trattamento con il citato provvedimento del 26 giugno 2008 anche successivamente alla notifica dello stesso (avvenuta il 2 settembre 2008), cedendo tali dati a terzi. […] In particolare, ci si riferisce (cfr. verbale del 13 febbraio 2009, pag. 2): al prodotto individuato tramite il codice di attività "JJR" che, come dichiarato dalla stessa società, corrisponde alla "lista privati" e individua la "cessione di porzioni del DB telefonico comprensivo delle anagrafiche presenti negli elenchi telefonici "ante 2005" e delle anagrafiche consensate contenute nel DBU"; al prodotto individuato tramite il codice di attività JCP che corrisponde alla "cessione file privati" e individua l'intera cessione del DB telefonico".

Dagli elementi di cui sopra, è possibile ricostruire il quadro delle responsabilità di Consodata la quale, in sede ispettiva, ha dichiarato di aver sospeso ogni trattamento con finalità di telemarketing dei dati acquisiti da elenchi telefonici "ante 2005" per poi ammettere, nelle memorie difensive, di aver svolto i trattamenti in contestazione solo per limitate porzioni dei predetti dati e successivamente rappresentare, in sede di audizione, di aver comunque trattato solo dati di soggetti raggiunti da un'idonea informativa ai sensi dell'art. 13 del Codice. Senza voler dare enfasi alla contraddittorietà delle dichiarazioni rese dalla società nel corso del tempo, non si può non evidenziare che le argomentazioni più credibili sono quelle fornite nelle memorie difensive nelle quali si rappresenta che la società ha proseguito i trattamenti di dati oggetto del provvedimento inibitorio "nel periodo considerato". Solo in un momento successivo all'accertamento, sempre secondo quanto dichiarato dalla società, sarebbe stata avviata da Consodata un'attività di verifica della legittimità dei trattamenti svolti con riferimento al rilascio di una idonea informativa prima del 1° agosto 2005 "sulla base di indici attendibili", individuati negli elenchi dei nominativi dei soggetti destinatari di campagne pubblicitarie realizzate dal 2001 al 2005 e dai campioni delle pubblicazioni inviate, ove ancora disponibili. Sul punto, peraltro, si osserva che l'unico campione messo a disposizione da Consodata (allegato 1 della memoria difensiva) reca una informativa non idonea in quanto priva di riferimenti in ordine alle finalità del trattamento. Orbene, anche a voler ritenere valido il procedimento di verifica ex post adottato da Consodata (ma il modello di informativa esibito non induce a tale considerazione), emerge che una porzione non certo trascurabile di dati acquisiti da elenchi "ante 2005" e oggetto di trattamento in epoca successiva alla data di notifica del primo provvedimento inibitorio (quello del 26 giugno 2008), quantificabile in oltre tre milioni di dati personali, riguarda soggetti in ordine ai quali la società non è stata in grado di dimostrare di aver fornito un'idonea informativa e quindi oggetto del divieto di cui al provvedimento stesso.

Da ciò deriva la sussistenza della responsabilità di Consodata in relazione all'inosservanza del provvedimento del Garante emesso il 26 giugno 2008;

b. con riferimento alla contestazione riguardante la cessione di dati personali presenti nel database telefonico senza il consenso di cui all'art. 23 del Codice, Consodata fa rilevare che "gli unici dati del DBU che, dopo essere confluiti nel DB "omnitarget", sono stati ceduti ai clienti, sono riferiti a quegli abbonati che, negli elenchi telefonici, avevano manifestato il consenso a ricevere telefonate promozionali o mailing cartacei. […] A nostro avviso Consodata non era tenuta alla richiesta di un ulteriore, specifico consenso. Il sistema introdotto dal provvedimento del Garante del 15 luglio 2004 puntava a concentrare temporalmente e fisicamente la manifestazione della volontà dell'interessato circa l'uso dei suoi recapiti in elenco per fini di marketing diretto. […] In questo quadro di univocità/pubblicità della volontà dell'abbonato circa l'uso dei suoi recapiti a fini di promozione commerciale (secondo un sistema di opt-in) risulterebbe irragionevole un'interpretazione secondo cui ciascun Titolare che raccoglie i dati di chi ha acconsentito all'uso commerciale dei suoi recapiti deve richiedere uno specifico consenso al trattamento o alla cessione degli stessi".

Al riguardo, si deve premettere che quello che viene definito da Consodata come "DB telefonico", è una database inserito nella più ampia banca dati denominata "DB Omnitarget", che ricomprende la quasi totalità dei dati trattati dalla società. Sulla base di quanto accertato nel corso delle attività ispettive, il DB telefonico si componeva di dati acquisiti da elenchi telefonici pubblicati prima del 1° agosto 2005, nonché dai dati tratti dal database unico degli operatori di comunicazioni elettroniche (cd. DBU) relativi ai soggetti che avevano prestato uno specifico consenso alla ricezione di comunicazioni promozionali tramite telefonate e posta cartacea. Con riferimento ai dati tratti da elenchi telefonici "ante 2005", si deve osservare che, anche in ragione di quanto rappresentato al punto a) della presente ordinanza-ingiunzione, tali dati non potevano essere trattati (e tantomeno ceduti) senza l'acquisizione di un preventivo, specifico consenso da parte degli interessati. Per quanto riguarda, invece, i dati acquisiti dal  DBU, si ritiene che il consenso al trattamento per finalità di marketing prestato dagli interessati alle specifiche attività di mailing cartaceo e contatto telefonico non sia idoneo a consentire la comunicazione di tali dati a terzi: l'art. 23 del Codice prevede infatti l'obbligo di ogni titolare di dotarsi di un consenso dell'interessato informato e distinto per ciascuna finalità di trattamento che comporti l'identificabilità dell'interessato medesimo. Nel caso di specie, Consodata, in qualità di titolare, avrebbe potuto utilizzare i dati del DBU relativi agli interessati che avevano espresso il proprio consenso alla ricezione di comunicazioni promozionali per svolgere attività di mailing cartaceo o telemarketing (in proprio o per conto di soggetti terzi) ma non cedere i predetti dati ad altri titolari: la cessione di dati personali nell'ambito dell'attività di "list-broker" è infatti da ritenersi connessa ad una finalità di trattamento distinta da quella di svolgimento delle operazioni di mailing cartaceo e telemarketing e necessita, pertanto, di uno specifico consenso.

Risultano pertanto sussistenti i profili di responsabilità di Consodata in ordine alla contestazione in argomento.

c. con riferimento alla contestazione riguardante il trattamento senza consenso dei dati presenti nel database "lifestyle", Consodata evidenzia che "nella somministrazione del questionario [lifestyle], Consodata ritiene di aver sempre compiuto ogni sforzo per garantire agli interessati la massima trasparenza su tutti gli elementi rilevanti del trattamento dei loro dati personali. […] Come verificabile dalla documentazione allegata a seguito dell'ispezione, il testo dell'informativa evidenziava agli interessati le seguenti finalità del trattamento: 1. La promozione di offerte commerciali di aziende clienti attraverso l'invio di materiale pubblicitario mediante il canale postale, messaggi SMS o comunicazioni e-mail, ovvero attraverso contatti telefonici con l'ausilio dell'operatore; 2. La realizzazione di rilievi statistici e analisi di mercato; 3. La creazione di profili di consumatori per gruppi omogenei" e delinea le ragioni che l'hanno indotta a richiedere un unico consenso per i trattamenti connessi al questionario. Tali ragioni si possono riassumere in: 1) possibilità, riconosciuta all'interessato nella compilazione del questionario, di comunicare solo una delle diverse tipologie di contatto previste, (così da selezionare, fin dall'origine, la modalità di invio delle comunicazioni promozionali ed escludere la necessità di acquisire un distinto consenso per i trattamenti finalizzati al telemarketing o mailing cartaceo rispetto a quelli finalizzati all'invio di sms, fax, e-mail o chiamate senza operatore) ; 2) correlazione fra la finalità di marketing diretto e la finalità di profilazione (tesa ad escludere la necessità di acquisire distinti consensi per le due finalità). Per il primo aspetto, Consodata ha rappresentato che la richiesta di un unico consenso era conseguenza della circostanza che "l'interessato, nella compilazione del questionario, aveva la libertà di conferire la tipologia di recapito sul quale preferiva essere contattato, omettendo i canali (ad es. telefono fisso, telefono cellulare, indirizzo di posta elettronica) che non intendeva rilasciare". Per il secondo, la società ha evidenziato che "stante la stretta correlazione fra le due finalità, specialmente nel contesto unitario di un'operazione come il questionario sugli stili di vita, Consodata, pur evidenziando agli interessati la differenza fra le due finalità, ha ritenuto le stesse riconducibili ad un fenomeno unitario: la realizzazione di profili di utenza a fini di meglio tarare ed indirizzare l'attività di commercializzazione". Quindi Consodata ha argomentato di non aver ritenuto applicabili ai propri trattamenti i principi stabiliti dal Garante nel provvedimento del 24 febbraio 2005 in tema di carte di fidelizzazione (in www.garanteprivacy.it, doc. web n. 1103045) con riferimento alla distinzione delle diverse manifestazioni di consenso, in particolare per ciò che concerne la profilazione, sostenendo che la profilazione svolta dalla grande distribuzione è basata su comportamenti reali, mentre quella svolta da Consodata è basata su ciò che gli interessati scelgono liberamente e spontaneamente di dichiarare e ravvisando in una informativa analitica lo strumento per un pieno controllo da parte dell'interessato dell'uso dei suoi dati. Inoltre, Consodata ha rappresentato che anche per ciò che concerne la comunicazione dei dati a terzi, "aveva ritenuto legittima la richiesta di un unico consenso per il trattamento dei dati e per la comunicazione degli stessi, dal momento che erano compiuti per le medesime finalità". Infine, Consodata ha evidenziato che, dalla fine del 2009, "ha reimpostato il questionario lifestyle chiedendo due distinti consensi [marketing diretto e profilazione]" e ha stabilito che i predetti dati non siano più oggetto di comunicazione a terzi.

Giova ricordare che sullo specifico punto del consenso al trattamento dei dati raccolti mediante il questionario lifestyle, Consodata ha impugnato il provvedimento inibitorio del Garante del 26 novembre 2009 con ricorso ex art. 152 del Codice davanti al Tribunale di Roma. Con sentenza n. 19281 del 5 ottobre 2011, alla quale in questa sede deve farsi integrale riferimento, il Giudice ha rigettato il ricorso stabilendo che i trattamenti di dati personali finalizzati all'effettuazione di attività di marketing, profilazione e comunicazione di dati a terzi, necessitano di consensi distinti e ha diffusamente argomentato in ordine a tale necessità con riferimento alla diversità di disciplina normativa per ciascun settore e alla autonomia delle rispettive operazioni di trattamento.

Risultano pertanto confermati i profili di responsabilità evidenziati nell'atto di contestazione;

d. per quanto attiene alla contestazione relativa al trattamento senza consenso dei dati presenti nel database "elettorale", Consodata fa presente che i destinatari della cessione dei dati tratti da liste elettorali sono due aziende "che sono dotate – l'una in via esclusiva, l'altra in aggiunta ai canali tradizionali – di un sistema di vendita a distanza di prodotti e servizi e che intendevano, tramite il mailing, incoraggiare acquisti a distanza (la prima), oppure acquisti realizzabili anche a distanza (la seconda)". Rappresenta, inoltre, che "sono stati ceduti esclusivamente dati estratti da liste elettorali anteriori all'entrata in vigore del codice privacy e quindi al nuovo regime dell'art. 177, comma 5". Infine, richiama la disciplina prevista dall'art. 58, comma 2, del Codice del consumo "che ammette un regime di opt-out per le comunicazioni commerciali effettuate, a mezzo posta cartacea, da aziende che vendono a distanza" anche in deroga alle norme del Codice in materia di protezione dei dati personali (art. 51-bis della legge n. 51/2006), rappresentando che tale disposizione derogatoria "non appare destinata solo a chi vende a distanza, ma anche ai list broker nella misura in cui cedono le liste elettorali ai venditori a distanza".

Al riguardo, si deve osservare che ad ogni valutazione in ordine all'applicabilità (peraltro assai dubbia atteso il tenore dell'art. 58 del Codice del consumo) della disciplina derogatoria sopra richiamata non solo ai venditori a distanza ma anche ai cd. "list broker" deve essere anteposta la considerazione che, in base a quanto stabilito dall'art. 51, comma 5, del d.P.R. 223/1967, così come sostituito dall'art. 177, comma 5, del Codice, "le liste elettorali possono essere rilasciate in copia per finalità di applicazione della disciplina in materia di elettorato attivo e passivo, di studio, di ricerca statistica, scientifica o storica, o carattere socio-assistenziale o per il perseguimento di un interesse collettivo o diffuso". Tale disposizione si applica anche a tutti i dati tratti da liste elettorali, anche se acquisiti in epoca anteriore all'entrata in vigore della norma (1° gennaio 2004). A ciò fa riferimento anche il provvedimento del Garante in data 10 giugno 2004 (in www.garanteprivacy.it, doc. web n. 1068106) quando afferma, relativamente a dati tratti da liste elettorali prima del dicembre del 2003 e utilizzati successivamente per l'invio di materiale pubblicitario, che "le liste elettorali possono essere rilasciate in copia solo "per finalità di applicazione della disciplina in materia di elettorato attivo e passivo, di studio, di ricerca statistica, scientifica o storica, o carattere socio-assistenziale o per il perseguimento di un interesse collettivo o diffuso". I dati in esse riportati non sono quindi più accessibili e utilizzabili per finalità promozionali, commerciali o pubblicitarie. L'art. 24, comma 1, lett. c), del Codice rende lecito il trattamento dei dati personali senza il consenso degli interessati nel caso in cui gli stessi siano tratti da pubblici registri, ma imponendo il rispetto dei limiti previsti dalla normativa nazionale o comunitaria per la loro conoscibilità e pubblicità. Nel caso di specie, non risultando manifestato alcun consenso da parte dell'interessato per il trattamento dei dati personali che lo riguardano a fini di invio di materiale pubblicitario (né operante uno degli altri presupposti di cui al citato art. 24), l'ulteriore trattamento dei dati per la finalità già perseguita dalla resistente non risulta più basato su un idoneo presupposto di legge. ". Pertanto, l'utilizzo dei dati tratti da liste elettorali da parte di Consodata, poiché estraneo alle finalità indicate nell'art. 177, comma 5, del Codice, risulta illecito ancorché le predette liste siano state acquisite prima dell'entrata in vigore della richiamata disposizione. Inoltre, deve evidenziarsi che le liste elettorali, sulla base della citata normativa, possono legittimamente essere acquisite solamente dai soggetti che annoverino fra le proprie finalità quelle previste dal citato art. 177, comma 5 del Codice. Nel caso in argomento, l'acquisizione, la registrazione e la cessione delle liste elettorali a soggetti terzi, quali che siano le finalità di questi ultimi, obbedisce ad una logica prettamente economica, coerente con l'attività d'impresa di Consodata, ma estranea al dettato del citato art. 177, comma 5, del Codice.

Emergono, sulla base delle considerazioni di cui sopra, le responsabilità di Consodata, così come delineate nel provvedimento di contestazione;

e. per quanto riguarda la contestazione circa il trattamento senza consenso dei dati presenti nel DB "Consomail", Consodata ha parzialmente ammesso gli addebiti evidenziando che "il rilievo dell'Autorità può valere esclusivamente per una parte del DB Consomail, quella contenente indirizzi di posta elettronica inseriti dai partner commerciali, per i quali effettivamente la Società non ha richiesto un successivo, autonomo consenso" e rappresentando che gli indirizzi di posta elettronica raccolti attraverso un canale web sono utilizzabili in virtù di uno specifico consenso all'uopo raccolto, mentre per quelli raccolti mediante il questionario lifestyle valgono le argomentazioni a discarico riportate al punto c) della presente ordinanza.

Al riguardo, occorre solo evidenziare che gli indirizzi di posta elettronica acquisiti dai partner commerciali, come riportato nel verbale di operazioni compiute del 16 febbraio 2009, ammontano a circa 500.000. Per quanto riguarda gli indirizzi di posta elettronica acquisiti tramite il questionario lifestyle, ci si riporta a quanto osservato al punto c) della presente ordinanza;

f. con riferimento infine alla contestazione riguardante più violazioni relative a banche dati di particolare rilevanza Consodata, ha evidenziato che "il codice privacy prevede differenti soglie di tutela in ragione della natura di dati oggetto di trattamento" e che "nella gerarchia di rilevanza delle informazioni personali desumibile dal codice privacy […], i dati contenuti nei DB elettorale, telefonico e Consomail non risultano collocati al livello di maggiore delicatezza e sensibilità". Tuttavia, la società ammette che "fra le banche dati societarie considerate nel provvedimento, solo il DB lifestyle contiene dati la cui rilevanza è stata ritenuta dal legislatore più significativa […]. Tuttavia, ci pare importante sottolineare che lifestyle è una banca dati "statica", che si alimenta esclusivamente di risposte fornite dagli interessati stessi […]".

E' necessario, al riguardo, evidenziare che l'art. 164-bis, comma 2, del Codice prevede l'applicazione della sanzione amministrativa nel caso di più violazioni di cui agli artt. 161 e 162, commi 2-bis e 2-ter, oltre che di altre norme non attinenti al presente provvedimento, commesse anche in tempi diversi in relazione a "banche di dati di particolare rilevanza o dimensioni". Come emerge dal verbale di operazioni compiute del 13 febbraio 2009 "nel DB telefonico erano presenti (i dati sono riferiti a luglio 2008) un totale di circa 10.200.000 anagrafiche contattabili telefonicamente" e "il DB lifestyle contiene circa 2.800.000 anagrafiche, mentre il DB elettorale contiene circa 29 milioni di anagrafiche. Di queste 17 milioni circa sono state acquistate precedentemente al 2004". Nel verbale del 16 febbraio 2009 Consodata dichiara inoltre che "il totale degli indirizzi email presenti nel DB Consomail è di circa un milione (500.000 di questi provengono dal DB lyfestile e i restanti sono forniti dai partner […])". Appare pertanto incontestabile che le banche-dati di Consodata siano "di rilevanti dimensioni", così come richiesto dall'art. 164-bis del Codice. Inoltre, per taluni dei predetti database, risulta corretta anche la qualificazione di banca dati di particolare rilevanza: per quanto riguarda il DB lifestyle, si richiamano le osservazioni della stessa Consodata, la quale ha ammesso che in tale database sono presenti informazioni per le quali il Codice prevede un superiore livello di protezione (sulla scorta del fatto che l'art. 37 del Codice impone la notificazione per i trattamenti di dati con finalità di rilevazione e analisi di profili, personalità, abitudini e scelte di consumo dell'interessato).

RILEVATO, quindi, che Consodata, sulla base delle considerazioni sopra richiamate, risulta aver commesso:

a) la violazione di cui all'articolo 162, comma 2-ter del Codice, per non aver osservato le disposizioni del provvedimento del Garante in data 26 giugno 2008, adottato ai sensi dell'articolo 154, comma 1, lettera c), del Codice;

b) la violazione di cui all'articolo 162, comma 2-bis, in relazione all'art. 167 del Codice, per aver ceduto dati personali presenti nel DB telefonico senza il consenso di cui all'art. 23 del Codice;

c) la violazione di cui all'articolo 162, comma 2-bis, in relazione all'art. 167 del Codice, per aver trattato i dati presenti nel DB "lifestyle" senza aver acquisito distinti consensi ex artt. 23 e 130 del Codice;

d) la violazione di cui all'articolo 162, comma 2-bis, in relazione all'art. 167 del Codice, per aver trattato i dati presenti nel DB elettorale, fuori dalle ipotesi di cui all'art 177, comma 5, del Codice, senza aver acquisito il consenso di cui all'art. 23 del Codice;

e) la violazione di cui all'articolo 162, comma 2-bis, in relazione all'art. 167 del Codice, per aver trattato dati personali presenti nel DB Consomail senza il consenso di cui all'art. 23 del Codice;

f) la violazione di cui all'art. 164-bis, comma 2, del Codice, per aver commesso le violazioni sub a), b), c), d) e e) in relazione a banche di dati di particolare rilevanza e dimensioni;

VISTO l'art. 162, comma 2-bis, (nella formulazione vigente all'epoca dei fatti e quindi antecedente alle modifiche di cui all'art. 20-bis, comma 1, lettera c), punto 1, del decreto legge 25 settembre 2009, n. 135, convertito dalla legge 20 novembre 2009, n. 166) che punisce la violazione dell'art. 23 con la sanzione da ventimila a centoventimila euro; l'art. 162, comma 2-ter, che punisce l'inosservanza di un provvedimento inibitorio del Garante con la sanzione da trentamila a centottantamila euro; l'art. 164-bis, comma 2, che, in caso di più violazioni di una o più di una delle disposizioni sopra richiamate commesse anche in tempi diversi in relazione a banche di dati di particolare rilevanza o dimensioni, prevede l'applicazione di una sanzione da cinquantamila a trecentomila euro;

CONSIDERATO che, ai fini della determinazione dell'ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell'art. 11 della legge 24 novembre 1981 n. 689, dell'opera svolta dall'agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

PRESO ATTO delle considerazioni espresse da Consodata in ordine al comportamento tenuto dalla società nel corso del procedimento e anche in relazione al complessivo recepimento delle disposizioni in materia di protezione dei dati personali sin dal periodo immediatamente successivo alla visita ispettiva dell'Autorità del febbraio 2009; preso atto altresì delle osservazioni di Consodata in ordine alle condizioni economiche della società che "per organico e giro d'affari […] è qualificabile come una media impresa e non è paragonabile, quanto a forza economica, alle società di settori come la telefonia e la grande distribuzione, che si aggirano su ricavi di miliardi di euro";

CONSIDERATO che, nel caso in esame:

a) in ordine all'aspetto della gravità, la violazione, riguardo agli elementi dell'entità del pregiudizio o del pericolo e dell'intensità dell'elemento psicologico, risulta connotata da elementi specifici dettati dalla circostanza che, con riferimento alla inosservanza del provvedimento del Garante e alle connesse cessioni di dati, Consodata era a conoscenza di quali fossero le condotte illecite in relazione ai trattamenti di dati personali tratti dal DB telefonico e le ha comunque portate a compimento;

b) ai fini della valutazione dell'opera svolta dall'agente, deve essere considerato in termini favorevoli il fatto che Consodata, sin dall'epoca successiva alla visita ispettiva del Garante, ha intrapreso un processo di correzione delle modalità di raccolta e di trattamento dei dati, recependo le osservazioni del Garante nell'impostazione della successiva attività;

c) circa la personalità dell'autore della violazione, deve essere positivamente considerata la circostanza che Consodata non risulta avere precedenti specifici in termini di violazioni delle disposizioni del Codice;

d) in merito alle condizioni economiche dell'agente, si è tenuto conto del fatturato e del risultato d'esercizio relativi all'anno 2011;

RITENUTO di dover determinare, ai sensi dell'art. 11 della L. n. 689/1981, l'ammontare della sanzione pecuniaria,  in ragione dei suddetti elementi valutati nel loro complesso, nella misura di:

-  euro 100.000,00 (centomila) per le violazioni di cui all'art. 162, comma 2-ter;

-  euro 100.000,00 (centomila) per le violazioni di cui all'art. 162, comma 2-bis;

-  euro 200.000,00 (duecentomila) per la violazione di cui all'art. 164-bis, comma 2;

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la dott.ssa Augusta Iannini;

ORDINA

a Consodata S.p.A., con sede in Roma, via Mosca n. 43/45, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 400.000,00 (quattrocentomila) a titolo di sanzione amministrativa pecuniaria per la violazione prevista dall'art. 164-bis, comma 2 del Codice indicata in motivazione;

INGIUNGE

alla medesima società di pagare la somma di euro 400.000,00 (quattrocentomila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l'adozione dei conseguenti atti esecutivi a norma dall'art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale o in copia autentica, quietanza dell'avvenuto versamento.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 10 gennaio 2013

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia