g-docweb-display Portlet

Provvedimento del 30 marzo 2017 [6393365]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 6393365]

Provvedimento del 30 marzo 2017

Registro dei provvedimenti
n. 168 del 30 marzo 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente,  della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito "Codice");

VISTA la segnalazione di XX effettuata, tra gli altri, nei confronti di G&G Associated s.r.l. in relazione al contatto telefonico ricevuto su una propria utenza residenziale (XX), nonché il contenuto dei verbali dell´accertamento ex art. 157 del Codice svoltosi presso la Società nel giorno 8 novembre 2016 con l´ausilio del Nucleo Speciale Privacy della Guardia di Finanza;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del Regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Licia Califano;

PREMESSO

1. Il segnalante ha lamentato di essere stato contattato telefonicamente da G&G Associated s.r.l. su una propria utenza residenziale che, in base a quanto affermato, non sarebbe presente in elenchi telefonici da circa 18 anni. Considerata tale peculiare circostanza e il divergente contenuto del riscontro all´esercizio dei diritti di cui all´art. 7 del Codice fornito al segnalante (e, per conoscenza, al Garante), nel quale la Società, a seguito di specifica richiesta, ha dichiarato che il numero telefonico del segnalante era stato estratto da elenchi cartacei o elettronici a disposizione del pubblico ex art. 129 del Codice, l´Ufficio, avvalendosi del Nucleo speciale Privacy, ha effettuato l´8 novembre 2016 un accertamento ispettivo in loco, al fine di verificare la liceità dei trattamenti posti in essere.

2. Nel corso delle verifiche, il rappresentante della Società, specificando di aver effettuato il contatto telefonico «nell´ambito di una ricerca denominata Audimob svolta per conto dell´Isfort s.p.a.», ha dichiarato, anche ai sensi dell´art. 168 del Codice (cfr. verbale 8 marzo 2016, p. 3), che «in relazione all´utenza oggetto di segnalazione […] essa è stata chiamata in quanto frutto di un errore di digitazione manuale da parte dell´operatore. A seguito delle verifiche interne infatti è risultato che la numerazione del segnalante non è presente all´interno del database di 18.000.000 di utenze telefoniche».

Quanto a detto database è stato altresì precisato che:

a. «fino al mese di dicembre 2015, la Società ha utilizzato, solo per le attività che le sono state commissionate da Isfort s.p.a. nel corso di ciascun anno, un database interno costituito da 18.000.000 di utenze telefoniche estratte dagli elenchi pubblici risalenti all´anno 2007»;

b. «a partire dal gennaio 2016 […] la Società si avvale di XX per la fornitura di numerazioni provenienti da elenchi e non utilizza più il citato database».

È stato inoltre dichiarato che (cfr. verbale 8 novembre 2016, p. 2 e 3):

c. «G&G Associated è stata fondata nel 2007 e si occupa di ricerche di mercato, analisi statistiche e indagini di natura commerciale prevalentemente per conto di Società private […] e non effettua campagne di telemarketing»;

d. «le numerazioni contattate vengono composte automaticamente oppure l´operatore di turno può digitare il numero manualmente. In ogni caso il numero chiamante è sempre quello della Società»;

e. «le liste delle numerazioni da contattare sono fornite dal committente per circa il 60% dei casi, nel restante 40% sono liste acquistate dalla Società e sottoposte sempre alla verifica dell´iscrizione della numerazione stessa nel registro delle opposizioni»;

f. «a partire dal gennaio 2016 l´unico fornitore presso il quale la Società acquista liste di numerazioni è XX che invia le predette liste a G&G Associated via email»;

g. con riferimento all´obbligo di rendere l´informativa prevista dall´art. 13 del Codice, «nel corso della telefonata viene fornita un´informativa sul trattamento dei dati personali con riguardo alle finalità perseguite e al titolare del trattamento nonché alle modalità dell´esercizio dei diritti di cui all´art. 7 del Codice. L´indicazione della provenienza del dato è fornita solo quando la numerazione proviene dalle liste acquistate da XX mentre nelle altre ipotesi tale informazione non viene comunicata»;

h. con riferimento al consenso per le operazioni di trattamento, «dal momento che la Società effettua ricerche di mercato, analisi statistiche e indagini di natura commerciale non necessita di acquisire un consenso ai sensi degli artt. 23 e 130 del Codice».

3. Nel prendere atto, anche ai sensi dell´art. 168 del Codice, di quanto dichiarato dalla Società nel corso degli accertamenti ispettivi ‒ con specifico riferimento al fatto che l´utenza del segnalante sarebbe stata contattata per «un errore di digitazione manuale da parte dell´operatore», circostanza compatibile con la possibilità di eseguire telefonate con detta modalità accertata nel corso delle verifiche, oltre che in relazione al cessato impiego del database risalente al 2007 ‒ deve tuttavia rilevarsi che la stessa, nel rendere il menzionato riscontro all´interessato con la comunicazione del 16 aprile 2016, ha fornito una spiegazione di contenuto diverso e non in linea con quella resa nel corso delle verifiche.

Deve quindi ritenersi che il comportamento tenuto al riguardo dalla Società non sia stato conforme alla disciplina di protezione dei dati personali, secondo la quale il riscontro da fornire all´interessato deve essere esaustivo e veritiero, comprendendo, se presenti, «tutti i dati personali che riguardano l´interessato comunque trattati dal titolare» (cfr. art. 10, comma 3, del Codice) e ben potendo lo stesso avere anche esito negativo a seguito delle necessarie verifiche (arg. ex art. 10, comma 7, del Codice).

Il segnalante potrà, quindi, ove abbia risentito un pregiudizio dalla condotta tenuta, far valere eventuali pretese risarcitorie avanti alla competente autorità giudiziaria.

4.1. Sotto un diverso profilo, gli accertamenti effettuati in loco al fine di acclarare l´origine dei dati del segnalante hanno, in termini più generali, consentito di appurare che, fino al dicembre 2015, la Società ha dichiarato di aver utilizzato un database interno composto da circa 18.000.000 di numerazioni estratte dagli elenchi telefonici pubblici riferiti all´anno 2007. Rispetto ai dati personali contenuti in tale database, in uso a far data dalla costituzione della Società e sino a tutto il 2015, non consta che esso sia stato mai aggiornato, come invece necessario in base al principio di qualità dei dati (cfr. art. 11, comma 1, lett. c), del Codice). Per tale ragione, ancorché alla luce degli elementi acquisiti nel corso degli accertamenti non siano risultate comprovate in concreto operazioni di trattamento per le finalità enunciate nell´art. 7, comma 4, lett. b), del Codice, il trattamento di dati così effettuato, relativo ad una banca dati di notevoli dimensioni e prolungato per un ampio arco temporale, compreso tra il 2007 e il 2015, risulta quindi illecito, con la conseguenza dell´inutilizzabilità dei dati ai sensi dell´art. 11, comma 2, del Codice.

4.2. Inoltre, pur prendendo atto delle dichiarazioni rese dalla Società, allo stato degli atti, con il presente provvedimento si intende inibire alla Società l´ulteriore trattamento dei dati presenti nel citato database di utenze in quanto tali dati non sono aggiornati né, per quanto riguarda la possibile effettuazione di «ricerche di mercato», è risultato acquisito il consenso degli interessati (art. 23 e 130 comma 3 del Codice).

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi degli artt. 143, comma 1, lett. c), 144 e 154, comma 1, lett. d), del Codice, rilevato che i dati personali di cui è stato accertato l´illecito trattamento non possono essere utilizzati (art. 11, comma 2, del Codice), vieta a G&G Associated s.r.l. con sede in Roma, viale regina Margherita 278, per le ragioni enunciate in narrativa ai punti 4.1. e 4.2, l´ulteriore trattamento dei dati personali presenti nel database nella disponibilità della medesima società che consta di 18.000.000 di utenze provenienti da elenchi telefonici risalenti all´anno 2007, fatta salva la conservazione dello stesso per l´esclusiva finalità di tutela dei diritti.

Ai sensi degli artt. 152 del Codice e 10, d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 30 marzo 2017

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia