Diritti interna

Doveri interna

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Trattamento di dati personali di imprese e professionistidi per l'invio fax promozionali senza consenso - 23 gennaio 2014 [2927848]

[doc. web n. 2927848]

Trattamento di dati personali di imprese e professionistidi per l´invio fax promozionali senza consenso - 23 gennaio 2014

Registro dei provvedimenti
n. 30 del 23 gennaio 2014

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito «Codice»), e in particolare le disposizioni di cui agli artt. 4 (come modificato dal d.l. 201/2011, convertito con legge del 22 dicembre 2011, n. 214), 7, 11, 13, 23, 130 (come modificato dall´art. 1, comma 12, del d.lg. 28 maggio 2012, n. 69), 162, comma 2-bis;

VISTE le "Linee guida in materia di attività promozionale e contrasto allo spam" del 4 luglio 2013 (pubblicate in G.U. n. 174 del 26 luglio 2013, e in www.garanteprivacy.it, doc. web n. 2542348); il provvedimento generale del 20 settembre 2012 "Provvedimento in ordine all´applicabilità alle persone giuridiche in materia di protezione dei dati personali a seguito delle modifiche apportate dal d.l. n. 201/2011" (in G.U. n. 268 del 16 novembre 2012, doc. web. 2094932); nonché  il provvedimento generale del 29 maggio 2003 "Regole per un corretto uso dei sistemi automatizzati e l´invio di comunicazioni elettroniche" (doc. web n. 29840);

TENUTO CONTO che, a seguito del ricevimento di alcune segnalazioni, incluse quelle di alcuni professionisti, con le quali veniva lamentato il ricevimento di fax indesiderati tesi a promuovere il servizio di pubblicazione dei propri dati su un elenco on-line denominato "PagineMail" da parte di Smart S.r.l., di seguito "la società", l´Autorità ha avviato un´apposita istruttoria nei suoi confronti;

TENUTO CONTO che l´Autorità aveva già adottato nei confronti di Smart S.r.l. (al tem-po Smart. S.n.c.) un provvedimento inibitorio e prescrittivo in data 19 febbraio 2009 (doc. web n. 1597146) per il trattamento di dati personali effettuato mediante e-mail indesiderate:

CONSIDERATO che la società, in qualità di titolare del trattamento di dati in questione,  nel dare riscontro alle richieste di informazioni inviate dall´Autorità, ha confermato l´invio dei fax lamentati, specificando che i dati personali dei segnalanti erano stati raccolti da elenchi pubblici o comunque liberamente disponibili o anche da siti web e precisando che il testo dei fax inviati conteneva l´informativa per il trattamento dei dati personali, la richiesta di consenso al detto trattamento e il riferimento ai diritti dell´interessato (v. riscontro del 12 marzo 2013);

CONSIDERATO che, facendo riferimento a una delle segnalazioni pervenute, la società ha affermato che, dopo l´invio della comunicazione promozionale tramite telefax, i dati dei destinatari vengono cancellati qualora non riceva il consenso richiesto e inoltre non vengono inseriti nella banca dati "PagineMail" (v. citato riscontro del 12 marzo 2013);

CONSIDERATO peraltro che la società ha affermato che "essendo il fax inviato da un soggetto esercente attività economica ad altro soggetto di analoga natura (comunicazione business-to-business) il consenso al trattamento dei dati personali non è obbligatoriamente richiesto"; asserendo in aggiunta che i fax inviati dalla medesima non necessitano di un consenso al trattamento, in quanto, attenendo al settore business to business, sarebbero qualificabili come "comunicazioni non pubblicitarie" e che l´invio dei fax in questione "è generato da un operatore e senza l´impiego di sistemi automatizzati" (v. citato riscontro del 12 marzo 2013 e, analogamente, sullo specifico punto v. riscontro del 24 giugno 2013);

TENUTO CONTO che è stato ritenuto opportuno procedere a un accertamento presso la sede legale della società in date 18 e 19 novembre 2013 tramite il Nucleo Speciale Privacy della Guardia di Finanza, al fine di verificare la liceità dei trattamenti di dati personali posti in essere, nel corso del quale sono state acquisite ulteriori informazioni (cfr. verbale del 19 novembre 2013 e riscontro integrativo del 4 dicembre 2013);

VISTE le dichiarazioni della società rese a verbale ed in particolare che la medesima "non tratta dati personali essendo la propria attività limitata alla prestazione di servizi legati a soggetti dotati di partita IVA esercenti attività imprenditoriali, commerciali e professionali e dunque non assimilabili alla nozione di ‘natural person´ che la direttiva comunitaria pone alla base dell´estensione della tutela";

TENUTO CONTO, tuttavia, il vigente quadro normativo e in particolare che, a seguito delle modifiche normative suddette, le disposizioni normative del capo 1 del titolo X del Codice, poiché riguardano i "contraenti" a prescindere dalla tipologia di persona, continuano a tutelare non solo le persone fisiche ma anche persone giuridiche, enti e associazioni e che quindi i titolari del trattamento dei dati relativi ai detti soggetti sono sottoposti al potere dell´Autorità di intervenire anche ex officio nonché all´applicazione delle sanzioni ammnistrative e penali previste dal Codice, come l´art. 162, comma 2 bis del Codice, in caso di violazione dell´obbligo del consenso di cui sopra (v. provvedimento generale del 20 settembre 2012 e, analogamente, punto 2.2 "Ambito soggettivo dello spam e le tutele azionabili", Linee Guida del 4 luglio 2013);

RITENUTO peraltro che, come già affermato dall´Autorità, sono dati personali anche quelli relativi a professionisti e a alcune imprese, come ad esempio per le persone fisiche che gestiscono ricevitorie o tabaccherie (cfr. provv. 15 dicembre 2011, doc. web n. 1883880) o agenzie di viaggio (cfr. provv. 21 marzo 2012, doc. web n. 1895176), in quanto tali soggetti sono da ritenersi "interessati" ai sensi dell´art. 4 del Codice;

CONSIDERATO anche che l´invio di un fax è già in sé un trattamento di dati personali rilevante ai sensi del Codice, e ciò a prescindere, in particolare, dai seguenti elementi: dall´eventuale successivo inserimento dei dati del destinatario in un elenco on-line o comunque accessibile al pubblico, che costituisce un ulteriore distinto trattamento di dati; dal numero dei fax eventualmente inviati al destinatario della promozione, bastando anche un solo fax indesiderato per poter integrare un trattamento di dati illegittimo; dall´informativa sul trattamento resa al destinatario ai sensi dell´art. 13 del Codice; dall´avviso dato dal titolare ai destinatari delle promozioni indesiderate riguardo ai diritti di cui agli artt. 7 ss. del Codice; dal fatto che i dati in questione vengano cancellati subito dopo l´invio indesiderato in caso di mancata risposta o di opposizione dei destinatari;

VISTO il disposto dell´art. 23 del Codice, secondo cui il trattamento di dati personali da parte dei privati è ammesso solo previa acquisizione di un consenso dell´interessato libero, informato e specifico, con riferimento a trattamenti chiaramente individuati e documentato per iscritto (v. in particolare il comma 3 della citata disposizione);

VISTO inoltre l´analogo disposto dell´art. 130, commi 1 e 2 del Codice, come novellato dal d. lg. n. 69/2012, in base al quale l´utilizzo di comunicazioni con modalità automatizzate  -quali sono i telefax per espressa indicazione del legislatore, che li assimila ai sistemi automatizzati di chiamata senza l´intervento di un operatore- per la finalità di invio di materiale pubblicitario o di comunicazione commerciale è consentito solo con il consenso preventivo del contraente (fra i più recenti, v.: provv. 11 ottobre 2012, doc. web n. 2089777; provv. 20 dicembre 2012, doc. web n. 2223607; cfr. anche art. 58 d.lg. n. 206/2005, c.d. Codice del consumo);

CONSIDERATO quindi che "ai fini della legittimità della comunicazione promozionale effettuata, non è lecito  …. chiedere, con tale primo messaggio promozionale, il consenso al trattamento dati per finalità promozionali" (v. punto 2.5 Linee Guida del 4 luglio 2013 e già provvedimento generale del 29 maggio 2003);

CONSIDERATO che, rispetto all´obbligo dell´acquisizione preventiva del consenso del contraente o utente, è prevista la sola eccezione del "soft spam" ai sensi dell´art. 130, comma 4, del Codice, in base al quale, se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall´interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell´interessato. Ciò, però, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e che l´interessato, adeguatamente informato, non rifiuti tale uso (v. punto 2.7, Linee Guida del 4 luglio 2013);

CONSIDERATO che quindi, senza il consenso di cui sopra, non è possibile trattare i dati "tratti da registri pubblici, elenchi, siti web, atti o documenti conosciuti o conoscibili da chiunque" (v. citato punto 2.5 Linee Guida del 4 luglio 2013, che ribadiscono sul punto quanto già stabilito dal provvedimento generale del 29 maggio 2003);

CONSIDERATO pertanto che l´attività di trattamento dei dati personali (invio di fax senza consenso a imprese e professionisti, come sopra individuata), effettuata dalla società senza il relativo consenso, costituisce un trattamento illecito di dati;

RILEVATO che l´art. 11, comma 2, del Codice prevede che i dati personali trattati in violazione della disciplina rilevante in materia di dati personali non possono essere utilizzati;

RILEVATO altresì che il trattamento posto in essere dalla società -anche in ragione delle argomentazioni addotte dalla medesima riguardo agli strumenti, quali il web o gli elenchi pubblici o comunque accessibili al pubblico, utilizzati per la raccolta dei dati di imprese e professionisti destinatari delle sue comunicazioni promozionali  presenta peraltro carattere sistematico;

CONSIDERATO che il Garante, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, ha il compito di vietare anche d´ufficio il trattamento illecito o non corretto dei dati o di disporne il blocco e di adottare, altresì, gli altri provvedimenti previsti dalla disciplina applicabile al trattamento dei dati personali;

RILEVATA la necessità di adottare nei confronti di Smart S.r.l., ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d) del Codice, un provvedimento di divieto del tratta-mento illecito effettuato dalla medesima società mediante l´invio di comunicazioni pro-mozionali via telefax ad imprese e professionisti, senza la preventiva acquisizione del ne-cessario consenso libero, informato, specifico e documentato per iscritto ex artt. 23, comma 3 e 130, commi 1 e 2, del Codice;

RILEVATA, altresì, la necessità di adottare nei confronti di Smart S.r.l.  ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice  un provvedimento prescrittivo volto a rendere il trattamento dei dati personali effettuato dalla società, mediante l´invio di comunicazioni promozionali via telefax, conforme alla normativa richiamata in materia di protezione dei dati personali;

TENUTO CONTO che, ai sensi dell´art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni, e che, ai sensi dell´art. 162, comma 2-ter del Codice, in caso di inosservanza del medesimo provvedimento, è  altresì applicata in sede amministrativa,  in ogni caso, la sanzione del pagamento di una somma da trentamila a centottantamila euro;

RILEVATO che nei confronti di Smart  S.r.l. risultano già avviati autonomi procedi-menti sanzionatori per le violazioni amministrative di competenza di questa Autorità;

RILEVATO che resta impregiudicata la facoltà per i professionisti e le imprese destina-tari dei fax promozionali indesiderati di far valere i propri diritti in sede civile in relazione alla condotta accertata, con specifico riguardo agli eventuali profili di danno (cfr. citato punto 2.2, Linee Guida del 4 luglio 2013);

VISTA la documentazione in atti;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

TUTTO CIÒ PREMESSO IL GARANTE:

a) dichiara illecito il trattamento, effettuato da Smart S.r.l. con sede legale in Via Torino n. 2 in Milano, mediante l´invio di fax promozionali, dei dati personali di imprese e professionisti senza la preventiva acquisizione del necessario consenso libero, informato, specifico e documentato per iscritto ex artt. 23, comma 3 e 130, commi 1 e 2, del Codice;

b) ai sensi degli artt. 143, comma 1, lett. c), 144 e 154, comma 1, lett. d), del Codice, vieta a Smart S.r.l. l´ulteriore trattamento dei dati personali già acquisiti per la finalità suindicata, effettuato dalla medesima senza aver previamente ottenuto il suddetto consenso;

c) ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice, pre-scrive a Smart S.r.l., qualora la società intenda proseguire a inviare fax promozionali a imprese e professionisti, di richiedere un preventivo consenso al trattamento dei dati personali libero, informato, documentato per iscritto e specifico per ogni diversa finalità del trattamento e in particolare per l´invio di comunicazioni commerciali e materiale pubblicitario/informativo in base agli artt. 23 e 130 del Codice;

d) ai sensi dell´art. 157 del Codice, chiede a Smart S.r.l. di comunicare quali iniziative siano state intraprese al fine di dare attuazione al presente provvedimento, dandone riscontro documentato -entro e non oltre il termine di sessanta giorni dalla data di ricezione del presente provvedimento- a questa Autorità, accompagnato da una dichiarazione del legale rappresentante della società, rilasciata ai sensi e per gli effetti dell´art. 168 del Codice.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provve-dimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 23 gennaio 2014

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia