Diritti interna

Doveri interna

ricerca avanzata

Ricevitorie e tabaccherie Sisal: garanzie per la raccolta e il trattamento dei dati - 15 dicembre 2011 [1883880]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
1883880
Data:
15/12/11
Argomenti:
Marketing , Telemarketing
Tipologia:
Prescrizioni e divieto del Garante

[doc. web n. 1883880]

Ricevitorie e tabaccherie Sisal: garanzie per la raccolta e il trattamento dei dati - 15 dicembre 2011

Registro dei provvedimenti
n. 487 del 15 dicembre 2012

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito "Codice");

VISTO il decreto-legge 6 dicembre 2011, n. 201, pubblicato nella G.U. del 6 dicembre 2011 n. 284, che, all´art. 40, comma 2, sottrae dal campo di applicazione del Codice le persone giuridiche, gli enti e le associazioni;

RILEVATO che l´Autorità ha svolto, a partire dal mese di ottobre 2011, un ciclo di accertamenti ispettivi volti a verificare il rispetto della normativa in materia di protezione dei dati personali, nell´ambito dei servizi disponibili presso ricevitorie e punti vendita, quali, ad esempio, ricariche telefoniche e di tv digitale, rilascio di carte telefoniche e pagamento bollette;

VISTI i verbali del 23 e 24 novembre 2011, ad esito dell´accertamento ispettivo condotto dall´Autorità nei confronti di Sisal S.p.a., con sede legale in Milano, via Alessio di Tocqueville n. 13 (di seguito indicata come "Sisal" o "società");

RILEVATO che Sisal ha dichiarato, come risulta dal verbale del 23 novembre di cui sopra, che le ricevitorie interessate all´abilitazione dei servizi in questione devono essere state previamente abilitate alla fornitura dei c.d. "giochi numerici a totalizzatore nazionale" (di seguito indicati come "giochi") e che, a tal fine, è necessario richiedere l´abilitazione dei giochi e/o dei servizi della società mediante domanda compilata tramite l´apposito form "Ricevitorie" sul sito www.sisal.it;

RILEVATO altresì che – sulla base di alcuni dati forniti a Sisal dalle ricevitorie richiedenti, sia persone fisiche sia persone giuridiche, di seguito indicate come "ricevitorie" (fra cui il numero telefonico dell´abitazione, il numero di telefax, il numero di telefonia mobile, il fatturato realizzato per alcuni servizi o le caratteristiche commerciali) mediante la compilazione della domanda di abilitazione – la medesima società provvede a effettuare una verifica delle varie condizioni necessarie all´affidamento dei giochi e/o servizi;

CONSIDERATO che le modifiche apportate al Codice dal decreto-legge n. 201/2011 lasciano impregiudicata la tutela dei dati personali delle ricevitorie gestite da imprese individuali riferite quindi a persone fisiche titolari delle stesse e non di quelle gestite da persone giuridiche, enti o associazioni;

RILEVATO inoltre che Sisal è titolare del trattamento dei dati in questione, come afferma la medesima società nel testo dell´informativa per il trattamento dei dati personali rilasciata ex art. 13 del Codice alle ricevitorie interessate al momento della compilazione della detta domanda di abilitazione ai giochi e/o servizi;

RILEVATO che dalla medesima informativa risulta che il trattamento dei dati delle ricevitorie può essere finalizzato, oltre che al conseguimento e alla gestione dei servizi Sisal, anche all´invio di comunicazioni a contenuto promozionale e alla comunicazione dei medesimi dati a "terzi che saranno partner di iniziative commerciali svolte da Sisal S.p.a.";

RILEVATO peraltro che, dall´esame della documentazione acquisita dall´Ufficio al momento dell´accertamento ispettivo di cui sopra e, in particolare, del modulo predisposto per la predetta domanda di abilitazione, risulta che Sisal non richieda alle ricevitorie un consenso espresso e distinto per le diverse finalità suindicate ma un consenso generico al trattamento dei loro dati;

RILEVATO inoltre che l´unico consenso richiesto alle ricevitorie  da Sisal per il trattamento dei dati personali in questione è indicato, nel testo dell´informativa, come necessario per poter effettuare la richiesta di abilitazione e successivamente stipulare il contratto per l´erogazione dei giochi e servizi della medesima società;

VISTO l´art. 23 del Codice, il quale prevede invece che il trattamento di dati personali da parte dei privati è ammesso solo previa acquisizione di un consenso dell´interessato libero, informato e specifico, con riferimento a un trattamento chiaramente individuato e da documentare per iscritto;

CONSIDERATO, inoltre, che, come già rilevato da questa Autorità (cfr. provv.  12 ottobre 2005, doc. web n.  1179604; provv.  3 novembre 2005, doc. web n.  1195215; provv.  10 maggio 2006, doc. web n. 1298709; provv. 22 febbraio 2007, doc. web n. 1388590, tutti reperibili sul sito www.garanteprivacy.it), non può definirsi "libero", ma necessitato, il consenso al trattamento dei dati personali che l´interessato "deve" prestare quale condizione per il conseguimento della prestazione richiesta, aderendo a un testo predisposto unilateralmente dalla controparte contrattuale;

CONSIDERATO, peraltro, che tale capacità di autodeterminazione non è assicurata quando si assoggetta l´accesso a un servizio – qual è l´abilitazione delle ricevitorie ai sopracitati giochi e servizi forniti da Sisal - alla preventiva autorizzazione a trattare i dati conferiti per il medesimo servizio per una finalità diversa, come quella promozionale e pubblicitaria o quella di comunicazione dei dati a soggetti terzi; con la conseguenza che i dati personali raccolti dal titolare per l´esecuzione del rapporto contrattuale vengono di fatto piegati ad un utilizzo diverso dallo scopo che ne ha giustificato la raccolta, in violazione del principio di finalità (art. 11, comma 1, lett. b), del Codice; cfr., a titolo esemplificativo, provv.  24 febbraio 2005, punto 7, doc. web n.  1103045 e provv. 15 luglio 2010, doc. web n. 1741998, reperibili sul sito www.garanteprivacy.it);

RILEVATO, inoltre, che la società – come emerge dal verbale del 24 novembre 2011 - ha affermato di svolgere attività di marketing diretto nei confronti delle  ricevitorie, anche tramite l´invio ai loro terminali di messaggi promozionali relativi a  nuovi servizi e nuovi "sistemi" di gioco, nonché tramite comunicazioni telefoniche contenenti inviti a partecipare alle convention finalizzate alla presentazione di nuovi servizi e/o nuovi giochi;

CONSIDERATO che tale attività, in quanto volta a promuovere giochi e/o servizi diversi da quelli contrattualizzati con le ricevitorie, non può essere ricondotta a mere comunicazioni di carattere organizzativo e/o informativo, anch´esse trasmesse dalla società alle medesime ricevitorie (cfr. verbale del 24 novembre, cit.);

RILEVATO, peraltro, che la società, nel medesimo verbale, ha dichiarato di svolgere altresì attività di telemarketing nei confronti delle ricevitorie anche  tramite un call center outbound sito in Palermo;

RITENUTO che il trattamento dei dati delle ricevitorie finalizzato all´invio di comunicazioni a contenuto anche promozionale e alla comunicazione dei dati a terzi senza il prescritto consenso configura un trattamento illecito di dati;

RILEVATO che tale trattamento dei dati svolto da parte della società – considerata anche la numerosità delle ricevitorie contrattualizzate con Sisal (circa 45.000, come indicato nel sito www.sisal.it alla pagina destinata alla descrizione della medesima società) - è da ritenersi avere carattere sistematico;

CONSIDERATO, inoltre, che l´art. 11, comma 2, del Codice prevede che i dati personali trattati in violazione della disciplina rilevante in materia di dati personali non possono essere utilizzati;

CONSIDERATO che il Garante, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, ha il compito di vietare anche d´ufficio il trattamento illecito o non corretto dei dati o di disporne il blocco e di adottare, altresì, gli altri provvedimenti previsti dalla disciplina applicabile al trattamento dei dati personali;

RITENUTA conseguentemente la necessità di adottare nei confronti della società un provvedimento di divieto del trattamento illecito di dati personali ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d) del Codice correlato alle finalità di invio di comunicazioni promozionali e di comunicazione di dati a terzi senza il necessario consenso libero, espresso, specifico e informato delle ricevitorie interessate;

RITENUTA, altresì, la necessità di adottare nei confronti della società un  provvedimento prescrittivo ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice;

TENUTO CONTO che, ai sensi dell´art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni e che, ai sensi dell´art. 162, comma 2-ter del Codice, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa,  in ogni caso, la sanzione del pagamento di una somma da trentamila a centottantamila euro;

RISERVATA, con autonomo procedimento, la verifica dei presupposti per contestare la violazione amministrativa concernente l´omessa acquisizione del consenso (art. 23 e 162, comma 2-bis del Codice);

VISTA la documentazione in atti;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

Relatore il dott. Giuseppe Fortunato;

TUTTO CIÒ PREMESSO IL GARANTE:

a) dichiara illecito il trattamento dei dati personali delle ricevitorie, erogatrici di giochi e/o servizi di Sisal S.p.a. (che non siano persone giuridiche, enti o associazioni), acquisiti dalla predetta società tramite la domanda di abilitazione on-line presente sul sito www.sisal.it per le finalità di invio di comunicazioni promozionali, relative a giochi e/o servizi diversi da quelli contrattualizzati con le medesime ricevitorie, e di comunicazione di dati a soggetti terzi, senza aver ottenuto un consenso libero, specifico, espresso e documentato per iscritto, ex art. 23 del Codice, per ciascuna delle predette finalità;

b) ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, vieta a Sisal S.p.a., a far data dal 1° febbraio 2012, ogni ulteriore trattamento dei dati personali delle ricevitorie sopra indicate, senza aver ottenuto un consenso libero, specifico, espresso e documentato per iscritto per ciascuna delle predette finalità;

c) ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice, prescrive a Sisal S.p.a. - qualora quest´ultima intenda continuare a raccogliere i dati personali delle medesime ricevitorie per le finalità di invio di comunicazioni promozionali e di comunicazione di dati a soggetti terzi - di adottare le misure necessarie e opportune al fine di rendere il trattamento dei dati personali effettuato dalla società conforme alle disposizioni del Codice, fornendo al Garante entro trenta giorni dalla comunicazione del presente provvedimento un esemplare della modulistica utilizzata per il consenso ex art. 23 del Codice, riformulata in conformità a quanto prescritto con il presente provvedimento.

Avverso il presente provvedimento ai sensi dell´art. 152 del Codice, Sisal S.p.a. può proporre opposizione con ricorso all´autorità giudiziaria ordinaria, e precisamente al tribunale del luogo ove risiede il titolare del trattamento, entro il termine di trenta giorni dalla data di comunicazione del medesimo provvedimento. Si ricorda che l´opposizione non sospende l´esecuzione del provvedimento (v. art. 152, comma 5, Codice).

Roma, 15 dicembre 2011

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE
De Paoli