g-docweb-display Portlet

Ordinanza di ingiunzione nei confronti di Postel S.p.A. - 5 dicembre 2013 [2954335]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 2954335]

Ordinanza di ingiunzione nei confronti di Postel S.p.A. - 5 dicembre 2013*

Registro dei provvedimenti
n. 549 del 5 dicembre 2013

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO l´atto di contestazione, che qui deve intendersi integralmente riportato, n. 8487/63150 del 13 aprile 2010 (notificato in data 25 maggio 2010) nei confronti di Postel S.p.A., con sede in Roma, via Carlo Spinola n. 11 (di seguito denominata "Postel"), in persona del legale rappresentante pro-tempore, per le violazioni di cui agli artt. 13, 23 e 157 del Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196, di seguito denominato Codice);

ESAMINATO il rapporto dell´Ufficio del Garante per la protezione dei dati personali predisposto ai sensi dell´art. 17 della legge 24 novembre 1981, n. 689, relativo all´atto di contestazione sopra richiamato;

VISTI gli scritti difensivi del 24 giugno 2010, inviati ai sensi dell´art. 18 della legge n. 689/1981, che qui si intendono integralmente richiamati;

PRESO ATTO che Postel, per le violazioni di cui al capo a) dell´atto di contestazione (relative a ipotesi di omessa informativa) ha provveduto, in data 9 luglio 2010, ad effettuare nei termini il pagamento in misura ridotta previsto dall´art. 16 della legge n. 689/1981, con effetto estintivo del relativo procedimento sanzionatorio;

LETTO il verbale in data 15 novembre 2010 relativo all´audizione dei rappresentanti di Postel ai sensi dell´art. 18, comma 2, della legge n. 689/1981, che qui si intende integralmente richiamato;

RITENUTO che le argomentazioni addotte da Postel nelle memorie difensive e nell´audizione non consentono di escludere le responsabilità in relazione a quanto contestato per le motivazioni di seguito riportate:

a. contestazioni relative a ipotesi di omessa informativa (capo a) dell´atto di contestazione): si deve premettere che di tali contestazioni si fa menzione solamente con riferimento alla sussistenza dell´ipotesi di cui all´art. 164, comma 2-bis, del Codice. Postel, infatti, in data 9 luglio 2010, ha provveduto ad effettuare il pagamento in misura ridotta finalizzato all´estinzione del relativo procedimento sanzionatorio. Tale determinazione del contravventore "implica necessariamente l´accettazione della sanzione e, quindi, il riconoscimento, da parte dello stesso, della propria responsabilità" (Cass. 11 febbraio 2005, n. 2862). Tuttavia, per esclusive ragioni di sistematicità del presente atto, si deve riconfermare la piena sussistenza della responsabilità di Postel in ordine alle tre ipotesi di omessa informativa di cui all´atto di contestazione del 13 aprile 2010 sulla base delle motivazioni in esso evidenziate anche mediante il richiamo per relationem del Provvedimento inibitorio emanato dal Garante il 18 marzo 2010, che non ha formato oggetto di impugnazione da parte della stessa Postel.

Omessa informativa per il trattamento di dati personali relativi ad "aziende" provenienti da Telextra s.r.l.  – nel corso degli accertamenti ispettivi del 21 e 22 aprile 2009 è emerso che Postel detiene un database denominato "DB  Aziende", contenente i dati di imprese italiane. Tale database è formato da liste acquistate dalle società Dun & Bradstreet  e Telextra s.r.l. (di seguito "Telextra"), viene aggiornato con cadenza periodica ed è stato creato con finalità di rivendita a terzi. Nel corso dei medesimi accertamenti i responsabili di Postel ebbero a dichiarare che, con riferimento ai dati dagli stessi trattati con finalità di marketing, l´informativa all´interessato ai sensi dell´art. 13 del Codice veniva rilasciata in occasione del primo contatto. Tale modalità di rilascio dell´informativa certamente non riguarda i dati presenti nel DB Aziende che, come rappresentato dalla stessa Postel, sono destinati alla vendita a terzi e non ad attività di marketing che comportino contatti puntuali con gli interessati. Gli accessi al DB Aziende effettuati il 22 aprile 2009 hanno evidenziato che non vi sono elementi dai quali desumere l´avvenuto rilascio di informative ai soggetti in esso registrati. Nel corso degli accertamenti del 17 e 18 febbraio 2010 Postel ha inoltre chiarito le modalità di alimentazione del DB Aziende specificando che la società Telextra invia a Postel il proprio database di dati relativi ad aziende con cadenza periodica (dal 2010 ogni sei mesi). Postel sottopone i dati acquisiti a operazioni di normalizzazione (aggiunta del codice di avviamento postale) e riclassificazione (attribuzione di un unico record a ciascuna azienda dotata di più numeri di telefono o altre informazioni), prima di procedere alla cessione dei dati del DB Aziende attraverso canali tradizionali e il servizio My Direct (verbale 17 febbraio 2010). Constatando che i dati relativi ad aziende italiane provenienti da Telextra erano stati raccolti, registrati nel DB Aziende di Postel e trattati senza che agli interessati fosse stata fornita la necessaria informativa, l´Ufficio ha provveduto a contestare a Postel la relativa violazione amministrativa. Al riguardo occorre evidenziare che, fino alla data del 6 dicembre 2011 (entrata in vigore dell´art. 40 del d.l. n. 201/2011), la disciplina della protezione dei dati personali riguardava anche i dati riferibili a persone giuridiche, enti o associazioni. Alla luce della ricostruzione di cui sopra appaiono del tutto inconferenti le molteplici osservazioni di Postel rese in sede di memoria difensiva e di audizione tese ad evidenziare che la violazione posta in essere dalla società, nel caso in argomento, riguardi un´ipotesi di inidoneità (e non di omissione) dell´informativa (perché resa in tempi diversi da quelli previsti dall´art.13, comma 4, del Codice), poiché non vi sono in atti elementi che consentano di accertare l´avvenuto rilascio dell´informativa medesima, sia pure in momenti successivi a quelli stabiliti dal comma 4 dell´art. 13 e, inoltre, non vi è prova che i dati del DB Aziende siano stati destinati ad attività di contatto diretto da parte di Postel (che ha costituito il predetto database per finalità di rivendita a terzi). Nel caso di specie, pertanto, si è correttamente contestata (conformemente a quanto accertato nel provvedimento del Garante del 18 marzo 2010) l´ipotesi di omessa informativa che si è realizzata all´atto della costituzione del DB Aziende ed è perdurata fino all´epoca degli accertamenti ispettivi del Garante.

Omessa informativa per il trattamento di dati personali relativi a "privati", tratti dalla base di dati unica (DBU) degli operatori di comunicazione elettronica, provenienti dalla società Telextra – gli accertamenti ispettivi del 17 e 18 febbraio 2010, che si sono resi necessari per riscontrare nuovi elementi sui trattamenti di Postel acquisiti nel corso dell´attività svolte presso la società Telextra nel 2009, hanno consentito di appurare che Postel ha acquisito da Telextra, dal 1° agosto 2005 in poi, oltre ai dati relativi ad aziende, anche dati relativi a persone fisiche presenti nella base di dati unica degli operatori di comunicazioni elettroniche (cd. DBU) che avevano prestato il consenso al marketing. Tali dati sono confluiti nei sistemi Postel secondo le modalità indicate nell´accordo siglato fra le due società che Postel ha prodotto in allegato 5 alla nota del 4 maggio 2009. Nella memoria difensiva del 24 giugno 2010, Postel sostiene che tali dati sono stati estratti dalla società Telextra, nell´ambito di forniture occasionali richieste da specifici clienti, che li avrebbe inviati a Postel,  perché fossero successivamente girati ai clienti medesimi "senza fare copia dei dati trasmessi, né registrarli, elaborali o conservarli su un proprio database". In questo senso Postel non avrebbe avuto alcun obbligo di fornire l´informativa perché avrebbe agito da mero intermediario (o, forse,  più precisamente da "vettore") fra Telextra e i clienti occupandosi esclusivamente della consegna del prodotto realizzato da Telextra attraverso l´estrazione di nominativi di persone fisiche dal DBU. L´affermazione della difesa di Postel è tuttavia contraddetta dagli atti che la stessa società ha trasmesso nel corso dell´istruttoria al Garante. Nella nota del 1° marzo 2010 Postel ha fornito infatti copia degli ordinativi di alcune delle "forniture occasionali" avvenute nel 2008, 2009 e 2010 (allegati nn. 1, 7 e 20); in tali ordinativi era specificato che Telextra operava in qualità di titolare del trattamento e Postel avrebbe svolto attività di "broker". In uno degli ordinativi di cui sopra, ricompreso anche nell´elenco delle campagne pubblicitarie effettuate dal 2008 (elenco che Postel ha inviato al Garante con la nota del 4 maggio 2009 – allegato n. 1 – ordinativo OMF-08/2878) e relativo all´Avis Regionale Umbria, è espressamente indicato che le liste cedute all´Avis sono state tratte dal DB Postel. Appare quindi evidente, unendo le informazioni acquisite nel maggio del 2009 con quelle del marzo 2010, che i dati inviati da Telextra a Postel, prima di essere ceduti ai clienti che li avevano ordinati, sono stati inseriti nel DB Postel. Tale ricostruzione appare confermata anche dal tenore delle disposizioni contrattuali presenti nell´ordinativo di cui all´allegato n. 7 della nota del 1° marzo 2010 (cliente Giordano Vini S.p.A.): in esso si specifica che "il cliente Giordano Vini S.p.A. si impegnerà a trasmettere tempestivamente a Postel S.p.a. le richieste di cancellazione pervenute ai sensi dell´Art. 7 del [d.lg. n. 196/2003]. […] Eventuali riutilizzi non concordati e verificati attraverso indirizzi "civetta" all´uopo inseriti, verranno sanzionati da Postel S.p.A.[…]". Non si può certo dubitare che le richieste di cancellazione di cui si fa menzione in tale disposizione siano quelle previste dal comma 4, lettera b), del citato articolo 7 (opposizione al trattamento finalizzato all´invio di comunicazioni promo-pubblicitarie). La previsione contrattuale di cui sopra si spiega solo con la disponibilità dei dati da parte di Postel che, in caso contrario, avrebbe richiesto al cliente di inviare le istanze direttamente (e solo) a Telextra. Deve quindi desumersi che le attività di cancellazione alle quali si fa riferimento nei documenti contrattuali esibiti siano riferite al DB Postel, nel quale sono confluiti i dati di persone fisiche presenti nel DBU trasmessi da Telextra. Va inoltre osservato che l´attività di controllo di eventuali riutilizzi illeciti dei dati ceduti ai propri clienti attraverso l´introduzione di indirizzi "civetta" (nominativi di soggetti noti al titolare inseriti all´insaputa del cliente fra i dati oggetto di cessione al fine di verificare il rispetto delle condizioni di utilizzo dei dati ceduti contenute nel contratto) contrasta con quanto dichiarato da Postel circa la mera trasmissione al cliente "senza fare copia dei dati trasmessi, né registrarli, elaborali o conservarli su un proprio database". Nel corso dell´audizione del 15 novembre 2010 Postel ha infine obiettato che "l´acquisizione di dati di soggetti privati provenienti dal DBU risale, nella occasione più recente, al maggio 2008 (Avis regionale Umbria)" ed è quindi antecedente all´introduzione della disposizione sanzionatoria di cui all´art. 164-bis, comma 2. Al riguardo si deve evidenziare che, sulla base di quanto emerso dagli atti acquisiti presso Postel, i dati di soggetti privati provenienti dal DBU sono confluiti nel DB Postel senza che agli interessati fosse resa la necessaria informativa e che tale omissione è perdurata almeno fino all´epoca dei primi accertamenti ispettivi (21 e 22 aprile 2009), ovvero successivamente all´entrata in vigore delle nuove norme sanzionatorie.

Omessa informativa relativamente ai dati personali tratti da liste elettorali – nel corso degli accertamenti ispettivi del 21 e 22 aprile 2009 è emerso che, fra i dati che popolano il DB Postel, una rilevante porzione risulta costituita da dati acquisiti nel corso del tempo da liste elettorali. Il DB Postel, infatti, acquisito da Postel nel 2002 a seguito di conferimento di ramo d´azienda da parte di altra società, è stato alimentato anche "con i dati presenti nelle liste elettorali, richieste direttamente ai Comuni fino alla fine del 2003" (verbale 22 aprile 2009). Nello stesso contesto Postel ha rappresentato che "le liste elettorali sono state richieste, all´epoca, direttamente ai singoli comuni. Non sono state, invece, mai acquistate da società terze". Giova rappresentare che in successive note del 4 maggio 2009 e 10 novembre 2009 Postel ha ammesso di aver acquistato liste elettorali anche da società terze come, "ad esempio, una rilevante operazione di acquisizione e scambio di dati provenienti da liste elettorali tra Postel e Addressvitt s.r.l., avvenuta tra giugno e dicembre 2003" (nota 10 novembre 2009). Postel ha altresì ammesso, con dichiarazione contenuta nel verbale del 18 febbraio 2010, che i dati tratti da liste elettorali sono "ancora presenti nel DB Postel e sono anche utilizzati nell´ambito dei servizi di campagne commerciali effettuate per conto di soggetti cd. "profit"". Al riguardo si deve osservare che in base a quanto stabilito dall´art. 51, comma 5, del d.P.R. 223/1967 (Testo unico delle leggi per la disciplina dell´elettorato attivo e per la tenuta e la revisione delle liste elettorali), così come sostituito dall´art. 177, comma 5, del Codice, "le liste elettorali possono essere rilasciate in copia per finalità di applicazione della disciplina in materia di elettorato attivo e passivo, di studio, di ricerca statistica, scientifica o storica, o carattere socio-assistenziale o per il perseguimento di un interesse collettivo o diffuso". Tale disposizione si applica anche a tutti i dati tratti da liste elettorali, anche se acquisiti in epoca anteriore all´entrata in vigore della norma (1° gennaio 2004). A ciò fa riferimento anche il provvedimento del Garante in data 10 giugno 2004 (in www.garanteprivacy.it, doc. web n. 1068106) quando afferma, relativamente a dati tratti da liste elettorali prima del dicembre del 2003 e utilizzati successivamente per l´invio di materiale pubblicitario, che "le liste elettorali possono essere rilasciate in copia solo "per finalità di applicazione della disciplina in materia di elettorato attivo e passivo, di studio, di ricerca statistica, scientifica o storica, o carattere socio-assistenziale o per il perseguimento di un interesse collettivo o diffuso". I dati in esse riportati non sono quindi più accessibili e utilizzabili per finalità promozionali, commerciali o pubblicitarie". Conseguenza di tale assunto è che sulla base della vigente normativa non vi è alcuna possibilità di utilizzare, per finalità di marketing, dati personali tratti da liste elettorali (a prescindere dall´epoca della raccolta) a meno che il titolare non dimostri di aver fornito agli interessati, in caso di acquisizione "ante 2004", un´idonea informativa nella quale sia reso esplicito l´utilizzo dei dati per la predetta finalità di marketing e di aver poi acquisito un consenso specifico per tale finalità. Nel caso di specie, l´Ufficio ha constatato che: a) nel DB Postel sono presenti dati personali tratti da liste elettorali in epoca antecedente al 1° gennaio 2004, in gran parte acquisiti fra giugno e dicembre 2003 dalla società Addressvitt s.r.l., come dichiarato da Postel con nota del 10 novembre 2009; b) nel periodo giugno-dicembre 2003 non risultano essere state effettuate campagne di marketing da parte di Postel (come documentato dalla stessa società con l´allegato 7 alla nota del 4 maggio 2009, dal quale risulta che l´unica campagna di marketing effettuata da Postel prima del 31 dicembre 2003 risale all´anno 2001) e che, pertanto, in tale periodo gli interessati, i cui dati sono stati acquisiti da Addressvitt s.r.l. tramite liste elettorali e poi ceduti a Postel, non hanno ricevuto da quest´ultima alcuna informativa in ordine all´utilizzo per finalità di marketing dei propri dati (giacché, come dichiarato da Postel nel verbale del 22 aprile 2009, l´informativa veniva resa dalla società in occasione del primo contatto); c) "nessuna delle informative rilasciate contiene tutte le notizie indicate dall´art. 13 del Codice e, in particolare, le finalità per le quali i dati sarebbero stati successivamente trattati" (Provvedimento del 18 marzo 2010); d) i dati di cui sopra sono stati utilizzati, fino alla data dell´accertamento ispettivo, per l´effettuazione di campagne di marketing per soggetti cd. "profit", come dichiarato da Postel a verbale del 18 febbraio 2010. Tali dati sono stati oggetto del provvedimento inibitorio del Garante in data 18 marzo 2010, non impugnato da Postel. Per tali ragioni l´Ufficio ha provveduto a constatare a Postel la violazione delle disposizioni di cui all´art. 13 del Codice, con riferimento ai trattamenti sopra richiamati. Alla sopra esposta ricostruzione la società, nelle memorie difensive e nel corso dell´audizione ex art. 18 della l. 689/1981, ha eccepito che: a) i dati tratti da liste elettorali presenti nel DB Postel sono utilizzabili per finalità di marketing "solo se è valorizzato positivamente anche il campo indicante l´invio in passato (ante 2004) di un´informativa relativa alla pregressa campagna commerciale realizzata per conto di un soggetto profit e, in caso negativo, [potranno] essere utilizzabil[i] solo per l´invio di comunicazioni, a seconda dei casi, politiche e/o no-profit"; b) le informative di cui sopra "non sono state oggetto di specifico approfondimento, avendo i verbalizzanti ricevuto solo informative relative a comunicazioni politiche e no-profit"; c) "appare poi utilizzato in modo […] erroneo e fuorviante il richiamo ai fini della contestazione de quo del rilievo formulato nella parte finale del par. 2 del Provvedimento, in cui viene specificato che, considerate le carenze riscontrate nelle precedenti informative oggetto di verifica (cioè quelle ante 2004 che a detta dell´Autorità, non contengono "tutte le notizie indicate dall´art. 13 ..."), "tutte le informative rilasciate in data successiva, .., non sono idonee a consentire un trattamento di quei dati personali per comunicazioni commerciali. E´ di tutta evidenza come in quest´ultima parte si faccia riferimento non certo al profilo dell´idoneità ai sensi dell´art. 13 delle informative -comunque-rilasciate successivamente da Postel, quanto al diverso, specifico profilo (oggetto, peraltro, di successiva contestazione) della lecita utilizzabilità dei dati in esame ex art. 11, comma 2, del Codice"; d) "l´omessa informativa deve essere riferita ad un periodo fino al 31/12/2003 e quindi non più contestabile ai sensi dell´art. 28 della legge 689/198".

Le osservazioni difensive di Postel non sono condivisibili per le ragioni che seguono. In primo luogo va premesso che il DB Postel risulta costituito nell´anno 2006 con l´inserimento di dati personali "presenti nel database costituito antecedentemente al primo agosto 2005" (verbale 22 aprile 2009) e che, pertanto, le annotazioni a margine di ciascuna anagrafica dalle quali può desumersi il rilascio dell´informativa, devono necessariamente essere almeno riscontrate con quanto emerso nel corso delle attività ispettive. Al riguardo, si devono considerare le dichiarazioni rese dal responsabile della Business Unit Marketing di Postel nel corso dell´accertamento del 18 aprile 2010: "i verbalizzanti hanno chiesto alla parte di chiarire se le liste elettorali  acquisite prima dell´anno 2004, così come menzionate a pagina 3 del verbale del 22 aprile 2009 e nella nota del 10 novembre 2009 (lettere  a e  b) […] sono state utilizzate anche per campagne di soggetti "profit". La parte […] ha dichiarato che i dati di cui sopra sono confluiti nel DB Postel sulla base dei presupposti individuati secondo il parere reso dal Garante nella nota del 28 ottobre 2005 [parere che, tuttavia, riguarda esclusivamente i dati tratti da elenchi telefonici - Relazione per l´anno 2005 presentata al Parlamento, paragrafo 15.2 "I nuovi elenchi telefonici"]. Sulla base di tali presupposti tali dati sono pertanto ancora presenti nel DB Postel e sono stati utilizzati anche nell´ambito dei servizi di campagne commerciali effettuate per conto di soggetti cd. "profit"". Risulta quindi che i dati acquisiti tramite liste elettorali da parte di Addressvitt e poi ceduti a Postel fossero (esclusivamente) destinati a trattamenti aventi finalità di marketing (a seguito di un´erronea interpretazione "estensiva" del citato parere del 28 ottobre 2005): tali dati di certo non erano destinati agli utilizzi di cui all´art. 177, comma 5, del Codice poiché sulla base della citata normativa, le liste elettorali possono essere legittimamente acquisite e detenute solo dai soggetti che annoverino fra le proprie finalità quelle politiche, scientifiche e socio-assistenziali previste dal citato art. 177, comma 5 del Codice. In questo senso, infatti, si è espresso il Ministero dell´Interno, Direzione centrale dei servizi elettorali, con circolare n. 162 del 2 ottobre 2006: "L´articolo 51, quinto comma, del d.P.R. n. 223/1967, come sostituito dall´articolo 177, comma 5, del D.Lgs. n. 196/2003, ricollega il rilascio di copia delle liste elettorali a specifiche finalità ivi definite, non includendo, per contro, la possibilità di vendita o di ogni altro utilizzo con fini di profitto, invece contemplati nell´originaria versione dell´articolo in questione. Si è, altresì, ritenuto che le finalità che legittimano il rilascio delle liste elettorali, oltre che motivate nei sensi di cui sopra, devono essere proprie del richiedente e, ove si tratti di un ente o di un´associazione, devono essere coerenti con l´oggetto dell´attività di tale organismo". Nel caso in argomento, l´acquisizione da parte di Addressvitt, la successiva cessione a Postel, la registrazione e l´organizzazione delle liste elettorali in un database, obbedisce ad una logica prettamente economica, coerente con l´attività d´impresa sia di Addressvitt che di Postel, ma estranea al dettato del citato art. 177, comma 5, del Codice. La ragione della permanenza dei predetti dati nel DB Postel, va ricondotta pertanto, coerentemente con le citate dichiarazioni del responsabile della BU Marketing, ad attività di marketing nei confronti di soggetti "profit" che tuttavia potevano essere intraprese, utilizzando dati provenienti da liste elettorali, solo nel caso in cui agli interessati fosse stata fornita un´informativa in epoca antecedente al 1° gennaio 2004 e fosse poi stato acquisito dagli stessi il correlato consenso al trattamento, coerentemente a quanto indicato nel provvedimento dell´Autorità del 10 giugno 2004. Quanto al secondo e al terzo punto delle tesi difensive, si evidenzia come ad una analisi delle informative rese nel corso del tempo da Postel debba essere anteposto il necessario riscontro documentale degli atti acquisiti negli accertamenti ispettivi. Tale riscontro, come già scritto, evidenzia che l´unica informativa per trattamenti aventi finalità di marketing, resa agli interessati da Postel prima del 1° gennaio 2004 risale al 2001 e quindi non può ricomprendere i dati acquisiti da Addressvitt e ceduti a Postel fra luglio e dicembre 2003. Le ulteriori informative, rese a seguito dell´entrata in vigore del Codice e, in particolare, dell´art. 177, comma 5, non sono idonee, proprio in ragione del mutato quadro normativo, a sanare la predetta omissione. Quanto al quarto punto delle tesi difensive si deve evidenziare che, come emerso dal provvedimento del 18 marzo 2010, i dati tratti da liste elettorali sono stati registrati nel DB Postel senza che agli interessati fosse resa un´informativa contenente tutti gli elementi di cui all´art. 13 del Codice, anche con riferimento alle finalità di marketing per soggetti "profit" e che nonostante tale omissione, Postel ha mantenuto tali dati nei propri sistemi al fine di utilizzarli per campagne promozionali di soggetti "profit". Tale condotta è perdurata almeno fino all´epoca dei primi accertamenti ispettivi (21 e 22 aprile 2009), ovvero successivamente all´entrata in vigore delle nuove norme sanzionatorie. Si deve ritenere, pertanto, correttamente contestata l´ipotesi di omessa informativa che si è realizzata all´atto della registrazione da parte di Postel dei dati provenienti da Addressvitt ed è perdurata fino all´epoca degli accertamenti ispettivi del Garante.

b. contestazioni relative a ipotesi di mancata acquisizione del consenso (capo b) dell´atto di contestazione).

Cessione di dati personali presenti nel "DB Postel" senza il consenso – nel corso dell´accertamento ispettivo del 17 febbraio 2010 il Responsabile della Business Unit Marketing di Postel ha dichiarato che "My Direct è un servizio che Postel offre da alcuni anni. Come risulta dal sito, attraverso My Direct si possono acquistare liste di privati, aziende (provenienti  da  Telextra),  aziende  (provenienti  da  Dun  &  Bradstreet),  comuni  e  alberghi.  Ha specificato che, per quanto riguarda le liste di soggetti privati (tratte dal DB Postel), esse non vengono  mai  materialmente  consegnate  all´acquirente  il  quale  può  soltanto  richiedere  la  cd."postalizzazione" delle proprie missive". Il giorno successivo, il medesimo Responsabile ha precisato che "qualora il cliente non richieda la "postalizzazione" da parte  di  Postel,  [gli indirizzi richiesti tramite il servizio My Direct]  vengono  consegnati  allo  stesso  su  formato  "etichetta"  predisposta  per  il confezionamento e per il solo invio delle relative comunicazioni postali per le quali sono state richieste".

Sulla base delle emergenze ispettive il Provvedimento del Garante del 18 marzo 2010 ha stabilito che l´invio dati personali su formato "etichetta" a terzi che utilizzano tali dati per l´invio di comunicazioni pubblicitarie costituisce una comunicazione di dati in ordine alla quale Postel non risulta aver acquisito il consenso specifico degli interessati previsto dall´art. 23 del Codice. Poiché dalle condizioni generali dei servizi "My Direct" (acquisite mediante la pagina web http://wvnv.mydirect.itiListaiassistenza,asp?condizioni=1, ora rimossa) si è potuto rilevare che, per quanto riguarda la cessione delle liste di soggetti privati, non è previsto contrattualmente alcun obbligo in capo al cessionario idoneo a limitarne l´utilizzo alla sola applicazione dell´etichetta per l´invio postale, senza la creazione di un´autonoma banca dati (unica condizione individuata nel citato Provvedimento del Garante affinché la comunicazione degli indirizzi a terzi in tale contesto possa essere considerata lecita), l´Ufficio ha contestato a Postel la violazione dell´art. 23 del Codice, con riferimento ai trattamenti sopra richiamati. Nella memoria difensiva Postel ha evidenziato che nelle condizioni generali dei servizi "My Direct" sono presenti passaggi che "vincolano il cliente ad utilizzare i dati di privati, anche quelli contenuti nelle etichette (ossia solo nominativi ed indirizzi), solo per attività di mailing e ad inserire nel proprio mailing l´informativa di Postel. Qualora il cliente procedesse invece ad aggirare tale vincolo, annotandosi ed utilizzando i dati riportati sulle etichette anche nell´ambito di una autonoma banca dati, non vi sarebbero dubbi sul fatto che tale condotta costituirebbe una oggettiva violazione delle previsioni sopra indicate e dei principi di buona fede e correttezza nell´esecuzione degli obblighi di cui alle predette condizioni". In sede di audizione Postel ha inoltre rappresentato che "con la trasmissione di etichette non si è realizzata alcuna "cessione" di dati, cessione di diritti e trasferimento della titolarità del trattamento, così come specificato nell´informativa che il cliente Postel ha l´obbligo di inserire nelle comunicazioni".

Le tesi difensive di Postel non appaiono condivisibili per i motivi di seguito elencati. Oltre a richiamare la circostanza che il Provvedimento del 18 marzo 2010 ha considerato illeciti i trattamenti sopra descritti imponendone il divieto e che tale Provvedimento non è stato impugnato da Postel (anzi, in sede di memoria difensiva Postel ha dichiarato di aver "proceduto, per le Liste Private Postel acquistabili per attività di mailing tramite My Direct, a sospendere temporaneamente la modalità relativa alla consegna etichette contenenti dati tratti dal DB Postel e a rafforzare le previsioni già presenti nelle condizioni generali dei servizi, inserendo puntuali obblighi per il cliente circa l´utilizzo dei dati predetti a fini di mailing, in analogia a quanto già previsto per le liste di operatori economici ed istituzionali") deve osservarsi che: a) l´art. 4, comma 1, lett. l), del Codice considera "comunicazione", "il dare conoscenza dei dati personali a uno o più soggetti determinati […] in qualunque forma, anche mediante la loro messa a disposizione o consultazione"; b) tale qualificazione prescinde dalla possibilità che chi riceve i dati possa poi lecitamente utilizzarli in qualità di autonomo titolare ma si configura nel momento in cui i dati giungono a sua conoscenza; c) in base al Provvedimento del Garante del 18 marzo 2010 tale qualificazione viene meno, nello specifico caso dei dati ceduti da Postel mediante il servizio My Direct, solo in presenza di obblighi in capo al cessionario, posti a tutela degli interessati, univocamente diretti a escludere la registrazione dei dati in un´autonoma banca-dati per un successivo utilizzo; d) nelle condizioni generali dei servizi My Direct non sono previsti limiti all´utilizzo dei dati di persone fisiche (denominati "soggetti privati") nel senso precisato nel Provvedimento del Garante del 18 marzo 2010. Tali limiti sono previsti solamente per l´utilizzo dei dati di persone giuridiche e aziende ("Operatori economici e istituzionali") per i quali Postel impone di "non copiare, decuplicare o cedere a terzi tali dati, né utilizzarli per operazioni diverse dalla suddetta attività di mailing o di telemarketing". La mancanza di un´analoga specifica condizione con riferimento ai dati delle persone fisiche conferma che Postel ha proceduto ad una indebita comunicazione dei predetti dati inviandoli in formato "etichetta" ai propri clienti, i quali non avevano vincoli contrattuali tali da escludere un eventuale ulteriore riutilizzo.

Trattamento senza il consenso dei dati provenienti da liste elettorali presenti nel "DB Postel" – come ampiamente argomentato con riferimento alla violazione dell´obbligo di informativa non può che ribadirsi che già gli accertamenti ispettivi dell´aprile 2009 hanno evidenziato la presenza nel DB Postel di una rilevante porzione di dati personali tratti da liste elettorali che Postel ha acquisito sia direttamente dai Comuni sia da società terze, quale, ad esempio, Addressvitt s.r.l. che ha ceduto i propri dati fra luglio e dicembre 2003. Gli accertamenti hanno altresì evidenziato l´utilizzo di tali dati per finalità di marketing.

Al riguardo, si richiama integralmente quanto già osservato in ordine al regime normativo che regola l´acquisizione e l´utilizzo dei dati personali tratti da liste elettorali, in base alle disposizioni di cui all´art. 177, comma 5, del Codice (in vigore dal 1° gennaio 2004), che ha modificato l´art. 51, comma 5, del d.P.R. n. 223/1967. Si richiama altresì il contenuto del provvedimento del Garante in data 10 giugno 2004 e la correlata osservazione in base alla quale un legittimo utilizzo dei dati personali tratti da liste elettorali prima del 2004 per finalità di marketing può avvenire solo se sia stata fornita agli interessati, antecedentemente a tale anno, un´idonea informativa (nella quale sia reso esplicito l´utilizzo dei dati per la predetta finalità di marketing) e sia stato acquisito un consenso specifico per tale finalità. L´Ufficio, rilevando che nel Provvedimento del 18 marzo 2010 risultava accertato che Postel ha registrato, organizzato nel DB Postel, utilizzato e ceduto dati personali tratti da liste elettorali per attività di marketing, senza aver acquisito uno specifico consenso, ha contestato la relativa violazione ai sensi dell´art. 162, comma 2-bis, del Codice.

La società, nelle memorie difensive, oltre a ribadire quanto osservato con riferimento alla contestazione sulla mancanza di informativa, ha evidenziato che:

1) nel Provvedimento del Garante del 18 marzo 2010 "non è […] dato riscontrare alcun rilievo rispetto all´assenza di uno specifico consenso per il trattamento e, in particolare, per la "cessione" dei dati in questione […]. Si è dell´avviso dunque che, anche per questo aspetto, l´Atto si discosti in modo assai discutibile da quanto formalmente accertato e rilevato nel Provvedimento, facendo emergere per la prima volta, accanto ed in sovrapposizione alla già criticata contestazione dell´omissione di informativa, un altro, rilevante e nuovo profilo di violazione […]";

2) "Il profilo di violazione da ultimo rilevato appare, peraltro, infondato, atteso che l´aspetto della eventuale cessione dei dati di privati, ivi inclusi quelli tratti da liste elettorali -ove utilizzabili per le distinte comunicazioni commerciali di soggetti profit (in numero ridotto), politiche e di enti no-profit-, viene ad emergere esclusivamente in relazione alla suddetta attività di consegna etichette, già fatta oggetto, per quanto attiene all´assenza del consenso, di separata contestazione […]."; 3) "il parere 28.10.05 del Garante e, soprattutto, l´art. 19 bis del d.l. n. 273/2005, conv. con modif. nella l. n. 51/2006 -che, come noto, ha previsto una deroga alle norme del Codice Privacy per l´uso di talune tecniche di comunicazione a distanza (quali la posta) di cui all´art. 58, comma 2, del d.lgs. n. 206/2005 recante il Codice del Consumo-, rendevano comunque ammissibile, anche senza il consenso degli interessati, il trattamento svolto da Postel (senza comunicazione o cessione a terzi) per finalità di invio di comunicazioni commerciali da parte di soggetti profit". Nel corso dell´audizione la parte ha inoltre specificato che "la violazione non sussiste in quanto il trattamento era un trattamento illecito in radice, in quanto contrario all´art. 11 (limitatamente alle comunicaz. commerciali) e non sarebbe sanabile neanche acquisendo un consenso successivamente all´ 1/1/2004".

Le osservazioni difensive sono poi nello specifico da rigettare: quanto alla prima eccezione, deve rappresentarsi che il Provvedimento del Garante del 18 marzo 2010 ha evidenziato i profili di illegittimità dai quali deriva il divieto del trattamento disposto ai sensi dell´art. 154, comma 1, lett. d), del Codice, rinviando ad un autonomo procedimento sanzionatorio "la sussistenza dei presupposti per contestare le violazioni amministrative di cui ai paragrafi 2, 3 e 4". Con il Provvedimento l´Autorità ha svolto un accertamento, coerentemente con le disposizioni di cui agli artt. 13 e 14 della legge n. 689/1981, espletando tutte le attività volte ad acquisire la piena conoscenza dei fatti e demandando poi ad un separato e autonomo procedimento, la contestazione delle sanzioni correlate con i fatti accertati ed esposti nel Provvedimento medesimo. L´atto di contestazione, d´altra parte, non si è discostato dai fatti accertati con il Provvedimento né ha aggiunto elementi nuovi rispetto a quelli ivi già evidenziati limitandosi all´individuazione dei profili di violazione amministrativa e formulando le conseguenti contestazioni.

Quanto alla seconda eccezione, va osservato che l´illecito trattamento dei dati tratti da liste elettorali non si riferisce alla sola cessione dei dati personali in formato "etichetta" attraverso il servizio "My Direct", circostanza che attiene alla contestazione di cui al capitolo precedente, ma alle complessive operazioni di organizzazione, utilizzo e cessione dei dati personali che, come riferito dal responsabile della Business Unit Marketing di Postel nel verbale del 18 febbraio 2010, sono confluiti nel DB Postel (rectius, sono stati riversati nell´anno 2006 all´interno del nuovo DB Postel) e sono stati utilizzati per attività di marketing per conto terzi. Ciò a seguito di una errata interpretazione "estensiva" del parere del 28 ottobre 2005 (con il quale il Garante, come già evidenziato in precedenza, ha individuato forme e modalità di utilizzo dei dati personali tratti da elenchi telefonici prima del 1° agosto 2005) ritenendo che tale orientamento si estendesse anche ai dati tratti da liste elettorali prima del 1° gennaio 2004.

In merito alla terza eccezione, oltre a richiamare quanto appena osservato in ordine all´estraneità del parere del 28 ottobre 2005 con la materia dell´utilizzo dei dati provenienti da liste elettorali, si deve osservare che la disposizione introdotta con l´art. 19-bis del d.l. n. 273/2005 che prevede per il "professionista" (persona fisica o giuridica nell´esercizio della propria attività commerciale o imprenditoriale) la possibilità di utilizzare la posta cartacea per comunicazioni commerciali individuali in base a quanto previsto dall´art. 58 del Codice del consumo, anche in deroga alle disposizioni del Codice in materia di protezione dei dati personali, attiene alla regola generale del consenso espresso, introducendo, limitatamente all´uso di questo strumento (comunicazione postale), il principio dell´opt-out (consentendo cioè al professionista di utilizzare i dati personali anche senza il consenso espresso degli interessati, salvo il diritto di opposizione). L´effetto di tale deroga non riguarda però i dati tratti da liste elettorali,  disciplina pubblicistica regolata dal Testo Unico del 1957, così come modificata dall´art. 177, comma 5, del Codice, più volte citato. Tale intervento normativo ha infatti definitivamente sottratto la materia dell´utilizzo delle liste elettorali da quello più generale dell´utilizzo di dati personali di fonte pubblica utilizzabili anche per altre finalità (tra le quali quelle di marketing), determinandosi, per tale ragione, anche l´inapplicabilità alla materia delle deroghe generali previste dall´art. 58, comma 2, del Codice del consumo. Quanto al motivo eccepito nel corso dell´audizione, nell´evidenziare che la difesa di Postel ha ammesso, in tale contesto, l´illegittimità dei trattamenti in argomento, deve rigettarsi l´assunto in base al quale non sia ravvisabile nel caso di specie una fattispecie sanzionatoria con riferimento all´illecito trattamento. Infatti, l´utilizzo dei dati personali di fonte pubblica può legittimamente svolgersi senza il consenso dell´interessato, in base a quanto stabilito dall´art. 24 del Codice. Tale trattamento diventa però illecito, per violazione dell´art. 23, nel caso in cui, come accertato nei confronti di Postel, i dati provenienti da liste elettorali acquisiti prima del 2004 e non "regolarizzati" mediante l´acquisizione del consenso degli interessati, siano stati successivamente utilizzati per finalità di marketing.

Si ritiene conclusivamente sul punto che le violazioni contestate a Postel in tema di consenso per la comunicazione di dati tratti dal DB Postel mediante il servizio My Direct e per il trattamento dei dati provenienti da liste elettorali presenti nel "DB Postel" siano sussistenti.

Applicazione del regime sanzionatorio successivo all´entrata in vigore dell´art. 20-bis, comma 1, della legge 20 novembre 2009, n. 166, di conversione del d.l. 25 settembre 2009, n. 135 – In accoglimento delle richieste difensive sul punto, si ritiene invece che, con riferimento alla contestazione delle violazioni dell´art. 23 del Codice, debba essere applicata la norma sanzionatoria dell´art. 162, comma 2-bis, nella sua attuale formulazione, in vigore dal 25 novembre 2009, attesa la più volte richiamata natura permanente delle condotte illegittime e la circostanza che tali condotte sono emerse nell´ambito dell´accertamento ispettivo del febbraio-marzo 2010.

c. contestazioni relative a ipotesi di mancato riscontro alle richieste del Garante (capo c) dell´atto di contestazione).

Per la descrizione delle circostanze che hanno determinato la contestazione della violazione amministrativa di cui all´art. 164 del Codice, si fa integrale riferimento a quanto esposto nell´atto di contestazione e, più in particolare, alla cronologia dei fatti dai quali emerge che in due occasioni Postel ha omesso di fornire un pieno riscontro alle richieste dell´Ufficio del Garante in ordine alle attività di marketing svolte dalla società e alle fonti di acquisizione dei dati personali.

Nelle memorie difensive la parte ha osservato, quanto al primo episodio (omesso riscontro alla richiesta di rappresentare quali fossero le attività di marketing svolte da Postel e il relativo utilizzo di dati personali) "che nei paragrafi 1, 2 e 3 del Provvedimento non emerge alcun rilievo in ordine a tale ulteriore profilo di violazione, del tutto inaspettato visto anche il clima di ampia e fattiva collaborazione in cui si sono svolti gli accertamenti ispettivi. […] Una condotta omissiva di tale rilevanza avrebbe dovuto essere acclarata, in primis, dal Garante, così come è avvenuto per altri profili di possibili illeciti rilevati nel provvedimento, per i quali l´Autorità si è riservata appunto di verificare, con autonomo procedimento, la sussistenza dei presupposti per contestare le violazioni amministrative. […] Ad avviso della scrivente Società non esiste alcun nesso tra la prima richiesta e le informazioni fornite nel secondo accertamento, frutto di una assai discutibile ricostruzione operata nell´Atto che non tiene conto delle modalità di concreto svolgimento delle operazioni ispettive e di formulazione delle richieste di informazione o documenti, nonché di loro verbalizzazione. In ogni caso, l´evidenziata incompletezza della risposta alla prima richiesta avrebbe dovuto essere contestata immediatamente nel corso del secondo accertamento ispettivo o, comunque, tempestivamente nei termini previsti dall´art. 14 l. n. 689/81, posto che, secondo quanto rilevato nell´Atto, tale accertamento ("con conseguente aggravio dei tempi e dei costi": v. pag. 8) si sarebbe reso necessario ai causa dei mancati riscontri forniti da Poste´ nel primo accertamento del 21 e 22 aprile 2009". Quanto al secondo episodio (omesso riscontro alla richiesta di indicare le fonti di acquisizione dei dati personali che confluiscono nel DB Postel e nel DB Aziende) la parte ha osservato che: "non può farsi a meno di sottolineare come lo stesso risulti manifestamente destituito di ogni fondatezza […]. Infatti, per i dati di privati cd. "consensati" di provenienza Telextra risulta accertato come gli stessi dati siano stati oggetto di tre specifiche forniture occasionali nel 2007 e 2008 e non siano poi confluiti nel DB Postel e nel DB Aziende, come specificamente richiesto nel corso del primo accertamento ispettivo. Per cui, anche in questo caso non sembrano configurabili profili di incompletezza nel riscontro fornito rispetto a tale iniziale specifica richiesta dei verbalizzanti a ciò incaricati per conto del Garante. […] Si obietta, infine, che gli asseriti, mancati riscontri di Postel in ordine alle predette occasionali forniture possano aver avuto impatti rilevanti sugli ulteriori supplementi istruttori e sugli accertamenti ispettivi poi svolti nel febbraio 2010 […]. Comunque, per le stesse ragioni sopra esposte, si tratta di un profilo di violazione che non è stato contestato immediatamente nel corso del secondo accertamento ispettivo o, comunque, tempestivamente nei termini previsti dall´art. 14 l. n. 689/81, come invece avrebbe dovuto atteso che, secondo quanto specificato nell´Atto, "l´effettuazione di un supplemento istruttorio" si sarebbe resa necessaria proprio per l´incompleto riscontro fornito da Postel nel primo accertamento". Nel corso dell´audizione la parte ha poi osservato che, per quanto riguarda il primo episodio, "il fatto che non si sia dato riscontro rispetto a quel servizio non corrisponde alla volontà di Postel di nascondere un canale di vendita" e, per quanto riguarda il secondo episodio, esso "riguarda elementi marginali che non sono stati tenuti presenti nel momento della risposta trattandosi di forniture occasionali di dati che non sono mai confluiti nel DB Postel e nel DB Aziende".

Le osservazioni di Postel non sono condivisibili sotto diversi aspetti: 1) il Provvedimento del Garante non fa menzione delle condotte omissive della società in occasione della richiesta di informazioni dell´Ufficio perché con esso si prendono in considerazione gli aspetti giuridici del trattamento dei dati personali in esame e non i comportamenti tenuti dai soggetti nei cui confronti sono state svolte le visite ispettive. Al riguardo, comunque, deve evidenziarsi il contenuto della nota n. 6882/63150 del 25 marzo 2010, richiamata nell´atto di contestazione, con la quale il Dipartimento comunicazioni e reti telematiche ha trasmesso gli atti al Dipartimento attività ispettive e sanzioni, nota richiamata nell´atto di contestazione. Con essa il Dipartimento che ha curato l´istruttoria del procedimento amministrativo, al punto 4 "Omessa informazione o esibizione al Garante (art. 164)", richiede al Dipartimento ispettivo, competente sulla base di quanto previsto all´art. 16 del Regolamento n.1/2007 (concernente le procedure interne all´Autorità aventi rilevanza esterna) di procedere alla contestazione della violazione di cui all´art. 157 del Codice (sanzionata dall´art. 164), con riferimento alle nuove circostanze emerse nell´accertamento ispettivo del 17 e 18 febbraio 2010; 2) le contestazioni sono state formulate con atto del 13 aprile 2010, notificato a Postel il 25 maggio 2010. Anche volendo accedere alla tesi difensiva (peraltro non condivisibile) circa l´autonomia delle contestazioni di cui all´art. 164 del Codice rispetto al complessivo procedimento conclusosi con l´adozione del Provvedimento del 18 marzo 2010, al solo fine retrodatare i termini previsti dall´art. 14 della legge n. 689/1981 al momento della conclusione degli accertamenti ispettivi, risulterebbe la tempestività della notificazione dell´atto di contestazione a Postel. Infatti, gli accertamenti ispettivi risultano conclusi in data 1° marzo 2010, data in cui la società, a scioglimento delle riserve poste a verbale del 18 febbraio 2010, ha prodotto la documentazione richiesta dall´Ufficio e indicata nel predetto verbale. Pertanto la data del 1° marzo 2010 è quella in cui l´Ufficio ha avuto per la prima volta a disposizione la complessiva documentazione sugli accertamenti svolti e rispetto a tale data, che, si ribadisce, corrisponde a quella su cui si basano le eccezioni formali della difesa di Postel, l´atto di contestazione è stato portato a conoscenza di Postel nel termine di novanta giorni previsto dall´art. 14 della legge n. 689/1981; 3) richiamando la ricostruzione in fatto fornita nell´atto di contestazione, sulla quale nulla obietta la difesa di Postel, si deve osservare che le richieste di informazioni formulate dall´Ufficio nei confronti di Postel risultano chiaramente comprensibili e sono state precedute dalla consegna degli ordini di servizio che specificavano l´oggetto dell´accertamento: "verificare l´osservanza delle disposizioni in materia di dati personali nell´ambito dei servizi di marketing, formazione, gestione e cessione di banche dati e elenchi anagrafici nonché delle altre informazioni utilizzabili per l´effettuazione di campagne promozionali". Rispetto a tali richieste, il cui tenore non appare equivocabile, Postel ha omesso di rappresentare al Garante di aver svolto attività di marketing tramite il servizio "My Direct" e di aver acquisito dalla società Telextra non solo dati relativi ad aziende, ma anche dati di persone fisiche provenienti dal DBU (i cd. "consensati"); 4) i dati provenienti da Telextra non risultano essere stati oggetto di forniture occasionali ma, come evidenziato nel capitolo del presente atto dedicato alle violazioni in materia di informativa, a cui ci si riporta, risultano essere confluiti nel DB Postel, come emerso dal confronto fra i documenti trasmessi con nota del 1° marzo 2010 e quelli di cui alla nota del 4 maggio 2009; 5) i mancati riscontri della società circa il complesso delle attività di marketing, fra le quali non può certo ritenersi esclusa "My Direct", e circa le fonti di alimentazione del DB Postel ha influito sui tempi dell´istruttoria e avrebbe influito anche sui complessivi esiti dell´accertamento se tali esiti non fossero stati messi a confronto con le risultanze delle attività di accertamento poste in essere nei confronti di Telextra e se non fosse stato disposto dall´Autorità un supplemento ispettivo: l´aggravio dei tempi e dei costi delle attività di accertamento conseguente all´incompleto riscontro alle richieste del Garante è documentato proprio dallo svolgimento di un´ulteriore attività ispettiva, i cui elementi hanno formato oggetto di esame nei capitoli 3 e 4 del Provvedimento del 18 marzo 2010. L´aver taciuto al Garante le informazioni sopra evidenziate integra pienamente l´illecito amministrativo previsto dall´art. 164 del Codice.

d. contestazioni relative a ipotesi di più violazioni in relazione a banche dati di particolare rilevanza (capo d) dell´atto di contestazione).

L´atto di contestazione evidenzia che le violazioni di cui agli artt. 161 e 162, comma 2-bis, del Codice, come sopra esaminate nel dettaglio, si riferiscono a banche dati di particolare rilevanza e dimensioni. Per l´effetto, l´Ufficio ha contestato a Postel anche la violazione di cui all´art. 164-bis, comma 2, del Codice. Al riguardo, Postel, richiamando anche le specifiche osservazioni difensive formulate per ciascuna delle contestate violazioni, ha inoltre rappresentato che: "diverse violazioni oggetto di contestazione, come specificamente osservato nei suddetti punti relativi ad ogni singolo profilo descritto nell´Atto, sono state commesse in tempi antecedenti all´entrata in vigore del citato art. 164-bis del Codice, introdotto dalla l. n. 14/09 di conv. del d.l. n. 207/08, con conseguente sua inapplicabilità; molte delle predette violazioni riguardano attività di mailing postale (e non di telemarketing) e non sono comunque riferibili a banche dati di particolare rilevanza o dimensioni, così come genericamente indicato nel capo di contestazione, venendo in concreto ad aver riguardato: ridotte partizioni del database Postel (v, ad es. il circoscritto numero di dati tratti da liste elettorale utilizzabili per scopi di comunicazione commerciale), circoscritte forniture occasionali di dati (come emerso per i privati ed i consensati di provenienza Telextra), banche dati comunque pubblicamente accessibili come i dati di aziende tratti dagli elenchi telefonici ed. categorici di Telextra (disponibili anche on-line); limitate modalità di loro utilizzo e comunicazione, come la consegna di etichette cartacee, che non paiono presentare aspetti di particolare rischio per i diritti degli interessati". Nel corso dell´audizione del 13 aprile 2010, Postel ha evidenziato, con riferimento alle contestazioni per le quali è intervenuto il pagamento in forma abbreviata, che: "in applicazione di analoghi principi in materia sanzionatoria (es. art. 12, d.lg. 472/97), l´art. 164-bis, comma 2, sia una disposizione da applicarsi in sostituzione delle sanzioni che il predetto articolo va a cumulare in relazione all´esistenza di banche dati di rilevanti dimensioni (circostanza che la parte ritiene si configuri come "aggravante"). Ritiene pertanto che, analogamente al caso di archiviazione, in caso di pagamento in forma abbreviata non sia applicabile la sanzione più grave sostitutiva delle sanzioni base cumulate ai fini dell´applicazione dell´art. 164-bis".

Richiamando le precedenti valutazioni in ordine alla sussistenza delle singole fattispecie, si deve preliminarmente osservare inoltre che, con riferimento alla natura delle banche dati prese in esame nell´atto di contestazione, come emerge dal Provvedimento, il DB Postel "ha una consistenza numerica di circa 24.000.000 di record" ed è stato alimentato con dati provenienti da liste elettorali "ante 2004" e dati provenienti da elenchi telefonici "ante 2005". Il DB Aziende si compone di circa 2.000.000 di record provenienti da Telextra e 1.650.000 record di fonte Dun & Bradstreet. All´interno del DB Postel, in base alle dichiarazioni rese dalla società, i dati tratti da liste elettorali che sono stati destinati a comunicazioni commerciali sono 1.600.000. Sempre in base alle dichiarazioni rese da Postel, i dati tratti dal DB Postel che sono stati comunicati a terzi negli anni 2008 e 2009 mediante il servizio My Direct sono 1.400.000. Appare pertanto incontestabile che le banche-dati di Postel in relazione alle quali risultano commesse le violazioni siano "di particolari dimensioni", così come richiesto dall´art. 164-bis del Codice. Inoltre, per taluni dei predetti database, risulta corretta anche la qualificazione di banca dati "di particolare rilevanza": per quanto riguarda, infatti, i dati tratti da elenchi telefonici "ante 2005" giova ricordare che il Garante, con provvedimento del 12 marzo 2009, pubblicato su G.U. n. 66 del 20 marzo 2009 (in www.garanteprivacy.it, doc. web n. 1598808), ha dettato delle "prescrizioni ai titolari di banche dati costituite sulla base di elenchi telefonici formati prima del 1° agosto 2005". In tale provvedimento si richiama espressamente la sanzione di cui all´art. 164-bis, comma 2, qualificando pertanto le banche dati formate sulla base degli elenchi telefonici "ante 2005" di "particolare rilevanza", indipendentemente dalla numerosità del database. Tale qualifica riguarda anche i dati tratti da liste elettorali, attesa la specialità della disciplina che ne regola l´acquisizione e l´utilizzo in base a norme rafforzate rispetto alle disposizioni generali in materia di trattamento di dati provenienti da fonte pubblica. Per quanto riguarda l´epoca di commissione delle violazioni presupposte, si richiama quanto argomentato con riferimento alle violazioni attinenti all´obbligo di informativa, circa la natura permanente della condotta illecita sanzionata. Per quanto riguarda la violazione relativa alla cessione delle anagrafiche mediante il servizio "My Direct", è emerso documentalmente, ed è stato ammesso dalla parte, che tale cessione è avvenuta anche nel corso dell´anno 2009, e quindi nella vigenza della norma sanzionatoria di cui all´art. 164-bis, comma 2. Per quanto riguarda, infine, la violazione relativa al trattamento senza consenso dei dati tratti da liste elettorali, giova evidenziare ancora una volta quanto dichiarato dal responsabile della Business Unit Marketing di Postel a verbale del 18 febbraio 2010 e cioè che "tali dati sono […] ancora presenti nel DB Postel e sono stati utilizzati anche nell´ambito dei servizi di campagne commerciali effettuate per conto di soggetti cd. "profit"", da cui si evince la natura permanente della condotta sanzionata attesa la registrazione, organizzazione e conseguente conservazione dei dati di cui sopra nel DB Postel, così come specificato nell´atto di contestazione. Risulta quindi ampiamente provato in atti non solo che Postel ha commesso più violazioni delle disposizioni richiamate dall´art. 164-bis, comma 2, ma anche che ha proseguito tale attività illecita successivamente all´entrata in vigore delle nuove norme sanzionatorie, avvenuta il 31 dicembre 2008.

In ordine al profilo evidenziato nel corso dell´audizione, oltre a sottolineare la non attinenza del richiamo in via analogica a disposizioni sanzionatorie speciali in materia tributaria, deve osservarsi che l´illecito previsto dall´art. 164-bis, comma 2, configura una "fattispecie complessa", collegata ma autonoma rispetto a quelle presupposte, tra le quali ricorrono, come nel caso di specie, quelle di cui agli artt. 161 e 162, comma 2-bis. La violazione di cui all´art. 164-bis, comma 2, è infatti punita con una sanzione autonomamente quantificabile e non rapportata alle sanzioni delle correlate violazioni. Inoltre, il procedimento sanzionatorio che si instaura con la contestazione della violazione di cui all´art. 164-bis, comma 2, si differenzia da quello relativo alle altre violazioni per l´inapplicabilità dell´art. 16 della legge n. 689/1981 in tema di pagamento in misura ridotta. Già nella sua struttura formale, pertanto, l´art. 164-bis, comma 2, ha pertanto le caratteristiche tipiche della fattispecie sanzionatoria autonoma (condotta e sanzione pecuniaria prevista tra un minimo e un massimo); l´alternatività della sanzione di cui all´art. 164-bis, comma 2, del Codice rispetto a quelle di cui agli artt. 161 e 162, comma 2-bis, non è supportata da alcun elemento letterale e logico. La norma de quo infatti tutela un bene giuridico ulteriore e diverso rispetto a quello offeso dalle singole violazioni presupposte, poiché maggiore è la lesione che si determina ai diritti oggetto di tutela da parte del Codice quando dette plurime violazioni riguardano non singoli dati ma, come nel caso di specie, intere banche-dati di particolare rilevanza e dimensioni costituite da dati appartenenti a milioni di interessati.

RILEVATO, quindi, che Postel, sulla base delle considerazioni sopra richiamate, risulta aver commesso:

a) le diverse violazioni di cui agli articoli 13 e 161 del Codice, per le quali è già intervenuto pagamento in forma abbreviata ma che in questa sede devono ritenersi sussistenti ai fini della configurabilità della violazione di cui all´articolo 164-bis, comma 2, del Codice;

b) la violazione di cui all´articolo 162, comma 2-bis, in relazione all´art. 167 del Codice, per aver effettuato trattamenti di dati personali, costituiti dalla cessione di dati presenti nel "DB Postel" senza aver acquisito dagli interessati uno specifico consenso ai sensi dell´art. 23 del Codice;

c) la violazione di cui all´articolo 162, comma 2-bis, in relazione all´art. 167 del Codice, per aver effettuato trattamenti costituiti dalla registrazione, organizzazione nel "DB Postel", utilizzo e cessione di dati personali, tratti da liste elettorali, per attività di marketing, fuori dalle finalità di cui all´art. 177 del Codice, senza aver acquisito dagli interessati uno specifico consenso ai sensi dell´art. 23 del Codice;

d) la violazione di cui all´art. 164, in relazione all´art. 157 del Codice, per non aver fornito, in due occasioni, un pieno e tempestivo riscontro alla richiesta di informazioni ed esibizione di documenti effettuata dal Garante ai sensi dell´art. 157 del Codice;

e) la violazione di cui all´art. 164-bis, comma 2, del Codice, per aver commesso le violazioni sub a), b) e c) in relazione a banche di dati di particolare rilevanza e dimensioni;

VISTO l´art. 162, comma 2-bis, che punisce la violazione dell´art. 23 con la sanzione da diecimila a centoventimila euro; l´art. 164, che punisce il mancato riscontro alle richieste del Garante con la sanzione da diecimila a sessantamila euro; l´art. 164-bis, comma 2, che, in caso di più violazioni di una o più di una delle disposizioni di cui agli artt. 161 e 162, comma 2-bis, commesse anche in tempi diversi in relazione a banche di dati di particolare rilevanza o dimensioni, prevede l´applicazione di una sanzione da cinquantamila a trecentomila euro;

CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge 24 novembre 1981 n. 689, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

PRESO ATTO delle considerazioni espresse da Postel in ordine al recepimento del Provvedimento inibitorio del 18 marzo 2010 con conseguente blocco dei trattamenti per finalità di marketing dei dati provenienti da liste elettorali, sospensione temporanea della modalità di consegna delle etichette per attività di mailing tramite il servizio "My Direct" e rafforzamento delle previsioni contrattuali circa l´utilizzo delle predette etichette;

CONSIDERATO che, nel caso in esame:

a) in ordine all´aspetto della gravità, la violazione relativa al trattamento dei dati provenienti da liste elettorali, riguardo gli elementi dell´entità del pregiudizio o del pericolo e dell´intensità dell´elemento psicologico, risulta connotata da elementi specifici dettati dalla circostanza che tale trattamento si è protratto per sei anni anche in presenza di una disciplina positiva che ne statuiva l´illiceità e che la ricostruzione di tale trattamento in sede ispettiva è stata contrassegnata da più dichiarazioni non collimanti circa la fonte di acquisizione e l´utilizzo dei dati; la violazione di cui all´art. 164 del Codice risulta connotata da elementi specifici dettati dalla rilevanza delle attività di marketing che Postel non ha portato alla conoscenza dell´Autorità, in particolare quelle svolte mediante l´utilizzo del servizio "My Direct";

b) ai fini della valutazione dell´opera svolta dall´agente, deve essere considerato in termini favorevoli il fatto che Postel ha dato puntuale e tempestivo adempimento alle disposizioni del Provvedimento del 18 marzo 2010; devono nel contempo essere considerate in termini non favorevoli le circostanze che hanno determinato l´applicazione della sanzione di cui all´art. 164 del Codice e le dichiarazioni in tema di acquisizione e utilizzo dei dati tratti da liste elettorali;

c) circa la personalità dell´autore della violazione, deve essere positivamente considerata la circostanza che Postel non risulta avere precedenti specifici in termini di violazioni delle disposizioni del Codice;

d) in merito alle condizioni economiche dell´agente, si è tenuto conto del fatturato e del risultato d´esercizio relativi all´anno 2012;

RITENUTO di dover determinare, ai sensi dell´art. 11 della L. n. 689/1981, l´ammontare della sanzione pecuniaria,  in ragione dei suddetti elementi valutati nel loro complesso, nella misura di:

- euro 100.000,00 (centomila) per le violazioni di cui all´art. 162, comma 2-bis;

- euro 40.000,00 (quarantamila) per le violazioni di cui all´art. 164;

- euro 200.000,00 (duecentomila) per la violazione di cui all´art. 164-bis, comma 2;

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la dott.ssa Augusta Iannini;

ORDINA

a Postel S.p.A., con sede in Roma, via Carlo Spinola n. 11, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 340.000,00 (trecentoquarantamila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione;

INGIUNGE

alla medesima società di pagare la somma di euro 340.000,00 (trecentoquarantamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale o in copia autentica, quietanza dell´avvenuto versamento.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 5 dicembre 2013

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia

 

* L´efficacia esecutiva dell´ordinanza è stata sospesa con provvedimento del Tribunale Ordinario di Roma - Sezione Civile Prima in data 16 giugno 2014