Diritti interna

Doveri interna

ricerca avanzata

Elenchi telefonici on line e "ricerca inversa": illegittimi se la fonte non è il d.b.u. - 14 gennaio 2016 [6053915]

[doc. web n. 6053915]

Elenchi telefonici on line e "ricerca inversa": illegittimi se la fonte non è il d.b.u. - 14 gennaio 2016

Registro dei provvedimenti
n. 4 del 14 gennaio 2016

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici, componente, e del dott. Giuseppe Busia, segretario generale;

VISTI gli artt. 16 del Trattato sul funzionamento dell´Unione Europea, 7-8 della Carta dei diritti fondamentali dell´UE (in www.eur-lex.europa.eu), riguardo al diritto alla protezione dei dati personali, nonché gli artt. 41 della Costituzione e 16 della citata Carta, riguardo alla libertà d´impresa e al diritto d´iniziativa economica;

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito «Codice»), e in particolare le disposizioni di cui agli artt. 4,11,13, 23, 24,129, 143, 144, 154, 157;

VISTI le "Linee guida in materia di attività promozionale e contrasto allo spam" del 4 luglio 2013 [doc. web n. 2542348]; il provv. gen. 20 settembre 2012, "in ordine all´applicabilità alle persone giuridiche del Codice in materia di protezione dei dati personali a seguito delle modifiche apportate dal d.l. n. 201/2011" [doc. web n. 2094932]; il provv. gen. 19 gennaio 2011 "Prescrizioni per il trattamento di dati personali per finalità di marketing, mediante l´impiego del telefono con operatore, a seguito dell´istituzione del registro pubblico delle opposizioni" [doc. web n. 1784528]; il provv. gen. 8 aprile 2010 "Misure a tutela della c.d. "Ricerca inversa" dei vecchi abbonati ai servizi telefonici [doc. web n. 1713429], nonché il provv. gen. 15 luglio 2004 "Elenchi telefonici: garanzie e modalità per il trattamento dei dati personali" [doc. web n. 1032381];

VISTE le numerose segnalazioni pervenute a questa Autorità, con le quali è stata lamentata la diffusione sul sito www.tuttinumeri.it di un elenco telefonico on line contenente vari dati personali (come: nome e cognome, indirizzo, recapito telefonico) in assenza di consenso al trattamento;

RILEVATO che alcuni dei segnalanti hanno anche evidenziato il carattere "riservato" delle proprie utenze telefoniche e hanno lamentato la ricezione di telefonate promozionali indesiderate, presumibilmente agevolate dalla disponibilità di tali dati sul detto sito; lamentandosi peraltro di aver trovato difficoltà nell´esercitare i diritti di cui agli art. 7 ss. del Codice, e in particolare nel conseguire la cancellazione dei loro dati;

TENUTO CONTO che l´Autorità, al fine di verificare la liceità dei trattamenti segnalati, ha avviato un´istruttoria preliminare nell´ambito della quale ha rivolto una dettagliata richiesta di informazioni al soggetto gestore del sito, Develhop S.r.l., con sede legale in Napoli, Via degli Artisti n. 25;

VISTO che -in considerazione della necessità di approfondire alcuni elementi emergenti dal riscontro inviato dalla società e, in particolare, le possibili criticità del trattamento dei dati personali effettuato dalla medesima, con particolare riferimento alle effettive modalità di raccolta dei dati e alla consistenza quantitativa e qualitativa del suo data base, nonché di ulteriori segnalazioni pervenute- questa Autorità, nei giorni 15 e 16 aprile 2015, avvalendosi del personale dell´Ufficio e del Nucleo Speciale Privacy della Guardia di Finanza, ha condotto un accertamento ex art. 157 del Codice presso la suindicata sede legale, e, causa la difficoltà di accesso a quest´ultima, ha effettuato le relative operazioni presso un comando locale della Guardia di Finanza, ove è stata convocata la società (v. verbale 15 aprile cit.);

CONSIDERATO che –sia dal verbale del 15 aprile sia dalla relazione tecnica prodotta dalla società- risulta che questa gestisce il sito www.tuttinumeri.it con la finalità di aggregare e rendere disponibili numeri di telefonia fissa ed altri dati personali (cognome, nome, indirizzo fisico, C.A.P., raramente anche utenza mobile o indirizzo di posta elettronica), raccolti in maniera automatica attraverso degli script che vengono "lanciati …. direttamente sulle fonti web ai fini della raccolta", che "iterano fra le pagine dei siti delle fonti e ne acquisiscono i contenuti" (c.d. "web scraping");

RILEVATO  peraltro che, come affermato dalla società ispezionata (v. verbale citato), "I predetti script sono impostati in modo tale da raccogliere all´interno del nostro database qualsiasi informazione (dato personale o altra informazione), in maniera indiscriminata pubblicata sulla fonte web accessibile a tutti, per poi successivamente metterla a disposizione degli utenti sul sito www.tuttinumeri.it", e che quindi, peraltro, la siffatta attività di trattamento può comportare la raccolta e ripubblicazione sul sito societario di dati personali ulteriori rispetto a quelli sopra indicati;

RILEVATO, con riferimento all´ambito soggettivo del trattamento in questione, che l´aggregazione  e la consultabilità riguarda i dati sia di persone fisiche sia di imprese e considerato che questa Autorità ritiene che, nonostante le modifiche apportate al Codice, e in particolare al concetto di "interessato" di cui all´art. 4, dall´art. 40, comma 2, del d.l. n. 201/2011, "continui a trovare applicazione anche alle persone giuridiche, enti ed associazioni il capo 1 del titolo X del Codice, rectius le disposizioni ivi contenute che riguardano i ‘contraenti´, a prescindere dal loro essere persone fisiche ovvero giuridiche, enti ed associazioni" (v. provv. gen. 20 settembre 2012, cit.);

CONSIDERATO, con riferimento all´ambito oggettivo dell´attività di trattamento in rilievo, che, con il provv. 15 luglio 2004 in materia di elenchi telefonici "alfabetici" del servizio universale, l´Autorità ha chiarito che "è consentita la sola formazione, distribuzione e diffusione degli elenchi, in qualunque forma realizzati, basati sulla consultazione e accesso" alla base di dati unica degli operatori di comunicazione elettronica (d.b.u.) già previsto dalla delibera Agcom n. 36/02/CONS (così anche provv. 7 aprile 2011 "Elenchi telefonici on line: illegittimi se la fonte dei dati non è il d.b.u."[doc. web n. 1810351]) e che, per l´inserimento dei dati personali nei siffatti elenchi, è necessario il consenso espresso, libero, specifico, informato e documentato per iscritto dei contraenti "sia in riferimento ad elenchi formati da singoli operatori, sia in relazione ad elenchi unici messi a disposizione di chiunque, a prescindere dalla forma con cui sono realizzati";

CONSIDERATO, conseguentemente, che non è legittimo formare un elenco telefonico, on line o anche cartaceo, con dati che non siano tratti dal d.b.u., e che non è altresì consentita, tramite la consultabilità di tale elenco, la funzione di c.d. "ricerca inversa", ossia la ricerca delle generalità dei contraenti, sulla base del loro numero telefonico, senza aver previamente acquisito il loro consenso libero e specifico, oltre che informato (v. provv. 15 luglio 2004 All. I, punto 4.2.1), coerentemente anche con quanto sostenuto in sede comunitaria dal Gruppo ex art. 29: cfr. parere n. 5/2000 del 13 luglio 2000, in www.europa.eu.int), fatto salvo quanto disposto dall´Autorità, con il provv. gen. 8 aprile 2010 limitatamente ai vecchi contraenti, i cui dati erano già inseriti in un elenco pubblico alla data del 1° febbraio 2005;

CONSIDERATO, altresì, che la pubblicazione dell´elenco telefonico sul sito www.tuttinumeri.it (composto da circa 12.500.000 utenti: v. verbale 16 aprile cit.) comporta un trattamento particolarmente invasivo per il diritto alla protezione dei dati personali, in considerazione dell´agevole reperibilità degli stessi anche mediante i comuni motori di ricerca e della possibilità che altri soggetti possano utilizzare i dati così disponibili per ulteriori trattamenti, anche on line, difficilmente verificabili e arginabili, come le attività di marketing indesiderato;

RILEVATO che la suindicata società ha raccolto e pubblicato i dati personali in questione per la finalità di consultabilità on line nonché per l´ulteriore funzione di ricerca inversa, senza aver previamente acquisito un consenso specifico per ciascuna delle due suindicate finalità, dichiarando, riguardo al consenso al trattamento, di averlo "considerato già acquisito dai soggetti (fonti web) autonomi titolari del trattamento che hanno originariamente pubblicato sul web gli stessi dati";

CONSIDERATO che, in base all´art. 23, commi 1 e 3, del Codice, il trattamento di dati personali da parte dei privati è ammesso solo previa acquisizione di un consenso degli interessati libero, informato e specifico, con riferimento a un trattamento chiaramente individuato, e da documentare per iscritto (cfr., fra i più recenti: provv. 13 maggio 2015, doc. web n. 4337465; provv. 25 settembre 2014, doc. web 3457687; provv. 9 gennaio 2014, doc. web 2904350); e che, ai sensi dell´art. 129, comma 2, del Codice, l´inclusione negli elenchi cartacei o elettronici a disposizione del pubblico necessita del suddetto consenso;

CONSIDERATO che la medesima regola sussiste anche quando i dati personali siano rinvenibili su siti web, in quanto l´agevole reperibilità di informazioni personali (quali i recapiti telefonici) in Internet non autorizza il trattamento di tali dati per qualsiasi scopo, ma soltanto per le specifiche finalità sottese alla loro pubblicazione;

CONSIDERATO, pertanto, che i dati personali in questione possono essere utilizzati senza il consenso degli interessati solo qualora siano estratti dal d.b.u. e la finalità perseguita consista nella "mera ricerca dell´abbonato per comunicazioni interpersonali"; ovvero se i dati siano estratti da fonti "pubbliche" nel senso proprio del termine (cioè siano conoscibili da chiunque senza limitazioni, come nel caso in cui si utilizzino registri, elenchi, atti o documenti detenuti da un soggetto pubblico, e al tempo stesso sono liberamente accessibili –senza discriminazioni- in base ad un´espressa disposizione di legge o di regolamento), dovendosi comunque rispettare "i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati", ai sensi dell´art. 24, comma 1, lett. c), del Codice (cfr. anche provv. gen. 19 gennaio 2011, oltre alle citate Linee Guida del 4 luglio 2013, par. 2.5, che, pur con specifico riferimento al trattamento di dati per finalità promozionali, ripropongono siffatto orientamento costante dell´Autorità);

RILEVATA la sussistenza dei presupposti per avviare nei confronti di Develhop S.r.l. un autonomo procedimento sanzionatorio relativamente alle violazioni amministrative di competenza di questa Autorità, con particolare riguardo all´inadempimento dell´obbligo di acquisizione di un consenso specifico per le diverse finalità di consultabilità on line e di ricerca inversa;

RILEVATA la necessità di adottare nei confronti di Develhop S.r.l., ai sensi degli artt. 143, comma 1, lett. c), 144 e 154, comma 1, lett. d) del Codice, un provvedimento di divieto del trattamento di dati personali non raccolti dal d.b.u., per la finalità di consultabilità on line nonché per la funzione di ricerca inversa delle generalità del contraente, senza la previa acquisizione di un consenso  espresso, libero e specifico, con riferimento a trattamenti chiaramente individuati e documentato per iscritto, ex art. 23 del Codice;

RILEVATA altresì la necessità di prescrivere alla medesima società, ai sensi degli artt. 143, c. 1, lett. b), 144 e 154, c. 1, lett. c) del Codice di cancellare i dati personali illecitamente acquisiti con le modalità sopra descritte;

TENUTO CONTO che, ai sensi dell´art. 170 del Codice, chiunque, essendovi tenuto, non osserva il provvedimento di divieto è punito con la reclusione da tre mesi a due anni; che, ai sensi dell´art. 162, comma 2-ter del Codice, in caso di inosservanza del divieto o delle prescrizioni, in ogni caso, è altresì applicata in sede amministrativa la sanzione del pagamento di una somma da trentamila a centottantamila euro;

RILEVATO altresì che, con riguardo ai diritti di cui agli artt. 7 ss. del Codice, la società, oltre a prevedere un indirizzo per essere contattata e richiedere l´eliminazione dei dati personali, risulta aver dato riscontro fattivo alle richieste di cancellazione ricevute dai segnalanti e ha peraltro assicurato che "vengono gestite manualmente il prima possibile e di norma non oltre quattro giorni dalla data della richiesta";

RILEVATO che resta impregiudicata la facoltà per gli interessati di far valere tutti i propri diritti in sede civile (cfr. anche art. 15 del Codice), compreso il diritto al risarcimento dei danni eventualmente subiti;

RISERVATA la facoltà dell´Autorità di condurre un´apposita istruttoria tesa a verificare la liceità dei trattamenti dei dati personali effettuati dai siti web dai quali la società ha dichiarato di aver raccolto tali dati;

VISTA la documentazione in atti;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

TUTTO CIÒ PREMESSO IL GARANTE:

a) dichiara illecito e, ai sensi degli artt. 143, comma 1, lett. c), 144 e 154, comma 1, lett. d), del Codice, vieta a Develhop S.r.l., come sopra individuata, il trattamento consistente nella costituzione e diffusione sul sito www.tuttinumeri.it di un elenco telefonico contenente dati personali non raccolti dal d.b.u., per le specifiche finalità di consultabilità on line e di "ricerca inversa" delle generalità dei contraenti, senza la previa acquisizione di un loro consenso espresso, libero, specifico e documentato per iscritto, per ciascuna delle suindicate finalità, ex art. 23, comma 3, del Codice;

b) ai sensi degli artt. 143, comma 1, lett. b), 144 e 154, comma 1, lett. c), del Codice, prescrive a Develhop S.r.l. di cancellare i dati personali di cui alla precedente lettera a);

c) ai sensi dell´art. 157 del Codice, richiede a Develhop S.r.l. di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto previsto nel presente provvedimento e di fornire comunque riscontro entro sessanta  giorni dalla ricezione dello stesso.

Si ricorda che il mancato riscontro alla suindicata richiesta ex art. 157 è punito con la sanzione amministrativa di cui all´art. 164 del Codice e che, ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 14 gennaio 2016

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia