Garante per la protezione
    dei dati personali


Prescrizioni del Garante [art. 154, 1 c) del Codice]

Provvedimento del 30 maggio 2007

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito "Codice");

VISTO il provvedimento del16 febbraio 2006, pubblicato sulla Gazzetta ufficiale del 6 marzo 2006, n. 54, con il quale questa Autorità, a seguito di segnalazioni, ha prescritto a tutti i titolari del trattamento interessati di adottare le misure necessarie per rendere conformi alla normativa vigente i trattamenti di dati personali relativi all'offerta di servizi telefonici;

VISTE le ulteriori segnalazioni pervenute a questa Autorità con le quali è stata lamentata la ricezione di chiamate telefoniche indesiderate da operatori che asserivano di chiamare per conto di Fastweb S.p.A.;

VISTA la documentazione preliminare acquisita a seguito dell'avvio di ulteriori accertamenti preliminari volti a verificare il rispetto della disciplina in materia di protezione dei dati personali, con riguardo ai trattamenti effettuati per attività di carattere promozionale, pubblicitario o commerciale tramite chiamate telefoniche effettuate da strutture interne o esterne alla predetta società titolare del trattamento;

VISTA la richiesta di informazioni rivolta da questa Autorità a Fastweb S.p.A. il 21 dicembre 2006 anche in riferimento alle funzioni e alle attività svolte da singoli call center;

VISTA la nota di riscontro del 15 gennaio 2007 con la quale la società ha dichiarato di utilizzare, per le chiamate promozionali o pubblicitarie in uscita, il call center esterno di Telecontatto s.r.l. (società avente sede legale in Milano, Via Soperga n. 36, mentre il call center è ubicato in Brescia, via Valcamonica 17), designata quale responsabile del trattamento dei dati personali;

VISTO che all'avvio dell'accertamento ispettivo presso Telecontatto s.r.l., tale società ha indicato Telework s.r.l. quale soggetto che effettivamente svolge attività di call center per conto di Fastweb S.p.A.;

RILEVATO che dagli accertamenti ispettivi svolti presso Telework s.r.l. è emerso che Telecontatto s.r.l. ha ritenuto di poter designare tale società, ai sensi dell'art. 30 del Codice, quale "incaricato del trattamento dei dati di cui verrà a conoscenza nel corso dello svolgimento della sua attività di sub-agente" per il teleselling; ciò, nei termini indicati nella nota di incarico di Telecontatto s.r.l. del 19 gennaio 2007 e risultanti, anche, dalle dichiarazioni rilasciate nel verbale del 2 aprile 2007 dalla sig.a Maria Tedeschi, nella sua qualità di responsabile operativa di Telework s.r.l.;

CONSIDERATO che, dagli accertamenti ispettivi effettuati il 2 aprile 2007 presso la sede legale di Fastweb S.p.A. (sita in Milano, via Caracciolo n. 51), è emerso che "nel contratto con Telecontatto s.r.l. non è previsto il subappalto, che la società Fastweb non era a conoscenza di tale subappalto, né che conosceva tale società Telework"; 

RILEVATO (dal contratto stipulato tra Fastweb S.p.A. e Telecontatto s.r.l., nonché dalle dichiarazioni rese durante l'ispezione per conto di Telework s.r.l.) che i file anagrafici per svolgere l'attività promozionale, pubblicitaria e commerciale sarebbero "contenuti all'interno di un cd consegnato da Fastweb S.p.A. a Telecontatto s.r.l." e che Telework s.r.l. accederebbe ad essi in remoto, tramite il server di Telecontatto s.r.l.;

VISTI gli artt. 4, comma 1, lett. h) e 30 del Codice i quali individuano quale possibili "incaricati" del trattamento solo le persone fisiche, escludendo pertanto la possibilità che tale ruolo possa essere ricoperto da una società;

RILEVATO che competono solo a Fastweb S.p.A., nella sua qualità di titolare del trattamento, le decisioni in ordine alle finalità e alle modalità del trattamento effettuato nel caso di specie (artt. 4, comma 1, lett. f) e 28 del Codice);

RILEVATO dagli accertamenti ispettivi effettuati che Telework s.r.l. risulta, allo stato, aver trattato dati personali in assenza dei necessari presupposti di liceità e correttezza; constatato in particolare che i dati utilizzati per le predette chiamate sono stati acquisiti indebitamente da Telecontatto s.r.l., all'insaputa delle persone interessate e con modalità che allo stato risultano in contrasto con quanto avrebbe previsto per contratto Fastweb S.p.A., titolare del trattamento (artt. 11, 13, 23, 24, 28 e 29 del Codice);

RILEVATO che il trattamento di dati personali che non risulta svolto in modo lecito e corretto ha carattere sistematico;

RISERVATA ogni altra determinazione sulla liceità e correttezza del trattamento; considerato che non risulta allo stato comprovato che per i dati relativi alla clientela da contattare, acquisiti da due società con contratto di fornitura di servizi, sia rispettato il presupposto del preventivo consenso documentato per iscritto, che il titolare del trattamento ha l'onere di comprovare (mentre al verbale del 2 aprile u.s. è stato specificamente attestato che Fastweb S.p.A. non svolge alcun "controllo sull'effettiva esistenza di tale documentazione"); rilevata la necessità di svolgere al riguardo ulteriori accertamenti anche in ordine alla presenza di un'idonea informativa agli interessati;

CONSIDERATO che l'art. 11, comma 2, del Codice prevede che i dati personali trattati in violazione della disciplina rilevante in materia di dati personali non possono essere utilizzati;

CONSIDERATO che dalla documentazione sinora acquisita, pur a fronte delle sintetiche istruzioni che risultano impartite da Fastweb S.p.A. a Telecontatto s.r.l., responsabile del trattamento, non emergono i presupposti per ritenere che il flusso di dati personali a partire da Fastweb S.p.A. avvenga sulla base di idonee garanzie di adeguata sicurezza e di circolazione lecita delle informazioni;

CONSIDERATO che non risulta che Fastweb S.p.A., quale titolare del trattamento, effettui la dovuta attività di vigilanza e assicuri, come prescritto per legge (art. 29 del Codice), il pieno rispetto delle disposizioni in materia di trattamento dei dati da parte della società responsabile del trattamento anche per ciò che attiene alla sicurezza dei dati;

RISERVATA ogni determinazione in merito all'eventuale divieto o blocco del trattamento illecito o non corretto dei dati, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d) del Codice;

CONSIDERATO che il Garante, ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice ha il compito di prescrivere al titolare le misure necessarie o opportune per rendere il trattamento conforme alle disposizioni vigenti;

RITENUTO, anche in ragione delle procedure tecniche da predisporre, di dover, allo stato, prescrivere al titolare del trattamento di adottare alcune misure necessarie entro il termine congruo di cui al seguente dispositivo;

CONSIDERATO che l'art. 11, comma 2, del Codice prevede che i dati personali trattati in violazione della disciplina rilevante in materia di dati personali non possono essere utilizzati;

VISTA la documentazione in atti;

VISTE le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

Relatore il dott. Giuseppe Fortunato;

TUTTO CIÒ PREMESSO IL GARANTE:

 

a) ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice prescrive a Fastweb S.p.A., nella sua qualità di titolare del trattamento, di adottare al più presto e comunque, entro il termine del 10 settembre 2007, le misure necessarie per rendere il trattamento dei dati conforme alle disposizioni vigenti per ciò che concerne specificamente la necessità di procedere alle verifiche periodiche sulla puntuale osservanza delle disposizioni in materia di trattamento dei dati personali e delle istruzioni impartite per iscritto ai responsabili ai sensi dell'art. 29, comma 4, del Codice;

b) prescrive altresì al predetto titolare, ai sensi degli artt. 154, comma 1, lett. c) e 157 del Codice, di trasmettere al Garante entro la data del 5 luglio 2007 una copia della documentazione comprovante lo stato di adozione delle predette misure.

Roma, 30 maggio 2007

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE
Buttarelli