Garante per la protezione
    dei dati personali


Prescrizioni del Garante [art. 154, 1 c) del Codice]

Provvedimento del 30 maggio 2007

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito "Codice");

VISTO la segnalazione di Giorgio Bertazzo del 9 luglio 2006 con la quale è stata lamentata a questa Autorità l'attivazione non richiesta di un servizio di preselezione automatica;

VISTO il provvedimento del 29 marzo 2007 con cui l'Autorità, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, a seguito di specifici accertamenti ha vietato alla società Tiscali e a e800 s.r.l., nella loro qualità, rispettivamente, di titolare e di responsabile, il trattamento illecito dei dati personali del segnalante, estratti da elenchi telefonici "alfabetici" del servizio universale e utilizzati per effettuare chiamate di carattere pubblicitario, promozionale o commerciale in assenza di un preventivo consenso informato;

VISTI gli atti e gli elementi acquisiti nel corso dell'accertamento ispettivo svolto in data 2 aprile 2007 e disposto dall'Autorità nei confronti di e800 s.r.l. al fine di verificare l'osservanza delle norme in materia di protezione dei dati personali in relazione all'attività svolta dal call center e rilevato, in particolare, che e800 s.r.l.:

* ha svolto attività di call center per conto della società Tiscali dal 1° ottobre 2005 "fino alla fine del 2006";

* dal 1° gennaio 2007 svolge attività, in qualità di responsabile del trattamento per conto di Winex s.r.l. (titolare del trattamento), tesa a promuovere e commercializzare prodotti e servizi di telecomunicazione di Tiscali Italia S.p.A. "da eseguirsi in modalità outbound";

RILEVATO che, dal contratto stipulato tra Winex s.r.l. ed e800 s.r.l. il 1° febbraio 2006, Winex s.r.l. fornisce servizi in outsourcing alla società Tiscali ritenendosi "unico titolare dei dati degli utenti raccolti dall'appaltatore [e800 s.r.l.] durante lo svolgimento dell'attività" e che e800 s.r.l. risulta essere stata designata da Winex s.r.l. responsabile del trattamento dei dati personali;

RILEVATO, invece, che allo stato (cfr. verbale operazioni del 2 aprile 2007 e relativi allegati) Tiscali Italia S.p.A., pur non risultando formalmente quale titolare del trattamento, appare esercitare sostanzialmente un potere decisionale reale e del tutto autonomo sulle modalità e sulle finalità del trattamento operando, quindi, in qualità di effettivo titolare;

VISTO in particolare che, nell'attività promozionale volta all'"acquisizione" di nuova clientela (modalità outbound), e800 s.r.l. utilizza un apposito "script di registrazione vocale dell'assenso" fornito direttamente da Tiscali Italia S.p.A.;

RILEVATO che, dall'accertamento ispettivo svolto in loco, è emerso che le singole persone fisiche addette al call center trattano i dati personali necessari per effettuare o ricevere chiamate telefoniche nella qualità di incaricati del trattamento;

VISTO il provvedimento del16 febbraio 2006, pubblicato sulla Gazzetta ufficiale del 6 marzo 2006, n. 54, con il quale l'Autorità ha prescritto a tutti i titolari del trattamento di adottare le misure necessarie per rendere conformi alla normativa vigente i trattamenti di dati personali relativi all'offerta di servizi telefonici;

RILEVATO che non risulta altresì comprovato che gli incaricati preposti al call center indichino, durante le chiamate promozionali, la precisa origine dei dati, come prescritto dal Garante con il menzionato provvedimento del  16 febbraio 2006 , a prescindere da eventuali richieste specifiche formulate in tal senso dai relativi destinatari;

RILEVATO che non risultano essere state adottate le procedure necessarie affinché gli incaricati del trattamento siano in grado di registrare subito, e per iscritto, l'opposizione del chiamato all'utilizzo dei dati per eventuali attivazioni o promozioni, come prescritto dal medesimo provvedimento del  16 febbraio 2006 ;

CONSIDERATO che e800 s.r.l. ha dichiarato che a fronte dei rapporti sul piano rilevante per il trattamento dei dati sia Winex s.r.l., sia Tiscali Italia S.p.A., non effettuano alcun controllo sull'attività materialmente da essa posta in essere in qualità, comunque, di responsabile;

RISERVATA, con autonomo provvedimento, la verifica dei presupposti per contestare la violazione amministrativa concernente l'informativa con riferimento al trattamento dei dati personali nell'ambito delle chiamate promozionali in modalità outbound anche sulla base di approfondimenti sul predetto "script di registrazione vocale dell'assenso" (artt. 13 e 161 del Codice);

RISERVATA, altresì, con autonomo provvedimento, la verifica dei presupposti per contestare la violazione amministrativa concernente l'informativa con riferimento alla formazione dei data base utilizzati per le predette chiamate promozionali (artt. 13, comma 4 e 161 del Codice);

VISTO l'art. 129, comma 2, del Codice che, in attuazione della disciplina comunitaria e, in particolare, della direttiva 2002/58/Ce, ha individuato nella "mera ricerca dell'abbonato per comunicazioni interpersonali" la finalità primaria degli elenchi telefonici realizzati in qualunque forma;

CONSIDERATO che tale disposizione ribadisce che il trattamento dei dati inseriti negli elenchi, se realizzato per fini ulteriori e, in particolare, per scopi pubblicitari, promozionali o commerciali, è lecito solo se effettuato con il consenso espresso liberamente e specificamente dagli interessati, documentato per iscritto e previa informativa;

VISTO il provvedimento del  15 luglio 2004  (in www.garanteprivacy.it, doc. web n.  1032381 ) con il quale l'Autorità ha individuato le modalità di inserimento e di successivo utilizzo dei dati personali relativi agli abbonati e agli acquirenti del traffico prepagato negli elenchi telefonici "alfabetici" del servizio universale, realizzati in qualsiasi forma, in rapporto alle diverse finalità sopraindicate;

VISTO il provvedimento del  14 luglio 2005  (in www.garanteprivacy.it, doc. web n.  1151640 ) con il quale l'Autorità ha individuato procedure semplificate per la redazione e l'utilizzo degli elenchi organizzati per categorie merceologiche/professionali (c.d. elenchi "categorici");

VISTO in particolare che e800 s.r.l., per l'attività di outbound, provvede autonomamente ad individuare la potenziale clientela, "avvalendosi della consultazione on line di: pagine bianche, gialle ed attraverso il sito www.infobel.com";

VISTI gli ulteriori accertamenti eseguiti dai quali è emerso che gli elenchi telefonici presenti nel sito www.infobel.com non contengono la simbologia indicata per documentare la manifestazione del consenso, come prescritto dal provvedimento del  15 luglio 2004 ;

RILEVATO che la vigente normativa in materia di protezione dei dati personali consente l'utilizzo, per attività di carattere promozionale, pubblicitario o commerciale, fermo restando quanto previsto dall'art. 130 del Codice riguardo alle modalità di contatto degli interessati, di alcune categorie di dati e, in particolare di quelli presenti negli elenchi c.d. "alfabetici" per i quali l'interessato ha manifestato il proprio consenso (provv. del  15 luglio 2004 ); di quelli presenti negli elenchi c.d. "categorici" (provv. del  14 luglio 2005 ); di quelli presenti in banche dati costituite dal titolare anche tramite l'estrazione di dati da elenchi telefonici formati precedentemente al 1° agosto 2005 nella sola ipotesi in cui il medesimo titolare abbia fornito prima di tale data l'informativa agli interessati ai sensi dell'art. 13 del Codice;

RILEVATO che il trattamento di dati personali che non risulta svolto in modo lecito ha carattere sistematico;

RISERVATA ogni determinazione in merito all'eventuale divieto o  blocco del trattamento illecito o non corretto dei dati, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d) del Codice;

CONSIDERATO che il Garante, ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice ha il compito di prescrivere al titolare le misure necessarie o opportune per rendere il trattamento conforme alle disposizioni vigenti;

RITENUTO, anche in ragione delle procedure tecniche da predisporre, di dover, allo stato, prescrivere al titolare del trattamento di adottare alcune misure necessarie entro il termine congruo di cui al seguente dispositivo;

CONSIDERATO che l'art. 11, comma 2, del Codice prevede che i dati personali trattati in violazione della disciplina rilevante in materia di dati personali non possono essere utilizzati; considerato che anche gli interessati possono, quindi, far valere tale inutilizzabilità nei riguardi delle società rispetto alle chiamate di carattere pubblicitario, promozionale o commerciale effettuate illecitamente;

VISTA la documentazione in atti;

VISTE le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

Relatore il dott. Mauro Paissan;

TUTTO CIÒ PREMESSO IL GARANTE:

a) ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice prescrive a Tiscali Italia S.p.A. (con sede legale in Cagliari, località Sa Illetta, s.s. 195 km 2.300), ed a Winex s.r.l. (con sede legale in Milano, via Pietrasanta, 14), di adottare al più presto e comunque, entro il termine del 10 settembre 2007, le misure necessarie per rendere il trattamento dei dati conforme alle disposizioni vigenti per ciò che concerne, specificamente:

1. la possibilità di effettuare chiamate di carattere pubblicitario, promozionale o commerciale utilizzando dati estratti da elenchi telefonici, in qualsiasi modo realizzati, solo se contrassegnati come contattabili per i predetti fini nei termini di cui in motivazione;

2. la necessità di conformare i trattamenti effettuati da e800 s.r.l. alla disciplina vigente in materia di protezione dei dati personali. Ciò, con specifico riferimento alle prescrizioni impartite con il provvedimento del  16 febbraio 2006 ;

3. la necessità di indicare con precisione l'origine dei dati già nel corso delle chiamate o comunicazioni promozionali, permettendo ai soggetti contattati di individuare subito chi ha fornito o detiene i dati e le sue puntuali coordinate, a prescindere da una richiesta del destinatario;

4. la necessità di predisporre idonee misure organizzative per porre a disposizione degli interessati modalità semplici per esercitare i relativi diritti (artt. 7 e 10 del Codice) e, nel caso in cui le persone contattate si oppongano, anche immediatamente, all'utilizzo dei propri dati per attivare il servizio proposto e/o per ulteriori promozioni anche di altro tipo, registrando subito per iscritto la volontà manifestata e adottando altresì, contestualmente, idonee procedure affinché tale volontà sia rispettata;

b) prescrive altresì ai predetti titolari, ai sensi degli artt. 154, comma 1, lett. c) e 157 del Codice, di trasmettere al Garante entro la data del 5 luglio 2007 una copia della documentazione comprovante lo stato di adozione delle predette misure.

Roma, 30 maggio 2007

IL PRESIDENTE
Pizzetti

IL RELATORE
Paissan

IL SEGRETARIO GENERALE
Buttarelli