Garante per la protezione
    dei dati personali


La semplice conoscibilità di fatto di un indirizzo di posta elettronica (non proveniente, quindi, da pubblici registri, elenchi, atti o documenti conoscibili da chiunque) non legittima il titolare del trattamento ad inviare messaggi in assenza del preventivo consenso informato dell'interessato.

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;

Esaminato il ricorso presentato dal sig. Michele Favara Pedarsi

nei confronti di

Gico S.p.A.;

Visti gli articoli 13 e 29 della legge 31 dicembre 1996, n. 675 e gli articoli 18, 19 e 20 del d.P.R. 31 marzo 1998, n. 501;

Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Gaetano Rasi;

PREMESSO:

Il ricorrente lamenta di non aver ricevuto idoneo riscontro da parte di Gico S.p.A. ad una istanza formulata ai sensi dell'art. 13 della legge n. 675/1996, in relazione ad un messaggio di posta elettronica inviato dalla società per sollecitare il consenso dell'interessato alla registrazione dei dati che lo riguardano in un "database" di esperti. Con l'istanza presentata ai sensi del suddetto art. 13 il ricorrente ha chiesto di conoscere l'origine dei dati personali che lo riguardano (con specifico riguardo all'indirizzo di posta elettronica) e di verificare alcuni presupposti del loro trattamento.

Nel riscontro inviato all'istanza ex art. 13 il titolare ha comunicato di "aver appreso" l'indirizzo di posta elettronica dell'interessato "attraverso una e-mail" spedita dalla Hydroarch S.r.l., alla quale il ricorrente avrebbe fornito i propri dati "legittimandone l'utilizzo".

Nel ricorso proposto ai sensi dell'art. 29 della legge n. 675/1996, l'interessato ha ribadito le proprie richieste opponendosi ad ogni utilizzo per fini commerciali e promozionali dei dati che lo riguardano, ed ha chiesto di porre a carico del titolare del trattamento le spese del procedimento.

A seguito dell'invito ad aderire formulato da questa Autorità in data 6 giugno 2002, ai sensi dell'art. 20 del d.P.R. n. 501/1998, la società resistente ha risposto con nota fax in data 12 giugno 2002, con la quale ha sostenuto che:

- la previa acquisizione del consenso dell'interessato non sarebbe necessaria "quando il trattamento è necessario per l'esecuzione di informative precontrattuali attivate su richiesta dell'interessato, nonché quando riguarda dati relativi allo svolgimento di attività economiche";

- sarebbe peraltro estranea alla società "qualsivoglia finalità promozionale o pubblicitaria, ingiustificata e inopportuna";

- di aver già provveduto ad eliminare l'indirizzo di posta elettronica dell'interessato dalla propria banca dati.

Il ricorrente ha replicato con nota inviata via fax in data 19 giugno 2002, ribadendo le proprie richieste.

CIÒ PREMESSO IL GARANTE OSSERVA:

Il ricorso verte sul trattamento dei dati personali effettuato attraverso l'invio di corrispondenza ad un indirizzo di posta elettronica, senza che risulti acquisito il previo consenso informato da parte dell'interessato od operante uno dei presupposti del trattamento di cui all'art. 12 della legge n. 675/1996.

Analogamente a quanto rilevato in altre decisioni di questa Autorità (vedi Provv. 11 gennaio 2001, in Bollettino n. 16, p. 39), l'indirizzo di posta elettronica del ricorrente non risulta provenire da "pubblici registri, elenchi, atti o documenti conoscibili da chiunque", contenenti dati che possono essere quindi utilizzati, sulla base di un'idonea informativa, anche in mancanza del consenso informato dell'interessato o di un altro idoneo presupposto del trattamento (art. 12, comma 1, lett. c), della legge n. 675/1996; artt. 10 d.lg. 13 maggio 1998, n. 171 e 10 d.lg. 22 maggio 1999, n. 185).

Non erano operanti, altresì, i due presupposti del trattamento previsti dall'art. 12, lett. b) e f ), della legge 675/1996. Per ciò che concerne l'art. 12, comma 1, lett. b), esso prevede, in particolare, che il consenso non è richiesto quando il "trattamento è necessario … per l'esecuzione di misure precontrattuali adottate su richiesta" dell'interessato, richiesta che non si ravvede nel caso di specie. Per ciò che riguarda, invece, l'art. 12, comma 1, lett. f ), esso esclude la preventiva acquisizione del consenso dell'interessato quando il trattamento "riguarda dati relativi allo svolgimento di attività economiche". Tale espressione (cfr. Provv. del 16 febbraio 1999, in Bollettino n. 7, p. 10) non ricomprende le informazioni ed i dati di carattere puramente personale come un indirizzo di posta elettronica ad uso privato.

In ordine alla sostanziale opposizione al trattamento dei dati personali che lo riguardano, la società resistente ha provveduto a cancellare dalla propria banca dati l'indirizzo di posta elettronica dell'interessato. Va pertanto dichiarato non luogo a provvedere sul ricorso.

Per quanto concerne le spese, sussistono giusti motivi legati alla specificità della vicenda per disporre la compensazione tra le parti.

PER QUESTI MOTIVI IL GARANTE:

a) dichiara non luogo a provvedere sul ricorso ai sensi dell'art. 20, comma 2, del d.P.R. n. 501/1998;

b) dichiara compensate le spese tra le parti.

Roma, 25 giugno 2002

IL PRESIDENTE
Rodotà

IL RELATORE
Rasi

IL SEGRETARIO GENERALE
Buttarelli