Garante per la protezione
    dei dati personali


Illecito trattamento didati da parte di un centro tricologico

Provvedimentodel 26 febbraio 2009

IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI

In data odierna, in presenza del prof.Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti,e del dott. Daniele De Paoli, segretario generale reggente;

VISTO il Codice in materia di protezionedei dati personali (d.lg. 30 giugno 2003, n. 196);

VISTO il reclamo presentato da Diego Patanénei confronti di XY S.r.l.;

ESAMINATE le osservazioni pervenute e ladocumentazione in atti;

VISTE le osservazioni formulate dalsegretario generale reggente ai sensi dell'art. 15 del regolamento del Garanten. 1/2000;

Relatore il dott. Giuseppe Chiaravalloti;

PREMESSO

1. Profili oggetto del reclamo
DiegoPatané, dopo aver sottoscritto con XY S.r.l. un contratto aventead oggetto trattamenti cosmetricologici ne contestava la validitą (perchéstipulato in ragione di una patologia del capello diagnosticata dal personaledella societą e valutata in seguito inesistente da altro medico specialistainterpellato dal reclamante), eccependo altresď l'inidoneitą dell'informativaresa in sede di sua sottoscrizione e la mancata manifestazione del consenso altrattamento dei dati personali a sé riferiti. Chiedeva inoltre copia degliesami sostenuti (ivi compresa l'analisi gratuita del capello e relativireferti) come pure la restituzione delle somme gią versate alla societą (cfr.all. n. 2 al reclamo, regolarizzato in data 30 maggio 2008, come in atti).

In assenza di riscontri da parte diquest'ultima, il reclamante ha formulato le proprie istanze (limitatamente aiprofili di protezione dei dati) innanzi a questa Autoritą, precisando chel'informativa resa all'atto della sottoscrizione del contratto risultavafornita in violazione del Codice perché carente in ordine ai profiliconcernenti i "soggetti o le categorie di soggetti ai quali i datipersonali possono essere comunicati o che possono venirne a conoscenza inqualitą di responsabili o incaricati, nonché i diritti di cui all'art. 7" (cfr. reclamo cit., pp. 4-5).

Il reclamante, inoltre, afferma di nonaver manifestato alcun consenso scritto al trattamento dei propri datisensibili (nel caso di specie, le informazioni relative al proprio stato disalute connesso alla crescita dei capelli), atteso che la sottoscrizione delcontratto da parte dello stesso non potrebbe essere qualificata, di per sé,quale consenso al trattamento, tenuto anche conto di quanto precisato nellecondizioni contrattuali (secondo cui "il trattamento dei dati Źnecessario per la corretta esecuzione degli obblighi contrattuali e nonrichiede pertanto la manifestazione di un esplicito consenso": cfr. all. n. 1 al reclamo cit., p. 2). Né taleconclusione, a detta del reclamante, potrebbe essere smentita in virtĚ dellaprevisione di cui all'art. 24, comma 1, lett. b), del Codice (secondo cui il consenso al trattamentodei dati personali non Ź necessario laddove il trattamento sia effettuato pereseguire obblighi derivanti da un contratto del quale Ź parte l'interessato),tenuto conto che tale disposizione non trova applicazione in relazione ai datisensibili.

La societą, pertanto, avrebbe trattato idati personali sensibili del reclamante in violazione della disciplina diprotezione dei dati, avuto in particolar modo riguardo agli artt. 13 e 26 delCodice.

Alla luce di tali considerazioni, ilreclamante ha chiesto l'intervento di questa Autoritą al fine, in particolare,di disporre il blocco o il divieto del trattamento effettuato dalla societą,con conseguente declaratoria di inutilizzabilitą dei dati trattati (art. 11,comma 2, del Codice).

2. Le osservazioni della societą
Lasocietą ha osservato, per quanto concerne la richiesta di accesso ai datisensibili avanzata dal medesimo reclamante e rimasta insoddisfatta, di non averpotuto dare seguito alla relativa istanza per effetto dell'avvenuta tempestivacancellazione dei dati stessi, "stante l'intervenuta risoluzione delrapporto in essere tra le parti",precisando di aver comunque provveduto a fornire riscontro all'interessato inordine agli altri dati detenuti (cfr. nota del 15 luglio 2008, in atti, p. 2).

Con riferimento agli ulteriori profili diviolazione lamentati dal reclamante, la societą ha poi sostenuto di averlecitamente trattato i dati personali al medesimo riferiti, tanto sulla basedell'informativa resa con il contratto dallo stesso sottoscritto quanto inforza dell'esimente del consenso prevista dall'art. 24, comma 1, lett. b), del Codice (cfr. nota del 15 luglio 2008, cit., p.4). Ne consegue che le richieste avanzate dal reclamante (in particolare,quella di blocco del trattamento) non sarebbero suscettibili di accoglimento,anche in considerazione della carenza di interesse –conseguenteall'avvenuta cancellazione dei dati sensibili allo stesso riferiti–sottostante la medesima richiesta.

Alla luce di tali considerazioni, lasocietą ha concluso per il rigetto del reclamo.

3. Ulteriori osservazioni del reclamantee produzione documentale della societą
3.1. Con nota del 28 agosto 2008(in atti), il reclamante ha fatto pervenire ulteriori osservazioni in ordinealla vicenda segnalata, sollevando incidentalmente dubbi sulla legittimitądell'asserita cancellazione dei dati sensibili da parte della societą, anchealla luce del fatto che quegli stessi dati sarebbero stati "potenzialmenteutili alla definizione del […] procedimento"innanzi a questa Autoritą "e del giudizio instaurato in sede civile".

Nel merito, il reclamante ha poi ribaditole proprie richieste, evidenziando nuovamente l'inapplicabilitą allafattispecie in questione dell'art. 24, comma 1, lett. b), del Codice, in considerazione della natura"sensibile" delle informazioni trattate (lo stato di salute delcapello). Ai fini della legittimitą del trattamento da parte della societą,dunque, sarebbe stato necessario acquisire il consenso scrittodell'interessato, consenso che, nel caso di specie, non sarebbe stato invecemanifestato, nemmeno a mezzo sottoscrizione rilasciata in sede di adesione alcontratto di acquisto del "pacchetto" dei trattamenticosmetricologici (cfr. nota del 28 agosto 2008, cit., p. 7).

ť stata inoltre di nuovo eccepital'inidoneitą dell'informativa resa a suo tempo al reclamante, in quanto privadi taluni elementi essenziali richiesti dal Codice (cfr. nota del 28 agosto2008, cit., p. 7).

3.2. Con specifico riferimento altrattamento di dati personali svolto da soggetti esterni alla societą (inparticolare per ciė che concerne l'attivitą di analisi e di laboratorio),XY S.r.l., a seguito di esplicita richiesta di informazioni edocumenti da parte di questa Autoritą, ha trasmesso copia della lettera didesignazione quale incaricato del trattamento del collaboratore che avrebbetrattato i dati personali riferiti al reclamante (cfr. all. n. 1 alla nota del1° ottobre 2008). ť stata inoltre prodotta dalla societą copia del documentoprogrammatico sulla sicurezza relativo all'anno 2006, dal quale risulta, tral'altro, l'elenco dei soggetti designati responsabili e/o incaricati deltrattamento per conto della societą.

4. I dati oggetto di trattamento
Ilpresente provvedimento riguarda i soli profili di competenza dell'Autoritą inrelazione al trattamento dei dati personali, con esclusione, pertanto, di ognialtro aspetto inerente, in particolare, alla validitą del contrattosottoscritto dalle parti, peraltro oggetto di esame in sede giudiziaria.

Ciė premesso, deve preliminarmenterilevarsi che le informazioni inerenti alle condizioni dei capelli e del cuoiocapelluto, in quanto potenzialmente idonee a fornire notizie in ordine allostato di salute dell'interessato (si pensi, ad esempio, alla presenza dieventuali alterazioni dermo-cutanee o dei livelli ormonali presentinell'individuo: cfr. all. 11 alla nota del 28 agosto 2008), sono "dati sensibili"ai sensi dell'art. 4, comma 1, lett. d), del Codice.

Dalla documentazione in atti Ź inoltreemerso che le tecniche di indagine utilizzate dalla societą (dermatoscopia evideomicroscopia computerizzata) permettono valutazioni anche in ordine allestrutture cutanee (epidermide e derma) del soggetto interessato dai trattamenti(cfr. reclamo cit., p. 3), consentendo cosď di avere un quadro complessivo nonsolo sullo stato di salute del capello, ma, piĚ in generale, della cute stessa(circostanza, questa, peraltro non smentita dalla societą).

Nello stesso senso depone, peraltro, ladocumentazione prodotta dalla societą medesima, laddove si evidenzia che i dati"sensibili, propriamente inerenti lo stato del capello, sono statiacquisiti dall'Istituto a seguito delle analisi cui il Suo assistito [i.e.: il reclamante] Ź stato sottoposto" (cfr. all. n. 1 alla nota di risposta del 15 luglio2008, cit.).

Deve quindi ritenersi che, nel caso dispecie, la societą abbia trattato anche dati sensibili riferiti all'interessato(sotto forma di informazioni relative allo stato di salute dei suoi capelli),ancorché al fine precipuo di dare esecuzione al contratto sottoscritto dalreclamante.

5. Profili di illegittimitą deltrattamento
5.1. Dal complesso degli elementi in atti, risulta che lasocietą non ha fornito al reclamante l'informativa completa di tutti glielementi previsti dall'art. 13 del Codice.

In base al modulo contrattuale fornitodallo stesso reclamante (cfr. all. n. 1 al reclamo cit.), infatti,l'interessato non risulta essere stato reso edotto in ordine ai soggetti ocategorie di soggetti (nel caso di specie, alcuni collaboratori esterni checurano l'attivitą di analisi e di laboratorio per conto della societą: cfr.all. n. 1 alla nota del 15 luglio 2008, cit.) che potevano venire a conoscenzadei suoi dati (come in effetti accaduto: cfr. nota di risposta cit., p. 3), nécon riferimento ai diritti dal medesimo esercitabili in base all'art. 7 delCodice (limitandosi l'informativa a menzionare la sola possibilitą dicancellazione dei dati da parte dell'interessato).

Diversamente da quanto sostenuto dallasocietą, quindi, l'informativa risulta in parte carente rispetto allaprevisione di legge, ragion per cui questa Autoritą, con separatoprovvedimento, si riserva di procedere all'eventuale contestazione dellasanzione di cui all'art. 161 del Codice.

5.2. Per altro verso, il trattamento deidati personali effettuato presenta profili di illiceitą anche in relazione alconsenso dell'interessato.

Se infatti, come correttamente risultadal modello contrattuale predisposto, il trattamento dei dati personaliriferiti al cliente, limitatamente all'esecuzione degli obblighi contrattuali, "nonrichiede […] la manifestazione diun esplicito consenso", taleassunto merita di essere condiviso solo in relazione a dati personali diversidai dati sensibili. Nel caso di specie, invece, come si Ź sopra precisato(punto 4), sono stati raccolti e trattati dalla societą anche dati idonei arivelare le condizioni di salute dell'interessato per i quali l'art. 26 delCodice richiede il consenso scritto dello stesso, che non risulta essere statoappositamente raccolto.

5.3. Sotto altro profilo, il trattamentoeffettuato dalla societą non risulta lecito nemmeno in relazione all'avvenutacomunicazione a terzi di dati personali riferiti all'interessato.

In base alla documentazione trasmessa,infatti, non risulta allo stato provato che all'epoca dei fatti (20 dicembre2005, data di sottoscrizione del contratto tra il reclamante e la societą) ilcollaboratore esterno addetto all'attivitą di analisi e di laboratorio perconto di XY S.r.l. – e al quale sono stati comunicati datipersonali riferiti all'interessato per ammissione della stessa societą (cfr.nota del 15 luglio 2008, p. 3, nonché nota del 1° ottobre 2008, p. 1) –fosse stato designato quale responsabile del trattamento.

Al contrario, dagli elementi in atti (esegnatamente dalla documentazione allegata alla nota del 1° ottobre 2008)appare che solo in data 30 maggio 2007 (e dunque in data successiva ai fattioggetto del reclamo) l'anzidetto collaboratore esterno sarebbe statoformalmente designato (peraltro nella veste di incaricato) dalla societą; ciėsarebbe confermato non solo dalle risultanze documentali relative allamenzionata designazione (che appaiono alterate nella data, che la societąvorrebbe ascrivere al 30 maggio 2005), ma anche dal documento programmaticosulla sicurezza relativo all'anno 2006, che menziona proprio il collaboratoreche ha trattato i dati personali riferiti al reclamante tra i soggetti"terzi" che, diversamente da quelli espressamente designati daXY S.r.l. quali responsabili e/o incaricati del trattamento (purcitati nel documento), trattano dati personali e sensibili della clientela.

Ne consegue, dunque, che la comunicazionea terzi di dati personali riferiti all'interessato Ź avvenuta in violazionedella disciplina di protezione dei dati personali (e, segnatamente, degli artt.13 e 26 del Codice).

In relazione, poi, all'eventualeviolazione dell'art. 168 del Codice conseguente all'avvenuta produzione, nelcorrente procedimento, di documenti contenenti false dichiarazioni, va dispostala trasmissione di copia degli atti e del presente provvedimento all'autoritągiudiziaria per la valutazione dei profili di competenza.

5.4. Tanto premesso, in base alladocumentazione trasmessa risulta peraltro che la societą ha comunque provvedutoa cancellare i dati sensibili riferiti al reclamante (all. n. 3 alla nota del15 luglio 2008, cit.; all. nn. 6 e 8 alla nota del 28 agosto 2008, cit.) a fardata dalla supposta intercorsa cessazione del rapporto contrattuale con lostesso (profilo, quest'ultimo, peraltro oggetto di valutazione in sedegiudiziaria), conservando i soli dati contabili e fiscali al medesimo riferiti.Considerato che tale cancellazione risulta ribadita a seguito delledichiarazioni rese dalla societą, ai sensi e per gli effetti di cui all'art.168 del Codice, nella nota del 15 luglio 2008 (cfr. pp. 2 e 4) –e tenutoaltresď conto che l'art. 11, comma 1, lett. e), del medesimo Codice dispone che i dati personalioggetto di trattamento siano conservati in una forma che consental'identificazione dell'interessato per un periodo di tempo non superiore aquello necessario agli scopi per il quale gli stessi sono stati raccolti osuccessivamente trattati–, non sussistono gli estremi per provvedere inordine alla richiesta del reclamante volta a ottenere una pronuncia di blocco odi divieto dell'ulteriore trattamento dei dati sensibili a sé riferiti.

Nondimeno, alla luce delle considerazioniche precedono (e a beneficio della clientela della societą), questa Autoritąritiene necessario prescrivere a XY S.r.l., ai sensi degli artt.143, comma 1, lett. b), e 154,comma 1, lett. c), del Codice, diriformulare, limitatamente alla parte concernente il trattamento dei datipersonali degli interessati, il modello di sottoscrizione relativo al contrattodi fornitura dei servizi (con specifico riferimento all'informativa da rendereagli stessi interessati –integrandola con le indicazioni mancanti–e alla manifestazione del consenso per il trattamento dei loro dati sensibili),in conformitą agli artt. 13 e 26 del Codice.

Impregiudicati i menzionati accertamentiche potranno essere effettuati dall'autoritą giudiziaria, deve comunque essereprescritto alla societą di designare eventuali soggetti esterni che operino perproprio conto quali responsabili del trattamento ai sensi dell'art. 29 delCodice (ove gią non si sia provveduto in tal senso).

Tutto ciė premesso, impregiudicatieventuali profili di danno derivati al reclamante (in relazione ai qualinessuna competenza Ź attribuita dalla legge a questa Autoritą), riservataaltresď con autonomo provvedimento la verifica dei presupposti per l'eventualecontestazione della violazione amministrativa concernente l'inidoneainformativa (artt. 13 e 161 del Codice)

IL GARANTE

1. ai sensi degli artt. 143, comma1, lett. b), e 154, comma 1,lett. c), del Codice prescrive aXY S.r.l. di riformulare, limitatamente alla parte concernente iltrattamento dei dati personali degli interessati, il modello di sottoscrizionerelativo al contratto di fornitura dei servizi con specifico riferimentoall'informativa da rendere agli stessi interessati ai sensi dell'art. 13 delCodice – integrandola con le indicazioni mancanti – e nella parterelativa alla manifestazione del consenso per il trattamento dei loro datisensibili, in conformitą agli artt. 13 e 26 del Codice;

2. dispone la trasmissione di copiadegli atti e del presente provvedimento all'autoritą giudiziaria per lavalutazione dei profili di competenza in ordine agli illeciti penali che riterrąeventualmente configurabili.

Roma, 26 febbraio 2009

Il presidente
Pizzetti

Il relatore
Chiaravalloti

Ilsegretario generale reggente
De Paoli