Garante per la protezione
    dei dati personali


Elenchi telefonici on line: illegittimi se la fonte dei dati non Ć il d.b.u.

PROVVEDIMENTO DEL 7 APRILE 2011

Registro dei provvedimenti
n. 136 del 7 aprile 2011

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito "Codice");

VISTI le numerose segnalazioni e reclami, pervenuti all'Autoritł, con i quali Ć stata lamentata la diffusione sul sito www.pronto.it - nella titolaritł della Mother s.r.l. (gił Mother Technologies di G. Vinci), di seguito indicata come "la societł" - di un elenco telefonico on line contenente vari dati (nome e cognome, indirizzo, recapito telefonico, numero della partita IVA) degli interessati, alcuni dei quali hanno anche evidenziato il carattere "riservato" dell'utenza telefonica pubblicata;

CONSIDERATO che Ć stato segnalato che il sito in questione consente anche la c.d. "ricerca inversa", ossia la ricerca del nominativo di un abbonato sulla base del suo numero telefonico, senza il consenso espresso dell'interessato;

TENUTO CONTO che alcune delle segnalazioni hanno anche lamentato che la procedura prevista per l'eliminazione dei dati degli interessati dal detto elenco telefonico non sia agevole, essendo richiesta come presupposto necessario la registrazione al detto sito;

CONSIDERATO che - dal verbale redatto dal Nucleo Speciale Privacy della Guardia di Finanza in data 21 aprile 2010, ad esito della notificazione alla societł di alcune richieste di informazione formulate dall'Ufficio ex art 157 del Codice, e dalle note del 5 maggio 2010 e del 16 luglio 2010, inviate dalla medesima in risposta a ulteriori richieste di informazioni di questa Autoritł – risulta che la societł gestisce il detto sito web e possiede una "banca dati on line", i cui dati, riferiti sia a persone fisiche sia ad imprese, sono stati acquisiti con le due seguenti modalitł: "mediante elenco telefonico digitale, fornito da Telecom Italia S.p.a. e successivi decadali di aggiornamento, contenenti nuovi inserimenti, modifiche e cancellazioni dei contatti presenti in elenco, acquisiti a partire dall'anno 2002, giusta scrittura privata stipulati con Telecom Italia S.p. a ╔.", e "mediante registrazione di nuovi utenti visitatori del sito, che desiderano rendere visibili i propri contatti╔.";

RILEVATO, altresô, che la societł – la quale risulta titolare del trattamento dei dati - ha affermato di aver acquisito i dati di alcuni degli interessati che si sono rivolti all'Autoritł dal suindicato elenco fornitole da Telecom Italia S.p.a., il quale, in base alla scrittura privata stipulata al fine dell'acquisizione, sarebbe "all'origine e per definizione privo delle utenze riservate per cui il cliente non ha prestato il consenso alla pubblicazione in elenco";

RILEVATO che Telecom Italia S.p.a., nella nota del 18 febbraio 2011, in risposta ad apposita richiesta di informazioni dell'Autoritł, ha affermato che il suindicato rapporto contrattuale decorrente dal settembre 2000 con la societł Ć venuto meno con l'attivazione nel 2005 della base di dati unica (di seguito, d.b.u.) e che non ha stipulato con la medesima societł alcun contratto di cessione del d.b.u.;

VISTO, altresô, il provvedimento del 15 luglio 2004) in materia di elenchi telefonici "alfabetici" del servizio universale, con cui l'Autoritł ha chiarito che "Ć consentita la sola formazione, distribuzione e diffusione degli elenchi, in qualunque forma realizzati, basati sulla consultazione e accesso" al d.b.u. gił previsto dalla delibera Agcom n. 36/02/CONS;

CONSIDERATO, conseguentemente, che non Ć legittimo formare un elenco telefonico con dati che non siano tratti dal d.b.u., nÄ consentire tramite tale elenco la funzione di c.d. "ricerca inversa", ossia la ricerca del nominativo di un abbonato sulla base del suo numero telefonico, rilevandosi per di piŁ la mancanza di un consenso espresso dell'interessato a tale funzione;

RILEVATO, altresô, che dall'accertamento condotto con specifico riguardo al predetto sito risulta anche che nel relativo form di registrazione Ć previsto un unico consenso per diversi trattamenti dei dati, ossia "per la memorizzazione informatica" dei dati e per l'invio di "informazioni di servizio e promozionali" di interesse dell'utente registrato, in violazione dell'art. 23, comma 3, il quale prevede invece che il trattamento di dati personali da parte dei privati Ć ammesso solo previa acquisizione di un consenso dell'interessato libero, informato e specifico, con riferimento a un trattamento chiaramente individuato, e da documentare per iscritto;

CONSIDERATO, al riguardo che, come gił rilevato da questa Autoritł, gli interessati devono essere messi in grado di esprimere consapevolmente e liberamente le proprie scelte in ordine al trattamento dei dati che li riguardano, manifestando il proprio consenso - allorchÄ richiesto per legge - per ciascuna distinta finalitł perseguita dal titolare (cfr. provv.  24 febbraio 2005, punto 7);

RILEVATA, inoltre, l'inidoneitł dell'informativa ex art. 13 del Codice, prevista per il detto formhttp://www.modenafiere.it/ di registrazione, che non indica la finalitł di diffusione on line di dati personali, che invece risulta svolta dalla societł;

VISTO l'art. 10 del Codice, in base al quale "per garantire l'effettivo esercizio dei diritti di cui all'articolo 7 il titolare del trattamento Ć tenuto ad adottare idonee misure volte, in particolare╔a semplificare le modalitł e a ridurre i tempi per il riscontro al richiedente", mentre il sito www.pronto.it prevede una procedura complessa per l'esercizio dei suddetti diritti, essendo necessaria a tal fine la registrazione al sito stesso;

RILEVATO che la societł, alla luce di un ulteriore accertamento sul sito www.pronto.it, svolto il 28 marzo u.s., risulta svolgere ancor oggi il predetto trattamento dei dati e che questo presenta carattere sistematico;

RITENUTO, inoltre, che l'art. 11, comma 2, del Codice prevede che i dati trattati in violazione della normativa in materia di protezione dei dati personali non possono essere utilizzati;

CONSIDERATO che il Garante, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, ha il compito di vietare anche d'ufficio il trattamento illecito o non corretto dei dati o di disporne il blocco e di adottare, altresô, gli altri provvedimenti previsti dalla disciplina applicabile al trattamento dei dati personali;

RILEVATA la necessitł di adottare nei confronti della societł un provvedimento di divieto del trattamento illecito di dati personali - ai sensi degli artt. 143, comma 1, lett. c), e 154, comma 1, lett. d), del Codice – correlato alla costituzione e diffusione on line di un elenco telefonico i cui dati non sono stati tratti dal d.b.u. e utilizzato anche per la funzione di c.d. "ricerca inversa", in violazione del provvedimento 15 luglio 2004, nonchÄ alla memorizzazione informatica, alla diffusione on line di dati personali raccolti sul web e all'invio di informazioni di servizio e promozionali in assenza di un'idonea informativa ex art. 13 del Codice e di un consenso libero, specifico e documentato degli interessati ex art. 23, comma 3, del Codice;

TENUTO CONTO che, ai sensi dell'art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto Ć punito con la reclusione da tre mesi a due anni e che, ai sensi dell'art. 162, comma 2-ter del Codice, in caso di inosservanza del medesimo provvedimento, Ć altresô applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila a centottantamila euro;

RITENUTA altresô la necessitł di adottare nei confronti della societł un provvedimento prescrittivo ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice qualora la societł intenda continuare ad effettuare il trattamento dei dati personali in questione;

RISERVATA, con autonomo procedimento, la verifica dei presupposti per contestare le violazioni amministrative concernenti il rilascio di inidonea informativa e l'omessa acquisizione del consenso (artt. 13, comma 4 e 161; 23, commi 1 e 3 e 162, comma 2-bis del Codice);

RILEVATO, altresô, che resta impregiudicata la facoltł per gli interessati di far valere i propri diritti in sede civile in relazione alla condotta accertata (cfr. anche art. 15 del Codice), con specifico riguardo agli eventuali profili di danno;

VISTA la documentazione in atti;

VISTE le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATORE il dott. Giuseppe Fortunato;

TUTTO CI˝ PREMESSO IL GARANTE:

a) dichiara illecito il trattamento di dati personali posto in essere da Mother s.r.l., con sede legale in Siracusa, via Nizza n. 21, tramite la costituzione e diffusione on line di un elenco telefonico i cui dati non sono stati tratti dal d.b.u. e utilizzato anche per la funzione di "ricerca inversa", in violazione del provvedimento 15 luglio 2004, nonchÄ tramite la memorizzazione informatica, la diffusione on line di dati personali raccolti sul web e l'invio di informazioni di servizio e promozionali in assenza di un consenso libero, specifico e documentato degli interessati ex art. 23, comma 3, del Codice;

b) vieta a Mother s.r.l., ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, l'ulteriore trattamento di qualunque dato personale gił acquisito consistente:

1) nella costituzione e diffusione on line di un elenco telefonico i cui dati non sono stati tratti dal d.b.u., e utilizzato anche per la funzione di c.d. "ricerca inversa", in violazione del suindicato provvedimento;

2) nella memorizzazione informatica, nella diffusione on line di dati personali raccolti sul web e nell'invio di informazioni di servizio e promozionali, senza che sia stata rilasciata un'idonea informativa e che risulti documentato per iscritto uno specifico consenso;

c) prescrive a Mother s.r.l., ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice, di adempiere - fornendo adeguata documentazione all'Autoritł entro trenta giorni dalla comunicazione del presente provvedimento – a quanto di seguito indicato:

1) qualora la societł intenda continuare a raccogliere on line dati personali degli utenti, modificare il form di raccolta dei dati personali sul sito www.pronto.it, previsto per la registrazione al servizio di consultazione dell'elenco telefonico digitale, inserendo, nell'informativa ex art. 13 del Codice, la finalitł della diffusione on line dei dati personali raccolti sul web e formulando la richiesta agli interessati di un preventivo consenso distinto e facoltativo per ciascuna delle finalitł perseguite dalla societł (memorizzazione informatica, diffusione on line di dati personali, invio di informazioni di servizio, invio di comunicazioni promozionali);

2) qualora la societł intenda continuare a inviare comunicazioni promozionali, adottare le misure necessarie e opportune, tramite il rilascio di un'idonea informativa e l'acquisizione di un consenso libero, specifico e documentato per iscritto;

3) semplificare le modalitł previste per l'esercizio dei diritti ex artt. 7 ss. del Codice, in particolare eliminando l'obbligo della previa registrazione al detto sito.

Si ricorda che avverso il presente provvedimento Ć possibile, ai sensi dell'art. 152 del Codice, proporre opposizione con ricorso all'autoritł giudiziaria ordinaria, in particolare al Tribunale del luogo ove risiede il titolare del trattamento, entro il termine di trenta giorni dalla data di comunicazione del medesimo provvedimento, e che l'opposizione non sospende l'esecuzione del provvedimento (v. art. 152, comma 5 del Codice).

Roma, 7 aprile 2011

Il presidente
Pizzetti

Il relatore
Fortunato

Il segretario generale reggente
De Paoli