Garante per la protezione
    dei dati personali


Ricevitorie etabaccherie Sisal: garanzie per la raccolta e il trattamento dei dati

PROVVEDIMENTO DEL 15DICEMBRE 2011

Registro dei provvedimenti
n. 487 del 15dicembre 2012

IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti,presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. MauroPaissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele DePaoli, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30giugno 2003, n. 196, di seguito "Codice");

VISTO il decreto-legge 6 dicembre 2011, n. 201, pubblicato nella G.U.del 6 dicembre 2011 n. 284, che, all'art. 40, comma 2, sottrae dal campo diapplicazione del Codice le persone giuridiche, gli enti e le associazioni;

RILEVATO che l'Autorità ha svolto, a partire dal mese di ottobre 2011,un ciclo di accertamenti ispettivi volti a verificare il rispetto dellanormativa in materia di protezione dei dati personali, nell'ambito dei servizidisponibili presso ricevitorie e punti vendita, quali, ad esempio, ricarichetelefoniche e di tv digitale, rilascio di carte telefoniche e pagamentobollette;

VISTI i verbali del 23 e 24 novembre 2011, ad esito dell'accertamentoispettivo condotto dall'Autorità nei confronti di Sisal S.p.a., con sede legalein Milano, via Alessio di Tocqueville n. 13 (di seguito indicata come"Sisal" o "società");

RILEVATO che Sisal ha dichiarato, come risulta dal verbale del 23novembre di cui sopra, che le ricevitorie interessate all'abilitazione deiservizi in questione devono essere state previamente abilitate alla fornituradei c.d. "giochi numerici a totalizzatore nazionale" (diseguito indicati come "giochi") e che, a tal fine, è necessariorichiedere l'abilitazione dei giochi e/o dei servizi della società mediantedomanda compilata tramite l'apposito form "Ricevitorie" sul sito www.sisal.it;

RILEVATO altresì che – sulla base di alcuni dati forniti a Sisaldalle ricevitorie richiedenti, sia persone fisiche sia persone giuridiche, diseguito indicate come "ricevitorie" (fra cui il numero telefonicodell'abitazione, il numero di telefax, il numero di telefonia mobile, ilfatturato realizzato per alcuni servizi o le caratteristiche commerciali)mediante la compilazione della domanda di abilitazione – la medesimasocietà provvede a effettuare una verifica delle varie condizioni necessarieall'affidamento dei giochi e/o servizi;

CONSIDERATO che le modifiche apportate al Codice dal decreto-legge n.201/2011 lasciano impregiudicata la tutela dei dati personali delle ricevitoriegestite da imprese individuali riferite quindi a persone fisiche titolari dellestesse e non di quelle gestite da persone giuridiche, enti o associazioni;

RILEVATO inoltre che Sisal è titolare del trattamento dei dati inquestione, come afferma la medesima società nel testo dell'informativa per iltrattamento dei dati personali rilasciata ex art. 13 del Codice allericevitorie interessate al momento della compilazione della detta domanda diabilitazione ai giochi e/o servizi;

RILEVATO che dalla medesima informativa risulta che il trattamento deidati delle ricevitorie può essere finalizzato, oltre che al conseguimento ealla gestione dei servizi Sisal, anche all'invio di comunicazioni a contenutopromozionale e alla comunicazione dei medesimi dati a "terzi chesaranno partner di iniziative commerciali svolte da Sisal S.p.a.";

RILEVATO peraltro che, dall'esame della documentazione acquisitadall'Ufficio al momento dell'accertamento ispettivo di cui sopra e, inparticolare, del modulo predisposto per la predetta domanda di abilitazione,risulta che Sisal non richieda alle ricevitorie un consenso espresso e distintoper le diverse finalità suindicate ma un consenso generico al trattamento deiloro dati;

RILEVATO inoltre che l'unico consenso richiesto alle ricevitorie da Sisal per il trattamento dei dati personali in questione è indicato, neltesto dell'informativa, come necessario per poter effettuare la richiesta diabilitazione e successivamente stipulare il contratto per l'erogazione deigiochi e servizi della medesima società;

VISTO l'art. 23 del Codice, il quale prevede invece che il trattamentodi dati personali da parte dei privati è ammesso solo previa acquisizione di unconsenso dell'interessato libero, informato e specifico, con riferimento a untrattamento chiaramente individuato e da documentare per iscritto;

CONSIDERATO, inoltre, che, come già rilevato da questa Autorità (cfr.provv.  12 ottobre 2005, doc. web n.  1179604;provv.  3 novembre 2005, doc. web n.  1195215;provv.  10 maggio 2006, doc. web n. 1298709;provv. 22 febbraio 2007, doc. web n. 1388590,tutti reperibili sul sito www.garanteprivacy.it), non può definirsi"libero", ma necessitato, il consenso al trattamento dei datipersonali che l'interessato "deve" prestare quale condizione per ilconseguimento della prestazione richiesta, aderendo a un testo predispostounilateralmente dalla controparte contrattuale;

CONSIDERATO, peraltro, che tale capacità di autodeterminazione non èassicurata quando si assoggetta l'accesso a un servizio – qual èl'abilitazione delle ricevitorie ai sopracitati giochi e servizi forniti daSisal - alla preventiva autorizzazione a trattare i dati conferiti per ilmedesimo servizio per una finalità diversa, come quella promozionale epubblicitaria o quella di comunicazione dei dati a soggetti terzi; con laconseguenza che i dati personali raccolti dal titolare per l'esecuzione delrapporto contrattuale vengono di fatto piegati ad un utilizzo diverso dalloscopo che ne ha giustificato la raccolta, in violazione del principio difinalità (art. 11, comma 1, lett. b), del Codice; cfr., a titoloesemplificativo, provv.  24 febbraio 2005, punto 7, doc. web n.  1103045 eprovv. 15 luglio 2010, doc. web n. 1741998,reperibili sul sito www.garanteprivacy.it);

RILEVATO, inoltre, che la società – come emerge dal verbale del24 novembre 2011 - ha affermato di svolgere attività di marketing diretto neiconfronti delle  ricevitorie, anche tramite l'invio ai loro terminali dimessaggi promozionali relativi a  nuovi servizi e nuovi"sistemi" di gioco, nonché tramite comunicazioni telefonichecontenenti inviti a partecipare alle convention finalizzate alla presentazionedi nuovi servizi e/o nuovi giochi;

CONSIDERATO che tale attività, in quanto volta a promuovere giochi e/oservizi diversi da quelli contrattualizzati con le ricevitorie, non può esserericondotta a mere comunicazioni di carattere organizzativo e/o informativo,anch'esse trasmesse dalla società alle medesime ricevitorie (cfr. verbale del24 novembre, cit.);

RILEVATO, peraltro, che la società, nel medesimo verbale, hadichiarato di svolgere altresì attività di telemarketing nei confronti dellericevitorie anche  tramite un call center outbound sito in Palermo;

RITENUTO che il trattamento dei dati delle ricevitorie finalizzatoall'invio di comunicazioni a contenuto anche promozionale e alla comunicazionedei dati a terzi senza il prescritto consenso configura un trattamento illecitodi dati;

RILEVATO che tale trattamento dei dati svolto da parte della società –considerata anche la numerosità delle ricevitorie contrattualizzate con Sisal(circa 45.000, come indicato nel sito www.sisal.it alla pagina destinataalla descrizione della medesima società) - è da ritenersi avere caratteresistematico;

CONSIDERATO, inoltre, che l'art. 11, comma 2, del Codice prevede che idati personali trattati in violazione della disciplina rilevante in materia didati personali non possono essere utilizzati;

CONSIDERATO che il Garante, ai sensi degli artt. 143, comma 1, lett.c) e 154, comma 1, lett. d), del Codice, ha il compito di vietare anched'ufficio il trattamento illecito o non corretto dei dati o di disporne ilblocco e di adottare, altresì, gli altri provvedimenti previsti dalladisciplina applicabile al trattamento dei dati personali;

RITENUTA conseguentemente la necessità di adottare nei confronti dellasocietà un provvedimento di divieto del trattamento illecito di dati personaliai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d) del Codicecorrelato alle finalità di invio di comunicazioni promozionali e dicomunicazione di dati a terzi senza il necessario consenso libero, espresso,specifico e informato delle ricevitorie interessate;

RITENUTA, altresì, la necessità di adottare nei confronti della societàun  provvedimento prescrittivo ai sensi degli artt. 143, comma 1, lett. b)e 154, comma 1, lett. c) del Codice;

TENUTO CONTO che, ai sensi dell'art. 170 del Codice, chiunque,essendovi tenuto, non osserva il presente provvedimento di divieto è punito conla reclusione da tre mesi a due anni e che, ai sensi dell'art. 162, comma 2-terdel Codice, in caso di inosservanza del medesimo provvedimento, è altresìapplicata in sede amministrativa,  in ogni caso, la sanzione del pagamentodi una somma da trentamila a centottantamila euro;

RISERVATA, con autonomo procedimento, la verifica dei presupposti percontestare la violazione amministrativa concernente l'omessa acquisizione delconsenso (art. 23 e 162, comma 2-bis del Codice);

VISTA la documentazione in atti;

VISTE le osservazioni dell'Ufficio, formulate dal segretario generaleai sensi dell'art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

Relatore il dott. Giuseppe Fortunato;

TUTTO CIŅ PREMESSO ILGARANTE:

a) dichiara illecito il trattamento dei dati personali dellericevitorie, erogatrici di giochi e/o servizi di Sisal S.p.a. (che non sianopersone giuridiche, enti o associazioni), acquisiti dalla predetta societàtramite la domanda di abilitazione on-line presente sul sito www.sisal.itper le finalità di invio di comunicazioni promozionali, relative a giochi e/oservizi diversi da quelli contrattualizzati con le medesime ricevitorie, e dicomunicazione di dati a soggetti terzi, senza aver ottenuto un consenso libero,specifico, espresso e documentato per iscritto, ex art. 23 del Codice, perciascuna delle predette finalità;

b) ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett.d), del Codice, vieta a Sisal S.p.a., a far data dal 1° febbraio 2012, ogniulteriore trattamento dei dati personali delle ricevitorie sopra indicate,senza aver ottenuto un consenso libero, specifico, espresso e documentato periscritto per ciascuna delle predette finalità;

c) ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett.c), del Codice, prescrive a Sisal S.p.a. - qualora quest'ultima intendacontinuare a raccogliere i dati personali delle medesime ricevitorie per lefinalità di invio di comunicazioni promozionali e di comunicazione di dati asoggetti terzi - di adottare le misure necessarie e opportune al fine direndere il trattamento dei dati personali effettuato dalla società conformealle disposizioni del Codice, fornendo al Garante entro trenta giorni dallacomunicazione del presente provvedimento un esemplare della modulisticautilizzata per il consenso ex art. 23 del Codice, riformulata in conformità aquanto prescritto con il presente provvedimento.

Avverso il presente provvedimento ai sensi dell'art. 152 del Codice,Sisal S.p.a. può proporre opposizione con ricorso all'autorità giudiziariaordinaria, e precisamente al tribunale del luogo ove risiede il titolare deltrattamento, entro il termine di trenta giorni dalla data di comunicazione delmedesimo provvedimento. Si ricorda che l'opposizione non sospende l'esecuzionedel provvedimento (v. art. 152, comma 5, Codice).

Roma, 15 dicembre 2011

Il presidente
Pizzetti

Il relatore
Fortunato

Il segretario generale
De Paoli