Garante per la protezione
    dei dati personali


Ordinanza di ingiunzione nei confrontidi Consodata S.p.A.

PROVVEDIMENTO DEL 10 GENNAIO 2013

Registro dei provvedimenti
n. 06 del 10 gennaio 2013

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, alla presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia,segretario generale;

VISTOl'atto di contestazione, che qui deve intendersi integralmente riportato, n.3339/64094 del 15 febbraio 2010 (notificato in data 19 febbraio 2010) neiconfronti di Consodata S.p.A., con sede in Roma, via Mosca n. 43-45 (di seguitodenominata "Consodata"), in persona del legale rappresentantepro-tempore, per le violazioni delle disposizioni di cui agli artt. 13, 23 e154, comma 1, lett. d), sanzionate dagli articoli 161, 162, commi 2-bis e2-ter, 164-bis, comma 2, e 167 del Codice in materia di protezione dei datipersonali (d.lg. 30 giugno 2003, n. 196, di seguito denominato Codice);

ESAMINATOil rapporto dell'Ufficio del Garante per la protezione dei dati personalipredisposto ai sensi dell'art. 17 della legge 24 novembre 1981, n. 689,relativo all'atto di contestazione sopra richiamato;

VISTIgli scritti difensivi dell'11 marzo 2010, inviati ai sensi dell'art. 18 dellalegge n. 689/1981, che qui si intendono integralmente richiamati;

PRESOATTO che Consodata, per le violazioni di cui al capo b) dell'atto dicontestazione ha provveduto, in data 19 marzo 2010, ad effettuare nei terminiil pagamento in misura ridotta previsto dall'art. 16 della legge n. 689/1981,con effetto estintivo del relativo procedimento sanzionatorio;

LETTOil verbale in data 19 dicembre 2011 relativo all'audizione dei rappresentantidi Consodata ai sensi dell'art. 18, comma 2, della legge n. 689/1981;

RITENUTOche le argomentazioni addotte da Consodata nelle memorie difensive enell'audizione del 19 dicembre 2011 non consentono di escludere leresponsabilità in relazione a quanto contestato per le motivazioni di seguitoriportate:

a.con riferimento alla contestazione riguardante l'inosservanza del provvedimentodel Garante del 26 giugno 2008 la società ha ammesso, nelle memorie difensive, che"effettivamente, nel periodo considerato, Consodata ha effettuato unnumero, peraltro assai limitato, di operazioni di mailing (mail ditele-marketing). Tuttavia, dal settembre 2008 la Società le ha realizzate inqualità di autonoma Titolare – veicolando sì materiali pubblicitari diterzi, ma senza in alcun modo cedere questi dati a terzi – nei confrontidi interessati alla maggior parte dei quali, prima del 1 agosto 2005, avevareso un'informativa individuale, sempre in qualità di Titolare". La societàha quindi descritto le operazioni che hanno consentito di ricostruire il numerodi interessati che hanno ricevuto una idonea informativa da Consodata in dataantecedente al 1 agosto 2005, ammontante a circa 7 milioni di personeevidenziando che tale circostanza "ridimensiona notevolmente, in termininumerici, il novero di coloro che, estratti da elenchi telefonici anteriori al1 agosto 2005, sono stati raggiunti da posta promozionale inviata da Consodatasenza essere mai stati informati da Consodata Titolare, ai sensi dell'art. 13del codice privacy". Le osservazioni di cui sopra sono state ribaditeanche in sede di audizione (19 dicembre 2011) nel corso della quale la societàha inteso precisare che "come anche rappresentato nella memoria difensiva,a seguito di attente analisi dei database utilizzati si è avuto modo diacquisire documentazione idonea ad attestare che tutti i dati oggetto ditrattamento utilizzati da Consodata, in qualità di titolare del trattamento,dal settembre 2008 al febbraio 2009, si riferivano a soggetti che in epocaantecedente al 1 agosto 2005 avevano ricevuto una informativa da parte dellasocietà". Sempre in quella sede la società ha richiesto all'Autorità di"svolgere una valutazione relativa all'applicabilità della sanzione di cuiall'art. 162, comma 2-ter, anche alla luce dei principi in ordine allasuccessione delle leggi e alla circostanza che il nuovo regime sanzionatorionella protezione dei dati personali è stato introdotto dal 1 gennaio2009".

Quantorappresentato da Consodata deve essere messo a confronto con gli elementiemergenti dal citato provvedimento del 26 giugno 2008, dagli accertamentiispettivi del 12-16 febbraio 2009 e dal provvedimento adottato dal Garante aconclusione dell'istruttoria relativa ai predetti accertamenti il 26 novembre2009, che qui deve intendersi integralmente richiamato.

Alriguardo si osserva che il provvedimento del 26 giugno 2008, adottato dalGarante a seguito di una complessa istruttoria sulla base di un numero ingentedi segnalazioni con le quali è stata contestata la ricezione di chiamatepromozionali indesiderate effettuate da operatori telefonici con l'utilizzo didati acquisiti da Consodata, ha vietato a quest'ultima "di effettuarealtri trattamenti di ulteriori dati personali provenienti da elenchi telefonicipubblicati prima del 1 agosto 2005, utilizzati senza idonea informativa []".

Nelcorso degli accertamenti ispettivi del 12-16 febbraio 2009 si è avuto modo dirilevare, attraverso acquisizioni documentali di contratti e fatture, cherisultavano a quella data ancora in corso di esecuzione numerosi contrattistipulati con gestori di servizi di telefonia e altre aziende erogatrici dipubblici servizi aventi ad oggetto la cessione con licenza d'uso e il costanteaggiornamento di dati acquisiti dagli elenchi telefonici "ante 2005"in quantitativi superiori ai dieci milioni di anagrafiche, nonostante Consodataavesse dichiarato che "a seguito dell'emanazione del provvedimento del 26giugno 2008, Consodata, oltre a non utilizzare più i dati dei soggetti presentinegli elenchi ante 2005, così come prescritto dal Garante, ha sospeso, altresì,in via prudenziale, l'utilizzo per le medesime finalità dei dati presenti nelDB Lifestyle. [] Gli unici dati utilizzati per le attività di telemarketing,dopo il provvedimento del Garante del 26 giugno 2008, sono quelli riferiti ai circa400.000 soggetti presenti nel DBU unitamente a piccole porzioni di DBLifestyle".

Ilprovvedimento del 26 novembre 2009 ha invece evidenziato che "Consodata hacontinuato a trattare i dati di cui le era stato inibito il trattamento con ilcitato provvedimento del 26 giugno 2008 anche successivamente alla notificadello stesso (avvenuta il 2 settembre 2008), cedendo tali dati a terzi. [] Inparticolare, ci si riferisce (cfr. verbale del 13 febbraio 2009, pag. 2): alprodotto individuato tramite il codice di attività "JJR" che, comedichiarato dalla stessa società, corrisponde alla "lista privati" eindividua la "cessione di porzioni del DB telefonico comprensivo delleanagrafiche presenti negli elenchi telefonici "ante 2005" e delleanagrafiche consensate contenute nel DBU"; al prodotto individuato tramiteil codice di attività JCP che corrisponde alla "cessione fileprivati" e individua l'intera cessione del DB telefonico".

Daglielementi di cui sopra, è possibile ricostruire il quadro delle responsabilitàdi Consodata la quale, in sede ispettiva, ha dichiarato di aver sospeso ognitrattamento con finalità di telemarketing dei dati acquisiti da elenchitelefonici "ante 2005" per poi ammettere, nelle memorie difensive, diaver svolto i trattamenti in contestazione solo per limitate porzioni deipredetti dati e successivamente rappresentare, in sede di audizione, di avercomunque trattato solo dati di soggetti raggiunti da un'idonea informativa aisensi dell'art. 13 del Codice. Senza voler dare enfasi alla contraddittorietàdelle dichiarazioni rese dalla società nel corso del tempo, non si può nonevidenziare che le argomentazioni più credibili sono quelle fornite nellememorie difensive nelle quali si rappresenta che la società ha proseguito itrattamenti di dati oggetto del provvedimento inibitorio "nel periodoconsiderato". Solo in un momento successivo all'accertamento, sempresecondo quanto dichiarato dalla società, sarebbe stata avviata da Consodataun'attività di verifica della legittimità dei trattamenti svolti conriferimento al rilascio di una idonea informativa prima del 1 agosto 2005"sulla base di indici attendibili", individuati negli elenchi deinominativi dei soggetti destinatari di campagne pubblicitarie realizzate dal2001 al 2005 e dai campioni delle pubblicazioni inviate, ove ancoradisponibili. Sul punto, peraltro, si osserva che l'unico campione messo adisposizione da Consodata (allegato 1 della memoria difensiva) reca unainformativa non idonea in quanto priva di riferimenti in ordine alle finalitàdel trattamento. Orbene, anche a voler ritenere valido il procedimento diverifica ex post adottato da Consodata (ma il modello di informativa esibitonon induce a tale considerazione), emerge che una porzione non certotrascurabile di dati acquisiti da elenchi "ante 2005" e oggetto ditrattamento in epoca successiva alla data di notifica del primo provvedimentoinibitorio (quello del 26 giugno 2008), quantificabile in oltre tre milioni didati personali, riguarda soggetti in ordine ai quali la società non è stata ingrado di dimostrare di aver fornito un'idonea informativa e quindi oggetto deldivieto di cui al provvedimento stesso.

Daciò deriva la sussistenza della responsabilità di Consodata in relazioneall'inosservanza del provvedimento del Garante emesso il 26 giugno 2008;

b.con riferimento alla contestazione riguardante la cessione di dati personalipresenti nel database telefonico senza il consenso di cui all'art. 23 del Codice,Consodata fa rilevare che "gli unici dati del DBU che, dopo essereconfluiti nel DB "omnitarget", sono stati ceduti ai clienti, sonoriferiti a quegli abbonati che, negli elenchi telefonici, avevano manifestatoil consenso a ricevere telefonate promozionali o mailing cartacei. [] A nostroavviso Consodata non era tenuta alla richiesta di un ulteriore, specificoconsenso. Il sistema introdotto dal provvedimento del Garante del 15 luglio2004 puntava a concentrare temporalmente e fisicamente la manifestazione dellavolontà dell'interessato circa l'uso dei suoi recapiti in elenco per fini dimarketing diretto. [] In questo quadro di univocità/pubblicità della volontàdell'abbonato circa l'uso dei suoi recapiti a fini di promozione commerciale(secondo un sistema di opt-in) risulterebbe irragionevole un'interpretazionesecondo cui ciascun Titolare che raccoglie i dati di chi ha acconsentitoall'uso commerciale dei suoi recapiti deve richiedere uno specifico consenso altrattamento o alla cessione degli stessi".

Alriguardo, si deve premettere che quello che viene definito da Consodata come"DB telefonico", è una database inserito nella più ampia banca datidenominata "DB Omnitarget", che ricomprende la quasi totalità deidati trattati dalla società. Sulla base di quanto accertato nel corso delleattività ispettive, il DB telefonico si componeva di dati acquisiti da elenchitelefonici pubblicati prima del 1 agosto 2005, nonché dai dati tratti daldatabase unico degli operatori di comunicazioni elettroniche (cd. DBU) relativiai soggetti che avevano prestato uno specifico consenso alla ricezione dicomunicazioni promozionali tramite telefonate e posta cartacea. Con riferimentoai dati tratti da elenchi telefonici "ante 2005", si deve osservareche, anche in ragione di quanto rappresentato al punto a) della presenteordinanza-ingiunzione, tali dati non potevano essere trattati (e tantomenoceduti) senza l'acquisizione di un preventivo, specifico consenso da partedegli interessati. Per quanto riguarda, invece, i dati acquisiti dal  DBU,si ritiene che il consenso al trattamento per finalità di marketing prestatodagli interessati alle specifiche attività di mailing cartaceo e contattotelefonico non sia idoneo a consentire la comunicazione di tali dati a terzi: l'art.23 del Codice prevede infatti l'obbligo di ogni titolare di dotarsi di unconsenso dell'interessato informato e distinto per ciascuna finalità ditrattamento che comporti l'identificabilità dell'interessato medesimo. Nel casodi specie, Consodata, in qualità di titolare, avrebbe potuto utilizzare i datidel DBU relativi agli interessati che avevano espresso il proprio consenso allaricezione di comunicazioni promozionali per svolgere attività di mailingcartaceo o telemarketing (in proprio o per conto di soggetti terzi) ma noncedere i predetti dati ad altri titolari: la cessione di dati personalinell'ambito dell'attività di "list-broker" è infatti da ritenersiconnessa ad una finalità di trattamento distinta da quella di svolgimento delleoperazioni di mailing cartaceo e telemarketing e necessita, pertanto, di unospecifico consenso.

Risultanopertanto sussistenti i profili di responsabilità di Consodata in ordine allacontestazione in argomento.

c.con riferimento alla contestazione riguardante il trattamento senza consensodei dati presenti nel database "lifestyle", Consodata evidenzia che"nella somministrazione del questionario [lifestyle], Consodata ritiene diaver sempre compiuto ogni sforzo per garantire agli interessati la massimatrasparenza su tutti gli elementi rilevanti del trattamento dei loro datipersonali. [] Come verificabile dalla documentazione allegata a seguitodell'ispezione, il testo dell'informativa evidenziava agli interessati leseguenti finalità del trattamento: 1. La promozione di offerte commerciali diaziende clienti attraverso l'invio di materiale pubblicitario mediante ilcanale postale, messaggi SMS o comunicazioni e-mail, ovvero attraverso contattitelefonici con l'ausilio dell'operatore; 2. La realizzazione di rilievistatistici e analisi di mercato; 3. La creazione di profili di consumatori pergruppi omogenei" e delinea le ragioni che l'hanno indotta a richiedere ununico consenso per i trattamenti connessi al questionario. Tali ragioni sipossono riassumere in: 1) possibilità, riconosciuta all'interessato nellacompilazione del questionario, di comunicare solo una delle diverse tipologiedi contatto previste, (così da selezionare, fin dall'origine, la modalità diinvio delle comunicazioni promozionali ed escludere la necessità di acquisireun distinto consenso per i trattamenti finalizzati al telemarketing o mailingcartaceo rispetto a quelli finalizzati all'invio di sms, fax, e-mail o chiamatesenza operatore) ; 2) correlazione fra la finalità di marketing diretto e lafinalità di profilazione (tesa ad escludere la necessità di acquisire distinticonsensi per le due finalità). Per il primo aspetto, Consodata ha rappresentatoche la richiesta di un unico consenso era conseguenza della circostanza che"l'interessato, nella compilazione del questionario, aveva la libertà diconferire la tipologia di recapito sul quale preferiva essere contattato,omettendo i canali (ad es. telefono fisso, telefono cellulare, indirizzo diposta elettronica) che non intendeva rilasciare". Per il secondo, lasocietà ha evidenziato che "stante la stretta correlazione fra le duefinalità, specialmente nel contesto unitario di un'operazione come ilquestionario sugli stili di vita, Consodata, pur evidenziando agli interessatila differenza fra le due finalità, ha ritenuto le stesse riconducibili ad unfenomeno unitario: la realizzazione di profili di utenza a fini di megliotarare ed indirizzare l'attività di commercializzazione". Quindi Consodataha argomentato di non aver ritenuto applicabili ai propri trattamenti iprincipi stabiliti dal Garante nel provvedimento del 24 febbraio 2005 in temadi carte di fidelizzazione, con riferimento alla distinzione delle diversemanifestazioni di consenso, in particolare per ciò che concerne laprofilazione, sostenendo che la profilazione svolta dalla grande distribuzione èbasata su comportamenti reali, mentre quella svolta da Consodata è basata su ciòche gli interessati scelgono liberamente e spontaneamente di dichiarare eravvisando in una informativa analitica lo strumento per un pieno controllo daparte dell'interessato dell'uso dei suoi dati. Inoltre, Consodata harappresentato che anche per ciò che concerne la comunicazione dei dati a terzi,"aveva ritenuto legittima la richiesta di un unico consenso per iltrattamento dei dati e per la comunicazione degli stessi, dal momento che eranocompiuti per le medesime finalità". Infine, Consodata ha evidenziato che,dalla fine del 2009, "ha reimpostato il questionario lifestyle chiedendodue distinti consensi [marketing diretto e profilazione]" e ha stabilitoche i predetti dati non siano più oggetto di comunicazione a terzi.

Giovaricordare che sullo specifico punto del consenso al trattamento dei datiraccolti mediante il questionario lifestyle, Consodata ha impugnato ilprovvedimento inibitorio del Garante del 26 novembre 2009 con ricorso ex art.152 del Codice davanti al Tribunale di Roma. Con sentenza n. 19281 del 5ottobre 2011, alla quale in questa sede deve farsi integrale riferimento, ilGiudice ha rigettato il ricorso stabilendo che i trattamenti di dati personalifinalizzati all'effettuazione di attività di marketing, profilazione ecomunicazione di dati a terzi, necessitano di consensi distinti e hadiffusamente argomentato in ordine a tale necessità con riferimento alladiversità di disciplina normativa per ciascun settore e alla autonomia dellerispettive operazioni di trattamento.

Risultanopertanto confermati i profili di responsabilità evidenziati nell'atto dicontestazione;

d.per quanto attiene alla contestazione relativa al trattamento senza consensodei dati presenti nel database "elettorale", Consodata fa presenteche i destinatari della cessione dei dati tratti da liste elettorali sono dueaziende "che sono dotate – l'una in via esclusiva, l'altra inaggiunta ai canali tradizionali – di un sistema di vendita a distanza diprodotti e servizi e che intendevano, tramite il mailing, incoraggiare acquistia distanza (la prima), oppure acquisti realizzabili anche a distanza (laseconda)". Rappresenta, inoltre, che "sono stati cedutiesclusivamente dati estratti da liste elettorali anteriori all'entrata invigore del codice privacy e quindi al nuovo regime dell'art. 177, comma5". Infine, richiama la disciplina prevista dall'art. 58, comma 2, delCodice del consumo "che ammette un regime di opt-out per le comunicazionicommerciali effettuate, a mezzo posta cartacea, da aziende che vendono adistanza" anche in deroga alle norme del Codice in materia di protezionedei dati personali (art. 51-bis della legge n. 51/2006), rappresentando chetale disposizione derogatoria "non appare destinata solo a chi vende adistanza, ma anche ai list broker nella misura in cui cedono le listeelettorali ai venditori a distanza".

Alriguardo, si deve osservare che ad ogni valutazione in ordine all'applicabilità(peraltro assai dubbia atteso il tenore dell'art. 58 del Codice del consumo)della disciplina derogatoria sopra richiamata non solo ai venditori a distanzama anche ai cd. "list broker" deve essere anteposta la considerazioneche, in base a quanto stabilito dall'art. 51, comma 5, del d.P.R. 223/1967, cosìcome sostituito dall'art. 177, comma 5, del Codice, "le liste elettoralipossono essere rilasciate in copia per finalità di applicazione delladisciplina in materia di elettorato attivo e passivo, di studio, di ricercastatistica, scientifica o storica, o carattere socio-assistenziale o per il perseguimentodi un interesse collettivo o diffuso". Tale disposizione si applica anchea tutti i dati tratti da liste elettorali, anche se acquisiti in epocaanteriore all'entrata in vigore della norma (1 gennaio 2004). A ciò fariferimento anche il provvedimento del Garante in data 10 giugno 2004 (inwww.garanteprivacy.it, doc. web n. 1068106) quando afferma, relativamente adati tratti da liste elettorali prima del dicembre del 2003 e utilizzatisuccessivamente per l'invio di materiale pubblicitario, che "le listeelettorali possono essere rilasciate in copia solo "per finalità diapplicazione della disciplina in materia di elettorato attivo e passivo, distudio, di ricerca statistica, scientifica o storica, o caratteresocio-assistenziale o per il perseguimento di un interesse collettivo odiffuso". I dati in esse riportati non sono quindi più accessibili eutilizzabili per finalità promozionali, commerciali o pubblicitarie. L'art. 24,comma 1, lett. c), del Codice rende lecito il trattamento dei dati personalisenza il consenso degli interessati nel caso in cui gli stessi siano tratti dapubblici registri, ma imponendo il rispetto dei limiti previsti dalla normativanazionale o comunitaria per la loro conoscibilità e pubblicità. Nel caso dispecie, non risultando manifestato alcun consenso da parte dell'interessato peril trattamento dei dati personali che lo riguardano a fini di invio dimateriale pubblicitario (né operante uno degli altri presupposti di cui alcitato art. 24), l'ulteriore trattamento dei dati per la finalità giàperseguita dalla resistente non risulta più basato su un idoneo presupposto dilegge. ". Pertanto, l'utilizzo dei dati tratti da liste elettorali daparte di Consodata, poiché estraneo alle finalità indicate nell'art. 177, comma5, del Codice, risulta illecito ancorché le predette liste siano stateacquisite prima dell'entrata in vigore della richiamata disposizione. Inoltre,deve evidenziarsi che le liste elettorali, sulla base della citata normativa,possono legittimamente essere acquisite solamente dai soggetti che annoverinofra le proprie finalità quelle previste dal citato art. 177, comma 5 delCodice. Nel caso in argomento, l'acquisizione, la registrazione e la cessionedelle liste elettorali a soggetti terzi, quali che siano le finalità di questiultimi, obbedisce ad una logica prettamente economica, coerente con l'attivitàd'impresa di Consodata, ma estranea al dettato del citato art. 177, comma 5,del Codice.

Emergono,sulla base delle considerazioni di cui sopra, le responsabilità di Consodata,così come delineate nel provvedimento di contestazione;

e.per quanto riguarda la contestazione circa il trattamento senza consenso deidati presenti nel DB "Consomail", Consodata ha parzialmente ammessogli addebiti evidenziando che "il rilievo dell'Autorità può valereesclusivamente per una parte del DB Consomail, quella contenente indirizzi diposta elettronica inseriti dai partner commerciali, per i quali effettivamentela Società non ha richiesto un successivo, autonomo consenso" erappresentando che gli indirizzi di posta elettronica raccolti attraverso uncanale web sono utilizzabili in virtù di uno specifico consenso all'uoporaccolto, mentre per quelli raccolti mediante il questionario lifestyle valgonole argomentazioni a discarico riportate al punto c) della presente ordinanza.

Alriguardo, occorre solo evidenziare che gli indirizzi di posta elettronicaacquisiti dai partner commerciali, come riportato nel verbale di operazionicompiute del 16 febbraio 2009, ammontano a circa 500.000. Per quanto riguardagli indirizzi di posta elettronica acquisiti tramite il questionario lifestyle,ci si riporta a quanto osservato al punto c) della presente ordinanza;

f.con riferimento infine alla contestazione riguardante più violazioni relative abanche dati di particolare rilevanza Consodata, ha evidenziato che "ilcodice privacy prevede differenti soglie di tutela in ragione della natura didati oggetto di trattamento" e che "nella gerarchia di rilevanzadelle informazioni personali desumibile dal codice privacy [], i daticontenuti nei DB elettorale, telefonico e Consomail non risultano collocati allivello di maggiore delicatezza e sensibilità". Tuttavia, la societàammette che "fra le banche dati societarie considerate nel provvedimento,solo il DB lifestyle contiene dati la cui rilevanza è stata ritenuta dallegislatore più significativa []. Tuttavia, ci pare importante sottolineareche lifestyle è una banca dati "statica", che si alimentaesclusivamente di risposte fornite dagli interessati stessi []".

E'necessario, al riguardo, evidenziare che l'art. 164-bis, comma 2, del Codiceprevede l'applicazione della sanzione amministrativa nel caso di più violazionidi cui agli artt. 161 e 162, commi 2-bis e 2-ter, oltre che di altre norme nonattinenti al presente provvedimento, commesse anche in tempi diversi inrelazione a "banche di dati di particolare rilevanza o dimensioni".Come emerge dal verbale di operazioni compiute del 13 febbraio 2009 "nelDB telefonico erano presenti (i dati sono riferiti a luglio 2008) un totale dicirca 10.200.000 anagrafiche contattabili telefonicamente" e "il DBlifestyle contiene circa 2.800.000 anagrafiche, mentre il DB elettoralecontiene circa 29 milioni di anagrafiche. Di queste 17 milioni circa sono stateacquistate precedentemente al 2004". Nel verbale del 16 febbraio 2009Consodata dichiara inoltre che "il totale degli indirizzi email presentinel DB Consomail è di circa un milione (500.000 di questi provengono dal DBlyfestile e i restanti sono forniti dai partner [])". Appare pertantoincontestabile che le banche-dati di Consodata siano "di rilevantidimensioni", così come richiesto dall'art. 164-bis del Codice. Inoltre,per taluni dei predetti database, risulta corretta anche la qualificazione di bancadati di particolare rilevanza: per quanto riguarda il DB lifestyle, sirichiamano le osservazioni della stessa Consodata, la quale ha ammesso che intale database sono presenti informazioni per le quali il Codice prevede unsuperiore livello di protezione (sulla scorta del fatto che l'art. 37 delCodice impone la notificazione per i trattamenti di dati con finalità dirilevazione e analisi di profili, personalità, abitudini e scelte di consumodell'interessato).

RILEVATO,quindi, che Consodata, sulla base delle considerazioni sopra richiamate,risulta aver commesso:

a)la violazione di cui all'articolo 162, comma 2-ter del Codice, per non averosservato le disposizioni del provvedimento del Garante in data 26 giugno 2008,adottato ai sensi dell'articolo 154, comma 1, lettera c), del Codice;

b)la violazione di cui all'articolo 162, comma 2-bis, in relazione all'art. 167del Codice, per aver ceduto dati personali presenti nel DB telefonico senza ilconsenso di cui all'art. 23 del Codice;

c)la violazione di cui all'articolo 162, comma 2-bis, in relazione all'art. 167del Codice, per aver trattato i dati presenti nel DB "lifestyle"senza aver acquisito distinti consensi ex artt. 23 e 130 del Codice;

d)la violazione di cui all'articolo 162, comma 2-bis, in relazione all'art. 167del Codice, per aver trattato i dati presenti nel DB elettorale, fuori dalleipotesi di cui all'art 177, comma 5, del Codice, senza aver acquisito ilconsenso di cui all'art. 23 del Codice;

e)la violazione di cui all'articolo 162, comma 2-bis, in relazione all'art. 167del Codice, per aver trattato dati personali presenti nel DB Consomail senza ilconsenso di cui all'art. 23 del Codice;

f)la violazione di cui all'art. 164-bis, comma 2, del Codice, per aver commessole violazioni sub a), b), c), d) e e) in relazione a banche di dati diparticolare rilevanza e dimensioni;

VISTOl'art. 162, comma 2-bis, (nella formulazione vigente all'epoca dei fatti equindi antecedente alle modifiche di cui all'art. 20-bis, comma 1, lettera c),punto 1, del decreto legge 25 settembre 2009, n. 135, convertito dalla legge 20novembre 2009, n. 166) che punisce la violazione dell'art. 23 con la sanzioneda ventimila a centoventimila euro; l'art. 162, comma 2-ter, che puniscel'inosservanza di un provvedimento inibitorio del Garante con la sanzione datrentamila a centottantamila euro; l'art. 164-bis, comma 2, che, in caso di piùviolazioni di una o più di una delle disposizioni sopra richiamate commesseanche in tempi diversi in relazione a banche di dati di particolare rilevanza odimensioni, prevede l'applicazione di una sanzione da cinquantamila atrecentomila euro;

CONSIDERATOche, ai fini della determinazione dell'ammontare della sanzione pecuniaria,occorre tenere conto, ai sensi dell'art. 11 della legge 24 novembre 1981 n.689, dell'opera svolta dall'agente per eliminare o attenuare le conseguenzedella violazione, della gravità della violazione, della personalità e dellecondizioni economiche del contravventore;

PRESOATTO delle considerazioni espresse da Consodata in ordine al comportamentotenuto dalla società nel corso del procedimento e anche in relazione alcomplessivo recepimento delle disposizioni in materia di protezione dei datipersonali sin dal periodo immediatamente successivo alla visita ispettivadell'Autorità del febbraio 2009; preso atto altresì delle osservazioni diConsodata in ordine alle condizioni economiche della società che "perorganico e giro d'affari [] è qualificabile come una media impresa e non èparagonabile, quanto a forza economica, alle società di settori come latelefonia e la grande distribuzione, che si aggirano su ricavi di miliardi dieuro";

CONSIDERATOche, nel caso in esame:

a)in ordine all'aspetto della gravità, la violazione, riguardo agli elementidell'entità del pregiudizio o del pericolo e dell'intensità dell'elementopsicologico, risulta connotata da elementi specifici dettati dalla circostanzache, con riferimento alla inosservanza del provvedimento del Garante e alleconnesse cessioni di dati, Consodata era a conoscenza di quali fossero lecondotte illecite in relazione ai trattamenti di dati personali tratti dal DBtelefonico e le ha comunque portate a compimento;

b)ai fini della valutazione dell'opera svolta dall'agente, deve essereconsiderato in termini favorevoli il fatto che Consodata, sin dall'epocasuccessiva alla visita ispettiva del Garante, ha intrapreso un processo dicorrezione delle modalità di raccolta e di trattamento dei dati, recependo leosservazioni del Garante nell'impostazione della successiva attività;

c)circa la personalità dell'autore della violazione, deve essere positivamenteconsiderata la circostanza che Consodata non risulta avere precedenti specificiin termini di violazioni delle disposizioni del Codice;

d)in merito alle condizioni economiche dell'agente, si è tenuto conto delfatturato e del risultato d'esercizio relativi all'anno 2011;

RITENUTOdi dover determinare, ai sensi dell'art. 11 della L. n. 689/1981, l'ammontaredella sanzione pecuniaria,  in ragione dei suddetti elementi valutati nelloro complesso, nella misura di:

- euro 100.000,00 (centomila) per le violazioni di cui all'art. 162, comma 2-ter;

- euro 100.000,00 (centomila) per le violazioni di cui all'art. 162, comma 2-bis;

- euro 200.000,00 (duecentomila) per la violazione di cui all'art. 164-bis, comma2;

VISTAla documentazione in atti;

VISTAla legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTEle osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazionedel 28 giugno 2000;

RELATOREla dott.ssa Augusta Iannini;

ORDINA

aConsodata S.p.A., con sede in Roma, via Mosca n. 43/45, in persona del legalerappresentante pro-tempore, di pagare la somma di euro 400.000,00(quattrocentomila) a titolo di sanzione amministrativa pecuniaria per laviolazione prevista dall'art. 164-bis, comma 2 del Codice indicata inmotivazione;

INGIUNGE

allamedesima società di pagare la somma di euro 400.000,00 (quattrocentomila),secondo le modalità indicate in allegato, entro 30 giorni dalla notificazionedel presente provvedimento, pena l'adozione dei conseguenti atti esecutivi anorma dall'art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che,entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questaAutorità, in originale o in copia autentica, quietanza dell'avvenutoversamento.

Aisensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso ilpresente provvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 10gennaio 2013

Il presidente
Soro

Il relatore
Iannini

Il segretario generale
Busia