Garante per la protezione
    dei dati personali


Ordinanza di ingiunzione nei confrontidi Postel S.p.A.

PROVVEDIMENTO DEL 5 DICEMBRE 2013

Registro dei provvedimenti 
n. 549 del 5 dicembre 2013

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, alla presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia,segretario generale;

VISTOl'atto di contestazione, che qui deve intendersi integralmente riportato, n.8487/63150 del 13 aprile 2010 (notificato in data 25 maggio 2010) nei confrontidi Postel S.p.A., con sede in Roma, via Carlo Spinola n. 11 (di seguitodenominata "Postel"), in persona del legale rappresentante pro-tempore,per le violazioni di cui agli artt. 13, 23 e 157 del Codice in materia diprotezione dei dati personali (d. lg. 30 giugno 2003, n. 196, di seguitodenominato Codice);

ESAMINATOil rapporto dell'Ufficio del Garante per la protezione dei dati personalipredisposto ai sensi dell'art. 17 della legge 24 novembre 1981, n. 689,relativo all'atto di contestazione sopra richiamato;

VISTIgli scritti difensivi del 24 giugno 2010, inviati ai sensi dell'art. 18 dellalegge n. 689/1981, che qui si intendono integralmente richiamati;

PRESOATTO che Postel, per le violazioni di cui al capo a) dell'atto di contestazione(relative a ipotesi di omessa informativa) ha provveduto, in data 9 luglio2010, ad effettuare nei termini il pagamento in misura ridotta previsto dall'art.16 della legge n. 689/1981, con effetto estintivo del relativo procedimentosanzionatorio;

LETTOil verbale in data 15 novembre 2010 relativo all'audizione dei rappresentantidi Postel ai sensi dell'art. 18, comma 2, della legge n. 689/1981, che qui siintende integralmente richiamato;

RITENUTOche le argomentazioni addotte da Postel nelle memorie difensive enell'audizione non consentono di escludere le responsabilità in relazione aquanto contestato per le motivazioni di seguito riportate:

a. contestazioni relative a ipotesi di omessainformativa (capo a) dell'atto di contestazione): si deve premettere che ditali contestazioni si fa menzione solamente con riferimento alla sussistenzadell'ipotesi di cui all'art. 164, comma 2-bis, del Codice. Postel, infatti, indata 9 luglio 2010, ha provveduto ad effettuare il pagamento in misura ridottafinalizzato all'estinzione del relativo procedimento sanzionatorio. Taledeterminazione del contravventore "implica necessariamente l'accettazionedella sanzione e, quindi, il riconoscimento, da parte dello stesso, dellapropria responsabilità" (Cass. 11 febbraio 2005, n. 2862). Tuttavia, peresclusive ragioni di sistematicità del presente atto, si deve riconfermare lapiena sussistenza della responsabilità di Postel in ordine alle tre ipotesi diomessa informativa di cui all'atto di contestazione del 13 aprile 2010 sullabase delle motivazioni in esso evidenziate anche mediante il richiamo perrelationem del Provvedimento inibitorio emanato dal Garante il 18 marzo 2010,che non ha formato oggetto di impugnazione da parte della stessa Postel.

Omessainformativa per il trattamento di dati personali relativi ad"aziende" provenienti da Telextra s.r.l.  – nel corsodegli accertamenti ispettivi del 21 e 22 aprile 2009 è emerso che Posteldetiene un database denominato "DB  Aziende", contenente i datidi imprese italiane. Tale database è formato da liste acquistate dalle societàDun & Bradstreet  e Telextra s.r.l. (di seguito "Telextra"),viene aggiornato con cadenza periodica ed è stato creato con finalità dirivendita a terzi. Nel corso dei medesimi accertamenti i responsabili di Postelebbero a dichiarare che, con riferimento ai dati dagli stessi trattati confinalità di marketing, l'informativa all'interessato ai sensi dell'art. 13 delCodice veniva rilasciata in occasione del primo contatto. Tale modalità dirilascio dell'informativa certamente non riguarda i dati presenti nel DBAziende che, come rappresentato dalla stessa Postel, sono destinati allavendita a terzi e non ad attività di marketing che comportino contatti puntualicon gli interessati. Gli accessi al DB Aziende effettuati il 22 aprile 2009hanno evidenziato che non vi sono elementi dai quali desumere l'avvenutorilascio di informative ai soggetti in esso registrati. Nel corso degliaccertamenti del 17 e 18 febbraio 2010 Postel ha inoltre chiarito le modalitàdi alimentazione del DB Aziende specificando che la società Telextra invia aPostel il proprio database di dati relativi ad aziende con cadenza periodica(dal 2010 ogni sei mesi). Postel sottopone i dati acquisiti a operazioni dinormalizzazione (aggiunta del codice di avviamento postale) e riclassificazione(attribuzione di un unico record a ciascuna azienda dotata di più numeri ditelefono o altre informazioni), prima di procedere alla cessione dei dati delDB Aziende attraverso canali tradizionali e il servizio My Direct (verbale 17febbraio 2010). Constatando che i dati relativi ad aziende italiane provenientida Telextra erano stati raccolti, registrati nel DB Aziende di Postel etrattati senza che agli interessati fosse stata fornita la necessariainformativa, l'Ufficio ha provveduto a contestare a Postel la relativaviolazione amministrativa. Al riguardo occorre evidenziare che, fino alla datadel 6 dicembre 2011 (entrata in vigore dell'art. 40 del d.l. n. 201/2011), ladisciplina della protezione dei dati personali riguardava anche i datiriferibili a persone giuridiche, enti o associazioni. Alla luce dellaricostruzione di cui sopra appaiono del tutto inconferenti le moltepliciosservazioni di Postel rese in sede di memoria difensiva e di audizione tese adevidenziare che la violazione posta in essere dalla società, nel caso inargomento, riguardi un'ipotesi di inidoneità (e non di omissione) dell'informativa(perché resa in tempi diversi da quelli previsti dall'art.13, comma 4, delCodice), poiché non vi sono in atti elementi che consentano di accertarel'avvenuto rilascio dell'informativa medesima, sia pure in momenti successivi aquelli stabiliti dal comma 4 dell'art. 13 e, inoltre, non vi è prova che i datidel DB Aziende siano stati destinati ad attività di contatto diretto da partedi Postel (che ha costituito il predetto database per finalità di rivendita aterzi). Nel caso di specie, pertanto, si è correttamente contestata(conformemente a quanto accertato nel provvedimento del Garante del 18 marzo2010) l'ipotesi di omessa informativa che si è realizzata all'atto dellacostituzione del DB Aziende ed è perdurata fino all'epoca degli accertamentiispettivi del Garante.

Omessainformativa per il trattamento di dati personali relativi a"privati", tratti dalla base di dati unica (DBU) degli operatori dicomunicazione elettronica, provenienti dalla società Telextra – gliaccertamenti ispettivi del 17 e 18 febbraio 2010, che si sono resi necessariper riscontrare nuovi elementi sui trattamenti di Postel acquisiti nel corsodell'attività svolte presso la società Telextra nel 2009, hanno consentito diappurare che Postel ha acquisito da Telextra, dal 1° agosto 2005 in poi, oltreai dati relativi ad aziende, anche dati relativi a persone fisiche presentinella base di dati unica degli operatori di comunicazioni elettroniche (cd.DBU) che avevano prestato il consenso al marketing. Tali dati sono confluitinei sistemi Postel secondo le modalità indicate nell'accordo siglato fra le duesocietà che Postel ha prodotto in allegato 5 alla nota del 4 maggio 2009. Nellamemoria difensiva del 24 giugno 2010, Postel sostiene che tali dati sono statiestratti dalla società Telextra, nell'ambito di forniture occasionali richiesteda specifici clienti, che li avrebbe inviati a Postel,  perché fosserosuccessivamente girati ai clienti medesimi "senza fare copia dei datitrasmessi, né registrarli, elaborali o conservarli su un propriodatabase". In questo senso Postel non avrebbe avuto alcun obbligo difornire l'informativa perché avrebbe agito da mero intermediario (o, forse, più precisamente da "vettore") fra Telextra e i clienti occupandosiesclusivamente della consegna del prodotto realizzato da Telextra attraversol'estrazione di nominativi di persone fisiche dal DBU. L'affermazione delladifesa di Postel è tuttavia contraddetta dagli atti che la stessa società hatrasmesso nel corso dell'istruttoria al Garante. Nella nota del 1° marzo 2010Postel ha fornito infatti copia degli ordinativi di alcune delle"forniture occasionali" avvenute nel 2008, 2009 e 2010 (allegati nn.1, 7 e 20); in tali ordinativi era specificato che Telextra operava in qualitàdi titolare del trattamento e Postel avrebbe svolto attività di"broker". In uno degli ordinativi di cui sopra, ricompreso anchenell'elenco delle campagne pubblicitarie effettuate dal 2008 (elenco che Postelha inviato al Garante con la nota del 4 maggio 2009 – allegato n. 1 –ordinativo OMF-08/2878) e relativo all'Avis Regionale Umbria, è espressamenteindicato che le liste cedute all'Avis sono state tratte dal DB Postel. Apparequindi evidente, unendo le informazioni acquisite nel maggio del 2009 conquelle del marzo 2010, che i dati inviati da Telextra a Postel, prima di essereceduti ai clienti che li avevano ordinati, sono stati inseriti nel DB Postel.Tale ricostruzione appare confermata anche dal tenore delle disposizionicontrattuali presenti nell'ordinativo di cui all'allegato n. 7 della nota del 1°marzo 2010 (cliente Giordano Vini S.p.A.): in esso si specifica che "ilcliente Giordano Vini S.p.A. si impegnerà a trasmettere tempestivamente aPostel S.p.a. le richieste di cancellazione pervenute ai sensi dell'Art. 7 del[d.lg. n. 196/2003]. [Š] Eventuali riutilizzi non concordati e verificatiattraverso indirizzi "civetta" all'uopo inseriti, verranno sanzionatida Postel S.p.A.[Š]". Non si può certo dubitare che le richieste dicancellazione di cui si fa menzione in tale disposizione siano quelle previstedal comma 4, lettera b), del citato articolo 7 (opposizione al trattamentofinalizzato all'invio di comunicazioni promo-pubblicitarie). La previsionecontrattuale di cui sopra si spiega solo con la disponibilità dei dati da partedi Postel che, in caso contrario, avrebbe richiesto al cliente di inviare leistanze direttamente (e solo) a Telextra. Deve quindi desumersi che le attivitàdi cancellazione alle quali si fa riferimento nei documenti contrattualiesibiti siano riferite al DB Postel, nel quale sono confluiti i dati di personefisiche presenti nel DBU trasmessi da Telextra. Va inoltre osservato chel'attività di controllo di eventuali riutilizzi illeciti dei dati ceduti aipropri clienti attraverso l'introduzione di indirizzi "civetta"(nominativi di soggetti noti al titolare inseriti all'insaputa del cliente frai dati oggetto di cessione al fine di verificare il rispetto delle condizionidi utilizzo dei dati ceduti contenute nel contratto) contrasta con quantodichiarato da Postel circa la mera trasmissione al cliente "senza farecopia dei dati trasmessi, né registrarli, elaborali o conservarli su un propriodatabase". Nel corso dell'audizione del 15 novembre 2010 Postel ha infineobiettato che "l'acquisizione di dati di soggetti privati provenienti dalDBU risale, nella occasione più recente, al maggio 2008 (Avis regionaleUmbria)" ed è quindi antecedente all'introduzione della disposizionesanzionatoria di cui all'art. 164-bis, comma 2. Al riguardo si deve evidenziareche, sulla base di quanto emerso dagli atti acquisiti presso Postel, i dati disoggetti privati provenienti dal DBU sono confluiti nel DB Postel senza cheagli interessati fosse resa la necessaria informativa e che tale omissione èperdurata almeno fino all'epoca dei primi accertamenti ispettivi (21 e 22aprile 2009), ovvero successivamente all'entrata in vigore delle nuove normesanzionatorie.

Omessainformativa relativamente ai dati personali tratti da liste elettorali –nel corso degli accertamenti ispettivi del 21 e 22 aprile 2009 è emerso che,fra i dati che popolano il DB Postel, una rilevante porzione risulta costituitada dati acquisiti nel corso del tempo da liste elettorali. Il DB Postel,infatti, acquisito da Postel nel 2002 a seguito di conferimento di ramod'azienda da parte di altra società, è stato alimentato anche "con i datipresenti nelle liste elettorali, richieste direttamente ai Comuni fino allafine del 2003" (verbale 22 aprile 2009). Nello stesso contesto Postel harappresentato che "le liste elettorali sono state richieste, all'epoca,direttamente ai singoli comuni. Non sono state, invece, mai acquistate dasocietà terze". Giova rappresentare che in successive note del 4 maggio2009 e 10 novembre 2009 Postel ha ammesso di aver acquistato liste elettoralianche da società terze come, "ad esempio, una rilevante operazione diacquisizione e scambio di dati provenienti da liste elettorali tra Postel eAddressvitt s.r.l., avvenuta tra giugno e dicembre 2003" (nota 10 novembre2009). Postel ha altresì ammesso, con dichiarazione contenuta nel verbale del18 febbraio 2010, che i dati tratti da liste elettorali sono "ancorapresenti nel DB Postel e sono anche utilizzati nell'ambito dei servizi dicampagne commerciali effettuate per conto di soggetti cd."profit"". Al riguardo si deve osservare che in base a quantostabilito dall'art. 51, comma 5, del d.P.R. 223/1967 (Testo unico delle leggiper la disciplina dell'elettorato attivo e per la tenuta e la revisione delleliste elettorali), così come sostituito dall'art. 177, comma 5, del Codice,"le liste elettorali possono essere rilasciate in copia per finalità diapplicazione della disciplina in materia di elettorato attivo e passivo, distudio, di ricerca statistica, scientifica o storica, o caratteresocio-assistenziale o per il perseguimento di un interesse collettivo odiffuso". Tale disposizione si applica anche a tutti i dati tratti daliste elettorali, anche se acquisiti in epoca anteriore all'entrata in vigoredella norma (1° gennaio 2004). A ciò fa riferimento anche il provvedimento delGarante in data 10 giugno 2004) quandoafferma, relativamente a dati tratti da liste elettorali prima del dicembre del2003 e utilizzati successivamente per l'invio di materiale pubblicitario, che"le liste elettorali possono essere rilasciate in copia solo "perfinalità di applicazione della disciplina in materia di elettorato attivo e passivo,di studio, di ricerca statistica, scientifica o storica, o caratteresocio-assistenziale o per il perseguimento di un interesse collettivo odiffuso". I dati in esse riportati non sono quindi più accessibili eutilizzabili per finalità promozionali, commerciali o pubblicitarie".Conseguenza di tale assunto è che sulla base della vigente normativa non vi èalcuna possibilità di utilizzare, per finalità di marketing, dati personalitratti da liste elettorali (a prescindere dall'epoca della raccolta) a meno cheil titolare non dimostri di aver fornito agli interessati, in caso diacquisizione "ante 2004", un'idonea informativa nella quale sia resoesplicito l'utilizzo dei dati per la predetta finalità di marketing e di averpoi acquisito un consenso specifico per tale finalità. Nel caso di specie,l'Ufficio ha constatato che: a) nel DB Postel sono presenti dati personalitratti da liste elettorali in epoca antecedente al 1° gennaio 2004, in granparte acquisiti fra giugno e dicembre 2003 dalla società Addressvitt s.r.l.,come dichiarato da Postel con nota del 10 novembre 2009; b) nel periodogiugno-dicembre 2003 non risultano essere state effettuate campagne dimarketing da parte di Postel (come documentato dalla stessa società conl'allegato 7 alla nota del 4 maggio 2009, dal quale risulta che l'unicacampagna di marketing effettuata da Postel prima del 31 dicembre 2003 risaleall'anno 2001) e che, pertanto, in tale periodo gli interessati, i cui datisono stati acquisiti da Addressvitt s.r.l. tramite liste elettorali e poiceduti a Postel, non hanno ricevuto da quest'ultima alcuna informativa inordine all'utilizzo per finalità di marketing dei propri dati (giacché, comedichiarato da Postel nel verbale del 22 aprile 2009, l'informativa veniva resadalla società in occasione del primo contatto); c) "nessuna delleinformative rilasciate contiene tutte le notizie indicate dall'art. 13 delCodice e, in particolare, le finalità per le quali i dati sarebbero statisuccessivamente trattati" (Provvedimento del 18 marzo 2010); d) i dati dicui sopra sono stati utilizzati, fino alla data dell'accertamento ispettivo,per l'effettuazione di campagne di marketing per soggetti cd."profit", come dichiarato da Postel a verbale del 18 febbraio 2010.Tali dati sono stati oggetto del provvedimento inibitorio del Garante in data18 marzo 2010, non impugnato da Postel. Per tali ragioni l'Ufficio haprovveduto a constatare a Postel la violazione delle disposizioni di cuiall'art. 13 del Codice, con riferimento ai trattamenti sopra richiamati. Allasopra esposta ricostruzione la società, nelle memorie difensive e nel corsodell'audizione ex art. 18 della l. 689/1981, ha eccepito che: a) i dati trattida liste elettorali presenti nel DB Postel sono utilizzabili per finalità dimarketing "solo se è valorizzato positivamente anche il campo indicantel'invio in passato (ante 2004) di un'informativa relativa alla pregressacampagna commerciale realizzata per conto di un soggetto profit e, in casonegativo, [potranno] essere utilizzabil[i] solo per l'invio di comunicazioni, aseconda dei casi, politiche e/o no-profit"; b) le informative di cui sopra"non sono state oggetto di specifico approfondimento, avendo iverbalizzanti ricevuto solo informative relative a comunicazioni politiche e no-profit";c) "appare poi utilizzato in modo [Š] erroneo e fuorviante il richiamo aifini della contestazione de quo del rilievo formulato nella parte finale delpar. 2 del Provvedimento, in cui viene specificato che, considerate le carenzeriscontrate nelle precedenti informative oggetto di verifica (cioè quelle ante2004 che a detta dell'Autorità, non contengono "tutte le notizie indicatedall'art. 13 ..."), "tutte le informative rilasciate in datasuccessiva, .., non sono idonee a consentire un trattamento di quei datipersonali per comunicazioni commerciali. E' di tutta evidenza come inquest'ultima parte si faccia riferimento non certo al profilo dell'idoneità aisensi dell'art. 13 delle informative -comunque-rilasciate successivamente daPostel, quanto al diverso, specifico profilo (oggetto, peraltro, di successivacontestazione) della lecita utilizzabilità dei dati in esame ex art. 11, comma2, del Codice"; d) "l'omessa informativa deve essere riferita ad unperiodo fino al 31/12/2003 e quindi non più contestabile ai sensi dell'art. 28della legge 689/198".

Leosservazioni difensive di Postel non sono condivisibili per le ragioni cheseguono. In primo luogo va premesso che il DB Postel risulta costituitonell'anno 2006 con l'inserimento di dati personali "presenti nel databasecostituito antecedentemente al primo agosto 2005" (verbale 22 aprile 2009)e che, pertanto, le annotazioni a margine di ciascuna anagrafica dalle quali puòdesumersi il rilascio dell'informativa, devono necessariamente essere almenoriscontrate con quanto emerso nel corso delle attività ispettive. Al riguardo,si devono considerare le dichiarazioni rese dal responsabile della BusinessUnit Marketing di Postel nel corso dell'accertamento del 18 aprile 2010:"i verbalizzanti hanno chiesto alla parte di chiarire se le listeelettorali  acquisite prima dell'anno 2004, così come menzionate a pagina3 del verbale del 22 aprile 2009 e nella nota del 10 novembre 2009 (lettere a e  b) [Š] sono state utilizzate anche per campagne di soggetti"profit". La parte [Š] ha dichiarato che i dati di cui sopra sonoconfluiti nel DB Postel sulla base dei presupposti individuati secondo ilparere reso dal Garante nella nota del 28 ottobre 2005 [parere che, tuttavia,riguarda esclusivamente i dati tratti da elenchi telefonici - Relazione perl'anno 2005 presentata al Parlamento, paragrafo 15.2 "I nuovi elenchitelefonici"]. Sulla base di tali presupposti tali dati sono pertantoancora presenti nel DB Postel e sono stati utilizzati anche nell'ambito dei servizidi campagne commerciali effettuate per conto di soggetti cd."profit"". Risulta quindi che i dati acquisiti tramite listeelettorali da parte di Addressvitt e poi ceduti a Postel fossero(esclusivamente) destinati a trattamenti aventi finalità di marketing (aseguito di un'erronea interpretazione "estensiva" del citato pareredel 28 ottobre 2005): tali dati di certo non erano destinati agli utilizzi dicui all'art. 177, comma 5, del Codice poiché sulla base della citata normativa,le liste elettorali possono essere legittimamente acquisite e detenute solo daisoggetti che annoverino fra le proprie finalità quelle politiche, scientifichee socio-assistenziali previste dal citato art. 177, comma 5 del Codice. Inquesto senso, infatti, si è espresso il Ministero dell'Interno, Direzionecentrale dei servizi elettorali, con circolare n. 162 del 2 ottobre 2006:"L'articolo 51, quinto comma, del d.P.R. n. 223/1967, come sostituitodall'articolo 177, comma 5, del D.Lgs. n. 196/2003, ricollega il rilascio dicopia delle liste elettorali a specifiche finalità ivi definite, nonincludendo, per contro, la possibilità di vendita o di ogni altro utilizzo confini di profitto, invece contemplati nell'originaria versione dell'articolo inquestione. Si è, altresì, ritenuto che le finalità che legittimano il rilasciodelle liste elettorali, oltre che motivate nei sensi di cui sopra, devonoessere proprie del richiedente e, ove si tratti di un ente o diun'associazione, devono essere coerenti con l'oggetto dell'attività di taleorganismo". Nel caso in argomento, l'acquisizione da parte di Addressvitt,la successiva cessione a Postel, la registrazione e l'organizzazione delleliste elettorali in un database, obbedisce ad una logica prettamente economica,coerente con l'attività d'impresa sia di Addressvitt che di Postel, ma estraneaal dettato del citato art. 177, comma 5, del Codice. La ragione dellapermanenza dei predetti dati nel DB Postel, va ricondotta pertanto,coerentemente con le citate dichiarazioni del responsabile della BU Marketing,ad attività di marketing nei confronti di soggetti "profit" chetuttavia potevano essere intraprese, utilizzando dati provenienti da listeelettorali, solo nel caso in cui agli interessati fosse stata fornitaun'informativa in epoca antecedente al 1° gennaio 2004 e fosse poi statoacquisito dagli stessi il correlato consenso al trattamento, coerentemente aquanto indicato nel provvedimento dell'Autorità del 10 giugno 2004. Quanto alsecondo e al terzo punto delle tesi difensive, si evidenzia come ad una analisidelle informative rese nel corso del tempo da Postel debba essere anteposto ilnecessario riscontro documentale degli atti acquisiti negli accertamentiispettivi. Tale riscontro, come già scritto, evidenzia che l'unica informativa pertrattamenti aventi finalità di marketing, resa agli interessati da Postel primadel 1° gennaio 2004 risale al 2001 e quindi non può ricomprendere i datiacquisiti da Addressvitt e ceduti a Postel fra luglio e dicembre 2003. Leulteriori informative, rese a seguito dell'entrata in vigore del Codice e, inparticolare, dell'art. 177, comma 5, non sono idonee, proprio in ragione delmutato quadro normativo, a sanare la predetta omissione. Quanto al quarto puntodelle tesi difensive si deve evidenziare che, come emerso dal provvedimento del18 marzo 2010, i dati tratti da liste elettorali sono stati registrati nel DBPostel senza che agli interessati fosse resa un'informativa contenente tuttigli elementi di cui all'art. 13 del Codice, anche con riferimento alle finalitàdi marketing per soggetti "profit" e che nonostante tale omissione,Postel ha mantenuto tali dati nei propri sistemi al fine di utilizzarli percampagne promozionali di soggetti "profit". Tale condotta è perdurataalmeno fino all'epoca dei primi accertamenti ispettivi (21 e 22 aprile 2009),ovvero successivamente all'entrata in vigore delle nuove norme sanzionatorie.Si deve ritenere, pertanto, correttamente contestata l'ipotesi di omessainformativa che si è realizzata all'atto della registrazione da parte di Posteldei dati provenienti da Addressvitt ed è perdurata fino all'epoca degliaccertamenti ispettivi del Garante.

b. contestazioni relative a ipotesi di mancataacquisizione del consenso (capo b) dell'atto di contestazione).

Cessionedi dati personali presenti nel "DB Postel" senza il consenso –nel corso dell'accertamento ispettivo del 17 febbraio 2010 il Responsabiledella Business Unit Marketing di Postel ha dichiarato che "My Direct è unservizio che Postel offre da alcuni anni. Come risulta dal sito, attraverso MyDirect si possono acquistare liste di privati, aziende (provenienti  da Telextra),  aziende  (provenienti  da  Dun  & Bradstreet),  comuni  e  alberghi.  Ha specificato che, perquanto riguarda le liste di soggetti privati (tratte dal DB Postel), esse nonvengono  mai  materialmente  consegnate  all'acquirente il  quale  può  soltanto  richiedere  la cd."postalizzazione" delle proprie missive". Il giornosuccessivo, il medesimo Responsabile ha precisato che "qualora il clientenon richieda la "postalizzazione" da parte  di  Postel, [gli indirizzi richiesti tramite il servizio My Direct]  vengono consegnati  allo  stesso  su  formato "etichetta"  predisposta  per  il confezionamento eper il solo invio delle relative comunicazioni postali per le quali sono staterichieste".

Sullabase delle emergenze ispettive il Provvedimento del Garante del 18 marzo 2010ha stabilito che l'invio dati personali su formato "etichetta" aterzi che utilizzano tali dati per l'invio di comunicazioni pubblicitariecostituisce una comunicazione di dati in ordine alla quale Postel non risultaaver acquisito il consenso specifico degli interessati previsto dall'art. 23del Codice. Poiché dalle condizioni generali dei servizi "My Direct"(acquisite mediante la pagina webhttp://wvnv.mydirect.itiListaiassistenza,asp?condizioni=1, ora rimossa) si èpotuto rilevare che, per quanto riguarda la cessione delle liste di soggettiprivati, non è previsto contrattualmente alcun obbligo in capo al cessionario idoneoa limitarne l'utilizzo alla sola applicazione dell'etichetta per l'inviopostale, senza la creazione di un'autonoma banca dati (unica condizioneindividuata nel citato Provvedimento del Garante affinché la comunicazionedegli indirizzi a terzi in tale contesto possa essere considerata lecita),l'Ufficio ha contestato a Postel la violazione dell'art. 23 del Codice, conriferimento ai trattamenti sopra richiamati. Nella memoria difensiva Postel haevidenziato che nelle condizioni generali dei servizi "My Direct"sono presenti passaggi che "vincolano il cliente ad utilizzare i dati diprivati, anche quelli contenuti nelle etichette (ossia solo nominativi edindirizzi), solo per attività di mailing e ad inserire nel proprio mailingl'informativa di Postel. Qualora il cliente procedesse invece ad aggirare talevincolo, annotandosi ed utilizzando i dati riportati sulle etichette anchenell'ambito di una autonoma banca dati, non vi sarebbero dubbi sul fatto chetale condotta costituirebbe una oggettiva violazione delle previsioni sopraindicate e dei principi di buona fede e correttezza nell'esecuzione degliobblighi di cui alle predette condizioni". In sede di audizione Postel hainoltre rappresentato che "con la trasmissione di etichette non si èrealizzata alcuna "cessione" di dati, cessione di diritti etrasferimento della titolarità del trattamento, così come specificatonell'informativa che il cliente Postel ha l'obbligo di inserire nellecomunicazioni".

Letesi difensive di Postel non appaiono condivisibili per i motivi di seguitoelencati. Oltre a richiamare la circostanza che il Provvedimento del 18 marzo2010 ha considerato illeciti i trattamenti sopra descritti imponendone ildivieto e che tale Provvedimento non è stato impugnato da Postel (anzi, in sededi memoria difensiva Postel ha dichiarato di aver "proceduto, per le ListePrivate Postel acquistabili per attività di mailing tramite My Direct, asospendere temporaneamente la modalità relativa alla consegna etichettecontenenti dati tratti dal DB Postel e a rafforzare le previsioni già presentinelle condizioni generali dei servizi, inserendo puntuali obblighi per ilcliente circa l'utilizzo dei dati predetti a fini di mailing, in analogia aquanto già previsto per le liste di operatori economici ed istituzionali")deve osservarsi che: a) l'art. 4, comma 1, lett. l), del Codice considera"comunicazione", "il dare conoscenza dei dati personali a uno opiù soggetti determinati [Š] in qualunque forma, anche mediante la loro messa adisposizione o consultazione"; b) tale qualificazione prescinde dallapossibilità che chi riceve i dati possa poi lecitamente utilizzarli in qualitàdi autonomo titolare ma si configura nel momento in cui i dati giungono a suaconoscenza; c) in base al Provvedimento del Garante del 18 marzo 2010 talequalificazione viene meno, nello specifico caso dei dati ceduti da Postelmediante il servizio My Direct, solo in presenza di obblighi in capo alcessionario, posti a tutela degli interessati, univocamente diretti a escluderela registrazione dei dati in un'autonoma banca-dati per un successivo utilizzo;d) nelle condizioni generali dei servizi My Direct non sono previsti limitiall'utilizzo dei dati di persone fisiche (denominati "soggettiprivati") nel senso precisato nel Provvedimento del Garante del 18 marzo2010. Tali limiti sono previsti solamente per l'utilizzo dei dati di personegiuridiche e aziende ("Operatori economici e istituzionali") per iquali Postel impone di "non copiare, decuplicare o cedere a terzi talidati, né utilizzarli per operazioni diverse dalla suddetta attività di mailingo di telemarketing". La mancanza di un'analoga specifica condizione conriferimento ai dati delle persone fisiche conferma che Postel ha proceduto aduna indebita comunicazione dei predetti dati inviandoli in formato"etichetta" ai propri clienti, i quali non avevano vincolicontrattuali tali da escludere un eventuale ulteriore riutilizzo.

Trattamentosenza il consenso dei dati provenienti da liste elettorali presenti nel"DB Postel" – come ampiamente argomentato con riferimento allaviolazione dell'obbligo di informativa non può che ribadirsi che già gliaccertamenti ispettivi dell'aprile 2009 hanno evidenziato la presenza nel DBPostel di una rilevante porzione di dati personali tratti da liste elettoraliche Postel ha acquisito sia direttamente dai Comuni sia da società terze,quale, ad esempio, Addressvitt s.r.l. che ha ceduto i propri dati fra luglio edicembre 2003. Gli accertamenti hanno altresì evidenziato l'utilizzo di talidati per finalità di marketing.

Alriguardo, si richiama integralmente quanto già osservato in ordine al regimenormativo che regola l'acquisizione e l'utilizzo dei dati personali tratti daliste elettorali, in base alle disposizioni di cui all'art. 177, comma 5, delCodice (in vigore dal 1° gennaio 2004), che ha modificato l'art. 51, comma 5,del d.P.R. n. 223/1967. Si richiama altresì il contenuto del provvedimento delGarante in data 10 giugno 2004 e la correlata osservazione in base alla qualeun legittimo utilizzo dei dati personali tratti da liste elettorali prima del2004 per finalità di marketing può avvenire solo se sia stata fornita agliinteressati, antecedentemente a tale anno, un'idonea informativa (nella qualesia reso esplicito l'utilizzo dei dati per la predetta finalità di marketing) esia stato acquisito un consenso specifico per tale finalità. L'Ufficio,rilevando che nel Provvedimento del 18 marzo 2010 risultava accertato chePostel ha registrato, organizzato nel DB Postel, utilizzato e ceduto dati personalitratti da liste elettorali per attività di marketing, senza aver acquisito unospecifico consenso, ha contestato la relativa violazione ai sensi dell'art.162, comma 2-bis, del Codice.

Lasocietà, nelle memorie difensive, oltre a ribadire quanto osservato conriferimento alla contestazione sulla mancanza di informativa, ha evidenziatoche:

1) nelProvvedimento del Garante del 18 marzo 2010 "non è [Š] dato riscontrarealcun rilievo rispetto all'assenza di uno specifico consenso per il trattamentoe, in particolare, per la "cessione" dei dati in questione [Š]. Si èdell'avviso dunque che, anche per questo aspetto, l'Atto si discosti in modoassai discutibile da quanto formalmente accertato e rilevato nel Provvedimento,facendo emergere per la prima volta, accanto ed in sovrapposizione alla giàcriticata contestazione dell'omissione di informativa, un altro, rilevante enuovo profilo di violazione [Š]";

2)"Il profilo di violazione da ultimo rilevato appare, peraltro, infondato,atteso che l'aspetto della eventuale cessione dei dati di privati, ivi inclusiquelli tratti da liste elettorali -ove utilizzabili per le distintecomunicazioni commerciali di soggetti profit (in numero ridotto), politiche edi enti no-profit-, viene ad emergere esclusivamente in relazione alla suddettaattività di consegna etichette, già fatta oggetto, per quanto attieneall'assenza del consenso, di separata contestazione [Š]."; 3) "ilparere 28.10.05 del Garante e, soprattutto, l'art. 19 bis del d.l. n. 273/2005,conv. con modif. nella l. n. 51/2006 -che, come noto, ha previsto una derogaalle norme del Codice Privacy per l'uso di talune tecniche di comunicazione adistanza (quali la posta) di cui all'art. 58, comma 2, del d.lgs. n. 206/2005recante il Codice del Consumo-, rendevano comunque ammissibile, anche senza ilconsenso degli interessati, il trattamento svolto da Postel (senzacomunicazione o cessione a terzi) per finalità di invio di comunicazionicommerciali da parte di soggetti profit". Nel corso dell'audizione la parteha inoltre specificato che "la violazione non sussiste in quanto iltrattamento era un trattamento illecito in radice, in quanto contrario all'art.11 (limitatamente alle comunicaz. commerciali) e non sarebbe sanabile neancheacquisendo un consenso successivamente all' 1/1/2004".

Leosservazioni difensive sono poi nello specifico da rigettare: quanto alla primaeccezione, deve rappresentarsi che il Provvedimento del Garante del 18 marzo2010 ha evidenziato i profili di illegittimità dai quali deriva il divieto deltrattamento disposto ai sensi dell'art. 154, comma 1, lett. d), del Codice,rinviando ad un autonomo procedimento sanzionatorio "la sussistenza deipresupposti per contestare le violazioni amministrative di cui ai paragrafi 2,3 e 4". Con il Provvedimento l'Autorità ha svolto un accertamento,coerentemente con le disposizioni di cui agli artt. 13 e 14 della legge n.689/1981, espletando tutte le attività volte ad acquisire la piena conoscenzadei fatti e demandando poi ad un separato e autonomo procedimento, lacontestazione delle sanzioni correlate con i fatti accertati ed esposti nelProvvedimento medesimo. L'atto di contestazione, d'altra parte, non si èdiscostato dai fatti accertati con il Provvedimento né ha aggiunto elementinuovi rispetto a quelli ivi già evidenziati limitandosi all'individuazione deiprofili di violazione amministrativa e formulando le conseguenti contestazioni.

Quantoalla seconda eccezione, va osservato che l'illecito trattamento dei dati trattida liste elettorali non si riferisce alla sola cessione dei dati personali informato "etichetta" attraverso il servizio "My Direct",circostanza che attiene alla contestazione di cui al capitolo precedente, maalle complessive operazioni di organizzazione, utilizzo e cessione dei datipersonali che, come riferito dal responsabile della Business Unit Marketing diPostel nel verbale del 18 febbraio 2010, sono confluiti nel DB Postel (rectius,sono stati riversati nell'anno 2006 all'interno del nuovo DB Postel) e sonostati utilizzati per attività di marketing per conto terzi. Ciò a seguito diuna errata interpretazione "estensiva" del parere del 28 ottobre 2005(con il quale il Garante, come già evidenziato in precedenza, ha individuatoforme e modalità di utilizzo dei dati personali tratti da elenchi telefoniciprima del 1° agosto 2005) ritenendo che tale orientamento si estendesse ancheai dati tratti da liste elettorali prima del 1° gennaio 2004.

Inmerito alla terza eccezione, oltre a richiamare quanto appena osservato inordine all'estraneità del parere del 28 ottobre 2005 con la materiadell'utilizzo dei dati provenienti da liste elettorali, si deve osservare chela disposizione introdotta con l'art. 19-bis del d.l. n. 273/2005 che prevedeper il "professionista" (persona fisica o giuridica nell'eserciziodella propria attività commerciale o imprenditoriale) la possibilità diutilizzare la posta cartacea per comunicazioni commerciali individuali in basea quanto previsto dall'art. 58 del Codice del consumo, anche in deroga alle disposizionidel Codice in materia di protezione dei dati personali, attiene alla regolagenerale del consenso espresso, introducendo, limitatamente all'uso di questostrumento (comunicazione postale), il principio dell'opt-out (consentendo cioèal professionista di utilizzare i dati personali anche senza il consensoespresso degli interessati, salvo il diritto di opposizione). L'effetto di talederoga non riguarda però i dati tratti da liste elettorali,  disciplinapubblicistica regolata dal Testo Unico del 1957, così come modificata dall'art.177, comma 5, del Codice, più volte citato. Tale intervento normativo hainfatti definitivamente sottratto la materia dell'utilizzo delle listeelettorali da quello più generale dell'utilizzo di dati personali di fonte pubblicautilizzabili anche per altre finalità (tra le quali quelle di marketing),determinandosi, per tale ragione, anche l'inapplicabilità alla materia dellederoghe generali previste dall'art. 58, comma 2, del Codice del consumo. Quantoal motivo eccepito nel corso dell'audizione, nell'evidenziare che la difesa diPostel ha ammesso, in tale contesto, l'illegittimità dei trattamenti inargomento, deve rigettarsi l'assunto in base al quale non sia ravvisabile nelcaso di specie una fattispecie sanzionatoria con riferimento all'illecitotrattamento. Infatti, l'utilizzo dei dati personali di fonte pubblica puòlegittimamente svolgersi senza il consenso dell'interessato, in base a quantostabilito dall'art. 24 del Codice. Tale trattamento diventa però illecito, perviolazione dell'art. 23, nel caso in cui, come accertato nei confronti diPostel, i dati provenienti da liste elettorali acquisiti prima del 2004 e non"regolarizzati" mediante l'acquisizione del consenso degliinteressati, siano stati successivamente utilizzati per finalità di marketing.

Siritiene conclusivamente sul punto che le violazioni contestate a Postel in temadi consenso per la comunicazione di dati tratti dal DB Postel mediante ilservizio My Direct e per il trattamento dei dati provenienti da listeelettorali presenti nel "DB Postel" siano sussistenti.

Applicazionedel regime sanzionatorio successivo all'entrata in vigore dell'art. 20-bis,comma 1, della legge 20 novembre 2009, n. 166, di conversione del d.l. 25settembre 2009, n. 135 – In accoglimento delle richieste difensive sulpunto, si ritiene invece che, con riferimento alla contestazione delleviolazioni dell'art. 23 del Codice, debba essere applicata la normasanzionatoria dell'art. 162, comma 2-bis, nella sua attuale formulazione, invigore dal 25 novembre 2009, attesa la più volte richiamata natura permanentedelle condotte illegittime e la circostanza che tali condotte sono emersenell'ambito dell'accertamento ispettivo del febbraio-marzo 2010.

c. contestazioni relative a ipotesi di mancatoriscontro alle richieste del Garante (capo c) dell'atto di contestazione).

Perla descrizione delle circostanze che hanno determinato la contestazione dellaviolazione amministrativa di cui all'art. 164 del Codice, si fa integraleriferimento a quanto esposto nell'atto di contestazione e, più in particolare,alla cronologia dei fatti dai quali emerge che in due occasioni Postel haomesso di fornire un pieno riscontro alle richieste dell'Ufficio del Garante inordine alle attività di marketing svolte dalla società e alle fonti diacquisizione dei dati personali.

Nellememorie difensive la parte ha osservato, quanto al primo episodio (omessoriscontro alla richiesta di rappresentare quali fossero le attività dimarketing svolte da Postel e il relativo utilizzo di dati personali) "chenei paragrafi 1, 2 e 3 del Provvedimento non emerge alcun rilievo in ordine atale ulteriore profilo di violazione, del tutto inaspettato visto anche ilclima di ampia e fattiva collaborazione in cui si sono svolti gli accertamentiispettivi. [Š] Una condotta omissiva di tale rilevanza avrebbe dovuto essereacclarata, in primis, dal Garante, così come è avvenuto per altri profili dipossibili illeciti rilevati nel provvedimento, per i quali l'Autorità si èriservata appunto di verificare, con autonomo procedimento, la sussistenza deipresupposti per contestare le violazioni amministrative. [Š] Ad avviso dellascrivente Società non esiste alcun nesso tra la prima richiesta e leinformazioni fornite nel secondo accertamento, frutto di una assai discutibilericostruzione operata nell'Atto che non tiene conto delle modalità di concretosvolgimento delle operazioni ispettive e di formulazione delle richieste diinformazione o documenti, nonché di loro verbalizzazione. In ogni caso,l'evidenziata incompletezza della risposta alla prima richiesta avrebbe dovutoessere contestata immediatamente nel corso del secondo accertamento ispettivoo, comunque, tempestivamente nei termini previsti dall'art. 14 l. n. 689/81,posto che, secondo quanto rilevato nell'Atto, tale accertamento ("conconseguente aggravio dei tempi e dei costi": v. pag. 8) si sarebbe resonecessario ai causa dei mancati riscontri forniti da Poste' nel primoaccertamento del 21 e 22 aprile 2009". Quanto al secondo episodio (omessoriscontro alla richiesta di indicare le fonti di acquisizione dei datipersonali che confluiscono nel DB Postel e nel DB Aziende) la parte haosservato che: "non può farsi a meno di sottolineare come lo stessorisulti manifestamente destituito di ogni fondatezza [Š]. Infatti, per i datidi privati cd. "consensati" di provenienza Telextra risulta accertatocome gli stessi dati siano stati oggetto di tre specifiche fornitureoccasionali nel 2007 e 2008 e non siano poi confluiti nel DB Postel e nel DBAziende, come specificamente richiesto nel corso del primo accertamentoispettivo. Per cui, anche in questo caso non sembrano configurabili profili diincompletezza nel riscontro fornito rispetto a tale iniziale specificarichiesta dei verbalizzanti a ciò incaricati per conto del Garante. [Š] Siobietta, infine, che gli asseriti, mancati riscontri di Postel in ordine allepredette occasionali forniture possano aver avuto impatti rilevanti sugliulteriori supplementi istruttori e sugli accertamenti ispettivi poi svolti nelfebbraio 2010 [Š]. Comunque, per le stesse ragioni sopra esposte, si tratta diun profilo di violazione che non è stato contestato immediatamente nel corsodel secondo accertamento ispettivo o, comunque, tempestivamente nei terminiprevisti dall'art. 14 l. n. 689/81, come invece avrebbe dovuto atteso che,secondo quanto specificato nell'Atto, "l'effettuazione di un supplementoistruttorio" si sarebbe resa necessaria proprio per l'incompleto riscontrofornito da Postel nel primo accertamento". Nel corso dell'audizione laparte ha poi osservato che, per quanto riguarda il primo episodio, "ilfatto che non si sia dato riscontro rispetto a quel servizio non corrispondealla volontà di Postel di nascondere un canale di vendita" e, per quanto riguardail secondo episodio, esso "riguarda elementi marginali che non sono statitenuti presenti nel momento della risposta trattandosi di forniture occasionalidi dati che non sono mai confluiti nel DB Postel e nel DB Aziende".

Leosservazioni di Postel non sono condivisibili sotto diversi aspetti: 1) ilProvvedimento del Garante non fa menzione delle condotte omissive della societàin occasione della richiesta di informazioni dell'Ufficio perché con esso siprendono in considerazione gli aspetti giuridici del trattamento dei datipersonali in esame e non i comportamenti tenuti dai soggetti nei cui confrontisono state svolte le visite ispettive. Al riguardo, comunque, deve evidenziarsiil contenuto della nota n. 6882/63150 del 25 marzo 2010, richiamata nell'attodi contestazione, con la quale il Dipartimento comunicazioni e reti telematicheha trasmesso gli atti al Dipartimento attività ispettive e sanzioni, notarichiamata nell'atto di contestazione. Con essa il Dipartimento che ha curatol'istruttoria del procedimento amministrativo, al punto 4 "Omessainformazione o esibizione al Garante (art. 164)", richiede al Dipartimentoispettivo, competente sulla base di quanto previsto all'art. 16 del Regolamenton.1/2007 (concernente le procedure interne all'Autorità aventi rilevanzaesterna) di procedere alla contestazione della violazione di cui all'art. 157del Codice (sanzionata dall'art. 164), con riferimento alle nuove circostanzeemerse nell'accertamento ispettivo del 17 e 18 febbraio 2010; 2) le contestazionisono state formulate con atto del 13 aprile 2010, notificato a Postel il 25maggio 2010. Anche volendo accedere alla tesi difensiva (peraltro noncondivisibile) circa l'autonomia delle contestazioni di cui all'art. 164 delCodice rispetto al complessivo procedimento conclusosi con l'adozione delProvvedimento del 18 marzo 2010, al solo fine retrodatare i termini previstidall'art. 14 della legge n. 689/1981 al momento della conclusione degliaccertamenti ispettivi, risulterebbe la tempestività della notificazionedell'atto di contestazione a Postel. Infatti, gli accertamenti ispettivirisultano conclusi in data 1° marzo 2010, data in cui la società, ascioglimento delle riserve poste a verbale del 18 febbraio 2010, ha prodotto ladocumentazione richiesta dall'Ufficio e indicata nel predetto verbale. Pertantola data del 1° marzo 2010 è quella in cui l'Ufficio ha avuto per la prima voltaa disposizione la complessiva documentazione sugli accertamenti svolti erispetto a tale data, che, si ribadisce, corrisponde a quella su cui si basanole eccezioni formali della difesa di Postel, l'atto di contestazione è statoportato a conoscenza di Postel nel termine di novanta giorni previsto dall'art.14 della legge n. 689/1981; 3) richiamando la ricostruzione in fatto fornitanell'atto di contestazione, sulla quale nulla obietta la difesa di Postel, sideve osservare che le richieste di informazioni formulate dall'Ufficio neiconfronti di Postel risultano chiaramente comprensibili e sono state precedutedalla consegna degli ordini di servizio che specificavano l'oggettodell'accertamento: "verificare l'osservanza delle disposizioni in materiadi dati personali nell'ambito dei servizi di marketing, formazione, gestione ecessione di banche dati e elenchi anagrafici nonché delle altre informazioniutilizzabili per l'effettuazione di campagne promozionali". Rispetto atali richieste, il cui tenore non appare equivocabile, Postel ha omesso dirappresentare al Garante di aver svolto attività di marketing tramite ilservizio "My Direct" e di aver acquisito dalla società Telextra nonsolo dati relativi ad aziende, ma anche dati di persone fisiche provenienti dalDBU (i cd. "consensati"); 4) i dati provenienti da Telextra nonrisultano essere stati oggetto di forniture occasionali ma, come evidenziatonel capitolo del presente atto dedicato alle violazioni in materia diinformativa, a cui ci si riporta, risultano essere confluiti nel DB Postel,come emerso dal confronto fra i documenti trasmessi con nota del 1° marzo 2010e quelli di cui alla nota del 4 maggio 2009; 5) i mancati riscontri dellasocietà circa il complesso delle attività di marketing, fra le quali non puòcerto ritenersi esclusa "My Direct", e circa le fonti dialimentazione del DB Postel ha influito sui tempi dell'istruttoria e avrebbeinfluito anche sui complessivi esiti dell'accertamento se tali esiti nonfossero stati messi a confronto con le risultanze delle attività diaccertamento poste in essere nei confronti di Telextra e se non fosse statodisposto dall'Autorità un supplemento ispettivo: l'aggravio dei tempi e deicosti delle attività di accertamento conseguente all'incompleto riscontro allerichieste del Garante è documentato proprio dallo svolgimento di un'ulterioreattività ispettiva, i cui elementi hanno formato oggetto di esame nei capitoli3 e 4 del Provvedimento del 18 marzo 2010. L'aver taciuto al Garante leinformazioni sopra evidenziate integra pienamente l'illecito amministrativoprevisto dall'art. 164 del Codice.

d. contestazioni relative a ipotesi di piùviolazioni in relazione a banche dati di particolare rilevanza (capo d)dell'atto di contestazione).

L'attodi contestazione evidenzia che le violazioni di cui agli artt. 161 e 162, comma2-bis, del Codice, come sopra esaminate nel dettaglio, si riferiscono a banchedati di particolare rilevanza e dimensioni. Per l'effetto, l'Ufficio hacontestato a Postel anche la violazione di cui all'art. 164-bis, comma 2, delCodice. Al riguardo, Postel, richiamando anche le specifiche osservazionidifensive formulate per ciascuna delle contestate violazioni, ha inoltrerappresentato che: "diverse violazioni oggetto di contestazione, comespecificamente osservato nei suddetti punti relativi ad ogni singolo profilodescritto nell'Atto, sono state commesse in tempi antecedenti all'entrata invigore del citato art. 164-bis del Codice, introdotto dalla l. n. 14/09 diconv. del d.l. n. 207/08, con conseguente sua inapplicabilità; molte dellepredette violazioni riguardano attività di mailing postale (e non di telemarketing)e non sono comunque riferibili a banche dati di particolare rilevanza odimensioni, così come genericamente indicato nel capo di contestazione, venendoin concreto ad aver riguardato: ridotte partizioni del database Postel (v, ades. il circoscritto numero di dati tratti da liste elettorale utilizzabili perscopi di comunicazione commerciale), circoscritte forniture occasionali di dati(come emerso per i privati ed i consensati di provenienza Telextra), banchedati comunque pubblicamente accessibili come i dati di aziende tratti daglielenchi telefonici ed. categorici di Telextra (disponibili anche on-line);limitate modalità di loro utilizzo e comunicazione, come la consegna dietichette cartacee, che non paiono presentare aspetti di particolare rischioper i diritti degli interessati". Nel corso dell'audizione del 13 aprile2010, Postel ha evidenziato, con riferimento alle contestazioni per le quali èintervenuto il pagamento in forma abbreviata, che: "in applicazione dianaloghi principi in materia sanzionatoria (es. art. 12, d.lg. 472/97), l'art.164-bis, comma 2, sia una disposizione da applicarsi in sostituzione dellesanzioni che il predetto articolo va a cumulare in relazione all'esistenza dibanche dati di rilevanti dimensioni (circostanza che la parte ritiene siconfiguri come "aggravante"). Ritiene pertanto che, analogamente alcaso di archiviazione, in caso di pagamento in forma abbreviata non siaapplicabile la sanzione più grave sostitutiva delle sanzioni base cumulate aifini dell'applicazione dell'art. 164-bis".

Richiamandole precedenti valutazioni in ordine alla sussistenza delle singole fattispecie,si deve preliminarmente osservare inoltre che, con riferimento alla naturadelle banche dati prese in esame nell'atto di contestazione, come emerge dalProvvedimento, il DB Postel "ha una consistenza numerica di circa24.000.000 di record" ed è stato alimentato con dati provenienti da listeelettorali "ante 2004" e dati provenienti da elenchi telefonici"ante 2005". Il DB Aziende si compone di circa 2.000.000 di recordprovenienti da Telextra e 1.650.000 record di fonte Dun & Bradstreet.All'interno del DB Postel, in base alle dichiarazioni rese dalla società, idati tratti da liste elettorali che sono stati destinati a comunicazionicommerciali sono 1.600.000. Sempre in base alle dichiarazioni rese da Postel, idati tratti dal DB Postel che sono stati comunicati a terzi negli anni 2008 e2009 mediante il servizio My Direct sono 1.400.000. Appare pertantoincontestabile che le banche-dati di Postel in relazione alle quali risultanocommesse le violazioni siano "di particolari dimensioni", così comerichiesto dall'art. 164-bis del Codice. Inoltre, per taluni dei predettidatabase, risulta corretta anche la qualificazione di banca dati "diparticolare rilevanza": per quanto riguarda, infatti, i dati tratti daelenchi telefonici "ante 2005" giova ricordare che il Garante, conprovvedimento del 12 marzo 2009, pubblicato su G.U. n. 66 del 20 marzo 2009, ha dettato delle "prescrizioni ai titolari di banche dati costituite sullabase di elenchi telefonici formati prima del 1° agosto 2005". In taleprovvedimento si richiama espressamente la sanzione di cui all'art. 164-bis,comma 2, qualificando pertanto le banche dati formate sulla base degli elenchitelefonici "ante 2005" di "particolare rilevanza",indipendentemente dalla numerosità del database. Tale qualifica riguarda anchei dati tratti da liste elettorali, attesa la specialità della disciplina che neregola l'acquisizione e l'utilizzo in base a norme rafforzate rispetto alledisposizioni generali in materia di trattamento di dati provenienti da fontepubblica. Per quanto riguarda l'epoca di commissione delle violazionipresupposte, si richiama quanto argomentato con riferimento alle violazioniattinenti all'obbligo di informativa, circa la natura permanente della condottaillecita sanzionata. Per quanto riguarda la violazione relativa alla cessionedelle anagrafiche mediante il servizio "My Direct", è emersodocumentalmente, ed è stato ammesso dalla parte, che tale cessione è avvenutaanche nel corso dell'anno 2009, e quindi nella vigenza della normasanzionatoria di cui all'art. 164-bis, comma 2. Per quanto riguarda, infine, laviolazione relativa al trattamento senza consenso dei dati tratti da listeelettorali, giova evidenziare ancora una volta quanto dichiarato dalresponsabile della Business Unit Marketing di Postel a verbale del 18 febbraio2010 e cioè che "tali dati sono [Š] ancora presenti nel DB Postel e sonostati utilizzati anche nell'ambito dei servizi di campagne commercialieffettuate per conto di soggetti cd. "profit"", da cui si evincela natura permanente della condotta sanzionata attesa la registrazione,organizzazione e conseguente conservazione dei dati di cui sopra nel DB Postel,così come specificato nell'atto di contestazione. Risulta quindi ampiamenteprovato in atti non solo che Postel ha commesso più violazioni delledisposizioni richiamate dall'art. 164-bis, comma 2, ma anche che ha proseguitotale attività illecita successivamente all'entrata in vigore delle nuove normesanzionatorie, avvenuta il 31 dicembre 2008.

Inordine al profilo evidenziato nel corso dell'audizione, oltre a sottolineare lanon attinenza del richiamo in via analogica a disposizioni sanzionatoriespeciali in materia tributaria, deve osservarsi che l'illecito previstodall'art. 164-bis, comma 2, configura una "fattispecie complessa",collegata ma autonoma rispetto a quelle presupposte, tra le quali ricorrono,come nel caso di specie, quelle di cui agli artt. 161 e 162, comma 2-bis. Laviolazione di cui all'art. 164-bis, comma 2, è infatti punita con una sanzioneautonomamente quantificabile e non rapportata alle sanzioni delle correlateviolazioni. Inoltre, il procedimento sanzionatorio che si instaura con lacontestazione della violazione di cui all'art. 164-bis, comma 2, si differenziada quello relativo alle altre violazioni per l'inapplicabilità dell'art. 16della legge n. 689/1981 in tema di pagamento in misura ridotta. Già nella suastruttura formale, pertanto, l'art. 164-bis, comma 2, ha pertanto lecaratteristiche tipiche della fattispecie sanzionatoria autonoma (condotta esanzione pecuniaria prevista tra un minimo e un massimo); l'alternatività dellasanzione di cui all'art. 164-bis, comma 2, del Codice rispetto a quelle di cuiagli artt. 161 e 162, comma 2-bis, non è supportata da alcun elemento letteralee logico. La norma de quo infatti tutela un bene giuridico ulteriore e diversorispetto a quello offeso dalle singole violazioni presupposte, poiché maggiore èla lesione che si determina ai diritti oggetto di tutela da parte del Codicequando dette plurime violazioni riguardano non singoli dati ma, come nel casodi specie, intere banche-dati di particolare rilevanza e dimensioni costituiteda dati appartenenti a milioni di interessati.

RILEVATO,quindi, che Postel, sulla base delle considerazioni sopra richiamate, risultaaver commesso:

a) lediverse violazioni di cui agli articoli 13 e 161 del Codice, per le quali è giàintervenuto pagamento in forma abbreviata ma che in questa sede devonoritenersi sussistenti ai fini della configurabilità della violazione di cuiall'articolo 164-bis, comma 2, del Codice;

b) laviolazione di cui all'articolo 162, comma 2-bis, in relazione all'art. 167 delCodice, per aver effettuato trattamenti di dati personali, costituiti dallacessione di dati presenti nel "DB Postel" senza aver acquisito dagli interessatiuno specifico consenso ai sensi dell'art. 23 del Codice;

c) laviolazione di cui all'articolo 162, comma 2-bis, in relazione all'art. 167 delCodice, per aver effettuato trattamenti costituiti dalla registrazione,organizzazione nel "DB Postel", utilizzo e cessione di datipersonali, tratti da liste elettorali, per attività di marketing, fuori dallefinalità di cui all'art. 177 del Codice, senza aver acquisito dagli interessatiuno specifico consenso ai sensi dell'art. 23 del Codice;

d) laviolazione di cui all'art. 164, in relazione all'art. 157 del Codice, per nonaver fornito, in due occasioni, un pieno e tempestivo riscontro alla richiestadi informazioni ed esibizione di documenti effettuata dal Garante ai sensidell'art. 157 del Codice;

e) laviolazione di cui all'art. 164-bis, comma 2, del Codice, per aver commesso leviolazioni sub a), b) e c) in relazione a banche di dati di particolarerilevanza e dimensioni;

VISTOl'art. 162, comma 2-bis, che punisce la violazione dell'art. 23 con la sanzioneda diecimila a centoventimila euro; l'art. 164, che punisce il mancatoriscontro alle richieste del Garante con la sanzione da diecimila asessantamila euro; l'art. 164-bis, comma 2, che, in caso di più violazioni diuna o più di una delle disposizioni di cui agli artt. 161 e 162, comma 2-bis,commesse anche in tempi diversi in relazione a banche di dati di particolarerilevanza o dimensioni, prevede l'applicazione di una sanzione da cinquantamilaa trecentomila euro;

CONSIDERATOche, ai fini della determinazione dell'ammontare della sanzione pecuniaria,occorre tenere conto, ai sensi dell'art. 11 della legge 24 novembre 1981 n.689, dell'opera svolta dall'agente per eliminare o attenuare le conseguenzedella violazione, della gravità della violazione, della personalità e dellecondizioni economiche del contravventore;

PRESOATTO delle considerazioni espresse da Postel in ordine al recepimento delProvvedimento inibitorio del 18 marzo 2010 con conseguente blocco deitrattamenti per finalità di marketing dei dati provenienti da liste elettorali,sospensione temporanea della modalità di consegna delle etichette per attivitàdi mailing tramite il servizio "My Direct" e rafforzamento delleprevisioni contrattuali circa l'utilizzo delle predette etichette;

CONSIDERATOche, nel caso in esame:

a) inordine all'aspetto della gravità, la violazione relativa al trattamento deidati provenienti da liste elettorali, riguardo gli elementi dell'entità delpregiudizio o del pericolo e dell'intensità dell'elemento psicologico, risultaconnotata da elementi specifici dettati dalla circostanza che tale trattamentosi è protratto per sei anni anche in presenza di una disciplina positiva che nestatuiva l'illiceità e che la ricostruzione di tale trattamento in sedeispettiva è stata contrassegnata da più dichiarazioni non collimanti circa lafonte di acquisizione e l'utilizzo dei dati; la violazione di cui all'art. 164del Codice risulta connotata da elementi specifici dettati dalla rilevanzadelle attività di marketing che Postel non ha portato alla conoscenzadell'Autorità, in particolare quelle svolte mediante l'utilizzo del servizio"My Direct";

b) aifini della valutazione dell'opera svolta dall'agente, deve essere consideratoin termini favorevoli il fatto che Postel ha dato puntuale e tempestivoadempimento alle disposizioni del Provvedimento del 18 marzo 2010; devono nelcontempo essere considerate in termini non favorevoli le circostanze che hannodeterminato l'applicazione della sanzione di cui all'art. 164 del Codice e ledichiarazioni in tema di acquisizione e utilizzo dei dati tratti da listeelettorali;

c) circala personalità dell'autore della violazione, deve essere positivamenteconsiderata la circostanza che Postel non risulta avere precedenti specifici intermini di violazioni delle disposizioni del Codice;

d) inmerito alle condizioni economiche dell'agente, si è tenuto conto del fatturatoe del risultato d'esercizio relativi all'anno 2012;

RITENUTOdi dover determinare, ai sensi dell'art. 11 della L. n. 689/1981, l'ammontaredella sanzione pecuniaria,  in ragione dei suddetti elementi valutati nelloro complesso, nella misura di:

- euro100.000,00 (centomila) per le violazioni di cui all'art. 162, comma 2-bis;

- euro40.000,00 (quarantamila) per le violazioni di cui all'art. 164;

- euro200.000,00 (duecentomila) per la violazione di cui all'art. 164-bis, comma 2;

VISTAla documentazione in atti;

VISTAla legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTEle osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazionedel 28 giugno 2000;

RELATOREla dott.ssa Augusta Iannini;

ORDINA

a PostelS.p.A., con sede in Roma, via Carlo Spinola n. 11, in persona del legalerappresentante pro-tempore, di pagare la somma di euro 340.000,00(trecentoquarantamila) a titolo di sanzione amministrativa pecuniaria per leviolazioni indicate in motivazione;

INGIUNGE

allamedesima società di pagare la somma di euro 340.000,00 (trecentoquarantamila),secondo le modalità indicate in allegato, entro 30 giorni dalla notificazionedel presente provvedimento, pena l'adozione dei conseguenti atti esecutivi anorma dall'art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che,entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questaAutorità, in originale o in copia autentica, quietanza dell'avvenutoversamento.

Ai sensidegli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presenteprovvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 5 dicembre 2013

Il presidente
Soro

Il relatore
Iannini

Il segretario generale
Busia