| Garante per la protezione dei dati personali Trattamento di datipersonali tratti da un questionario on-line in assenza di validiconsenso e informativa. Ne risponde anche l'acquirente di liste dicontatti da utilizzare a fini di marketing, indipendentemente dallasua qualificazione giuridica nel contratto di fornitura PROVVEDIMENTO DEL 5APRILE 2012 Registro dei provvedimenti n. 136 del 5aprile 2012 IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI NELLA riunione odierna, in presenza del prof. Francesco Pizzetti,presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. MauroPaissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele DePaoli, segretario generale; VISTO il Codice in materia di protezione dei dati personali (d.lg. 30giugno 2003, n. 196, di seguito Codice) ed, in particolare, gli artt. 4, comma1, lett. f) e g), 28 e 29 relativi all'individuazione delle figure soggettivedel titolare e del responsabile del trattamento di dati personali, nonchè gliartt. 13 e 23 in materia, rispettivamente, di informativa e consensodell'interessato al trattamento dei propri dati personali da parte di soggettiprivati ed, infine, l'art. 130, comma 3 che subordina, tra l'altro,l'effettuazione di chiamate con operatore a fini di invio di materialepubblicitario o di vendita diretta o per il compimento di ricerche di mercato odi comunicazione commerciale alla preventiva acquisizione del consensoinformato dell'interessato; VISTO il provvedimento generale di questa Autorità del RIBADITE le considerazioni già oggetto dei richiamati provvedimentirelative alla corretta individuazione, anche in termini concreti ed effettivi,delle figure soggettive rilevanti in materia di trattamento dei dati personali,con particolare riguardo a quelle del titolare e del responsabile; VISTO l'ulteriore provvedimento generale dell'Autorità del VISTA la documentazione in atti; VISTE le osservazioni dell'Ufficio, formulate dal segretario generaleai sensi dell'art. 15 del Regolamento del Garante n. 1/2000 del 28 giugno 2000; RELATORE il dott. Giuseppe Fortunato; PREMESSO È pervenuta all'Autorità una segnalazione da parte del sig. XY che halamentato la ricezione di chiamate indesiderate a carattere promozionale daparte di Enel Energia S.p.A. sulla propria utenza di telefonia fissa,nonostante l'intestatario ne avesse curato l'iscrizione nel Registro pubblicodelle opposizioni di cui all'art. 130, comma 5 del Codice. In replicaalla richiesta di informazioni formulata dall'Ufficio, la società ha affermatoche i relativi recapiti non sono stati estratti dagli elenchi telefonici, bens“"acquisiti da Consodata S.p.A., società che si occupa di generazione dianagrafiche con consenso per il marketing diretto è e da questa ceduti ad EE invirtù del contratto di fornitura di liste di nominativi stipulato è in data 3dicembre 2010", versato in atti; che, inoltre, le informazionipersonali in questione sono state comunicate dal sig. XY, in quanto possessoredi un telefono cellulare marca Motorola, all'atto della compilazione di unquestionario web sul sito della società Motorola il 1ˇ febbraio 2007 perl'iscrizione al club Motorola Village, attraverso cui beneficiare di "serviziaggiuntivi e di customer care". A seguito di un supplemento di istruttoria, Consodata S.p.A.,destinataria di ulteriore, specifica richiesta di informazioni, non ha provatol'avvenuta acquisizione di un valido consenso informato dell'interessato. Hainfatti dichiarato che "purtroppo è il web server utilizzato è eraconfigurato in modo tale da non mantenere un'associazione diretta tral'indirizzo IP dell'utente e i singoli dati da questi inseriti nel questionarionè un collegamento fra l'indirizzo IP dell'utente e il rilascio delconsenso". Ha ammesso, inoltre, che la manifestazione di volontà delsig. XY è stata in realtà condizionata da "un meccanismo bloccante percui senza consenso le anagrafiche e le risposte inserite non venivano nemmenomemorizzate". In altri termini, "l'utente poteva passare allapagina successiva solo se le precedenti pagine erano state correttamentecompilate", di modo che "in caso di mancata selezione delcheck box di consenso ("no" al trattamento dei dati con fini dipromozione commerciale) i dati non erano salvati e l'utente venivareindirizzato verso una nuova pagina web che indicava la necessità del consensopena la mancata iscrizione al club". La formula utilizzata da Consodata S.p.A. per l'acquisizione del consensoè risultata caratterizzata, tra l'altro, da notevole indeterminatezza, dunqueinidonea ad acquisire una reale consapevolezza da parte dell'interessato suiconcreti destinatari della comunicazione dei suoi dati personali. Ilsegnalante, in effetti, è stato testualmente indotto ad acconsentire algenerico utilizzo dei propri dati "per finalità promozionali e diricerche di mercato e per la comunicazione dei dati (CAMPO BLOCCANTE)"(cfr. punto D28 della legenda versata in atti da Consodata). Anche la versioneestesa del testo dell'informativa che Consodata ha dichiarato essere presentesul sito riporta, quanto ai possibili destinatari della comunicazione dei dati,l'altrettanto generica dicitura di "società che operano nei settori dilargo consumo, grande distribuzione, editoriale, finanziario, automobilistico,servizi ed associazioni benefiche"; con l'avvertenza che il loroelenco "è presente presso la sede di Consodata" e dunque, di fatto,praticamente inaccessibile e non conoscibile dagli interessati. Occorre poi valutare il ruolo ricoperto nella specifica vicenda daEnel Energia S.p.A.. Questa società - la quale, lo si ribadisce, ha acquistato da ConsodataS.p.A. una lista di dati personali in relazione ai quali sarebbe statopreventivamente raccolto il consenso per l'utilizzo a fini commerciali - non èesente da responsabilità con riguardo al trattamento dei dati del segnalante. Sebbene, infatti, il contratto per la "fornitura liste dinominativi nel segmento residenziale" stipulato tra Consodata S.p.A.ed Enel Energia S.p.A. stabilisca, a più riprese, che soltanto la prima societàagisce nella qualità di titolare autonomo del trattamento dei dati personalidei soggetti destinatari delle iniziative commerciali di Enel Energia S.p.A.;che, appunto in tale veste, si obbliga a nominare "i teleseller di Enelè responsabili del trattamento è non prevedendosi alcuna comunicazione oaccesso di Enel alle informazioni", di modo che Enel Energia S.p.A. silimiterebbe, invece, "a dettare è i criteri di individuazione deinominativi da contattare senza alcuna ingerenza nel trattamento dei relatividati" (in tal senso le premesse al contratto, nonchè i suoi artt. 2.2e 12), tuttavia anche Enel Energia S.p.A. deve essere considerata titolare deltrattamento delle informazioni personali dei destinatari delle iniziativecommerciali adottate in suo nome e per suo conto. A questa società competono,infatti, le decisioni di cui all'art. 4, comma 1, lett. f), del Codice. Confortano questo convincimento diversi elementi, che devono essereperaltro valutati anche alla luce dell'orientamento già espresso dal Garantenel richiamato provvedimento n. 230 del 15 giugno 2011 in materia di "titolaritàdel trattamento di dati personali in capo ai soggetti che si avvalgono diagenti per attività promozionali". Vi sono stati evidenziati gliindici che, in termini concreti, consentono di riconoscere la qualifica dititolare, tra l'altro, al soggetto che venga percepito come taledall'interessato (in tal senso, la segnalazione del sig. XY); al soggetto,inoltre, che benefici del contatto promozionale, inteso quale antecedentelogico dell'instaurando vincolo contrattuale tra la stessa Enel Energia S.p.A.e l'utente; a quello che disciplini, regolamentandoli nel dettaglio, modalità,compiti, ruoli e procedure dell'attività di telemarketing. Nella fattispecieall'esame, fin dalle disposizioni del contratto si evince che ad Enel EnergiaS.p.A. compete la scelta in ordine ai criteri di individuazione dei nominativida contattare, dunque alle modalità del trattamento; che, inoltre, i teleselleragiscono "in qualità di responsabili del trattamento come da nominadiretta da parte di Consodata e secondo le indicazioni che la stessa comunicheràdirettamente, fatte salve le intese con il committente" (art. 2.1);che, poi, compete a Enel Energia S.p.A. stessa "mettere a disposizionedi Consodata la piattaforma informatica che sarà necessaria per consentire aConsodata la comunicazione ai teleseller dei dati provenienti dall'archivio dicui in premessa" (art. 4.2). Sono pattiziamente fissati i principi peri quali i contraenti disciplinano congiuntamente le modalità di effettuazionedelle chiamate e le fasce orarie prescelte (art. 4.3 e 4.4) e si obbligano allapreventiva condivisione delle regole ("script") da utilizzare per losvolgimento delle attività (ancora art. 4.4, lett. c)). E ancora: in base alla disposizione dell'art. 4.4. lett. d) siconviene che il teleseller, in caso di esercizio del diritto di opposizione daparte dei soggetti contattati, comunichi "settimanalmente a Consodata -a mezzo del committente (cioè Enel) - le cancellazioni" da effettuare.è anche disciplinata dal contratto la "trasmissione delle richieste aEnel" di coloro che aderiranno alle offerte prospettate, attività checompete ai "responsabili del trattamento" ancorchè conl'ininfluente cautela derivante dal fatto che quei dati "verranno diseguito immediatamente cancellati". Un ulteriore elemento per cui Enel Energia S.p.A. non è esente daresponsabilità in quanto titolare è costituito dalla clausola di manleva, dicui all'art. 12.4, ai sensi della quale Consodata S.p.A. si obbliga a tenereindenne Enel Energia S.p.A., tra l'altro, a fronte di eventuali "sanzionipenali o condanne conseguenti ad azioni in qualsiasi modo proposte e aprovvedimenti di Autorità e pronunce giudiziali è in qualsiasi modo connesseall'utilizzo delle anagrafiche e dei dati contenuti nel data base";con ciò dimostrando la piena consapevolezza di Enel Energia S.p.A. dellapossibile attribuzione di responsabilità alla società committente per fatticonnessi alla gestione di quei dati. è poi la stessa Enel Energia S.p.A. ad ammettere che, a seguito dellaricezione della segnalazione, ha provveduto "a cancellare,conformemente alla volontà manifestata dall'utente, tutti i riferimentiriconducibili all'interessato dalle proprie banche dati" (cfr. ilriscontro alla richiesta di informazioni formulata da questa Autorità); unaesplicita conferma allora che, diversamente da quanto previsto nel contratto,le informazioni personali del Sig. XY, presenti all'interno degli archivi dellasocietà, hanno senz'altro costituito oggetto di trattamento anche da parte diquest'ultima. D'altro canto diversamente argomentando, anche avuto riguardo ad unpunto di vista squisitamente contrattuale, ci si troverebbe di fronte ad unapattuizione - il richiamato accordo tra Consodata S.p.A. ed Enel Energia S.p.A.- nella quale il sinallagma proprio del negozio giuridico posto in essere (ecioè la fornitura, verso corrispettivo, delle liste di dati personali diinteressati che hanno acconsentito alla ricezione di iniziative di caratterecommerciale) risulterebbe di fatto alterato, dal momento che quei datisarebbero destinati, nella formale volontà dei contraenti, a permanere nellasfera giuridica del soggetto fornitore. Questi, infatti, si limiterebbe ariversarli ai propri responsabili, senza possibilità alcuna per l'acquirente dipoterne disporre, nonostante il pagamento del relativo prezzo; con l'innegabilevantaggio di tenere indenne Enel Energia S.p.A. da oneri, obblighi eresponsabilità connessi all'esercizio della titolarità. In tale situazione, tuttavia, l'oggetto stesso del contrattorisulterebbe illecito poichè si realizzerebbe in tal modo un indirettorisultato elusivo delle norme imperative del Codice che disciplinano, appunto,obblighi, oneri e responsabilità del titolare del trattamento di quelleinformazioni. In realtà invece, e per tutti i motivi evidenziati, la disciplinapattizia non corrisponde al reale atteggiarsi dei rapporti, ivi compresi quellirilevanti in materia di protezione dei dati personali: anche Enel EnergiaS.p.A. deve essere, in effetti - lo si ribadisce - correttamente qualificatatitolare del trattamento dei dati personali del segnalante; con l'effetto che,in tale accertata qualità, a questa società sono da ritenersi applicabili lespecifiche prescrizioni adottate dal Garante nel menzionato provvedimentogenerale del 29 maggio 2003, segnatamente quelle relative alla fattispeciedell'acquisto di banche dati ed, in particolare, il principio per il quale"chi acquisisce la banca dati deve accertare che ciascun interessato abbiavalidamente acconsentito alla comunicazione del proprio indirizzo di postaelettronica ed al suo successivo utilizzo ai fini di invio di materialepubblicitario". Non v'è dubbio che il medesimo principio debba essereapplicato anche con riguardo alle attività promozionali effettuate utilizzandomezzi diversi dalla posta elettronica (nella fattispecie in esame, letelefonate con operatore), che sono vincolate all'obbligo della preventivaacquisizione del consenso dell'interessato. TUTTO CIÒ PREMESSO In considerazione delle ragioni esposte e della ricostruzione fattualee giuridica effettuata, tenuto conto dunque che anche Enel Energia S.p.A. deveessere qualificata titolare del trattamento dei dati personali dei destinataridi iniziative promozionali contenuti nella lista che questa società haacquistato da Consodata S.p.A. e che, pertanto, sulla stessa Enel EnergiaS.p.A. gravano, tra gli altri, gli obblighi di accertamento e di verifica deisingoli consensi asseritamente prestati dagli interessati; constatato cheEnel Energia S.p.A. ha dichiarato di aver già provveduto alla cancellazione,dai propri archivi, dei dati personali del sig. XY; in considerazione delfatto che l'art. 11, comma 2, del Codice prevede che i dati trattati inviolazione della normativa in materia di protezione dei dati personali nonpossano essere utilizzati e che al Garante, ai sensi degli artt. 143, comma 1,lett. b) e c) e 154, comma 1, lett. d), del Codice, spetta il compito divietare anche d'ufficio il trattamento illecito o non corretto dei dati; ravvisata, pertanto, la necessità dell'adozione, nei confronti dellasola Consodata S.p.A., di un provvedimento volto a disporre il divieto deltrattamento di tutti i dati personali tratti dal questionario Motorola megliodescritto in precedenza, illecito in quanto relativo all'utilizzo, per finalitàcommerciali, di informazioni personali in carenza del valido consenso informatodegli interessati; reputato opportuno che la conseguente inutilizzabilità di tali datipersonali venga portata a conoscenza anche dei terzi ai quali essi siano statieventualmente comunicati da Consodata S.p.A. in adempimento di ulterioricontratti di fornitura analoghi a quello posto in essere con Enel EnergiaS.p.A. e riservata ogni iniziativa e valutazione, anche con separatiprocedimenti, in ordine alla liceità dei trattamenti di quei dati personalieventualmente effettuati da tali soggetti terzi; considerato anche che,ai sensi dell'art. 170 del Codice, chiunque, essendovi tenuto, non osserva ilpresente provvedimento di divieto è punito con la reclusione da tre mesi a dueanni e che, ai sensi dell'art. 162, comma 2-ter del Codice, in caso diinosservanza è altres“ applicata in sede amministrativa, in ogni caso, lasanzione del pagamento di una somma da trentamila a centottantamila euro; IL GARANTE a) dichiara illecito il trattamento di dati personali posto inessere da Consodata S.p.A., con sede legale in Roma, Via Mosca n. 43A/45, perla fornitura e l'utilizzo dei dati personali del segnalante e di tutti glieventuali altri interessati i cui dati, utilizzati per finalità di comunicazionipromozionali, siano stati acquisiti per il tramite del medesimo questionarioon-line disponibile sul sito della Motorola senza che sia stata rilasciataidonea informativa ai sensi dell'art. 13, comma 4 del Codice e che risulti laprova documentata di aver acquisito il consenso preventivo, specifico, libero einformato degli interessati ai sensi degli artt. 23 e 130 del Codice; b) dispone, ai sensi degli artt. 143, comma 1, lett. c) e 154,comma 1 lett. d) del Codice, il divieto del trattamento dei dati personali dicui al punto precedente effettuato da Consodata S.p.A.; per l'effetto; c) dispone che Consodata S.p.A. renda edotti tutti coloro aiquali tali dati personali sono stati eventualmente comunicati in adempimento dicontratti di fornitura analoghi a quello posto in essere con Enel EnergiaS.p.A. circa l'inutilizzabilità dei medesimi dati a fini promozionali, poichècarenti di un valido consenso informato; che, inoltre, di tale adempimento diacomunicazione al Garante entro il termine di 60 giorni dalla notificazione delpresente provvedimento specificando nel dettaglio i soggetti destinatari ditale comunicazione; d) dichiara illecito, in assenza di un valido consenso informato,il trattamento dei dati personali del segnalante effettuato da Enel EnergiaS.p.A., con sede in Roma, Viale Regina Margherita n. 125, per l'effettuazionedi chiamate a carattere commerciale; e) alla luce dell'accertata illiceità dell'attività ditrattamento dei dati personali svolta sino ad oggi, ciascuna per la parte dipropria competenza, da Consodata S.p.A. ed Enel Energia S.p.A., e delleconseguenti violazioni disciplinate dalla normativa sulla protezione dei datipersonali, dispone la trasmissione degli atti al competente Dipartimento perl'avvio dei conseguenti procedimenti sanzionatori. Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011,avverso il presente provvedimento può essere proposta opposizione all'autoritàgiudiziaria ordinaria, con ricorso dinanzi al tribunale ordinario del luogo overisiede il titolare del trattamento dei dati, entro il termine di trenta giornidalla data di comunicazione del provvedimento stesso, ovvero di sessanta giornise il ricorrente risiede all'estero. Si ricorda che l'opposizione non sospendel'esecuzione del provvedimento (art. 152, comma 5 del Codice). Roma, 5 aprile 2012
|