Garante per la protezione
    dei dati personali


Ricevimento di fax promozionaliindesiderati

PROVVEDIMENTO DEL 23 GENNAIO 2014

Registro dei provvedimenti n. 30del 23 gennaio 2014

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia,segretario generale;

VISTOil Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n.196, di seguito «Codice»), e in particolare le disposizioni di cui agli artt. 4(come modificato dal d.l. 201/2011, convertito con legge del 22 dicembre 2011,n. 214), 7, 11, 13, 23, 130 (come modificato dall'art. 1, comma 12, del d.lg.28 maggio 2012, n. 69), 162, comma 2-bis;

VISTEle "Linee guida in materia di attività promozionale e contrasto allospam" del 4 luglio 2013 (pubblicate in G.U. n. 174 del 26 luglio 2013); ilprovvedimento generale del 20 settembre 2012 "Provvedimento in ordineall'applicabilità alle persone giuridiche in materia di protezione dei datipersonali a seguito delle modifiche apportate dal d.l. n. 201/2011" (inG.U. n. 268 del 16 novembre 2012); nonché il provvedimento generale del 29 maggio 2003 "Regole per un corretto usodei sistemi automatizzati e l'invio di comunicazioni elettroniche" (doc.web n. 29840);

TENUTOCONTO che, a seguito del ricevimento di alcune segnalazioni, incluse quelle dialcuni professionisti, con le quali veniva lamentato il ricevimento di faxindesiderati tesi a promuovere il servizio di pubblicazione dei propri dati suun elenco on-line denominato "PagineMail" da parte di Smart S.r.l.,di seguito "la società", l'Autorità ha avviato un'appositaistruttoria nei suoi confronti;

TENUTOCONTO che l'Autorità aveva già adottato nei confronti di Smart S.r.l. (altem-po Smart. S.n.c.) un provvedimento inibitorio e prescrittivo in data 19febbraio 2009 (doc. web n. 1597146) per il trattamento di dati personalieffettuato mediante e-mail indesiderate:

CONSIDERATOche la società, in qualità di titolare del trattamento di dati in questione, nel dare riscontro alle richieste di informazioni inviate dall'Autorità, haconfermato l'invio dei fax lamentati, specificando che i dati personali deisegnalanti erano stati raccolti da elenchi pubblici o comunque liberamentedisponibili o anche da siti web e precisando che il testo dei fax inviaticonteneva l'informativa per il trattamento dei dati personali, la richiesta diconsenso al detto trattamento e il riferimento ai diritti dell'interessato (v.riscontro del 12 marzo 2013);

CONSIDERATOche, facendo riferimento a una delle segnalazioni pervenute, la società haaffermato che, dopo l'invio della comunicazione promozionale tramite telefax, idati dei destinatari vengono cancellati qualora non riceva il consensorichiesto e inoltre non vengono inseriti nella banca dati"PagineMail" (v. citato riscontro del 12 marzo 2013);

CONSIDERATOperaltro che la società ha affermato che "essendo il fax inviato da unsoggetto esercente attività economica ad altro soggetto di analoga natura(comunicazione business-to-business) il consenso al trattamento dei datipersonali non è obbligatoriamente richiesto"; asserendo in aggiunta che ifax inviati dalla medesima non necessitano di un consenso al trattamento, inquanto, attenendo al settore business to business, sarebbero qualificabili come"comunicazioni non pubblicitarie" e che l'invio dei fax in questione"è generato da un operatore e senza l'impiego di sistemiautomatizzati" (v. citato riscontro del 12 marzo 2013 e, analogamente,sullo specifico punto v. riscontro del 24 giugno 2013);

TENUTOCONTO che è stato ritenuto opportuno procedere a un accertamento presso la sedelegale della società in date 18 e 19 novembre 2013 tramite il Nucleo SpecialePrivacy della Guardia di Finanza, al fine di verificare la liceità deitrattamenti di dati personali posti in essere, nel corso del quale sono stateacquisite ulteriori informazioni (cfr. verbale del 19 novembre 2013 e riscontrointegrativo del 4 dicembre 2013);

VISTEle dichiarazioni della società rese a verbale ed in particolare che la medesima"non tratta dati personali essendo la propria attività limitata allaprestazione di servizi legati a soggetti dotati di partita IVA esercentiattività imprenditoriali, commerciali e professionali e dunque non assimilabilialla nozione di 'natural person' che la direttiva comunitaria pone alla basedell'estensione della tutela";

TENUTOCONTO, tuttavia, il vigente quadro normativo e in particolare che, a seguitodelle modifiche normative suddette, le disposizioni normative del capo 1 deltitolo X del Codice, poiché riguardano i "contraenti" a prescinderedalla tipologia di persona, continuano a tutelare non solo le persone fisichema anche persone giuridiche, enti e associazioni e che quindi i titolari deltrattamento dei dati relativi ai detti soggetti sono sottoposti al poteredell'Autorità di intervenire anche ex officio nonché all'applicazione dellesanzioni ammnistrative e penali previste dal Codice, come l'art. 162, comma 2bis del Codice, in caso di violazione dell'obbligo del consenso di cui sopra(v. provvedimento generale del 20 settembre 2012 e, analogamente, punto 2.2"Ambito soggettivo dello spam e le tutele azionabili", Linee Guidadel 4 luglio 2013);

RITENUTOperaltro che, come già affermato dall'Autorità, sono dati personali anche quellirelativi a professionisti e a alcune imprese, come ad esempio per le personefisiche che gestiscono ricevitorie o tabaccherie (cfr. provv. 15 dicembre 2011) oagenzie di viaggio (cfr. provv. 21 marzo 2012), inquanto tali soggetti sono da ritenersi "interessati" ai sensidell'art. 4 del Codice;

CONSIDERATOanche che l'invio di un fax è già in sé un trattamento di dati personalirilevante ai sensi del Codice, e ciò a prescindere, in particolare, daiseguenti elementi: dall'eventuale successivo inserimento dei dati deldestinatario in un elenco on-line o comunque accessibile al pubblico, checostituisce un ulteriore distinto trattamento di dati; dal numero dei faxeventualmente inviati al destinatario della promozione, bastando anche un solofax indesiderato per poter integrare un trattamento di dati illegittimo;dall'informativa sul trattamento resa al destinatario ai sensi dell'art. 13 delCodice; dall'avviso dato dal titolare ai destinatari delle promozioniindesiderate riguardo ai diritti di cui agli artt. 7 ss. del Codice; dal fattoche i dati in questione vengano cancellati subito dopo l'invio indesiderato incaso di mancata risposta o di opposizione dei destinatari;

VISTOil disposto dell'art. 23 del Codice, secondo cui il trattamento di datipersonali da parte dei privati è ammesso solo previa acquisizione di unconsenso dell'interessato libero, informato e specifico, con riferimento a trattamentichiaramente individuati e documentato per iscritto (v. in particolare il comma3 della citata disposizione);

VISTOinoltre l'analogo disposto dell'art. 130, commi 1 e 2 del Codice, come novellatodal d. lg. n. 69/2012, in base al quale l'utilizzo di comunicazioni con modalitàautomatizzate  -quali sono i telefax per espressa indicazione dellegislatore, che li assimila ai sistemi automatizzati di chiamata senzal'intervento di un operatore- per la finalità di invio di materialepubblicitario o di comunicazione commerciale è consentito solo con il consensopreventivo del contraente (fra i più recenti, v.: provv. 11 ottobre 2012; provv.20 dicembre 2012; cfr.anche art. 58 d.lg. n. 206/2005, c.d. Codice del consumo);

CONSIDERATOquindi che "ai fini della legittimità della comunicazione promozionaleeffettuata, non è lecito  Š. chiedere, con tale primo messaggiopromozionale, il consenso al trattamento dati per finalità promozionali"(v. punto 2.5 Linee Guida del 4 luglio 2013 e già provvedimento generale del 29maggio 2003);

CONSIDERATOche, rispetto all'obbligo dell'acquisizione preventiva del consenso delcontraente o utente, è prevista la sola eccezione del "soft spam" aisensi dell'art. 130, comma 4, del Codice, in base al quale, se il titolare deltrattamento utilizza, a fini di vendita diretta di propri prodotti o servizi,le coordinate di posta elettronica fornite dall'interessato nel contesto dellavendita di un prodotto o di un servizio, può non richiedere il consensodell'interessato. Ciò, però, sempre che si tratti di servizi analoghi a quellioggetto della vendita e che l'interessato, adeguatamente informato, non rifiutitale uso (v. punto 2.7, Linee Guida del 4 luglio 2013);

CONSIDERATOche quindi, senza il consenso di cui sopra, non è possibile trattare i dati"tratti da registri pubblici, elenchi, siti web, atti o documenticonosciuti o conoscibili da chiunque" (v. citato punto 2.5 Linee Guida del4 luglio 2013, che ribadiscono sul punto quanto già stabilito dal provvedimentogenerale del 29 maggio 2003);

CONSIDERATOpertanto che l'attività di trattamento dei dati personali (invio di fax senzaconsenso a imprese e professionisti, come sopra individuata), effettuata dallasocietà senza il relativo consenso, costituisce un trattamento illecito didati;

RILEVATOche l'art. 11, comma 2, del Codice prevede che i dati personali trattati inviolazione della disciplina rilevante in materia di dati personali non possonoessere utilizzati;

RILEVATOaltresì che il trattamento posto in essere dalla società -anche in ragionedelle argomentazioni addotte dalla medesima riguardo agli strumenti, quali ilweb o gli elenchi pubblici o comunque accessibili al pubblico, utilizzati perla raccolta dei dati di imprese e professionisti destinatari delle suecomunicazioni promozionali  presenta peraltro carattere sistematico;

CONSIDERATOche il Garante, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1,lett. d), del Codice, ha il compito di vietare anche d'ufficio il trattamentoillecito o non corretto dei dati o di disporne il blocco e di adottare, altresì,gli altri provvedimenti previsti dalla disciplina applicabile al trattamentodei dati personali;

RILEVATAla necessità di adottare nei confronti di Smart S.r.l., ai sensi degli artt.143, comma 1, lett. c) e 154, comma 1, lett. d) del Codice, un provvedimento didivieto del tratta-mento illecito effettuato dalla medesima società mediantel'invio di comunicazioni pro-mozionali via telefax ad imprese e professionisti,senza la preventiva acquisizione del ne-cessario consenso libero, informato,specifico e documentato per iscritto ex artt. 23, comma 3 e 130, commi 1 e 2,del Codice;

RILEVATA,altresì, la necessità di adottare nei confronti di Smart S.r.l.  ai sensidegli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice  unprovvedimento prescrittivo volto a rendere il trattamento dei dati personalieffettuato dalla società, mediante l'invio di comunicazioni promozionali viatelefax, conforme alla normativa richiamata in materia di protezione dei datipersonali;

TENUTOCONTO che, ai sensi dell'art. 170 del Codice, chiunque, essendovi tenuto, nonosserva il presente provvedimento di divieto è punito con la reclusione da tremesi a due anni, e che, ai sensi dell'art. 162, comma 2-ter del Codice, in casodi inosservanza del medesimo provvedimento, è  altresì applicata in sedeamministrativa,  in ogni caso, la sanzione del pagamento di una somma datrentamila a centottantamila euro;

RILEVATOche nei confronti di Smart  S.r.l. risultano già avviati autonomiprocedi-menti sanzionatori per le violazioni amministrative di competenza diquesta Autorità;

RILEVATOche resta impregiudicata la facoltà per i professionisti e le impresedestina-tari dei fax promozionali indesiderati di far valere i propri dirittiin sede civile in relazione alla condotta accertata, con specifico riguardoagli eventuali profili di danno (cfr. citato punto 2.2, Linee Guida del 4luglio 2013);

VISTAla documentazione in atti;

VISTEle osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art.15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATOREla dott.ssa Giovanna Bianchi Clerici;

TUTTO CIO' PREMESSO IL GARANTE:

a)dichiara illecito il trattamento, effettuato da Smart S.r.l. con sede legale inVia Torino n. 2 in Milano, mediante l'invio di fax promozionali, dei dati personalidi imprese e professionisti senza la preventiva acquisizione del necessarioconsenso libero, informato, specifico e documentato per iscritto ex artt. 23,comma 3 e 130, commi 1 e 2, del Codice;

b) aisensi degli artt. 143, comma 1, lett. c), 144 e 154, comma 1, lett. d), delCodice, vieta a Smart S.r.l. l'ulteriore trattamento dei dati personali giàacquisiti per la finalità suindicata, effettuato dalla medesima senza averpreviamente ottenuto il suddetto consenso;

c) aisensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice,pre-scrive a Smart S.r.l., qualora la società intenda proseguire a inviare faxpromozionali a imprese e professionisti, di richiedere un preventivo consensoal trattamento dei dati personali libero, informato, documentato per iscritto especifico per ogni diversa finalità del trattamento e in particolare perl'invio di comunicazioni commerciali e materiale pubblicitario/informativo inbase agli artt. 23 e 130 del Codice;

d) aisensi dell'art. 157 del Codice, chiede a Smart S.r.l. di comunicare qualiiniziative siano state intraprese al fine di dare attuazione al presenteprovvedimento, dandone riscontro documentato -entro e non oltre il termine disessanta giorni dalla data di ricezione del presente provvedimento- a questaAutorità, accompagnato da una dichiarazione del legale rappresentante dellasocietà, rilasciata ai sensi e per gli effetti dell'art. 168 del Codice.

Ai sensidegli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presenteprovve-dimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 23 gennaio 2014

Il presidente
Soro

Il relatore
Bianchi Clerici

Il segretario generale
Busia