Garante per la protezione
    dei dati personali


Ordinanza di ingiunzione nei confrontidi Telextra s.r.l.

PROVVEDIMENTO DEL 8 MAGGIO 2014

Registro dei provvedimenti
 n. 231 dell'8 maggio 2014

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, alla presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia,segretario generale;

VISTOl'atto di contestazione, che qui deve intendersi integralmente riportato, n.12049/63349 del 19 maggio 2010 (notificato in 14 giugno 2010) nei confronti diTelextra s.r.l. (di seguito "Telextra"), con sede in Saluzzo, viaMattatoio n. 3 (di seguito Telextra), in persona del legale rappresentantepro-tempore, per le violazioni delle disposizioni di cui agli artt. 13, 23,154, comma 1, lett. d), 157, 161, 162, commi 2-bis e 2-ter, 164, 164-bis, comma2 e 167 del Codice in materia di protezione dei dati personali (d. lg. 30giugno 2003, n. 196, di seguito denominato Codice);

ESAMINATOil rapporto dell'Ufficio del Garante per la protezione dei dati personalipredisposto ai sensi dell'art. 17 della legge 24 novembre 1981, n. 689,relativo all'atto di contestazione di cui sopra;

RILEVATOdal predetto rapporto che non risulta essere stato effettuato il pagamento inmisura ridotta;

VISTIgli scritti difensivi del 12 luglio 2010, inviati ai sensi dell'art. 18 dellalegge n. 689/1981, che qui si intendono integralmente richiamati;

LETTOil verbale in data 20 settembre 2010 relativo all'audizione dei rappresentantidi Telextra ai sensi dell'art. 18, comma 2, della legge n. 689/1981, che qui siintende integralmente richiamato;

RITENUTOche le argomentazioni addotte da Telextra nelle memorie difensive e in sede diaudizione non consentono di escludere le responsabilità della società inrelazione a quanto contestato per le motivazioni di seguito riportate:

a. conriferimento alla contestazione riguardante l'inosservanza del provvedimento delGarante del 26 giugno 2008) si premette che con tale provvedimento l'Autoritàaveva vietato a Telextra di "effettuare altri trattamenti di ulterioridati personali provenienti dalla base di dati unica degli operatori dicomunicazione elettronica, utilizzati senza idonea informativa e, nelle ipotesiin cui sia previsto per legge, senza consenso" poiché nel corsodell'istruttoria non era risultato che Telextra "nel costituire le banchedati offerte in licenza d'uso sul sito www.indirizzi.it, [avesse] fornito agliinteressati un'idonea informativa rispetto ai dati che li riguardano e, inparticolare, [avesse] comunicato la raccolta di dati ulteriori rispetto aquelli presenti nella base di dati unica degli operatori di comunicazioneelettronica, nonché la circostanza che tali dati sarebbero stati aggregati percreare un data base poi ceduto a terzi". Dagli accertamenti ispettivisvolti dal Garante nei giorni 5, 6 e 7 maggio 2009 è emerso che mediante ilsito www.indirizzi.it Telextra offriva ai propri clienti due servizi denominati"Elenchi famiglie – estratti da elenchi telefonici" e"Elenchi famiglie – estratti da elenchi Telextra" mediante iquali cedeva in licenza d'uso i dati di abbonati ai servizi di telefonia fissai cui nominativi e le relative utenze telefoniche erano stati registrati nellabase di dati unica degli operatori di comunicazione elettronica (DBU): inparticolare il primo servizio conteneva i dati degli abbonati, estratti dalDBU, rielaborati (anche con l'inserimento dell'informazione relativa al sessodell'abbonato, non desumibile dal DBU) e riversati in un database di proprietàdella società ("DB Indirizzi famiglie"); il secondo servizioconteneva dati estratti da elenchi telefonici pubblicati primadell'introduzione del nuovo regime di pubblicità dei dati degli abbonati aiservizi di telefonia (1° agosto 2005), arricchiti con i dati tratti dal DBUrelativi agli abbonati che avevano prestato il proprio consenso all'invio dicomunicazioni pubblicitarie telefoniche e/o cartacee, e anch'essi riversati inun database di proprietà della società ("DB Telextra"). Conriferimento a tali risultanze il provvedimento del Garante del 18 marzo 2010,emesso nei confronti di Telextra a seguito dell'istruttoria che ha trattoorigine dai citati accertamenti ispettivi,  ha accertato che la società"ha continuato a trattare i dati personali (provenienti dalla base di datiunica degli operatori di comunicazione elettronica e presenti nel databasedenominato «DB Indirizzi famiglie») in violazione del citato provvedimento del26 giugno 2008 anche successivamente alla notifica dello stesso (avvenuta il 2settembre 2008)". Conseguentemente l'Ufficio, con l'atto di contestazionesopra richiamato, ha rilevato che "Telextra ha quindi proseguito adutilizzare i dati personali tratti dal DBU e l'utilizzo è consistito, nei casisopra evidenziati, nella elaborazione di tali dati unitamente ad altreinformazioni non presenti nel DBU o comunque non utilizzabili per lapubblicazione degli elenchi, per la creazione di nuovi prodotti o servizidestinati alla cessione ai terzi. Telextra ha, pertanto, utilizzato e cedutodati personali costituiti da nominativi e recapiti postali e telefonici trattidalla base di dati unica degli operatori di comunicazione elettronica, per iquali era stato disposto, ai sensi degli artt, 143, comma 1, lett. c.), e 154,comma 1, lett, d), del Codice, il divieto del trattamento con il provvedimentodel Garante del 26 giugno 2008".

Telextraha esposto le sue argomentazioni difensive in tre diversi atti: a) una memoriapervenuta all'Autorità il 27 aprile 2010, successivamente alla notifica allasocietà del provvedimento del 18 marzo 2010 (avvenuta il 6 aprile 2010) maprima che fosse emesso l'atto di contestazione; b) una memoria pervenutaall'Autorità il 19 luglio 2010; c) l'audizione ex art. 18 della legge n.689/1981 svolta il 20 settembre 2010. Con la prima memoria Telextra haevidenziato di aver chiarito, fin dall'epoca della notifica del primoprovvedimento inibitorio (settembre 2008), che "l'attività di trattamentodei dati tratti dal DBU da essa svolta, in qualità di editore, consisteva –e consiste tutt'ora – nel creare elenchi telefonici di tipo alfabetico,eventualmente organizzati ed editi separatamente per zona geografica o prefissotelefonico o altro parametro, per poi pubblicarli sui propri siti internet, susupporti cartacei o elettronici da concedere in uso, parzialmente o totalmente,a soggetti pubblici o privati per loro autonomi utilizzi". Nella memoria èstato rappresentato inoltre che, per svolgere l'attività sopra descritta in unacornice di piena legittimità, Telextra ha richiesto al Garante di individuaremodalità semplificate per informare gli interessati delle modalità disvolgimento dei trattamenti di dati personali sopra descritti, ma che ilGarante, con lettera del 23 ottobre 2008 "ha riconosciuto come nonnecessaria l'emanazione di prescrizioni di misure appropriate alternativesemplificatrici a rendere l'informativa". Con il secondo atto presentatoall'Autorità, Telextra ha inteso ribadire quanto già rappresentato nella primamemoria difensiva e ha inoltre affermato che: a) a seguito della lettera del 23ottobre 2008 Telextra ha ripristinato il servizio on-line del sitowww.indirizzi.it "per utilizzi aventi fini di mera comunicazioneinterpersonale e non anche di marketing diretto, così come si evince dallalettura delle condizioni d'uso presenti sul predetto sito"; b) i datitratti dal DBU non sono stati fatti confluire nella banca-dati societaria, bensìpubblicati on-line per meri fini di consultazione, eseguibile anche per areageografica o altro parametro. "In particolare, il parametro 'sesso' –che, correttamente, codesta Autorità ha evidenziato non essere presente nel DBU– è stata attivata quale chiave di ricerca al solo fine di migliorare lafunzionalità di un servizio per il quale tale differenziazione èautomaticamente rilevata dal nome di battesimo dell'abbonato"; c)"Telextra Srl si è astenuta – laddove si possa dare per assunto,sebbene non sia il caso, che in precedenza vi avesse fatto ricorso –dall'aggiornamento degli elenchi telefonici antecedenti il mese di agosto 2005con i dati presenti nel DBU. Nella pratica operativa, sono banche datifisicamente distinte e separate, fra cui non sono eseguite operazioni diraffronto, interconnessione e integrazione o aggiornamento o altro che implichioperazioni di trattamento di dati personali". In sede di audizioneTelextra ha ribadito quanto sopra riportato confermando che, a seguito dellanotifica del provvedimento inibitorio del 26 giugno 2008, la società "nonha più aggiornato gli elenchi telefonici ante 2005 con dati provenienti dal DBUo da altre banche dati, e ha, nel contempo, eliminato i dati del DBUprecedentemente inseriti".

Presoatto delle argomentazioni difensive, si rileva che esse non appaiono idonee aescludere le contestate violazione sia alla luce delle risultanze ispettive piùsopra richiamate che con riferimento a quanto accertato con il provvedimentodel 18 marzo 2010, non impugnato da Telextra, con il quale, peraltro, ilGarante ha disposto il divieto del trattamento dei dati personali contenuti nelDB Telextra. Non può infatti essere confutato, attraverso ragionamenti aposteriori, quanto emerso nelle attività ispettive sulla base delledichiarazioni e delle produzioni documentali rese da Telextra la quale ha affermatoche: a) i dati del DBU sono confluiti in più database societari (fra i quali ilDB Indirizzi famiglie, identificato nel sistema Telextra con le indicazioni"Extra 2_DBU" e "Extra 2_Indirizzi famiglie", e il DBTelextra, identificato nel sistema Telextra come "Extra 2_Work"); b)il DB Indirizzi famiglie è offerto in licenza d'uso tramite il sitowww.indirizzi.it, gestito da Telextra. Attraverso tale sito è possibileselezionare gli abbonati dei quali acquisire i dati personali in base alterritorio di residenza (provincia, città o C.A.P.) e al genere dell'abbonato,operazione quest'ultima possibile solamente attraverso una rielaborazione delleinformazioni presenti del DBU. Dal DB Indirizzi famiglie (costituito con i datidel DBU rielaborati) vengono espunti i nominativi presenti nelle black-listdella società, relativi a soggetti che hanno richiesto direttamente a Telextrala cancellazione delle proprie informazioni ; c) il DB Telextra, sulla basedelle dichiarazioni dell'amministratore di sistema rese il 6 maggio 2009,risulta essere "costituito antecedentemente all'anno 2005 e aggiornato,dopo il 1° agosto 2005 e fino al settembre 2008, con l'inserimento dei dati deisoggetti inseriti nel DBU che hanno manifestato il consenso al marketingcartaceo e telefonico e con la cancellazione degli interessati che l'hannorichiesta direttamente a Telextra". Tale circostanza è stata, nel medesimocontesto, confermata anche dall'amministratrice di Telextra: "iverbalizzanti hanno chiesto alla parte se il prodotto denominato "Elenchifamiglie – estratti da elenchi Telextra" presente sul sitowww.indirizzi.it (lettera "n" del documento sui servizi offerti daTelextra) corrisponda al data-base costituito antecedentemente all'anno 2005 eaggiornato, dopo il 1° agosto 2005 e fino al settembre 2008, mediantel'inserimento dei dati dei soggetti registrati nel DBU che hanno manifestato ilconsenso al marketing cartaceo e telefonico e con la cancellazione degliinteressati che l'hanno richiesta direttamente a Telextra. La parte [Š] haconfermato tale circostanza precisando che Telextra non cede dati a terzi senon con la precisa clausola di utilizzo per sole comunicazioniinterpersonali".

Perquanto riguarda, poi, la nota del Garante del 28 ottobre 2008, citata nellamemoria difensiva di Telextra al fine di dimostrare che i trattamenti emersinel corso dell'accertamento ispettivo sarebbero stati portati a conoscenzadell'Autorità, che non avrebbe sollevato obiezioni, deve evidenziarsi che laricostruzione fornita dalla società non appare corretta: infatti, l'attività dimera pubblicazione dei dati tratti dal DBU non è stata oggetto di censura daparte del Garante con il provvedimento del 26 giugno 2008, il quale ha invecedisposto il divieto dei trattamenti che prevedevano elaborazioni ulteriori deipredetti dati ovvero la loro registrazione in database societari finalizzatialla cessione a terzi. Con la nota richiamata nella memoria di Telextra,l'Ufficio del Garante ha chiaramente rappresentato di ritenere che "isoggetti che si limitino rigorosamente a utilizzare i dati [del DBU] al solofine di formare elenchi telefonici di vario tipo (in formato cartaceo,elettronico o a disposizione su Internet), non siano tenuti a fornire una nuovainformativa agli interessati ai quali i dati si riferiscono". Sulla scortadi tale assunto l'Ufficio ha pertanto ritenuto non necessario autorizzareTelextra a rendere tale informativa con modalità semplificate a condizione, però,che "la società utilizzi i dati tratti dal data base unico esclusivamenteper la richiamata finalità di pubblicazione di elenchi (come sembrerebbe da unesame dell'istanza in oggetto) e non, viceversa, in relazione ad altre finalitào modalità, quale, ad esempio, la formazione di nuovi archivi nei quali farconfluire informazioni tratte anche da altre fonti, ai fini di una eventualecessione a terzi degli stessi (cfr. provvedimento del 26 giugno 2008)".

Ilprovvedimento del 18 marzo 2010 ha accertato, sulla base delle risultanzaispettive, che i trattamenti svolti da Telextra dei dati tratti dal DBU, inparticolare per la creazione dei database DB Indirizzi famiglie e DB Telextra,commercializzati medianti il sito www.indirizzi.it, prevedevano l'utilizzo dialtre informazioni e la creazione di nuovi archivi finalizzati alla cessione aterzi dei dati ivi confluiti. E' infatti stato accertato che, per la creazionedel DB Indirizzi famiglie, il DBU è stato rielaborato con l'inserimento delparametro di ricerca per genere e con l'eliminazione dei dati presenti nelleblack-list aziendali "cancella.bak" e "Robinson list",relative ai soggetti che avevano fatto richiesta di cancellazione del proprionominativo direttamente a Telextra. Per la creazione del DB Telextra la societàha fatto confluire, fino al settembre 2008, nel database contenente dati trattida elenchi telefonici "ante 2005", i dati dei cd."consensati" del DBU e, successivamente al settembre 2008 e fino almaggio 2009, ha proseguito a trattare tali dati in violazione di quantodisposto con il provvedimento inibitorio del 26 giugno 2008.

Allaluce delle considerazioni di cui sopra appare correttamente contestata allasocietà la violazione di cui all'art. 162, comma 2-ter, del Codice, perinosservanza del predetto provvedimento inibitorio.

b. conriferimento alla contestazione relativa all'omessa informativa per la raccoltadei dati personali tratti da elenchi telefonici pubblicati prima del 1° agosto2005, si evidenzia che, nel corso dell'accertamento ispettivo del 5-7 maggio2009, la società Telextra ha rappresentato che: a) il DB Telextra, costituitonel 1995, è stato alimentato, dall'anno 2000 all'anno 2005, anche da datiprovenienti dagli elenchi telefonici che la società acquistava con cadenzaannuale da Telecom Italia S.p.A.; b) "i verbalizzanti hanno chiesto alla partese e con quali modalità Telextra abbia provveduto a fornire agli interessatiinseriti nel DB Telextra un'idonea informativa antecedentemente al 2005. Laparte [Š] ha dichiarato che allo stato non è in grado di attestare l'avvenutorilascio di tale informativa a tutti gli interessati presenti nel data-base.Tuttavia ha dichiarato che è in corso di ricostruzione l'attività di mailingcartaceo svolta fino al 2005 da parte di Telextra per conto di soggetti terzi,dalla quale potrebbe desumersi l'avvenuto rilascio della predettainformativa". Peraltro, come accertato con il provvedimento del 18 marzo2010, i dati presenti nel DB Telextra sono stati posti in vendita a soggettiterzi mediante il sito www.indirizzi.it: conseguentemente l'Ufficio ha contestatoa Telextra la violazione delle disposizioni di cui all'art. 13, comma 4, delCodice, non avendo provveduto a rendere agli interessati la necessariainformativa prima della registrazione dei dati nel DB Telextra ovvero primadella loro comunicazione a terzi.

Nellememorie difensive del 4 maggio 2010 Telextra ha, al riguardo, dichiarato che"con l'art 44, comma 1 bis del d. l. n. 207/2008, convertito nella leggen. 14/2009 è venuto meno l'obbligo di rendere agli interessati l'informativaprescritta dall'art. 13 del Codice Privacy. Il disposto, infatti, recita;"i dati personali, presenti nelle banche dati, costituite. sulla base dielenchi formati prima del 1° agosto 2005 sono lecitamente utilizzabili per finipromozionali sino al 31.12.2009 (termine poi prorogato sino al giugno 2010),anche in deroga agli artt. 13 e 23 del Codice". Pertanto Telextra s.r.l.,avendo costituito la propria banca dati in data antecedente al 1° agosto 2005 eavendo tratto tali dati da vecchi elenchi telefonici, non era tenuta a renderealcuna informativa agli interessati. avendo, peraltro, ottemperato alleprescrizioni emanate dal provvedimento del 12 marzo 2009". Di analogotenore le argomentazioni difensive di cui alla memoria del 26 luglio 2010:"nel caso di elenchi telefonici pubblicati — in qualunque forma —per fini di ricerca e consultazione per fini di comunicazione interpersonaledegli utenti, su Telextra Srl, quale operatore cessionario non grava, comevisto, l'obbligo di informativa, avendola resa, anche per i terzi cessionari,gli operatori telefonici cedenti; nel caso di elenchi telefonici utilizzati perfini di marketing, con attività eseguite da Telextra Srl quale titolare deltrattamento, è in vigenza l'esclusione di informativa e di consenso in derogaalla norma generale, con l'introduzione dell'art. 129, comma 1-bis del CodicePrivacy". Telextra, nelle citate memorie, ha richiamato l'attenzione sullacircostanza che i dati tratti da elenchi telefonici pubblicati prima del 1°agosto 2005 sarebbero stati posti in consultazione on-line sul sitowww.indirizzi.it non per attività di marketing ma per "fini di ricerca epoi di comunicazione interpersonale da parte degli utenti". Quanto agliutilizzi per finalità di marketing dei predetti dati, la società ha dichiaratoche "Telextra Srl ha agito quale "titolare del trattamento" alsensi e per gli effetti del Codice Privacy e non ha ceduto a terzi i dati,eseguendo direttamente le operazioni necessarie alla realizzazionedell'iniziativa promozionale o, se del caso, avvalendosi di strutture terze,designate quali "responsabili del trattamento", secondo le modalitàpreviste dall'art. 29 del Codice Privacy". In sede di audizione la societàha rappresentato che "Telextra ha assolto all'obbligo di renderel'informativa tramite il soggetto cedente (Telecom). Ciò in conformità a quantostabilito dal protocollo di intesa tra gestori telefonici e dalla deliberaAgcom n. 36 del 2002".

Riguardoalle diverse argomentazioni addotte da Telextra, è necessario effettuare unabreve ricostruzione del quadro normativo relativo all'utilizzabilità dei datipersonali tratti da elenchi telefonici. Il provvedimento del Garante del 15luglio 2004), conformemente a quanto previsto dall'art. 129 delCodice, ha dettato le modalità di inserimento e di successivo utilizzo dei datipersonali relativi agli abbonati negli elenchi cartacei o elettronici adisposizione del pubblico, confermando che la primaria finalità di utilizzo ditali dati è la "mera ricerca dell'abbonato per comunicazioniinterpersonali". Nel provvedimento l'Autorità ha chiarito che "èconsentita la sola formazione, distribuzione e diffusione degli elenchi, inqualunque forma realizzati, basati sulla consultazione e accesso" al DBUgià previsto dalla delibera Agcom n. 36/02/CONS, che è consentita la solautilizzazione di elenchi aggiornati e che, conseguentemente, non è legittimoformare un elenco telefonico con dati che non siano tratti dal DBU. Taleprincipio è stato confermato in successivi provvedimenti che hanno vietato iltrattamento di dati personali a soggetti che avevano pubblicato tramiteInternet dati di utenti dei servizi di telefonia tratti da elenchi pubblicatiprima del 1° agosto 2005 (ad es. provv. n. 136 del 7 aprile 2011). Per quanto riguarda l'utilizzo per finalità dimarketing diretto di dati tratti dai predetti elenchi "ante 2005", ilGarante ha espresso un parere, riportato nella Relazione per l'anno 2005presentata al Parlamento (paragrafo 15.2 "I nuovi elenchitelefonici") in base al quale il trattamento di tali dati per la predettafinalità poteva considerarsi legittimo solo nel caso in cui le relativebanche-dati fossero state costituite prima del 1° agosto 2005 e fosse stataresa agli interessati la necessaria informativa. "Se, però, la predettainformativa non è stata resa tempestivamente a norma di legge, il trattamento èstato ed è rimasto illecito; il titolare non può in alcun modo utilizzare idati e deve necessariamente cancellarli per non incorrere in seriesanzioni". Il regime di utilizzo sopra enunciato è stato parzialmente, eper un periodo limitato nel tempo, vigente all'epoca delle attività ispettivepresso Telextra, derogato dall'art. 44, comma 1-bis del decreto legge 30dicembre 2008, n. 207, convertito, con modificazioni, nella legge 27 febbraio2009, n. 14, che ha stabilito che i dati personali presenti nelle banche daticostituite sulla base di elenchi telefonici pubblici formati prima del 1°agosto 2005 potevano essere lecitamente utilizzati per fini promozionali sinoal 31 dicembre 2009 (termine poi prorogato di cinque mesi), anche in derogaagli articoli 13 e 23 del Codice, dai soli titolari del trattamento che hannoprovveduto a costituire dette banche dati prima del 1° agosto 2005. Sullascorta di tale intervento normativo il Garante ha emesso in data 12 marzo 2009un  provvedimento recante prescrizioni destinate ai titolari dibanche-dati ricomprese nel predetto regime derogatorio: tali prescrizioniimponevano ai titolari di documentare l'avvenuta costituzione della banca-datiin epoca antecedente al 1° agosto 2005 e trattare direttamente i datipersonali, senza possibilità di cederli, a qualunque titolo, a terzi. Dallaricostruzione fornita appaiono evidenti due elementi che consentono diaffermare la responsabilità di Telextra in ordine alla violazione contestata:1) i dati personali tratti da elenchi telefonici "ante 2005" nonpotevano essere ceduti a terzi, senza rilascio di un'idonea informativa eacquisizione del relativo consenso, né per finalità di marketing diretto, néper la mera consultazione finalizzata a contatti interpersonali (attivitàpossibile solamente con i dati tratti dal DBU); 2) i predetti dati non potevanoessere trattati per finalità di marketing diretto, fino all'introduzione delsopra richiamato regime derogatorio, nemmeno dal titolare che non avessefornito agli interessati, prima del 1° agosto 2005, la necessaria informativaai sensi dell'art. 13 del Codice. Poiché è risultato ampiamente documentato,con l'acquisizione delle stampe degli accessi effettuati in sede ispettiva, cheTelextra ha effettivamente posto in vendita i dati personali di utenti diservizi di telefonia fissa tratti da elenchi telefonici pubblicati prima del 1°agosto 2005 senza aver reso agli interessati l'informativa prevista; poiché,inoltre, risulta provato (vedi elenco di cui al punto 2 della nota di Telextradel 14 maggio 2009) che la società ha utilizzato i predetti dati, finoall'introduzione del regime derogatorio, per finalità di marketing direttosenza aver parimenti fornito la prevista informativa, deve ritenersicorrettamente contestata a Telextra la violazione dell'art. 13 del Codice inrelazione ai trattamenti di cui sopra;

c. conriferimento alla contestazione riguardante l'omessa informativa per laregistrazione e l'utilizzo di dati personali provenienti da liste elettorali,dagli accertamenti ispettivi è emerso, con riferimento al DB Telextra, che"la banca dati nel corso del tempo è stata arricchita anche con listeelettorali acquisite da diversi Comuni fino all'anno 2003" e che "idati presenti nelle liste elettorali sono stati utilizzati esclusivamente alfine di aggiornare il DB Telextra con riferimento agli indirizzi degliinteressati comunque presenti negli elenchi telefonici". Il provvedimentodel 18 marzo 2010, sul punto ha accertato che "Come risulta dalledichiarazioni e dalla documentazione acquisita, il "DB Telextra" èstato costituito nel corso del tempo utilizzando dati provenienti da diversefonti. Tra queste, vi è anche una cospicua acquisizione dì dati personaliprovenienti da liste elettorali (circa 40.000.000) che Telextra ha acquistatonel 2003 da Daily direct s.r.l. (cfr. nota del 14 maggio 2009, punto 1). Oltrea questi, risulta inoltre che abbia acquisito anche negli anni successivi (2004e 2005) ulteriori dati dalla stessa Data profile s.r.l. e anche da Daily directs.r.l. Per quanto riguarda tali forniture, non risulta che Telextra abbiafornito agli interessati alcuna informativa al momento della loro registrazionenel proprio database né antecedentemente alla prima comunicazione, come,invece, previsto all'art. 13, comma 4, del Codice". Conseguentementel'Ufficio ha contestato la relativa violazione amministrativa.

Leargomentazioni difensive di Telextra, espresse nelle memorie e in sede diaudizione, possono così sintetizzarsi: "Telextra dichiara di aver detenutole liste elettorali sino al 31 dicembre 2003 e di averle successivamentedistrutte con l'entrata in vigore del Codice. Peraltro si evidenzia che, datoil tempo trascorso, ovvero più di 5 anni dalla data in cui è stata commessa laviolazione, le condotte non sono più sanzionabili per effetto dell'intervenutaprescrizione, oltre che di applicabilità del previgente art. 39 della legge675/1996. La parte intende inoltre precisare che, in riferimento alla raccoltadi dati personali negli anni, 2004 e 2005 dalle società Data Profìle e DailyDirect, tali dati non provenivano da liste elettorali e che Telextra non li hamai utilizzati".

Presoatto delle argomentazioni difensive, va osservato che Telextra non nega di averacquisito, quantomeno nell'anno 2003, dati personali tratti da liste elettoraliin quantità elevatissima (circa 40 milioni di anagrafiche). Tali dati, sullabase delle dichiarazioni rese dalla stessa Telextra nel corso della primagiornata di operazioni ispettive, sono stati riversati nel DB Telextra alloscopo di aggiornare gli indirizzi dei soggetti già presenti nel predettodatabase. Ciò determina che, a seguito di tale operazione, una parte delleinformazioni provenienti dalle liste elettorali si sono fuse, per effetto deldichiarato aggiornamento anagrafico, con i dati già registrati nel DB Telextra.L'eventuale "distruzione" delle liste elettorali acquisite(operazione della quale la società non ha minimamente fatto cenno al Garantenel corso dell'accertamento ispettivo e dell'istruttoria ma solamente in sededi seconda memoria difensiva) ha pertanto interessato, evidentemente, i solidati non utilizzati nelle predette operazioni di aggiornamento.

Varilevato, pertanto, che una parte cospicua dei 40 milioni di dati personalitratti da liste elettorali è confluita nel DB Telextra e ha determinatol'aggiornamento delle anagrafiche (attualmente circa 13 milioni) dei soggettiivi censiti e che tali dati sono stati oggetto di trattamento fino al 2008 perle finalità di marketing diretto e fino al 2010 per la consultazionefinalizzata al contatto interpersonale (come documentato al punto b. delpresente provvedimento). Poiché i predetti trattamenti sono stati svolti neiperiodi sopra indicati senza che agli interessati fosse stata fornital'informativa ai sensi dell'art. 13, comma 4, del Codice, risulta correttamentecontestata la violazione dell'art. 161 del Codice sia con riferimento allasussistenza della condotta riconducibile a Telextra, sia sotto il profilo delledisposizioni applicabili (vigente Codice e non legge n. 675/1996) e dellaosservanza del termine di cui all'art. 28 della legge n. 689/1981 (decorrentedalla data di cessazione dei trattamenti, comunicata da Telextra il 6 aprile2010);

d. conriferimento alla contestazione riguardante la cessione senza consenso dei datipresenti nel DB Telextra, si richiama quanto già osservato ai punti b. e c. delpresente provvedimento evidenziando ancora una volta che il DB Telextracontiene dati personali sia acquisiti da elenchi telefonici "ante2005" sia tratti da liste elettorali, tutti oggetto del provvedimento didivieto del 18 marzo 2010, non impugnato da Telextra. Tali dati non possonoessere comunicati a terzi se non raccogliendo dagli interessati un libero especifico consenso preceduto da un'adeguata informativa. Per quanto riguarda idati tratti da elenchi telefonici, tale obbligo discende dal quadro normativodi cui alla ricostruzione fornita al punto b. del presente provvedimento. Perquanto riguarda i dati tratti da liste elettorali, l'acquisizione eutilizzabilità risulta oggi limitata alle sole finalità di cui all'art. 177,comma 5, del Codice (politiche, socio-assistenziali, di ricerca scientifica,statistica e storica, oltre che per il perseguimento di un interesse collettivoo diffuso) diverse da quelle perseguite da Telextra nei trattamenti inargomento. Fuori dalla cornice di legittima utilizzabilità di cui sopra, per iltrattamento dei dati ricompresi nelle due categorie di cui sopra è necessarioche il titolare acquisisca il consenso di cui all'art. 23 del Codice, dopo averreso la necessaria informativa ai sensi dell'art. 13. Il provvedimento del 18marzo 2010 ha accertato che "in ordine alle comunicazioni di datipersonali offerti tramite il sito www.indirizzi.it Telextra non è in grado didimostrare di aver acquisito dagli interessati uno specifico consenso per lacomunicazione a terzi (art. 23 del Codice)" e l'Ufficio ha contestato laconseguente violazione amministrativa sanzionata dall'art. 162, comma 2-bis,del Codice.

Alriguardo, la società ha formulato, nelle memorie difensive e nell'audizione, leproprie osservazioni riportandosi a quanto già espresso nei precedenti punti eaggiungendo che "riguardo [Š] i dati tratti da elenchi ante 2005, Telextraha esclusivamente messo a disposizione dei richiedenti, vecchi elenchiacquisiti a suo tempo in formato elettronico. Sul punto poi si rileval'intempestività della contestazione che, se fosse stata rilevata in sedeispettiva, avrebbe comportato l'applicazione del regime sanzionatorioprecedente più favorevole".

Conriferimento alle eccezioni sollevate dalla difesa deve essere ribadito che,come dichiarato da Telextra in sede ispettiva, i dati personali tratti da listeelettorali sono stati riversati nel DB Telextra per aggiornare le anagrafichein esso contenute e pertanto tali dati sono stati oggetto di trattamenti siafinalizzati al marketing diretto (fino al 2008) sia alla consultazione percontatti interpersonali (fino al 2010). Tali trattamenti, come chiarito sopra,non rientrano nella cornice normativa che consente l'utilizzabilità, in derogaalle disposizioni sul consenso, dei dati tratti da elenchi telefonici"ante 2005" e da liste elettorali. Pertanto, i trattamenti posti inessere fino al 2010 da Telextra con l'utilizzo dei dati presenti nel DBTelextra dovevano essere preceduti, alla stregua di qualunque trattamentosvolto da soggetti privati con l'utilizzo di dati comuni, dall'acquisizione diun consenso libero, specifico e informato degli interessati. Poiché dagliaccertamenti ispettivi, dalle dichiarazioni rese da Telextra nel corsodell'istruttoria e dal provvedimento del 18 marzo 2010 è emerso che la societànon ha acquisito il predetto consenso, appare correttamente contestata laviolazione sanzionata dall'art. 162, comma 2-bis, del Codice. Talecontestazione risulta, inoltre, tempestiva in ossequio a quanto dispostodall'art. 14, comma 2, della legge n. 689/1981 poiché notificata alla parte il14 giugno 2010, entro il termine di 90 giorni decorrente dalla data diemissione del provvedimento inibitorio (18 marzo 2010) che ha accertato lecondotte illecite;

e. perquanto riguarda la contestazione relativa al mancato riscontro alle richiestedel Garante, formulate ai sensi dell'art. 157 del Codice, si richiama laricostruzione in fatto operata nell'atto di contestazione, con la quale si èevidenziato che a Telextra, fin dall'accertamento ispettivo del maggio 2009, èstato richiesto di fornire un elenco dei servizi offerti ai propri clienti checonsentisse di verificare se, nell'ambito di tali servizi, fossero staticomunicati dati tratti dal DBU ovvero dal DB Telextra. Con riferimento airapporti contrattuali intercorsi con la società Postel S.p.A. e allacomunicazione, emersa dall'elenco di cui sopra, alla predetta società di 8milioni di dati, Telextra ha dichiarato (nel corso delle attività ispettive) eha poi confermato nelle note trasmesse all'Autorità il 14 maggio e il 18novembre 2009 che i dati in argomento si riferivano solamente ad aziende ederano stati tratti dal proprio database societario. Solo in data 25 febbraio2010, dopo che l'Ufficio aveva svolto un'ispezione presso Postel S.p.A. dalla qualeera emerso che Postel aveva ricevuto da Telextra, in anni successivi al 2005,anche dati relativi a persone fisiche tratti dal DBU, Telextra ha inviato unanota all'Ufficio rappresentando che, a seguito di ulteriori verificheeffettuate con Postel S.p.A., è risultato, differentemente da quantorappresentato in precedenza, che le comunicazioni di dati personali effettuateverso tale società hanno riguardato anche un numero limitato di dati di personefisiche. Poiché i non completi riscontri di Telextra alle richieste diinformazioni del Garante ex art. 157 del Codice hanno determinato la necessitàdi svolgere supplementi istruttori, con nuovi accertamenti ispettivi neiconfronti di Postel S.p.A. con aggravio di tempi e di costi del procedimentoamministrativo, l'Ufficio ha contestato a Telextra la violazione sanzionatadall'art. 164 del Codice.

Inordine alla predetta contestazione Telextra ha dapprima (nelle memoriedifensive) rappresentato che la prima richiesta di informazioni relativa airapporti con Postel sarebbe stata formulata dall'Autorità il 16 novembre 2009 ea tale richiesta Telextra avrebbe dato riscontro inviando un file criptatocontenente documentazione che l'Ufficio non sarebbe riuscito a visionare.Successivamente, in sede di audizione, la parte ha rappresentato"l'assoluta buona fede e la piena disponibilità a fornire ogni riscontroal Garante. Telextra ha infatti fornito a ogni richiesta dell'Ufficio, ladocumentazione integrale a disposizione e ogni informazione a propriaconoscenza e memoria. In ragione della mole di informazioni richieste e didocumentazione fornita, quanto inerente la contestazione in argomento èsfuggito anche perché di tali elementi non esisteva una formulazionedescrittiva e puntuale negli archivi, nella documentazione e nelle missiveintercorse con Postel".

Conriferimento alle argomentazioni addotte dalla parte, appare evidente che quantodichiarato in sede di audizione si pone in contrasto con le affermazioni resenelle memorie difensive. Peraltro queste ultime non appaiono fornire unaversione credibile dei fatti, poiché risulta provato che la prima richiesta diinformazioni in ordine alla natura dei dati personali trasmessi da Telextra aPostel risale all'accertamento ispettivo del 7 maggio 2009, quando i verbalizzantichiesero conto ai responsabili della società dell'ingente trasferimento di datiavvenuto nel 2008 (oltre 8 milioni di anagrafiche). Telextra ha pertanto avutomodo di comprendere, già nel corso dell'attività ispettiva, l'importanza che aifini dell'accertamento assumeva la questione e di fornire ogni utileinformazione all'esito dei necessari approfondimenti, in considerazione delfatto che i verbalizzanti hanno concesso termine fino al successivo 15 maggioper il riscontro alle richieste. Ma sia nel riscontro del 14 maggio 2009, siain quello relativo ad un'ulteriore specifica richiesta di informazioni sulpunto, reso il 18 novembre 2009, non è emersa la circostanza, che invece èstata facilmente rilevata nell'ambito dell'accertamento ispettivo nei confrontidi Postel, circa la comunicazione di dati riguardanti persone fisiche da partedi Telextra. Quanto all'invocata buona fede di Telextra, seppure deveescludersi che la società, nel fornire all'Autorità i riscontri alle richiesteex art. 157 del Codice, abbia volontariamente inteso ostacolare il regolaresvolgimento delle attività di accertamento, tuttavia va evidenziato che taliriscontri si sono rilevati ampiamente lacunosi fino al punto di indurrel'Ufficio a disporre supplementi istruttori anche presso Postel S.p.A., chehanno consentito di acquisire informazioni risultate anche nella disponibilitàdi Telextra. Tale circostanza porta ad affermare che la società, nel riscontroalle richieste del Garante, non ha operato con l'ordinaria diligenza e per taleragione deve ritenersi non applicabile l'esimente di cui all'art. 3 della leggen. 689/1981 che esclude la responsabilità dell'agente in caso di errore cherisulti inevitabile anche utilizzando, per l'appunto, l'ordinaria diligenzarichiesta. Risultano pertanto pienamente configurati gli elementi diresponsabilità di Telextra in ordine alla violazione sanzionata ai sensidell'art. 164 del Codice;

f.l'atto di contestazione evidenzia che le violazioni di cui agli artt. 161, 162,commi 2-bis e 2-ter, del Codice, come sopra esaminate nel dettaglio, siriferiscono a banche dati di particolare rilevanza e dimensioni. Per l'effetto,l'Ufficio ha contestato a Telextra anche la violazione di cui all'art. 164-bis,comma 2, del Codice.

Alriguardo Telextra ha osservato, negli scritti difensivi e in sede di audizione,che "quanto sopra rappresentato determini l'insussistenza delle violazionidi cui agli arti. 161, 162 comma 2 bis e ter e, conseguentemente,l'insussistenza della violazione di cui all'art. 164 bis comma 2. La parteinoltre evidenzia che le banche dati di cui all'art. 164 bis comma 2 nonappaiono essere quelle detenute da Telextra che è una s.r.l. che, mediante unamodesta struttura, gestisce un patrimonio informativo limitato e, se sieccettua il DBU, risalente nel tempo".

Perquanto riguarda la sussistenza delle singole fattispecie non può che farsirichiamo a quanto ritenuto in fatto e in diritto nei punti a., b., c. e d. delpresente provvedimento. Per quanto riguarda la natura delle banche-dati presein esame, si rileva che all'atto dell'accertamento il DB Telextra si componevadi circa 13 milioni di anagrafiche mentre il DB Indirizzi famiglie, essendocostituito da una rielaborazione del DBU, conteneva i dati di tutti gliabbonati a servizi di telefonia fissa (circa 25 milioni, in base a quantodichiarato dalla società). I dati tratti da liste elettorali acquisiti nel 2003sono risultati essere in tutto oltre 40 milioni. Appare incontestabile che lepredette banche-dati debbano essere qualificate come banche-dati di particolaridimensioni, così come richiesto dall'art. 164-bis, comma 2, del Codice. Inoltretali banche-dati appartengono a categorie per le quali, attraverso disposizionidi legge e provvedimenti del Garante, sono state previste speciali condizionidi trattamento. I criteri di formazione e gestione del DBU hanno formatooggetto del già richiamato provvedimento del 15 luglio 2004; le modalità diacquisizione e le finalità di trattamento dei dati provenienti da listeelettorali sono stabilite nell'art. 177, comma 5, del Codice, che ha apportatomodifiche al Testo Unico delle leggi per la disciplina dell'elettorato attivo eper la tenuta e la revisione delle liste elettorali del 1967; i dati tratti daelenchi telefonici pubblicati prima del 1° agosto 2005 sono stati oggetto dinumerosi provvedimenti  del Garante fra i quali quello, già citato alpunto b., del 12 marzo 2009 nel quale è espressamente richiamata l'applicabilità,a questo genere di banche-dati, della sanzione di cui all'art. 164-bis, comma2, del Codice. Con riferimento ai database utilizzati da Telextra deveritenersi pertanto sussistente, per dimensione e rilevanza, la qualificazioneprevista dal citato art. 164-bis, comma 2.

RILEVATO,quindi, che Telextra, sulla base delle considerazioni sopra richiamate, risultaaver commesso:

a) laviolazione di cui all'articolo 162, comma 2-ter del Codice, per aver utilizzatoe ceduto dati personali costituiti da nominativi e recapiti postali etelefonici tratti dalla base di dati unica degli operatori di comunicazioneelettronica, per i quali era stato disposto, ai sensi degli artt. 143, comma 1,lett. c), e 154, comma 1, lett. d), del Codice, il divieto del trattamento conil provvedimento del Garante del 26 giugno 2008;

b) laviolazione di cui all'articolo 161 del Codice per aver raccolto, registrato,organizzato nel database "DB Telextra" e utilizzato dati provenientida elenchi telefonici pubblicati prima del 1° agosto 2005, senza avere resol'informativa di cui all'art. 13 del Codice, nel termine previsto dal comma 4del medesimo articolo (all'atto della registrazione dei dati o, quando èprevista la loro comunicazione, non oltre la prima comunicazione);

c) laviolazione di cui all'articolo 161 del Codice per aver  effettuatotrattamenti costituiti dalla registrazione, organizzazione nel "DBTelextra", utilizzo e cessione di dati personali, tratti da listeelettorali, senza aver fornito la necessaria informativa ai sensi dell'art. 13del Codice;

d) laviolazione di cui all'articolo 162, comma 2-bis, in relazione all'art. 167 delCodice per aver effettuato trattamenti di dati personali, costituiti dallacessione di dati presenti nel "DB Telextra", senza aver acquisitodagli interessati uno specifico consenso ai sensi dell'art. 23 del Codice;

e) laviolazione di cui all'articolo 164 del Codice, per non aver fornito, in dueoccasioni, un pieno riscontro alla richiesta di informazioni ed esibizione didocumenti effettuata dal Garante ai sensi dell'art. 157 del Codice;

f) laviolazione di cui all'art. 164-bis, comma 2, del Codice, per aver commesso leviolazioni sub a), b), c) e d) in relazione a banche di dati di particolarerilevanza e dimensioni;

VISTOl'art. 161 del Codice che punisce la violazione delle disposizioni di cuiall'art. 13 con la sanzione amministrativa del pagamento di una somma daseimila euro a trentaseimila euro; l'art. 162, comma 2-bis, (nella formulazionevigente all'epoca dei fatti e quindi antecedente alle modifiche di cui all'art.20-bis, comma 1, lettera c), punto 1, del decreto legge 25 settembre 2009, n.135, convertito dalla legge 20 novembre 2009, n. 166) che punisce la violazionedell'art. 23 con la sanzione da ventimila a centoventimila euro; l'art. 162,comma 2-ter, che punisce l'inosservanza di un provvedimento inibitorio delGarante con la sanzione da trentamila a centottantamila euro; l'art. 164, chepunisce l'omesso riscontro alle richieste del Garante con la sanzione dadiecimila a sessantamila euro; l'art. 164-bis, comma 2, che, in caso di piùviolazioni di una o più di una delle disposizioni sopra richiamate, a eccezionedi quelle di cui all'art. 164,  commesse anche in tempi diversi inrelazione a banche di dati di particolare rilevanza o dimensioni, prevedel'applicazione di una sanzione da cinquantamila a trecentomila euro;

CONSIDERATOche, ai fini della determinazione dell'ammontare della sanzione pecuniaria,occorre tenere conto, ai sensi dell'art. 11 della legge 24 novembre 1981 n.689, dell'opera svolta dall'agente per eliminare o attenuare le conseguenzedella violazione, della gravità della violazione, della personalità e dellecondizioni economiche del contravventore;

PRESOATTO delle considerazioni espresse da Telextra in ordine alla quantificazionedell'eventuale sanzione, con richiesta di applicazione di una sanzioneproporzionata all'effettiva condizione economica della società;
CONSIDERATOche, nel caso in esame:

a) inordine all'aspetto della gravità con riferimento agli elementi dell'entità delpregiudizio o del pericolo e dell'intensità dell'elemento psicologico, laviolazione di cui all'art. 162, comma 2-ter, del Codice, risulta connotata daelementi specifici dettati dalla circostanza che Telextra era a conoscenza diquali fossero le condotte illecite in relazione ai trattamenti di datipersonali effettuati con l'utilizzo del DBU e le ha comunque portate acompimento; le violazioni di cui agli artt. 161 e 162, comma 2-bis, del Codicerisultano anch'esse connotate da elementi specifici di gravità posto che lecondotte poste in essere da Telextra riguardo alla formazione di elenchitelefonici, seppur riconducibili, sulla base delle dichiarazioni della società,a trattamenti aventi finalità di mera comunicazione interpersonale, sono idoneea favorire un utilizzo dei dati elusivo delle disposizioni in materia ditelemarketing (poiché appaiono del tutto estranee alla predetta finalità diconsultazione sia l'attività di "arricchimento" degli elenchi"ante 2005" con i dati dei soggetti "consensati" tratti dalDBU, sia l'eliminazione dal DBU rielaborato nel DB Indirizzi famiglie dei datipresenti nella black-list societaria, sia la selezione dei nominativi per areageografica, titolo di studio e genere);

b) aifini della valutazione dell'opera svolta dall'agente, deve essere valutato intermini favorevoli il fatto che Telextra a far data dal 6 aprile 2010, abbiasospeso i trattamenti di dati personali acquisiti da elenchi telefonici"ante 2005";

c) circala personalità dell'autore della violazione, deve essere considerata lacircostanza che Telextra risulta essere già stata destinataria di provvedimentisanzionatori definiti in via breve e dal provvedimento inibitorio del 26 giugno2008;

d) inmerito alle condizioni economiche dell'agente, sono stati presi inconsiderazione gli elementi del bilancio abbreviato d'esercizio relativoall'anno 2012;

RITENUTOdi dover determinare, ai sensi dell'art. 11 della L. n. 689/1981, l'ammontaredella sanzione pecuniaria,  in ragione dei suddetti elementi valutati nelloro complesso, nella misura di:

- euro80.000,00 (ottantamila) per la violazione di cui all'art. 162, comma 2-ter;

- euro40.000,00 (quarantamila) per le violazioni di cui all'art. 161;

- euro60.000,00 (sessantamila) per la violazione di cui all'art. 162, comma 2-bis;

- euro20.000,00 (ventimila) per la violazione di cui all'art. 164;

- euro100.000,00 (centomila) per la violazione di cui all'art. 164-bis, comma 2;

VISTAla documentazione in atti;

VISTAla legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTEle osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazionedel 28 giugno 2000;

RELATOREil dott. Antonello Soro

ORDINA

aTelextra s.r.l., con sede in Saluzzo (CN), via Mattatoio n. 3, in persona dellegale rappresentante pro-tempore, di pagare la somma di euro 300.000,00(trecentomila) a titolo di sanzione amministrativa pecuniaria per la violazioniindicate in motivazione;

INGIUNGE

allamedesima società di pagare la somma di euro 300.000,00 (trecentomila), secondole modalità indicate in allegato, entro 30 giorni dalla notificazione delpresente provvedimento, pena l'adozione dei conseguenti atti esecutivi a normadall'art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro iltermine di giorni 10 (dieci) dal versamento, sia inviata a questa Autorità, inoriginale o in copia autentica, quietanza dell'avvenuto versamento.

Aisensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso ilpresente provvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 8 maggio 2014

Il presidente
Soro

Il relatore
Soro

Il segretario generale
Busia