Garante per la protezione
    dei dati personali


Ordinanza di ingiunzione nei confrontidi One Italia s.r.l.

PROVVEDIMENTO DEL 12 NOVEMBRE 2014

Registro dei provvedimenti
 n. 519 del 12 novembre 2014

 

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro,presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssaGiovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e deldott. Giuseppe Busia, segretario generale;

VISTO l'atto di contestazione della Guardia di Finanza, NucleoSpeciale Privacy, che qui deve intendersi integralmente riportato, n. 99/2010del 7 dicembre 2010 (notificato il 15 dicembre 2010) nei confronti di OneItalia S.p.A. (di seguito "One Italia"), con sede in Roma, viaCorcolle, n. 19, in persona del legale rappresentante pro-tempore, per leviolazioni delle disposizioni di cui agli artt. 13, 23, 161, 162, comma 2-bis,164-bis, comma 2 e 167 del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito denominato Codice);

ESAMINATO il rapporto predisposto dal predetto organo ai sensidell'art. 17 della legge 24 novembre 1981, n. 689, relativo all'atto dicontestazione di cui sopra;

RILEVATO dal predetto rapporto che non risulta essere statoeffettuato, ove previsto, il pagamento in misura ridotta;

VISTI gli scritti difensivi del 14 gennaio 2011 e il verbale diaudizione del 5 dicembre 2011, ai sensi dell'art. 18 della legge n. 689/1981,atti che qui si intendono integralmente richiamati;

RITENUTO che le argomentazioni addotte da One Italia nellememorie difensive e nell'audizione non consentono di escludere le responsabilitàdella società in relazione a quanto contestato per le motivazioni di seguitoriportate:

a) con riferimento alle contestazioni riguardanti l'omessainformativa e la mancata acquisizione del consenso per lo svolgimento diattività promozionali con le basi di dati fornite da H3G S.p.A., sostiene OneItalia che tutti i dati personali trasmessi da H3G, sono stati trattati dallaparte in qualità di responsabile esterno ai sensi dell'art. 29 del Codice e chela stessa ha osservato tutte le disposizioni impartite da H3G. Quest'ultima,peraltro, attraverso verifiche periodiche, è in grado di controllare le attivitàsvolte da One Italia con i propri dati.

Al riguardo si deve premettere che l'Autorità ha avviatol'istruttoria nei confronti di One Italia a seguito di una segnalazione di uncliente dell'operatore telefonico H3G che aveva lamentato la ricezione dimessaggi promozionali indesiderati connessi all'attivazione di un servizio asovrapprezzo (VAS - value-added service). Tali messaggi erano proseguiti anchedopo che il segnalante aveva cambiato operatore telefonico. Dall'istruttoriasvolta è emerso che H3G, per la commercializzazione di servizi a sovrapprezzoattivabili dagli utenti, si avvale di One Italia. Nel riscontro ad unarichiesta di elementi, H3G ha rappresentato che, nel caso portatoall'attenzione dell'Autorità, il segnalante "ha fornito al partner"OneClub" [marchio che identifica una serie di servizi offerti da OneItalia, n.d.r.] i dati necessari per l'attivazione dei servizi che siintendevano acquistare, dati acquisiti e trattati da "OneClub" informa autonoma rispetto alla Scrivente conformemente al rapporto contrattualeinstauratosi direttamente tra i due soggetti". Nel corso di accertamentiispettivi svolti dalla Guardia di finanza presso la sede di One Italia, il 29settembre e il 14 ottobre 2010, è emerso che "quando un utente acquistadei contenuti multimediali accettando le condizioni ed a fronte del pagamentodi un corrispettivo [] il suo numero privo di anagrafica e di qualsivogliaaltro dato personale viene comunicato dalla H3G s.p.a. [] alla One Italias.p.a.. [] Successivamente, i numeri telefonici degli acquirenti, conservatiin un database informatico separatamente per ciascun operatore di telefoniamobile e per servizio acquistato dagli utenti, sono normalmente utilizzati, inaccordo ed alle condizioni decise con l'operatore H3G s.p.a., per la promozione[di servizi] del tipo di quelli già acquistati. [] Lo stesso avviene per lamodalità di "Ricarica Easy": con essa un utente può effettuarericariche direttamente dal portale "Pianeta 3" pagando con carta dicredito; l'utilizzo del servizio (fornito da One Italia s.p.a. incollaborazione con una società specializzata in transazioni) determina lacomunicazione del numero da parte H3G s.p.a. a One Italia s.p.a., che potrebbeutilizzarlo per promuovere condizioni vantaggiose di ricarica". Nel corsodei predetti accertamenti è stata inoltre illustrata la modalità mediante laquale le numerazioni H3G vengono trasmesse ai sistemi di One Italia: "nelmomento in cui il cliente accede ad uno o pi servizi della società attraversoil portale "Pianeta 3", i sistemi di H3G s.p.a. effettuano uncollegamento utilizzando il protocollo http verso i sistemi di One Italias.p.a.  All'atto del collegamento, fra le informazioni comunicate (cioèquelle relative al protocollo utilizzato), è presente un campo che contienel'informazione telefonica dell'utente che sta accedendo al servizio". Nelcorso dell'istruttoria sono stati acquisiti pi contratti relativi a diversirapporti commerciali intercorrenti fra H3G e One Italia: in particolare, nelcontratto avente ad oggetto la fornitura di contenuti multimediali dell'area"Glamour" e "Giochi" è specificato che One Italia può"svolgere solamente quell'attività di promozione, comunicazione epubblicità relativamente al Servizio H3G e ai Contenuti inseriti in taleServizio che sia stata approvata da H3G in forma scritta" e che"ogniqualvolta ne ricorrano i presupposti di legge, [One Italia, n.d.r.]si farà rilasciare da tutti gli interessati il consenso al trattamento";nel contratto avente ad oggetto la realizzazione del portale"Internet.3.it", nel quale One Italia assume la veste giuridica diresponsabile del trattamento, è stabilito che la società "si obbliga asottoporre a H3G ogni comunicazione pubblicitaria/promozionale connessadirettamente o indirettamente ai Servizi/Contenuti, tramite invio, con almeno 3giorni lavorativi di anticipo rispetto alla pubblicazione, del materialepubblicitario/promozionale". Nella designazione quale responsabile deltrattamento, fra le disposizioni impartite da H3G a One Italia vi è quella di"garantire che i dati presenti nei vostri data base e che verrannoutilizzati ai fini dell'adempimento del Contratto suindicato si riferiscano asoggetti che abbiano prestato il consenso al trattamento dei propri datipersonali a fini commerciali". Dagli accertamenti della Guardia di finanzaè infine emerso che il 33,17% di utenti i cui numeri telefonici sono presentinel database di One Italia, non hanno prestato il consenso al trattamento deidati personali per finalità commerciali.

Alla luce di tutti gli elementi raccolti in sede ispettivaemerge con chiarezza che: a) One Italia commercializza alcuni servizimultimediali (musica, contenuti interattivi, ecc.) attraverso siti accessibilisolo ad utenti H3G; b) nel momento in cui gli utenti H3G accedono ai predettisiti, si attiva una comunicazione di dati che va ad alimentare un databasegestito da One Italia; c) fra i dati che confluiscono nel database vi è ancheil numero di utenza telefonica dei clienti che effettuano l'accesso al sitodedicato; d) nel database sono presenti sia utenze di clienti H3G che hannoprestato il consenso al trattamento dei propri dati per finalitàpromo-pubblicitarie, sia utenze di clienti che non hanno prestato taleconsenso; e) con i dati di cui sopra One Italia svolge attività promozionali,in ordine alle quali non ha fornito prova dell'esistenza di preventivecomunicazioni e/o autorizzazioni da parte di H3G; f) tali attività sono svoltein qualità di autonomo titolare del trattamento, in ragione dell'utilizzo di unproprio database, la cui organizzazione, anche sotto il profilo dellasicurezza, risulta essere di esclusiva competenza di One Italia, che sceglieautonomamente i target delle iniziative promozionali e i prodotti dapromuovere; g) gli interessati i cui numeri di utenza telefonica sono confluitinel database di One Italia, non hanno ricevuto dalla predetta societàl'informativa prevista dall'art. 13 del Codice e non hanno prestato il consensodi cui all'art. 130, commi 1 e 2, del medesimo Codice, nonostante la stessaH3G, nei documenti contrattuali acquisiti, avesse considerato necessario taleadempimento da parte di One Italia.

Alla luce delle considerazioni di cui sopra, risultanocorrettamente contestate a One Italia le violazioni in tema di informativa econsenso.

b) l'atto di contestazione del 7 dicembre 2010 evidenzia che leviolazioni di cui agli artt. 161 e 162, comma 2-bis, del Codice, come sopraesaminate nel dettaglio, si riferiscono a banche dati di particolare rilevanzae dimensioni. Per l'effetto, la Guardia di finanza ha contestato a One Italiaanche la violazione di cui all'art. 164-bis, comma 2, del Codice.

Al riguardo One Italia ha osservato che "la quantità dinumerazioni telefoniche interessata dai paventati illeciti è enormementeinferiore a quella che emergerebbe dal verbale di contestazione (4.700.000, V.pag. 2 del verbale di contestazione). Ed infatti il dato di 4.700.000,erroneamente tenuto in considerazione dal Nucleo Ispettivo Privacy, è un datomeramente incrementale (è solo un numero) che individua la sommatoria di tuttele numerazioni che, nel corso degli anni, hanno usufruito per tramite di H3Gdei servizi oggetto della contestazione offerti da One Italia sul portalePianeta 3, al lordo delle numerazioni migrate da altri operatori, di quelleinattive e di quelle contenute nella black list fornita da H3G. La dimensioneeffettiva della banca dati va invece valutata con riferimento alle numerazioniH3G che hanno usufruito del servizio oggetto di contestazioni, pari, nel 2010,a circa 250.000 (al lordo della black list fornita periodicamente da H3GS.p.A.)".

Premesso che, anche a voler fare esclusivo riferimento ai numeriindicati nelle memorie difensive, una banca dati contenente diverse centinaiadi migliaia di utenze telefoniche mobili, non può che essere considerata diparticolare rilevanza con riferimento al valore intrinseco delle informazioniin essa riportate. Le numerazioni mobili non sono infatti inserite in elenchitelefonici pubblici e sono immediatamente raggiungibili anche attraversomessaggi sms per comunicazioni alle quali ciascun utente difficilmente puòsottrarsi (a differenza, ad esempio, dei messaggi di posta elettronica la cuiricezione può essere bloccata o quantomeno limitata dagli utenti stessi).Inoltre, per ammissione degli stessi detentori del database di One Italia, lapredetta banca dati contiene anche informazioni in base alle quali è statopossibile delineare un profilo di consumatore e di utilizzatore di servizi dicomunicazione elettronica e indirizzare messaggi promozionali mirati. Lagestione di una banca dati di tale natura è disciplinata da norme specifiche,quali, ad esempio, l'art. 37, comma 1, lett. d), del Codice, concernentel'obbligo di notificazione, e l'art. 130, commi 1 e 2, relativi al consensospecifico per l'invio di comunicazioni promozionali mediante procedureautomatizzate: anche sulla base di tali norme deve pertanto desumersi laparticolare rilevanza della banca dati in argomento, a prescindere dalla suaoggettiva consistenza numerica. Al riguardo, deve evidenziarsi che il datonumerico indicato nella contestazione di violazione amministrativa è statofornito dalla stessa One Italia in sede di accertamento ispettivo a seguitodella richiesta di informazioni relativa alla "entità del data base diclienti "3" detenuto dalla società". In riscontro a talerichiesta One Italia ha esibito un documento nel quale gli utenti censitirisultano suddivisi in base ai servizi richiesti (musica, giochi, oneclub,adult) e al consenso eventualmente fornito a H3G. Il numero complessivo dinumerazioni presenti nel database ammonta, sulla base del documento fornito daOne Italia, a 6.979.569, pari a circa l'80% dei clienti H3G (che alla fine del2010 risultavano essere 8.800.000 – fonte http://www.tre.it/3italia/chi-siamo/storia-2010).Anche a voler ammettere che nella rilevazione della consistenza numerica deldatabase possa esservi stato un qualche margine di errore, non appareragionevolmente sostenibile uno scostamento che abbia alterato il dato finaledi circa 30 volte senza che alcuno dei rappresentanti e tecnici di One Italiache hanno partecipato all'accertamento si sia avveduto di tale macroscopicasvista. Se poi, con la cifra indicata, la difesa di One Italia ha intesoriferirsi agli utenti che, nell'anno 2010, avevano servizi VAS in corso dierogazione, ciò non cambia il fatto, accertato documentalmente, che la bancadati di One Italia si compone di diversi milioni di numerazioni telefonichemobili e che su tale base di dati la società ha svolto, in autonomia,trattamenti di dati personali finalizzati all'invio di messaggi promozionali.

Deve pertanto ritenersi confermata la natura del database di OneItalia di banca dati di particolare rilevanza sia sotto l'aspetto dimensionaleche qualitativo e deve quindi ritenersi correttamente contestata la violazionedi cui all'art. 164-bis, comma 2, del Codice, in relazione alla quale vainoltre richiamata la sentenza del Tribunale di Milano, sezione prima civile,dell'11 marzo 2014 (n.r.g. 85819/2012) che ha confermato l'autonoma valenzadella fattispecie sanzionatoria in argomento "in ragione, da un lato,della reiterazione delle condotte addebitabili al soggetto sanzionato;dall'altro dall'oggetto dell'abusivo trattamento che nel caso di cui all'art. 164bis coincide con una banca dati di grandi dimensioni, o comunque socialmenterilevante".

RILEVATO, quindi, che One Italia, sulla base delleconsiderazioni sopra richiamate, risulta aver commesso:

a)     laviolazione di cui all'articolo 161 del Codice, per aver svolto trattamenti didati personali finali finalizzati all'invio di comunicazioni promozionalimediante l'invio di sms e mms senza avere reso l'informativa di cui all'art. 13del Codice;

b)     laviolazione di cui all'articolo 162, comma 2-bis, in relazione all'art. 167 delCodice, per aver effettuato i predetti trattamenti senza aver acquisito dagliinteressati lo specifico consenso richiesto dall'art. 130, commi 1 e 2, delCodice

c)     laviolazione di cui all'art. 164-bis, comma 2, del Codice, per aver commesso leviolazioni sub a) e b) in relazione a banche di dati di particolare rilevanza edimensioni;

VISTO l'art. 161 del Codice che punisce la violazione delledisposizioni di cui all'art. 13 con la sanzione amministrativa del pagamento diuna somma da seimila euro a trentaseimila euro; l'art. 162, comma 2-bis, chepunisce la violazione delle disposizioni di cui all'art. 130, commi 1 e 2 delCodice, con  il pagamento di una somma da diecimila a centoventimila euro;l'articolo 164-bis, comma 2, che, in caso di pi violazioni di una o pi di unadelle disposizioni sopra richiamate commesse anche in tempi diversi inrelazione a banche di dati di particolare rilevanza o dimensioni, prevedel'applicazione di una sanzione da cinquantamila a trecentomila euro;

CONSIDERATO che, ai fini della determinazione dell'ammontaredella sanzione pecuniaria, occorre tenere conto, ai sensi dell'art. 11 dellalegge 24 novembre 1981 n. 689, dell'opera svolta dall'agente per eliminare oattenuare le conseguenze della violazione, della gravità della violazione,della personalità e delle condizioni economiche del contravventore;

PRESO ATTO delle considerazioni espresse da One Italia in ordinealla quantificazione dell'eventuale sanzione, con richiesta di applicazione diuna sanzione proporzionata all'effettiva condizione economica della società;
CONSIDERATOche, nel caso in esame:

a)     inordine all'aspetto della gravità con riferimento agli elementi dell'entità delpregiudizio o del pericolo e dell'intensità dell'elemento psicologico, leviolazioni risultano connotate da elementi specifici dettati dalla circostanzache One Italia ha svolto gli illeciti trattamenti sopra descritti sulla scortadi una fittizia rappresentazione del rapporto titolare-responsabileintercorrente con H3G S.p.A.;

b)     aifini della valutazione dell'opera svolta dall'agente, deve essere consideratoin termini non favorevoli il fatto che One Italia non abbia comunicatoall'Autorità l'adozione di misure e accorgimenti volti a eliminare leconseguenze degli illeciti trattamenti;

c)     circala personalità dell'autore della violazione, deve essere considerata lacircostanza che One Italia non risulta gravata da precedenti procedimentisanzionatori definiti in via breve o a seguito di ordinanza ingiunzione;

d)     inmerito alle condizioni economiche dell'agente, sono stati presi inconsiderazione gli elementi delle dichiarazioni reddituali dell'anno 2012;

RITENUTO di dover determinare, ai sensi dell'art. 11 della L. n.689/1981, l'ammontare della sanzione pecuniaria,  in ragione dei suddettielementi valutati nel loro complesso, nella misura di:

- euro 20.000,00(ventimila) per la violazione di cui all'art. 161;

- euro 80.000,00(ottantamila) per la violazione di cui all'art. 162, comma 2-bis;

- euro 100.000,00(centomila) per la violazione di cui all'art. 164-bis, comma 2;

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successivemodificazioni e integrazioni;

VISTE le osservazioni dell'Ufficio formulate dal segretariogenerale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000, adottatocon deliberazione del 28 giugno 2000;

RELATORE la dott.ssa Augusta Iannini;

ORDINA

a One Italia s.r.l., con sede in Roma, via Corcolle, n. 19, inpersona del legale rappresentante pro-tempore, di pagare la somma di euro200.000,00 (duecentomila) a titolo di sanzione amministrativa pecuniaria per laviolazioni indicate in motivazione;

INGIUNGE

alla medesima società di pagare la somma di euro 200.000,00(duecentomila), secondo le modalità indicate in allegato, entro 30 giorni dallanotificazione del presente provvedimento, pena l'adozione dei conseguenti attiesecutivi a norma dall'art. 27 della legge 24 novembre 1981, n. 689,prescrivendo che, entro il termine di giorni 10 (dieci) dal versamento, siainviata a questa Autorità, in originale o in copia autentica, quietanzadell'avvenuto versamento.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011,avverso il presente provvedimento può essere proposta opposizione all'autoritàgiudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogoove ha la residenza il titolare del trattamento dei dati, entro il termine ditrenta giorni dalla data di comunicazione del provvedimento stesso, ovvero disessanta giorni se il ricorrente risiede all'estero.

Roma, 12novembre 2014

Il presidente
Soro

Il relatore
Iannini

Il segretario generale
Busia