Il Garante ha esaminato l'ipotesi dell'avvenuta inserzione in un sito web, da parte di una società di sviluppo fotografico, di alcune fotografie originariamente ricevute da alcuni fotonegozianti, cui i singoli interessati si erano rivolti senza essere preventivamente informaticirca il particolare servizio prestato e le peculiari modalità di utilizzazione del materiale consegnato. In particolare, il Garante, nel ribadire l'applicabilità della legge n. 675/1996 anche alle immagini fotografiche, ha esaminato i rapporti intercorrenti tra i singoli fotonegozianti e la società di sviluppo, affrontando anche le connesse problematiche in tema d'informativa sul trattamento dei dati.

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice-presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;

Viste le segnalazioni inviate da alcuni cittadini con riferimento alla pubblicazione sul sito www.photosi.virgilio.it di fotografie che li riguardano;

Visti gli atti d’ufficio;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione n. 15 del 28 giugno 2000;

Relatore il dott. Mauro Paissan;

PREMESSO:

1. Il servizio "photosìonline".

Sono pervenute a questa Autorità alcune segnalazioni da parte di cittadini che lamentano una violazione della normativa in materia di protezione dei dati personali in relazione ai trattamenti di dati effettuati da Fincolor Group S.p.a. (di seguito, "società") nell’ambito del servizio "photosìonline". In particolare i segnalanti lamentano l’avvenuta inserzione nel sito http://photosi.virgilio.it (oggi http://photosi.com) di alcune fotografie sviluppate dalla società e ricevute da fotonegozianti ai quali gli interessati si erano rivolti senza essere preventivamente informati del particolare servizio prestato e della peculiare modalità di utilizzazione del materiale fotografico.

Nelle segnalazioni è stato evidenziato che i codici personali forniti dalla società per visionare le fotografie sul sito non erano collocati nella busta destinata al cliente (come pure sarebbe stato previsto dalla società a tutela della riservatezza del cliente), essendo stati stampati all’esterno della stessa, risultando così conoscibili anche da soggetti non autorizzati.

Dagli accertamenti effettuati e dalle notizie acquisite presso la società, anche sulla base di una richiesta d’informazioni ai sensi dell’art. 32, comma 1, legge n. 675/1996, risulta che quest’ultima, attraverso gli ordini provenienti da una pluralità di esercizi commerciali di sviluppo e stampa delle fotografie situati sul territorio nazionale, offre ai clienti diversi prodotti.

Tra questi, il servizio "photosìonline" consente di disporre delle fotografie sia su carta, sia sul sito web della società, in un’area che si dichiara essere accessibile al solo interessato.

A tale scopo, il negoziante rilascia un tagliando sul quale è annotato il tipo di lavorazione effettuata indicando il numero della busta contenente il rullino fotografico ("codice busta", stampato all’esterno della busta), utilizzato per distinguere le fotografie del cliente durante il processo di lavorazione e per consentirne a quest’ultimo la visione sul sito, sulla base della correlazione con un altro codice (il "codice index", che, come si è detto, dovrebbe essere riportato all’interno della busta restituita al cliente con la stampa delle fotografie).

Dopo lo sviluppo, il file contenente le fotografie viene conservato temporaneamente su un server gestito da un altro organismo. L’interessato, accedendo al sito della società ed utilizzando una parola chiave da lui scelta all’atto della registrazione, nonché i codici "busta" e "index", può visualizzare le proprie foto sullo schermo, raccoglierle in album "virtuali", inviarle tramite posta elettronica e cancellarle. Nel caso in cui non provveda ad effettuare tali operazioni entro dieci giorni dalla data di sviluppo e stampa del rullino, il file contenente le foto viene "automaticamente e definitivamente cancellato".

CIÒ PREMESSO, IL GARANTE OSSERVA

2. Applicabilità della legge n. 675/1996.

Nella valutazione della fattispecie sottoposta all’esame di questa Autorità occorre anzitutto verificare se la disciplina della legge n. 675/1996 trovi applicazione al caso descritto. Tale aspetto è oggetto di alcune deduzioni della società secondo la quale la normativa non troverebbe applicazione in quanto i propri incaricati non sarebbero in grado di visionare le fotografie, anche quando sono depositate sul server dal quale risulterebbero accessibili al cliente.

A questo proposito, è invero pacifico che le fotografie possono contenere immagini e informazioni qualificabili alla stregua di dati personali (v., al riguardo, anche il provvedimento del Garante del 4 gennaio 2001, in Cittadini e società dell’Informazione, Bollettino n. 16, p. 23) trattandosi di informazioni relative a persone fisiche identificate o identificabili, nel caso di specie, anche sulla base della menzione del cognome del cliente sulla busta di lavorazione (art. 1, comma 2, lett. c), l. n. 675/1996).

La tesi sostenuta dalla società non è fondata atteso che le immagini e i dati sono comunque oggetto di operazioni di trattamento, a prescindere dalla circostanza che essi siano o meno visionati.

Peraltro, quantomeno nella fase dello sviluppo delle immagini su carta attraverso la procedura di digitalizzazione, oltre che nella fase di "caricamento" del file sul server, gli stessi sono accessibili agli incaricati della società.

Integrandosi così gli estremi di un trattamento dei dati personali, deve ritenersi che la disciplina della legge n. 675/1996 trovi applicazione nei confronti della società, la quale effettua alcune scelte di fondo sulle modalità e finalità del trattamento, che ha inizio all’atto della consegna dei rullini, nonché sulla sicurezza.

3. Relazione tra fotonegozianti e società. Notificazione del trattamento.

Per pervenire ad una compiuta valutazione della conformità dell’attività svolta ai principi ordinatori del dato normativo, è altresì necessario valutare quale relazione, ai fini della disciplina sulla protezione dei dati personali, sussista tra i singoli fotonegozianti e la società.

Dal procedimento, oltre che per ammissione della società, è emerso che i singoli operatori sono soggetti autonomi, legati da rapporti di collaborazione su base contrattuale ai fini delle operazioni di sviluppo e successiva pubblicazione on-line delle fotografie di tal che, in assenza di precisi elementi in senso contrario (quale quello della loro formale preposizione come responsabili o incaricati del trattamento, che la società potrebbe utilmente effettuare, ricorrendone i presupposti, in conformità alla legge n. 675), deve altresì ritenersi che gli stessi abbiano sinora operato in qualità di contitolari del trattamento.

Né, in senso diverso da quanto poc’anzi indicato, possono trarsi elementi dal registro dei trattamenti istituito presso il Garante, dal quale non risulta che la società operi, al contrario, in qualità di responsabile del trattamento di singoli fotonegozianti.

Deve poi aggiungersi che la società risulta aver effettuato la notificazione dei trattamenti in esame solo in data 15 marzo 2002, successivamente alla richiesta di informazioni del Garante e, comunque, alle attività di sviluppo e stampa delle fotografie.

Tale ultima omissione integra una inosservanza dell’art. 7 della legge n. 675/1996, per la quale si procederà con separato atto a contestare in via amministrativa la violazione dell’art. 34 della medesima legge.

4. Consenso dell’interessato.

Appurato che la società svolge anch’essa servizi di sviluppo e di trattamento di immagini in qualità di titolare del trattamento, va verificato se le operazioni di trattamento siano state svolte nel rispetto dei principi della legge n. 675/1996. Sotto tale aspetto, deve rilevarsi che la raccolta del rullino, che prelude alle successive operazioni di sviluppo e trattamento anche informatico, può avvenire (in particolare, dopo le modifiche legislative introdotte dal d.lg. n. 467/2001), anche senza il consenso espresso dall’interessato.

5. Informativa all’interessato.

I titolari del trattamento non possono invece prescindere dall’obbligo di effettuare un’idonea informativa, anche oralmente, ai sensi dell’art. 10, comma 1, della legge n. 675/1996 sin dal momento della consegna del rullino (anziché successivamente, su un sito web consultabile dal cliente, ma dopo la scelta effettuata al momento della consegna del rullino).

Nel corso del procedimento non è emersa alcuna contestazione alle dichiarazioni rilasciate dagli interessati, i quali hanno fatto presente che nessuna informativa è stata resa nei loro confronti, né da parte dei negozianti (nei riguardi dei quali l’Autorità si riserva di procedere in via autonoma, ove ne ricorrano i presupposti), né da parte della società. Ciò in riferimento al momento della richiesta della prestazione, nel quale l’interessato deve essere posto, come si è detto, in condizione di scegliere in modo consapevole la particolare modalità del servizio di sviluppo desiderato e di conoscere in anticipo le modalità del peculiare trattamento.

Né si può ritenere che i clienti siano stati informati in altro modo idoneo circa le diverse modalità di utilizzo dei dati che li riguardano secondo le prescrizioni analitiche contenute nell’art. 10 della legge n. 675/1996, ad esempio tramite la mera esibizione o consegna di materiale che la società asserisce promozionale di aver distribuito ai fotonegozianti, ma del cui effettivo impiego nei casi esaminati non è emersa prova (materiale che ha comunque un contenuto informativo insufficiente sul piano della protezione dei dati personali).

Non si può parimenti ritenere che l’informativa sui dati personali sia implicita nel mero pagamento di un prezzo diverso rispetto a servizi tradizionali.

Analoga valutazione di inidoneità deve essere formulata rispetto alla mera notizia stampata sul tagliando consegnato al cliente al momento del deposito del rullino, il cui tenore è semplicemente il seguente: "se hai scelto premium, le tue foto saranno disponibili anche in formato digitale all’indirizzo http://photosi.virgilio.it.

Alla luce di quanto rilevato deve evidenziarsi che la società non si è sinora attivata affinché a ciascun cliente fosse fornita preventivamente un’idonea informativa sulla base di quanto previsto dal più volte richiamato art. 10 della legge n. 675/1996, avvalendosi anche, per alcuni aspetti, di idonei avvisi affissi in un punto facilmente visibile dei locali dei negozianti.

Il Garante si riserva di instaurare un procedimento nei confronti dei singoli negozianti anche sotto il profilo dell’informativa, scritta od orale. Con riferimento alla società deve rilevarsi che la predetta inosservanza integra un’ulteriore violazione della disciplina sulla protezione dei dati personali per la quale si procederà con separato atto a contestare la violazione di cui all’art. 39 della legge n. 675/1996, anche nei confronti di fotonegozianti eventualmente individuabili a partire dalle segnalazioni pervenute.

Va peraltro segnalata in questa sede, per quanto si tratti di profilo non oggetto di segnalazione e che non riguarda le specifiche modalità tecniche di sviluppo poste in essere dalla società, la necessità che sia richiamata l’attenzione dei clienti sull’eventualità che le fotografie da sviluppare possano contenere informazioni idonee a rivelare particolari condizioni o aspetti della vita privata (es. lo stato di salute, le abitudini sessuali, le opinioni politiche ecc.), per le quali -come è noto- la normativa in materia di tutela della riservatezza assicura una particolare protezione (art. 22 legge n. 675/1996). Nel caso in cui essi dichiarino che dalle fotografie da sviluppare sono ricavabili dati sensibili, va infatti richiesto un consenso scritto (eventualmente apponibile sulla busta nella quale il rullino viene inserito) dei clienti stessi al trattamento dei dati che li riguarda.

Deve infine verificarsi se nel corso del trattamento sopra descritto siano state adottate le specifiche misure di sicurezza previste dall’art. 15 della legge n. 675/1996 e dal d.P.R. 28 luglio 1999, n. 318, volte a prevenire taluni rischi, tra i quali quelli di distruzione o perdita dei dati personali trattati o di accesso non autorizzato; obblighi che, nel caso di specie, assumono rilievo in relazione alle diverse fasi del processo di realizzazione del servizio "photosìonline", nonché ai diversi soggetti in esso coinvolti (i negozianti e gli altri addetti allo sviluppo delle fotografie; il gestore del server nel quale viene conservato il file contenente le fotografie; la società titolare del sito su cui queste ultime vengono pubblicate).

Al riguardo si deve rilevare che, erroneamente e per limitati casi, secondo quanto dichiarato dalla società stessa, sono stati resi conoscibili da parte di terzi i codici personali di accesso alle fotografie, essendo stati gli stessi stampati all’esterno della busta, anziché all’interno.

La società -se si esclude il periodo in cui si sarebbe verificato il disguido tecnico che ha causato la stampa del codice index all’esterno, anziché all’interno della busta- ha però assicurato di adottare misure che, dalla puntuale descrizione fattane, risultano idonee ad evitare i rischi di accesso da parte di terzi alle fotografie e che appaiono quindi conformi all’art. 15 sopra richiamato. La società ha inoltre comunicato a questa Autorità di aver provveduto a correggere l’errore che ha causato l’indebita divulgazione del codice di accesso sopra menzionato e che, "già dall’inizio di marzo 2002…il Codice index è attualmente presente solamente all’interno della busta".

TUTTO CIÒ PREMESSO IL GARANTE:

ai sensi dell’art. 31, comma 1, lett. c), della legge 31 dicembre 1996, n. 675, segnala a Fincolor Group S.p.a la necessità di conformare i trattamenti di dati personali ai principi richiamati nel presente provvedimento, anche in relazione al loro ulteriore trattamento.

Roma, 16 maggio 2002