La società che compra il database di contatti da un terzo risponde se non verifica la legittimità della costituzione del database medesimo.
Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni: I ricorsi al Garante della privacy
Indice
1. I fatti
A seguito di un primo reclamo nei confronti di una società fornitrice di consulenza in materia di energia, per telefonate indesiderate effettuate in assenza del consenso dell’interessato, il Garante per la protezione dei dati personali aveva comminato una sanzione amministrativa pecuniaria a detta società per il mancato riscontro alla richiesta di informazioni formulata dall’autorità. In considerazione di tale mancanza di collaborazione, inoltre, il Garante aveva avviato un accertamento ispettivo presso la sede legale della società finalizzato a verificare come erano stati acquisiti i dati personali del reclamante e la base giuridica che avrebbe legittimato le telefonate lamentate.
A seguito del predetto accertamento, era emerso che la società aveva acquisito il contatto del reclamante da un list provider avente sede in Moldavia, che le aveva fornito 3 liste di anagrafiche contenenti circa 100.00 contatti. La società non aveva sottoscritto alcuno specifico contratto con il list provider, ma il rapporto commerciale con lo stesso era dimostrato da un documento contabile. Dall’accertamento, inoltre, è emerso come il list provider avesse ottenuto i dati in questione da un altro soggetto che lo avrebbe acquisito in maniera originaria dal reclamante.
Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni:
I ricorsi al Garante della privacy
Giunto alla seconda edizione, il volume affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali, alla luce delle recenti pronunce del Garante della privacy, nonché delle esigenze che nel tempo sono maturate e continuano a maturare, specialmente in ragione dell’utilizzo sempre maggiore della rete. L’opera si completa con una parte di formulario, disponibile online, contenente gli schemi degli atti da redigere per approntare la tutela dei diritti dinanzi all’Autorità competente. Un approfondimento è dedicato alle sanzioni del Garante, che stanno trovando in queste settimane le prime applicazioni, a seguito dell’entrata in vigore della nuova normativa. Michele Iaselli Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II, nonché Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore in numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.
Michele Iaselli | Maggioli Editore 2022
20.00 €
2. Acquisto database di contatti e verifica della legittimità della sua costituzione: valutazione del Garante
In primo luogo, il Garante ha ritenuto che la società non ha fornito una documentazione idonea a dimostrare la liceità dell’acquisizione delle liste anagrafiche da soggetti terzi, cioè dal list provider.
Infatti, i documenti rinvenuti sono soltanto delle fatture emesse in favore di due diverse società che comprovano i rapporti commerciali con il list provider, ma che non permettono di comprendere l’effettiva titolarità della banca dati che è stata ceduta da questi alla società.
In secondo luogo, la società non ha esercitato un potere di controllo sulle liste di dati acquisite dal list provider. Infatti, la società si è limitata soltanto a tenere contatti con il list provider funzionali all’accordo commerciale, ma non gli ha chiesto la documentazione comprovante la sussistenza dei requisiti di liceità del trattamento (quali l’origine dei dati, l’informativa resa agli interessati e il consenso fornito da questi ultimi). A tal proposito, il Garante ha precisato che non può escludersi una responsabilità della società nella verifica dei presupposti di liceità dei dati raccolti, in quanto la raccolta e la conservazione dei dati acquisiti da terzi attengono ad una fase del trattamento precedente e indipendente dall’eventuale promozione di servizi e prodotti dei committenti e viene svolta in piena autonomia dalla società.
Infine, la società non ha adempiuto all’obbligo informativo sulla medesima gravante a favore degli interessati. Infatti, lo script utilizzato dalla società ad ogni contatto con gli interessati riguardava soltanto la richiesta all’utente di un ricontatto nel caso in cui fosse stato interessato ai servizi di consulenza per l’energia da parte della società (che non era neanche in dicata nominativamente) e non conteneva invece le informazioni obbligatorie previste dalla normativa in tema di informativa privacy.
Analogamente, la società non ha provato che gli interessati avessero rilasciato il loro consenso specifico per la comunicazione dei propri dati a terzi (cioè la stessa società) per finalità di marketing.
3. La decisione del Garante
In considerazione di quanto sopra, il Garante ha ritenuto che il trattamento dei dati del reclamante e degli altri interessati coinvolti nelle telefonate promozionali effettuate dalla società è stato effettuato in assenza dei presupposti di legittimità dell’attività promozionale.
Conseguentemente, in ragione della illeicità della condotta posta in essere dal titolare del trattamento, il Garante ha ritenuto necessario adottare diverse misure nei suoi confronti.
In primo luogo, il Garante ha vietato alla società il trattamento dei dati personali rispetto ai quali non è stato comprovato il rilascio agli interessati di una idonea informativa privacy e rispetto ai quali non sia stato altresì un consenso esente da vizi.
In secondo luogo, il Garante ha ritenuto di ingiungere alla società di provvedere senza ritardo alla cancellazione di detti dati.
In terzo luogo, il Garante ha ritenuto di ingiungere alla Società, nel caso in cui la stessa intendesse in futuro indirizzare l’attività promozionale verso utenze telefoniche fornite da partner soggetti terzi, di rendere una trasparente e idonea informativa agli interessati e di adottare idonee procedure volte a verificare costantemente, anche mediante adeguati controlli a campione, che i dati personali siano trattati nel pieno rispetto delle disposizioni in materia di privacy (quali per esempio l’acquisizione di un consenso libero, specifico, inequivocabile, documentato e informato).
Infine, il Garante ha ritenuto di comminare una sanzione amministrativa pecuniaria a carico della società per i trattamenti dati già compiuti illecitamente, che, tenuto conto della gravita delle violazioni (soprattutto con riferimento al numero delle utenze telefoniche coinvolte) e del carattere gravemente colposo della condotta della società (la quale ha ignorato le norme principale in tema di protezione dei dati personali) nonché la totale assenza di misure volte ad attenuare il danno per gli interessati e la difformità della condotta della società rispetto ai numerosi provvedimenti del Garante in tema di marketing, ha ritenuto di quantificare in €. 60.000 (sessantamila).
Scrivi un commento
Accedi per poter inserire un commento