g-docweb-display Portlet

Telemarketing: banche dati utilizzate dai call center - Provvedimento inibitorio - 25 settembre 2008 [1562758]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 1562758]
[v. Newsletter]

Telemarketing: banche dati utilizzate dai call center - Provvedimento inibitorio - 25 settembre 2008

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito "Codice");

VISTO il provvedimento del 15 luglio 2004 (in www.garanteprivacy.it, doc. web n. 1032381) con il quale l´Autorità, ai sensi dell´art. 129 del Codice, ha individuato le modalità di inserimento e di successivo utilizzo dei dati personali relativi agli abbonati e agli acquirenti del traffico prepagato negli elenchi telefonici "alfabetici" del servizio universale, costituiti tramite estrazione dalla base di dati unica degli operatori di comunicazione elettronica e realizzati in qualsiasi forma, in rapporto alle diverse finalità sopraindicate, anche in rapporto all´informativa; visto che nel caso in cui l´interessato abbia manifestato il proprio consenso a ricevere informazioni commerciali o promozionali, l´indirizzo o il numero telefonico riportati sugli elenchi sono contrassegnati da un apposito simbolo che indica la disponibilità dell´abbonato a ricevere pubblicità telefonica tramite operatore o materiale pubblicitario a domicilio;

RILEVATO che la vigente disciplina in materia di protezione dei dati personali prevede l´utilizzo, per attività di carattere promozionale, pubblicitario o commerciale (fermo restando quanto previsto dall´art. 130 del Codice riguardo a talune modalità di contatto degli interessati) di alcune categorie di dati e, in particolare di quelli: a) presenti negli elenchi c.d. "alfabetici" per i quali l´interessato ha manifestato il proprio consenso (Provv. 15 luglio 2004 cit.); b) riportati negli elenchi c.d. "categorici" (Provv. 14 luglio 2005 cit.); c) registrati nelle banche dati costituite utilizzando direttamente anche dati estratti da elenchi telefonici formati precedentemente al 1°agosto 2005, sempre che il titolare del trattamento sia in grado di dimostrare di aver fornito effettivamente, prima di tale data, l´informativa agli interessati ai sensi dell´art. 13 del Codice;

VISTI gli atti dell´istruttoria preliminare avviata dall´Autorità nei confronti di Addressvitt s.r.l. (con sede in Milano, Via Luciano Manara n. 5) al fine di valutare il rispetto della normativa in materia di protezione dei dati personali nell´ambito di un´indagine scaturita a seguito dell´acquisizione di elementi relativi al provvedimento inibitorio adottato in data 2 marzo 2006 nei confronti dell´impresa individuale G.F.A. Marketing di Patrizia Cavezzali;

RILEVATO che, nel corso di tale istruttoria preliminare, si è reso necessario acquisire informazioni in loco tramite la Guardia di finanza ai sensi dell´art. 157 del Codice, il 26 giugno 2008, dalle quali è emerso che parte dell´attività di Addressvitt s.r.l. consiste nell´"aggiornamento/arricchimento di elenchi di proprietà di clienti" e nella "fornitura di indirizzi di aziende e privati";

RILEVATO che dalle medesime risultanze è emerso altresì che i dati utilizzati "per l´attività di aggiornamento e arricchimento" della società sono stati acquisiti, tra l´altro, da Eutelia e provenienti dalla base di dati unica degli operatori di comunicazione elettronica ("le banche dati addressvitt s.r.l. traggono origine da forniture trimestrali acquisite dalla società Eutelia, comprendenti l´intero database abbonati al telefono (privati e operatori economici)": verbale delle operazioni compiute il 26 giugno 2008);

RILEVATO dagli atti che in seguito tali dati vengono utilizzati da Addressvitt s.r.l. e poi da questa venduti a terzi per lo svolgimento di successive attività di marketing;

RILEVATO che Addressvitt s.r.l., nel costituire proprie banche dati, non risulta aver fornito tempestivamente agli interessati un´idonea informativa rispetto ai dati che li riguardano; rilevato che, nel caso in cui i dati non siano raccolti presso l´interessato, ai sensi dall´art. 13, comma 4, del Codice l´informativa deve essere fornita al momento della registrazione dei dati o, quando è prevista la loro comunicazione, non oltre la prima comunicazione;

RILEVATO che, dagli atti, non risulta che Addressvitt s.r.l. abbia rilasciato agli interessati idonea informativa, avendo dichiarato che "i dati forniti da Eutelia (…) dovrebbero essere già stati scremati dopo il provvedimento del Garante Privacy datato 15 luglio 2004" (cfr. verbale delle operazioni compiute il 26 giugno 2008);

RILEVATO che, dalla documentazione acquisita, il trattamento dei dati per finalità di marketing risulta essere effettuato da terzi, allo stato non identificati, cui Addressvitt s.r.l. ha comunicato i dati;

CONSIDERATO che le comunicazioni dei dati personali configurano trattamenti che, come tali, richiedono una preliminare informativa agli interessati e l´acquisizione di uno specifico e libero consenso;

CONSIDERATO che Addressvitt s.r.l. aveva pertanto l´obbligo di fornire l´informativa agli interessati, avendo acquisito i dati personali presenti nella predetta base di dati unica e aveva, altresì, l´obbligo di richiedere un consenso specifico, nel caso della loro comunicazione a terzi (art. 23 del Codice);

CONSIDERATO che, dagli atti acquisiti, tale consenso non risulta essere stato richiesto, avendo la società dichiarato che: "il consenso si desume prestato al momento dell´acquisizione dei dati da parte delle società che ci forniscono i dati";

RILEVATO che il trattamento di dati personali, che non risulta svolto in modo lecito, ha carattere sistematico;

CONSIDERATO che l´art. 11, comma 2, del Codice prevede che i dati personali trattati in violazione della disciplina rilevante in materia di dati personali non possono essere utilizzati;

CONSIDERATO che le banche dati create da Addressvitt s.r.l. sono state cedute a diversi soggetti, allo stato non identificati, anche non operanti nel settore delle comunicazioni elettroniche, in vigenza del nuovo regime applicabile agli elenchi telefonici;

RILEVATO che con il provvedimento del 29 maggio 2003 (in www.garanteprivacy.it, doc. web n. 29840) l´Autorità ha stabilito che il titolare il quale acquisisce una banca dati, la cui utilizzazione è possibile solo in base al consenso degli interessati, deve accertare che questi ultimi abbiano validamente acconsentito alla comunicazione dei dati che li riguardano e al loro successivo utilizzo per finalità promozionali e pubblicitarie;

RISERVATA, con autonomo provvedimento, la verifica dei presupposti per contestare la violazione amministrativa concernente l´omessa informativa (artt. 13, comma 4 e 161 del Codice);

CONSIDERATO che il Garante, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, ha il compito di vietare anche d´ufficio il trattamento illecito o non corretto dei dati o di disporne il blocco e di adottare, altresì, gli altri provvedimenti previsti dalla disciplina applicabile al trattamento dei dati personali;

TENUTO CONTO che, ai sensi dell´art. 170 del Codice chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni;

VISTA la documentazione in atti;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

Relatore il dott. Mauro Paissan;

TUTTO CIÒ PREMESSO IL GARANTE:

rilevato che i dati personali di cui è stato accertato l´illecito trattamento non possono, per espressa previsione di legge (art. 11, comma 2, del Codice), essere ulteriormente utilizzati, vieta ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d) del Codice ad Addressvitt s.r.l., di effettuare altri trattamenti di ulteriori dati personali provenienti dalla base di dati unica degli operatori di comunicazione elettronica utilizzati senza idonea informativa e, nelle ipotesi in cui sia previsto dalla legge, senza consenso.

Roma, 25 settembre 2008

IL PRESIDENTE
Pizzetti

IL RELATORE
Paissan

IL SEGRETARIO GENERALE
Buttarelli