Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Ordinanza di ingiunzione nei confronti di Telextra s.r.l. - 8 maggio 2014 [3275922]

[doc. web n. 3275922]

Ordinanza di ingiunzione nei confronti di Telextra s.r.l. - 8 maggio 2014

Registro dei provvedimenti
n. 231 dell´8 maggio 2014

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO l´atto di contestazione, che qui deve intendersi integralmente riportato, n. 12049/63349 del 19 maggio 2010 (notificato in 14 giugno 2010) nei confronti di Telextra s.r.l. (di seguito "Telextra"), con sede in Saluzzo, via Mattatoio n. 3 (di seguito Telextra), in persona del legale rappresentante pro-tempore, per le violazioni delle disposizioni di cui agli artt. 13, 23, 154, comma 1, lett. d), 157, 161, 162, commi 2-bis e 2-ter, 164, 164-bis, comma 2 e 167 del Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196, di seguito denominato Codice);

ESAMINATO il rapporto dell´Ufficio del Garante per la protezione dei dati personali predisposto ai sensi dell´art. 17 della legge 24 novembre 1981, n. 689, relativo all´atto di contestazione di cui sopra;

RILEVATO dal predetto rapporto che non risulta essere stato effettuato il pagamento in misura ridotta;

VISTI gli scritti difensivi del 12 luglio 2010, inviati ai sensi dell´art. 18 della legge n. 689/1981, che qui si intendono integralmente richiamati;

LETTO il verbale in data 20 settembre 2010 relativo all´audizione dei rappresentanti di Telextra ai sensi dell´art. 18, comma 2, della legge n. 689/1981, che qui si intende integralmente richiamato;

RITENUTO che le argomentazioni addotte da Telextra nelle memorie difensive e in sede di audizione non consentono di escludere le responsabilità della società in relazione a quanto contestato per le motivazioni di seguito riportate:

a. con riferimento alla contestazione riguardante l´inosservanza del provvedimento del Garante del 26 giugno 2008 (in www.garanteprivacy.it, doc. web n. 1544338) si premette che con tale provvedimento l´Autorità aveva vietato a Telextra di "effettuare altri trattamenti di ulteriori dati personali provenienti dalla base di dati unica degli operatori di comunicazione elettronica, utilizzati senza idonea informativa e, nelle ipotesi in cui sia previsto per legge, senza consenso" poiché nel corso dell´istruttoria non era risultato che Telextra "nel costituire le banche dati offerte in licenza d´uso sul sito www.indirizzi.it, [avesse] fornito agli interessati un´idonea informativa rispetto ai dati che li riguardano e, in particolare, [avesse] comunicato la raccolta di dati ulteriori rispetto a quelli presenti nella base di dati unica degli operatori di comunicazione elettronica, nonché la circostanza che tali dati sarebbero stati aggregati per creare un data base poi ceduto a terzi". Dagli accertamenti ispettivi svolti dal Garante nei giorni 5, 6 e 7 maggio 2009 è emerso che mediante il sito www.indirizzi.it Telextra offriva ai propri clienti due servizi denominati "Elenchi famiglie – estratti da elenchi telefonici" e "Elenchi famiglie – estratti da elenchi Telextra" mediante i quali cedeva in licenza d´uso i dati di abbonati ai servizi di telefonia fissa i cui nominativi e le relative utenze telefoniche erano stati registrati nella base di dati unica degli operatori di comunicazione elettronica (DBU): in particolare il primo servizio conteneva i dati degli abbonati, estratti dal DBU, rielaborati (anche con l´inserimento dell´informazione relativa al sesso dell´abbonato, non desumibile dal DBU) e riversati in un database di proprietà della società ("DB Indirizzi famiglie"); il secondo servizio conteneva dati estratti da elenchi telefonici pubblicati prima dell´introduzione del nuovo regime di pubblicità dei dati degli abbonati ai servizi di telefonia (1° agosto 2005), arricchiti con i dati tratti dal DBU relativi agli abbonati che avevano prestato il proprio consenso all´invio di comunicazioni pubblicitarie telefoniche e/o cartacee, e anch´essi riversati in un database di proprietà della società ("DB Telextra"). Con riferimento a tali risultanze il provvedimento del Garante del 18 marzo 2010, emesso nei confronti di Telextra a seguito dell´istruttoria che ha tratto origine dai citati accertamenti ispettivi,  ha accertato che la società "ha continuato a trattare i dati personali (provenienti dalla base di dati unica degli operatori di comunicazione elettronica e presenti nel database denominato «DB Indirizzi famiglie») in violazione del citato provvedimento del 26 giugno 2008 anche successivamente alla notifica dello stesso (avvenuta il 2 settembre 2008)". Conseguentemente l´Ufficio, con l´atto di contestazione sopra richiamato, ha rilevato che "Telextra ha quindi proseguito ad utilizzare i dati personali tratti dal DBU e l´utilizzo è consistito, nei casi sopra evidenziati, nella elaborazione di tali dati unitamente ad altre informazioni non presenti nel DBU o comunque non utilizzabili per la pubblicazione degli elenchi, per la creazione di nuovi prodotti o servizi destinati alla cessione ai terzi. Telextra ha, pertanto, utilizzato e ceduto dati personali costituiti da nominativi e recapiti postali e telefonici tratti dalla base di dati unica degli operatori di comunicazione elettronica, per i quali era stato disposto, ai sensi degli artt, 143, comma 1, lett. c.), e 154, comma 1, lett, d), del Codice, il divieto del trattamento con il provvedimento del Garante del 26 giugno 2008".

Telextra ha esposto le sue argomentazioni difensive in tre diversi atti: a) una memoria pervenuta all´Autorità il 27 aprile 2010, successivamente alla notifica alla società del provvedimento del 18 marzo 2010 (avvenuta il 6 aprile 2010) ma prima che fosse emesso l´atto di contestazione; b) una memoria pervenuta all´Autorità il 19 luglio 2010; c) l´audizione ex art. 18 della legge n. 689/1981 svolta il 20 settembre 2010. Con la prima memoria Telextra ha evidenziato di aver chiarito, fin dall´epoca della notifica del primo provvedimento inibitorio (settembre 2008), che "l´attività di trattamento dei dati tratti dal DBU da essa svolta, in qualità di editore, consisteva – e consiste tutt´ora – nel creare elenchi telefonici di tipo alfabetico, eventualmente organizzati ed editi separatamente per zona geografica o prefisso telefonico o altro parametro, per poi pubblicarli sui propri siti internet, su supporti cartacei o elettronici da concedere in uso, parzialmente o totalmente, a soggetti pubblici o privati per loro autonomi utilizzi". Nella memoria è stato rappresentato inoltre che, per svolgere l´attività sopra descritta in una cornice di piena legittimità, Telextra ha richiesto al Garante di individuare modalità semplificate per informare gli interessati delle modalità di svolgimento dei trattamenti di dati personali sopra descritti, ma che il Garante, con lettera del 23 ottobre 2008 "ha riconosciuto come non necessaria l´emanazione di prescrizioni di misure appropriate alternative semplificatrici a rendere l´informativa". Con il secondo atto presentato all´Autorità, Telextra ha inteso ribadire quanto già rappresentato nella prima memoria difensiva e ha inoltre affermato che: a) a seguito della lettera del 23 ottobre 2008 Telextra ha ripristinato il servizio on-line del sito www.indirizzi.it "per utilizzi aventi fini di mera comunicazione interpersonale e non anche di marketing diretto, così come si evince dalla lettura delle condizioni d´uso presenti sul predetto sito"; b) i dati tratti dal DBU non sono stati fatti confluire nella banca-dati societaria, bensì pubblicati on-line per meri fini di consultazione, eseguibile anche per area geografica o altro parametro. "In particolare, il parametro ´sesso´ – che, correttamente, codesta Autorità ha evidenziato non essere presente nel DBU – è stata attivata quale chiave di ricerca al solo fine di migliorare la funzionalità di un servizio per il quale tale differenziazione è automaticamente rilevata dal nome di battesimo dell´abbonato"; c) "Telextra Srl si è astenuta – laddove si possa dare per assunto, sebbene non sia il caso, che in precedenza vi avesse fatto ricorso – dall´aggiornamento degli elenchi telefonici antecedenti il mese di agosto 2005 con i dati presenti nel DBU. Nella pratica operativa, sono banche dati fisicamente distinte e separate, fra cui non sono eseguite operazioni di raffronto, interconnessione e integrazione o aggiornamento o altro che implichi operazioni di trattamento di dati personali". In sede di audizione Telextra ha ribadito quanto sopra riportato confermando che, a seguito della notifica del provvedimento inibitorio del 26 giugno 2008, la società "non ha più aggiornato gli elenchi telefonici ante 2005 con dati provenienti dal DBU o da altre banche dati, e ha, nel contempo, eliminato i dati del DBU precedentemente inseriti".

Preso atto delle argomentazioni difensive, si rileva che esse non appaiono idonee a escludere le contestate violazione sia alla luce delle risultanze ispettive più sopra richiamate che con riferimento a quanto accertato con il provvedimento del 18 marzo 2010, non impugnato da Telextra, con il quale, peraltro, il Garante ha disposto il divieto del trattamento dei dati personali contenuti nel DB Telextra. Non può infatti essere confutato, attraverso ragionamenti a posteriori, quanto emerso nelle attività ispettive sulla base delle dichiarazioni e delle produzioni documentali rese da Telextra la quale ha affermato che: a) i dati del DBU sono confluiti in più database societari (fra i quali il DB Indirizzi famiglie, identificato nel sistema Telextra con le indicazioni "Extra 2_DBU" e "Extra 2_Indirizzi famiglie", e il DB Telextra, identificato nel sistema Telextra come "Extra 2_Work"); b) il DB Indirizzi famiglie è offerto in licenza d´uso tramite il sito www.indirizzi.it, gestito da Telextra. Attraverso tale sito è possibile selezionare gli abbonati dei quali acquisire i dati personali in base al territorio di residenza (provincia, città o C.A.P.) e al genere dell´abbonato, operazione quest´ultima possibile solamente attraverso una rielaborazione delle informazioni presenti del DBU. Dal DB Indirizzi famiglie (costituito con i dati del DBU rielaborati) vengono espunti i nominativi presenti nelle black-list della società, relativi a soggetti che hanno richiesto direttamente a Telextra la cancellazione delle proprie informazioni ; c) il DB Telextra, sulla base delle dichiarazioni dell´amministratore di sistema rese il 6 maggio 2009, risulta essere "costituito antecedentemente all´anno 2005 e aggiornato, dopo il 1° agosto 2005 e fino al settembre 2008, con l´inserimento dei dati dei soggetti inseriti nel DBU che hanno manifestato il consenso al marketing cartaceo e telefonico e con la cancellazione degli interessati che l´hanno richiesta direttamente a Telextra". Tale circostanza è stata, nel medesimo contesto, confermata anche dall´amministratrice di Telextra: "i verbalizzanti hanno chiesto alla parte se il prodotto denominato "Elenchi famiglie – estratti da elenchi Telextra" presente sul sito www.indirizzi.it (lettera "n" del documento sui servizi offerti da Telextra) corrisponda al data-base costituito antecedentemente all´anno 2005 e aggiornato, dopo il 1° agosto 2005 e fino al settembre 2008, mediante l´inserimento dei dati dei soggetti registrati nel DBU che hanno manifestato il consenso al marketing cartaceo e telefonico e con la cancellazione degli interessati che l´hanno richiesta direttamente a Telextra. La parte […] ha confermato tale circostanza precisando che Telextra non cede dati a terzi se non con la precisa clausola di utilizzo per sole comunicazioni interpersonali".

Per quanto riguarda, poi, la nota del Garante del 28 ottobre 2008, citata nella memoria difensiva di Telextra al fine di dimostrare che i trattamenti emersi nel corso dell´accertamento ispettivo sarebbero stati portati a conoscenza dell´Autorità, che non avrebbe sollevato obiezioni, deve evidenziarsi che la ricostruzione fornita dalla società non appare corretta: infatti, l´attività di mera pubblicazione dei dati tratti dal DBU non è stata oggetto di censura da parte del Garante con il provvedimento del 26 giugno 2008, il quale ha invece disposto il divieto dei trattamenti che prevedevano elaborazioni ulteriori dei predetti dati ovvero la loro registrazione in database societari finalizzati alla cessione a terzi. Con la nota richiamata nella memoria di Telextra, l´Ufficio del Garante ha chiaramente rappresentato di ritenere che "i soggetti che si limitino rigorosamente a utilizzare i dati [del DBU] al solo fine di formare elenchi telefonici di vario tipo (in formato cartaceo, elettronico o a disposizione su Internet), non siano tenuti a fornire una nuova informativa agli interessati ai quali i dati si riferiscono". Sulla scorta di tale assunto l´Ufficio ha pertanto ritenuto non necessario autorizzare Telextra a rendere tale informativa con modalità semplificate a condizione, però, che "la società utilizzi i dati tratti dal data base unico esclusivamente per la richiamata finalità di pubblicazione di elenchi (come sembrerebbe da un esame dell´istanza in oggetto) e non, viceversa, in relazione ad altre finalità o modalità, quale, ad esempio, la formazione di nuovi archivi nei quali far confluire informazioni tratte anche da altre fonti, ai fini di una eventuale cessione a terzi degli stessi (cfr. provvedimento del 26 giugno 2008)".

Il provvedimento del 18 marzo 2010 ha accertato, sulla base delle risultanza ispettive, che i trattamenti svolti da Telextra dei dati tratti dal DBU, in particolare per la creazione dei database DB Indirizzi famiglie e DB Telextra, commercializzati medianti il sito www.indirizzi.it, prevedevano l´utilizzo di altre informazioni e la creazione di nuovi archivi finalizzati alla cessione a terzi dei dati ivi confluiti. E´ infatti stato accertato che, per la creazione del DB Indirizzi famiglie, il DBU è stato rielaborato con l´inserimento del parametro di ricerca per genere e con l´eliminazione dei dati presenti nelle black-list aziendali "cancella.bak" e "Robinson list", relative ai soggetti che avevano fatto richiesta di cancellazione del proprio nominativo direttamente a Telextra. Per la creazione del DB Telextra la società ha fatto confluire, fino al settembre 2008, nel database contenente dati tratti da elenchi telefonici "ante 2005", i dati dei cd. "consensati" del DBU e, successivamente al settembre 2008 e fino al maggio 2009, ha proseguito a trattare tali dati in violazione di quanto disposto con il provvedimento inibitorio del 26 giugno 2008.

Alla luce delle considerazioni di cui sopra appare correttamente contestata alla società la violazione di cui all´art. 162, comma 2-ter, del Codice, per inosservanza del predetto provvedimento inibitorio.

b. con riferimento alla contestazione relativa all´omessa informativa per la raccolta dei dati personali tratti da elenchi telefonici pubblicati prima del 1° agosto 2005, si evidenzia che, nel corso dell´accertamento ispettivo del 5-7 maggio 2009, la società Telextra ha rappresentato che: a) il DB Telextra, costituito nel 1995, è stato alimentato, dall´anno 2000 all´anno 2005, anche da dati provenienti dagli elenchi telefonici che la società acquistava con cadenza annuale da Telecom Italia S.p.A.; b) "i verbalizzanti hanno chiesto alla parte se e con quali modalità Telextra abbia provveduto a fornire agli interessati inseriti nel DB Telextra un´idonea informativa antecedentemente al 2005. La parte […] ha dichiarato che allo stato non è in grado di attestare l´avvenuto rilascio di tale informativa a tutti gli interessati presenti nel data-base. Tuttavia ha dichiarato che è in corso di ricostruzione l´attività di mailing cartaceo svolta fino al 2005 da parte di Telextra per conto di soggetti terzi, dalla quale potrebbe desumersi l´avvenuto rilascio della predetta informativa". Peraltro, come accertato con il provvedimento del 18 marzo 2010, i dati presenti nel DB Telextra sono stati posti in vendita a soggetti terzi mediante il sito www.indirizzi.it: conseguentemente l´Ufficio ha contestato a Telextra la violazione delle disposizioni di cui all´art. 13, comma 4, del Codice, non avendo provveduto a rendere agli interessati la necessaria informativa prima della registrazione dei dati nel DB Telextra ovvero prima della loro comunicazione a terzi.

Nelle memorie difensive del 4 maggio 2010 Telextra ha, al riguardo, dichiarato che "con l´art 44, comma 1 bis del d. l. n. 207/2008, convertito nella legge n. 14/2009 è venuto meno l´obbligo di rendere agli interessati l´informativa prescritta dall´art. 13 del Codice Privacy. Il disposto, infatti, recita; "i dati personali, presenti nelle banche dati, costituite. sulla base di elenchi formati prima del 1° agosto 2005 sono lecitamente utilizzabili per fini promozionali sino al 31.12.2009 (termine poi prorogato sino al giugno 2010), anche in deroga agli artt. 13 e 23 del Codice". Pertanto Telextra s.r.l., avendo costituito la propria banca dati in data antecedente al 1° agosto 2005 e avendo tratto tali dati da vecchi elenchi telefonici, non era tenuta a rendere alcuna informativa agli interessati. avendo, peraltro, ottemperato alle prescrizioni emanate dal provvedimento del 12 marzo 2009". Di analogo tenore le argomentazioni difensive di cui alla memoria del 26 luglio 2010: "nel caso di elenchi telefonici pubblicati — in qualunque forma — per fini di ricerca e consultazione per fini di comunicazione interpersonale degli utenti, su Telextra Srl, quale operatore cessionario non grava, come visto, l´obbligo di informativa, avendola resa, anche per i terzi cessionari, gli operatori telefonici cedenti; nel caso di elenchi telefonici utilizzati per fini di marketing, con attività eseguite da Telextra Srl quale titolare del trattamento, è in vigenza l´esclusione di informativa e di consenso in deroga alla norma generale, con l´introduzione dell´art. 129, comma 1-bis del Codice Privacy". Telextra, nelle citate memorie, ha richiamato l´attenzione sulla circostanza che i dati tratti da elenchi telefonici pubblicati prima del 1° agosto 2005 sarebbero stati posti in consultazione on-line sul sito www.indirizzi.it non per attività di marketing ma per "fini di ricerca e poi di comunicazione interpersonale da parte degli utenti". Quanto agli utilizzi per finalità di marketing dei predetti dati, la società ha dichiarato che "Telextra Srl ha agito quale "titolare del trattamento" al sensi e per gli effetti del Codice Privacy e non ha ceduto a terzi i dati, eseguendo direttamente le operazioni necessarie alla realizzazione dell´iniziativa promozionale o, se del caso, avvalendosi di strutture terze, designate quali "responsabili del trattamento", secondo le modalità previste dall´art. 29 del Codice Privacy". In sede di audizione la società ha rappresentato che "Telextra ha assolto all´obbligo di rendere l´informativa tramite il soggetto cedente (Telecom). Ciò in conformità a quanto stabilito dal protocollo di intesa tra gestori telefonici e dalla delibera Agcom n. 36 del 2002".

Riguardo alle diverse argomentazioni addotte da Telextra, è necessario effettuare una breve ricostruzione del quadro normativo relativo all´utilizzabilità dei dati personali tratti da elenchi telefonici. Il provvedimento del Garante del 15 luglio 2004 (in www.gpdp.it, doc. web n. 1032381), conformemente a quanto previsto dall´art. 129 del Codice, ha dettato le modalità di inserimento e di successivo utilizzo dei dati personali relativi agli abbonati negli elenchi cartacei o elettronici a disposizione del pubblico, confermando che la primaria finalità di utilizzo di tali dati è la "mera ricerca dell´abbonato per comunicazioni interpersonali". Nel provvedimento l´Autorità ha chiarito che "è consentita la sola formazione, distribuzione e diffusione degli elenchi, in qualunque forma realizzati, basati sulla consultazione e accesso" al DBU già previsto dalla delibera Agcom n. 36/02/CONS, che è consentita la sola utilizzazione di elenchi aggiornati e che, conseguentemente, non è legittimo formare un elenco telefonico con dati che non siano tratti dal DBU. Tale principio è stato confermato in successivi provvedimenti che hanno vietato il trattamento di dati personali a soggetti che avevano pubblicato tramite Internet dati di utenti dei servizi di telefonia tratti da elenchi pubblicati prima del 1° agosto 2005 (ad es. provv. n. 136 del 7 aprile 2011, in www.gpdp.it, doc. web n. 1810351). Per quanto riguarda l´utilizzo per finalità di marketing diretto di dati tratti dai predetti elenchi "ante 2005", il Garante ha espresso un parere, riportato nella Relazione per l´anno 2005 presentata al Parlamento (paragrafo 15.2 "I nuovi elenchi telefonici") in base al quale il trattamento di tali dati per la predetta finalità poteva considerarsi legittimo solo nel caso in cui le relative banche-dati fossero state costituite prima del 1° agosto 2005 e fosse stata resa agli interessati la necessaria informativa. "Se, però, la predetta informativa non è stata resa tempestivamente a norma di legge, il trattamento è stato ed è rimasto illecito; il titolare non può in alcun modo utilizzare i dati e deve necessariamente cancellarli per non incorrere in serie sanzioni". Il regime di utilizzo sopra enunciato è stato parzialmente, e per un periodo limitato nel tempo, vigente all´epoca delle attività ispettive presso Telextra, derogato dall´art. 44, comma 1-bis del decreto legge 30 dicembre 2008, n. 207, convertito, con modificazioni, nella legge 27 febbraio 2009, n. 14, che ha stabilito che i dati personali presenti nelle banche dati costituite sulla base di elenchi telefonici pubblici formati prima del 1° agosto 2005 potevano essere lecitamente utilizzati per fini promozionali sino al 31 dicembre 2009 (termine poi prorogato di cinque mesi), anche in deroga agli articoli 13 e 23 del Codice, dai soli titolari del trattamento che hanno provveduto a costituire dette banche dati prima del 1° agosto 2005. Sulla scorta di tale intervento normativo il Garante ha emesso in data 12 marzo 2009 un  provvedimento (in www.gpdp.it, doc. web n. 1598808) recante prescrizioni destinate ai titolari di banche-dati ricomprese nel predetto regime derogatorio: tali prescrizioni imponevano ai titolari di documentare l´avvenuta costituzione della banca-dati in epoca antecedente al 1° agosto 2005 e trattare direttamente i dati personali, senza possibilità di cederli, a qualunque titolo, a terzi. Dalla ricostruzione fornita appaiono evidenti due elementi che consentono di affermare la responsabilità di Telextra in ordine alla violazione contestata: 1) i dati personali tratti da elenchi telefonici "ante 2005" non potevano essere ceduti a terzi, senza rilascio di un´idonea informativa e acquisizione del relativo consenso, né per finalità di marketing diretto, né per la mera consultazione finalizzata a contatti interpersonali (attività possibile solamente con i dati tratti dal DBU); 2) i predetti dati non potevano essere trattati per finalità di marketing diretto, fino all´introduzione del sopra richiamato regime derogatorio, nemmeno dal titolare che non avesse fornito agli interessati, prima del 1° agosto 2005, la necessaria informativa ai sensi dell´art. 13 del Codice. Poiché è risultato ampiamente documentato, con l´acquisizione delle stampe degli accessi effettuati in sede ispettiva, che Telextra ha effettivamente posto in vendita i dati personali di utenti di servizi di telefonia fissa tratti da elenchi telefonici pubblicati prima del 1° agosto 2005 senza aver reso agli interessati l´informativa prevista; poiché, inoltre, risulta provato (vedi elenco di cui al punto 2 della nota di Telextra del 14 maggio 2009) che la società ha utilizzato i predetti dati, fino all´introduzione del regime derogatorio, per finalità di marketing diretto senza aver parimenti fornito la prevista informativa, deve ritenersi correttamente contestata a Telextra la violazione dell´art. 13 del Codice in relazione ai trattamenti di cui sopra;

c. con riferimento alla contestazione riguardante l´omessa informativa per la registrazione e l´utilizzo di dati personali provenienti da liste elettorali, dagli accertamenti ispettivi è emerso, con riferimento al DB Telextra, che "la banca dati nel corso del tempo è stata arricchita anche con liste elettorali acquisite da diversi Comuni fino all´anno 2003" e che "i dati presenti nelle liste elettorali sono stati utilizzati esclusivamente al fine di aggiornare il DB Telextra con riferimento agli indirizzi degli interessati comunque presenti negli elenchi telefonici". Il provvedimento del 18 marzo 2010, sul punto ha accertato che "Come risulta dalle dichiarazioni e dalla documentazione acquisita, il "DB Telextra" è stato costituito nel corso del tempo utilizzando dati provenienti da diverse fonti. Tra queste, vi è anche una cospicua acquisizione dì dati personali provenienti da liste elettorali (circa 40.000.000) che Telextra ha acquistato nel 2003 da Daily direct s.r.l. (cfr. nota del 14 maggio 2009, punto 1). Oltre a questi, risulta inoltre che abbia acquisito anche negli anni successivi (2004 e 2005) ulteriori dati dalla stessa Data profile s.r.l. e anche da Daily direct s.r.l. Per quanto riguarda tali forniture, non risulta che Telextra abbia fornito agli interessati alcuna informativa al momento della loro registrazione nel proprio database né antecedentemente alla prima comunicazione, come, invece, previsto all´art. 13, comma 4, del Codice". Conseguentemente l´Ufficio ha contestato la relativa violazione amministrativa.

Le argomentazioni difensive di Telextra, espresse nelle memorie e in sede di audizione, possono così sintetizzarsi: "Telextra dichiara di aver detenuto le liste elettorali sino al 31 dicembre 2003 e di averle successivamente distrutte con l´entrata in vigore del Codice. Peraltro si evidenzia che, dato il tempo trascorso, ovvero più di 5 anni dalla data in cui è stata commessa la violazione, le condotte non sono più sanzionabili per effetto dell´intervenuta prescrizione, oltre che di applicabilità del previgente art. 39 della legge 675/1996. La parte intende inoltre precisare che, in riferimento alla raccolta di dati personali negli anni, 2004 e 2005 dalle società Data Profìle e Daily Direct, tali dati non provenivano da liste elettorali e che Telextra non li ha mai utilizzati".

Preso atto delle argomentazioni difensive, va osservato che Telextra non nega di aver acquisito, quantomeno nell´anno 2003, dati personali tratti da liste elettorali in quantità elevatissima (circa 40 milioni di anagrafiche). Tali dati, sulla base delle dichiarazioni rese dalla stessa Telextra nel corso della prima giornata di operazioni ispettive, sono stati riversati nel DB Telextra allo scopo di aggiornare gli indirizzi dei soggetti già presenti nel predetto database. Ciò determina che, a seguito di tale operazione, una parte delle informazioni provenienti dalle liste elettorali si sono fuse, per effetto del dichiarato aggiornamento anagrafico, con i dati già registrati nel DB Telextra. L´eventuale "distruzione" delle liste elettorali acquisite (operazione della quale la società non ha minimamente fatto cenno al Garante nel corso dell´accertamento ispettivo e dell´istruttoria ma solamente in sede di seconda memoria difensiva) ha pertanto interessato, evidentemente, i soli dati non utilizzati nelle predette operazioni di aggiornamento.

Va rilevato, pertanto, che una parte cospicua dei 40 milioni di dati personali tratti da liste elettorali è confluita nel DB Telextra e ha determinato l´aggiornamento delle anagrafiche (attualmente circa 13 milioni) dei soggetti ivi censiti e che tali dati sono stati oggetto di trattamento fino al 2008 per le finalità di marketing diretto e fino al 2010 per la consultazione finalizzata al contatto interpersonale (come documentato al punto b. del presente provvedimento). Poiché i predetti trattamenti sono stati svolti nei periodi sopra indicati senza che agli interessati fosse stata fornita l´informativa ai sensi dell´art. 13, comma 4, del Codice, risulta correttamente contestata la violazione dell´art. 161 del Codice sia con riferimento alla sussistenza della condotta riconducibile a Telextra, sia sotto il profilo delle disposizioni applicabili (vigente Codice e non legge n. 675/1996) e della osservanza del termine di cui all´art. 28 della legge n. 689/1981 (decorrente dalla data di cessazione dei trattamenti, comunicata da Telextra il 6 aprile 2010);

d. con riferimento alla contestazione riguardante la cessione senza consenso dei dati presenti nel DB Telextra, si richiama quanto già osservato ai punti b. e c. del presente provvedimento evidenziando ancora una volta che il DB Telextra contiene dati personali sia acquisiti da elenchi telefonici "ante 2005" sia tratti da liste elettorali, tutti oggetto del provvedimento di divieto del 18 marzo 2010, non impugnato da Telextra. Tali dati non possono essere comunicati a terzi se non raccogliendo dagli interessati un libero e specifico consenso preceduto da un´adeguata informativa. Per quanto riguarda i dati tratti da elenchi telefonici, tale obbligo discende dal quadro normativo di cui alla ricostruzione fornita al punto b. del presente provvedimento. Per quanto riguarda i dati tratti da liste elettorali, l´acquisizione e utilizzabilità risulta oggi limitata alle sole finalità di cui all´art. 177, comma 5, del Codice (politiche, socio-assistenziali, di ricerca scientifica, statistica e storica, oltre che per il perseguimento di un interesse collettivo o diffuso) diverse da quelle perseguite da Telextra nei trattamenti in argomento. Fuori dalla cornice di legittima utilizzabilità di cui sopra, per il trattamento dei dati ricompresi nelle due categorie di cui sopra è necessario che il titolare acquisisca il consenso di cui all´art. 23 del Codice, dopo aver reso la necessaria informativa ai sensi dell´art. 13. Il provvedimento del 18 marzo 2010 ha accertato che "in ordine alle comunicazioni di dati personali offerti tramite il sito www.indirizzi.it Telextra non è in grado di dimostrare di aver acquisito dagli interessati uno specifico consenso per la comunicazione a terzi (art. 23 del Codice)" e l´Ufficio ha contestato la conseguente violazione amministrativa sanzionata dall´art. 162, comma 2-bis, del Codice.

Al riguardo, la società ha formulato, nelle memorie difensive e nell´audizione, le proprie osservazioni riportandosi a quanto già espresso nei precedenti punti e aggiungendo che "riguardo […] i dati tratti da elenchi ante 2005, Telextra ha esclusivamente messo a disposizione dei richiedenti, vecchi elenchi acquisiti a suo tempo in formato elettronico. Sul punto poi si rileva l´intempestività della contestazione che, se fosse stata rilevata in sede ispettiva, avrebbe comportato l´applicazione del regime sanzionatorio precedente più favorevole".

Con riferimento alle eccezioni sollevate dalla difesa deve essere ribadito che, come dichiarato da Telextra in sede ispettiva, i dati personali tratti da liste elettorali sono stati riversati nel DB Telextra per aggiornare le anagrafiche in esso contenute e pertanto tali dati sono stati oggetto di trattamenti sia finalizzati al marketing diretto (fino al 2008) sia alla consultazione per contatti interpersonali (fino al 2010). Tali trattamenti, come chiarito sopra, non rientrano nella cornice normativa che consente l´utilizzabilità, in deroga alle disposizioni sul consenso, dei dati tratti da elenchi telefonici "ante 2005" e da liste elettorali. Pertanto, i trattamenti posti in essere fino al 2010 da Telextra con l´utilizzo dei dati presenti nel DB Telextra dovevano essere preceduti, alla stregua di qualunque trattamento svolto da soggetti privati con l´utilizzo di dati comuni, dall´acquisizione di un consenso libero, specifico e informato degli interessati. Poiché dagli accertamenti ispettivi, dalle dichiarazioni rese da Telextra nel corso dell´istruttoria e dal provvedimento del 18 marzo 2010 è emerso che la società non ha acquisito il predetto consenso, appare correttamente contestata la violazione sanzionata dall´art. 162, comma 2-bis, del Codice. Tale contestazione risulta, inoltre, tempestiva in ossequio a quanto disposto dall´art. 14, comma 2, della legge n. 689/1981 poiché notificata alla parte il 14 giugno 2010, entro il termine di 90 giorni decorrente dalla data di emissione del provvedimento inibitorio (18 marzo 2010) che ha accertato le condotte illecite;

e. per quanto riguarda la contestazione relativa al mancato riscontro alle richieste del Garante, formulate ai sensi dell´art. 157 del Codice, si richiama la ricostruzione in fatto operata nell´atto di contestazione, con la quale si è evidenziato che a Telextra, fin dall´accertamento ispettivo del maggio 2009, è stato richiesto di fornire un elenco dei servizi offerti ai propri clienti che consentisse di verificare se, nell´ambito di tali servizi, fossero stati comunicati dati tratti dal DBU ovvero dal DB Telextra. Con riferimento ai rapporti contrattuali intercorsi con la società Postel S.p.A. e alla comunicazione, emersa dall´elenco di cui sopra, alla predetta società di 8 milioni di dati, Telextra ha dichiarato (nel corso delle attività ispettive) e ha poi confermato nelle note trasmesse all´Autorità il 14 maggio e il 18 novembre 2009 che i dati in argomento si riferivano solamente ad aziende ed erano stati tratti dal proprio database societario. Solo in data 25 febbraio 2010, dopo che l´Ufficio aveva svolto un´ispezione presso Postel S.p.A. dalla quale era emerso che Postel aveva ricevuto da Telextra, in anni successivi al 2005, anche dati relativi a persone fisiche tratti dal DBU, Telextra ha inviato una nota all´Ufficio rappresentando che, a seguito di ulteriori verifiche effettuate con Postel S.p.A., è risultato, differentemente da quanto rappresentato in precedenza, che le comunicazioni di dati personali effettuate verso tale società hanno riguardato anche un numero limitato di dati di persone fisiche. Poiché i non completi riscontri di Telextra alle richieste di informazioni del Garante ex art. 157 del Codice hanno determinato la necessità di svolgere supplementi istruttori, con nuovi accertamenti ispettivi nei confronti di Postel S.p.A. con aggravio di tempi e di costi del procedimento amministrativo, l´Ufficio ha contestato a Telextra la violazione sanzionata dall´art. 164 del Codice.

In ordine alla predetta contestazione Telextra ha dapprima (nelle memorie difensive) rappresentato che la prima richiesta di informazioni relativa ai rapporti con Postel sarebbe stata formulata dall´Autorità il 16 novembre 2009 e a tale richiesta Telextra avrebbe dato riscontro inviando un file criptato contenente documentazione che l´Ufficio non sarebbe riuscito a visionare. Successivamente, in sede di audizione, la parte ha rappresentato "l´assoluta buona fede e la piena disponibilità a fornire ogni riscontro al Garante. Telextra ha infatti fornito a ogni richiesta dell´Ufficio, la documentazione integrale a disposizione e ogni informazione a propria conoscenza e memoria. In ragione della mole di informazioni richieste e di documentazione fornita, quanto inerente la contestazione in argomento è sfuggito anche perché di tali elementi non esisteva una formulazione descrittiva e puntuale negli archivi, nella documentazione e nelle missive intercorse con Postel".

Con riferimento alle argomentazioni addotte dalla parte, appare evidente che quanto dichiarato in sede di audizione si pone in contrasto con le affermazioni rese nelle memorie difensive. Peraltro queste ultime non appaiono fornire una versione credibile dei fatti, poiché risulta provato che la prima richiesta di informazioni in ordine alla natura dei dati personali trasmessi da Telextra a Postel risale all´accertamento ispettivo del 7 maggio 2009, quando i verbalizzanti chiesero conto ai responsabili della società dell´ingente trasferimento di dati avvenuto nel 2008 (oltre 8 milioni di anagrafiche). Telextra ha pertanto avuto modo di comprendere, già nel corso dell´attività ispettiva, l´importanza che ai fini dell´accertamento assumeva la questione e di fornire ogni utile informazione all´esito dei necessari approfondimenti, in considerazione del fatto che i verbalizzanti hanno concesso termine fino al successivo 15 maggio per il riscontro alle richieste. Ma sia nel riscontro del 14 maggio 2009, sia in quello relativo ad un´ulteriore specifica richiesta di informazioni sul punto, reso il 18 novembre 2009, non è emersa la circostanza, che invece è stata facilmente rilevata nell´ambito dell´accertamento ispettivo nei confronti di Postel, circa la comunicazione di dati riguardanti persone fisiche da parte di Telextra. Quanto all´invocata buona fede di Telextra, seppure deve escludersi che la società, nel fornire all´Autorità i riscontri alle richieste ex art. 157 del Codice, abbia volontariamente inteso ostacolare il regolare svolgimento delle attività di accertamento, tuttavia va evidenziato che tali riscontri si sono rilevati ampiamente lacunosi fino al punto di indurre l´Ufficio a disporre supplementi istruttori anche presso Postel S.p.A., che hanno consentito di acquisire informazioni risultate anche nella disponibilità di Telextra. Tale circostanza porta ad affermare che la società, nel riscontro alle richieste del Garante, non ha operato con l´ordinaria diligenza e per tale ragione deve ritenersi non applicabile l´esimente di cui all´art. 3 della legge n. 689/1981 che esclude la responsabilità dell´agente in caso di errore che risulti inevitabile anche utilizzando, per l´appunto, l´ordinaria diligenza richiesta. Risultano pertanto pienamente configurati gli elementi di responsabilità di Telextra in ordine alla violazione sanzionata ai sensi dell´art. 164 del Codice;

f. l´atto di contestazione evidenzia che le violazioni di cui agli artt. 161, 162, commi 2-bis e 2-ter, del Codice, come sopra esaminate nel dettaglio, si riferiscono a banche dati di particolare rilevanza e dimensioni. Per l´effetto, l´Ufficio ha contestato a Telextra anche la violazione di cui all´art. 164-bis, comma 2, del Codice.

Al riguardo Telextra ha osservato, negli scritti difensivi e in sede di audizione, che "quanto sopra rappresentato determini l´insussistenza delle violazioni di cui agli arti. 161, 162 comma 2 bis e ter e, conseguentemente, l´insussistenza della violazione di cui all´art. 164 bis comma 2. La parte inoltre evidenzia che le banche dati di cui all´art. 164 bis comma 2 non appaiono essere quelle detenute da Telextra che è una s.r.l. che, mediante una modesta struttura, gestisce un patrimonio informativo limitato e, se si eccettua il DBU, risalente nel tempo".

Per quanto riguarda la sussistenza delle singole fattispecie non può che farsi richiamo a quanto ritenuto in fatto e in diritto nei punti a., b., c. e d. del presente provvedimento. Per quanto riguarda la natura delle banche-dati prese in esame, si rileva che all´atto dell´accertamento il DB Telextra si componeva di circa 13 milioni di anagrafiche mentre il DB Indirizzi famiglie, essendo costituito da una rielaborazione del DBU, conteneva i dati di tutti gli abbonati a servizi di telefonia fissa (circa 25 milioni, in base a quanto dichiarato dalla società). I dati tratti da liste elettorali acquisiti nel 2003 sono risultati essere in tutto oltre 40 milioni. Appare incontestabile che le predette banche-dati debbano essere qualificate come banche-dati di particolari dimensioni, così come richiesto dall´art. 164-bis, comma 2, del Codice. Inoltre tali banche-dati appartengono a categorie per le quali, attraverso disposizioni di legge e provvedimenti del Garante, sono state previste speciali condizioni di trattamento. I criteri di formazione e gestione del DBU hanno formato oggetto del già richiamato provvedimento del 15 luglio 2004; le modalità di acquisizione e le finalità di trattamento dei dati provenienti da liste elettorali sono stabilite nell´art. 177, comma 5, del Codice, che ha apportato modifiche al Testo Unico delle leggi per la disciplina dell´elettorato attivo e per la tenuta e la revisione delle liste elettorali del 1967; i dati tratti da elenchi telefonici pubblicati prima del 1° agosto 2005 sono stati oggetto di numerosi provvedimenti  del Garante fra i quali quello, già citato al punto b., del 12 marzo 2009 nel quale è espressamente richiamata l´applicabilità, a questo genere di banche-dati, della sanzione di cui all´art. 164-bis, comma 2, del Codice. Con riferimento ai database utilizzati da Telextra deve ritenersi pertanto sussistente, per dimensione e rilevanza, la qualificazione prevista dal citato art. 164-bis, comma 2.

RILEVATO, quindi, che Telextra, sulla base delle considerazioni sopra richiamate, risulta aver commesso:

a) la violazione di cui all´articolo 162, comma 2-ter del Codice, per aver utilizzato e ceduto dati personali costituiti da nominativi e recapiti postali e telefonici tratti dalla base di dati unica degli operatori di comunicazione elettronica, per i quali era stato disposto, ai sensi degli artt. 143, comma 1, lett. c), e 154, comma 1, lett. d), del Codice, il divieto del trattamento con il provvedimento del Garante del 26 giugno 2008;

b) la violazione di cui all´articolo 161 del Codice per aver raccolto, registrato, organizzato nel database "DB Telextra" e utilizzato dati provenienti da elenchi telefonici pubblicati prima del 1° agosto 2005, senza avere reso l´informativa di cui all´art. 13 del Codice, nel termine previsto dal comma 4 del medesimo articolo (all´atto della registrazione dei dati o, quando è prevista la loro comunicazione, non oltre la prima comunicazione);

c) la violazione di cui all´articolo 161 del Codice per aver  effettuato trattamenti costituiti dalla registrazione, organizzazione nel "DB Telextra", utilizzo e cessione di dati personali, tratti da liste elettorali, senza aver fornito la necessaria informativa ai sensi dell´art. 13 del Codice;

d) la violazione di cui all´articolo 162, comma 2-bis, in relazione all´art. 167 del Codice per aver effettuato trattamenti di dati personali, costituiti dalla cessione di dati presenti nel "DB Telextra", senza aver acquisito dagli interessati uno specifico consenso ai sensi dell´art. 23 del Codice;

e) la violazione di cui all´articolo 164 del Codice, per non aver fornito, in due occasioni, un pieno riscontro alla richiesta di informazioni ed esibizione di documenti effettuata dal Garante ai sensi dell´art. 157 del Codice;

f) la violazione di cui all´art. 164-bis, comma 2, del Codice, per aver commesso le violazioni sub a), b), c) e d) in relazione a banche di dati di particolare rilevanza e dimensioni;

VISTO l´art. 161 del Codice che punisce la violazione delle disposizioni di cui all´art. 13 con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro; l´art. 162, comma 2-bis, (nella formulazione vigente all´epoca dei fatti e quindi antecedente alle modifiche di cui all´art. 20-bis, comma 1, lettera c), punto 1, del decreto legge 25 settembre 2009, n. 135, convertito dalla legge 20 novembre 2009, n. 166) che punisce la violazione dell´art. 23 con la sanzione da ventimila a centoventimila euro; l´art. 162, comma 2-ter, che punisce l´inosservanza di un provvedimento inibitorio del Garante con la sanzione da trentamila a centottantamila euro; l´art. 164, che punisce l´omesso riscontro alle richieste del Garante con la sanzione da diecimila a sessantamila euro; l´art. 164-bis, comma 2, che, in caso di più violazioni di una o più di una delle disposizioni sopra richiamate, a eccezione di quelle di cui all´art. 164,  commesse anche in tempi diversi in relazione a banche di dati di particolare rilevanza o dimensioni, prevede l´applicazione di una sanzione da cinquantamila a trecentomila euro;

CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge 24 novembre 1981 n. 689, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

PRESO ATTO delle considerazioni espresse da Telextra in ordine alla quantificazione dell´eventuale sanzione, con richiesta di applicazione di una sanzione proporzionata all´effettiva condizione economica della società;
CONSIDERATO che, nel caso in esame:

a) in ordine all´aspetto della gravità con riferimento agli elementi dell´entità del pregiudizio o del pericolo e dell´intensità dell´elemento psicologico, la violazione di cui all´art. 162, comma 2-ter, del Codice, risulta connotata da elementi specifici dettati dalla circostanza che Telextra era a conoscenza di quali fossero le condotte illecite in relazione ai trattamenti di dati personali effettuati con l´utilizzo del DBU e le ha comunque portate a compimento; le violazioni di cui agli artt. 161 e 162, comma 2-bis, del Codice risultano anch´esse connotate da elementi specifici di gravità posto che le condotte poste in essere da Telextra riguardo alla formazione di elenchi telefonici, seppur riconducibili, sulla base delle dichiarazioni della società, a trattamenti aventi finalità di mera comunicazione interpersonale, sono idonee a favorire un utilizzo dei dati elusivo delle disposizioni in materia di telemarketing (poiché appaiono del tutto estranee alla predetta finalità di consultazione sia l´attività di "arricchimento" degli elenchi "ante 2005" con i dati dei soggetti "consensati" tratti dal DBU, sia l´eliminazione dal DBU rielaborato nel DB Indirizzi famiglie dei dati presenti nella black-list societaria, sia la selezione dei nominativi per area geografica, titolo di studio e genere);

b) ai fini della valutazione dell´opera svolta dall´agente, deve essere valutato in termini favorevoli il fatto che Telextra a far data dal 6 aprile 2010, abbia sospeso i trattamenti di dati personali acquisiti da elenchi telefonici "ante 2005";

c) circa la personalità dell´autore della violazione, deve essere considerata la circostanza che Telextra risulta essere già stata destinataria di provvedimenti sanzionatori definiti in via breve e dal provvedimento inibitorio del 26 giugno 2008;

d) in merito alle condizioni economiche dell´agente, sono stati presi in considerazione gli elementi del bilancio abbreviato d´esercizio relativo all´anno 2012;

RITENUTO di dover determinare, ai sensi dell´art. 11 della L. n. 689/1981, l´ammontare della sanzione pecuniaria,  in ragione dei suddetti elementi valutati nel loro complesso, nella misura di:

- euro 80.000,00 (ottantamila) per la violazione di cui all´art. 162, comma 2-ter;

- euro 40.000,00 (quarantamila) per le violazioni di cui all´art. 161;

- euro 60.000,00 (sessantamila) per la violazione di cui all´art. 162, comma 2-bis;

- euro 20.000,00 (ventimila) per la violazione di cui all´art. 164;

- euro 100.000,00 (centomila) per la violazione di cui all´art. 164-bis, comma 2;

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE il dott. Antonello Soro

ORDINA

a Telextra s.r.l., con sede in Saluzzo (CN), via Mattatoio n. 3, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 300.000,00 (trecentomila) a titolo di sanzione amministrativa pecuniaria per la violazioni indicate in motivazione;

INGIUNGE

alla medesima società di pagare la somma di euro 300.000,00 (trecentomila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale o in copia autentica, quietanza dell´avvenuto versamento.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 8 maggio 2014

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia