Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Ordinanza di ingiunzione nei confronti di One Italia s.r.l. - 12 novembre 2014 [3685448]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
3685448
Data:
12/11/14
Argomenti:
Comunicazioni indesiderate , Marketing , Banche dati , Mobile marketing , SMS promozionali
Tipologia:
Ordinanza ingiunzione o revoca

[doc. web n. 3685448]

Ordinanza di ingiunzione nei confronti di One Italia s.r.l. - 12 novembre 2014

Registro dei provvedimenti
n. 519 del 12 novembre 2014

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO l´atto di contestazione della Guardia di Finanza, Nucleo Speciale Privacy, che qui deve intendersi integralmente riportato, n. 99/2010 del 7 dicembre 2010 (notificato il 15 dicembre 2010) nei confronti di One Italia S.p.A. (di seguito "One Italia"), con sede in Roma, via Corcolle, n. 19, in persona del legale rappresentante pro-tempore, per le violazioni delle disposizioni di cui agli artt. 13, 23, 161, 162, comma 2-bis, 164-bis, comma 2 e 167 del Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196, di seguito denominato Codice);

ESAMINATO il rapporto predisposto dal predetto organo ai sensi dell´art. 17 della legge 24 novembre 1981, n. 689, relativo all´atto di contestazione di cui sopra;

RILEVATO dal predetto rapporto che non risulta essere stato effettuato, ove previsto, il pagamento in misura ridotta;

VISTI gli scritti difensivi del 14 gennaio 2011 e il verbale di audizione del 5 dicembre 2011, ai sensi dell´art. 18 della legge n. 689/1981, atti che qui si intendono integralmente richiamati;

RITENUTO che le argomentazioni addotte da One Italia nelle memorie difensive e nell´audizione non consentono di escludere le responsabilità della società in relazione a quanto contestato per le motivazioni di seguito riportate:

a) con riferimento alle contestazioni riguardanti l´omessa informativa e la mancata acquisizione del consenso per lo svolgimento di attività promozionali con le basi di dati fornite da H3G S.p.A., sostiene One Italia che tutti i dati personali trasmessi da H3G, sono stati trattati dalla parte in qualità di responsabile esterno ai sensi dell´art. 29 del Codice e che la stessa ha osservato tutte le disposizioni impartite da H3G. Quest´ultima, peraltro, attraverso verifiche periodiche, è in grado di controllare le attività svolte da One Italia con i propri dati.

Al riguardo si deve premettere che l´Autorità ha avviato l´istruttoria nei confronti di One Italia a seguito di una segnalazione di un cliente dell´operatore telefonico H3G che aveva lamentato la ricezione di messaggi promozionali indesiderati connessi all´attivazione di un servizio a sovrapprezzo (VAS - value-added service). Tali messaggi erano proseguiti anche dopo che il segnalante aveva cambiato operatore telefonico. Dall´istruttoria svolta è emerso che H3G, per la commercializzazione di servizi a sovrapprezzo attivabili dagli utenti, si avvale di One Italia. Nel riscontro ad una richiesta di elementi, H3G ha rappresentato che, nel caso portato all´attenzione dell´Autorità, il segnalante "ha fornito al partner "OneClub" [marchio che identifica una serie di servizi offerti da One Italia, n.d.r.] i dati necessari per l´attivazione dei servizi che si intendevano acquistare, dati acquisiti e trattati da "OneClub" in forma autonoma rispetto alla Scrivente conformemente al rapporto contrattuale instauratosi direttamente tra i due soggetti". Nel corso di accertamenti ispettivi svolti dalla Guardia di finanza presso la sede di One Italia, il 29 settembre e il 14 ottobre 2010, è emerso che "quando un utente acquista dei contenuti multimediali accettando le condizioni ed a fronte del pagamento di un corrispettivo […] il suo numero privo di anagrafica e di qualsivoglia altro dato personale viene comunicato dalla H3G s.p.a. […] alla One Italia s.p.a.. […] Successivamente, i numeri telefonici degli acquirenti, conservati in un database informatico separatamente per ciascun operatore di telefonia mobile e per servizio acquistato dagli utenti, sono normalmente utilizzati, in accordo ed alle condizioni decise con l´operatore H3G s.p.a., per la promozione [di servizi] del tipo di quelli già acquistati. […] Lo stesso avviene per la modalità di "Ricarica Easy": con essa un utente può effettuare ricariche direttamente dal portale "Pianeta 3" pagando con carta di credito; l´utilizzo del servizio (fornito da One Italia s.p.a. in collaborazione con una società specializzata in transazioni) determina la comunicazione del numero da parte H3G s.p.a. a One Italia s.p.a., che potrebbe utilizzarlo per promuovere condizioni vantaggiose di ricarica". Nel corso dei predetti accertamenti è stata inoltre illustrata la modalità mediante la quale le numerazioni H3G vengono trasmesse ai sistemi di One Italia: "nel momento in cui il cliente accede ad uno o più servizi della società attraverso il portale "Pianeta 3", i sistemi di H3G s.p.a. effettuano un collegamento utilizzando il protocollo http verso i sistemi di One Italia s.p.a.  All´atto del collegamento, fra le informazioni comunicate (cioè quelle relative al protocollo utilizzato), è presente un campo che contiene l´informazione telefonica dell´utente che sta accedendo al servizio". Nel corso dell´istruttoria sono stati acquisiti più contratti relativi a diversi rapporti commerciali intercorrenti fra H3G e One Italia: in particolare, nel contratto avente ad oggetto la fornitura di contenuti multimediali dell´area "Glamour" e "Giochi" è specificato che One Italia può "svolgere solamente quell´attività di promozione, comunicazione e pubblicità relativamente al Servizio H3G e ai Contenuti inseriti in tale Servizio che sia stata approvata da H3G in forma scritta" e che "ogniqualvolta ne ricorrano i presupposti di legge, [One Italia, n.d.r.] si farà rilasciare da tutti gli interessati il consenso al trattamento"; nel contratto avente ad oggetto la realizzazione del portale "Internet.3.it", nel quale One Italia assume la veste giuridica di responsabile del trattamento, è stabilito che la società "si obbliga a sottoporre a H3G ogni comunicazione pubblicitaria/promozionale connessa direttamente o indirettamente ai Servizi/Contenuti, tramite invio, con almeno 3 giorni lavorativi di anticipo rispetto alla pubblicazione, del materiale pubblicitario/promozionale". Nella designazione quale responsabile del trattamento, fra le disposizioni impartite da H3G a One Italia vi è quella di "garantire che i dati presenti nei vostri data base e che verranno utilizzati ai fini dell´adempimento del Contratto suindicato si riferiscano a soggetti che abbiano prestato il consenso al trattamento dei propri dati personali a fini commerciali". Dagli accertamenti della Guardia di finanza è infine emerso che il 33,17% di utenti i cui numeri telefonici sono presenti nel database di One Italia, non hanno prestato il consenso al trattamento dei dati personali per finalità commerciali.

Alla luce di tutti gli elementi raccolti in sede ispettiva emerge con chiarezza che: a) One Italia commercializza alcuni servizi multimediali (musica, contenuti interattivi, ecc.) attraverso siti accessibili solo ad utenti H3G; b) nel momento in cui gli utenti H3G accedono ai predetti siti, si attiva una comunicazione di dati che va ad alimentare un database gestito da One Italia; c) fra i dati che confluiscono nel database vi è anche il numero di utenza telefonica dei clienti che effettuano l´accesso al sito dedicato; d) nel database sono presenti sia utenze di clienti H3G che hanno prestato il consenso al trattamento dei propri dati per finalità promo-pubblicitarie, sia utenze di clienti che non hanno prestato tale consenso; e) con i dati di cui sopra One Italia svolge attività promozionali, in ordine alle quali non ha fornito prova dell´esistenza di preventive comunicazioni e/o autorizzazioni da parte di H3G; f) tali attività sono svolte in qualità di autonomo titolare del trattamento, in ragione dell´utilizzo di un proprio database, la cui organizzazione, anche sotto il profilo della sicurezza, risulta essere di esclusiva competenza di One Italia, che sceglie autonomamente i target delle iniziative promozionali e i prodotti da promuovere; g) gli interessati i cui numeri di utenza telefonica sono confluiti nel database di One Italia, non hanno ricevuto dalla predetta società l´informativa prevista dall´art. 13 del Codice e non hanno prestato il consenso di cui all´art. 130, commi 1 e 2, del medesimo Codice, nonostante la stessa H3G, nei documenti contrattuali acquisiti, avesse considerato necessario tale adempimento da parte di One Italia.

Alla luce delle considerazioni di cui sopra, risultano correttamente contestate a One Italia le violazioni in tema di informativa e consenso.

b) l´atto di contestazione del 7 dicembre 2010 evidenzia che le violazioni di cui agli artt. 161 e 162, comma 2-bis, del Codice, come sopra esaminate nel dettaglio, si riferiscono a banche dati di particolare rilevanza e dimensioni. Per l´effetto, la Guardia di finanza ha contestato a One Italia anche la violazione di cui all´art. 164-bis, comma 2, del Codice.

Al riguardo One Italia ha osservato che "la quantità di numerazioni telefoniche interessata dai paventati illeciti è enormemente inferiore a quella che emergerebbe dal verbale di contestazione (4.700.000, V. pag. 2 del verbale di contestazione). Ed infatti il dato di 4.700.000, erroneamente tenuto in considerazione dal Nucleo Ispettivo Privacy, è un dato meramente incrementale (è solo un numero) che individua la sommatoria di tutte le numerazioni che, nel corso degli anni, hanno usufruito per tramite di H3G dei servizi oggetto della contestazione offerti da One Italia sul portale Pianeta 3, al lordo delle numerazioni migrate da altri operatori, di quelle inattive e di quelle contenute nella black list fornita da H3G. La dimensione effettiva della banca dati va invece valutata con riferimento alle numerazioni H3G che hanno usufruito del servizio oggetto di contestazioni, pari, nel 2010, a circa 250.000 (al lordo della black list fornita periodicamente da H3G S.p.A.)".

Premesso che, anche a voler fare esclusivo riferimento ai numeri indicati nelle memorie difensive, una banca dati contenente diverse centinaia di migliaia di utenze telefoniche mobili, non può che essere considerata di particolare rilevanza con riferimento al valore intrinseco delle informazioni in essa riportate. Le numerazioni mobili non sono infatti inserite in elenchi telefonici pubblici e sono immediatamente raggiungibili anche attraverso messaggi sms per comunicazioni alle quali ciascun utente difficilmente può sottrarsi (a differenza, ad esempio, dei messaggi di posta elettronica la cui ricezione può essere bloccata o quantomeno limitata dagli utenti stessi). Inoltre, per ammissione degli stessi detentori del database di One Italia, la predetta banca dati contiene anche informazioni in base alle quali è stato possibile delineare un profilo di consumatore e di utilizzatore di servizi di comunicazione elettronica e indirizzare messaggi promozionali mirati. La gestione di una banca dati di tale natura è disciplinata da norme specifiche, quali, ad esempio, l´art. 37, comma 1, lett. d), del Codice, concernente l´obbligo di notificazione, e l´art. 130, commi 1 e 2, relativi al consenso specifico per l´invio di comunicazioni promozionali mediante procedure automatizzate: anche sulla base di tali norme deve pertanto desumersi la particolare rilevanza della banca dati in argomento, a prescindere dalla sua oggettiva consistenza numerica. Al riguardo, deve evidenziarsi che il dato numerico indicato nella contestazione di violazione amministrativa è stato fornito dalla stessa One Italia in sede di accertamento ispettivo a seguito della richiesta di informazioni relativa alla "entità del data base di clienti "3" detenuto dalla società". In riscontro a tale richiesta One Italia ha esibito un documento nel quale gli utenti censiti risultano suddivisi in base ai servizi richiesti (musica, giochi, oneclub, adult) e al consenso eventualmente fornito a H3G. Il numero complessivo di numerazioni presenti nel database ammonta, sulla base del documento fornito da One Italia, a 6.979.569, pari a circa l´80% dei clienti H3G (che alla fine del 2010 risultavano essere 8.800.000 – fonte http://www.tre.it/3italia/chi-siamo/storia-2010). Anche a voler ammettere che nella rilevazione della consistenza numerica del database possa esservi stato un qualche margine di errore, non appare ragionevolmente sostenibile uno scostamento che abbia alterato il dato finale di circa 30 volte senza che alcuno dei rappresentanti e tecnici di One Italia che hanno partecipato all´accertamento si sia avveduto di tale macroscopica svista. Se poi, con la cifra indicata, la difesa di One Italia ha inteso riferirsi agli utenti che, nell´anno 2010, avevano servizi VAS in corso di erogazione, ciò non cambia il fatto, accertato documentalmente, che la banca dati di One Italia si compone di diversi milioni di numerazioni telefoniche mobili e che su tale base di dati la società ha svolto, in autonomia, trattamenti di dati personali finalizzati all´invio di messaggi promozionali.

Deve pertanto ritenersi confermata la natura del database di One Italia di banca dati di particolare rilevanza sia sotto l´aspetto dimensionale che qualitativo e deve quindi ritenersi correttamente contestata la violazione di cui all´art. 164-bis, comma 2, del Codice, in relazione alla quale va inoltre richiamata la sentenza del Tribunale di Milano, sezione prima civile, dell´11 marzo 2014 (n.r.g. 85819/2012) che ha confermato l´autonoma valenza della fattispecie sanzionatoria in argomento "in ragione, da un lato, della reiterazione delle condotte addebitabili al soggetto sanzionato; dall´altro dall´oggetto dell´abusivo trattamento che nel caso di cui all´art. 164 bis coincide con una banca dati di grandi dimensioni, o comunque socialmente rilevante".

RILEVATO, quindi, che One Italia, sulla base delle considerazioni sopra richiamate, risulta aver commesso:

a) la violazione di cui all´articolo 161 del Codice, per aver svolto trattamenti di dati personali finali finalizzati all´invio di comunicazioni promozionali mediante l´invio di sms e mms senza avere reso l´informativa di cui all´art. 13 del Codice;

b) la violazione di cui all´articolo 162, comma 2-bis, in relazione all´art. 167 del Codice, per aver effettuato i predetti trattamenti senza aver acquisito dagli interessati lo specifico consenso richiesto dall´art. 130, commi 1 e 2, del Codice

c) la violazione di cui all´art. 164-bis, comma 2, del Codice, per aver commesso le violazioni sub a) e b) in relazione a banche di dati di particolare rilevanza e dimensioni;

VISTO l´art. 161 del Codice che punisce la violazione delle disposizioni di cui all´art. 13 con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro; l´art. 162, comma 2-bis, che punisce la violazione delle disposizioni di cui all´art. 130, commi 1 e 2 del Codice, con  il pagamento di una somma da diecimila a centoventimila euro; l´articolo 164-bis, comma 2, che, in caso di più violazioni di una o più di una delle disposizioni sopra richiamate commesse anche in tempi diversi in relazione a banche di dati di particolare rilevanza o dimensioni, prevede l´applicazione di una sanzione da cinquantamila a trecentomila euro;

CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge 24 novembre 1981 n. 689, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

PRESO ATTO delle considerazioni espresse da One Italia in ordine alla quantificazione dell´eventuale sanzione, con richiesta di applicazione di una sanzione proporzionata all´effettiva condizione economica della società;
CONSIDERATO che, nel caso in esame:

a) in ordine all´aspetto della gravità con riferimento agli elementi dell´entità del pregiudizio o del pericolo e dell´intensità dell´elemento psicologico, le violazioni risultano connotate da elementi specifici dettati dalla circostanza che One Italia ha svolto gli illeciti trattamenti sopra descritti sulla scorta di una fittizia rappresentazione del rapporto titolare-responsabile intercorrente con H3G S.p.A.;

b) ai fini della valutazione dell´opera svolta dall´agente, deve essere considerato in termini non favorevoli il fatto che One Italia non abbia comunicato all´Autorità l´adozione di misure e accorgimenti volti a eliminare le conseguenze degli illeciti trattamenti;

c) circa la personalità dell´autore della violazione, deve essere considerata la circostanza che One Italia non risulta gravata da precedenti procedimenti sanzionatori definiti in via breve o a seguito di ordinanza ingiunzione;

d) in merito alle condizioni economiche dell´agente, sono stati presi in considerazione gli elementi delle dichiarazioni reddituali dell´anno 2012;

RITENUTO di dover determinare, ai sensi dell´art. 11 della L. n. 689/1981, l´ammontare della sanzione pecuniaria,  in ragione dei suddetti elementi valutati nel loro complesso, nella misura di:

- euro 20.000,00 (ventimila) per la violazione di cui all´art. 161;

- euro 80.000,00 (ottantamila) per la violazione di cui all´art. 162, comma 2-bis;

- euro 100.000,00 (centomila) per la violazione di cui all´art. 164-bis, comma 2;

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la dott.ssa Augusta Iannini;

ORDINA

a One Italia s.r.l., con sede in Roma, via Corcolle, n. 19, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 200.000,00 (duecentomila) a titolo di sanzione amministrativa pecuniaria per la violazioni indicate in motivazione;

INGIUNGE

alla medesima società di pagare la somma di euro 200.000,00 (duecentomila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale o in copia autentica, quietanza dell´avvenuto versamento.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 12 novembre 2014

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia