VEDI ANCHE Newsletter del 28 giugno 2023

[doc. web n. 9903067]

Provvedimento del 17 maggio 2023

Registro dei provvedimenti
n. 201 del 17 maggio 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal vice segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;   

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

A partire dal 2012 il Garante ha ricevuto numerosissime richieste di intervento (circa 50 solo nel primo anno) relative alla pubblicazione non autorizzata di dati personali (nominativo, indirizzo, numero di telefono) nel sito web www.trovanumeri.com.

Stando a quanto segnalato, in alcuni casi la pubblicazione avrebbe riguardato anche dati personali di soggetti che avevano particolari esigenze di riservatezza circa il numero telefonico e l’indirizzo di abitazione: alcuni segnalanti avevano infatti rappresentato di essere titolari di utenze riservate, cioè non pubblicate nell’elenco telefonico generale (ETG) evidenziando che, per motivi connessi all’attività lavorativa svolta, la diffusione dei recapiti personali costituiva un importante fattore di rischio per l’incolumità propria e della propria famiglia.

Le istanze pervenute, oltre alla pubblicazione avvenuta senza alcun consenso, hanno lamentato l’assoluta mancanza di indicazioni e di recapiti per rivolgersi al titolare del trattamento nonché l’impossibilità di ottenere la cancellazione dei dati per il mancato funzionamento del form dedicato alle richieste di cancellazione, unico strumento reso disponibile come canale di comunicazione e raggiungibile dal link “contatti” presente in calce all’home page. In particolare, i segnalanti hanno rappresentato di non aver mai autorizzato l’inserimento dei propri dati in tale sito ma anzi di averne appreso l’esistenza solo casualmente - dopo aver rinvenuto i propri dati tra i risultati di ricerca on-line o dopo aver ricevuto contatti indesiderati - e hanno altresì dichiarato di aver provato più volte, invano, a richiederne la cancellazione tramite detto form specificando in alcuni casi che la procedura di cancellazione sembrava non attiva o si interrompeva prima di andare a buon fine.

In alcuni casi più risalenti (2012) si lamentava il fatto che la compilazione del form richiedeva di interagire in lingua inglese (un segnalante ha allegato anche un print screen da cui risulta presente l’avvertenza “Prego scrivete le richieste in lingua inglese”) e spesso i dati dell’indirizzo di residenza erano pubblicati insieme alla relativa mappa del servizio di Google Earth.

Alcuni segnalanti hanno rappresentato di essersi anche rivolti ad un legale o ad un’associazione di tutela dei consumatori per cercare di ottenere la cancellazione dei dati, senza tuttavia ottenere soddisfazione.

Nel sito e nella breve informativa privacy in esso pubblicata non era (e non è tuttora) rinvenibile alcuna indicazione (neanche le informazioni obbligatorie per legge) in merito al soggetto intestatario del sito, pertanto l’identificazione del titolare del trattamento ha richiesto lunghe indagini rese ancor più gravose dal fatto che i server su cui tale sito web risultava ospitato erano ubicati al di fuori del territorio nazionale (e spesso fuori dall’Unione Europea) e venivano cambiati con una frequenza tale da non consentire di ottenere informazioni utili dalle autorità estere e dai soggetti privati di volta in volta interpellati, ferme restando le difficoltà di indagine connesse all’incompetenza territoriale del Garante.

Infine, data la presenza nel sito web trovanumeri.com di numerosi banner pubblicitari del servizio Google AdSense, è stata rivolta a Google una richiesta ai sensi dell’art. 157 del Codice, al fine di ottenere informazioni in merito al soggetto cui erano attribuiti i guadagni derivanti dalla pubblicazione dei banner.

Il 15 luglio 2022 Google ha fornito riscontro allegando i dati di registrazione al proprio servizio AdSense che facevano riferimento al signor Fabio Giovanni Petta. Dalla documentazione trasmessa è risultato che tale iscrizione riguardava la pubblicazione di banner pubblicitari nei siti web www.trovanumeri.com, www.inelenco.com e www.chiediadaniela.com (quest’ultimo sito, a una preliminare verifica dell’Ufficio, è risultato non raggiungibile).

Il Garante, il 26 maggio 2022, aveva già adottato un provvedimento sanzionatorio e di divieto nei confronti del signor Petta (in www.garanteprivacy.it, doc web n. 9780409) relativamente a trattamenti analoghi effettuati tramite il sito web www.inelenco.com per il quale, anche in questo caso, era stato possibile pervenire all’identificazione dell’intestatario solo dopo lunghe indagini. In tale provvedimento, dichiarata l’illiceità del trattamento, si disponeva il divieto “di raccogliere, conservare e pubblicare dati personali per la costituzione e diffusione on line di un elenco telefonico generale i cui dati non sono stati tratti dal d.b.u.”.

Con nota dell’11 agosto 2022 è stato pertanto comunicato al signor Fabio Petta l’atto di avvio del procedimento, i cui contenuti si intendono integralmente richiamati, in considerazione delle violazioni accertate anche con riguardo ai trattamenti effettuati tramite il sito web www.trovanumeri.com.

Con nota del 7 settembre 2022, il signor Petta, comunicando di aver presentato ricorso nei confronti del provvedimento adottato dal Garante il 26 maggio 2022, ha fatto pervenire proprie osservazioni in merito a quanto contestato riferendosi indifferentemente ad entrambi i siti web nella sua titolarità (inelenco.com e trovanumeri.com). Al riguardo il signor Petta ha ribadito (senza tuttavia comprovarlo) che i form per la richiesta di rimozione dei dati presenti in detti siti web sono funzionanti e un’eventuale mancata cancellazione può essere dovuta a malfunzionamenti o errori causati dagli utenti. Inoltre, contestando gli addebiti mossi dal Garante, ha confermato la liceità della propria attività che, a suo dire, non è differente da altri servizi on-line (da lui elencati). In particolare, il signor Petta, ha specificato che “Il sito inElenco è un motore di ricerca che scandaglia il web estrapola dati e li pubblica proprio come fa Google. Oltre ciò è anche un sito recensioni. Gli utenti si registrano e pubblicano oltre i loro dati anche le loro foto, recensioni, prodotti aziendali e lo fanno volontariamente accettando le condizioni di privacy presenti, e possono in qualsiasi momento, tramite form, richiederne la cancellazione. idem TrovaNumeri. Anche ammettendo che i miei siti siano elenchi telefonici, ma non lo sono, vi è un caso specifico che può essere utilizzato, parlo di Pagine Bianche”.

Successivamente all’atto di avvio del procedimento e persino dopo l’invio delle osservazioni difensive da parte del Petta, sono continuate a pervenire al Garante doglianze che lamentano la presenza di dati personali all’interno del sito trovanumeri.com e l’impossibilità di identificare il titolare.

Il 3 aprile 2023 l’Ufficio del Garante ha fatto accesso al sito trovanumeri.com verificando che esso era ancora raggiungibile on-line e non era stato oggetto di modifiche. Allo stesso modo, continuavano ad essere omesse le informazioni identificative del titolare del trattamento. Anche il sito web inelenco.com continuava ad essere pubblicato senza informazioni in merito al titolare del trattamento (verifiche effettuate d’ufficio il 17 aprile 2023). Di tali accessi sono stati acquisiti i print screen.

Il 5 aprile 2023 l’Ufficio del Garante ha fatto accesso al sito trovanumeri.com per verificare quanto dichiarato dal signor Petta in merito al funzionamento della procedura di cancellazione; in particolare, avvalendosi delle informazioni contenute in alcune delle segnalazioni pervenute, sono state fatte delle verifiche puntuali sui dati di 8 segnalanti che avevano presentato istanze al Garante tra il 2012 e il 2023. Tutti sono risultati ancora presenti nel sito trovanumeri.com nonostante fosse stata verificata l’assenza dei loro dati nell’ETG (Pagine Bianche), a conferma che si tratta di utenze riservate. In tre di queste segnalazioni era stato evidenziato il fatto che la riservatezza del recapito telefonico e/o dell’indirizzo di residenza privata si rendeva necessaria per motivi di sicurezza propria o della famiglia: dette segnalazioni erano state inviate al Garante il 10 agosto 2020, il 31 gennaio 2018 e il 4 settembre 2012 e facevano riferimento, come detto, a dati ancora pubblicati nel sito trovanumeri.com. Un segnalante, il 28 luglio 2020, ha lamentato la pubblicazione non autorizzata dei suoi dati nel sito trovanumeri.com – nonostante fossero riservati in elenco dal 2016 - e ha allegato i print screen attestanti la richiesta di rimozione inviata tramite il form di cancellazione il 25 giugno 2020 (con conferma di rimozione entro 48 ore) nonché il print screen dei suoi dati ancora presenti nel sito al 23 luglio 2020. Dall’accesso effettuato il 5 aprile 2023 dall’Ufficio del Garante i dati risultano ancora presenti in trovanumeri.com, mentre non sono presenti negli ETG.

Una verifica sul funzionamento del meccanismo di cancellazione è stata fatta anche dall’Ufficio del Garante risultando, tuttavia, infruttuosa come da immagine a fianco riprodotta.

Sempre in data 5 aprile 2023, l’Ufficio ha utilizzato la funzionalità “aggiungi numero in elenco telefonico gratis” inserendo dati di fantasia. Anche di queste verifiche sono stati effettuati i print screen. Si è osservato che è stato possibile inserire i dati senza che risultasse attivato alcun controllo sull’effettiva volontà del potenziale interessato (nessun messaggio di verifica e conferma). Del resto lo stesso Petta, nella memoria difensiva del 7 settembre 2022 ha confermato di non aver previsto nel suo sito alcun meccanismo di verifica dell’identità.

Inoltre, in calce al form da compilare sono presenti tre formule di consenso già pre-selezionate relative a: accettazione delle condizioni generali e informativa privacy/ consenso alla pubblicazione dei dati on line/ consenso alla ricerca inversa dei dati. La deselezione dei flag non è risultata possibile.

Il 6 aprile 2023 l’Ufficio ha fatto accesso al sito web trovanumeri.com e ha rinvenuto, cercando con le parole “garante protezione”, la scheda anagrafica relativa all’Autorità Garante nella quale era riportato un indirizzo non aggiornato (risalente al 2018) e un numero civico errato (Piazza di Monte Citorio 115). È stato inoltre verificato che la ricerca del nominativo era consentita anche a partire dal solo numero telefonico (funzionalità di ricerca inversa).

2. LE VIOLAZIONI RISCONTRATE

Con riferimento ai profili fattuali sopra evidenziati, anche in base alle affermazioni di cui il dichiarante risponde ai sensi dell’art. 168 Codice, si ritiene che le risposte fornite dal signor Petta – consistenti in argomentazioni del tutto generiche e non documentate e paragoni non pertinenti con altri provider - non consentano di superare i rilievi fatti dall’Ufficio in sede di contestazione delle violazioni che pertanto si confermano come segue.

2.1. Diffusione di dati personali in assenza di idonea base giuridica e trattamento in violazione di legge

Le numerose segnalazioni pervenute e lo stesso esame del contenuto del sito trovanumeri.com delineano un trattamento consistente nella realizzazione, di fatto, di un elenco telefonico in contrasto con la normativa vigente, con la conseguente diffusione di dati personali in Internet in assenza di un’idonea base giuridica. Gli effetti di tale illecito trattamento risultano peraltro amplificati dal fatto che i dati così pubblicati sono indicizzati dal motore di ricerca Google e ulteriormente diffusi; è inoltre resa disponibile una porzione di codice sorgente del sito con l’invito ad altri utenti a rilanciarlo dai propri siti web (vd. link “strumenti” e “trovanumeri nel tuo sito”).

Con riguardo alla creazione di elenchi telefonici si richiama la disciplina speciale di cui all’art. 129 del Codice, adottata in recepimento dell’art. 12 della direttiva comunitaria n. 2002/58/CE, cui viene data attuazione, come previsto dalla disposizione stessa, da specifiche decisioni del Garante e dell’Agcom(1). In particolare, la creazione di elenchi telefonici è ammessa solo con le modalità descritte dalla delibera Agcom n. 36/02/CONS nonché dalla successiva delibera Agcom 180/02/CONS che hanno stabilito le modalità e le regole per la realizzazione del servizio di elenco telefonico generale(2). Il Garante, con il provvedimento 15 luglio 2004 (in www.garanteprivacy,it, doc web n. 1032381) in materia di elenchi telefonici "alfabetici" del servizio universale, ha chiarito che "è consentita la sola formazione, distribuzione e diffusione degli elenchi, in qualunque forma realizzati, basati sulla consultazione e accesso" al d.b.u.(3) (così anche provvedimento 7 aprile 2011, doc. web n. 1810351 e provvedimento 14 gennaio 2016, doc. web n. 6053915) e che, per l’inserimento dei dati personali nei siffatti elenchi, è necessario il consenso espresso, libero, specifico, informato e documentato per iscritto dei contraenti (persone fisiche e giuridiche).

Conseguentemente, non è legittimo formare un elenco telefonico, on-line o anche cartaceo, con dati che non siano tratti dal d.b.u. poiché solo tale fonte, essendo alimentata e aggiornata direttamente dagli operatori che offrono servizi di telefonia, è l’unica in grado di garantire la correttezza e l’aggiornamento dei dati oltre a documentare la volontà degli interessati di renderli pubblici.

Tale impostazione consente di dare attuazione al requisito del consenso dell’interessato la cui volontà, nell’ordinamento italiano, può essere dallo stesso espressa o revocata unicamente rivolgendosi al proprio operatore telefonico. Il principio è stato di recente ribadito anche dalla Corte di Giustizia europea che si è espressa nei seguenti termini(4): “è richiesto il «consenso […] dell’abbonato di un operatore di servizi telefonici affinché i dati personali di tale abbonato siano inclusi negli elenchi telefonici e nei servizi di consultazione degli elenchi telefonici accessibili al pubblico, pubblicati da fornitori diversi da tale operatore”.

Allo stesso modo non è consentita la funzione di c.d. "ricerca inversa", ossia la ricerca delle generalità dei contraenti, sulla base del loro numero telefonico, senza aver previamente acquisito il loro consenso libero e specifico, oltre che informato (v. provvedimento 15 luglio 2004 All. I, punto 4.2.1), coerentemente anche con quanto sostenuto in sede comunitaria dal Gruppo ex art. 29(5).

Dagli accertamenti condotti, invece, è risultato che il sito web trovanumeri.com rende disponibile anche la ricerca inversa e che non è possibile esprimere un consenso libero e specifico per tale funzionalità poiché, come descritto sopra, il flag del consenso è pre-selezionato e non modificabile.

Nella nota del 7 settembre 2022, il signor Petta nega che i suoi siti realizzino degli elenchi telefonici e, a suo dire, qualora fossero considerati elenchi, sarebbero da paragonare al servizio fornito dalla Società Italiaonline S.p.A. tramite il sito www.paginebianche.it, che a detta del Petta opererebbe con le sue stesse modalità. Inoltre lo stesso ha aggiunto che il sito trovanumeri.com è un motore di ricerca e un sito di recensioni dove gli utenti, registrandosi, possono pubblicare foto e condividere commenti. Dall’esame del sito web, tuttavia, non pare possibile effettuare questo tipo di operazioni e l’unica funzione possibile pare essere l’inserimento di dati personali senza che venga effettuata alcuna verifica sull’effettiva volontà dell’interessato non essendo presente alcun controllo (ad esempio tramite email di conferma); all’esito della procedura non si ha la creazione di un’area personale dell’utente, non essendo peraltro prevista neanche la scelta di credenziali di autenticazione, pertanto non si comprende come possa avvenire l’utilizzo del sito trovanumeri.com per pubblicare foto e recensioni.

Nonostante il signor Petta sostenga nelle sue difese che il sito web non è un elenco telefonico, si osserva che è proprio il sito stesso a presentarsi come tale, dal momento che, come si vede dalla schermata che segue, si fa riferimento proprio all’inserimento “abbonato in elenco telefonico” con l’obbligo, all’esito del procedimento, di acconsentire anche alla ricerca inversa dei dati.

Inoltre, nell’informativa pubblicata nel sito, facendo riferimento proprio alle norme sugli elenchi, si legge che “Gli abbonati che prima dell'entrata in vigore della nuova normativa sugli elenchi telefonici e, quindi, antecedentemente al 1° agosto 2005, che non abbiano successivamente manifestato una diversa volontïà, (richiedendo la cancellazione dei dati tramite apposito modulo), continueranno ad essere pubblicati sul sito TrovaNumeri come in precedenza” e, più avanti, addirittura vantando di disporre della necessaria autorizzazione di legge, si aggiunge che “ Il trattamento a cui saranno sottoposti i dati personali richiesti o acquisiti è diretto esclusivamente all'espletamento da parte di TrovaNumeri del servizio e delle attività connesse a cui TrovaNumeri è autorizzata ai sensi delle vigenti disposizioni di Legge. (Fornire un elenco telefonico)” (testo riportato così come visualizzabile nel sito).

Si deve inoltre tenere presente che il signor Petta ha dichiarato che i dati presenti nei suoi siti web sono raccolti a seguito di autonomo inserimento degli utenti o tramite web scraping, cioè tramite un procedimento automatizzato di ricerca a tappeto nel web. Del resto, anche nella stringata informativa pubblicata nel sito trovanumeri.com si legge che “Trovanumeri è un motore di ricerca. I dati contenuti nel nostro archivio sono estrapolati da uno spider. Lo spider di Trovanumeri effettua quotidianamente la scansione di migliaia di siti internet”.

Premesso che il Garante si è già espresso(6) in merito all’illiceità dell’utilizzo di dati raccolti tramite web scraping per finalità incompatibili con quelle iniziali, con tali dichiarazioni si ha evidenza del fatto che i dati - che di certo non sono stati estratti dal d.b.u. - sono stati acquisiti e trattati senza alcun consenso degli interessati e senza che sia invocabile alcuna altra base giuridica.

Con riguardo all’ipotesi di autonomo inserimento dei dati su istanza degli utenti, che comunque non è stata mai documentata, si deve ricordare che tutti i segnalanti hanno lamentato la presenza dei loro dati personali nel sito web senza che essi avessero dato alcuna autorizzazione e addirittura senza neanche sapere che i loro dati erano diffusi on line. Inoltre, non si comprende quale utilità dovrebbe trarre un interessato dall’inserimento in un elenco telefonico generico – che riporta anche dati errati o non aggiornati - posto che chi abbia esigenze di visibilità già può vederle soddisfatte dagli elenchi telefonici ufficiali, gli unici autorizzati a norma di legge in base ai presupposti già richiamati. Appare invece più evidente l’interesse economico del titolare ad effettuare tale tipo di trattamento in ragione della possibilità di pubblicare banner pubblicitari nelle pagine del sito web, tenuto conto che la valorizzazione dei banner è correlata al numero di visite ottenute dal sito.

E comunque, pur volendo ammettere per assurdo l’esistenza di un iniziale consenso, tale base giuridica non sarebbe di certo invocabile dopo le richieste di cancellazione inoltrate dagli interessati.

Inoltre, stante la mancanza di qualsiasi procedura di controllo, con l’impostazione descritta dal signor Petta sarebbe possibile per chiunque inserire dati di contatto di un terzo inconsapevole, compresi anche i link ai profili social, con potenziali rischi per la riservatezza e anche per la stessa sicurezza delle persone.

Infine, con riguardo all’asserita analogia tra il sito trovanumeri.com e il servizio offerto dal sito web www.paginebianche.it, si ritiene utile chiarire che il servizio Pagine Bianche – che innanzitutto rende disponibili i dati di contatto e le informazioni identificative del titolare – effettua la pubblicazione dell’ETG nell’ambito del quadro normativo richiamato e, come  si rinviene nell’informativa privacy di detto sito, “pubblica i dati relativi agli abbonati ai servizi di telefonia fissa e mobile, così come sono stati inseriti nella banca dati unica da parte dei singoli operatori telefonici, in conformità ai provvedimenti dell'Autorità per le Garanzie nelle Comunicazioni e del Garante Privacy. […] la banca dati unica, alla quale Italiaonline S.p.A. ha accesso a seguito di contratto di cessione stipulato con uno degli operatori telefonici autorizzati, è alimentata, per disposizione dell'Autorità per le Garanzie nelle Comunicazioni, da tutti gli operatori di servizi di telefonia fissa e mobile firmatari di un apposito protocollo d'intesa, in conformità alle manifestazioni del consenso rese da ciascun abbonato ai rispettivi operatori in risposta al formulario dagli stessi predisposto. […] Italiaonline S.p.A., editore di PAGINEBIANCHE.it, nei cui confronti l'interessato può esercitare i medesimi diritti in relazione ai trattamenti dalla stessa effettuati, non è tuttavia legittimata, per il motivo suddetto, ad operare alcun intervento sui dati presenti nella banca dati unica”.

Ciò premesso, tenuto conto che il trattamento non è assistito da alcuna base giuridica ed è posto in essere in violazione di legge si ritiene che la condotta descritta integri la violazione dei seguenti articoli del Regolamento: art. 5, par. 1, lett. a) e d); art. 5, par. 2; art. 6.

2.2 Mancato rispetto dei diritti degli interessati, inidoneità dell’informativa e assenza di misure di garanzia

Le istanze pervenute hanno lamentato, oltre alla diffusione non autorizzata dei dati, anche l’impossibilità di esercitare il diritto alla cancellazione – nonché potenzialmente ogni altro diritto connesso alla protezione dei dati personali - poiché non risultava rinvenibile nel sito alcun dato identificativo del titolare e alcun canale di contatto con esso. Difatti non era presente (e non è presente tuttora) alcuna informazione relativa alla denominazione e alla partita iva dell’operatore economico intestatario del sito web, così come peraltro previsto anche dalla vigente normativa in materia d’impresa (art. 35, comma 1, dPR 26 ottobre 1972, n. 633 e art. 2250 c.c.).

Stando a quanto argomentato dal signor Petta, la presenza del form di contatto era l’unico canale messo a disposizione degli interessati per esercitare i diritti di cancellazione e rettifica. Tale strumento deve ritenersi tuttavia insufficiente a garantire agli interessati il corretto esercizio di tutti i diritti previsti dal Regolamento dal momento che consentirebbe in astratto solo la cancellazione e la modifica dei dati ma non sarebbe utile per richiedere, ad esempio, l’accesso ai dati o la portabilità.

La stessa informativa privacy, che si visualizza con caratteri che ne rendono difficile la lettura e, in alcuni passaggi, risulta poco comprensibile, riporta informazioni non veritiere (relative ad es. alla presenza di un’autorizzazione ai sensi di legge per formare un elenco telefonico) e dichiara di rispettare le norme canadesi sulla privacy poiché i server sono, a quanto si legge, ubicati in Canada.

Inoltre, il titolare si è limitato ad affermare che le procedure di cancellazione sono funzionanti senza tuttavia fornire alcuna prova documentale al riguardo. Vi sono, al contempo, numerose segnalazioni (alcune descritte al punto 1) che lamentano la presenza dei dati on line nonostante i tentativi di cancellazione fatti attraverso l’unico strumento disponibile, il form on-line, per le quali si è dimostrato che ad oggi, a distanza di anni, i dati risultano ancora presenti in trovanumeri.com nonostante siano riservati negli ETG. Lo stesso Ufficio del Garante ha verificato che, all’inoltro di una richiesta di cancellazione è seguito un messaggio di errore.

Ciò premesso, si ritiene che la condotta descritta integri la violazione degli artt. 12, par. 2, 15, 16 e 17 del Regolamento, essendo risultato impossibile per gli interessati conoscere l’origine dei dati e le modalità e finalità del trattamento, nonché richiedere la rettifica dei dati inesatti o la cancellazione.
Inoltre, tenuto conto della totale inadeguatezza dell’informativa privacy pubblicata nel sito web, si ritiene che la condotta descritta integri la violazione degli artt. 12, par. 1 e 13 del Regolamento.
Quanto descritto configura inoltre una totale mancanza di misure tecniche e organizzative adeguate a garantire che il trattamento venga effettuato in conformità alle norme in materia di protezione dei dati personali e l’unica misura tecnica adottata (il form “contatti”) non è stata in grado di tutelare i diritti degli interessati; per tali ragioni, si ritiene integrata la violazione degli artt. 24 e 25 del Regolamento.

2.3 Inosservanza del divieto di trattamento

Con il citato provvedimento del 26 maggio 2022 è stato disposto nei confronti di Fabio Petta il divieto “di raccogliere, conservare e pubblicare dati personali per la costituzione e diffusione on line di un elenco telefonico generale i cui dati non sono stati tratti dal d.b.u.”. Tale misura correttiva, resasi necessaria in ragione delle gravissime violazioni rilevate e del pregiudizio cagionato agli interessati, è stata adottata all’esito dell’accertamento condotto nel sito inelenco.com ma, data la formulazione volutamente ampia, deve intendersi chiaramente come generale divieto rivolto al signor Petta di reiterare la condotta con mezzi analoghi in assenza delle opportune garanzie di legge.

Solo successivamente è stato accertato che anche il sito trovanumeri.com faceva capo allo stesso Petta dato che questi, a causa degli accorgimenti adottati, operava nel completo anonimato.

Pertanto, nell’atto di avvio del procedimento notificato l’11 agosto 2022 si è rilevato che, nonostante il divieto disposto con il provvedimento del 26 maggio 2022, la condotta non risultava interrotta poiché i siti web www.inelenco.com e www.trovanumeri.com risultavano, come detto, ancora attivi e rendevano ancora disponibili on line numerosi dati personali. È stata pertanto contestata l’inosservanza del divieto di trattamento disposto con il citato provvedimento.

Successivamente, in data 3 settembre 2023, l’avvocato del signor Petta ha dato notizia al Garante del ricorso presentato presso il Tribunale ordinario contro il provvedimento adottato il 26 maggio 2022 con contestuale istanza di sospensione, istanza per la quale il Tribunale adito ha ritenuto insussistenti i presupposti per disporre la misura cautelare rinviando l’esame del ricorso ad apposita udienza di rito.

Pertanto, non essendo stati sospesi gli effetti del provvedimento e permanendo inalterato il trattamento contestato con grave pregiudizio per gli interessati, si deve confermare allo stato l’inosservanza del provvedimento adottato dal Garante il 26 maggio 2022 che rende applicabile la sanzione prevista dall’art. 83, par. 5, lett. e) del Regolamento.

3. CONCLUSIONI E MISURE CORRETTIVE ADOTTATE

Il trattamento posto in essere dal signor Petta tramite il sito trovanumeri.com presenta, come visto, numerosi e gravi profili di illiceità pur dovendo ritenere determinante tra essi la violazione di cui al punto 2.1. Questa infatti, riguardando il presupposto stesso del trattamento, è da considerarsi assorbente e già di per sé sufficiente ad inficiare l’intero trattamento, tenuto conto del fatto che l’eventuale rettifica delle illiceità descritte ai punti successivi, che pure aggrava la condotta, non sarebbe sufficiente a sanare il fatto che il trattamento stesso è posto in essere in assenza di una idonea base giuridica e soprattutto in violazione di legge.

Occorre infatti ricordare che l’attuale quadro normativo (sopra descritto) non consente la creazione di elenchi telefonici generici che non siano estratti dal d.b.u. e che non siano conformi alle decisioni adottate dal Garante e da Agcom. Inoltre, pur volendo ammettere un diverso trattamento basato unicamente sul consenso degli interessati – che non è stato mai comprovato e che non sarebbe l’unica fonte dei dati tenuto conto che la raccolta avverrebbe, in base a quanto dichiarato, tramite web scraping - l’illiceità della condotta non sarebbe comunque superabile date le gravi violazioni riscontrate oltre al totale anonimato del titolare del trattamento.

Un elevato pregiudizio si è concretizzato nei casi segnalati al Garante dato che, come visto, alcuni interessati - evidenziato il carattere "riservato" delle proprie utenze telefoniche - hanno lamentato gravi ripercussioni connesse alla diffusione dei propri dati on line, con rischi anche per la sicurezza; in alcuni casi i segnalanti hanno dichiarato di essere stati raggiunti telefonicamente da soggetti che non avrebbero dovuto conoscere il loro recapito e una segnalante ha rappresentato di essere stata destinataria di minacce telefoniche anche in orario notturno, tutto ciò a causa dell’illecita diffusione dei dati personali.

Senza contare che tale condotta può anche alimentare le banche dati realizzate illecitamente per attività di telemarketing, eventualità di fatto già realizzatasi in un caso recentemente oggetto di intervento del Garante che ha sanzionato un’agenzia immobiliare per aver effettuato telefonate promozionali senza consenso avvalendosi di dati estratti proprio dal sito trovanumeri.com (cfr. provv. 10 febbraio 2022, doc web n. 9756869).

Ciò premesso, accertata la violazione dell’art. 5, par. 1, lett. a) e d); dell’art. 5, par. 2; dell’art. 6; dell’12, parr. 1 e 2; degli artt. 13, 15, 16, 17, 24, 25 del Regolamento, e confermata l’inosservanza del provvedimento del 26 maggio 2022, si rende necessario, ai sensi dell’art. 58, par. 2, lett. f), imporre al titolare del trattamento il divieto di raccogliere, ulteriormente conservare e pubblicare dati personali per la costituzione e diffusione on line di un elenco telefonico i cui dati non sono stati tratti dal d.b.u..
Inoltre, tenuto anche conto che il titolare non ha ritenuto di dover intervenire in alcun modo per attenuare il pregiudizio neanche dopo i rilievi fatti dall’Autorità, in ragione della gravità della condotta e con intenti dissuasivi, si ritiene sussistano i presupposti per l’applicazione di una sanzione amministrativa pecuniaria ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento.

4. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

In base a quanto rappresentato al punto 2, risultano violate varie disposizioni del Regolamento in relazione a trattamenti collegati effettuati da Petta, per cui occorre applicare l'art. 83, par. 3, del Regolamento, in base al quale, se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento viola, con dolo o colpa, varie disposizioni del Regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave con consequenziale applicazione della sola sanzione prevista dall’art. 83, par. 5 del Regolamento.

Ai fini della quantificazione della sanzione amministrativa il citato art. 83, par. 5, nel fissare il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore, specifica le modalità di quantificazione della predetta sanzione, che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del  Regolamento), individuando, a tal fine, una serie di elementi, elencati al par. 2, da valutare all’atto di quantificarne il relativo importo.

In adempimento di tale previsione, nel caso di specie, devono essere considerate le seguenti circostanze aggravanti:

1. la gravità della violazione in ragione del fatto che la condotta è posta in essere in violazione di legge e, in particolare, in violazione di quanto disposto dal provvedimento di cui all’art. 129 del Codice ed è suscettibile di arrecare rilevante pregiudizio agli interessati in ragione della diffusione in internet di dati personali di contatto come il telefono e l’indirizzo di residenza (art. 83, par. 2, lett. a);

2. l’elevato numero di soggetti i cui dati sono stati pubblicati tenuto conto che, stando a quanto dichiarato dal titolare, il sito trovanumeri.com conterrebbe i dati di 26 milioni di utenti (art. 83, par. 2, lett. a);

3. la durata della violazione poiché la condotta si è protratta per diversi anni: nel registro delle imprese la ditta risulta registrata dall’8 ottobre 2012 e le segnalazioni al Garante sono pervenute senza interruzione proprio dal 2012 (art. 83, par. 2, lett. a);

4. il carattere doloso della condotta, come descritto al punto 2, dal momento che le norme a protezione dei dati personali sono state del tutto e volutamente ignorate e non sono state prese in considerazione neanche dopo l’intervento del Garante, tenuto conto che il titolare non hai mai reso disponibili i propri dati identificativi nel sito e continua ad ometterli tuttora; inoltre, il fatto che le norme a presidio della realizzazione di elenchi telefonici fossero conosciute dal Petta è dimostrato dal fatto che sono state anche menzionate nell’informativa privacy, addirittura vantando di disporre di una (inesistente) autorizzazione di legge, ma di fatto sono state del tutto e volontariamente eluse (art. 83, par. 2, lett. b);

5. la totale assenza di misure volte ad attenuare il danno per gli interessati, nonostante le contestazioni mosse dal Garante (art. 83, par. 2, lett. c);

6. l’esistenza di violazioni di carattere analogo, accertate con il provvedimento del 26 maggio 2022 le cui prescrizioni non sono state rispettate (art. 83, par. 2, lett. e) e lett. i);

7. la totale assenza di misure correttive e la mancanza di cooperazione con l’Autorità per porre rimedio alle violazioni contestate (art. 83, par. 2, lett. f);

8. la maniera con cui l’Autorità ha preso conoscenza delle violazioni, essendo stata destinataria di decine di segnalazioni e reclami dovuti all’impossibilità di identificare il titolare e di ottenere il rispetto dei diritti (art. 83, par. 2, lett. h).

Quale unico elemento attenuante, si ritiene di dover tener conto delle dimensioni economiche del titolare che riveste la qualifica di piccolo imprenditore ai sensi dell’art. 2083 del codice civile, tenendo conto anche della sanzione di 50.000 euro già comminata con il provvedimento del 26 maggio 2022.

Nella quantificazione della sanzione si è avuto riguardo agli elementi sopra descritti per come accertati dall’attività istruttoria in mancanza di informazioni di carattere economico, non essendo presente alcun bilancio nel registro delle imprese e non essendo stato fornito alcun elemento in merito da parte di Petta, cui pure è stato espressamente richiesto nella nota di avvio del procedimento.

Pertanto si ritiene che, in base all’insieme degli elementi sopra indicati, in ragione della gravità e numerosità delle violazioni riscontrate e soprattutto del fatto che il trattamento è stato posto in essere e reiterato in violazione di legge, debba applicarsi al signor Fabio Giovanni Petta la sanzione amministrativa del pagamento di una somma pari a euro 60.000,00 (sessantamila/00), pari allo 0,3% del massimo edittale di 20 milioni di euro e, in ragione degli elementi aggravanti rilevati, la sanzione accessoria della pubblicazione per intero del presente provvedimento nel sito web del Garante come previsto dall’art. 166, comma 7 del Codice e dall’art. 16 del regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Si ricorda che ai sensi dell’art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni e che, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e), del Regolamento.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecito il trattamento descritto nei termini di cui in motivazione da parte di Fabio Giovanni Petta, con sede in XX, XX, P.IVA n. XX, codice fiscale XX, e conseguentemente ai sensi dell’art. 58, par. 2, lett. f), del Regolamento, vieta di raccogliere, conservare e pubblicare dati personali per la costituzione e diffusione on line di un elenco telefonico generale i cui dati non sono stati tratti dal d.b.u.;

ORDINA

a Fabio Giovanni Petta, con sede in XX, XX, P.IVA n. XX, codice fiscale XX, di pagare la somma di euro 60.000,00 (sessantamila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata.

INGIUNGE

a Fabio Giovanni Petta, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 60.000,00 (sessantamila/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

a) ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate;

b) ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento nel sito web del Garante.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 17 maggio 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL VICE SEGRETARIO GENERALE
Filippi

1) Si veda a tal proposito il comunicato congiunto adottato il 13 giugno 2022 dalle due Autorità all’esito del procedimento avviato per stabilire le corrette modalità di realizzazione e inserimento nell’elenco telefonico generale (in www.garanteprivacy.it, doc web n. 45979).

2) Si vedano al riguardo anche le raccomandazioni fornite dal Garante con il provvedimento del 23 maggio 2002 (doc web n. 1032397).

3) Il d.b.u. è l’archivio elettronico unico che raccoglie i numeri telefonici e i dati identificativi dei clienti di tutti gli operatori nazionali di telefonia fissa e mobile e viene utilizzato per la formazione degli elenchi telefonici. È stato istituito con le delibere dell’Agcom n. 36/02/CONS e n. 180/02/CONS ed è operativo dal 1° agosto 2005.

4) Sentenza CGUE del 22 ottobre 2022, causa C-129/21.

5) cfr. parere WP29 n. 5/2000 del 13 luglio 2000 (rinvenibile al link https://www.garanteprivacy.it/ documents/10160/10704/1610173)

6) Cfr. provvedimento del 14 gennaio 2016 (doc web n. 6053915) e provvedimento 10 febbraio 2022 (doc web n. 9751362).