Stop a “fax selvaggio”. Vieta a numerose società l’uso dei dati di migliaia di cittadini e imprese. Garante Privacy, Provvedimento 07/04/2011
Prosegue l’azione del Garante privacy contro “fax selvaggio”, un fenomeno in costante crescita di cui è vittima un numero rilevante di imprese e cittadini. Sono oltre quindici i provvedimenti più rilevanti, emanati nel corso degli ultimi mesi, con i quali l’Autorità ha vietato a privati e società l’uso di migliaia di recapiti per l’invio di fax pubblicitari illeciti ed ha ribadito il principio secondo il quale chiunque invii messaggi promozionali mediante sistemi automatizzati (fax, e-mail, sms, mms) è sempre obbligato a raccogliere preventivamente il consenso specifico ed informato del destinatario. In alcuni casi i provvedimenti inibitori adottati dall’Autorità hanno colpito intere banche dati utilizzate per effettuare campagne promozionali per conto proprio o di terzi.
Da mesi è in atto un’intensa attività istruttoria e ispettiva del Garante avviata su segnalazione di numerose società e di semplici cittadini, stanchi di essere disturbati, a tutte le ore del giorno e della notte, spesso senza avere la possibilità di identificare il mittente di tali messaggi commerciali.
Il divieto è scattato anche nei confronti di una società che, sebbene conservasse all’estero i dati personali e li gestisse in modalità remota, utilizzava in modo prevalente e per le funzioni più importanti un apparato di rete (fax gateway) collocato sul territorio italiano. Circostanza questa che impone all’azienda il rispetto della normativa italiana, con il conseguente obbligo di acquisire il preventivo consenso dei destinatari delle comunicazioni. Questi ultimi, in realtà, non soltanto non avevano mai acconsentito alla ricezione delle comunicazioni promozionali, ma non avevano neanche la possibilità di opporsi ad ulteriori invii, dal momento che ogni tentativo di rispedire il fax al mittente o di contattare la società risultava vano o privo di effetto.
Il Garante, al di là dei profili penali che potrebbero eventualmente ravvisarsi nella concreta vicenda, ha ordinato alla società di acquisire il preventivo consenso dei destinatari e di indicare in un apposito riquadro inserito nel fax l’identità del titolare ed un recapito per opporsi a successivi invii.
Nei confronti di tutte le società raggiunte dai divieti l’Autorità ha inoltre avviato procedimenti per valutare l’applicazione di sanzioni amministrative che nei casi più gravi possono arrivare fino a 300 mila euro.
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan, del dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli, segretario generale;
VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito “Codice”);
VISTE le numerose segnalazioni pervenute all’Autorità sin dalla fine dell’anno 2009 da parte di persone fisiche e giuridiche che lamentavano la ricezione – a qualsiasi ora del giorno e della notte, con frequenza anche giornaliera – di fax o, in assenza del telefax, di tentativi di inoltro di fax, provenienti dal numero di telefono 02/37009198;
VISTO che i fax allegati alle segnalazioni sono di carattere promozionale e presentano in calce un’informativa priva di qualsiasi indicazione in merito al titolare e al responsabile del trattamento, nella quale viene indicato come unico riferimento, per l’esercizio dei diritti di cui all’art. 7 del Codice, un apposito numero telefonico da utilizzare per opporsi a futuri invii indesiderati e presso il quale inviare il medesimo fax ricevuto;
CONSIDERATO che i segnalanti hanno evidenziato che, pur avendo provveduto a richiedere la cancellazione dei propri dati con la modalità sopraindicata, hanno comunque continuato a ricevere fax di carattere promozionale e che è risultato vano anche il tentativo di contattare telefonicamente il numero chiamante;
TENUTO CONTO che dall’istruttoria svolta è emerso che la suddetta numerazione è stata assegnata tramite l’operatore telefonico BT Italia S.p.A. alla società Xpedite Systems S.r.l. (di seguito “la società”);
RILEVATO che la società, a seguito dell’accertamento ispettivo effettuato dall’Autorità in data 5 e 6 maggio 2010 presso la sede di Milano, ha rappresentato che la stessa mette a disposizione un servizio di “messaggistica unificata” che comprende invio e ricezione di fax, sms e telex e invio di e-mail e newsletter;
RILEVATO inoltre che la società, nel corso del sopraindicato accertamento ispettivo, ha dichiarato che “non possiede alcuna banca dati e che quindi non fornisce tale tipologia di servizio ai propri clienti” e che sono proprio i clienti a predisporre il contenuto dei messaggi e le liste dei destinatari che caricano mediante i tre canali di upload previsti dal servizio: accesso diretto al portale https://myportal.premiereglobal.it, invio tramite protocollo ftp e caricamento delle liste tramite e-mail con intervento del customer care;
CONSIDERATO che la società, dalle considerazioni successivamente argomentate, opera in qualità di titolare del trattamento all’interno del territorio nazionale;
VISTO che l’Autorità, esaminate le risultanze del suddetto accertamento, ha ritenuto opportuno richiedere elementi a tutti i soggetti che dalla documentazione integrativa consegnata dalla società in data 31 maggio 2010 sono risultati essere clienti della stessa;
RILEVATO che dalle risposte pervenute è risultato che alcuni dei clienti utilizzavano il servizio unicamente per la trasmissione di documentazione di carattere amministrativo contabile, mentre altri hanno confermato che gli invii erano effettivamente finalizzati ad attività di carattere promozionale e pubblicitario ma in nessun caso è stata accertata la nomina della società a responsabile del trattamento;
RILEVATO inoltre che dalle suddette note è emerso che alcuni clienti (Outby Tour Activity s.r.l., Impresa Viaggi Sea Line s.r.l. e Master Explorer s.r.l., Di Viaggio in Viaggio s.r.l.) hanno dichiarato che la società ha ceduto loro anche proprie liste di destinatari suddivise per zone geografiche di destinazione dei messaggi pubblicitari e/o per categoria commerciale garantendo di aver acquisito i necessari consensi al trattamento dei dati personali;
RILEVATO che, dalle risultanze del verbale redatto nel corso dell’accertamento ispettivo sopra menzionato, è emerso che “il sistema provvede, infine, a tracciare le informazioni relative all’invio, in particolare l’utenza e l’indirizzo IP del mittente, il numero del fax del destinatario, l’esito dell’invio, il numero dei fax inviati e il contenuto del messaggio” e che tali dati vengono conservati presso una sede della società sita in York nel Regno Unito il cui accesso è possibile solo da remoto e per finalità di gestione da un’altra sede della società sita in Irlanda e che la società “ha una propria black list contenente i numeri di fax dei destinatari che si sono opposti agli invii e per i quali i clienti hanno richiesto l’inserimento in tale lista”;
RILEVATO altresì che la società ha dichiarato che per l’inoltro dei fax si avvale dei servizi di trasporto offerti da diversi fornitori di servizi di comunicazione elettronica e che, in particolare per l’Italia, il servizio di trasporto è offerto da BT-Albacom precisando che “la società è interconnessa a BT-Albacom per mezzo di apparati che effettuano unicamente la trasmissione dei fax”;
VISTO l’art. 5 del Codice secondo cui lo stesso è applicabile a qualsiasi soggetto che “…impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell’Unione Europea…”;
VISTA la delibera 417/06/CONS dell’AGCOM nella quale viene definito il “servizio di transito” nel caso della rete telefonica pubblica in postazione fissa consistente nel “servizio di trasporto di una chiamata su livelli di rete gerarchicamente superiori all’autocommutatore locale”;
VISTA la delibera 180/10/CONS dell’AGCOM la quale ha riconsiderato la definizione di servizio di transito, alla luce del principio di neutralità tecnologica, specificando che tale trasporto può avvenire sia nella tradizionale tecnologia a commutazione di circuito, sia nella più innovativa tecnologia a commutazione di pacchetto, preferibile da taluni operatori per ragioni di prestazioni o di costo, e precisando che qualsiasi sia l’opzione tecnologica prescelta tra le suddette “i confini tra i servizi di raccolta, transito e terminazione rimangano quelli individuati dalla delibera n. 417/06/CONS”;
RITENUTO quindi, alla luce delle succitate delibere, che il servizio di invio di fax fornito dalla società a utenti italiani da fax server situati al di fuori del territorio nazionale non si configura come servizio di transito, in quanto esso non consiste nel trasporto di una chiamata su livelli di rete gerarchicamente superiori all’autocommutatore locale, ma in un servizio reso su due distinte reti: la rete internet, per l’invio dei fax nella tratta compresa tra il fax server ed il fax gateway in Italia e la rete pubblica telefonica per la trasmissione dei fax da parte del fax gateway nella tratta compresa tra lo stesso e il terminale dell’utente;
CONSIDERATO che il dispositivo fax gateway effettua i seguenti trattamenti, ancorché automatizzati, di dati personali:
– la conversione di un identificativo di utente, valido all’interno della rete internet, in un numero di abbonato, valido all’interno della rete telefonica pubblica,
– la ricezione del fax al fine di acquisirne l’immagine,
– la conversione del formato dell’immagine del fax in uno diverso idoneo alla trasmissione sulla rete telefonica pubblica;
RILEVATO che l’operatore BT Italia SpA, a seguito di specifica richiesta dell’Autorità, con nota del 23 marzo 2011, ha dichiarato che il fax gateway con il quale avviene la trasformazione del segnale non è di sua proprietà;
RITENUTO quindi che non può trovare applicazione al caso di specie l’esenzione di cui all’articolo 5, comma 2, del Codice, relativa a trattamenti effettuati con strumenti situati nel territorio dello Stato, utilizzati per fini di mero transito e che il dispositivo fax gateway, utilizzato per il servizio di trasmissione dei fax sulla rete telefonica pubblica, è situato all’interno del territorio italiano;
VISTO l’art. 130, comma 2, del Codice, il quale prevede, per l’invio di messaggi promozionali mediante telefax, il presupposto del consenso informato e specifico dell’interessato, a prescindere dalla natura, di persone fisiche o giuridiche, dei destinatari delle comunicazioni;
CONSIDERATO che l’invio di comunicazioni commerciali mediante telefax effettuato dalla società senza aver fornito idonea informativa e senza l’acquisizione del prescritto consenso configura quindi un trattamento illecito di dati (artt. 13, 23 e 130 del Codice);
CONSIDERATO che il recapito indicato nei fax per opporsi non è risultato idoneo all’esercizio dei diritti di cui all’art. 7 del Codice mentre l’art. 130, comma 5 del Codice vieta l’invio di comunicazioni promozionali mediante modalità automatizzate effettuato senza fornire un idoneo recapito presso il quale l’interessato possa esercitare i diritti di cui all’art. 7;
RILEVATO che il trattamento in questione presenta carattere sistematico e configura un trattamento illecito di dati;
RITENUTO inoltre che l’art. 11, comma 2, del Codice prevede che i dati trattati in violazione della normativa in materia di protezione dei dati personali non possono essere utilizzati;
CONSIDERATO che il Garante, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, ha il compito di vietare anche d’ufficio il trattamento illecito o non corretto dei dati o di disporne il blocco e di adottare, altresì, gli altri provvedimenti previsti dalla disciplina applicabile al trattamento dei dati personali;
RILEVATA altresì la necessità di adottare nei confronti della società un provvedimento di divieto del trattamento illecito di dati personali ai sensi degli artt. 143, comma 1, lett. c), e 154, comma 1, lett. d), del Codice correlato all’invio di comunicazioni promozionali per mezzo del telefax;
RILEVATA la necessità di adottare nei confronti della società un provvedimento prescrittivo, ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice, per indicare le misure necessarie o opportune per rendere il trattamento dei dati conforme alle disposizioni vigenti;
RISERVATA, con autonomo procedimento, la verifica della liceità del trattamento operato dalle singole società committenti individuate nel corso dell’ispezione e dei successivi accertamenti svolti dall’Autorità;
RISERVATA, la successiva verifica dei presupposti per contestare, con distinto procedimento, le violazioni amministrative concernenti l’omesso rilascio dell’informativa, l’omessa acquisizione del consenso e l’omessa fornitura di un idoneo recapito presso il quale l’interessato possa esercitare i diritti di cui all’art. 7 del Codice (artt. 13 e 161 del Codice; 130, commi 2 e 5 e 162, comma 2-bis del Codice);
RITENUTO, sulla base degli elementi acquisiti nel corso dell’istruttoria, che il trattamento realizzato dalla società potrebbe configurare le violazioni di carattere penale inerenti al trattamento illecito di dati (art. 167 del Codice), in ragione del nocumento conseguente all’invio massivo di fax, e alla falsità nelle dichiarazioni al Garante (art. 168 del Codice), essendo emerse alcune contraddizioni tra le dichiarazioni rese dalla società durante l’accertamento ispettivo e quanto invece riportato nelle note di alcuni soggetti clienti della stessa, e che pertanto debba essere disposta la trasmissione degli atti del presente procedimento all’Autorità giudiziaria per le valutazioni di competenza;
TENUTO CONTO che, ai sensi dell’art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni e che, ai sensi dell’art. 162, comma 2-ter del Codice, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila a centottantamila euro;
RILEVATO, altresì, che resta impregiudicata la facoltà per gli interessati di far valere i propri diritti in sede civile in relazione alla condotta accertata (cfr. anche art. 15 del Codice), con specifico riguardo agli eventuali profili di danno;
VISTA la documentazione in atti;
VISTE le osservazioni dell’Ufficio, formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;
Relatore il prof. Francesco Pizzetti;
TUTTO CIÒ PREMESSO IL GARANTE:
a) dichiara illecito il trattamento di dati personali posto in essere da Xpedite System S.r.l. con sede legale in Milano, via Monte di Pietà n. 21, quale titolare del trattamento, con riferimento all’invio di comunicazioni promozionali con modalità automatizzate, senza fornire un’idonea informativa, di cui all’art. 13 del Codice, aver ottenuto il relativo consenso, di cui all’art. 130, commi 1 e 2 del Codice, e in assenza di un idoneo recapito presso il quale l’interessato possa esercitare i diritti di cui all’art. 7 del Codice (art. 130, comma 5);
b) ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, vieta a Xpedite System S.r.l. il trattamento di qualunque dato personale effettuato senza fornire un’idonea informativa e aver ottenuto il relativo consenso e senza fornire un idoneo recapito presso il quale l’interessato possa esercitare i diritti di cui all’art. 7 del Codice;
c) qualora la società suindicata intenda continuare a fornire ai propri clienti il servizio di invio di comunicazioni promozionali con modalità automatizzate, prescrive – ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice – a Xpedite System S.r.l., quale titolare del trattamento, di adottare tutte le misure necessarie e opportune atte a garantire la completa ottemperanza a quanto stabilito nella precedente lettera b) e, in particolare:
– di predisporre, per ogni messaggio in uscita, un riquadro (template) nel quale sia riportata un’idonea informativa;
– di verificare l’esistenza di un consenso preventivo, specifico e informato dei destinatari delle suddette comunicazioni promozionali;
– di fornire adeguata documentazione al Garante entro trenta giorni dalla comunicazione del presente provvedimento;
d) dichiara illecito il trattamento di dati personali posto in essere da Xpedite System S.r.l., quale titolare del trattamento, con riferimento alla formazione ed alla comunicazione a terzi committenti di liste di numeri telefonici senza che sia stata rilasciata l’informativa ai sensi dell’art. 13 del Codice e che risulti la prova documentata di aver acquisito il consenso preventivo, specifico e informato degli interessati ai sensi degli artt. 23 e 130 del Codice;
e) ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, vieta a Xpedite System S.r.l. il trattamento di qualunque dato personale effettuato tramite la formazione e la cessione a terzi committenti di liste di destinatari di comunicazioni promozionali senza che sia stata rilasciata l’informativa ai sensi dell’art. 13 del Codice e che risulti la prova documentata di aver acquisito il consenso preventivo, specifico e informato degli interessati ai sensi degli artt. 23 e 130 del Codice;
f) qualora la società suindicata intenda continuare a perseguire la finalità di formazione e la cessione a terzi di liste di destinatari di comunicazioni promozionali, prescrive – ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice – a Xpedite System S.r.l., quale titolare del trattamento, di adottare tutte le misure necessarie e opportune atte a garantire la completa ottemperanza a quanto stabilito nella precedente lettera e), fornendone adeguata documentazione al Garante entro trenta giorni dalla comunicazione del presente provvedimento.
Avverso il presente provvedimento codesta società, ai sensi dell’art. 152 del Codice, può proporre opposizione con ricorso all’autorità giudiziaria ordinaria, in particolare al tribunale del luogo ove risiede il titolare del trattamento, entro il termine di trenta giorni dalla data di comunicazione del medesimo provvedimento. Si ricorda che l’opposizione non sospende l’esecuzione del provvedimento (v. art. 152, comma 5 del Codice).
Roma, 7 aprile 2011
IL PRESIDENTE
Pizzetti
IL RELATORE
Pizzetti
Il SEGRETARIO GENERALE
De Paoli