|
Diritto di accesso - Il
riscontro alla richiesta d'accesso dev'essere integrale ed
effettivo - 10 gennaio 2002.
Il garante per la protezione dei
dati personali:
In data odierna, con la partecipazione del prof. Stefano Rodotà,
presidente, del prof. Giuseppe Santaniello, vice presidente, del
prof. Gaetano Rasi e del dottor Mauro Paissan, componenti e del
dott. Giovanni Buttarelli, segretario generale;
Esaminato il ricorso presentato da
XY S.r.l., rappresentata e difesa dall'avv. YZ presso il cui studio
in K ha eletto domicilio nei confronti di Omnitel Pronto Italia
S.p.A.;
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi
dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore il prof. Gaetano Rasi;
PREMESSO:
La società ricorrente, che dichiara
di non aver "mai posseduto, né attivato alcun telefono cellulare",
è venuta a conoscenza "nell'ambito di indagini svolte dalla Guardia
di Finanza… dell'esistenza di una utenza cellulare Omnitel
intestata" a proprio nome. Lamenta quindi che la società Omnitel
Pronto Italia S.p.A. non abbia fornito riscontro ad una istanza
formulata ai sensi dell'art. 13 della legge n. 675/1996, con la
quale aveva chiesto di conoscere i dati che la riguardano, "con
specificazione di tutte le utenze telefoniche… intestate e con
espressa indicazione del soggetto che aveva provveduto a darvi
attuazione".
Con il ricorso proposto ai sensi dell'art. 29 della legge n.
675/1996, la ricorrente ha quindi chiesto la cessazione del
trattamento dei dati in questione e l'attribuzione delle spese del
procedimento a carico della resistente.
All'invito ad aderire spontaneamente
a tali richieste, formulato il 20 dicembre 2001 ai sensi dell'art.
20 del d.P.R. n. 501/1998, Omnitel Pronto Italia S.p.A. ha risposto
con nota anticipata via fax in data 28 dicembre 2001, con il quale
ha riscontrato le richieste della ricorrente:
- segnalando che risulterebbero attivate a nome della società
ricorrente un totale di 293 carte ricaricabili intestate, in fase
di vendita, a XY S.r.l. da un rivenditore autorizzato (cd. dealer)
di cui vengono forniti gli estremi identificativi;
- precisando di non poter procedere alla cancellazione dei dati
dovendo conservare "i dati relativi alle utenze telefoniche per un
periodo di 5 anni successivi alla disattivazione";
- impegnandosi a svolgere nel frattempo "puntuali verifiche sui
reali utilizzatori delle 154 carte ricaricabili" tuttora intestate
alla società ricorrente.
La ricorrente, con fax in data 28 dicembre 2001 nel dare atto della
"ottemperanza da parte di Omnitel Pronto Italia S.p.A"….con
riguardo alla comunicazione dei dati personali trattati e della
loro origine, ha chiesto di conoscere "anche la data di attivazione
delle singole utenze telefoniche". Ha chiesto inoltre che "tutte le
utenze telefoniche" alla stessa intestate "vengano disattivate,
ovvero intestate agli effettivi utilizzatori".
La società resistente, con fax del 2 gennaio 2002, ha manifestato
la propria disponibilità ad ottemperare entro 45 giorni a quanto
richiesto in considerazione del "numero ingente di SIM" in
questione.
Ciò premesso il garante osserva:
Il ricorso verte sull'accesso al
complesso dei dati personali della ricorrente detenuti da una
società esercente un servizio di telefonia mobile e riferiti a
varie utenze telefoniche asseritamente attivate a nome e
all'insaputa della ricorrente medesima.
La richiesta di conoscere i predetti dati personali ha trovato in
parte soddisfazione, come riconosciuto dallo stesso ricorrente, da
parte della società resistente, che ha messo a disposizione una
serie di dati (numero di carte attivate a nome del ricorrente,
numeri telefonici alle stesse associati, estremi identificativi del
rivenditore che avrebbe intestato le predette carte
ricaricabili).
Al riguardo, in riferimento ai profili sopra evidenziati, può
essere dichiarato non luogo a provvedere sul ricorso ai sensi
dell'art. 20, comma 2, del d.P.R. n. 501 del 1998
Il ricorso deve invece essere accolto per quanto riguarda la
richiesta di conoscere ulteriori elementi identificativi delle
carte in questione, nonché di avere riscontro alla richiesta di
cessazione delle attività di trattamento in oggetto. Su tali
profili, il titolare del trattamento ha peraltro manifestato già la
propria disponibilità a fornire le altre informazioni richieste
entro il tempo tecnico di 45 gg. circa, strettamente necessario
all'effettuazione di tali operazioni.
Il titolare del trattamento dovrà
pertanto corrispondere a tali ulteriori richieste, entro un termine
che appare congruo fissare al 29 marzo 2002.
Considerato, infine, che il riscontro alle richieste della società
interessata è avvenuto solo a seguito della presentazione del
ricorso a questa Autorità, va posto a carico di Omnitel Pronto
Italia S.p.A. l'ammontare delle spese sostenute dalla ricorrente,
determinato nella misura forfettaria di euro 160,00, di cui euro
25,82 per diritti di segreteria, tenendo conto degli adempimenti
connessi alla redazione e presentazione del ricorso.
Per questi motivi il garante:
a) dichiara non luogo a provvedere
sul ricorso ai sensi dell'art. 20, comma 2, del d.P.R. n. 501/1998
con riferimento ai dati comunicati dal titolare del trattamento con
la nota del 28 dicembre 2001;
b) accoglie, nei termini di cui in motivazione, il ricorso per
quanto concerne le altre richieste della ricorrente e ordina a
Omnitel Pronto Italia S.p.A. di corrispondere entro il 29 marzo
2002 a tali richieste, dando conferma alla ricorrente e a questa
Autorità entro la stessa data dell'avvenuto adempimento;
c) determina, ai sensi dell'art. 20, commi 2 e 9, del d.P.R. n.
501/1998, nella misura forfettaria di euro 160,00, di cui euro
25,82 per diritti, l'ammontare delle spese e dei diritti posti a
carico di Omnitel Pronto Italia S.p.A., che dovrà liquidarli
direttamente in favore della ricorrente.
Reti telematiche
ed Internet - E-mail, atti e documenti conoscibili da chiunque - 20
marzo 2002.
Il garante per la protezione dei
dati personali:
nella riunione odierna, con la partecipazione del prof. Stefano
Rodotà, presidente, del prof. Giuseppe Santaniello, vice
presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan,
componenti e del dott. Giovanni Buttarelli, segretario
generale;
Esaminato il ricorso presentato dal
sig. Massimo Cavazzini nei confronti di Consulting Web
s.r.l.;
Vista la documentazione in atti;
Visti gli articoli 13 e 29 della legge 31 dicembre 1996, n. 675 e
gli articoli 18, 19 e 20 del d.P.R. 31 marzo 1998, n. 501;
Viste le osservazioni dell'Ufficio formulate dal segretario
generale ai sensi dell'art. 15 del regolamento del Garante n.
1/2000;
Relatore il dott. Mauro Paissan;
PREMESSO
L'interessato, destinatario di un
messaggio di posta elettronica non richiesto con il quale veniva
proposto un servizio di hosting in relazione ad un dominio web,
lamenta di non aver ricevuto riscontro da Consulting Web s.r.l. ad
una istanza proposta ai sensi dell'art. 13 della legge n. 675/1996,
con la quale si era opposto all'ulteriore utilizzo dei dati che lo
riguardano da parte di tale società, contestando l'invio non
consensuale di messaggi di posta elettronica.
A tal fine l'interessato aveva anche chiesto di conoscere l'origine
dei dati personali che lo riguardano, gli estremi identificativi
del responsabile del trattamento e "dell'eventuale autorizzazione
con la quale" questa Autorità aveva eventualmente permesso alla
società di effettuare il trattamento dei dati, nonché di venire a
conoscenza dell'eventuale consenso espresso ai fini della loro
comunicazione a terzi.
L'interessato ha quindi presentato ricorso al Garante ai sensi
dell'art. 29 della legge n. 675/1996, ribadendo le proprie
richieste e chiedendo un ristoro per le spese sostenute e il
risarcimento del danno morale subito.
All'invito ad aderire formulato da
questa Autorità in data 25 febbraio u.s., Consulting Web s.r.l. ha
risposto con un fax in data 28 febbraio 2002 nel quale ha precisato
che:
- all'interno della società non esisterebbe un responsabile del
trattamento dei dati personali;
- la società "opera nel settore Internet" e che "comunque può
capitare che vengano inviate e-mail promozionali";
- l'indirizzo di posta elettronica dell'interessato sarebbe stato
acquisito da una società che "opera nel settore marketing" e
successivamente cancellato dalle liste della società.
Con nota del 6 marzo u.s. il Garante ha chiesto ulteriori
informazioni al titolare del trattamento, ai sensi dell'art. 29,
comma 4 della legge n. 675/1996, chiedendo di specificare gli
estremi identificativi della società da cui sarebbero stati
acquisiti i dati dell'interessato utilizzati per l'invio di
messaggi promozionali a mezzo di posta elettronica.
Con nota del 7 marzo u.s. il titolare ha risposto indicando gli
estremi identificativi di una società.
Ciò premesso il garante osserva:
Il ricorso verte sull'utilizzo di un
indirizzo di posta elettronica dell'interessato per l'invio di un
messaggio promozionale non richiesto.
Nella fattispecie, analogamente a quanto rilevato in un altro caso
esaminato da questa Autorità (provv. dell'11 gennaio 2001, in
Bollettino del Garante n. 16, p. 39), l'indirizzo di posta
elettronica del ricorrente non risulta provenire da "pubblici
registri, elenchi, atti o documenti conoscibili da chiunque" e
contenenti dati che possono essere quindi utilizzati, sia pure
sulla base di un'idonea informativa, in mancanza di una
manifestazione positiva di consenso degli interessati (art. 12,
comma 1, lett. c), legge n. 675/1996).
La società resistente si è limitata ad indicare l'asserita origine
dei dati (che sarebbero stati acquisiti da Labels Internet
Services), ma non ha fornito alcun elemento che possa indurre a
ritenere che nella fattispecie fosse stato manifestato un consenso
per l'invio della e-mail contenente un'offerta di hosting per un
dominio web, oppure operasse uno degli altri presupposti del
trattamento equipollenti al consenso, elencati nel citato art. 12
della legge n. 675.
Deve quindi ritenersi fondata la
richiesta del ricorrente di vedere interrotta l'utilizzazione dei
dati che lo riguardano, in applicazione della legge n. 675/1996 in
relazione all'art. 10, comma 2, del d.lg. 13 maggio 1998, n. 171,
nonché dell'invocato art. 10 del d.lg. 22 maggio 1999, n. 185 sulla
protezione dei consumatori nei contratti a distanza, il quale vieta
l'impiego della posta elettronica da parte di un fornitore senza il
consenso preventivo del consumatore in relazione a determinate
finalità tra cui rientrano quelle perseguite nel caso di
specie.
Il ricorrente ha formulato le proprie richieste ai sensi dell'art.
13 anche come diffida all'eventuale, ulteriore trattamento dei dati
comunque in possesso della società (la quale asserisce peraltro di
aver da ultimo cancellato il nominativo del ricorrente "dalle
proprie liste") e per questo aspetto il ricorso va pertanto accolto
ordinando alla società resistente di astenersi da ogni ulteriore
trattamento dei dati personali relativi all'interessato e, in
particolare, all'indirizzo di posta elettronica, in assenza di
idonea manifestazione di consenso o di altro idoneo requisito ai
sensi degli artt. 12 e 20 della legge n. 675/1996.
I presupposti per l'applicazione di
eventuali sanzioni e la liceità e correttezza del complessivo
trattamento di dati effettuato verranno altresì verificati
nell'ambito di un autonomo procedimento che sarà attivato d'ufficio
dal Garante ai sensi dell'art. 31, comma 1, lett. b), della citata
legge.
Deve essere invece dichiarato non luogo a provvedere sul ricorso
per la parte riguardante la richiesta di venire a conoscenza del
responsabile del trattamento (la società titolare del trattamento
ha infatti precisato di non averlo designato) e la richiesta di
conoscere l'origine dei dati (comunicata all'interessato).
Deve essere infine dichiarato inammissibile il ricorso per quanto
riguarda le richieste dell'interessato volte a conoscere
l'eventuale "autorizzazione" del Garante - che risulta invero non
prevista dalla legge nel caso di specie - rilasciata per lo
svolgimento del trattamento in questione (trattasi infatti di
richiesta che, in base al citato art. 13, non può essere
specificamente formulata ai sensi di tale disposizione nel modo
prospettato dal ricorrente), nonché ad ottenere il risarcimento del
danno morale (istanza, quest'ultima, che non può essere prospettata
a questa Autorità, la quale non è competente al riguardo).
Considerata infine la mancanza di un
tempestivo e idoneo riscontro alle richieste precedentemente
avanzate dall'interessato ai sensi dell'art. 13 della legge n.
675/1996, va posto a carico di Consulting Web s.r.l. l'ammontare
delle spese del presente procedimento, determinato nella misura
forfettaria di euro 250,00 (di cui euro 25,82 per i diritti di
segreteria), tenuto conto degli adempimenti connessi alla redazione
e alla presentazione del ricorso.
Per questi motivi il garante:
- dichiara parzialmente fondato il
ricorso per quanto riguarda la richiesta relativa alle modalità di
ulteriore utilizzo dei dati relativi al ricorrente e, per
l'effetto, ai sensi dell'art. 29, comma 4, della legge n. 675/1996,
ordina a Consulting Web s.r.l. di cessare il comportamento
illegittimo e di astenersi con effetto immediato da ogni ulteriore
trattamento dei dati personali relativi al ricorrente in difformità
da quanto indicato in motivazione;
- dichiara ai sensi dell'art. 20, comma 2, del d.P.R. n. 501/1998,
non luogo a provvedere sul ricorso per quanto riguarda la richiesta
volta ad ottenere gli estremi identificativi del responsabile del
trattamento e l'origine dei dati personali;
- dichiara inammissibili le richieste dell'interessato relative
agli estremi dell'eventuale autorizzazione del Garante e al
risarcimento del danno morale, nei termini di cui in
motivazione;
- determina ai sensi dell'art. 20, commi 2 e 9, del d.P.R. n.
501/1998, nella misura forfettaria di euro 250,00 di cui euro 25,82
per i diritti di segreteria, l'ammontare delle spese e dei diritti
del presente procedimento posti a carico di Consulting Web s.r.l.,
la quale dovrà liquidarli direttamente a favore del
ricorrente. |
