Menu
Mostra menu

Garante della Privacy

Decisioni e pareri tratti dal sito www.garanteprivacy.it

Diritto di accesso - Il riscontro alla richiesta d’accesso dev’essere integrale ed effettivo – 10 gennaio 2002.

Il garante per la protezione dei dati personali:
In data odierna, con la partecipazione del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del dottor Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;

Esaminato il ricorso presentato da XY S.r.l., rappresentata e difesa dall’avv. YZ presso il cui studio in K ha eletto domicilio nei confronti di Omnitel Pronto Italia S.p.A.;
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
Relatore il prof. Gaetano Rasi;

PREMESSO:

La società ricorrente, che dichiara di non aver “mai posseduto, né attivato alcun telefono cellulare”, è venuta a conoscenza “nell’ambito di indagini svolte dalla Guardia di Finanza… dell’esistenza di una utenza cellulare Omnitel intestata” a proprio nome. Lamenta quindi che la società Omnitel Pronto Italia S.p.A. non abbia fornito riscontro ad una istanza formulata ai sensi dell’art. 13 della legge n. 675/1996, con la quale aveva chiesto di conoscere i dati che la riguardano, “con specificazione di tutte le utenze telefoniche… intestate e con espressa indicazione del soggetto che aveva provveduto a darvi attuazione”.
Con il ricorso proposto ai sensi dell’art. 29 della legge n. 675/1996, la ricorrente ha quindi chiesto la cessazione del trattamento dei dati in questione e l’attribuzione delle spese del procedimento a carico della resistente.

All’invito ad aderire spontaneamente a tali richieste, formulato il 20 dicembre 2001 ai sensi dell’art. 20 del d.P.R. n. 501/1998, Omnitel Pronto Italia S.p.A. ha risposto con nota anticipata via fax in data 28 dicembre 2001, con il quale ha riscontrato le richieste della ricorrente:
- segnalando che risulterebbero attivate a nome della società ricorrente un totale di 293 carte ricaricabili intestate, in fase di vendita, a XY S.r.l. da un rivenditore autorizzato (cd. dealer) di cui vengono forniti gli estremi identificativi;
- precisando di non poter procedere alla cancellazione dei dati dovendo conservare “i dati relativi alle utenze telefoniche per un periodo di 5 anni successivi alla disattivazione”;
- impegnandosi a svolgere nel frattempo “puntuali verifiche sui reali utilizzatori delle 154 carte ricaricabili” tuttora intestate alla società ricorrente.
La ricorrente, con fax in data 28 dicembre 2001 nel dare atto della “ottemperanza da parte di Omnitel Pronto Italia S.p.A”….con riguardo alla comunicazione dei dati personali trattati e della loro origine, ha chiesto di conoscere “anche la data di attivazione delle singole utenze telefoniche”. Ha chiesto inoltre che “tutte le utenze telefoniche” alla stessa intestate “vengano disattivate, ovvero intestate agli effettivi utilizzatori”.
La società resistente, con fax del 2 gennaio 2002, ha manifestato la propria disponibilità ad ottemperare entro 45 giorni a quanto richiesto in considerazione del “numero ingente di SIM” in questione.

Ciò premesso il garante osserva:

Il ricorso verte sull’accesso al complesso dei dati personali della ricorrente detenuti da una società esercente un servizio di telefonia mobile e riferiti a varie utenze telefoniche asseritamente attivate a nome e all’insaputa della ricorrente medesima.
La richiesta di conoscere i predetti dati personali ha trovato in parte soddisfazione, come riconosciuto dallo stesso ricorrente, da parte della società resistente, che ha messo a disposizione una serie di dati (numero di carte attivate a nome del ricorrente, numeri telefonici alle stesse associati, estremi identificativi del rivenditore che avrebbe intestato le predette carte ricaricabili).
Al riguardo, in riferimento ai profili sopra evidenziati, può essere dichiarato non luogo a provvedere sul ricorso ai sensi dell’art. 20, comma 2, del d.P.R. n. 501 del 1998
Il ricorso deve invece essere accolto per quanto riguarda la richiesta di conoscere ulteriori elementi identificativi delle carte in questione, nonché di avere riscontro alla richiesta di cessazione delle attività di trattamento in oggetto. Su tali profili, il titolare del trattamento ha peraltro manifestato già la propria disponibilità a fornire le altre informazioni richieste entro il tempo tecnico di 45 gg. circa, strettamente necessario all’effettuazione di tali operazioni.

Il titolare del trattamento dovrà pertanto corrispondere a tali ulteriori richieste, entro un termine che appare congruo fissare al 29 marzo 2002.
Considerato, infine, che il riscontro alle richieste della società interessata è avvenuto solo a seguito della presentazione del ricorso a questa Autorità, va posto a carico di Omnitel Pronto Italia S.p.A. l’ammontare delle spese sostenute dalla ricorrente, determinato nella misura forfettaria di euro 160,00, di cui euro 25,82 per diritti di segreteria, tenendo conto degli adempimenti connessi alla redazione e presentazione del ricorso.

Per questi motivi il garante:

a) dichiara non luogo a provvedere sul ricorso ai sensi dell’art. 20, comma 2, del d.P.R. n. 501/1998 con riferimento ai dati comunicati dal titolare del trattamento con la nota del 28 dicembre 2001;
b) accoglie, nei termini di cui in motivazione, il ricorso per quanto concerne le altre richieste della ricorrente e ordina a Omnitel Pronto Italia S.p.A. di corrispondere entro il 29 marzo 2002 a tali richieste, dando conferma alla ricorrente e a questa Autorità entro la stessa data dell’avvenuto adempimento;
c) determina, ai sensi dell’art. 20, commi 2 e 9, del d.P.R. n. 501/1998, nella misura forfettaria di euro 160,00, di cui euro 25,82 per diritti, l’ammontare delle spese e dei diritti posti a carico di Omnitel Pronto Italia S.p.A., che dovrà liquidarli direttamente in favore della ricorrente.


Reti telematiche ed Internet - E-mail, atti e documenti conoscibili da chiunque - 20 marzo 2002.

Il garante per la protezione dei dati personali:
nella riunione odierna, con la partecipazione del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;

Esaminato il ricorso presentato dal sig. Massimo Cavazzini nei confronti di Consulting Web s.r.l.;
Vista la documentazione in atti;
Visti gli articoli 13 e 29 della legge 31 dicembre 1996, n. 675 e gli articoli 18, 19 e 20 del d.P.R. 31 marzo 1998, n. 501;
Viste le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
Relatore il dott. Mauro Paissan;

PREMESSO

L’interessato, destinatario di un messaggio di posta elettronica non richiesto con il quale veniva proposto un servizio di hosting in relazione ad un dominio web, lamenta di non aver ricevuto riscontro da Consulting Web s.r.l. ad una istanza proposta ai sensi dell’art. 13 della legge n. 675/1996, con la quale si era opposto all’ulteriore utilizzo dei dati che lo riguardano da parte di tale società, contestando l’invio non consensuale di messaggi di posta elettronica.
A tal fine l’interessato aveva anche chiesto di conoscere l’origine dei dati personali che lo riguardano, gli estremi identificativi del responsabile del trattamento e “dell’eventuale autorizzazione con la quale” questa Autorità aveva eventualmente permesso alla società di effettuare il trattamento dei dati, nonché di venire a conoscenza dell’eventuale consenso espresso ai fini della loro comunicazione a terzi.
L’interessato ha quindi presentato ricorso al Garante ai sensi dell’art. 29 della legge n. 675/1996, ribadendo le proprie richieste e chiedendo un ristoro per le spese sostenute e il risarcimento del danno morale subito.

All’invito ad aderire formulato da questa Autorità in data 25 febbraio u.s., Consulting Web s.r.l. ha risposto con un fax in data 28 febbraio 2002 nel quale ha precisato che:
- all’interno della società non esisterebbe un responsabile del trattamento dei dati personali;
- la società “opera nel settore Internet” e che “comunque può capitare che vengano inviate e-mail promozionali”;
- l’indirizzo di posta elettronica dell’interessato sarebbe stato acquisito da una società che “opera nel settore marketing” e successivamente cancellato dalle liste della società.
Con nota del 6 marzo u.s. il Garante ha chiesto ulteriori informazioni al titolare del trattamento, ai sensi dell’art. 29, comma 4 della legge n. 675/1996, chiedendo di specificare gli estremi identificativi della società da cui sarebbero stati acquisiti i dati dell’interessato utilizzati per l’invio di messaggi promozionali a mezzo di posta elettronica.
Con nota del 7 marzo u.s. il titolare ha risposto indicando gli estremi identificativi di una società.

Ciò premesso il garante osserva:

Il ricorso verte sull’utilizzo di un indirizzo di posta elettronica dell’interessato per l’invio di un messaggio promozionale non richiesto.
Nella fattispecie, analogamente a quanto rilevato in un altro caso esaminato da questa Autorità (provv. dell’11 gennaio 2001, in Bollettino del Garante n. 16, p. 39), l’indirizzo di posta elettronica del ricorrente non risulta provenire da “pubblici registri, elenchi, atti o documenti conoscibili da chiunque” e contenenti dati che possono essere quindi utilizzati, sia pure sulla base di un’idonea informativa, in mancanza di una manifestazione positiva di consenso degli interessati (art. 12, comma 1, lett. c), legge n. 675/1996).
La società resistente si è limitata ad indicare l’asserita origine dei dati (che sarebbero stati acquisiti da Labels Internet Services), ma non ha fornito alcun elemento che possa indurre a ritenere che nella fattispecie fosse stato manifestato un consenso per l’invio della e-mail contenente un’offerta di hosting per un dominio web, oppure operasse uno degli altri presupposti del trattamento equipollenti al consenso, elencati nel citato art. 12 della legge n. 675.

Deve quindi ritenersi fondata la richiesta del ricorrente di vedere interrotta l’utilizzazione dei dati che lo riguardano, in applicazione della legge n. 675/1996 in relazione all’art. 10, comma 2, del d.lg. 13 maggio 1998, n. 171, nonché dell’invocato art. 10 del d.lg. 22 maggio 1999, n. 185 sulla protezione dei consumatori nei contratti a distanza, il quale vieta l’impiego della posta elettronica da parte di un fornitore senza il consenso preventivo del consumatore in relazione a determinate finalità tra cui rientrano quelle perseguite nel caso di specie.
Il ricorrente ha formulato le proprie richieste ai sensi dell’art. 13 anche come diffida all’eventuale, ulteriore trattamento dei dati comunque in possesso della società (la quale asserisce peraltro di aver da ultimo cancellato il nominativo del ricorrente “dalle proprie liste”) e per questo aspetto il ricorso va pertanto accolto ordinando alla società resistente di astenersi da ogni ulteriore trattamento dei dati personali relativi all’interessato e, in particolare, all’indirizzo di posta elettronica, in assenza di idonea manifestazione di consenso o di altro idoneo requisito ai sensi degli artt. 12 e 20 della legge n. 675/1996.

I presupposti per l’applicazione di eventuali sanzioni e la liceità e correttezza del complessivo trattamento di dati effettuato verranno altresì verificati nell’ambito di un autonomo procedimento che sarà attivato d’ufficio dal Garante ai sensi dell’art. 31, comma 1, lett. b), della citata legge.
Deve essere invece dichiarato non luogo a provvedere sul ricorso per la parte riguardante la richiesta di venire a conoscenza del responsabile del trattamento (la società titolare del trattamento ha infatti precisato di non averlo designato) e la richiesta di conoscere l’origine dei dati (comunicata all’interessato).
Deve essere infine dichiarato inammissibile il ricorso per quanto riguarda le richieste dell’interessato volte a conoscere l’eventuale “autorizzazione” del Garante - che risulta invero non prevista dalla legge nel caso di specie - rilasciata per lo svolgimento del trattamento in questione (trattasi infatti di richiesta che, in base al citato art. 13, non può essere specificamente formulata ai sensi di tale disposizione nel modo prospettato dal ricorrente), nonché ad ottenere il risarcimento del danno morale (istanza, quest’ultima, che non può essere prospettata a questa Autorità, la quale non è competente al riguardo).

Considerata infine la mancanza di un tempestivo e idoneo riscontro alle richieste precedentemente avanzate dall’interessato ai sensi dell’art. 13 della legge n. 675/1996, va posto a carico di Consulting Web s.r.l. l’ammontare delle spese del presente procedimento, determinato nella misura forfettaria di euro 250,00 (di cui euro 25,82 per i diritti di segreteria), tenuto conto degli adempimenti connessi alla redazione e alla presentazione del ricorso.

Per questi motivi il garante:

- dichiara parzialmente fondato il ricorso per quanto riguarda la richiesta relativa alle modalità di ulteriore utilizzo dei dati relativi al ricorrente e, per l’effetto, ai sensi dell’art. 29, comma 4, della legge n. 675/1996, ordina a Consulting Web s.r.l. di cessare il comportamento illegittimo e di astenersi con effetto immediato da ogni ulteriore trattamento dei dati personali relativi al ricorrente in difformità da quanto indicato in motivazione;
- dichiara ai sensi dell’art. 20, comma 2, del d.P.R. n. 501/1998, non luogo a provvedere sul ricorso per quanto riguarda la richiesta volta ad ottenere gli estremi identificativi del responsabile del trattamento e l’origine dei dati personali;
- dichiara inammissibili le richieste dell’interessato relative agli estremi dell’eventuale autorizzazione del Garante e al risarcimento del danno morale, nei termini di cui in motivazione;
- determina ai sensi dell’art. 20, commi 2 e 9, del d.P.R. n. 501/1998, nella misura forfettaria di euro 250,00 di cui euro 25,82 per i diritti di segreteria, l’ammontare delle spese e dei diritti del presente procedimento posti a carico di Consulting Web s.r.l., la quale dovrà liquidarli direttamente a favore del ricorrente.