Registro Pubblico delle opposizioni e tele-marketing: risponde di trattamento illegittimo di dati personali anche l’acquirente delle liste di contatti indipendentemente dalla qualificazione giuridica nel contratto di fornitura Delibera AGCOM n. 136 del 5 Aprile 2012
A prescindere da quanto stabilito nel contratto di fornitura stipulato con società che si occupano di generazione di anagrafiche in relazione alle quali sarebbe stato preventivamente raccolto il consenso per l’utilizzo a fini commerciali, è titolare del trattamento anche l’azienda che utilizzi tali liste per ricerche di tele-marketing. Conseguentemente le compete un obbligo di accertamento e di verifica dei singoli consensi prestati dagli interessati, ed è quindi responsabile di trattamento illegittimo dei dati personali qualora questi siano ottenuti senza regolari consenso ed informativa. Questa la decisione presa dalla AGCOM lo scorso aprile a seguito della segnalazione ricevuta da un utente che lamentava le numerose chiamate indesiderate a carattere promozionale ricevute da parte di Enel Energia S.p.A. sulla propria utenza di telefonia fissa nonostante l’iscrizione al Registro Pubblico delle Opposizioni. La società affermava che i relativi recapiti non erano stati estratti dagli elenchi telefonici, ma “acquisiti da Consodata S.p.A., società che si occupa di generazione di anagrafiche con consenso per il marketing diretto … e da questa ceduti ad EE in virtù del contratto di fornitura di liste di nominativi stipulato … in data 3 dicembre 2010”. Inoltre, le informazioni personali in questione erano state comunicate dallo stesso istante all’atto della compilazione di un questionario web sul sito della società Motorola il 1° febbraio 2007 per l’iscrizione al club Motorola Village attraverso cui beneficiare di “servizi aggiuntivi e di customer care”. Ma la formula utilizzata da Consodata S.p.A. per l’acquisizione del consenso è risultata caratterizzata da notevole indeterminatezza, e quindi inidonea ad acquisire una reale consapevolezza da parte dell’interessato sui concreti destinatari della comunicazione dei suoi dati personali. Questi, infatti, al momento della redazione del questionario nel 2007, è stato indotto ad acconsentire al generico utilizzo dei propri dati “per finalità promozionali e di ricerche di mercato e per la comunicazione dei dati” per poter proseguire la registrazione al portale. Anche la versione estesa del testo dell’informativa presente sul sito riportava l’altrettanto generica dicitura di “società che operano nei settori di largo consumo, grande distribuzione, editoriale, finanziario, automobilistico, servizi ed associazioni benefiche”; con l’avvertenza che l’elenco “è presente presso la sede di Consodata” e dunque praticamente inaccessibile e non conoscibile dagli interessati. Inoltre, nonostante il contratto di fornitura delle liste anagrafiche stipulato tra Consodata ed Enel Energia stabilisse che soltanto la prima società agiva nella qualità di titolare autonomo del trattamento dei dati personali dei soggetti destinatari delle iniziative commerciali di Enel Energia, l’Autorità ha ritenuto anche quest’ultima titolare del trattamento, in quanto di sua competenza “le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza” (definizione ex art. 4 comma 1, lett. f Codice Privacy di “Titolare del trattamento”). La decisione richiama il precedente orientamento del Garante in materia di titolarità del trattamento di dati personali in capo ai soggetti che si avvalgono di agenti per attività promozionali, in cui sono stati evidenziati gli indici che consentono di riconoscere la qualifica di titolare: • al soggetto che venga percepito come tale dall’interessato (nel caso di specie, il segnalante); • al soggetto che benefici del contatto promozionale (Enel Energia); • al soggetto che disciplini, regolamentandoli nel dettaglio, modalità, compiti, ruoli e procedure dell’attività di telemarketing (dalle disposizioni del contratto si evince che “ad Enel Energia compete la scelta in ordine ai criteri di individuazione dei nominativi da contattare, dunque alle modalità del trattamento; che, inoltre, i teleseller agiscono “in qualità di responsabili del trattamento come da nomina diretta da parte di Consodata e secondo le indicazioni che la stessa comunicherà direttamente, fatte salve le intese con il committente” (art. 2.1); che, poi, compete a Enel Energia S.p.A. stessa “mettere a disposizione di Consodata la piattaforma informatica che sarà necessaria per consentire a Consodata la comunicazione ai teleseller dei dati provenienti dall’archivio di cui in premessa” (art. 4.2). Sono pattiziamente fissati i principi per i quali i contraenti disciplinano congiuntamente le modalità di effettuazione delle chiamate e le fasce orarie prescelte (art. 4.3 e 4.4) e si obbligano alla preventiva condivisione delle regole (“script”) da utilizzare per lo svolgimento delle attività (ancora art. 4.4, lett. c)”). Ulteriore elemento per cui Enel Energia non è stata riconosciuta esente da responsabilità in quanto titolare del trattamento è stato rinvenuto nella clausola di manleva, ai sensi della quale Consodata S.p.A. si obbligava a tenere indenne Enel Energia a fronte di eventuali “sanzioni penali o condanne conseguenti ad azioni in qualsiasi modo proposte e a provvedimenti di Autorità e pronunce giudiziali … in qualsiasi modo connesse all’utilizzo delle anagrafiche e dei dati contenuti nel data base”; con ciò dimostrando per il Garante la piena consapevolezza di Enel Energia della possibile attribuzione di responsabilità alla società committente per fatti connessi alla gestione di quei dati. Infine è stata la stessa Enel Energia ad ammettere che a seguito della ricezione della segnalazione, ha provveduto “a cancellare, conformemente alla volontà manifestata dall’utente, tutti i riferimenti riconducibili all’interessato dalle proprie banche dati”, confermando così che, diversamente da quanto previsto nel contratto, le informazioni personali degli utenti presenti all’interno degli archivi della società hanno costituito oggetto di trattamento anche da parte di quest’ultima. Enel Energia è stata quindi qualificata titolare del trattamento dei dati personali dei destinatari di iniziative promozionali contenuti nella lista che ha acquistato da Consodata e pertanto sulla stessa gravano, tra gli altri, gli obblighi di accertamento e di verifica dei singoli consensi asseritamente prestati dagli interessati. L’Autorità ha quindi dichiarato illegittimo il trattamento dei dati personali provenienti dal questionario Motorola in quanto relativo all’utilizzo per finalità commerciali di informazioni personali in carenza del valido consenso informato degli interessati, disponendo il divieto di trattamento di tali dati a Consodata e ordinandole di informare “tutti coloro ai quali tali dati personali sono stati eventualmente comunicati in adempimento di contratti di fornitura analoghi a quello posto in essere con Enel Energia S.p.A. circa l’inutilizzabilità dei medesimi dati a fini promozionali, poiché carenti di un valido consenso informato; che, inoltre, di tale adempimento dia comunicazione al Garante entro il termine di 60 giorni dalla notificazione del presente provvedimento specificando nel dettaglio i soggetti destinatari di tale comunicazione”.