Il Garante per la protezione dei dati personali sanziona una ditta individuale per la creazione e pubblicazione online su sito di elenchi telefonici generici in violazione della normativa e approfondisce le tematiche della assenza di idonea base giuridica, informativa, del mancato rispetto del diritto alla cancellazione e della mancata cooperazione.
Il Garante ha ricevuto diverse istanze, segnalazioni e reclami di cittadini relative alla pubblicazione non autorizzata di dati personali nominativo, indirizzo, numero di telefono su un sito web. I segnalanti attraverso le ricerche del proprio nome in Internet tramite il motore di ricerca Google avevano scoperto con sorpresa i propri dati nome, cognome, numeri telefonici pubblicati online. I segnalanti hanno rappresentato al Garante di non aver mai fornito il consenso e autorizzato l'inserimento dei propri dati in tale sito né di essere mai stati avviati di questi trattamenti di dati. Hanno altresì evidenziato di aver tentato anche più volte la cancellazione tramite il form presente nel sito ma di non averla ottenuta nemmeno dopo diversi mesi. Un segnalante ha anche aggiunto che i dati relativi alla sua utenza telefonica risultavano erroneamente attribuiti ad un'azienda a lui ignoti. La società in esame aveva dichiarato ai segnalanti per telefono di non potere dare seguito alla richiesta in ragione di alcune non specificate norme in materia di privacy e che comunque non avrebbe potuto fornire riscontro fino a quando non si fosse conclusa la pratica. Il sito in esame non riportava alcun dato che consentisse di individuare il titolare del trattamento. L'Autorità Garante per la protezione dei dati personali, attraverso una preliminare attività di indagine e la collaborazione della società hosting provider, risaliva alla ditta individuale del sito web. Il Garante si è prontamente attivato e ha richiesto alla sopra citata ditta titolare del sito di fornire chiarimenti, la ditta non ha documentato in alcun modo l'origine dei dati pubblicati, ha fornito un laconico riscontro e non ha esibito alcuna documentazione comprovante la cancellazione delle informazioni personali richiesta dai segnalanti. Non ha neanche fornito riscontro alla seconda richiesta di informazioni del Garante, né alla nota di avvio del procedimento, rendendo necessario provvedere alla notifica incaricando il Nucleo speciale privacy della Guardia di Finanza. Le violazioni da parte dell'azienda sono peraltro continuate anche dopo la contestazione e persino dopo le osservazioni difensive della ditta. Secondo il Garante risulta evidente l'interesse economico della ditta ad effettuare tali divulgazioni di dati non autorizzati in ragione della possibilità di pubblicare banner pubblicitari nelle pagine del sito web. Il Garante ha accertato diverse le infrazioni, tra cui la diffusione di dati personali in assenza di idonea base giuridica, il mancato rispetto del diritto alla cancellazione, l'inidoneità dell'informativa e la mancata cooperazione con l'Autorità di controllo. Sotto il profilo della base giuridica, il Garante ha rappresentato che l'attuale quadro normativo articolo 129 cod. privacy non consente la creazione di elenchi telefonici generici che non siano estratti dal DBU Data Base Unico , l'archivio elettronico unico che raccoglie i numeri telefonici e i dati dei clienti di tutti gli Operatori nazionali di telefonia diffusi tramite elenchi pubblici e che non siano, quindi, conformi a quanto stabilito dal Garante e da AGCOM. Con lo specifico provv. 15 luglio 2004 doc web 1032381 in materia di elenchi telefonici alfabetici del servizio universale, il Garante ha, infatti, chiarito che «è consentita la sola formazione, distribuzione e diffusione degli elenchi, in qualunque forma realizzati, basati sulla consultazione e accesso» al d.b.u. così anche provv. 7 aprile 2011, doc. web numero 1810351 e provv. 14 gennaio 2016, doc. web numero 6053915 e che, per l'inserimento dei dati personali nei siffatti elenchi, è necessario il consenso espresso, libero, specifico, informato e documentato per iscritto dei contraenti. Allo stesso tempo, la creazione di elenchi telefonici generici è ammessa solo con le modalità descritte nella delibera Agcom numero 36/02/CONS. Secondo il Garante la divulgazione di dati online in assenza di idonea base giuridica implica comporta la violazione dei seguenti articoli del Regolamento articolo 5, par. 1, lett. a e d articolo 5, par. 2 articolo 6 del GDPR. Sotto il profilo del mancato rispetto del diritto alla cancellazione, il Garante, alla luce degli accertamenti effettuati, ha verificato che non era possibile esercitare il diritto alla cancellazione nonché ogni altro diritto connesso alla protezione dei dati personali poiché non risultava rinvenibile nel sito alcun canale di contatto con il titolare l'unico strumento disponibile, un form online dove inserire la numerazione da cancellare, non avrebbe mai sortito effetto. Il Garante ha specificato come alla luce della mancanza nel sito web di qualsiasi altro riferimento idoneo ad identificare il titolare del trattamento, risulti impossibile esercitare il diritto alla cancellazione, così come qualsiasi altro diritto, utilizzando canali alternativi. Secondo il Garante poiché è risultato impossibile per gli interessati conoscere l'origine dei dati e le modalità e finalità del trattamento, nonché richiedere la rettifica dei dati inesatti o la cancellazione il mancato rispetto del diritto alla cancellazione, le condotte della ditta individuale sono state effettuate in violazione degli articolo 12, par. 2, 15,16 e 17 del GDPR. Le condotte della ditta individuale dimostrano, secondo il Garante, una totale mancanza di misure tecniche e organizzative adeguate a garantire che il trattamento venga effettuato in conformità alle norme in materia di protezione dei dati personali e, per tali ragioni, il Garante ritiene integrata la violazione dell'articolo 24 del GDPR. La predisposizione di un form di contatto che si è dimostrato inefficace a recepire le richieste di cancellazione unico diritto esercitabile, ancorché solo formalmente integra anche la violazione dell'articolo 25 del Regolamento dal momento che la misura tecnica adottata non è stata in grado di tutelare i diritti degli interessati. In riferimento all'inidoneità dell'informativa, il Garante ha osservato come la stessa non riporti alcuna indicazione che consenta di identificare il titolare del trattamento. Allo stesso tempo, nel sito non era presente alcuna informazione relativa alla denominazione e alla partita iva dell'operatore economico intestatario del sito web, così come peraltro previsto dalla vigente normativa in materia d'impresa cfr. articolo 35, comma 1, dPR 26 ottobre 1972, numero 633 e articolo 2250 c.c. . Il Garante ha evidenziato che il testo dell'informativa è privo delle informazioni di cui all'articolo 13 del Regolamento e contiene anche delle clausole che descrivono i termini del servizio. L'Autorità ha ritenuto che la condotta descritta integri la violazione degli articolo 12, par. 1 e 13 del GDPR. Il Garante ai sensi dell'articolo 58, par. 2, lett. f del GDPR ha imposto al titolare del trattamento il divieto di raccogliere, ulteriormente conservare e pubblicare dati personali per la costituzione e diffusione online di un elenco telefonico i cui dati non sono stati tratti dal Data base Unico D.B.U. . In ragione della gravità dei trattamenti già realizzati e tenuto conto del fatto che non è stata apportata alcuna modifica al sito web ancora online, il Garante ha ritenuto che sussistano i presupposti per l'applicazione di una sanzione amministrativa pecuniaria ai sensi degli articolo 58, par. 2, lett. i del GDPR. Ha dunque sanzionato la ditta per una somma pari a euro 50mila, pari allo 0,25% del massimo edittale di 20 milioni di euro. Nel definire l'importo della sanzione amministrativa, è stata considerata la gravità della violazione in ragione del fatto che la condotta è posta in essere in violazione di legge e, in particolare, in violazione di quanto disposto dal sopra citato provvedimento di cui all'articolo 129 cod. privacy. Secondo il Garante la condotta è suscettibile di arrecare rilevante pregiudizio agli interessati in ragione della diffusione in internet di dati personali di contatto. Il Garante ha tenuto conto dell'elevato numero di persone i cui dati sono stati pubblicati 357.46 alla data del 6 maggio 2022 e della durata della violazione poiché la condotta si è protratta per diversi anni il Garante ha accertato che nel registro delle imprese la ditta risulta registrata dall'8 ottobre 2012. Nella determinazione dell'importo della sanzione hanno avuto un ruolo rilevante il carattere gravemente negligente del titolare del trattamento, dal momento che le norme a protezione dei dati personali sono state del tutto ignorate e non sono state prese in considerazione neanche dopo l'intervento del Garante e la totale assenza di misure correttive e la mancanza di cooperazione con l'Autorità per porre rimedio alle violazioni contestate. Il Garante ha preso in esame il grado di responsabilità del titolare del trattamento che non ha consentito agli interessati l'esercizio dei diritti e non ha indicato nel sito alcun elemento identificativo dell'impresa o dato di contatto e il beneficio economico derivante dalla pubblicazione di dati personali nel sito derivante dalla presenza di banner pubblicitari presenti nel sito stesso. Il Garante nella determinazione della sanzione ha tenuto conto anche di un importante elemento attenuante, il Garante ha tenuto conto delle dimensioni economiche del titolare che riveste la qualifica di piccolo imprenditore ai sensi dell'articolo 2083 c.c. Nella quantificazione della sanzione si è avuto riguardo agli elementi sopra descritti per come accertati dall'attività istruttoria in mancanza di informazioni di carattere economico, non essendo presente alcun bilancio nel registro delle imprese e non essendo stato fornito alcun elemento in merito da parte della ditta individuale, cui pure è stato espressamente richiesto nella nota di avvio del procedimento. Il Garante, in ragione degli elementi aggravanti rilevati ha ritenuto di applicare anche la sanzione accessoria della pubblicazione per intero del presente provvedimento nel sito web del Garante come previsto dall'articolo 166, comma 7 del Codice e dall'articolo 16 del regolamento del Garante numero 1/2019. Secondo il Garante la condotta della ditta individuale comporta un trattamento particolarmente invasivo per il diritto alla protezione dei dati personali, in considerazione dell'agevole reperibilità degli stessi anche mediante i comuni motori di ricerca e della possibilità che altri soggetti possano utilizzare i dati resi così disponibili per ulteriori trattamenti, difficilmente verificabili e arginabili, come le attività di marketing indesiderato. Il trattamento dei dati sopra citato arreca un diffuso pregiudizio derivante dalla pubblicazione non richiesta e non autorizzata di dati di contatto, aggravato dal fatto che ogni tentativo di cancellazione o rettifica si è dimostrato inutile. Il provvedimento in esame è di interesse in quanto dimostra la crescita dell'attenzione dei cittadini sulla tematica della protezione dei dati personali e conferma come gli elenchi telefonici devono rispettare le regole poste a tutela dei dati personali dei cittadini Le imprese prima di iniziare nuovi servizi o prodotti che implicano il trattamento di dati devono verificare se i processi siano stati progettati nel rispetto dei principi di privacy by design e privacy by default. Il provvedimento dimostra l'attenzione del Garante nella difesa dei diritti sui dati dei cittadini e come siano sanzionate non solo le grandi multinazionali ma anche i nostri piccoli imprenditori che costituiscono il tessuto produttivo del paese. Il Garante ha, come abbiamo visto, tenuto conto delle dimensioni economiche del titolare piccolo imprenditore come elemento attenuante.