|
Il garante per la protezione dei
dati personali:
nella riunione odierna, con la partecipazione del prof. Stefano
Rodotà, presidente, del prof. Giuseppe Santaniello, vice
presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan,
componenti e del dott. Giovanni Buttarelli, segretario
generale;
Esaminato il ricorso presentato dal sig. Massimo
Cavazzini nei confronti di Consulting Web s.r.l.;
Vista la documentazione in atti;
Visti gli articoli 13 e 29 della legge 31 dicembre 1996, n. 675 e
gli articoli 18, 19 e 20 del d.P.R. 31 marzo 1998, n. 501;
Viste le osservazioni dell'Ufficio formulate dal segretario
generale ai sensi dell'art. 15 del regolamento del Garante n.
1/2000;
Relatore il dott. Mauro Paissan;
PREMESSO
L'interessato, destinatario di un messaggio di posta
elettronica non richiesto con il quale veniva proposto un servizio
di hosting in relazione ad un dominio web, lamenta di non aver
ricevuto riscontro da Consulting Web s.r.l. ad una istanza proposta
ai sensi dell'art. 13 della legge n. 675/1996, con la quale si era
opposto all'ulteriore utilizzo dei dati che lo riguardano da parte
di tale società, contestando l'invio non consensuale di messaggi di
posta elettronica.
A tal fine l'interessato aveva anche chiesto di conoscere
l'origine dei dati personali che lo riguardano, gli estremi
identificativi del responsabile del trattamento e "dell'eventuale
autorizzazione con la quale" questa Autorità aveva eventualmente
permesso alla società di effettuare il trattamento dei dati, nonché
di venire a conoscenza dell'eventuale consenso espresso ai fini
della loro comunicazione a terzi.
L'interessato ha quindi presentato ricorso al Garante ai sensi
dell'art. 29 della legge n. 675/1996, ribadendo le proprie
richieste e chiedendo un ristoro per le spese sostenute e il
risarcimento del danno morale subito.
All'invito ad aderire formulato da questa Autorità in
data 25 febbraio u.s., Consulting Web s.r.l. ha risposto con un fax
in data 28 febbraio 2002 nel quale ha precisato che:
- all'interno della società non esisterebbe un responsabile del
trattamento dei dati personali;
- la società "opera nel settore Internet" e che "comunque può
capitare che vengano inviate e-mail promozionali"
- l'indirizzo di posta elettronica dell'interessato sarebbe stato
acquisito da una società che "opera nel settore marketing" e
successivamente cancellato dalle liste della società.
Con nota del 6 marzo u.s. il Garante ha chiesto ulteriori
informazioni al titolare del trattamento, ai sensi dell'art. 29,
comma 4 della legge n. 675/1996, chiedendo di specificare gli
estremi identificativi della società da cui sarebbero stati
acquisiti i dati dell'interessato utilizzati per l'invio di
messaggi promozionali a mezzo di posta elettronica.
Con nota del 7 marzo u.s. il titolare ha risposto indicando gli
estremi identificativi di una società.
Ciò premesso il garante osserva:
Il ricorso verte sull'utilizzo di un indirizzo di posta
elettronica dell'interessato per l'invio di un messaggio
promozionale non richiesto.
Nella fattispecie, analogamente a quanto rilevato in un altro caso
esaminato da questa Autorità (provv. dell'11 gennaio 2001, in
Bollettino del Garante n. 16, p. 39), l'indirizzo di posta
elettronica del ricorrente non risulta provenire da "pubblici
registri, elenchi, atti o documenti conoscibili da chiunque" e
contenenti dati che possono essere quindi utilizzati, sia pure
sulla base di un'idonea informativa, in mancanza di una
manifestazione positiva di consenso degli interessati (art. 12,
comma 1, lett. c), legge n. 675/1996).
La società resistente si è limitata ad indicare l'asserita origine
dei dati (che sarebbero stati acquisiti da Labels Internet
Services), ma non ha fornito alcun elemento che possa indurre a
ritenere che nella fattispecie fosse stato manifestato un consenso
per l'invio della e-mail contenente un'offerta di hosting per un
dominio web, oppure operasse uno degli altri presupposti del
trattamento equipollenti al consenso, elencati nel citato art. 12
della legge n. 675.
Deve quindi ritenersi fondata la richiesta del ricorrente
di vedere interrotta l'utilizzazione dei dati che lo riguardano, in
applicazione della legge n. 675/1996 in relazione all'art. 10,
comma 2, del d.lg. 13 maggio 1998, n. 171, nonché dell'invocato
art. 10 del d.lg. 22 maggio 1999, n. 185 sulla protezione dei
consumatori nei contratti a distanza, il quale vieta l'impiego
della posta elettronica da parte di un fornitore senza il consenso
preventivo del consumatore in relazione a determinate finalità tra
cui rientrano quelle perseguite nel caso di specie.
Il ricorrente ha formulato le proprie richieste ai sensi dell'art.
13 anche come diffida all'eventuale, ulteriore trattamento dei dati
comunque in possesso della società (la quale asserisce peraltro di
aver da ultimo cancellato il nominativo del ricorrente "dalle
proprie liste") e per questo aspetto il ricorso va pertanto accolto
ordinando alla società resistente di astenersi da ogni ulteriore
trattamento dei dati personali relativi all'interessato e, in
particolare, all'indirizzo di posta elettronica, in assenza di
idonea manifestazione di consenso o di altro idoneo requisito ai
sensi degli artt. 12 e 20 della legge n. 675/1996.
I presupposti per l'applicazione di eventuali sanzioni e
la liceità e correttezza del complessivo trattamento di dati
effettuato verranno altresì verificati nell'ambito di un autonomo
procedimento che sarà attivato d'ufficio dal Garante ai sensi
dell'art. 31, comma 1, lett. b), della citata legge.
Deve essere invece dichiarato non luogo a provvedere sul ricorso
per la parte riguardante la richiesta di venire a conoscenza del
responsabile del trattamento (la società titolare del trattamento
ha infatti precisato di non averlo designato) e la richiesta di
conoscere l'origine dei dati (comunicata all'interessato).
Deve essere infine dichiarato inammissibile il ricorso per quanto
riguarda le richieste dell'interessato volte a conoscere
l'eventuale "autorizzazione" del Garante - che risulta invero non
prevista dalla legge nel caso di specie - rilasciata per lo
svolgimento del trattamento in questione (trattasi infatti di
richiesta che, in base al citato art. 13, non può essere
specificamente formulata ai sensi di tale disposizione nel modo
prospettato dal ricorrente), nonché ad ottenere il risarcimento del
danno morale (istanza, quest'ultima, che non può essere prospettata
a questa Autorità, la quale non è competente al
riguardo).
Considerata infine la mancanza di un tempestivo e idoneo
riscontro alle richieste precedentemente avanzate dall'interessato
ai sensi dell'art. 13 della legge n. 675/1996, va posto a carico di
Consulting Web s.r.l. l'ammontare delle spese del presente
procedimento, determinato nella misura forfettaria di euro 250,00
(di cui euro 25,82 per i diritti di segreteria), tenuto conto degli
adempimenti connessi alla redazione e alla presentazione del
ricorso.
Per questi motivi il garante:
- dichiara parzialmente fondato il ricorso per quanto
riguarda la richiesta relativa alle modalità di ulteriore utilizzo
dei dati relativi al ricorrente e, per l'effetto, ai sensi
dell'art. 29, comma 4, della legge n. 675/1996, ordina a Consulting
Web s.r.l. di cessare il comportamento illegittimo e di astenersi
con effetto immediato da ogni ulteriore trattamento dei dati
personali relativi al ricorrente in difformità da quanto indicato
in motivazione;
- dichiara ai sensi dell'art. 20, comma 2, del d.P.R. n. 501/1998,
non luogo a provvedere sul ricorso per quanto riguarda la richiesta
volta ad ottenere gli estremi identificativi del responsabile del
trattamento e l'origine dei dati personali;
- dichiara inammissibili le richieste dell'interessato relative
agli estremi dell'eventuale autorizzazione del Garante e al
risarcimento del danno morale, nei termini di cui in
motivazione;
- determina ai sensi dell'art. 20, commi 2 e 9, del d.P.R. n.
501/1998, nella misura forfettaria di euro 250,00 di cui euro 25,82
per i diritti di segreteria, l'ammontare delle spese e dei diritti
del presente procedimento posti a carico di Consulting Web s.r.l.,
la quale dovrà liquidarli direttamente a favore del
ricorrente. |
