Pesante provvedimento del Garante privacy nei confronti del titolare del sito web trovanumeri.com: stop alla costituzione e diffusione on line di un elenco telefonico formato “rastrellando” i dati tramite web scraping (ricerca automatizzata nel web) e ingiunzione del pagamento di una sanzione di 60 mila euro. L’attuale quadro normativo non consente infatti la creazione di elenchi telefonici generici che non siano estratti dal Dbu, il data base unico che contiene i numeri telefonici e i dati identificativi dei clienti di tutti gli operatori nazionali di telefonia fissa e mobile.
Numerosissime sono state in questi anni le richieste di intervento ricevute dal Garante relative alla pubblicazione non autorizzata di nominativi, indirizzi, numeri di telefono, anche di titolari di utenze riservate. Dagli accertamenti dell’Autorità è emerso che il titolare del sito non aveva un’idonea base normativa per trattare i dati, che sul sito mancavano le indicazioni per rivolgersi al titolare del trattamento come pure assente risultava la possibilità di ottenere la cancellazione dei dati in caso di mancato funzionamento dell’apposito form. Anche nella breve informativa privacy pubblicata, non era indicato l’intestatario del sito, la cui identificazione ha richiesto lunghe indagini.
Il Garante ha dichiarato dunque illecita la raccolta, la conservazione e la pubblicazione dei dati personali ed ha comminato una sanzione di 60 mila euro. La ditta individuale aveva già subito una sanzione nel 2022 per una violazione analoga. Nel definire l’ammontare dell’ammenda l’Autorità ha tenuto conto della gravità della violazione, dell’elevato numero di soggetti i cui dati sono stati pubblicati (circa 26 milioni di utenti), della durata della violazione e del carattere doloso della condotta dell’intestatario. Quale unico elemento attenuante, il Garante ha considerato le dimensioni economiche del titolare, che riveste la qualifica di piccolo imprenditore.
Email promozionali: non basta il link di disiscrizione
Sempre sul fronte della tutela dei dati personali il Garante, intanto, ha stabilito che la presenza di un link per disiscriversi nelle email promozionali inviate senza consenso non rende lecito l’invio. La precisazione è giunta nell’ambito delle motivazioni a una sanzione da 10mila euro comminata ad una società che aveva utilizzato questa modalità per le proprie campagne promozionali indirizzate a numerosi destinatari.
L’intervento dell’Autorità segue il reclamo di un utente che lamentava la ricezione di e-mail promozionali indesiderate, anche dopo essersi opposto a tali invii e non aver avuto alcun riscontro da parte della società. La società si è difesa dichiarando di aver estratto i nominativi da diversi elenchi pubblici e che l’invio delle e-mail era diretto, oltre che al reclamante, anche ad altri professionisti. I dati, poi, sarebbero stati trattati sulla base di un legittimo interesse.
Invio lecito solo a seguito di consenso dell’utente
Il Garante ha ricordato che l’invio di comunicazioni con modalità automatizzate è consentito solo con il consenso del contraente o utente, essendo ammessa come unica deroga il rilascio dell’indirizzo e-mail da parte dell’interessato nel contesto di una vendita di beni o servizi analoghi. Deroga che, nel caso in esame, non risulta applicabile, dato che le persone raggiunte dall’attività di marketing non avevano rilasciato il proprio indirizzo nell’ambito di un rapporto contrattuale pregresso non avendo alcuna conoscenza né del titolare né del trattamento. Dall’istruttoria è dunque emerso che nessuna e-mail poteva essere inviata al reclamante, così come agli altri destinatari, senza un idoneo consenso.
Rispetto al link inserito in calce alla mail per disiscriversi, il Garante ha poi ricordato che non ha alcuna rilevanza poiché, prima ancora del suo contenuto e delle eventuali misure di contenimento del danno, è lo stesso invio dell’e-mail ad essere illecito.
Divieto di trattamento dei dati
Tenuto conto dell’ampia portata dei trattamenti e del fatto che l’azienda non ha mai dichiarato di aver interrotto la condotta limitandosi a cancellare i dati del reclamante, il Garante privacy ha imposto alla società il divieto di trattare per finalità promozionali tutti i dati inseriti nel data base oggetto di istruttoria per i quali non sia in grado di dimostrare l’acquisizione di un idoneo consenso. In conseguenza di tale divieto, ha poi ordinato alla società di provvedere alla cancellazione dei dati in questione, ad eccezione di quelli necessari ad adempiere ad un obbligo di legge o per la difesa di un diritto in sede giudiziaria.
