L'attivazione di schede telefoniche senza il consenso dei titolari configura violazione
Home » News » Focus

L’attivazione di due schede telefoniche senza il consenso dei titolari configura una violazione della normativa in materia di privacy

Pier Paolo Muià Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio

Versione PDF del documento

Garante per la protezione dei dati personali: provvedimento n.379 del 6 giugno 2018

riferimenti normativi: artt. 23 e 162, comma 2-bis, del Codice in materia di protezione dei dati personali;

Fatto

In occasione di un’indagine condotta dalla Procura della Repubblica di Roma, era emerso che alcune schede telefoniche erano state attivate e illecitamente intestate a due soggetti, del tutto ignari di essere titolari di quelle utenze telefoniche. Il nucleo privacy della Guardia di Finanza era stato, quindi, interpellato dalla Procura della Repubblica al fine di individuare il responsabile dell’illecita attivazione.

Nel corso delle indagini, la Guardia di Finanza aveva individuato precise responsabilità in capo a due Società, operanti nel campo della vendita di prodotti e servizi telefonici, e legate da un contratto di affiliazione, dove una società in qualità di sub agente dell’altra (società affiliante) svolgeva attività di promozione di prodotti e servizi. Secondo quanto contestato dalla Guardia di finanza la Società sub agente, attraverso un proprio incaricato alle vendite, aveva attivato due schede telefoniche all’insaputa degli interessati ed in assenza del loro specifico consenso.
La Guardia di Finanza aveva dunque proceduto a contestare ad entrambe le Società, una in qualità di titolare del trattamento dei dati personali, l’altra (la società affiliata) in qualità di responsabile del trattamento, la violazione del Codice privacy per aver effettuato un trattamento dei dati personali di due soggetti intestando a loro insaputa schede telefoniche, in assenza del consenso previsto dallo stesso Codice.
La Società sub agente nel rigettare l’addebito mosso a suo carico aveva dato spiegazioni circa le modalità di raccolta dei dati personali dei clienti in fase di attivazione delle schede telefoniche nonché aveva dato informazioni rispetto al rapporto di lavoro intercorrente con gli agenti mandatari, che svolgevano l’attività promozionale per suo conto. Proprio con riferimento a quest’ultimo aspetto, la Società ha specificato che gli agenti non erano legati da un rapporto di lavoro subordinato ma operavano autonomamente in regime di partita I.V.A senza rappresentare la Società, svolgendo la propria attività in modo libero e indipendente. La Società specificava, poi, che in qualità di sub-agente ella inviava gli agenti porta a porta con il compito di far sottoscrivere ai potenziali clienti dei meri ordinativi di acquisto, successivamente gli agenti intrattenevano direttamente rapporti con la Società affiliante, in quanto inviavano a questa il documento di identità del cliente e il contratto sottoscritto.
Anche l’altra Società, chiamata quale responsabile in solido, rappresentava le proprie giustificazioni rigettando gli addebiti a lei ascritti. In particolare la Società affiliante aveva fornito spiegazioni circa il rapporto contrattuale intercorrente con l’altra società, specificando che le due erano legate da un contratto di affiliazione commerciale e da un contratto di subagenzia. E su tale evidenza, secondo la Società, doveva escludersi la responsabilità di questa rispetto all’operato dell’affiliato. Il contratto di subagenzia altro non faceva che confermare l’autonomia delle attività svolte dalla società affiliata, che doveva svolgere l’incarico con organizzazione propria dei mezzi necessari e con gestione a proprio rischio, specificando altresì che il sub-agente non poteva agire quale rappresentante dei partner commerciali.

La decisione del Garante

Il Garante, valutate le argomentazioni addotte dalle Società in difesa delle accuse mosse, ha ritenuto le stesse non idonee ad escludere la responsabilità per i fatti contestati, riconoscendo una responsabilità in solido di entrambe. Il Garante ha ritenuto sia la Società affiliante che quella affiliata responsabile dell’illecita attivazione delle schede telefoniche senza il consenso dei clienti, in virtù delle posizioni ricoperte ciascuna nell’ambito delle operazioni di trattamento dei dati, essendo la società affiliante titolare del trattamento dei dati personali e la società affiliata responsabile del trattamento.
In specie l’Autorità giudicante, tenuto conto di quanto emerso dalla fase probatoria, ha osservato come l’incaricato alle vendite sulla base del contratto stipulato con la Società affiliata seppur svolgeva la propria attività in modo autonomo senza vincoli di subordinazione, senza poteri di rappresentanza e assumendosi ogni responsabilità sul suo operato, lo stesso era, comunque, tenuto a conformarsi alle politiche della società in ordine alla distribuzione dei prodotti e servizi. Nel caso di specie secondo il Garante l’incaricato alle vendite ha agito quale dipendente della società affiliata, raccogliendo i dati personali dei clienti nell’esercizio delle sue attività senza acquisire il consenso richiesto per l’attivazione delle schede telefoniche. I dati così raccolti sono poi entrati nella disponibilità della Società affiliata che in qualità di responsabile del trattamento dei dati personali ha fornito all’incaricato alle vendite gli strumenti necessari per svolgere la propria attività, mettendo a sua disposizione il codice identificativo personale necessario per procedere all’attivazione delle schede telefoniche, unitamente a un tablet ed una specifica app per mezzo della quale i dati dei clienti venivano registrati e trasmessi alla Società affiliante (titolare del trattamento).
Con riguardo alla responsabilità della Società affiliante, secondo il Garante la stessa non ha fornito alcuna prova circa l’impossibilità di impedire il fatto, e pertanto in qualità di titolare del trattamento dei dati personali è chiamata in solido a rispondere della condotta lesiva tenuta dal responsabile del trattamento dei dati personali.

Volume consigliato

Come applicare il regolamento europeo sulla privacy (GDPR) negli studi e nelle aziende

Come applicare il regolamento europeo sulla privacy (GDPR) negli studi e nelle aziende

Roberta Rapicavoli, 2018, Maggioli Editore

Dal 25 maggio 2018 trova piena applicazione il Regolamento generale sulla protezione dei dati personali: si tratta del Regolamento europeo 2016/679, noto anche come GDPR – General Data Protection Regulation, direttamente applicabile negli Stati membri UE. A partire dalla predetta data...



© RIPRODUZIONE RISERVATA


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it