di Enrica Maio
Con un recente provvedimento (n. 242 del 23 aprile del 2015) il Garante per la protezione dei dati personali ha dichiarato illecito l’uso perpetrato da due aziende dei dati personali di una donna. Tutto ha avuto origine dal reclamo di una consulente informatica che si è rivolta al Garante lamentando l’illecito trattamento dei propri dati personali contenuti in una email, con profili di confidenzialità, inviata a un conoscente di una agenzia immobiliare, per promuovere la propria attività professionale. Nell’e-mail la reclamante, oltre alle informazioni di natura promozionale, aveva indicato anche il proprio numero di cellulare e informazioni relative a una operazione chirurgica che avrebbe dovuto affrontare. L’e-mail, giunta a due collaboratori delle società contro le quali la donna ha adito l’Autorità, dopo essere stata parzialmente modificata, era stata inoltrata a oltre 200 affiliati commerciali, senza cancellare le informazioni personali che la donna in questione aveva inserito.
Le società si sono difese dichiarando che l’email non contenesse dati personali e che, pertanto, potesse essere liberamente inoltrata in allegato per avvertire i colleghi della consulenza oggetto dell’email promozionale. Il Garante, invece, ha stabilito che la responsabilità sia addebitabile alle due società, in capo alle quali rimane il compito e il potere di vigilare sui propri collaboratori, ai quali le società avevano addebitato l’accaduto.
Le valutazioni dell’Autorità
Nel provvedimento n. 242 del 23 aprile del 2015, l’Autorità ha evidenziato che la trasmissione dell’e-mail recante i dati personali della signora è avvenuta senza informare preventivamente quest’ultima e quindi senza acquisire il suo consenso, come stabilito dagli articoli 13 e 23 del Dlgs. 196/2003; e questo non è altro che un trattamento di dati effettuato in violazione di legge, in specie delle disposizioni previste dal Codice Privacy.
Le società in questione hanno violato non solo l’art. 3 del Codice, che impone al Titolare del trattamento di ridurre al minimo l’utilizzo di dati personali e identificativi degli interessati, ma anche l’art. 11, comma 1, lett. a) dello stesso decreto legislativo, ai sensi del quale possono formare oggetto di lecito trattamento solo i dati personali pertinenti e non eccedenti rispetto alla finalità perseguita.
È, dunque, illecito il trattamento effettuato dalle società relativamente ai dati personali e sensibili della reclamante; nei loro confronti, il Garante ha disposto ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, il divieto dell’ulteriore trattamento dei predetti dati in assenza di idonei presupposti giustificativi – in particolare sotto il profilo della liceità, necessità e proporzionalità (artt. 3, 11, comma 1, lett. a), d), 13, 23, 24 e 26 del Codice) – con possibilità di conservarli solo al fine di tutelare eventuali diritti in sede giudiziaria.
Inoltre, l’Autorità ha ordinato alle società di adottare idonee misure atte a garantire, anche ai sensi dell’art. 31 del Codice, un’attenta vigilanza sull’operato dei soggetti esterni alle società stesse che si occupano del trattamento dei dati per loro conto o nel loro interesse, formandoli, se ce ne fosse necessità, sulla vigente disciplina di protezione dei dati personali.