Acquisto di liste di contatti per finalità di marketing: titolarità e responsabilità in materia di privacy

Con il recente provvedimento del 5 Aprile 2012, il Garante per la protezione dei dati personali è intervenuto in materia di titolarità e conseguente responsabilità in capo all’acquirente di liste di contatti da utilizzare a fini di marketing.
È noto che, in base a quanto prescritto dal codice privacy, per poter contattare un soggetto per finalità di marketing occorre aver previamente fornito idonea informativa ed acquisito il consenso espresso e specifico dell’interessato per detto scopo.
Al fine di reperire facilmente nuovi contatti cui poter indirizzare la propria campagna di marketing, sempre più spesso le società si attivano sottoscrivendo contratti di fornitura aventi, appunto, ad oggetto la cessione di liste di nominativi da utilizzare per la suddetta finalità.
È pertanto evidente che il provvedimento del Garante di cui si discute si configura di notevole importanza, intervenendo in un settore che presenta peraltro delicati aspetti in materia di privacy.
Nell’esaminare la decisione de qua, sollecitata dalla segnalazione di un privato cittadino, non sussistono particolari profili di rilievo in ordine alla posizione e alla responsabilità della società operante nel settore della generazione di anagrafiche, avendo  quest’ultima acquisito liste di contatti attraverso questionari on line senza rilasciare agli utenti idonea informativa e senza documentare per iscritto di aver acquisito il consenso degli interessati ai sensi degli artt. 23 e 130 del suddetto Codice.
Occorre invece soffermarsi sul contratto di fornitura di liste nominative con cui detta società cedeva all’altra parte contraente i dati personali raccolti, così da poter comprendere le argomentazioni sulla base delle quali il Garante ha considerato anche la società acquirente “titolare” del trattamento e ha disposto la trasmissione degli atti al competente Dipartimento per l´avvio dei conseguenti procedimenti sanzionatori, alla luce dell´accertata illiceità dell´attività di trattamento dei dati personali svolta dalle suddette società – ciascuna per la parte di propria competenza – e delle conseguenti violazioni disciplinate dalla normativa sulla protezione dei dati personali.
In particolare, per quanto concerne la questione relativa alla titolarità, occorre considerare che l’Autorità Garante non si ferma innanzi alla pattuizione contrattuale, in cui si indica la sola società cedente delle liste quale titolare del trattamento dei dati, ma indaga circa la corrispondenza di tale ricostruzione al reale atteggiarsi delle due società rispetto al trattamento dei dati personali effettuato.
Come già indicato dalla medesima Autorità nel provvedimento del 15 giugno 2011, n. 230, infatti, al fine di riconoscere la qualifica di “titolare” del trattamento dei dati, occorre verificare se il soggetto sia percepito come tale dall’interessato, se benefici del contatto promozionale -inteso quale antecedente logico dell’instaurando vincolo contrattuale tra la stessa società e l’utente contattato- e, infine, se eserciti il potere decisionale su modalità, compiti, ruoli e procedure dell’attività (aspetto, quest’ultimo, già espresso chiaramente nell’art. 4 lett. f) del codice privacy, ove si fornisce la definizione di “titolare” appunto).
Il Garante ritiene che, nella fattispecie sottoposta al suo esame, siano effettivamente molteplici gli elementi a fronte dei quali poter considerare anche la società acquirente della lista dei contatti “titolare” del trattamento, e ciò a prescindere dalla qualificazione effettuata dalle stessi parti.
In concreto l’Autorità rileva infatti che le parti hanno pattiziamente fissato i principi per i quali i contraenti disciplinano congiuntamente le modalità di effettuazione delle chiamate e le fasce orarie prescelte e si obbligano alla preventiva condivisione delle regole da utilizzare per lo svolgimento delle attività, evidenziando specificamente che, dall’esame del caso concreto, emerge che spetta alla società acquirente il potere di scelta in ordine ai criteri di individuazione dei soggetti da contattare, il potere di nominare direttamente i teleseller responsabili del trattamento e quello di comunicare loro le indicazioni cui devono attenersi nell’esercizio delle proprie mansioni.
Ad ulteriore sostegno dell’argomentazione di cui sopra, il Garante richiama inoltre la clausola di manleva contenuta nel contratto di fornitura de quo, ai sensi della quale la società cedente assume l’obbligo di tenere indenne la controparte, tra l´altro, a fronte di eventuali sanzioni penali o condanne conseguenti ad azioni proposte e a provvedimenti di Autorità e pronunce giudiziali, in qualsiasi modo connesse all´utilizzo delle anagrafiche e dei dati contenuti nel data base, “con ciò dimostrando – a dire dell’Autorità Garante – la piena consapevolezza della società acquirente della possibile attribuzione di responsabilità alla società committente per fatti connessi alla gestione di quei dati”.
Tutti elementi da cui non può che desumersi la qualifica di titolare del trattamento in capo alla società acquirente dei dati personali relativi ai destinatari di iniziative promozionali contenuti nella lista di contatti acquistata.
Da ciò ne consegue che, in capo a tale società devono ritenersi sussistenti tutti gli obblighi previsti dal d.lgs. 196/2003, nonché  l’obbligo di accertamento e di verifica dei singoli consensi prestati dagli interessati, principio previsto nel Provvedimento generale del 29 maggio 2003 – “Spamming. Regole per un corretto invio delle e-mail pubblicitarie”- ed espressamente richiamato nella decisione de qua dall’Autorità Garante, che ritiene di poter estenderlo, per analogia, anche alle attività promozionali effettuare utilizzando mezzi diversi dalla posta elettronica.
Ad avviso della scrivente deve, pertanto, ritenersi rilevante il provvedimento esaminato, con cui il Garante giunge a destrutturare la complessa architettura contrattuale realizzata dalle parti per portare in luce la realtà sostanziale del rapporto in ordine al trattamento dei dati personali, fornendo indicazioni certamente utili al fine della corretta configurazione della titolarità e della responsabilità derivante dal trattamento dei dati personali contenuti nelle liste di contatti da utilizzare per finalità di marketing.