Privacy e uso dei dati dei clienti di un'azienda fallita

I dati dei clienti di un'azienda fallita non possono essere utilizzati dall'acquirente dell'azienda medesima senza la preventiva, necessaria informativa.

Fonte: Garante per la protezione dei dati personali, newsletter n. 365 dell'8 novembre 2012.

Il Garante della privacy, con provvedimento n. 286 dell'11 ottobre 2012, ha vietato il trattamento illecito dei dati di circa un milione di persone contenuti nel data base di una società che opera nel settore delle vendite per corrispondenza e del marketing diretto. La decisione è stata adottata in seguito agli esiti dell'attività ispettiva avviata dall'Autorità su segnalazione di numerose persone che lamentavano di essere state disturbate con offerte commerciali indesiderate.

Nel corso dell'istruttoria, la società si era difesa sostenendo che i dati utilizzati provenivano in parte da un'azienda fallita, di cui era stato lecitamente acquistato anche il database clienti, e in parte da una propria attività di raccolta diretta effettuata con appositi moduli e coupon sottoscritti dalle stesse persone interessate. La società affermava, tra l'altro, che alcune telefonate promozionali contestate erano state effettuate per un semplice errore.

Dai riscontri del Garante è però emerso innanzitutto che la società aveva omesso di fornire la necessaria informativa ai clienti dell'azienda fallita, non comunicando tra l'altro di essere il nuovo titolare del trattamento dei dati personali.

L'Autorità ha rilevato violazioni anche nella raccolta dei dati tramite i moduli pubblicati dalla società su riviste o sul proprio sito web. La società non solo non aveva fornito un'adeguata informativa a chi compilava la richiesta per sé o per un amico, ma aveva vincolato la spedizione di cataloghi o prodotti alla sottoscrizione del consenso per l'invio di offerte promozionali o per la comunicazione dei propri dati personali ad altri soggetti. Tale consenso, al contrario da quanto previsto dal Codice della privacy, non poteva quindi considerarsi "informato", né specifico per le differenti attività e neppure liberamente espresso.

Il Garante ha quindi vietato il trattamento dei dati personali raccolti dalla società per qualunque utilizzo che non sia direttamente strumentale all'esecuzione di un obbligo contrattuale, come l'acquisto di un prodotto o servizio. Ha imposto alla società di regolarizzare la sua posizione in tema di informativa e consenso. Ha infine aperto un autonomo procedimento sanzionatorio finalizzato alla contestazione delle violazioni amministrative commesse.