Categorie approfondimento: Commerciale e industriale
14 Novembre 2012

Cessione di data base di dati personali: serve un nuovo consenso

Di cosa si tratta

Con un interessante Provvedimento datato 11 ottobre 2012, Il Garante per la protezione dei dati personali ha consolidato un rilevante principio in tema di trattamento dei dati contenuti in data base ceduti a terzi.
Ha infatti dichiarato illecito il trattamento dei dati contenuti in un data base acquistato, senza che la società acquirente abbia rilasciato agli interessati l’informativa ai sensi dell’art. 13, comma 4 del Codice e senza aver acquisito il necessario consenso libero, specifico e documentato per iscritto degli interessati ex artt. 23, comma 3 e 130, commi 1 e 2, del Codice.
La vicenda ha visto quale soggetto coinvolto una società che opera nel settore del telemarketing e che dapprima prese in affitto e poi acquistò l’azienda e il marchio di altra società, successivamente fallita.
Nel corso dell’istruttoria, la società acquirente ebbe a dichiarare che – acquistando marchio e azienda nell’ottobre del 2011, nell’ambito della suddetta procedura fallimentare – ne aveva acquisito “tutti i beni necessari all’espletamento dell’attività inclusa tutta la clientela della predetta società e di conseguenza anche del database dei clienti…”; inoltre, con riguardo ai dati degli interessati inclusi nel suddetto database, la società ha “ritenuto di considerare assolti gli obblighi previsti dagli artt. 13 e 23 del Codice poiché già a suo tempo assolti dalla” società fallita, in particolare in ragione della circostanza che la banca dati acquistata conteneva le specifiche relative al consenso al trattamento dei dati e al suo diniego e pertanto “non ha ritenuto fosse necessario aggiornare l’informativa a suo tempo resa”.
Tale considerazione è stata tuttavia respinta dal Garante il quale ha rilevato che la società acquirente “è soggetto giuridico diverso dalla società alienante fallita e riveste, rispetto ai dati acquisiti tramite tale Azienda, la qualifica di titolare del trattamento e che pertanto, non rilasciando alcuna informativa ai detti clienti, ha violato l’art.13, comma 4, del Codice, il
quale prevede espressamente che, se i dati personali non sono raccolti direttamente presso l’interessato, l’informativa per il relativo trattamento deve essere resa allo stesso all’atto della registrazione dei dati”.
Sulla base di tali premesse il Garante ha provveduto:
a) a dichiarare illecito il trattamento dei dati operato dalla società acquirente il data base;
b) a vietare l’ulteriore trattamento dei dati personali contenuti nel suddetto data base;
c) a prescrivere sia l’adozione di una nuova informativa sia la richiesta di un nuovo consenso libero, specifico e documentato da parte degli interessati;
d) a disporre l’avvio di un autonomo procedimento sanzionatori nei confronti della società; procedimento che, prevedibilmente, si concluderà con l’erogazione di una sanzione economicamente importante.
Ancora una volta è quindi opportuno rilevare come le operazioni imprenditoriali che vengono compiute con scarsa avvedutezza, in quanto non tengono in considerazione i vari profili legali o amministrativi coinvolti, possano recare grave nocumento alle società che le ha poste in essere.

(Visited 35 times, 14 visits today)