[doc. web n. 1601558]

Illecito trattamento di dati da parte di un centro tricologico - 26 febbraio 2009

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

In data odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli, segretario generale reggente;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

VISTO il reclamo presentato da XY nei confronti di Sanders Perugia S.r.l.;

ESAMINATE le osservazioni pervenute e la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale reggente ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Giuseppe Chiaravalloti;

PREMESSO

1. Profili oggetto del reclamo
XY, dopo aver sottoscritto con Sanders Perugia S.r.l. un contratto avente ad oggetto trattamenti cosmetricologici ne contestava la validità (perché stipulato in ragione di una patologia del capello diagnosticata dal personale della società e valutata in seguito inesistente da altro medico specialista interpellato dal reclamante), eccependo altresì l´inidoneità dell´informativa resa in sede di sua sottoscrizione e la mancata manifestazione del consenso al trattamento dei dati personali a sé riferiti. Chiedeva inoltre copia degli esami sostenuti (ivi compresa l´analisi gratuita del capello e relativi referti) come pure la restituzione delle somme già versate alla società (cfr. all. n. 2 al reclamo, regolarizzato in data 30 maggio 2008, come in atti).

In assenza di riscontri da parte di quest´ultima, il reclamante ha formulato le proprie istanze (limitatamente ai profili di protezione dei dati) innanzi a questa Autorità, precisando che l´informativa resa all´atto della sottoscrizione del contratto risultava fornita in violazione del Codice perché carente in ordine ai profili concernenti i "soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, nonché i diritti di cui all´art. 7" (cfr. reclamo cit., pp. 4-5).

Il reclamante, inoltre, afferma di non aver manifestato alcun consenso scritto al trattamento dei propri dati sensibili (nel caso di specie, le informazioni relative al proprio stato di salute connesso alla crescita dei capelli), atteso che la sottoscrizione del contratto da parte dello stesso non potrebbe essere qualificata, di per sé, quale consenso al trattamento, tenuto anche conto di quanto precisato nelle condizioni contrattuali (secondo cui "il trattamento dei dati è necessario per la corretta esecuzione degli obblighi contrattuali e non richiede pertanto la manifestazione di un esplicito consenso": cfr. all. n. 1 al reclamo cit., p. 2). Né tale conclusione, a detta del reclamante, potrebbe essere smentita in virtù della previsione di cui all´art. 24, comma 1, lett. b), del Codice (secondo cui il consenso al trattamento dei dati personali non è necessario laddove il trattamento sia effettuato per eseguire obblighi derivanti da un contratto del quale è parte l´interessato), tenuto conto che tale disposizione non trova applicazione in relazione ai dati sensibili.

La società, pertanto, avrebbe trattato i dati personali sensibili del reclamante in violazione della disciplina di protezione dei dati, avuto in particolar modo riguardo agli artt. 13 e 26 del Codice.

Alla luce di tali considerazioni, il reclamante ha chiesto l´intervento di questa Autorità al fine, in particolare, di disporre il blocco o il divieto del trattamento effettuato dalla società, con conseguente declaratoria di inutilizzabilità dei dati trattati (art. 11, comma 2, del Codice).

2. Le osservazioni della società
La società ha osservato, per quanto concerne la richiesta di accesso ai dati sensibili avanzata dal medesimo reclamante e rimasta insoddisfatta, di non aver potuto dare seguito alla relativa istanza per effetto dell´avvenuta tempestiva cancellazione dei dati stessi, "stante l´intervenuta risoluzione del rapporto in essere tra le parti", precisando di aver comunque provveduto a fornire riscontro all´interessato in ordine agli altri dati detenuti (cfr. nota del 15 luglio 2008, in atti, p. 2).

Con riferimento agli ulteriori profili di violazione lamentati dal reclamante, la società ha poi sostenuto di aver lecitamente trattato i dati personali al medesimo riferiti, tanto sulla base dell´informativa resa con il contratto dallo stesso sottoscritto quanto in forza dell´esimente del consenso prevista dall´art. 24, comma 1, lett. b), del Codice (cfr. nota del 15 luglio 2008, cit., p. 4). Ne consegue che le richieste avanzate dal reclamante (in particolare, quella di blocco del trattamento) non sarebbero suscettibili di accoglimento, anche in considerazione della carenza di interesse –conseguente all´avvenuta cancellazione dei dati sensibili allo stesso riferiti– sottostante la medesima richiesta.

Alla luce di tali considerazioni, la società ha concluso per il rigetto del reclamo.

3. Ulteriori osservazioni del reclamante e produzione documentale della società
3.1. Con nota del 28 agosto 2008 (in atti), il reclamante ha fatto pervenire ulteriori osservazioni in ordine alla vicenda segnalata, sollevando incidentalmente dubbi sulla legittimità dell´asserita cancellazione dei dati sensibili da parte della società, anche alla luce del fatto che quegli stessi dati sarebbero stati "potenzialmente utili alla definizione del […] procedimento" innanzi a questa Autorità "e del giudizio instaurato in sede civile".

Nel merito, il reclamante ha poi ribadito le proprie richieste, evidenziando nuovamente l´inapplicabilità alla fattispecie in questione dell´art. 24, comma 1, lett. b), del Codice, in considerazione della natura "sensibile" delle informazioni trattate (lo stato di salute del capello). Ai fini della legittimità del trattamento da parte della società, dunque, sarebbe stato necessario acquisire il consenso scritto dell´interessato, consenso che, nel caso di specie, non sarebbe stato invece manifestato, nemmeno a mezzo sottoscrizione rilasciata in sede di adesione al contratto di acquisto del "pacchetto" dei trattamenti cosmetricologici (cfr. nota del 28 agosto 2008, cit., p. 7).

È stata inoltre di nuovo eccepita l´inidoneità dell´informativa resa a suo tempo al reclamante, in quanto priva di taluni elementi essenziali richiesti dal Codice (cfr. nota del 28 agosto 2008, cit., p. 7).

3.2. Con specifico riferimento al trattamento di dati personali svolto da soggetti esterni alla società (in particolare per ciò che concerne l´attività di analisi e di laboratorio), Sanders Perugia S.r.l., a seguito di esplicita richiesta di informazioni e documenti da parte di questa Autorità, ha trasmesso copia della lettera di designazione quale incaricato del trattamento del collaboratore che avrebbe trattato i dati personali riferiti al reclamante (cfr. all. n. 1 alla nota del 1° ottobre 2008). È stata inoltre prodotta dalla società copia del documento programmatico sulla sicurezza relativo all´anno 2006, dal quale risulta, tra l´altro, l´elenco dei soggetti designati responsabili e/o incaricati del trattamento per conto della società.

4. I dati oggetto di trattamento
Il presente provvedimento riguarda i soli profili di competenza dell´Autorità in relazione al trattamento dei dati personali, con esclusione, pertanto, di ogni altro aspetto inerente, in particolare, alla validità del contratto sottoscritto dalle parti, peraltro oggetto di esame in sede giudiziaria.

Ciò premesso, deve preliminarmente rilevarsi che le informazioni inerenti alle condizioni dei capelli e del cuoio capelluto, in quanto potenzialmente idonee a fornire notizie in ordine allo stato di salute dell´interessato (si pensi, ad esempio, alla presenza di eventuali alterazioni dermo-cutanee o dei livelli ormonali presenti nell´individuo: cfr. all. 11 alla nota del 28 agosto 2008), sono "dati sensibili" ai sensi dell´art. 4, comma 1, lett. d), del Codice.

Dalla documentazione in atti è inoltre emerso che le tecniche di indagine utilizzate dalla società (dermatoscopia e videomicroscopia computerizzata) permettono valutazioni anche in ordine alle strutture cutanee (epidermide e derma) del soggetto interessato dai trattamenti (cfr. reclamo cit., p. 3), consentendo così di avere un quadro complessivo non solo sullo stato di salute del capello, ma, più in generale, della cute stessa (circostanza, questa, peraltro non smentita dalla società).

Nello stesso senso depone, peraltro, la documentazione prodotta dalla società medesima, laddove si evidenzia che i dati "sensibili, propriamente inerenti lo stato del capello, sono stati acquisiti dall´Istituto a seguito delle analisi cui il Suo assistito [i.e.: il reclamante] è stato sottoposto" (cfr. all. n. 1 alla nota di risposta del 15 luglio 2008, cit.).

Deve quindi ritenersi che, nel caso di specie, la società abbia trattato anche dati sensibili riferiti all´interessato (sotto forma di informazioni relative allo stato di salute dei suoi capelli), ancorché al fine precipuo di dare esecuzione al contratto sottoscritto dal reclamante.

5. Profili di illegittimità del trattamento
5.1. Dal complesso degli elementi in atti, risulta che la società non ha fornito al reclamante l´informativa completa di tutti gli elementi previsti dall´art. 13 del Codice.

In base al modulo contrattuale fornito dallo stesso reclamante (cfr. all. n. 1 al reclamo cit.), infatti, l´interessato non risulta essere stato reso edotto in ordine ai soggetti o categorie di soggetti (nel caso di specie, alcuni collaboratori esterni che curano l´attività di analisi e di laboratorio per conto della società: cfr. all. n. 1 alla nota del 15 luglio 2008, cit.) che potevano venire a conoscenza dei suoi dati (come in effetti accaduto: cfr. nota di risposta cit., p. 3), né con riferimento ai diritti dal medesimo esercitabili in base all´art. 7 del Codice (limitandosi l´informativa a menzionare la sola possibilità di cancellazione dei dati da parte dell´interessato).

Diversamente da quanto sostenuto dalla società, quindi, l´informativa risulta in parte carente rispetto alla previsione di legge, ragion per cui questa Autorità, con separato provvedimento, si riserva di procedere all´eventuale contestazione della sanzione di cui all´art. 161 del Codice.

5.2. Per altro verso, il trattamento dei dati personali effettuato presenta profili di illiceità anche in relazione al consenso dell´interessato.

Se infatti, come correttamente risulta dal modello contrattuale predisposto, il trattamento dei dati personali riferiti al cliente, limitatamente all´esecuzione degli obblighi contrattuali, "non richiede […] la manifestazione di un esplicito consenso", tale assunto merita di essere condiviso solo in relazione a dati personali diversi dai dati sensibili. Nel caso di specie, invece, come si è sopra precisato (punto 4), sono stati raccolti e trattati dalla società anche dati idonei a rivelare le condizioni di salute dell´interessato per i quali l´art. 26 del Codice richiede il consenso scritto dello stesso, che non risulta essere stato appositamente raccolto.

5.3. Sotto altro profilo, il trattamento effettuato dalla società non risulta lecito nemmeno in relazione all´avvenuta comunicazione a terzi di dati personali riferiti all´interessato.

In base alla documentazione trasmessa, infatti, non risulta allo stato provato che all´epoca dei fatti (20 dicembre 2005, data di sottoscrizione del contratto tra il reclamante e la società) il collaboratore esterno addetto all´attività di analisi e di laboratorio per conto di Sanders Perugia S.r.l. – e al quale sono stati comunicati dati personali riferiti all´interessato per ammissione della stessa società (cfr. nota del 15 luglio 2008, p. 3, nonché nota del 1° ottobre 2008, p. 1) – fosse stato designato quale responsabile del trattamento.

Al contrario, dagli elementi in atti (e segnatamente dalla documentazione allegata alla nota del 1° ottobre 2008) appare che solo in data 30 maggio 2007 (e dunque in data successiva ai fatti oggetto del reclamo) l´anzidetto collaboratore esterno sarebbe stato formalmente designato (peraltro nella veste di incaricato) dalla società; ciò sarebbe confermato non solo dalle risultanze documentali relative alla menzionata designazione (che appaiono alterate nella data, che la società vorrebbe ascrivere al 30 maggio 2005), ma anche dal documento programmatico sulla sicurezza relativo all´anno 2006, che menziona proprio il collaboratore che ha trattato i dati personali riferiti al reclamante tra i soggetti "terzi" che, diversamente da quelli espressamente designati da Sanders Perugia S.r.l. quali responsabili e/o incaricati del trattamento (pur citati nel documento), trattano dati personali e sensibili della clientela.

Ne consegue, dunque, che la comunicazione a terzi di dati personali riferiti all´interessato è avvenuta in violazione della disciplina di protezione dei dati personali (e, segnatamente, degli artt. 13 e 26 del Codice).

In relazione, poi, all´eventuale violazione dell´art. 168 del Codice conseguente all´avvenuta produzione, nel corrente procedimento, di documenti contenenti false dichiarazioni, va disposta la trasmissione di copia degli atti e del presente provvedimento all´autorità giudiziaria per la valutazione dei profili di competenza.

5.4. Tanto premesso, in base alla documentazione trasmessa risulta peraltro che la società ha comunque provveduto a cancellare i dati sensibili riferiti al reclamante (all. n. 3 alla nota del 15 luglio 2008, cit.; all. nn. 6 e 8 alla nota del 28 agosto 2008, cit.) a far data dalla supposta intercorsa cessazione del rapporto contrattuale con lo stesso (profilo, quest´ultimo, peraltro oggetto di valutazione in sede giudiziaria), conservando i soli dati contabili e fiscali al medesimo riferiti. Considerato che tale cancellazione risulta ribadita a seguito delle dichiarazioni rese dalla società, ai sensi e per gli effetti di cui all´art. 168 del Codice, nella nota del 15 luglio 2008 (cfr. pp. 2 e 4) –e tenuto altresì conto che l´art. 11, comma 1, lett. e), del medesimo Codice dispone che i dati personali oggetto di trattamento siano conservati in una forma che consenta l´identificazione dell´interessato per un periodo di tempo non superiore a quello necessario agli scopi per il quale gli stessi sono stati raccolti o successivamente trattati–, non sussistono gli estremi per provvedere in ordine alla richiesta del reclamante volta a ottenere una pronuncia di blocco o di divieto dell´ulteriore trattamento dei dati sensibili a sé riferiti.

Nondimeno, alla luce delle considerazioni che precedono (e a beneficio della clientela della società), questa Autorità ritiene necessario prescrivere a Sanders Perugia S.r.l., ai sensi degli artt. 143, comma 1, lett. b), e 154, comma 1, lett. c), del Codice, di riformulare, limitatamente alla parte concernente il trattamento dei dati personali degli interessati, il modello di sottoscrizione relativo al contratto di fornitura dei servizi (con specifico riferimento all´informativa da rendere agli stessi interessati –integrandola con le indicazioni mancanti– e alla manifestazione del consenso per il trattamento dei loro dati sensibili), in conformità agli artt. 13 e 26 del Codice.

Impregiudicati i menzionati accertamenti che potranno essere effettuati dall´autorità giudiziaria, deve comunque essere prescritto alla società di designare eventuali soggetti esterni che operino per proprio conto quali responsabili del trattamento ai sensi dell´art. 29 del Codice (ove già non si sia provveduto in tal senso).

Tutto ciò premesso, impregiudicati eventuali profili di danno derivati al reclamante (in relazione ai quali nessuna competenza è attribuita dalla legge a questa Autorità), riservata altresì con autonomo provvedimento la verifica dei presupposti per l´eventuale contestazione della violazione amministrativa concernente l´inidonea informativa (artt. 13 e 161 del Codice)

IL GARANTE

1. ai sensi degli artt. 143, comma 1, lett. b), e 154, comma 1, lett. c), del Codice prescrive a Sanders Perugia S.r.l. di riformulare, limitatamente alla parte concernente il trattamento dei dati personali degli interessati, il modello di sottoscrizione relativo al contratto di fornitura dei servizi con specifico riferimento all´informativa da rendere agli stessi interessati ai sensi dell´art. 13 del Codice – integrandola con le indicazioni mancanti – e nella parte relativa alla manifestazione del consenso per il trattamento dei loro dati sensibili, in conformità agli artt. 13 e 26 del Codice;

2. dispone la trasmissione di copia degli atti e del presente provvedimento all´autorità giudiziaria per la valutazione dei profili di competenza in ordine agli illeciti penali che riterrà eventualmente configurabili.

Roma, 26 febbraio 2009

IL PRESIDENTE

Pizzetti

IL RELATORE
Chiaravalloti

IL SEGRETARIO GENERALE REGGENTE
De Paoli