Gli elenchi telefonici devono rispettare le regole poste a tutela dei dati personali.
L’attuale quadro normativo non consente la creazione di elenchi telefonici generici che non siano estratti dal DBU (Data Base Unico), l’archivio elettronico unico che raccoglie i numeri telefonici e i dati dei clienti di tutti gli Operatori nazionali di telefonia diffusi tramite elenchi pubblici e che non siano, quindi, conformi a quanto stabilito dal Garante (doc. web 1032381) e da Agcom.
È quanto ha ribadito il Garante per la protezione dei dati personali, che ha sanzionato una ditta individuale per 50.000 euro a seguito di diversi reclami e segnalazioni relativi alla divulgazione non autorizzata di dati personali (nominativi, indirizzi, numeri di telefono) nel suo sito web.
I dati personali degli interessati erano stati pubblicati a loro insaputa e i segnalanti ne erano venuti a conoscenza, il più delle volte, cercando il proprio nome su Google. Gli interessati, inoltre, avevano provato, senza alcun risultato, ad ottenere la cancellazione dei loro dati tramite il form presente nel sito, che non riportava alcun dato che consentisse di individuare il titolare del trattamento, costringendo l’Autorità ad una preliminare attività di indagine volta ad identificarlo tramite l’hosting provider.
Alla richiesta del Garante di fornire chiarimenti il titolare del sito non ha documentato in alcun modo l’origine dei dati pubblicati, ha fornito un laconico riscontro e non ha esibito alcuna documentazione comprovante la cancellazione delle informazioni personali richiesta dai segnalanti. La ditta non ha neanche fornito riscontro alla seconda richiesta di informazioni del Garante, né alla nota di avvio del procedimento, rendendo necessario provvedere alla notifica incaricando il Nucleo speciale privacy della Guardia di Finanza. Le violazioni da parte dell’azienda sono peraltro continuate anche dopo la contestazione e persino dopo le osservazioni difensive della ditta.
Diverse le infrazioni riscontrate, tra cui la diffusione di dati personali in assenza di idonea base giuridica, il mancato rispetto del diritto alla cancellazione, l’inidoneità dell’informativa e la mancata cooperazione con l’Autorità di controllo.
Nel definire l’importo della sanzione amministrativa, il Garante, pur considerando l’attenuante delle dimensioni economiche del titolare quale piccolo imprenditore, ha dovuto tener conto di alcune circostanze aggravanti, tra cui la rilevanza e la durata della violazione, l’elevato numero di persone i cui dati sono stati pubblicati e la negligenza del titolare del trattamento.