Con Provvedimento del 11 ottobre 2012 n. 286 il Garante della Privacy ha escluso la possibilità per una società di trattare i dati provenienti da un’altra società fallita, di cui era stato lecitamente acquistato anche il database clienti.
Nel caso di specie, la società aveva acquistato dalla fallita, nell’ambito della procedura fallimentare, tutti i beni necessari all’espletamento dell’attività inclusa tutta la clientela della stessa società e di conseguenza anche del database dei clienti.
La società acquirente aveva quindi ritenuto che, riguardo ai dati degli interessati inclusi nel suddetto database, potessero ritenersi assolti gli obblighi previsti dagli artt. 13 e 23 del Codice, poiché già a suo tempo adempiuti dalla società fallita ed essendo conservati, nella banca dati acquistata, le specifiche relative al consenso al trattamento dei dati e al suo diniego, sì da doversi escludere l’obbligo di aggiornare l’informativa a suo tempo resa alla fallita.
Nel respingere tale prospettazione, il Garante ha evidenziato come la società avrebbe in ogni caso dovuto fornire ai clienti dell’azienda fallita la necessaria informativa, comunicando tra l’altro di essere il nuovo titolare del trattamento dei dati personali.
La società acquirente, infatti, risulta soggetto giuridico diverso dalla fallita e, pertanto, riveste, rispetto ai dati acquisiti tramite detta azienda, la qualifica di titolare del trattamento.
Non avendo rilasciando alcuna informativa ai clienti, quindi, la società acquirente ha violato l’art.13, comma 4, del Codice, il quale prevede espressamente che, se i dati personali non sono raccolti direttamente presso l’interessato, l’informativa per il relativo trattamento deve essere resa allo stesso all’atto della registrazione dei dati.