Web scraping: Il Garante sanziona per 60.000 euro un sito web che costruiva elenchi telefonici rastrellando il web
Il contesto e l’istruttoria del Garante
Il Garante riceve richieste di intervento relative al sito web “trovanumeri[.]com” dal 2012. Il primo anno i reclami furono oltre 50 e tutti sollevavano il problema della pubblicazione non autorizzata di dati personali (nome e cognome, indirizzo, numero di telefono…). Addirittura, spesso, i dati relativi all’indirizzo fisico di residenza erano pubblicati insieme alla mappa relativa su Google Earth.
Il Garante, preso atto del fatto che alcuni dati pubblicati colpivano persone con esigenze particolari di riservatezza circa numero di telefono e indirizzo, decideva di intervenire. Alcuni dati pubblicati infatti afferivano a soggetti titolari di utenze riservate, ovvero non pubblicate nell’elenco telefonico generale. Parliamo di soggetti la cui attività lavorativa comporta la necessità di riservatezza a tutela dell’incolumità propria e della famiglia.
Le segnalazioni hanno comunque, tutte, alcuni tratti in comune. Non soltanto la pubblicazione di dati personali senza alcun consenso, ma anche l’assenza di recapiti del titolare del trattamento e l’impossibilità fattiva di ottenere la cancellazione dei dati dai gestori del sito web. Il form dedicato alle richieste di cancellazione dei dati, unico strumento di contatto, è risultato non funzionante. Negli anni passati, spiegano alcuni reclamanti, il form per la richiesta di cancellazione richiedeva addirittura di interagire in inglese coi gestori del sito.
L’istruttoria del Garante
A fronte dei molteplici richiami, come dicevamo, il Garante ha avviato l’istruttoria. Rilevando subito come la breve informativa privacy del sito non recasse alcuna indicazione in merito all’intestatario del sito. Questo ha reso molto complesso anche per l’Autorità stessa risalire al titolare del trattamento dei dati. Anche perchè i server che ospitano il sito web sono risultati ubicati fuori dall’Italia e, spesso, anche dall’Unione Europea. Server che venivano cambiati con una frequenza sospetta e tale da non consentire mai l’ottenimento di informazioni utili per individuare modalità e responsabili.
Il Garante quindi, preso atto della presenza su trovanumeri.com di numerosissimi banner pubblicitari tramite il servizio Google AdSense, si rivolgeva direttamente a Google. Google forniva quindi i dati di registrazione del sito web al proprio servizio, facendo riferimento all’intestatario del sito web. La documentazione trasmessa da Google ha consentito di individuare tre diversi siti web, www.trovanumeri[.]com, www.inelenco[.]com e www.chiediadaniela[.]com (quest’ultimo sito web risulta irraggiungibile) e il nome e cognome di un responsabile.
Interessante il fatto che, ottenuto il nominativo del responsabile, il Garante abbia potuto verificare come lo stesso fosse già stato destinatario di una precedente sanzione e divieto di trattamento dati relativo al sito web www.inelenco[.]com. Anche in questo caso, ricorda il Garante, sono state necessarie lunghe indagini per risalire all’intestatario del sito.
La difesa del responsabile dei siti web incriminati
Il responsabile dei siti web sotto osservazione ha risposto al Garante con una serie di osservazioni in sua difesa. Dopo aver ribadito, senza comprovarlo, che i form di contatto per la cancellazione dati fossero perfettamente funzionanti, ha addossato la responsabilità della mancata soddisfazione delle richieste a errori degli utenti.
Inoltre ha spiegato come, nella sua visione, il sito inElenco fosse un motore di ricerca che scandaglia il web e rende dei risultati. Proprio come Google. La presenza di recensioni pubblicate da utenti volontariamente registrati sul sito lo porta a dichiarare che il sito web non può essere visto come un elenco telefonico.
Il Garante esegue ulteriori verifiche e conferma il web scraping
Nell’Aprile 2021 il Garante ha eseguito ulteriori verifiche. A partire dal fatto che tutti inelenco.com risultasse ancora online. Ha poi verificato puntualmente, con accesso al sito, quanto reclamato dagli utenti. A partire dal fatto che numeri di telefono on presenti nell’elenco telefonico generale (utenze riservate) risultassero ancora pubblicati e disponibili.
Il tentativo di verifica del funzionamento del form per la richiesta di rimozione dei dati si è concluso come da foto:
![Web scraping e Garante: il form di richiesta rimozione dati di trovanumeri[.]com](https://gdprlab.it/wp-content/uploads/2023/07/1-4.png)
Non solo: il sito mostra una funzionalità chiamata ” “aggiungi numero in elenco telefonico gratis”. Il Garante l’ha testata inserendo dati di fantasia. Risultato? Il sito web consente la pubblicazione di dati personali senza alcuna verifica dell’effettiva volontà del potenziale interessato (nessun messaggio di verifica e conferma). Questo non è una novità: il responsabile dei siti aveva già dichiarato di non aver previsto nessun meccanismo di verifica dell’identità.
Per approfondire > Uso illecito di dati trovati online: il caso del catalogo dei single ci ricorda un importante limite all’utilizzo dei dati
Web scraping: il Garante vieta di formare elenchi telefonici rastrellando il web
Il Garante ha dichiarato, nel provvedimento completo, che nonostante la difesa del proprietario dei siti web contestati, questi sono da ritenersi a tutti gli effetti degli elenchi telefonici. Costruiti, però, in totale violazione della normativa vigente sul tema e con la conseguente diffusione illegittima (senza base giuridica) dei dati personali nel web. Dati che finiscono indicizzati sui motori di ricerca e finiscono ulteriormente diffusi. Ugualmente, ha specificato che la funzionalità di ricerca inversa (ossia la ricerca delle generalità dell’intestatario sulla base del numero telefonico) non è consentita dalla normativa.
Venendo alle modalità di raccolta dati, il Garante ricorda di aver già pubblicato alcuni provvedimenti contro il web scraping. Nel caso in oggetto il Garante ha dichiarato illegittimi sia l’acquisizione che il trattamento dei dati degli interessati: nessun consenso è stato richiesto, nessuna base giuridica può essere invocata a legittimazione del trattamento. Sussiste poi la violazione dei diritti degli interessati (a negare il consenso, a richiedere la cancellazione dei dati personali) e la conseguente violazione degli obblighi da parte del titolare (garantire l’esercizio dei diritti degli interessati, informare ecc…).
Tutto avviene in violazione della normativa, ma anche di un provvedimento del Maggio 2022 che già impediva alla ditta individuale intestata al responsabile dei siti web di “di raccogliere, conservare e pubblicare dati personali per la costituzione e diffusione on line di un elenco telefonico generale i cui dati non sono stati tratti dal d.b.u.”
Per approfondire > Scraping online: sanzione per Meta. Non ha protetto gli utenti
Per concludere: la sanzione
Il Garante ha optato per una nuova sanzione. Nel provvedimento si legge:
“Ciò premesso, accertata la violazione dell’art. 5, par. 1, lett. a) e d); dell’art. 5, par. 2; dell’art. 6; dell’12, parr. 1 e 2; degli artt. 13, 15, 16, 17, 24, 25 del Regolamento, e confermata l’inosservanza del provvedimento del 26 maggio 2022, si rende necessario, ai sensi dell’art. 58, par. 2, lett. f), imporre al titolare del trattamento il divieto di raccogliere, ulteriormente conservare e pubblicare dati personali per la costituzione e diffusione on line di un elenco telefonico i cui dati non sono stati tratti dal d.b.u..
Oltre a ciò, visti:
- la gravità della violazione e la scarsa collaborazione del responsabile del trattamento;
- l’ampio numero di interesati riguardati;
- la recidività della condotta dello stesso;
- l’assenza totale di misure correttive nonostante le violazioni contestate;
- le modalità con cui il Garante ha preso conoscenza delle violazioni (via molteplici reclami vista l’impossibilità di identificare il titolare)…
l’Autorità ha optato per una sanzione di 60.000 euro. Che si sommano ai 50.000 di sanzione amministrativa già comminata alla stessa ditta individuale nel 2022.
Il provvedimento completo è disponibile qui.
