[doc. web n. 1851750]
[Newsletter]

Comunicazioni promozionali automatizzate: necessari l´informativa e il consenso dell´interessato - 26 ottobre 2011

Registro dei provvedimenti
n. 407 del 26 ottobre 2011

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito "Codice");

VISTA la documentazione in atti;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

Relatore il dott. Giuseppe Chiaravalloti;

PREMESSO

L´Autorità ha svolto, a partire dal mese di maggio 2010, un ciclo di accertamenti ispettivi volti a verificare il rispetto della normativa in materia di protezione dei dati personali, con particolare riferimento alle campagne di marketing effettuate tramite numeri di cellulari (per l´invio di sms e mms) e indirizzi di posta elettronica (per l´invio di email pubblicitarie, cd. DEM).

Nell´ambito di tale attività, rispettivamente in data 10, 11 e 12 maggio 2010 e 10, 11 e 12 novembre 2010, sono state oggetto di ispezione Dada S.p.A. (di seguito "Dada") e Register S.p.A. (di seguito "Register" o "società"), entrambe con sede legale a Firenze, Piazza Pietro Annigoni, 9/B.

Dada S.p.A. è la società capofila del gruppo Dada, che si occupa dell´erogazione di molteplici servizi tramite Internet e comprende, tra le altre, Register S.p.A. Nel corso degli accertamenti ispettivi, è emerso che Dada ha mantenuto le funzioni corporate e la gestione dei servizi c.d. "legacy", fra i quali sono ricompresi i servizi a valore aggiunto (c.d. VAS), mentre Register si occupa di tutta l´attività pubblicitaria del gruppo, effettuando quindi nel concreto ogni operazione di mobile marketing e DEM per conto dello stesso.

Con riferimento all´invio di comunicazioni promozionali tramite sms, è emerso che i fornitori di utenze mobili dei quali si avvale Register per veicolare le campagne promozionali sono H3G S.p.A. (di seguito "H3G") e XX di XX (di seguito "XX", destinataria del provvedimento del Garante del 30 giugno 2011, relativo proprio ai trattamenti di dati personali effettuati nell´ambito di campagne di mobile marketing e DEM).

I rappresentanti della società hanno dichiarato che tali fornitori effettuano direttamente gli invii degli sms e non comunicano dati presenti nei propri database a Register, che pertanto non effettua alcun trattamento di dati personali. Per quanto riguarda gli invii di messaggi promozionali su utenze di H3G, Register, a seguito della richiesta di un proprio cliente, richiede a H3G di effettuare l´estrazione dei numeri degli utenti che hanno prestato il consenso alla ricezione di messaggi promozionali e che presentano i parametri richiesti dal cliente. Il quantitativo disponibile degli utenti destinatari della campagna viene quindi comunicato da H3G a Register e da questa al cliente. In caso di accettazione da parte di quest´ultimo, Register provvede a inoltrare il testo del messaggio ricevuto dal cliente a H3G per l´invio (cfr. verbale del 10 novembre 2010, pag. 2).

Per quanto riguarda gli invii di messaggi promozionali su utenze fornite da XX, la quantificazione dei cellulari sulla base dei parametri richiesti dai clienti viene effettuata direttamente da Register attraverso una piattaforma informatica presente online sul sito di XX (cfr. verbale del 10 novembre 2010, pag. 3).

Con riguardo all´invio di DEM, dagli accertamenti è emerso che le attività svolte da Register riguardano tre distinte aree.

La prima si riferisce a invii di email promozionali e/o newsletter informative a soggetti che, acquistando un dominio, hanno rilasciato uno specifico consenso previa informativa. I database dei soggetti che hanno espresso il consenso all´invio di DEM e newsletter contengono rispettivamente 121.000 e 37.500 record (cfr. verbale dell´11 novembre 2010, pag. 3).

La seconda area riguarda il servizio denominato "Simply", che Register realizza tramite una società inglese controllata al 100% da Register stessa, attraverso il sito www.simply.com. Tale sito consente l´incontro fra soggetti che dispongono di un sito web e soggetti che intendono effettuare promozioni pubblicitarie. Gli iscritti a Simply possono prestare il consenso, secondo la legislazione inglese, per la ricezione di email promozionali in relazione ai servizi di Simply e Register. Il database dei soggetti che hanno espresso il predetto consenso si compone di circa 25.000 record (cfr. verbale dell´11 novembre 2010, pag. 4).

La terza area è quella relativa alle campagne promozionali che Register realizza in qualità di concessionaria di pubblicità avvalendosi di nove soggetti, titolari autonomi di database contenenti indirizzi email. Nella maggior parte dei casi, Register non accede ai dati personali dei destinatari delle email promozionali, agendo soltanto in qualità di intermediaria, e l´invio delle email avviene con un sistema analogo a quello utilizzato per l´invio degli sms tramite H3G e XX, sopra descritto. Dagli accertamenti è emersa, invece, una situazione differente per due delle nove società e, precisamente, per City Italia S.p.A. (del gruppo RCS) e Excite Italia BV, che non dispongono di una propria piattaforma di invio delle email e che hanno quindi messo a disposizione i propri database a Register. Questa effettua nel concreto l´estrazione dei target sulla base delle richieste dei clienti, nonché l´invio delle email pubblicitarie, svolgendo quindi anche un´attività definita dai propri responsabili di "partner tecnologico" e trattando direttamente i dati personali. Il database di Excite si compone di circa 280.000 indirizzi email "consensati" e quello di City di circa 66.000 (cfr. verbale del 12 novembre 2010, pag. 2).

I rappresentanti della società hanno dichiarato che per i trattamenti dei dati personali presenti nei database di City ed Excite, Register non è stata designata responsabile del trattamento da parte di tali società (cfr. verbale dell´11 novembre 2010, pag. 4), svolgendo di conseguenza l´attività sopra descritta in qualità di titolare autonomo del trattamento in assenza di informativa e consenso.

* * *

In ragione di quanto sopra evidenziato, l´attività svolta da Register nell´ambito delle campagne di marketing effettuate tramite numeri di cellulari (per l´invio di sms e mms) non accedendo la società ai dati personali degli utenti non presenta aspetti di particolare interesse dal punto di vista della normativa in materia di privacy.

Viceversa, con riferimento all´invio di email promozionali effettuato da Register mediante accesso ai dati personali presenti nei database delle società City Italia e Excite Italia, si evidenzia che il relativo trattamento  svolto da Register in assenza di informativa e consenso  risulta effettuato in violazione della normativa in materia di protezione dei dati personali.

Pertanto, con riferimento a tale ultimo trattamento, si rileva che l´art. 11, comma 2, del Codice prevede che non possono essere utilizzati i dati personali trattati in violazione della disciplina rilevante in materia di dati personali. Il Garante, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, ha in tal caso il compito di vietare, anche d´ufficio, in tutto o in parte, il trattamento illecito o non corretto dei dati o di disporne il blocco e di adottare, altresì, gli altri provvedimenti previsti dalla disciplina applicabile al trattamento dei dati personali.

Si rileva, quindi, la necessità di adottare nei confronti di Register un provvedimento di divieto per aver trattato i dati personali presenti nei predetti database senza aver fornito agli interessati un´idonea informativa ai sensi dell´art. 13 comma 4, del Codice e senza aver acquisito uno specifico consenso per l´invio di comunicazioni promozionali automatizzate ai sensi dell´art. 130, comma 2.

L´Autorità si riserva di verificare, con autonomo procedimento, la sussistenza dei presupposti per contestare le violazioni amministrative di cui agli artt. 13, commi 1 e 4, e 130, comma 2, del Codice e la conseguente applicazione delle sanzioni di cui agli artt. 161 e 162, comma 2-bis del Codice.

Si evidenzia che, ai sensi dell´art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni e che, ai sensi dell´art. 162, comma 2-ter, del Codice, in caso di inosservanza del divieto, è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila a centottantamila euro.

PER QUESTI MOTIVI IL GARANTE

ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d) del Codice, rilevato che i dati personali di cui è stato accertato l´illecito trattamento non possono essere ulteriormente utilizzati (art. 11, comma 2, del Codice) vieta a Register S.p.A. di effettuare ulteriori trattamenti di dati personali presenti nei database delle società City Italia S.p.A. (del gruppo RCS) e Excite Italia BV senza aver fornito agli interessati un´idonea informativa ai sensi dell´art. 13, comma 4, del Codice e senza aver acquisito uno specifico consenso per l´invio di comunicazioni promozionali automatizzate ai sensi dell´art. 130, comma 2, del Codice.

Si ricorda che avverso il presente provvedimento è possibile, ai sensi dell´art. 152 del Codice, proporre opposizione con ricorso all´autorità giudiziaria ordinaria entro il termine di trenta giorni dalla data di comunicazione del medesimo provvedimento e che l´opposizione non sospende l´esecuzione del provvedimento (v. art. 152, comma 5 del Codice).

Roma, 26 ottobre 2011

IL PRESIDENTE
Pizzetti

IL RELATORE
Chiaravalloti

IL SEGRETARIO GENERALE
De Paoli