Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Telepass e libero consenso per finalità di marketing - 3 novembre 2005 [1195215]

[doc. web n. 1195215]
[v. 
Comunicato stampa]

Telepass e libero consenso per finalità di marketing - 3 novembre 2005

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;

VISTA la normativa comunitaria e il Codice in materia di protezione dei dati personali (direttive nn. 95/46/CE e 2002/58/CE; d.lg. 30 giugno 2003, n. 196);

VISTA la documentazione in atti;

VISTO l'art. 154, comma 1, lett. b) e c), del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

VISTE le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Giuseppe Fortunato;

PREMESSO

1. A seguito di una richiesta di informazioni formulata dall'Autorità, "Autostrade per l'Italia S.p.A" (di seguito Aspi) ha fatto pervenire con nota del 19 gennaio 2005 proprie deduzioni e documentazione in ordine ai trattamenti di dati personali (oggetto anche di alcune segnalazioni) effettuati nell'ambito della fornitura del servizio "Telepass" (grazie al quale il pagamento del pedaggio autostradale può avvenire, senza fermata al casello, addebitando le somme dovute su conto corrente o BancoPosta o a mezzo di carta di credito abilitata).

Oggetto del presente provvedimento sono solo i trattamenti di dati personali effettuati con riguardo a taluni servizi resi tramite il sito web http://www.telepass.it, accessori al servizio "Telepass". Grazie ad essi l'interessato è messo in condizioni di:

a) visionare e aggiornare online, senza la necessità di recarsi presso gli uffici commerciali di Aspi situati lungo la rete autostradale (c.d. "punti blu"), i dati personali che lo riguardano raccolti in occasione della previa conclusione di un contratto di servizio "Telepass" ("Telepass Club");

b) concludere on line –con contestuale iscrizione al "Telepass Club"– un contratto volto all'esecuzione del servizio "Telepass" senza la necessità di recarsi presso uffici commerciali di Aspi o di altri soggetti autorizzati ("Telepass Family");

c) aderire online al servizio di recapito elettronico delle fatture del servizio "Telepass".

Dalle dichiarazioni rese emerge che Aspi tratta una serie di dati personali della clientela necessari all'esecuzione del servizio "Telepass" –quali, tra gli altri, i dati anagrafici, i dati indispensabili all'effettuazione dei pagamenti e la targa dei veicoli abilitati–, come pure le coordinate di posta elettronica richieste per consentire all'interessato la fruizione on line dei servizi descritti (oltre che per inviargli prima una password individuale per accedere ai medesimi).

Oltre ai dati appena menzionati, stando alla documentazione pervenuta, sono richieste nella sezione del sito dedicata alla registrazione al "Telepass Club" altre informazioni riferibili a ciascun cliente (sesso, età, titolo di studio e tipologia di veicolo utilizzato). Aspi ha dichiarato al riguardo di raccogliere ulteriori dati personali, il cui conferimento sarebbe facoltativo, consistenti in "indicazioni di carattere generale sulle proprie caratteristiche [riferito agli interessati], sugli interessi e sulla sua condizione socio-economica". Rispetto ad essi, Aspi ha precisato di averne fatto uso "esclusivamente per valutazioni di carattere statistico sulla composizione del tipo di clientela che ha deciso di registrarsi al sito".

 

2. Con riguardo alle descritte tipologie di dati personali, trattati allo scopo di gestire i servizi offerti online, Aspi provvede a raccogliere, in un unico contesto, anche l'"autorizzazione" all'impiego dei medesimi per la diversa ed ulteriore finalità di marketing: di detta finalità viene infatti fatta menzione nelle condizioni generali di contratto concernenti la fornitura dei servizi resi on line.

Ciò risulta, infatti, dalle "Condizioni generali dei servizi offerti da Autostrade per l'Italia s.p.a. tramite il sito www.telepass.it", relative a "Telepass Club" (all. A, Sez. 2, comunicazione Aspi). Da esse emerge che il consenso dell'interessato viene prestato –oltre che per l'esecuzione dei servizi offerti, come si è detto– anche con riguardo all'invio da parte di Aspi di comunicazioni commerciali in forma elettronica, sia per promuovere iniziative proprie, sia per veicolare iniziative promozionali nell'interesse di terzi. Tale circostanza, oltre che dal punto 3.1., si ricava univocamente dai punti 5.1. (secondo il quale, "con la sottoscrizione ed accettazione del presente accordo, l'utente manifesta il proprio libero e incondizionato consenso a ricevere periodicamente messaggi di posta elettronica contenenti pubblicità, materiale promozionale, annunci interni, iniziative promozionali, comunicazioni commerciali da parte di Aspi") e 5.2. (dal quale si desume che le comunicazioni pubblicitarie riguarderanno anche prodotti e servizi di "soggetti terzi") delle menzionate condizioni generali.

Clausole generali aventi analogo contenuto sono poi riprodotte nelle "Condizioni generali per l'adesione al servizio Telepass Family offerti da Autostrade per l'Italia s.p.a. tramite il sito www.telepass.it", ai punti 3.1., 5.1. e 5.2 (all. A, Sez. 4 comunicazione Aspi) e nelle "Condizioni generali per l'adesione al servizio sperimentale di recapito elettronico delle fatture Telepass Family, Viacard e Telepass con Viacard tramite il sito www.telepass.it", ai punti 3.1., 4.1. e 4.2. (all. A, Sez. 6 comunicazione Aspi).

Inoltre, nell'apposita e separata informativa resa in calce alle "Condizioni generali per l'adesione al servizio Telepass Family offerti da Autostrade per l'Italia s.p.a. tramite il sito www.telepass.it" (all. A, Sez. 4 comunicazione Aspi), si rende conto del possibile utilizzo dei dati raccolti, con specifico riferimento all'indirizzo e-mail, ai fini di invio di comunicazioni pubblicitarie nella sola forma elettronica e limitatamente alle iniziative promozionali proprie di Aspi: ciò si desume dal riferimento all'art. 130 del Codice, presente nel testo dell'informativa (pur contenente un errore materiale, atteso il richiamo all'art. 140, che pare essere frutto di un mero refuso, come pure emerge dalla memoria di Aspi).

Dalla nota Aspi (e relativi allegati), inoltre, risultano la descrizione delle misure di sicurezza adottate, come pure la designazione del responsabile e degli incaricati del trattamento.

 

3. Alla luce della documentazione acquisita, e tenuto conto delle osservazioni formulate da Aspi, questa Autorità ravvisa taluni profili di violazione della disciplina vigente in relazione al trattamento dei dati personali effettuato nell'ambito dei servizi "Telepass" resi online e pertanto, ai sensi dell'art. 154, comma 1, lett. c), del Codice, prescrive con il presente provvedimento le misure necessarie al fine di rendere i trattamenti sopra indicati conformi alle disposizioni contenute nel medesimo Codice.

Al di là della possibilità di prescindere dalla richiesta del consenso con riguardo ai trattamenti effettuati per eseguire obbligazioni derivanti dal contratto del quale è parte l'interessato (consenso invece presente nella modulistica della quale Aspi si avvale), atteso il contenuto dell'art. 24, comma 1, lett. b) del Codice, emergono profili di illiceità, per ragioni diverse, in ordine al rispetto delle condizioni previste dagli artt. 23 (in forza del quale "il consenso è validamente prestato solo se è espresso liberamente") e 130 (considerato lo strumento –posta elettronica- volto a veicolare le comunicazioni commerciali) del Codice.

3.1. Con specifico riguardo al modello di raccolta del consenso utilizzato nelle condizioni generali di contratto predisposte da Aspi, l'autorizzazione al trattamento per finalità di marketing sia nell'interesse proprio di Aspi, sia per quello di terzi, non è distinta da quella resa per conferire i dati indispensabili per dare esecuzione al rapporto contrattuale.

Ne deriva che il consenso al trattamento dei dati per finalità di marketing non soddisfa i requisiti posti dalla legge, in base ai quali esso "è validamente prestato solo se è espresso liberamente" (art. 23, comma 3, del Codice).

In casi come quello in esame, come già rilevato da questa Autorità (Provv. 12 ottobre 2005, in ), non può definirsi "libero", e risulta indebitamente necessitato, il consenso al trattamento dei dati personali che l'interessato "deve" prestare (aderendo a un testo predisposto unilateralmente dalla controparte, e inserito nel caso di specie in condizioni generali di contratto) quale condizione per conseguire la prestazione richiesta.

Gli interessati debbono essere invece messi in grado di esprimere consapevolmente e liberamente le proprie scelte in ordine al trattamento dei dati che li riguardano (Provv. 27 maggio 1997, in   Boll. n. 1, p. 17), manifestando il proprio consenso per ciascuna distinta finalità perseguita dal titolare (cfr.  Provv. 24 febbraio 2005, punto 7, in , doc. web n.  1103045). Tale capacità di autodeterminazione non è assicurata quando si assoggetta in blocco l'accesso ai servizi alla previa autorizzazione a trattare i dati conferiti per i medesimi servizi allo scopo di perseguire una finalità diversa ed ulteriore, qual è l'invio di comunicazioni commerciali.

Peraltro, ricorrendo all'inserimento nelle condizioni generali di contratto dell'ulteriore finalità di marketing, i dati personali, raccolti lecitamente dal titolare (e conferiti dall'interessato) per l'esecuzione del rapporto contrattuale, vengono di fatto piegati ad un utilizzo diverso dallo scopo che ne ha giustificato la raccolta, in violazione del principio di finalità (art. 11, comma 1, lett. b), del Codice).

Non è quindi conforme alla disciplina di protezione dei dati personali la scelta di Aspi di raccogliere il consenso per la finalità di marketing all'interno delle condizioni generali di contratto, non potendosi definire detto consenso "libero" (art. 23 del Codice); al contrario, il medesimo consenso deve essere manifestato specificamente rispetto a ciascuna distinta finalità perseguita.

3.2. Attesa la particolare natura del mezzo che Aspi intende utilizzare per svolgere l'attività di commercializzazione diretta (la posta elettronica), è necessario valutare se, nonostante l'assenza di un valido consenso degli interessati (per le ragioni appena illustrate), Aspi possa comunque effettuare tale trattamento di dati personali ai sensi dell'art. 130, comma 4, del Codice.

Alla luce di questa disposizione il titolare del trattamento, se utilizza, ai fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall'interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell'interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l'interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. L'interessato, al momento della raccolta e in occasione dell'invio di ogni comunicazione effettuata per le finalità di cui al presente comma, deve essere informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente (in questo senso v. già la decisione del Garante del 7 ottobre 2004)

Nel caso di specie, non viene accordata all'interessato alcuna possibilità di opporsi, sin dalla fase di raccolta dei dati ("inizialmente", secondo la prescrizione dell'art. 130, comma 4, del Codice), all'utilizzo delle coordinate di posta elettronica per finalità di vendita diretta. Tra l'altro, lo stesso "assorbimento" del consenso all'utilizzo dei dati per finalità di vendita diretta nelle condizioni generali di contratto (destinate a regolare la fornitura dei servizi propriamente intesi), depone, per sé solo, in senso contrario al rispetto della disposizione normativa richiamata, che intende salvaguardare la facoltà di autodeterminazione dell'interessato, pur nella forma della libera opposizione al trattamento dei dati, in ordine all'utilizzo delle proprie coordinate di posta elettronica al fine di vendita diretta.

L'inosservanza del citato precetto (non diversamente, peraltro, v. art. 13, par. 2 e considerando n. 41 della direttiva 2002/58/CE; nel senso del testo si è pronunciato altresì il Gruppo di lavoro per la tutela dei dati personali (Gruppo articolo 29), con il parere 5/2004 relativo alle comunicazioni indesiderate a fini di commercializzazione diretta ai sensi dell'articolo 13 della direttiva 2002/58/CE, WP 90 del 27 febbraio 2004, in http://europa.eu.int/...pdf) determina l'illiceità del trattamento effettuato.

In conclusione, affinché il trattamento di dati personali sia lecito per la finalità qui descritta, seppure non è necessario il consenso dell'interessato, devono però essere scrupolosamente osservate le condizioni dettate dall'art. 130, comma 4, del Codice, prima fra tutte la possibilità di opporsi sin dall'origine a tale trattamento.

 

4. Nel sito web dedicato al servizio "Telepass" è altresì prevista la raccolta di dati ulteriori relativi a caratteristiche della clientela che accede ai servizi online (interessi, informazioni socio-economiche etc.), astrattamente idonei a consentirne la profilazione. Per quanto Aspi abbia dichiarato nelle proprie deduzioni la natura facoltativa del conferimento di tali dati personali –precisando che la finalità di profilazione della clientela verrebbe perseguita trattando le informazioni raccolte esclusivamente secondo modalità aggregate, con gli effetti previsti dall'art. 168 del Codice–, quantomeno nella fase iniziale della raccolta e registrazione, le informazioni raccolte sono comunque riferibili ai singoli interessati. Al riguardo, merita altresì rilevare che nell'informativa resa (all. A - Sez. 4), da un lato non emerge alcun riferimento alla obbligatorietà o meno del conferimento di tali dati; dall'altro, non vi è menzione alcuna del perseguimento di questa ulteriore finalità.

È dunque necessario che le informazioni personali appena descritte, non pertinenti ai fini dell'esecuzione del contratto, non siano riconducibili, in modo diretto o indiretto, ai singoli clienti sin dalla fase iniziale della raccolta e che, comunque, il modello di informativa predisposto da Aspi venga opportunamente integrato nei termini sopra indicati.

PER QUESTI MOTIVI IL GARANTE

  1. prescrive ad Aspi, ai sensi dell'art. 154, comma 1, lett. c), del Codice, di adottare le misure necessarie ed opportune indicate nel presente provvedimento al fine di rendere i trattamenti di dati personali conformi alle disposizioni vigenti, apportando le necessarie modifiche alla documentazione descritta e tenendo conto del fatto che, limitatamente al perseguimento delle finalità di comunicazione pubblicitaria, non potranno essere utilizzate, ai sensi dell'art. 11, comma 2, del Codice, le dichiarazioni di consenso al trattamento dei dati già formulate dagli interessati e che resta ferma, quindi, l'utilizzabilità dei dati per la fornitura dei servizi;
  2. prescrive ad Aspi, altresì, ai sensi degli artt. 154, comma 1, lett. c), e 157 del Codice, di trasmettere al Garante un esemplare della modulistica utilizzata riformulata in conformità delle predette prescrizioni, entro il 30 dicembre 2005.

Roma, 3 novembre 2005

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE
Buttarelli