Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Consenso al trattamento in Internet e utilizzo dei dati per finalità promozionali - 10 maggio 2006 [1298709]

[doc. web n. 1298709]

Consenso al trattamento in Internet e utilizzo dei dati per finalità promozionali 10 maggio 2006

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Giovanni Buttarelli, segretario generale;

VISTI i tre provvedimenti (adottati in data 25 giugno 2002, 4 luglio 2002 e 18 luglio 2002), con i quali questa Autorità ha disposto nei confronti di Trisoft s.r.l. società che gestiva il sito www.nafura.it  il blocco del trattamento dei dati personali effettuato mediante l'acquisizione, con "procedure random " (ovvero utilizzando uno speciale software appositamente sviluppato), di numerosi indirizzi di posta elettronica e la loro utilizzazione per inviare messaggi indesiderati a contenuto promozionale; rilevato che il blocco è stato disposto al fine di prevenire con immediatezza altre violazioni, nelle more della definizione di un autonomo procedimento;

VISTI i successivi ricorsi, notificati alle parti il 27 luglio 2005 e il 29 settembre 2005, aventi per oggetto l'invio non sollecitato di altri messaggi pubblicitari per posta elettronica tramite il sito www.nafura.it che risulta essere stato trasferito, unitamente alla banca dati degli utenti registrati al medesimo sito, nella disponibilità di Age One Agency s.r.l., con sede presso la cedente Trisoft s.r.l.;

VISTE le risultanze degli accertamenti ispettivi svolti presso Trisoft s.r.l., (al fine di "verificare il rispetto delle prescrizioni impartite dal Garante con i provvedimenti di blocco"), nonché presso Age One Agency s.r.l. (per "verificare l'origine dei dati personali trattati ed il rispetto della legge in materia di informativa e consenso ");

VISTE, in particolare, le dichiarazioni rese, nel corso delle predette attività ispettive, da Michele Stefano Dell'Acqua, in qualità di amministratore unico di Trisoft s.r.l., dalle quali si evince che tale società ha disatteso i predetti provvedimenti di blocco del trattamento in quanto l'intero archivio di indirizzi e-mail acquisiti con procedure casuali e, comunque, senza il preventivo consenso degli interessati è stato distrutto dalla medesima società;

VISTE, inoltre, le dichiarazioni rese, nel corso delle attività ispettive svolte presso Age One Agency s.r.l., da Andrea Schietti, in qualità di amministratore di tale società, il quale ha, tra l'altro, dichiarato che "dall'ottobre del 2003 è stata costituita una nuova società denominata Vulcan s.r.l., nata con lo scopo di gestire gli spazi pubblicitari di Nafura.it." ed ha aggiunto che "In tale contesto, il 13 ottobre 2003, è stato stipulato un contratto con la Buongiorno Vitaminic S.p.A. di Torino, nell'ambito del quale si prevede che la Vulcan s.r.l. consegni alla Buongiorno Vitaminic la banca dati degli utenti registrati ai servizi del sito www.nafura.it per l'attività di invio a mezzo e-mail di campagne promozionali relative ad aziende terze ";

VISTO che Buongiorno Vitaminic S.p.A. ha ricevuto da Vulcan s.r.l. un numero considerevole di record relativi agli utenti registrati al sitowww.nafura.it;

VISTI gli accertamenti (menzionati nella relazione di sintesi del 21 marzo 2006 del Dipartimento comunicazioni e reti telematiche) successivamente svolti da questa Autorità, nei mesi di febbraio e marzo 2006, attraverso l'accesso diretto al sito Internet www.nafura.it, di cui è attualmente titolare la medesima società Age One Agency s.r.l.;

VISTI i servizi offerti sul predetto sito Internet ed, in particolare, il servizio  denominato "Nafura Hubs ";

CONSIDERATO che, per aderire al predetto servizio, l'utente deve inserire i propri dati personali in un apposito form, senza aver ricevuto un'adeguata e preventiva informativa ai sensi dell'art. 13 del Codice, sulla base della quale manifestare liberamente, se necessario, il proprio consenso;

VISTI gli ulteriori servizi offerti da Age One Agency s.r.l. ed, in particolare, i servizi "Nafura mobile", "Nafura internet", "Nafura account" e "Newsletters & offerte speciali ";

CONSIDERATO che, per accedere a questi ultimi servizi, l'utente deve accettare "senza alcuna riserva " che sia effettuato l'intero trattamento descritto  in un'informativa reperibile sul medesimo sito tramite un collegamento ipertestuale;

VISTO in particolare che, nella procedura di iscrizione al servizio "Newsletters & offerte speciali", la casella (c.d. "check-box") a margine della dicitura "accetto l'informativa sulla privacy" risulta pre-compilata con uno specifico simbolo (c.d. flag );

VISTO il contenuto dell'informativa ed, in particolare, la precisazione secondo la quale il sito Nafura utilizza alcuni cookie al fine di "memorizzare e talvolta tenere traccia" dei dati personali degli utenti, anche occasionali (si legge, infatti, che "ad ogni browser che accede a Nafura viene inviato uno o più cookie "); ciò, per diverse finalità fra le quali figura quella della profilazione, volta a rendere più efficaci le inserzioni pubblicitarie in quanto basate sull'analisi di interessi ed abitudini degli utenti;

VISTO che, nel medesimo testo dell'informativa, è previsto che "anche le reti pubblicitarie che forniscono annunci a Nafura utilizzano i propri cookie" e che l'utente autorizza Age One Agency s.r.l. a "cedere, vendere o comunicare a terze parti i dati personali da esso stesso forniti ";

CONSIDERATO che l'utente, in base a tale informativa, nel momento in cui fornisce i dati personali che lo riguardano, "autorizza automaticamente la stessa Age One Agency a trattare i dati medesimi a fini commerciali e per altri fini riportati nelle condizioni generali di utilizzo" (reperibili presso un ulteriore documento denominato "disclaimer ");

VISTO il contenuto di tale "disclaimer" ed, in particolare, la previsione secondo la quale il cliente autorizza Age One Agency s.r.l. "all'archiviazione, all'elaborazione e alla comunicazione, anche a consociate o partner commerciali o clienti di Nafura, di dati relativi all'utente, con le seguenti finalità: servizio clienti (…), factoring, marketing, commerciali, commerciali a carattere politico, pubblicità e promozione online ed offline per posta ordinaria, analisi statistiche, indagini sulla soddisfazione della clientela, ….";

CONSIDERATO che, per quanto riguarda l'esercizio dei diritti dell'interessato (art. 7 del Codice), la menzionata informativa prescrive agli utenti di utilizzare una specifica formalità (invio della richiesta di esercizio dei medesimi diritti tramite "raccomandata con ricevuta di ritorno ");

CONSIDERATO che la predetta informativa è inidonea a fornire all'interessato tutte le indicazioni necessarie ai sensi dell'art. 13 del Codice. Ciò,  in rapporto alla delicatezza e complessità delle modalità di trattamento e dei flussi di dati descritti, nonché in relazione al linguaggio utilizzato che si palesa  equivoco e tale da indurre in errore un utente medio ed altresì idoneo a determinare, in ciascun interessato, una sottovalutazione delle conseguenze derivanti dal conferimento dei dati personali, in violazione del principio dell'autodeterminazione informativa; rilevato che l'informativa non contiene, inoltre, indicazioni che definiscano in maniera adeguata lo specifico ambito di comunicazione a terzi e prevede, infine, anomali "automatismi" nel consenso al trattamento (si legge, infatti: "In tutti i casi, nel momento in cui comunichi ad Age One Agency srl uno o più dati personali riguardanti la tua stessa persona, autorizzi automaticamente la stessa Age One Agency srl a trattare i tuoi dati personali a fini commerciali e per gli altri fini riportati nelle condizioni generali di utilizzo (leggi la pagina disclaimer))"; rilevato, da ultimo, che la medesima informativa rinvia a tale disclaimer non direttamente consultabile tramite un link, per fornire all'interessato una parte delle informazioni previste dall'art. 13 del Codice e necessarie per definire le finalità del trattamento e i soggetti a cui i dati sono comunicati;

CONSIDERATO che, in riferimento ai casi in cui tramite il predetto sito è sollecitato il consenso degli interessati, le modalità della sua acquisizione non sono conformi a quanto disposto dall'art. 23 del Codice, non essendo riconosciuta agli utenti la possibilità di esprimere un consenso libero e (oltre che riferito ad un trattamento chiaramente individuato) eventualmente  differenziato rispetto alle varie finalità del trattamento, nonché manifestato con una volontà espressa con formula "in positivo", anziché mediante espressioni "in negativo" che lasciano all'interessato una mera facoltà di eventuale diniego;

CONSIDERATO che l'accertato uso di cookie viola, come risultante dalla stessa informativa, il divieto di utilizzo di una rete di comunicazione elettronica "per accedere ad informazioni archiviate nell'apparecchio terminale di un abbonato o di un utente, per archiviare informazioni o per monitorare le operazioni dell'utente " (art. 122 del Codice);

CONSIDERATO che l'art. 8 del Codice stabilisce che i diritti di cui all'art. 7 cit. sono esercitati dall'interessato con una richiesta rivolta al titolare senza formalità, anziché con necessaria richiesta per raccomandata, come nel caso di specie;

RISERVATA, con autonomo provvedimento, la contestazione in separata sede della violazione amministrativa concernente l'informativa (che è assente, per alcuni profili del complessivo trattamento, e del tutto inidonea per altri: artt. 13 e 161 del Codice);

CONSIDERATO, altresì, che l'osservanza dei presupposti prescritti per legge ai fini del trattamento dei dati per scopi di comunicazione commerciale o pubblicitaria è necessaria anche nei confronti di chi acquisisce da terzi banche dati contenenti indirizzi di posta elettronica, nonché da parte di chi invia e-mail per conto di terzi committenti (cfr. Provv. del Garante 29 maggio 2003, relativo allo spamming, in www.garanteprivacy.it, doc. web. n. 29840);

RITENUTO che, sulla base delle predette considerazioni, risultano dagli atti violate diverse disposizioni della disciplina in materia di protezione dei dati personali e, in modo specifico, gli artt.  8, 11, 13, 23 e 122 del Codice;

RILEVATO che, ai sensi dell'art. 11, comma 2, del Codice, i dati personali trattati in violazione della disciplina rilevante in materia dei dati personali, come nel caso di specie, non possono essere utilizzati;

CONSIDERATO che il Garante, ai sensi dell'art. 154, comma 1, lett. d), del Codice, ha il compito di vietare il trattamento dei dati che risulti illecito o non corretto;

RILEVATO che tale divieto va disposto anche nei riguardi di società che, dopo aver acquisito dati trattati illecitamente, effettuano ulteriori trattamenti che non risultano dagli atti effettuati in presenza dei necessari presupposti; rilevato che tali società risultano, allo stato, individuate, oltre che in Buongiorno Vitaminic S.p.A., anche nella Composite Digital Media (che negli atti è indicata quale divisione del gruppo AdLink Italia), come emerge dal documento "disclaimer" (ove si legge che: "il cliente autorizza il trattamento dei dati per finalità inerenti l'esecuzione del Contratto e la presentazione dei servizi ivi contemplati; g) inviare comunicazioni commerciali anche di terze consociate selezionate da Vulcan srl tra cui Composite Digital Media (divisione del gruppo AdLink Italia); Buongiorno Vitaminic Spa; h) l'utente potrà ricevere aggiornamenti, novità, consigli per gli acquisti inviati da Composite Digital Media, Buongiorno Vitaminic S.p.A., per conto proprio o di propri clienti ");

CONSIDERATO che, ai sensi dell'art. 170 del Codice, a prescindere dalle misure e sanzioni applicabili in relazione al trattamento dei dati, chiunque, essendovi tenuto, non rispetta i provvedimenti adottati dal Garante ai sensi dell'art. 143, comma 1, lett. c) del predetto Codice, è punito con la reclusione da tre mesi a due anni;

RILEVATO che per i fatti in esame è stata già preliminarmente informata la competente autorità giudiziaria, anche in riferimento all'ipotesi di reato di trattamento illecito di dati (art. 167 del Codice), autorità nei confronti della quale va ora disposta la trasmissione di copia del presente provvedimento e degli atti di accertamento più recenti;

VISTE le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Giuseppe Fortunato;

TUTTO CIÒ PREMESSO, IL GARANTE

a) ai sensi degli artt. 143, comma 1, lett. c) e art. 154, comma 1, lett. d), del Codice, vieta a Age One Agency s.r.l., avente sede in Milano, Via Voghera 9/A, attuale titolare dei trattamenti relativi al sito Internet www.nafura.it, con effetto immediato a decorrere dalla data di comunicazione del presente provvedimento e nei termini di cui in motivazione, ogni ulteriore trattamento illecito dei dati personali acquisiti nell'ambito della procedura di registrazione ai servizi "Nafura Hubs", "Nafura mobile", "Nafura internet", "Nafura account", "Newsletters & offerte speciali ";

b) ai sensi degli artt. 143, comma 1, lett. c) e art. 154, comma 1, lett. d) del Codice, vieta a Buongiorno Vitaminic S.p.A., con sede legale in Torino, Via Cervinio 52 e Composite Digital Media (divisione del gruppo AdLink Italia, con sede in Milano, Piazza Luigi Vittorio Bertarelli 1),  con effetto immediato a decorrere dalla data di comunicazione del presente provvedimento e nei termini di cui in motivazione, ogni ulteriore trattamento illecito dei dati relativi agli utenti registrati ai predetti servizi, inizialmente trattati da Age One Agency s.r.l. e ceduti da Vulcan s.r.l..

Roma, 10 maggio 2006 

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE
Buttarelli