Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Servizi on-line e uso dei dati a fini di marketing - 22 febbraio 2007 [1388590]

[doc. web n 1388590]

[v. anche Comunicato stampa]

Servizi on-line e uso dei dati a fini di marketing - 22 febbraio 2007

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Giovanni Buttarelli, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito "Codice");

ISTA la documentazione in atti;

VISTO l'art. 154, comma 1, lett. b) e c), del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

VISTE le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Giuseppe Chiaravalloti;

PREMESSO

1. A seguito di una richiesta di informazioni formulata dall'Autorità, Enel S.p.A ha fatto pervenire, con nota del 20 novembre 2006 integrata in data 25 gennaio 2007, proprie deduzioni in ordine ai trattamenti di dati personali  effettuati nell'ambito della fornitura di una pluralità di servizi resi tramite il sito Internet www.enel.it (fra i quali quelli denominati: "Forum"; "In poesia"; "Astroluce"; "Magazine"; "Pronto Enel"; "Sfondi e Screensaver"; "Sala stampa"; "Enel Club"; "Servizi Online di Enel Sole"; "EnelGas" ).

In particolare, Enel S.p.A. ha dichiarato di trattare, ai fini della registrazione a servizi offerti on line, alcuni dati personali della clientela che variano in relazione al servizio richiesto e che sono ritenuti "indispensabili", oppure (se conferiti facoltativamente) comunque "utili" per la stipulazione e gestione del contratto di erogazione dei servizi medesimi (cfr. "informativa sul trattamento dei dati personali", all. n. 3 alla nota del 25 gennaio 2007).

La società ha rappresentato che l'informativa di cui all'art. 13 del Codice è elaborata dinamicamente dal sistema, modificandosi nella parte "relativa alla società che riceve i dati e che rappresenta il titolare del trattamento" a fronte dello specifico servizio chiesto dall'utente; ha indicato poi, quali titolari del trattamento in relazione ai diversi servizi, se medesima (Enel S.p.A.), altre società del gruppo (Enel Distribuzione S.p.A., Enel Energia S.p.A., Enel Sole S.p.A., Enel.si S.r.l., di seguito "gruppo Enel"), nonché ulteriori società in relazione a servizi gestiti da soggetti esterni al gruppo societario (cfr. il citato all. n. 3 alla nota del 25 gennaio 2007).

La società ha inoltre dichiarato che, "come precisato nell'informativa adottata sul sito, quale unica controprestazione per i servizi forniti, si riserva la facoltà di inviare informazioni commerciali relative alle società del Gruppo". Da quanto risulta in atti, tali comunicazioni vengono inviate in forma di newsletter ad un indirizzo di posta elettronica che (fino allo scorso mese di luglio) era messo a disposizione degli interessati in modo automatico dalla società e che, ora, è indicato dall'utente, qualora questi non sottoscriva il servizio denominato Pronto Enel che "consente di svolgere le operazioni contrattuali e di pagamento di pertinenza della società Enel Distribuzione". In tale ultimo caso l'utente può scegliere di farsi attribuire da Enel S.p.A. una casella di posta elettronica "attraverso la quale sarà, da una parte, erogato il servizio prescelto, dall'altra, inviata ogni comunicazione di tipo commerciale inerente l'attività del Gruppo".

 

2. Il presente provvedimento ha ad oggetto la verifica del rispetto della disciplina in materia di protezione dei dati personali nell'ambito della fornitura dei servizi e prodotti offerti da Enel S.p.A., dal Gruppo Enel e da ulteriori società tramite il sito Internet www.enel.it. Ciò, con specifico riferimento alle modalità con le quali viene fornita l'informativa ai sensi dell'art. 13 del Codice ed è acquisito, quando è necessario, un consenso idoneo in relazione alle diverse finalità del trattamento (artt. 23, 24 e 130 del Codice).

 

3. Dalle dichiarazioni rese in atti da Enel S.p.A., con riguardo ai trattamenti di dati personali effettuati per gestire servizi e prodotti offerti on line, è emerso che i titolari del trattamento indicati al precedente punto 1 raccolgono, in un unico contesto, l'"autorizzazione" all'impiego dei dati per una ulteriore finalità di marketing menzionata nell'informativa trasmessa a questa Autorità (cfr. il citato all. n. 3)  e nelle condizioni generali di contratto riportate sul predetto sito web.

Nell'informativa è così affermato: "i dati raccolti potranno essere utilizzati da Enel S.p.A. e dalle Società soggette a direzione e coordinamento di Enel S.p.A. anche al fine di inviarti periodicamente messaggi contenenti pubblicità, materiale promozionale, annunci interni, iniziative promozionali, comunicazioni commerciali".

Nel paragrafo "avvisi e messaggi promozionali", presente nell'ambito delle condizioni generali di contratto (cfr.  pagina web http://register.enel.it/ClausoleGenerali_v2.aspx?MiNetUserLanguage=it-IT), è dichiarato che "con la sottoscrizione ed accettazione del presente accordo, l'utente manifesta il proprio libero e incondizionato consenso a ricevere periodicamente messaggi di posta elettronica contenenti pubblicità, materiale promozionale, annunci interni, iniziative promozionali, comunicazioni commerciali da parte di Enel". Dal secondo capoverso di tale paragrafo si desume che le comunicazioni pubblicitarie riguardano anche prodotti e servizi di "soggetti terzi" ("l'Utente prende atto ed accetta che Enel non assume alcuna responsabilità e non rilascia alcun tipo di garanzia sul contenuto della corrispondenza promozionale eventualmente intercorrente tra l'Utente e i soggetti terzi che pubblicizzano i propri prodotti tramite il servizio web mail"). Nelle dichiarazioni rese in atti, Enel S.p.A. precisa peraltro che le comunicazioni commerciali contenute nelle newsletter sono relative alle società del Gruppo Enel e rappresentano "una sintesi delle notizie pubblicate sul portale Enel".

 

4. Alla luce della documentazione acquisita e considerate le osservazioni formulate da Enel S.p.A., questa Autorità ravvisa alcuni profili di violazione della disciplina vigente in relazione al trattamento dei dati personali effettuato nell'ambito dei servizi e prodotti offerti tramite il sito Internet www.enel.it; pertanto, ai sensi dell'art. 154, comma 1, lett. d), del Codice, il Garante vieta con il presente provvedimento la prosecuzione del trattamento illecito di seguito specificato e, ai sensi dell'art. 154, comma 1, lett. c), del Codice, prescrive altresì le misure necessarie al fine di rendere il trattamento conforme a legge.

4.1. Ciascuno tra i titolari del trattamento oggetto del presente provvedimento può anzitutto prescindere dal richiedere il consenso rispetto ai trattamenti effettuati per eseguire obbligazioni derivanti da contratti di cui è parte l'interessato (consenso che è invece sollecitato nella modulistica presente on line), trattamenti per i quali il consenso non è richiesto (art. 24, comma 1, lett. b) del Codice).

4.2. Emergono, poi, profili di illiceità in ordine al rispetto delle condizioni previste dagli artt. 23 (in forza del quale "il consenso è validamente prestato solo se è espresso liberamente" ) e 130 del Codice (considerato lo strumento, la posta elettronica, volto a veicolare le comunicazioni).

Esaminando i modelli per la raccolta del consenso utilizzati nelle condizioni generali di contratto e nell'informativa, l'"autorizzazione" al trattamento per finalità di marketing nell'interesse di Enel S.p.A. e delle "società soggette a sua direzione e coordinamento" (cfr. il citato all. n. 3) non è distinta da quella richiesta (non correttamente, come si è rilevato) per conferire i dati indispensabili per dare esecuzione al rapporto contrattuale.

In casi come quello in esame, come già rilevato da questa Autorità (Provv.  12 ottobre 2005 , doc. web n.  1179604; Provv.  3 novembre 2005 , doc. web n.  1195215; Provv.  10 maggio 2006 , doc. web n.  1298709 in ), non può definirsi "libero", e risulta indebitamente necessitato, il consenso ad un ulteriore trattamento dei dati personali che l'interessato "debba" prestare (aderendo a un testo predisposto unilateralmente dalla controparte, e inserito nel caso di specie in condizioni generali di contratto) quale condizione per conseguire una prestazione richiesta.

Gli interessati devono essere messi in grado di esprimere consapevolmente e liberamente le proprie scelte in ordine al trattamento dei dati che li riguardano, manifestando il proprio consenso -allorché richiesto per legge- per ciascuna distinta finalità perseguita dal titolare (cfr. Provv.  24 febbraio 2005 , punto 7, in , doc. web n.  1103045 ). Tale capacità di autodeterminazione non è assicurata quando si assoggetta in blocco l'accesso a beni e servizi alla preventiva autorizzazione a trattare i dati conferiti per i medesimi beni e servizi per una finalità diversa, qual è quella promozionale e pubblicitaria.

Peraltro, inserendo tra le condizioni generali di contratto l'ulteriore finalità di marketing, i dati personali raccolti lecitamente dal titolare (e conferiti dall'interessato) per l'esecuzione del rapporto contrattuale vengono di fatto piegati ad un utilizzo diverso dallo scopo che ne ha giustificato la raccolta, in violazione del principio di finalità (art. 11, comma 1, lett. b), del Codice).

Non è quindi conforme ai criteri di liceità e correttezza nel trattamento dei dati personali la scelta di Enel S.p.A. e degli altri titolari del trattamento menzionati al precedente punto 1 di raccogliere un consenso per eseguire ordinarie obbligazioni contrattuali (art. 24, comma 1, lett. b), del Codice) e collegarlo, altresì, a finalità di marketing all'interno delle condizioni generali di contratto (art. 23, comma 3, del Codice).

4.3. Considerato il mezzo di comunicazione (posta elettronica) che Enel S.p.A. e gli altri dichiarati titolari del trattamento (Gruppo Enel ed ulteriori società) utilizzano per la commercializzazione diretta tramite il sito Internet www.enel.it, è peraltro necessario valutare se, pur mancando, per le ragioni illustrate, un valido consenso degli interessati per le finalità di marketing le società stesse non avessero potuto effettuare lecitamente il trattamento oggetto di verifica in base ad altra disposizione.

In base al Codice, il titolare del trattamento, se utilizza ai fini di vendita diretta di propri prodotti o servizi le coordinate di posta elettronica fornite dall'interessato nel contesto della vendita di un prodotto o di un servizio, può prescindere dal consenso dell'interessato qualora si tratti di servizi analoghi a quelli oggetto della vendita e l'interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni (art. 130, comma 4). Tuttavia, al momento della raccolta, e in occasione dell'invio di ogni comunicazione effettuata per la medesima finalità di vendita diretta di propri prodotti o servizi, l'interessato deve essere tuttavia informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente (in questo senso, v. Provv. 7 ottobre 2004, doc. web n. 1102334; v. anche art. 13, par. 2 e considerando n. 41 direttiva n. 2002/58/Ce; Gruppo di lavoro Art. 29 per la tutela dei dati personali, parere n. 5/2004    relativo alle comunicazioni indesiderate a fini di commercializzazione diretta ai sensi dell'articolo 13 della predetta direttiva, Wp 90 del 27 febbraio 2004   , in http://ec.europa.eu/...pdf).

Nel caso di specie, il trattamento connesso all'invio di newsletter poteva essere quindi effettuato solo dalla società che ha raccolto le coordinate di posta elettronica per la promozione di suoi prodotti e servizi che, nella prospettiva del ricevente, possano essere ritenuti analoghi a quelli oggetto di precedenti commercializzazioni. Ciò, ferma restando la possibilità per l'interessato di opporsi sin dall'origine a tale trattamento.

Nel medesimo caso, non è stata invece accordata agli interessati alcuna possibilità di opporsi, sin dalla fase di raccolta dei dati ("inizialmente", secondo la prescrizione dell'art. 130, comma 4, del Codice), all'utilizzo delle coordinate di posta elettronica per finalità di vendita diretta. Lo stesso "assorbimento" del consenso all'utilizzo dei dati per finalità di vendita diretta nell'ambito delle condizioni generali di contratto (destinate a regolare la fornitura dei servizi propriamente intesi) depone, di per sé solo, in senso contrario al rispetto della disposizione normativa richiamata, la quale intende salvaguardare la facoltà di autodeterminazione dell'interessato, anche nella forma della libera opposizione all'utilizzo delle coordinate di posta elettronica al fine di vendita diretta.

Deve altresì rilevarsi che, sempre nel caso di specie, le comunicazioni risultano essere state trasmesse non solo per promuovere iniziative proprie della società che ha raccolto i dati "nel contesto di una vendita di un prodotto o di un servizio" ma, più genericamente, per "inviare informazioni commerciali relative alle società del Gruppo" (cfr. nota del 25 gennaio 2007).

Inoltre, l'informativa resa agli interessati ha ipotizzato che le comunicazioni potessero essere effettuate anche per veicolare iniziative promozionali nell'interesse di terzi (cfr. secondo capoverso del paragrafo "avvisi e messaggi promozionali", presente nelle condizioni generali di contratto - cfr. supra).

Il trattamento oggetto di verifica risulta quindi illecito anche in riferimento al menzionato art. 130.

 

5. Va in conclusione disposto il divieto di prosecuzione del trattamento risultato illecito. Deve essere altresì prescritto alle società titolari del trattamento di conformare il medesimo trattamento nei termini indicati nel seguente dispositivo, anche in riferimento alle attività pubblicitarie e promozionali, nel caso in cui le medesime società intendano effettuare in modo lecito ulteriori trattamenti del medesimo genere. Ciò, ferma restando l'inutilizzabilità a fini di comunicazione pubblicitaria o promozionale dei dati personali trattati in violazione di legge (art. 11, comma 2, del Codice).

PER QUESTI MOTIVI IL GARANTE

a) vieta ad Enel S.p.A., Enel Distribuzione S.p.A., Enel Energia S.p.A., Enel Sole S.p.A., Enel.si s.r.l. e alle altre società che offrono servizi tramite il sito Internet www.enel.it, ai sensi dell'art. 154, comma 1, lett. d), del Codice, di proseguire il trattamento risultato illecito in atti, nonché di utilizzare le dichiarazioni di consenso al trattamento dei dati già formulate dagli interessati per finalità di comunicazione pubblicitaria o promozionale (art. 11, comma 2, del Codice). Resta ferma l'utilizzabilità dei dati per finalità di fornitura dei beni e servizi richiesti. Ciò, con effetto dalla data di notificazione del presente provvedimento presso la sede, residenza o domicilio risultanti dagli atti o comunque accertati dall'organo notificante;

b) prescrive alle predette società, ai sensi dell'art. 154, comma 1, lett. c), del Codice, di adottare entro il 15 aprile 2007 le misure necessarie ed opportune indicate nel presente provvedimento al fine di rendere il trattamento di dati personali conforme alle disposizioni vigenti per ciò che riguarda la richiesta e la libertà del consenso ed, in particolare:

  • di prescindere dal richiedere il consenso rispetto ai trattamenti effettuati per eseguire obbligazioni derivanti da contratti di cui è parte l'interessato (punto 4.1);
  • di consentire agli interessati di esprimere liberamente un valido consenso informato per i trattamenti per finalità di marketing nell'interesse di Enel S.p.A. e delle "società soggette a sua direzione e coordinamento", con modalità e in un ambito del tutto distinto da quello relativo al conferimento dei dati indispensabili per dare esecuzione al rapporto contrattuale, rispettando rigorosamente anche la disciplina di cui all'art. 130, comma 4, del Codice, sull'invio di comunicazioni promozionali e pubblicitarie (punti 4.2 e 4.3);

c) prescrive altresì alle predette società, ai sensi degli artt. 154, comma 1, lett. c) e 157 del Codice, di trasmettere al Garante entro il 20 aprile 2007 un esemplare della modulistica utilizzata per l'informativa e il consenso riformulata in conformità alle prescrizioni di cui ai punti 4.1., 4.2. e 4.3.

Roma, 22 febbraio 2007

IL PRESIDENTE
Pizzetti

IL RELATORE
Chiaravalloti

IL SEGRETARIO GENERALE
Buttarelli