Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Invio di comunicazioni promozionali indesiderate mediante posta elettronica

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
2223607
Data:
20/12/12
Argomenti:
Comunicazioni indesiderate , E-mail promozionali
Tipologia:
Divieto del trattamento

[doc. web n. 2223607]

Invio di comunicazioni promozionali indesiderate mediante posta elettronica - 20 dicembre 2012

Registro dei provvedimenti
n. 429 del 20 dicembre 2012

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito «Codice»), e in particolare le disposizioni di cui agli artt. 7, 11, 13, 15, 23, 130, commi 1  (come modificato dall'art. 1, comma 12, del d. lgs. 28 maggio 2012, n. 69) e 2, 143, 144 e 154;

VISTA la segnalazione pervenuta all'Autorità il 1° giugno 2012, con la quale il dott. XY ha lamentato il reiterato invio, da parte di Cesd S.r.l., titolare del marchio "CEPU", di comunicazioni promozionali indesiderate mediante posta elettronica;

VISTE le note del 3 agosto 2012  e del 10 ottobre 2012, con cui la società ha fornito riscontro a due analitiche richieste di informazioni dell'Ufficio relativamente alla detta segnalazione, nonché le controdeduzioni del dott. XY del 30 agosto 2012;

VISTI gli atti d'ufficio e le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento n. 1/2000;

RELATORE la prof.ssa Licia Califano;

PREMESSO:

Con segnalazione pervenuta all'Autorità il 1° giugno 2012, il dott. XY ha lamentato il reiterato invio, da parte di Cesd S.r.l., di comunicazioni promozionali indesiderate mediante posta elettronica. Il segnalante ha menzionato un precedente ricorso presentato all'Autorità il 2 dicembre 2008, nei confronti della medesima società e per la stessa attività di spam, ad esito del quale l'Autorità, con provvedimento del 12 marzo 2009 [doc. web n. 1604456], aveva dichiarato non luogo a provvedere anche perché la società aveva assicurato di aver cancellato i dati personali dell'interessato.

La società, dando riscontro ad una prima richiesta di informazioni dell'Ufficio riguardo alla segnalazione, ha rappresentato che i dati personali, e in particolare l'indirizzo di posta elettronica, del segnalante sarebbero stati acquisiti mediante un form di registrazione messo a disposizione sul sito www.tuttogratis.it, che il dott. XY, in occasione di una campagna pubblicitaria ormai esaurita, avrebbe compilato acconsentendo al trattamento dei suoi dati.

Il segnalante, nelle sue controdeduzioni, ha negato di aver compilato il form sopra indicato e di aver fornito il proprio consenso alla società per il trattamento dei suoi dati per la finalità promozionale, lamentando la falsità delle affermazioni effettuate dalla medesima.

La società, riscontrando una seconda richiesta di ulteriori elementi formulata dell'Ufficio anche in considerazione delle dette controdeduzioni, si è limitata ad allegare l'informativa per il trattamento dati rilasciata  al segnalante -dalla quale risulta chiaramente che Cesd S.r.l. è titolare del trattamento dei dati personali forniti dal segnalante e che i medesimi dati sono stati raccolti, oltre che per le finalità contrattuali, anche per l'invio di comunicazioni commerciali e materiale pubblicitario/informativo di beni e servizi peraltro "anche con modalità automatizzate, tramite telefono, SMS, MMS, fax, posta convenzionale, posta elettronica e connesse applicazioni Web".

La medesima società, tuttavia,  nonostante l'apposita richiesta dell'Autorità, non ha fornito alcun elemento relativo al testo eventualmente utilizzato per l'acquisizione del consenso, né dato prova di averne acquisito uno specifico del segnalante per l'invio di comunicazioni promozionali.

Inoltre, da un accertamento condotto dall'Ufficio sul sito della società (www.cepu.it), in data 21 novembre 2012, si è rilevato che questa -nel form  destinato alla richiesta di informazioni sui servizi forniti (quali ad es.: la valutazione di crediti formativi, lo svolgimento di corsi di abilitazione professionale, la preparazione di esami universitari)- utilizza un testo informativo ex art. 13 del Codice, identico a quello usato per la campagna promozionale di cui sopra, dal quale emerge che i dati personali degli utenti del sito vengono raccolti da Cesd S.r.l., in qualità di titolare del trattamento, per la finalità di gestione del rapporto nonché per la eterogenea finalità di invio di comunicazioni commerciali e materiale pubblicitario/informativo di beni e servizi con le modalità automatizzate sopra descritte.

In relazione ai servizi forniti mediante il suindicato sito, la società, inoltre, richiede ai suoi utenti un consenso preimpostato, generico e indistinto per il trattamento dei loro dati personali (quali, ad esempio, nome e cognome, indirizzo di posta elettronica, provincia, etc….), senza acquisirne dunque uno specifico per la finalità promozionale.

Dall'accertamento condotto, è emerso altresì che il consenso dell'utente è di fatto obbligatorio, dato che la società condiziona la registrazione al sito da parte degli utenti, e conseguentemente anche la fruizione dei servizi in questione, al rilascio, appunto, del consenso al trattamento per la finalità promozionale.

CIO' PREMESSO, IL GARANTE OSSERVA CHE:

Al caso sottoposto all'attenzione dell'Autorità si applica la disciplina dell'art. 23, comma 3 del Codice, secondo cui il trattamento di dati personali da parte dei privati è ammesso solo previa acquisizione di un consenso dell'interessato libero, informato e specifico, con riferimento a trattamenti chiaramente individuati e documentato per iscritto, nonché l'analogo disposto dell'art. 130, commi 1 e 2 del Codice, in base al quale l'utilizzo di comunicazioni con modalità automatizzate, come posta elettronica, telefax, Mms o Sms, per la finalità di invio di materiale pubblicitario o di comunicazione commerciale è consentito solo con il consenso del contraente o utente.

Si ricorda, tuttavia, l'eccezione del c.d. "soft spam", di cui all'art. 130, comma 4, in base al quale, se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall'interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell'interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l'interessato, adeguatamente informato, non rifiuti tale uso.

Inoltre, come già rilevato da questa Autorità (provv. 22 febbraio 2007, doc. web n. 1388590; provv.  12 ottobre 2005, doc. web n.  1179604; provv.  3 novembre 2005, doc. web n.  1195215; provv. 10 maggio 2006, doc. web n.  1298709 in www.garanteprivacy.it; provv. 15 luglio 2010, doc. web n. 1741998; più recentemente, provv. 11 ottobre 2012, doc. web n. 2089777) non può definirsi "libero", e risulta indebitamente necessitato, il consenso a ulteriori trattamenti di dati personali che l'interessato "debba" prestare quale condizione per conseguire una prestazione richiesta. Peraltro, gli interessati devono essere messi in grado di esprimere consapevolmente e liberamente le proprie scelte in ordine al trattamento dei dati che li riguardano, manifestando il proprio consenso -allorché richiesto per legge- per ciascuna distinta finalità perseguita dal titolare (cfr. provv.  24 febbraio 2005, punto 7, in www.garanteprivacy.it, doc. web n.  1103045).

L'attività di trattamento dei dati, finalizzata all'invio di comunicazioni commerciali e materiale pubblicitario/informativo di beni e servizi, nella fattispecie mediante posta elettronica, effettuata dalla società senza il relativo consenso specifico costituisce quindi un trattamento illecito e non può essere proseguita ai sensi dell'art. 11, comma 2, del Codice, secondo cui i dati personali trattati in violazione del Codice non possono essere utilizzati. Peraltro, va evidenziato che il trattamento posto in essere dalla società  in ragione del mezzo del web utilizzato per la raccolta dei dati personali  presenta carattere sistematico. Il Garante, ai sensi degli artt. 143, comma 1, lett. b) e c) e 154, comma 1, lett. c) e d), del Codice, ha il compito di vietare anche d'ufficio il trattamento illecito o non corretto dei dati, di disporne il blocco nonché di impartire prescrizioni al fine di rendere il trattamento dei dati -raccolti per la finalità di invio di comunicazioni commerciali e materiale pubblicitario/informativo mediante ciascuno dei mezzi indicati nell'informativa rilasciata dalla società- conforme alla normativa sopra richiamata.

Nella presente fattispecie -fatta salva la facoltà per gli interessati di far valere i propri diritti in sede civile in relazione alla condotta accertata (cfr. anche art. 15 del Codice), con specifico riguardo agli eventuali profili di danno- sussistono i presupposti per contestare a Cesd S.r.l. le violazioni amministrative di competenza di questa Autorità; si ravvisa quindi la necessità di avviare un autonomo procedimento sanzionatorio nei confronti della medesima.

TUTTO CIÒ PREMESSO IL GARANTE:

a) dichiara illecito il trattamento effettuato da Cesd S.r.l., con sede legale in Roma, via della Ferratella in Laterano n. 25- nella fattispecie con l'invio di comunicazioni commerciali e materiale pubblicitario/informativo mediante posta elettronica- dei dati personali degli utenti del sito www.cepu.it senza averne acquisito il necessario consenso libero, specifico e documentato per iscritto ex artt. 23, comma 3 e 130, commi 1 e 2, del Codice;

b) vieta a Cesd S.r.l., ai sensi degli artt. 143, comma 1, lett. c), 144 e 154, comma 1, lett. d), del Codice, l'ulteriore trattamento dei dati personali già acquisiti per la finalità di invio di comunicazioni commerciali e materiale pubblicitario/informativo, effettuato dalla medesima senza aver ottenuto il suddetto consenso, fatto salvo l'eventuale esonero previsto dall'art. 130, comma 4 per il c.d. "soft spam";

c) prescrive a Cesd S.r.l., ai sensi degli artt. 143, comma 1, lett. b), 144 e 154, comma 1, lett. c), del Codice, di adottare le  misure necessarie e opportune al fine di rendere il trattamento dei dati personali conforme alle disposizioni del Codice, dandone -entro e non oltre il termine di sessanta giorni dalla data di ricezione del presente provvedimento- riscontro documentato a questa Autorità comprovante l'avvenuto adeguamento, accompagnato da una dichiarazione del legale rappresentante della società, rilasciata ai sensi e per gli effetti dell'art. 168 del Codice.

d) dispone l'avvio di un autonomo procedimento sanzionatorio nei confronti di Cesd S.r.l.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero. 

Roma, 20 dicembre 2012

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia