Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Provvedimento inibitorio e prescrittivo nei confronti di AdSpray S.r.l. - 25 settembre 2014 [3457687]

Vedi anche newsletter del 16 ottobre 2014

 

[doc. web n. 3457687]

Provvedimento inibitorio e prescrittivo nei confronti di AdSpray S.r.l. - 25 settembre 2014

Registro dei provvedimenti
n. 427 del 25 settembre 2014

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici, componente e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito «Codice»);

VISTA la direttiva 95/46/CE del 24 ottobre 1995, del Parlamento europeo e del Consiglio, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati;

VISTA la direttiva 2002/58/CE del 12 luglio 2002, del Parlamento europeo e del Consiglio, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche come da ultimo modificata dalla direttiva 2009/136/CE del 25 novembre 2009;

VISTA la segnalazione del dottor Cristiano Ravalli del 14 ottobre 2013 inerente la ricezione via e-mail di un messaggio indesiderato di natura promozionale avente ad oggetto servizi della società Vodafone Omnitel B.V.;

VISTO che, a seguito dell'istruttoria condotta dall'Ufficio, è emerso che la suddetta e-mail è stata inviata dalla società AdSpray S.r.l. (di seguito, la società) utilizzando proprie liste di contatti;

VISTA la nota del 28 gennaio 2014 pervenuta dalla società in risposta ad una specifica richiesta dell'ufficio, con la quale la stessa ha rappresentato che i dati utilizzati per l'effettuazione della campagna promozionale oggetto di segnalazione sono stati raccolti all'atto dell'iscrizione al servizio di newsletter del portale www.laretediclo.it; nella stessa nota la società ha specificato che «nel caso l'utente non acconsenta al trattamento dei dati personali ai sensi della D.LGS. 196/2003, la procedura di iscrizione non provocherà alcun effetto» e che «agli utenti iscritti vengono dunque inviate comunicazioni di tipo informativo o di carattere commerciale. In entrambi i casi all'utente è offerta in ogni comunicazione la possibilità di disiscriversi dalla lista»;

VISTO che - per verificare le modalità con cui veniva effettivamente acquisito il consenso degli interessati all'atto dell'iscrizione al suddetto servizio di newsletter - è stato effettuato un accertamento d'ufficio sul sito www.laretediclo.it in data 30 aprile 2014; da tale accesso sono emersi i seguenti elementi:

- per l'iscrizione alla newsletter è richiesto di inserire l'indirizzo e-mail;
- in calce al form di raccolta dati è presente una casella di spunta (c.d. checkbox) con la quale il contraente può esprimere il consenso «al trattamento dei dati personali»; se si invia la richiesta di iscrizione senza validare la casella del consenso non risulta possibile accedere al servizio e appare il messaggio «è richiesta la selezione della casella»;

VISTO l'art. 23, comma 3, del Codice, il quale prevede che il trattamento di dati personali da parte dei privati è ammesso solo previa acquisizione di un consenso dell'interessato libero, informato e specifico, con riferimento a trattamenti chiaramente individuati, e da documentare per iscritto;  

VISTO l'art. 24, comma 1, lett. b) del Codice che prevede, tra le altre, un'ipotesi di deroga rispetto all'obbligo dell'acquisizione del consenso qualora il trattamento sia necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato;

CONSIDERATO che i trattamenti di dati per finalità commerciali esulano da quelli necessari per adempiere al contratto di fornitura del servizio e che pertanto per il conseguimento di tali finalità, proprio perché ulteriori rispetto a quelle di carattere contrattuale, il titolare è tenuto alla preventiva acquisizione di uno specifico consenso;

VISTO l'art. 130, commi 1 e 2, del Codice, in base al quale l'invio di comunicazioni promozionali effettuato con modalità automatizzate, come ad esempio la posta elettronica,  è consentito solo con il consenso del contraente o utente;

CONSIDERATO inoltre che, come già più volte rilevato da questa Autorità (si vedano, a tal proposito anche le linee guida del Garante in materia di attività promozionale e contrasto allo spam del 4 luglio 2013, in www.garanteprivacy.it, doc. web n° 2542348), non può definirsi "libero", e risulta indebitamente necessitato, il consenso a ulteriori trattamenti di dati personali che l'interessato debba prestare quale condizione per conseguire una prestazione richiesta, e che gli interessati devono essere messi in grado di esprimere consapevolmente e liberamente le proprie scelte in ordine al trattamento dei dati che li riguardano, manifestando il proprio consenso per ciascuna distinta finalità perseguita dal titolare;

RILEVATO quindi che la società non ha consentito agli interessati di esprimere uno specifico consenso per la ricezione di messaggi promozionali via e-mail essendo stato, come detto, obbligatorio prestare il consenso alla ricezione degli stessi per potersi iscrivere al servizio di newsletter, salvo la possibilità di servirsi dell'opt-out;

CONSIDERATO che la raccolta del consenso per finalità promozionali effettuata dalla società con le modalità sopra descritte costituisce un trattamento illecito di dati;

CONSIDERATO che il Garante, ai sensi degli artt. 143, comma 1, lett. c), 144 e 154, comma 1, lett. d), del Codice, ha il compito di vietare anche d'ufficio il trattamento illecito o non corretto dei dati o di disporne il blocco e di adottare, altresì, gli altri provvedimenti previsti dalla disciplina applicabile al trattamento dei dati personali;    

RILEVATA la necessità di adottare nei confronti della società un provvedimento di divieto del trattamento di dati personali, ai sensi degli artt. 143, comma 1, lett. c), 144 e 154, comma 1, lett. d), del Codice correlato alle attività di invio di messaggi promozionali senza l'acquisizione del necessario consenso libero, specifico e documentato degli utenti già registrati al servizio di newsletter del portale www.laretediclo.it;

RISERVATA, con autonomo procedimento, la verifica della sussistenza dei presupposti per la contestazione della violazione della disposizione di cui agli artt. 23 e 130 del Codice e la conseguente applicazione della sanzione di cui all'art. 162, comma 2-bis, del Codice;

RILEVATA, altresì, la necessità di adottare nei confronti della società un provvedimento prescrittivo ai sensi degli artt. 143, comma 1, lett. b), 144 e 154, comma 1, lett. c), del Codice;

TENUTO CONTO che, ai sensi dell'art. 170 del Codice chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni; che, ai sensi dell'art. 162, comma 2-ter, del Codice, in caso di inosservanza del predetto divieto o delle prescrizioni impartite con il medesimo provvedimento è  altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila a centottantamila euro;

RILEVATO, inoltre, che l'art. 11, comma 2, del Codice prevede che i dati personali trattati in violazione della disciplina rilevante in materia di dati personali non possono essere utilizzati;

CONSIDERATO che resta impregiudicata la facoltà per gli interessati di far valere i propri diritti in sede civile in relazione alla condotta accertata (cfr. anche art. 15 del Codice), con specifico riguardo agli eventuali profili di danno;

VISTA la documentazione in atti;

VISTE le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

TUTTO CIÒ PREMESSO IL GARANTE:

a)    dichiara illecito il trattamento dei dati personali posto in essere da AdSpray S.r.l. con sede legale in Castiglion Fiorentino (Arezzo), Viale Mazzini 29, per finalità promozionali, effettuato dalla medesima senza aver ottenuto un consenso libero e specifico degli interessati ex artt. 23 e 130 del Codice;

b)    ai sensi degli artt. 143, comma 1, lett. c), 144 e 154, comma 1, lett. d), del Codice, vieta ad AdSpray S.r.l. il trattamento dei dati personali di cui alla precedente lettera a), già raccolti, degli utenti registrati al servizio di newsletter per le finalità di invio di messaggi promozionali, ferma restando l'utilizzabilità degli stessi per la fornitura dei servizi;

c)    ai sensi degli artt. 143, comma 1, lett b), 144 e 154, comma 1, lett. c) del Codice, prescrive ad AdSpray S.r.l. - qualora quest'ultima intenda continuare ad utilizzare lo strumento della posta elettronica per l'invio di comunicazioni promozionali - di adottare le misure necessarie e opportune, atte a garantire la completa ottemperanza a quanto stabilito dagli artt. 23 e 130 del Codice prevedendo la possibilità per gli interessati di esprimere uno specifico consenso e fornendone adeguata documentazione al Garante entro sessanta giorni dalla ricezione del presente provvedimento.

Avverso il presente provvedimento può essere proposta opposizione ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011 con ricorso dinanzi all'autorità giudiziaria ordinaria, in particolare al tribunale del luogo ove risiede il titolare del trattamento, da presentarsi entro il termine di trenta giorni dalla data della sua comunicazione ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 25 settembre 2014

                                                      IL PRESIDENTE
                    Soro

IL RELATORE
Bianchi Clerici

                                                                                     IL SEGRETARIO GENERALE
    Busia