Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Trattamento di dati personali per l'invio di comunicazioni promozionali - 11 febbraio 2016 [4885578]

[doc. web n. 4885578]

Trattamento di dati personali per l'invio di comunicazioni promozionali - 11 febbraio 2016

Registro dei provvedimenti
n. 49 dell'11 febbraio 2016

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito "Codice");

VISTE le "Linee guida in materia di attività promozionale e contrasto allo spam" del 4 luglio 2013 (pubblicate in G.U. n. 174 del 26 luglio 2013 e in www.garanteprivacy.it, doc. web n. 2542348) nonché il provvedimento generale del 29 maggio 2003 volto a individuare corrette modalità di invio delle email a contenuto promozionale (doc. web n. 29840);

VISTI i pareri del Gruppo di lavoro Articolo 29 per la protezione dei dati (di seguito Gruppo art. 29) 15/2011 sulla definizione di consenso, del 13 luglio 2011, WP 187 (in http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2011/wp187_it.pdf) e 5/2004 relativo alle comunicazioni indesiderate a fini di commercializzazione diretta ai sensi dell'articolo 13 della direttiva 2002/58/CE, del 27 febbraio 2004, WP 90, (in http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2004/wp90_it.pdf);

VISTA la segnalazione di KW del 16 giugno 2015, formulata ai sensi dell'art. 141, comma 1, lett. b), del Codice;

VISTA la richiesta di informazioni rivolta a Italia Consulenze & Formazione s.r.l. del 23 giugno 2015 ed il relativo riscontro del 14 luglio 2015;

VISTA la richiesta formulata ai sensi dell'art. 157 del Codice nei confronti di N.J.L.&Time di Nadia Bernasconi in data 6 ottobre 2015 e notificata mediante il Nucleo Speciale Privacy della Guardia di finanza;

VISTI gli atti dell'accertamento in loco effettuato nei confronti di N.J.L.&Time di Nadia Bernasconi, contestualmente alla notificazione della richiesta ex art. 157

del Codice, in data 10 e 11 novembre 2015;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del Regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

PREMESSO

1. Il segnalante ha lamentato la ricezione al proprio indirizzo di posta elettronica XX di alcune comunicazioni a contenuto promozionale aventi ad oggetto corsi di formazione, provenienti dagli indirizzi ZZ e da QQ, entrambi facenti capo a Italia Consulenze & Formazione s.r.l. (di seguito ICF). In particolare, ha rappresentato:

a. di aver ricevuto una prima email in data 16 gennaio 2015;

b. di aver immediatamente esercitato, in data 17 gennaio 2015, i diritti riconosciuti dall'art. 7 del Codice, in particolare il diritto alla cancellazione dei dati personali a sé riferiti e all'opposizione al trattamento degli stessi per finalità promozionali;

c. di aver ciononostante ricevuto da ICF tre ulteriori comunicazioni elettroniche a contenuto promozionale in data 11 e 18 maggio nonché il 15 giugno 2015.

2. Rispetto alla richiesta di informazioni formulata dall'Ufficio in data 23 giugno 2015 nei confronti di ICF, (per il tramite del suo legale) la società ha rappresentato, con nota del 14 luglio 2015, che:

a. l'indirizzo email del segnalante è stato originariamente acquisito mediante il "collegamento" in Linkedin - servizio web di rete sociale impiegato principalmente per lo sviluppo di contatti professionali - tra il sig. KW, Safety and facility manager di ICF, e il segnalante medesimo e, quindi, registrato dalla società;

b. in data 20 gennaio 2015 ha provveduto alla cancellazione del nominativo del segnalante a seguito dell'istanza dallo stesso formulata ai sensi dell'art. 7 del Codice, dandogliene contestuale comunicazione (cfr. all. 7);

c. il segnalante è stato nuovamente contattato (a maggio e giugno 2015) in quanto il suo nominativo era presente all'interno di un ulteriore e diverso database ‒ contenente "liste profilate con consenso dati fornito dall'interessato in occasione di precedenti contatti commerciali" comprensive di "indirizzi email con ragione sociale, referente e regione in Italia ed Europa con indirizzo ip di richiesta di contatto" ‒ che ICF ha acquistato in data 8 maggio 2015 da N.J.L.&Time di Nadia Bernasconi (di seguito NJL);

d. a seguito della campagna promozionale effettuata utilizzando gli indirizzi di posta elettronica acquistati da NJL, ha ricevuto 75 richieste di cancellazione, provenienti da altrettanti interessati e, pertanto, considerata la concorrente richiesta di informazioni pervenuta dall'Autorità, ha autonomamente provveduto a sospendere l'utilizzo dell'intero database.

3.1. A seguito del riscontro di ICF, il 10 e 11 novembre 2015 approfondimenti istruttori sono stati estesi anche nei confronti di NJL, finalizzati ad accertare la liceità dei trattamenti effettuati da quest'ultima in relazione alla costituzione e cessione a terzi (con particolare riferimento a ICF) dei database in suo possesso nonché in relazione ad eventuali attività promozionali realizzate da NJL per conto di terzi. Nel corso delle verifiche, svolte tramite il Nucleo Speciale Privacy, il legale rappresentante di NJL ha dichiarato, anche ai sensi dell'art. 168 del Codice, che (cfr. verb. 10 novembre 2015):

a. NJL detiene "un database di utenti residenti in Italia e un database di utenti residenti in Paesi della Comunità europea, creati tramite attività pregresse nel tempo" che consta di circa 883.000 utenti totali, di cui circa 420.000 italiani, e svolge la propria attività mediante il proprio sito web www.njltime.com (pp. 2, 4 e all. 1);

b. "i database […] sono stati creati […] tramite un form dedicato alle aziende presente nel vecchio sito che permetteva la registrazione per lo scambio di informazioni promozionali tra aziende e professionisti" e che "[r]aramente, sempre in passato, alle utenze fornite dalle società committenti per attività di DEM [direct email marketing], preliminarmente alla stessa attività promozionale", veniva inviata "una email con le informazioni circa la provenienza del dato con un link all'informativa completa e la raccolta del consenso che avveniva tramite la registrazione dell'indirizzo IP dell'azienda o del professionista interessati che acconsentivano, cliccando sul link di conferma del proprio indirizzo email, anche per l'inserimento dei propri dati nel nostro database per le nostre attività promozionali" (p. 2);

c. "riguardo al form presente nel vecchio sito per la registrazione di aziende […], all'epoca era presente un'informativa specifica con relativa raccolta del consenso. Lo stesso sito è stato sostituito da quello attuale circa 2 anni fa" (p. 3);

d. riguardo ai "dati forniti dalle committenti, al contatto preliminare effettuato via email", venivano inviate "le informazioni necessarie al fine di risalire all'origine dei dati, l'informativa circa le modalità, le finalità e diritti di cui all'art. 7 del Codice, con la possibilità di cancellarsi subito dal servizio specifico o da tutti i servizi aziendali" (p. 3);

e. NJL non ha "più disponibile la documentazione (informativa) relativa alle raccolte descritte in precedenza" (p. 3);

f. il consenso "è stato raccolto […] tramite la registrazione dell'indirizzo IP dell'utente" (p. 3, all. 2 e 3);

g. le attività offerte "sono rivolte esclusivamente ad aziende e professionisti e quindi soggette alle misure di semplificazione per le imprese, introdotte dal decreto per lo sviluppo del 2011" (p. 3);

h. le "email inviate, sia preliminarmente alle attività che successivamente, hanno in calce sempre il link all'informativa e alle modalità di adesione ai diritti di cui all'art. 7 del Codice" (p. 3);

i. "l'unica cessione usata per una promozione del […] database relativo a tre regioni d'Italia (Emilia Romagna, Lombardia e Piemonte) è avvenuta con apposito contratto sottoscritto con la società Italia Consulenze & Formazione s.r.l." (p. 4 e all. 6).

3.3. In merito all'utilizzo delle liste per attività promozionali effettuate utilizzando i propri database per conto di soggetti terzi, NJL ha altresì dichiarato che "dal 1° gennaio 2015 ad oggi sono state inviate per i servizi detti circa 2.350.000 mail, verso una parte delle utenze italiane contenute nel nostro database" (verb. 11 novembre 2015, p. 2).

4.1. Alla luce degli elementi complessivamente acquisiti (e sopra sintetizzati), risulta che, quanto alle operazioni di trattamento effettuate da ICF (cfr. par. 2), detta società ha utilizzato, in qualità di titolare del trattamento, i dati personali (anche) del segnalante, tale dovendosi ritenere l'indirizzo di posta elettronica XX (cfr. in tal senso v. già, tra i più risalenti, provv.ti 25 giugno 2002, doc. web n. 29864; 24 giugno 2003, doc. web n. 1132562; 24 giugno 2003, doc. web n. 1140434).

Tale indirizzo è stato inizialmente registrato "nel database di ICF" dopo essere stato acquisito grazie al "collegamento" (link) in essere tra il profilo Linkedin del segnalante e quello individuale, distinto rispetto al profilo di ICF, del Safety and facility manager della società (cfr. nota ICF del 14 luglio 2015, p. 3 e all. 6 nel quale è riprodotto il profilo Linkedin del sig. KW contenente, oltre alle attuali qualifiche professionali presso ICF, quelle concernenti le trascorse esperienze lavorative). A seguito di tale registrazione, l'indirizzo in questione è stato utilizzato per l'inoltro della prima email promozionale del 16 gennaio 2015.

Seppure cancellato (in riscontro alla menzionata specifica istanza ex art. 7 del Codice con la quale il segnalante aveva manifestato anche la propria opposizione al trattamento per finalità promozionali), il medesimo indirizzo a seguito dell'acquisto delle liste da NJL (che pure contenevano l'indirizzo email del segnalante: cfr. nota ICF 14 luglio 2015, p. 3) è stato nuovamente utilizzato per l'invio delle ulteriori comunicazioni elettroniche dell'11 e 18 maggio nonché del 15 giugno 2015.

4.2. In entrambi i casi, il trattamento del dato personale del segnalante è avvenuto in modo illecito.

In nessuna delle occasioni sopra riferite risulta, infatti, comprovato che ICF abbia fornito allo stesso, come richiesto dall'art. 13, comma 4, del Codice, idonea informativa.

Non risulta, poi, che il segnalante abbia manifestato il proprio consenso ad ICF per l'invio delle menzionate comunicazioni promozionali, come richiesto dall'art. 130, commi 1 e 2, del Codice ed anzi la società ha inviato le ultime tre comunicazioni nonostante il segnalante si fosse opposto al trattamento del medesimo dato (il proprio indirizzo di posta elettronica), senza adottare le misure idonee ad evitare il reiterarsi del trattamento illecito.

Profilo, quest'ultimo, assorbente rispetto all'omessa verifica da parte di ICF che i soggetti in esso inseriti (e tra il questi il segnalante) avessero "validamente acconsentito alla comunicazione del proprio indirizzo di posta elettronica ed al […] successivo utilizzo ai fini di invio di materiale pubblicitario" (cfr. provvedimento generale, 29 maggio 2003, par. 5, doc. web n. 29840).

4.3. Per le ragioni sopra esposte, nel dare atto del seppur parziale riscontro da parte della società all'opposizione al trattamento manifestata dal segnalante, oltre che della determinazione, rappresentata nel corso dell'istruttoria, di aver spontaneamente sospeso l'utilizzo del database acquistato da NJL, alla luce dei "notevoli sospetti […] sulla legittimità" dello stesso a seguito delle numerose richieste di cancellazione pervenute e della richiesta di informazioni formulata dall'Ufficio, si deve:

a. vietare a ICF il trattamento ulteriore per finalità di marketing dei dati personali presenti nel database acquistato da NJL per i quali la società non sia in grado di documentare il rilascio di un'idonea informativa ai sensi dell'art. 13, comma 4, del Codice e l'acquisizione del consenso di cui all'art. 130, commi 1 e 2, del Codice, con obbligo di mera conservazione dei dati registrati ai soli fini di consentire l'attività di accertamento da parte della competente autorità e la tutela dei diritti degli interessati;

b. prescrivere a ICF di adottare le misure necessarie a garantire il rispetto del diritto di opposizione al trattamento per finalità di marketing manifestato dagli interessati ai sensi dell'art. 7, comma 4, lett. b) del Codice;

c. invitare ICF a dare comunicazione al Garante, ai sensi dell'art. 157 del Codice, dell'avvenuta cessazione del trattamento e delle misure adottate entro 60 giorni dal ricevimento del presente provvedimento.

L'Autorità si riserva di verificare, con autonomo procedimento, la sussistenza dei presupposti per contestare a ICF le violazioni amministrative concernenti l'omessa informativa (artt. 13, comma 4 e 161 del Codice) e l'assenza di consenso (artt. 130, commi 1 e 2 e 162, comma 2 bis del Codice).

5.1. Quanto al trattamento effettuato da NJL (cfr. par. 3), risulta che l'impresa individuale abbia raccolto nel proprio database dati personali, oggetto poi di cessione a ICF, senza essere in grado di dimostrare nel corso degli accertamenti di aver reso (nel caso di specie, al segnalante) l'informativa prescritta dall'art. 13, comma 1, del Codice (cfr. verb. 10 novembre 2015, p. 3).

Del pari, dagli elementi acquisiti neanche risulta comprovato ‒ come risulta da quanto riportato sopra al par. 3.1. lett. e) ‒ che NJL abbia acquisito il consenso degli interessati (e, tra questi, del segnalante) richiesto dall'art. 130, commi 1 e 2, del Codice, per lo svolgimento da parte della stessa di attività di marketing mediante invio di email nonché, ai sensi dell'art. 23 del Codice, per comunicare gli indirizzi di posta elettronica a terzi, nel caso di specie a ICF (cfr. al riguardo anche le Linee guida in materia di attività promozionale e contrasto allo spam del 4 luglio 2013, par. 2.6.3).

Al riguardo si rammenta che la comunicazione a ICF non avrebbe potuto, come invece ventilato da NJL, essere effettuata ai sensi dell'art. 24, comma 1, lett. i-ter), del Codice (introdotto con il d.l. 13 maggio 2011, n. 70, convertito poi dalla legge 12 luglio 2011, n. 106) senza il consenso dell'interessato; tale disposizione, che peraltro fa espressamente salvo quanto previsto dall'art. 130 del Codice, trova infatti applicazione rispetto ai soli trattamenti effettuati per finalità amministrativo-contabili e, pertanto, non è in grado di ricomprendere al proprio interno la diversa fattispecie in esame concernente il trattamento per finalità di marketing.

Né, ai fini della prova dell'avvenuta acquisizione del consenso, rileva la mera conservazione degli indirizzi IP degli utenti (cfr. verbale 10 novembre 2015, p. 3), circostanza insufficiente, in assenza di ulteriori elementi (non emersi nel corso delle verifiche), a comprovare l'effettiva manifestazione di una libera e specifica volontà da parte degli utenti al trattamento dei dati per finalità promozionali (in merito alle modalità di documentazione del consenso cfr. le Linee guida in materia di attività promozionale e contrasto allo spam del 4 luglio 2013, par. 2.6.4).

In via incidentale, si rammenta che anche il Gruppo art. 29 ha espressamente escluso che il mero accesso ad un sito web per fruire delle prestazioni offerte tramite lo stesso implichi che l'utente, per ciò solo, acconsenta al trattamento dei dati da parte del fornitore del servizio e di parti terze ai fini dell'invio di informazioni commerciali. Così, ad esempio, nel caso di siti web aventi ad oggetto il gioco on-line, si è ritenuto che "l'accesso e la partecipazione al gioco non possono essere equiparati alla manifestazione inequivocabile del consenso al trattamento delle informazioni personali per finalità diverse dalla partecipazione al gioco. Il fatto che l'interessato partecipi al gioco non implica che egli intende acconsentire al trattamento dei suoi dati al di là di quanto necessario ai fini del gioco. Questo tipo di comportamento non costituisce una manifestazione inequivocabile della volontà dell'interessato ad accettare l'utilizzo dei suoi dati per finalità commerciali" (cfr. Gruppo di lavoro Articolo 29 per la protezione dei dati, WP 187, Parere 15/2011 sulla definizione di consenso, adottato il 13 luglio 2011, punto III.A.2., p. 27).

Anche nel più risalente Parere 5/2004 relativo alle comunicazioni indesiderate a fini di commercializzazione diretta ai sensi dell'articolo 13 della direttiva 2002/58/CE, adottato il 27 febbraio 2004 WP 90, p. 6, il Gruppo art. 29 ha ritenuto che "[g]li elenchi che non siano stati creati conformemente al requisito del previo consenso non potranno in linea di principio essere utilizzati nell'ambito del regime del consenso esplicito, a meno che non siano stati adattati ai nuovi requisiti. È anche illegale vendere tali elenchi incompatibili a terzi. Le imprese che intendono acquisire elenchi di indirizzi di posta elettronica dovranno assicurarsi che tali elenchi siano conformi ai requisiti applicabili, in particolare che sia stato dato il previo consenso in conformità con tali requisiti".

5.2. Per le ragioni sopra esposte, si deve:

a. vietare a NJL l'ulteriore trattamento per finalità di marketing dei dati personali presenti nei propri database raccolti in assenza di un'idonea informativa ai sensi dell'art. 13 del Codice e senza aver acquisito il consenso di cui all'art. 130, commi 1 e 2, del Codice, con obbligo di mera conservazione dei dati registrati ai soli fini di consentire l'attività di accertamento da parte della competente autorità e la tutela dei diritti degli interessati, nonché la comunicazione degli stessi a terzi in violazione degli artt. 13 e 23 del Codice;

b. invitare NJL a dare comunicazione al Garante, ai sensi dell'art. 157 del Codice, dell'avvenuta cessazione del trattamento entro 60 giorni dal ricevimento del presente provvedimento.

L'Autorità si riserva di verificare, con autonomo procedimento, la sussistenza dei presupposti per contestare a NJL le violazioni amministrative concernenti l'omessa informativa (artt. 13, comma 1 e 161 del Codice) e l'assenza di consenso (artt. 23, 130, commi 1 e 2 nonché 162, comma 2 bis del Codice.

6. Va tenuto conto che, ai sensi dell'art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni e che in caso di inosservanza di provvedimenti di prescrizione di misure necessarie o di divieto, ai sensi dell'art. 162, comma 2 ter, del Codice, è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila a centottantamila euro.

7. Restano salvi gli esiti del procedimento avviato con verbale di contestazione di violazione amministrativa n. 100/2015 redatto nei confronti di NJL dal Nucleo Speciale Privacy in data 11 novembre 2015 con riferimento all'omessa informativa nei form di acquisto dei data base, di cui all'indirizzo http://www.mailnjl.it/upload/formaderenticontratti.html.

TUTTO CIÒ PREMESSO IL GARANTE

1. ai sensi degli artt. 143, comma 1, lett. b) e c) e 154, comma 1, lett. c) e d), del Codice, rilevato che i dati personali di cui è stato accertato l'illecito trattamento non possono essere ulteriormente utilizzati (art. 11, comma 2, del Codice), nei confronti di Italia Consulenze&Formazione s.r.l., con sede in Via Lodovico Scarampo n. 9, 20148 Milano:

a. vieta il trattamento ulteriore per finalità di marketing dei dati personali presenti nel database acquistato da NJL per i quali la società non sia in grado di documentare il rilascio di un'idonea informativa ai sensi dell'art. 13, comma 4, del Codice e l'acquisizione del consenso di cui all'art. 130, commi 1 e 2, del Codice, con obbligo di mera conservazione dei dati registrati ai soli fini di consentire l'attività di accertamento da parte della competente autorità e la tutela dei diritti degli interessati.

b. prescrive di adottare le misure necessarie a garantire il rispetto del diritto di opposizione al trattamento per finalità di marketing manifestato dagli interessati ai sensi dell'art. 7, comma 4, lett. b), del Codice;

2. ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d) del Codice, rilevato che i dati personali di cui è stato accertato l'illecito trattamento non possono essere ulteriormente utilizzati (art. 11, comma 2, del Codice), nei confronti di N.J.L.&Time di Nadia Bernasconi, con sede in via della Resistenza n. 42, 09040 Guasila (CA)

a. vieta l'ulteriore trattamento per finalità di marketing dei dati personali presenti nei propri database raccolti in assenza di un'idonea informativa ai sensi dell'art. 13 del Codice e senza avere acquisito il consenso di cui all'art. 130, commi 1 e 2, del Codice, con obbligo di mera conservazione dei dati registrati ai soli fini di consentire l'attività di accertamento da parte della competente autorità e la tutela dei diritti degli interessati e vieta altresì la comunicazione degli stessi a terzi in violazione degli artt. 13 e 23 del Codice;

3. ai sensi dell'art. 157 del Codice, invita altresì, entro 60 giorni dal ricevimento del presente provvedimento:

a. Italia Consulenze&Formazione s.r.l. a comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto vietato e prescritto nel presente provvedimento e di fornire comunque riscontro documentato. Si ricorda che il mancato riscontro alla richiesta ex art. 157 è punito con la sanzione amministrativa di cui all'art. 164 del Codice;

b. N.J.L.&Time di Nadia Bernasconi a comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto vietato nel presente provvedimento e di fornire comunque riscontro documentato. Si ricorda che il mancato riscontro alla richiesta ex art. 157 è punito con la sanzione amministrativa di cui all'art. 164 del Codice.

Ai sensi degli artt. 152 del Codice e 10, d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 11 febbraio 2016

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia