Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Comunicazioni promozionali indesiderate - 6 ottobre 2016 [5834805]

[doc. web n. 5834805]

Comunicazioni promozionali indesiderate - 6 ottobre 2016

Registro dei provvedimenti
n. 390 del 6 ottobre 2016

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTI il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito "Codice");

VISTE le "Linee guida in materia di attività promozionale e contrasto allo spam" del 4 luglio 2013, n. 330 (in www.garanteprivacy.it, doc. web n. 2542348) e già il provvedimento generale del 29 maggio 2003 in materia di spam (doc. web n. 29840);

VISTA la segnalazione di XY del 19 gennaio 2015, formulata ai sensi dell'art. 141, comma 1, lett. b), del Codice, e successivamente più volte  integrata in data 21 maggio 2015 nonché 3 febbraio, 15 marzo, 26 aprile, 1° giugno e 2 agosto 2016;

VISTI la richiesta di informazioni rivolta il 4 novembre 2015 a WST Europa s.r.l. (di seguito WST), con sede legale in via Archimede 224, Caronno Pertusella (VA) e il relativo riscontro della Società pervenuto all'Autorità il 27 aprile 2016;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del Regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Augusta Iannini;

PREMESSO

1.1. XY ha rappresentato, con una prima segnalazione del 19 gennaio 2015:

a. di aver ricevuto, in data 24 settembre 2014, all'indirizzo di posta elettronica XY@tin.it, una comunicazione a contenuto promozionale proveniente dall'indirizzo firestop@sicurezzanews.it recante, tra l'altro, le seguenti locuzioni:

i. «Spett.le *E-MAIL* ai sensi del decreto legislativo 30 giugno 2003 n. 196 [….] le richiediamo l'autorizzazione per inviarle informazioni commerciali in merito ai nostri prodotti per il pronto soccorso in azienda, cantiere e casa»;

ii. «Ci scusiamo anticipatamente se tale comunicazione ha provocato disturbo. Se non desidera più ricevere le nostre informative, può richiedere la cancellazione del suo indirizzo di posta elettronica cliccando qui»;

b. di aver provveduto, in data 25 settembre 2014, ad inviare una comunicazione all'indirizzo info@firestop.it esercitando i diritti di cui all'art. 7 del Codice, tra i quali anche l'opposizione al ricevimento di ulteriori comunicazioni a contenuto promozionale, ricevendo in pari data una e-mail di risposta da f.ceriani@scuolasicurezza.it, a firma del Responsabile sistemi informativi WST Europa s.r.l., con la quale si attestava la titolarità dei dati trattati in capo a detta Società, che i dati riferiti al segnalante erano stati acquisiti dal sito web KW, facente capo allo stesso, nonché si assicurava l'avvenuta cancellazione dell'indirizzo e-mail dai propri archivi;

c. ciononostante, di aver ricevuto all'indirizzo XY@tin.it, in data 5 aprile 2015, un'ulteriore e-mail indesiderata a contenuto promozionale (avente ad oggetto corsi a pagamento) da parte di firestop@sicurezzanews.it recante anch'essa, tra l'altro, la seguente locuzione:

i. «Spett.le *E-MAIL* ai sensi del decreto legislativo 30 giugno 2003 n. 196 [….] le richiediamo l'autorizzazione per inviarle informazioni commerciali in merito ai nostri prodotti per il pronto soccorso in azienda, cantiere e casa»;

ii. «Ci scusiamo anticipatamente se tale comunicazione ha provocato disturbo. Se non desidera più ricevere le nostre informative, può richiedere la cancellazione del suo indirizzo di posta elettronica cliccando qui».

1.2. Nella ricordata  segnalazione del 19 gennaio 2015 il segnalante ha altresì precisato che sul sito web KW è presente l'avvertimento recante il seguente contenuto: «Si prega di non utilizzare il numero telefonico fisso e mobile, il fax, gli indirizzi e-mail per l'invio di materiale pubblicitario. L'utilizzo improprio dei dati personali sarà segnalato alle autorità competenti».

1.3. Rispetto alla richiesta di informazioni formulata dall'Ufficio il 4 novembre 2015, WST, con comunicazione datata 9 novembre 2015 (ma recante timbro postale del 21 aprile 2016) e pervenuta all'Autorità il 27 aprile 2016, ha rappresentato, anche ai sensi dell'art. 168 del Codice, che:

a. l'indirizzo di posta elettronica in questione era stato ricavato dal sito web KW facente capo al segnalante;

b. con specifico riferimento all'indirizzo di posta elettronica del segnalante, «trattandosi di un'utenza aziendale e non personale, che effettua un'attività affine alla nostra, nello stesso settore professionale in cui operiamo (Sicurezza sul Lavoro), la nostra informativa riportava unicamente i riferimenti per il blocco di ulteriori comunicazioni, come richiesto dal d.lgs. 196/2003»;

c. riguardo all'ulteriore e-mail promozionale inviata all'indirizzo del segnalante, nonostante la precedente assicurazione fornita allo stesso con la nota del 25 settembre 2014 (concernente l'avvenuta cancellazione del suo indirizzo email), la società ha rappresentato al Garante che la comunicazione in questione sarebbe «partita per errore», che «non sono previsti ulteriori trattamenti di dati personali» e che la società avrebbe provveduto «ad effettuare le opportune indagini, al fine di evitare il ripetersi tali situazioni».

1.4. Con ulteriori distinte comunicazioni, pervenute ad istruttoria aperta, il segnalante ha lamentato, offrendone prova, l'ulteriore invio di e-mail a contenuto promozionale pervenutegli da WST:

a. il 5 e 26 gennaio 2016, dall'indirizzo clienti_wst@getresponse.com per conto di ScuolaSicurezza.it nonché il 19 gennaio 2016, dall'indirizzo wst_aggiunti_manualmente@getresponse.com per conto di ScuolaSicurezza.it (cfr. segnalazione del 3 febbraio 2016);

b. il 22 febbraio 2016, dall'indirizzo clienti_wst_caronno@getresponse.com (cfr. segnalazione del 15 marzo 2016);

c. il 21 e 25 marzo 2016, dall'indirizzo clienti_wst_caronno@getresponse.com (cfr. segnalazione del 26 aprile 2016);

d. il 27 aprile 2016, dall'indirizzo clienti_wst_caronno@getresponse.com e il 23 maggio 2016, dall'indirizzo db_eduplan_lom@getresponse.com, per conto di ScuolaSicurezza.it (cfr. segnalazione del 26 aprile 2016);

e. il 27 giugno e il 26 luglio 2016 (con due e-mail) dall'indirizzo db_eduplan_lom@getresponse.com, per conto di ScuolaSicurezza.it (cfr. segnalazione del 2 agosto 2016).

2.1. Tanto premesso, deve ritenersi che WST Europa S.r.l. ha trattato i dati personali del segnalante in violazione della disciplina di protezione dei dati personali.

Al riguardo deve in anteparte ritenersi che l'indirizzo di posta elettronica XY@tin.it sia un "dato personale", facente riferimento immediato alla persona fisica del segnalante, ai sensi dell'art. 4, comma 1, lett. b), del Codice (cfr. in tal senso v. già, tra i più risalenti, provv.ti 25 giugno 2002, doc. web n. 29864; 24 giugno 2003, doc. web n. 1132562; 24 giugno 2003, doc. web n. 1140434; fra i più recenti, provv.ti 11 febbraio 2016, n. 49, doc. web n. 4885578; provv. 10 marzo 2016, n. 110, doc. web. 4988238). Tale valutazione non può essere infirmata, come allegato dalla Società, dal fatto che detto indirizzo di posta elettronica sia utilizzato dal segnalante ‒ al di là dell'avvertimento formulato dallo stesso circa i limiti nell'impiego dello stesso, sopra ricordato al punto 1.1 ‒ anche nello svolgimento delle proprie attività professionali, ed in tale veste presente anche sul sito web KW.

A ciò si aggiunga che anche l'art. 130, commi 1 e 2, del Codice, appresta una tutela (nei termini che si preciseranno immediatamente) nei confronti del "contraente" o dell'"utente" (indipendentemente quindi dallo svolgimento di un'attività professionale o economica da parte dello stesso), quale deve comunque ritenersi il segnalante.

2.2. Ad integrare l'illiceità del trattamento dei dati personali in questione è, in primo luogo, l'assenza di prova circa la previa manifestazione di un consenso libero, specifico e informato del segnalante in relazione al reiterato invio di email a contenuto promozionale dei dati personali (peraltro proseguito anche nel corso dell'istruttoria, nonostante le rassicurazioni fornite dalla Società, sia al segnalante che all'Autorità), in violazione di quanto previsto dall'art. 130, commi 1 e 2, del Codice (cfr., tra i tanti, i provv.ti 13 maggio 2015, doc. web n. 4337465; 25 settembre 2014, doc. web 3457687; 9 gennaio 2014, doc. web 2904350, nonché i già citati provvedimenti dell'11 febbraio e del 10 marzo 2016), per quanto attiene alla necessità del previo consenso dell'interessato. Circostanza, quella relativa all'assenza del consenso del segnalante, che peraltro risulta inequivocamente anche dalle locuzioni che accompagnano le e-mail a contenuto promozionale (il cui testo è sopra riportato al punto 1.1).

Sotto diverso profilo, va aggiunto che anche la chiara volontà negativa rispetto all'utilizzo per finalità promozionali dei dati personali in questione si evince chiaramente dall'avviso reso pubblico dal segnalante sul proprio sito web (sopra riportato al punto 1.2).

2.3. Né è sufficiente avvisare i destinatari delle comunicazioni a contenuto promozionale della possibilità di opporsi a ulteriori invii, come risulta aver fatto la Società ‒ che peraltro non ha tenuto in conto alcuno dell'opzione in tal senso pur esercitata dal segnalante fin dal 25 settembre 2014 ‒, atteso che tale accorgimento può trovare applicazione solo nell'ipotesi prevista dall'art. 130, comma 4, del Codice, fattispecie che non si attaglia al caso di specie (non risultando in atti che il segnalante abbia acquistato prodotti o servizi della Società, né che quest'ultima gli abbia inviato e-mail promozionali aventi ad oggetto prodotti o servizi analoghi a quelli in precedenza forniti).

2.4. Infine, il requisito del consenso preventivo (oltre che, informato, libero e specifico) sussiste anche quando i dati personali (come, nella fattispecie, l'indirizzo di posta elettronica del segnalante) siano rinvenibili in internet, in quanto l'agevole reperibilità di tali dati non ne autorizza il trattamento per qualsiasi scopo, ma soltanto per le specifiche finalità sottese alla loro pubblicazione (come costantemente ribadito dal Garante a partire dal provvedimento 11 gennaio 2001, doc. web n. 40823 e, quindi, con il provvedimento generale sullo spamming del 29 maggio 2003, doc. web n. 29840; v. altresì Linee Guida spam, par. 2.5).

3. Il trattamento posto in essere è illecito, inoltre, anche in ragione della carenza dell'informativa da rendersi all'interessato ai sensi dell'art. 13 del Codice.

In particolare, la condotta della Società risulta difforme rispetto al disposto dell'art. 13, comma 4, del Codice, secondo il quale «se i dati personali non sono raccolti presso l'interessato, l'informativa di cui al comma 1, comprensiva delle categorie di dati trattati, è data al medesimo interessato all'atto della registrazione dei dati […]» e comunque carente rispetto agli elementi che la stessa avrebbe dovuto contenere ai sensi dell'art. 13, comma 1, del Codice, facendosi unicamente cenno nelle comunicazioni promozionali oggetto di segnalazione al diritto di opposizione degli interessati ‒ diritto di opposizione peraltro (ripetutamente) non rispettato nel caso di specie, con conseguente violazione dell'art. 7, comma 4, lett. b), del Codice ‒ ma non agli altri elementi previsti dall'art. 13 del Codice.

4. Pertanto, per le ragioni sopra esposte, nei confronti di WST si deve:

1. vietare l'ulteriore trattamento per finalità di marketing dei dati personali trattati in assenza di un'informativa idonea ai sensi dell'art. 13, commi 1 e 4, del Codice e di un consenso legittimamente manifestato ai sensi dell'art. 130, commi 1 e 2, del Codice, con riguardo sia al segnalante, sia ad altri soggetti i cui dati personali siano stati acquisiti con le modalità descritte nel presente provvedimento, con obbligo di mera conservazione dei dati in questione per l'attività di accertamento da parte della competente autorità e la tutela dei diritti degli interessati;

2. prescrivere altresì l'adozione delle opportune misure tecniche ed organizzative affinché venga assicurata la piena attuazione dei diritti degli interessati di cui agli artt. 7 ss. del Codice, con particolare riferimento al diritto di opposizione al trattamento per finalità di marketing di cui all'art. 7, comma 4, lett. b), del Codice.

5. L'Autorità si riserva di verificare, con autonomo procedimento, la sussistenza dei presupposti per contestare alla Società le violazioni amministrative concernenti i profili afferenti al mancato rilascio di un'inidonea informativa e alla mancata acquisizione del consenso per l'utilizzo dei dati per finalità di marketing (artt. 13, commi 1 e 4; 130, commi 1 e 2; nonché 161 e 162, comma 2 bis, del Codice).

Si ricorda che, ai sensi dell'articolo 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni e che, ai sensi dell'articolo 162, comma 2-ter del Codice, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila a centottantamila euro.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi degli artt. 143, comma 1, lett. b) e c), 144 e 154, comma 1, lett. c) e d), del Codice, rilevato che i dati personali oggetto di trattamento in violazione degli artt. 13, commi 1 e 4 e 130, commi 1 e 2, del Codice, non possono essere ulteriormente utilizzati (art. 11, comma 2, del Codice), nei confronti di WST Europa s.r.l.:

1. vieta l'ulteriore trattamento per finalità di marketing dei dati personali trattati in assenza di un'informativa idonea ai sensi dell'art. 13, commi 1 e 4, del Codice e di un consenso legittimamente manifestato ai sensi dell'art. 130, commi 1 e 2, del Codice, con riguardo sia al segnalante, sia ad altri soggetti i cui dati personali siano stati acquisiti mediante le modalità descritte nel presente provvedimento, con obbligo di mera conservazione dei dati in questione per l'attività di accertamento da parte della competente autorità e la tutela dei diritti degli interessati;

2. prescrive altresì l'adozione delle opportune misure tecniche ed organizzative affinché venga assicurata la piena attuazione dei diritti degli interessati di cui agli artt. 7 ss. del Codice, con particolare riferimento al diritto di opposizione al trattamento per finalità di marketing di cui all'art. 7, comma 4, lett. b), del Codice;

3. ai sensi dell'art. 157 del Codice, invita la Società, entro 30 giorni dal ricevimento del presente provvedimento, a comunicare quali iniziative siano state intraprese al fine di dare attuazione ai punti che precedono, con l'avvertenza che il mancato riscontro alla presente richiesta è punito con la sanzione amministrativa di cui all'art. 164 del Codice.

Ai sensi degli artt. 152 del Codice e 10, d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 6 ottobre 2016

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia