Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Trattamento di dati personali per finalità di marketing - 15 giugno 2017 [6629169]

VEDI ANCHE Newsletter del 24 luglio 2017

 

[doc. web n. 6629169]

Trattamento di dati personali per finalità di marketing - 15 giugno 2017

Registro dei provvedimenti
n. 268 del 15 giugno 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito "Codice");

VISTE le segnalazioni dei signori XX e XX;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del Regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Augusta Iannini;

PREMESSO

1.1. Con segnalazione del 7 marzo 2017 XX lamentava, per il tramite dell'Ordine dei medici e odontoiatri della Provincia di Padova, di essere stato destinatario di una chiamata promozionale indesiderata da parte di "Idea Sorriso" sulla propria utenza mobile avente ad oggetto la proposta di una visita odontoiatrica gratuita per sé o per un familiare.

1.2. Analogamente, con segnalazione del 17 marzo 2017 (integrata con l'allegazione della registrazione di due telefonate precedentemente ricevute, in data 6 ed 8 marzo 2017), anche XX lamentava un contatto telefonico indesiderato per finalità promozionali avvenuto in data 6 marzo 2017 sulla propria utenza mobile da parte della Clinica odontoiatrica "Idea Sorriso" di Padova nel corso del quale chiedeva all'operatrice telefonica informazioni circa l'origine dei dati a sé riferiti. In risposta gli veniva rappresentato che il suo numero avrebbe potuto essere stato acquisito in ragione dell'attivazione, da parte sua, di una carta fedeltà o a seguito della registrazione dei suoi dati personali a qualche sito web (cfr. registrazioni del 6 e 8 marzo 2017).

2. Al fine di verificare i fatti oggetto delle segnalazioni e, più in generale, l'osservanza delle disposizioni in materia di protezione dei dati personali con riguardo all'effettuazione dell'attività di telemarketing, l'Ufficio ha effettuato verifiche ai sensi degli artt. 157 e 158 del Codice dapprima presso Idea Sorriso s.r.l. (di seguito "Idea Sorriso"), in data 10, 11 e 12 aprile 2017; quindi, il 16 e 17 maggio 2017, presso Mingardi Medical Center s.r.l. (di seguito "MMC").

3. Nel corso degli accertamenti è stato rappresentato che Idea Sorriso, proprietaria dell'omonimo marchio e il cui oggetto sociale consiste nell'attività di marketing nel settore sanitario (in particolare con riguardo a servizi odontoiatrici), svolge tale attività esclusivamente nell'interesse di MMC, condividendone la sede in Padova, in virtù di un apposito contratto di servizio stipulato tra le parti (cfr. verbale 10.4.2017, all. 1).

MMC svolge invece attività di gestione amministrativa dei servizi odontoiatrici effettuati da propri studi professionali (inizialmente quelli dislocati su tutto il territorio nazionale e quindi, a far data dal gennaio 2017, nel solo Veneto) (cfr. verbale del 16.5.2017).

Nel corso delle verifiche in loco il legale rappresentante di Idea Sorriso ha dichiarato che «per quanto riguarda i rapporti tra le due società sotto il profilo dei ruoli privacy, allo stato, tali ruoli non sono stati regolati in alcun modo» (cfr. verbale 12.4.2017, p. 3) e, conseguentemente, non è stato in grado di produrre alcuna pertinente documentazione (salvo consegnare, in tempi successivi, documentazione non coerente con le dichiarazioni inizialmente rese: cfr. punto 4.3).

Per quanto rileva ai fini del presente provvedimento, l'attività promozionale è stata svolta da Idea Sorriso sia attraverso i dati personali acquisiti mediante il sito web della Società (punti 4.1 ss.), sia (in particolare in relazione ai fatti oggetto di segnalazione) mediante attività di telemarketing (punti 5.1 ss.).

4.1. Dalle informazioni inizialmente rese in sede di verifica è emerso che, quanto al trattamento dei dati personali utilizzati nello svolgimento della propria attività, Idea Sorriso si avvale di un apposito sito internet (www.ideasorriso.it) nel quale gli interessati, compilando distinte maschere (form) mettono a disposizione propri dati personali (nome e/o cognome, indirizzo e-mail e numero di telefono), se del caso integrati, in un apposito campo, da messaggi di testo per:

a. essere ricontattati al fine di fissare un appuntamento per la visita odontoiatrica richiesta (fornendo gli elementi informativi di cui allo script acquisito in atti: cfr. all. 2 al verbale 12.4.2017);

b. l'invio di newsletter (cfr. verbale 10.4.2017, p. 4).

4.2. Quanto al consenso al trattamento manifestato dagli interessati tramite il sito web, è stato dichiarato che «l'utente […] deve cliccare sulla casella "acconsento al trattamento dei miei dati personali". Nel caso in cui l'utente non spunti la casella del consenso la richiesta di informazioni non viene inoltrata alla società» (verbale 11.4.2017, p. 3).

Tuttavia, a fronte di tale dichiarazione, nel corso delle verifiche entrambi i box destinati a accogliere la manifestazione del consenso da parte degli utenti sono risultati preselezionati (v. verbale 11.4.2017, p. 3 e all. 2).

4.3. Nel medesimo sito web è altresì presente l'informativa resa ai sensi dell'art. 13 del Codice dalla quale emerge che la titolarità del trattamento è in capo a Idea Sorriso, indicata altresì quale soggetto cui inviare le richieste degli interessati concernenti l'esercizio dei diritti di cui all'art. 7 del Codice (cfr. verbale 11.4.2017, all. 2).

Tuttavia, in contraddizione rispetto a tale evidenza, in tempi successivi all'esecuzione delle verifiche è stata prodotta documentazione ‒ non risultata presente nel sito web nel corso delle stesse e recante l'intestazione congiunta a MMC ed Idea Sorriso  ‒ dalla quale consta che per l'esercizio dei diritti di cui all'art. 7 del Codice «l'interessato potrà inviare la propria richiesta a MMC, anche tramite mail all'indirizzo amministrazione@mingardigroup.it […]» (cfr. comunicazioni del 3 e 19 maggio 2017, con particolare riferimento ai doc. 1-3).

5.1. Venendo all'attività di telemarketing, è stato inizialmente dichiarato, senza fornire ulteriore documentazione, che Idea Sorriso (al di là di una campagna sms la cui effettuazione è stata rimessa ad altra società) avrebbe svolto un'unica attività di natura promozionale nel periodo gennaio-marzo 2017 su un campione di numerazioni residenziali tratte da elenchi telefonici pubblici, in particolare «dal sito internet www.paginebianche.it» (cfr. verbale 10.4.2017, p. 4).

Rispetto a tale campagna non è stata fornita alcuna prova dell'attività di verifica dell'eventuale iscrizione delle numerazioni così ricavate nel Registro pubblico delle opposizioni secondo le modalità indicate dall'art. 5, d.P.R. 7 settembre 2010, n. 178 (come previsto dall'art. 130, comma 3-bis, del Codice).

5.2. In presenza di tali dichiarazioni, solo a seguito delle ulteriori verifiche effettuate mediante accesso ai sistemi informativi di Idea Sorriso da parte del personale dell'Autorità è stato possibile appurare la presenza di una risorsa della rete locale denominata "Ideasorriserver" ove sono stati rinvenuti numerosi file contenenti (oltre alle numerazioni necessarie per gestire gli appuntamenti richiesti anche) le utenze telefoniche fisse e mobili utilizzate per l'attività di telemarketing. A seguito di tale rinvenimento, le dichiarazioni precedentemente rese per conto della Società sono state modificate, riconoscendo che alcuni file contenenti liste di numerazioni telefoniche sia fisse che mobili relative a circa un milione di utenti, arricchite da informazioni sulla fascia di età degli stessi e suddivise per città/provincia, erano stati consegnati, sulla base di accordi contrattuali, a Idea Sorriso su supporti USB dalla succursale di XX di XX ‒ che ne avrebbe assicurato la legittima raccolta (cfr. verbale 11.4.2017, p. 5) ‒ e che tali numerazioni erano state utilizzate da Idea Sorriso per effettuare, nel periodo gennaio-marzo 2017, chiamate promozionali (poi sospese: cfr. verbale 11.4.2017, p. 5; verbale 12.4.2017, p. 2).

Dall'esame della menzionata documentazione contrattuale risulta che Idea Sorriso, in qualità di titolare del trattamento, era espressamente tenuta ad effettuare la verifica circa l'utilizzabilità delle numerazioni acquisite, con particolare riferimento al controllo preventivo dell'eventuale iscrizione delle stesse nel Registro pubblico delle opposizioni (cfr. verbale 12.4.2017, all. 5).

Anche in relazione a tali numerazioni Idea Sorriso non è stata in grado di fornire alcuna prova circa l'effettuazione delle necessarie verifiche tramite il Registro pubblico delle opposizioni, essendosi la Società limitata a dar credito a quanto asserito dal fornitore delle liste in merito alla circostanza che si trattasse di liste autorizzate, né dell'eventuale acquisizione del consenso informato degli interessati cui si riferiscono le numerazioni telefoniche per l'effettuazione di attività di telemarketing (cfr. verbale 11.4.2017, p. 5; v. pure verbale 17.5.2017, p. 3).

5.3. Dall'analisi dei file di cui è stata acquisita evidenza nel corso degli accertamenti (in particolare sia di quelli contenuti nei dispositivi USB che di quelli presenti nel server "Ideasorriserver") è stata riscontrata la presenza dell'utenza telefonica riferibile a XX; la numerazione riferibile a XX è risultata invece presente nel solo server.

5.4. Inoltre, con riguardo all'effettuazione delle lamentate chiamate a contenuto promozionale,  in base a quanto dichiarato:

a. la numerazione chiamante oggetto della segnalazione di XX, pur essendo formalmente intestata a Idea Sorriso, riguarda un'utenza in uso esclusivo al personale di MMC (cfr. verbale 12.4.2017, p. 2);

b. per la campagna promozionale svolta sulla base delle liste acquisite da XX è stata utilizzata da Idea Sorriso, per ragioni legate a problemi di funzionalità delle linee telefoniche facenti capo a quest'ultima, anche una linea di MMC (cfr. verbale del 12.4.2017, p. 2).

6.1. A seguito di ulteriori verifiche in loco effettuate presso MMC, accedendo ai sistemi informativi di detta Società tra i server visibili sulla rete locale è stato rinvenuto un server anch'esso denominato "IDEASORRISERVER", cui è stato possibile accedere senza necessità di inserimento di ulteriori credenziali di autenticazione, contenente anche una cartella recante elenchi di numerazioni telefoniche associate ad anagrafiche (cfr. verbale 17.5.2017 e all. A e B al medesimo). Ad un confronto con gli elenchi di numerazioni ed anagrafiche acquisiti nel corso delle verifiche presso Idea Sorriso (v. sopra punto 5.2), è risultata una sostanziale coincidenza dei dati ivi presenti, anche con riguardo alle utenze intestate ai due segnalanti. Tale circostanza ha trovato conferma nelle dichiarazioni rese nel corso dell'attività ispettiva dal legale rappresentante di MMC in base alle quali «l'accesso al server IDEASORRISERVER, normalmente utilizzato da Idea Sorriso s.r.l., è consentito anche agli incaricati della Mingardi Medical Center s.r.l. per una politica aziendale di condivisione dei dati tra le due società. Tale server è stato utilizzato anche per conservare dati personali (numerazioni ed anagrafiche) utilizzati anche per le campagne di telemarketing» (cfr. verbale 17.5.2017, p. 2).

6.2. È stato altresì dichiarato che «in base ad un protocollo interno condiviso tra Mingardi Medical Center s.r.l. e Idea Sorriso s.r.l. sono previste riunioni semestrali di strategia marketing […]» (cfr. verbale 17.5.2017, p. 2) e che, sulla base di quanto riferito dal legale rappresentante della MMC (che riveste anche la carica di amministratore unico di Idea Sorriso), esiste un coordinamento tra le società (nella forma di riunioni periodiche) anche in relazione «alla scelta di effettuare […] campagne di telemarketing nei confronti di utenti i cui numeri di telefonia fissa e mobile sono stati presi da elenchi pubblici, in particolare pagine bianche e dalle chiavette fornite dalla società XX» (cfr. verbale 17.5.2017, p. 3).

7.1. Alla luce degli elementi complessivamente acquisiti nel corso degli accertamenti effettuati presso Idea Sorriso e MMC ‒ non senza contraddizioni tra le dichiarazioni rese e gli elementi di fatto riscontrati (cfr. punti 4.2, 4.3 e 5.2), oltre che con disallineamenti rispetto alla produzione documentale conseguente alle verifiche (cfr. punto 4.3) ‒ deve ritenersi che, sotto più profili, il trattamento dei dati personali per le menzionate finalità di marketing, effettuato da Idea Sorriso e MMC in modo promiscuo e senza alcuna compartimentazione tra le Società (cfr. punti 6.1 e 6.2), sia stato realizzato nell'inosservanza delle disposizioni contenute nella disciplina di protezione dei dati personali.

7.2. A questo proposito, deve infatti rilevarsi, in prima battuta, che, con riguardo ai trattamenti di dati personali effettuati per finalità di marketing,  deve ritenersi che le due Società abbiano operato come co-titolari del trattamento ai sensi dell'art. 4, comma 1, lett. f), del Codice. In tal senso depongono una pluralità di indici, ed in particolare le circostanze accertate nel corso delle verifiche e sopra menzionate secondo cui:

a. le decisioni concernenti il trattamento dei dati trattati utilizzati nelle varie campagne di marketing sono adottate congiuntamente dalle Società (aventi peraltro identico amministratore) (punto 6.2);

b. entrambe le Società sono risultate avere accesso, mediante la rete locale, ai medesimi dati personali (originariamente raccolti da Idea Sorriso e quindi) utilizzati per l'effettuazione dell'attività di marketing  (cfr. punti 6.1 e 5.2);

c.le risorse tecno-organizzative di entrambe le società (che peraltro condividono la medesima sede) sono state utilizzate in modo  promiscuo per lo svolgimento dell'attività di telemarketing (punto 5.4).

8. Con riguardo ai trattamenti effettuati per finalità di telemarketing, le Società, operando in qualità di co-titolari, hanno trattato illecitamente i dati raccolti atteso che, come dichiarato, gli stessi ‒ per quanti tra essi provenissero da elenchi telefonici pubblici, circostanza peraltro solo allegata nel corso degli accertamenti ‒ non hanno né formato oggetto di verifica presso il Registro pubblico dei trattamenti (ai sensi degli artt. 130, commi 3-bis, del Codice e  5, d.P.R. n. 178/2010), né è risultata comprovata l'esistenza di alcuna altra base giuridica per il loro utilizzo per la menzionata finalità (artt. 23, 24 e 130, comma 3, del Codice).

9.1. Quanto ai trattamenti di dati personali effettuati mediante il sito web www.ideasorriso.it, da un lato devono ravvisarsi profili di illiceità in relazione all'informativa fornita ai sensi dell'art. 13 del Codice, da ritenersi inidonea in quanto ‒ al di là delle incongruità con la documentazione prodotta dalla Società secondo la quale i diritti di cui all'art. 7 del Codice andrebbero esercitati nei confronti di MMC (cfr. punto 4.3) ‒, nessun riferimento si rinviene all'ambito di circolazione (segnatamente la trasmissione nei confronti di MMS) dei dati raccolti mediante il predetto sito web.

9.2. D'altro canto, egualmente illecita è la previsione di un unico consenso oltre che generico, preselezionato per il trattamento dei dati che vengono inseriti dagli utenti rispetto a tutte le finalità richiamate nell'informativa. In particolare, mentre viene richiesto un consenso ultroneo (stante il disposto dell'art. 24, comma 1, lett. b), del Codice) per il perseguimento delle finalità strettamente connesse all'erogazione del servizio, manca invece la possibilità di manifestare  liberamente il consenso per le finalità di invio di newsletter a contenuto promozionale (pure richiamate nella menzionata informativa) (cfr. punto 4.2) ‒ che peraltro non consta siano state effettivamente inviate ‒, come invece richiesto dall'art. 23, comma 3, del Codice (in merito v., tra i tanti, provv.ti 9 ottobre 2014, n. 447, doc. web n. 3568046; 20 novembre 2014, n. 532, doc. web n. 3657934; 18 novembre 2015, n. 605, doc. web n. 4487559).

10.1. Deve inoltre rilevarsi, con riguardo ai fatti oggetto di segnalazione da parte di XX (e segnatamente alla richiesta presentata dallo stesso circa l'origine dei dati a sé riferiti), l'inidoneità del riscontro fornito  dall'operatrice telefonica in due distinte occasioni, con l'indicazione di informazioni non solo vaghe circa l'origine dei dati allo stesso riferite, ma pure non veritiere (v. punto 1.2), in difformità da quanto previsto dalla disciplina di protezione dei dati personali.

10.2. Considerato che, ai sensi dell'art. 8, comma 1, del Codice, i diritti di cui all'art. 7 del Codice possono essere esercitati «con richiesta rivolta senza formalità al titolare o al responsabile, anche per il tramite di un incaricato […]», deve infatti ritenersi in violazione della disciplina di protezione dei dati, ed in particolare del principio di correttezza nel trattamento (art. 11, comma 1, lett. a), del Codice), fornire all'interessato informazioni non veritiere che non permettano allo stesso di conoscere l'origine dei dati che lo riguardano (e quindi consentirgli, tra l'altro, l'esercizio ulteriore dei poteri di controllo connessi all'esercizio del diritto di accesso nei confronti di chi abbia originariamente ceduto i dati).

10.3. In questa prospettiva deve essere prescritta l'adozione delle misure tecno-organizzative idonee ad assicurare la piena e tempestiva attuazione dei diritti degli interessati di cui agli artt. 7 ss. del Codice da parte dei propri incaricati.

11.1. Per le ragioni sopra illustrate (punti 8, 9.1 e 9.2), i dati personali raccolti e trattati con le modalità sopra descritte non possono quindi, ai sensi dell'art. 11, comma 2, del Codice, essere ulteriormente utilizzati per finalità promozionali e se ne deve vietare ad entrambe le Società il trattamento ulteriore.

11.2. Deve altresì essere prescritta:

a. l'adozione delle misure tecnologiche affinché gli utenti del sito www.ideasorriso.it vengano messi in condizione di manifestare liberamente (senza ricorrere ad opzioni preselezionate) il proprio consenso informato al trattamento dei dati personali per finalità di marketing;

b. la riformulazione del modello di informativa presente sul sito web www.ideasorriso.it, con la chiara indicazione dell'ambito di circolazione dei dati nonché del rapporto di co-titolarità dei trattamenti e del soggetto cui indirizzare le istanze volte ad esercitare i diritti di cui all'art. 7 del Codice.

12.1. Con autonomo procedimento l'Autorità si riserva altresì di contestare nei confronti di Idea Sorriso e di MMC, quali co-titolari del trattamento dei dati asseritamente acquisiti per il tramite di www.paginebianche.it e www.ideasorriso.it, sia per quelli acquistati da XX ed utilizzati per finalità di telemarketing ed utilizzati le violazioni amministrative concernenti gli artt. 13, 23 e 130, commi 3 e 3-bis (artt. 161, 162, comma 2-bis, e 2-quater, 167, comma 1, del Codice), considerato altresì quanto disposto dall'art. 164-bis del Codice.

13. Si ricorda che, ai sensi dell'art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni; in ogni caso, è altresì applicata in sede amministrativa la sanzione del pagamento di una somma da trentamila a centottantamila euro ai sensi dell'art. 162, comma 2-ter del Codice

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi degli artt. 143, comma 1, lett. b) e c), 144 e 154, comma 1, lett. c) e d), del Codice, rilevato che i dati personali di cui è stato accertato l'illecito trattamento non possono essere ulteriormente utilizzati da Idea Sorriso s.r.l. e Mingardi Medical Center s.r.l. per finalità promozionali (art. 11, comma 2, del Codice) e nei loro confronti:

1. vieta l'ulteriore trattamento per finalità di marketing dei dati personali riferiti alle utenze telefoniche degli interessati, e tra questi quelli riferiti ai segnalanti (punto 11.1);

2. prescrive altresì:

a.  l'adozione delle misure tecno-organizzative affinché venga assicurata la piena e tempestiva attuazione dei diritti degli interessati di cui agli artt. 7 ss. del Codice (punto 10.3);

b. l'adozione delle misure tecnologiche affinché gli utenti del sito www.ideasorriso.it vengano messi in condizione di manifestare liberamente il proprio consenso informato al trattamento dei dati personali per finalità di marketing (punto 11.2);

c. la riformulazione del modello di informativa presente sul sito web www.ideasorriso.it, con la chiara indicazione dell'ambito di circolazione dei dati nonché del rapporto di co-titolarità dei trattamenti e del soggetto cui indirizzare le istanze volte ad esercitare i diritti di cui all'art. 7 del Codice (punto 11.2).

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 15 giugno 2017

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia