g-docweb-display Portlet

Provvedimento del 1° ottobre 2020 [9500438]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9500438]

Provvedimento del 1° ottobre 2020

Registro dei provvedimenti
n. 166 del 1° ottobre 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv.  Guido Scorza, componenti e il dott. Claudio Filippi, vice segretario generale;

VISTO il  Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il provvedimento in materia di propaganda elettorale e comunicazione politica adottato dal Garante in data 18 aprile 2019 e preso atto delle risultanze dell’attività di monitoraggio avviata dall’Ufficio;

VISTE le notizie di stampa e la segnalazione pervenuta all’Autorità relative all’iniziativa “XX” lanciata in occasione delle elezioni XX;

VISTE le notizie di stampa relative all’iniziativa “XX” lanciata in occasione delle consultazioni XX;

VISTA la nota del 7 giugno 2019 con la quale “XX” (di seguito “XX”), titolare del trattamento in relazione alle due predette iniziative, in risposta alla richiesta di informazioni dell’Autorità, ha rappresentato, con riferimento al XX “XX”, che i dati raccolti in occasione di tale iniziativa non sono stati ulteriormente utilizzati e sono stati eliminati dal data base ove erano conservati, compresi i file di back-up e di log;

VISTA la nota del 7 giugno 2019 con la quale XX, in risposta alla richiesta di informazioni dell’Autorità, con riferimento al XX “XX”, ha rappresentato che:

- l’iscrizione alla cd. social competition, è avvenuta: i) mediante un tradizionale sistema di registrazione online al sito web XX tramite credenziali ed indirizzo e-mail; ii) mediante il social log-in di Facebook, attraverso cui sono stati acquisiti i seguenti dati personali: nome, cognome, indirizzo e-mail e page-scoped ID (identificativo dell’utente che si connette);

- l’adesione al XX poteva avvenire solo attraverso un account Facebook (o, fin dall’inizio, mediante la predetta registrazione attraverso il social-log-in) o, in un secondo momento, collegando il profilo Facebook al sistema, dopo la registrazione diretta nel sito web);

- “XX”, l’applicazione di proprietà di XX attraverso cui sono stati acquisiti i predetti dati personali sarebbe stata “sottoposta in via preliminare alla approvazione del social media Facebook ed approvata dallo stesso secondo i suoi ultimi termini e condizioni di utilizzo”;

- nel profilo personale presente nell'area riservata del sito, ogni aderente al XX poteva gestire i propri dati personali, nonché eventualmente indicare il proprio account Twitter od Instagram per “accumulare punti validi ai fini della classifica, anche attraverso le azioni compiute in questi due social media (apposizione di “Like” o "Mi piace" ai post del profilo Instagram XX e "Mi piace" e retweet ai tweet del profilo Twitter XX)”;

- non sono stati raccolti dati relativi a soggetti terzi legati agli account degli aderenti (ad es. “amici” o “followers”);

- le finalità del trattamento dei dati raccolti sono state: i) partecipazione alla social competition (finalità principale); ii) invio di materiale informativo e propagandistico, vendita di gadget e pubblicazioni “attraverso l’invio di posta tradizionale, posta elettronica, sms, mms, piattaforme di messaggistica istantanea o attraverso contatti telefonici” (prima finalità secondaria); iii) elaborazioni di statistiche “per promuovere lo sviluppo e le attività del XX” (seconda finalità secondaria);

- le due finalità secondarie erano facoltative e subordinate all’espresso consenso dell’interessato;

- i dati sarebbero stati conservati per la prima delle due finalità secondarie fino al 31 maggio 2020;

- l’accesso ai dati raccolti sarebbe stato consentito solamente a soggetti terzi, nominati responsabili esterni, per attività di sviluppo software, marketing e comunicazione, sicurezza informatica e presidio delle infrastrutture;

- il consenso alla pubblicazione delle foto dei vincitori giornalieri e settimanali sui profili pubblici Facebook, Twitter e Instagram di XX dovrebbe  considerarsi implicito in quanto si tratta di uno dei premi della social competition;, inoltre, ai vincitori, direttamente contattati al momento della vittoria, sarebbe stato “esplicitamente chiesto se intendessero autorizzare la pubblicazione della propria foto sui canali social del XX…” con richiesta di fornire la foto stessa oggetto di pubblicazione;

- il titolare “non ha mai perseguito intenzionalmente” la diffusione dei dati dei partecipanti al XX al di fuori dell’Unione europea;

- con riferimento alla cancellazione: 1) in caso di scollegamento del profilo Facebook verrebbe cancellato dall’anagrafica dell’aderente il solo page-scoped ID; 2) in caso di dis-iscrizione dal XX i dati sarebbero conservati “per consentire un eventuale riferimento storico a posizioni di classifica precedenti per i partecipanti all’iniziativa” e successivamente cancellati, salvo che l’utente abbia prestato il proprio consenso per la prima delle due finalità secondarie del trattamento (invio di materiale informativo e propagandistico, vendita di gadget, pubblicazioni); 3) in caso di cancellazione dell’account, tutti i dati raccolti verrebbero cancellati;

VISTA la nota dell’Autorità del 30 ottobre 2019 (prot. n. 37219) con la quale, ai sensi dell’art. 166, comma 5, del Codice, è stato comunicato a XX, nella sua qualità di titolare del trattamento, l’avvio del procedimento per l’eventuale adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento e notificate le presunte violazioni di legge, individuate, nel caso di specie nella violazione:

- dell’art. 5, par. 1, lett. c), del Regolamento avendo il titolare raccolto una serie di dati (sesso, data di nascita, stato, comune e provincia di residenza) non pertinenti ed eccessivi rispetto alla finalità principale del trattamento rappresentata dalla partecipazione al XX, anche in relazione alla tipologia dei premi offerti (telefonata o diffusione di un’immagine sui canali social di XX;

- dell’art. 6, par. 1, lett. a), del Regolamento non avendo il titolare acquisito il consenso libero, specifico, informato ed inequivocabile degli interessati in relazione alla raccolta dei dati per finalità di elaborazione di statistiche per promuovere lo sviluppo e le attività del XX, non essendo previsto, contrariamente a quanto dichiarato, alcun campo per la manifestazione espressa del consenso per tale finalità;

- degli artt. 12 e 13 del Regolamento non avendo il titolare informato, in maniera trasparente e chiara, gli interessati in merito all’utilizzo dei dati raccolti per finalità di elaborazione di statistiche per promuovere lo sviluppo e le attività del XX, con particolare riferimento al concetto di “elaborazione di statistiche” ed all’individuazione del “XX”, soggetto non qualificato ed indefinito;

- degli artt. 12 e 13 del Regolamento non avendo il titolare informato, in maniera trasparente e chiara, gli interessati circa il periodo di conservazione dei dati raccolti, a seconda delle tre diverse finalità di trattamento perseguite, essendo stato genericamente riportato il termine ultimo del 31 maggio 2020;

VISTA la memoria del 28 novembre 2019 con cui XX ha dato riscontro alla predetta nota dell’Ufficio precisando quanto segue:

- con riferimento alla contestata violazione di cui all’art. 5, par. 1, lett. c), del Regolamento: i dati raccolti sarebbero da considerare pertinenti e non eccedenti in quanto “volti a scongiurare casi di omonimia ed a garantire le regole di partecipazione al XX” e sarebbero stati “conferiti volontariamente dagli interessati opportunamente informati delle finalità del trattamento”;

- con riferimento alla contestata violazione di cui all’art. 6, par. 1, lett. a), del Regolamento: di aver agito conformemente al provvedimento in materia di propaganda elettorale e comunicazione politica adottato dal Garante in data 18 aprile 2019 il quale “prescrive al punto 2) dello stesso l’acquisizione di un consenso specifico e distinto rispetto ad ulteriori finalità di trattamento, esemplificate dal detto provvedimento in finalità di marketing, profilazione, comunicazione a terzi per loro finalità promozionali o di profilazione” in quanto il trattamento di dati per finalità statistiche “richiede nativamente e strutturalmente, diversamente dai trattamenti di marketing e profilazione, una aggregazione ed anonimizzazione dei dati raccolti che prescindano dalla ricostruzione puntuale e dettagliata del profilo del singolo interessato” e non necessita pertanto di un separato e distinto consenso da parte dell’interessato;

- con riferimento alla contestata violazione di cui agli artt. 12 e 13 del Regolamento in relazione al concetto di “elaborazione di statistiche” ed all’individuazione del soggetto giuridico indicato come “XX”: le informazioni fornite agli aderenti al XX XX sarebbero chiare e trasparenti e la dicitura XX deve intendersi riferita a XX atteso i termini XX sono usati come sinonimi nel contesto giuridico di riferimento (legge n. 96/2012 e d.l. n. 149/2013);

- con riferimento alla contestata violazione di cui agli artt. 12 e 13 del Regolamento in relazione alla mancata indicazione, in maniera chiara e trasparente, del periodo di conservazione dei dati raccolti, a seconda delle tre diverse finalità di trattamento perseguite: il citato provvedimento del Garante in materia di propaganda elettorale non prescriveva tempistiche per la conservazione dei dati raccolti dalle formazioni politiche in occasione della campagna elettorale per le elezioni XX per cui “tenendo conto degli appuntamenti elettorali previsti per il 2020, nel corso del quale erano previste numerose scadenze elettorali (regionali, amministrative e, stante le contingenze politiche del tempo, probabilmente anche nazionali) XX ha optato per un tempo di conservazione breve (12 mesi) entro il quale i dati trattati per finalità statistiche e volontariamente conferirti dagli interessati, avrebbero potuto mantenere la propria genuinità ed autenticità. A ciò si aggiunga che la valutazione in chiave statistica dei dati raccolti, trattati come detto in chiave aggregata ed anonimizzata, sarebbero stati di ausilio per migliorare, promuovere e sviluppare le attività del XX e non peraltro per sollecitare i singoli interessati”;

RILEVATO che nelle informazioni rese, ai sensi dell’art. 13 del Regolamento, da XX agli aderenti al XX “XX” i dati oggetto di trattamento sono individuati in: nome, cognome, sesso, indirizzo di posta elettronica, Stato, comune e provincia di residenza, nonché, in via eventuale (“potranno”), i dati relativi a Facebook page-scooped ID, riferimento account Facebook, data di nascita, numero di cellulare, riferimento account Instagram, riferimento account Twitter;

CONSIDERATO che tali informazioni non fanno alcuna distinzione tra dati acquisiti automaticamente mediante il social log-in di Facebook, dati acquisiti mediante registrazione tradizionale e dati conferiti successivamente dall’utente,

CONSIDERATO che i dati relativi a sesso, data di nascita, stato, comune e provincia di residenza non possono essere ritenuti pertinenti rispetto all’esigenza di evitare casi di omonimia, atteso che, come riconosciuto nella stessa memoria della Parte, “in particolare il Facebook page-scooped ID dell’utente fungeva da meccanismo di autenticazione e certificazione dell’identità del soggetto partecipante all’iniziativa al fine dell’aggiudicazione dei riconoscimenti”;

CONSIDERATO altresì che i predetti dati sono eccessivi sia rispetto alla finalità di partecipazione al XX in relazione alla quale condizione necessaria e sufficiente era il possesso di un account Facebook, sia rispetto alla finalità di invio di materiale informativo e propagandistico, vendita di gadget e pubblicazioni in relazione alla quale, come si evince sia dall’informativa che dal check box del profilo, erano sufficienti l’indirizzo di posta elettronica e/o il numero di telefono dell’aderente;

RILEVATO che sussiste un contrasto tra quanto dichiarato da XX all’Autorità con nota in data 7 giugno 2019, laddove si legge che “Il XX “XX”, veicolat[o] dal sito XX (il sito XX veniva utilizzato in  realtà a supporto dell'iniziativa del XX), aveva nella "social competition" la finalità principale, ma ve ne erano altre secondarie come specificato dall'informativa disponibile sul sito web dell’iniziativa (allegato 2) cui l’interessato poteva in particolare aderire liberamente e volontariamente (allegato 3 – screenshot delle caselle di selezione)” e quanto asserito nella memoria difensiva del 28 novembre 2019 nella parte in cui si afferma che la necessità di ottenere il consenso degli aderenti per finalità statistiche è stato escluso da XX all’esito di una valutazione in cui “si è consapevolmente ritenuto di non richiedere un separato e distinto consenso per un trattamento che strutturalmente utilizza dati anonimi ed aggregati”;

RILEVATO che nelle informazioni rese, ai sensi dell’art. 13 del Regolamento, da XX agli aderenti al XX “XX” l’utilizzo dei dati per finalità di statistiche anonime è riferito solo ai dati di navigazione del sito web XX, mentre nessun cenno all’uso di dati anonimi ed aggregati emerge nella parte relativa alle finalità del trattamento, ove si menzionano non meglio precisate operazioni di “elaborazione di statistiche per promuovere lo sviluppo e le attività del XX”;

CONSIDERATO che i dati relativi a sesso, data di nascita, stato, comune e provincia di residenza, come detto eccessivi e non pertinenti rispetto alla finalità primaria di partecipazione al XX ed alla finalità secondaria di invio di materiale informativo e propagandistico, vendita di gadget e pubblicazioni, paiono invece funzionali allo svolgimento di analisi statistiche mirate in relazione a ciascuno di detti parametri (sesso, età, territorio di provenienza);

CONSIDERATO dunque che, in relazione a detti dati personali, gli aderenti non hanno ricevuto informazioni chiare e trasparenti circa l’uso che sarebbe stato fatto, né hanno potuto manifestare in proposito un consenso libero, specifico ed informato ai sensi dell’art. 4, par. 1, n. 11, del Regolamento;

RILEVATO che nelle informazioni rese, ai sensi dell’art. 13 del Regolamento, da XX agli aderenti al XX “XX” viene indicato un unico termine per la conservazione dei dati individuato nel 31 maggio 2020;

CONSIDERATO che l’obbligo di fornire all’interessato informazioni chiare e trasparenti circa il periodo di conservazione dei dati personali è posto a carico del titolare dall’art. 13, par. 2, lett. a) del Regolamento in relazione ad ogni specifica finalità del trattamento;

RILEVATO che nella memoria difensiva del 28 novembre 2019 XX ha specificato che la scelta di un tempo di conservazione di 12 mesi (invero, il periodo è maggiore se si considera che il regolamento del XX individua nel lasso temporale che va dal XX la durata della social competition) è stata determinata sulla scorta degli appuntamenti elettorali previsti per il 2020 e che tale tempo sarebbe stato quello “entro il quale i dati trattati per finalità statistiche e volontariamente conferiti dagli interessati, avrebbero potuto mantenere la propria genuinità ed autenticità”;

RILEVATO che quest’ultima affermazione è in contrasto con l’asserito trattamento in forma anonima dei dati raccolti per finalità statistiche, considerato che se fossero anonimi sarebbero sottratti alla disciplina del Regolamento e del Codice;

CONSIDERATO che la data del 31 maggio 2020 pare un termine proporzionato per la conservazione dei dati relativi all’indirizzo di posta elettronica ed al numero di cellulare per finalità di invio di materiale informativo e propagandistico, vendita di gadget e pubblicazioni;

CONSIDERATO che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”;

RILEVATA l’illiceità del trattamento con riferimento ai dati relativi a sesso, data di nascita, stato, comune e provincia di residenza raccolti mediante il XX “XX” per violazione degli artt. 5, par. 1, lett. c), 6, par. 1, lett. a) del Regolamento;

RILEVATA altresì l’illiceità del trattamento con riferimento alla mancanza di informazioni agli interessati trasparenti e chiare con riferimento alla finalità di elaborazione di statistiche per promuovere lo sviluppo e le attività del XX nonché con riferimento al periodo di conservazione dei dati raccolti, in relazione alle tre diverse finalità di trattamento perseguite, essendo stato genericamente riportato il termine ultimo del 31 maggio 2020;

PRESO ATTO, con riferimento al XX “XX”, che XX ha dichiarato, nel corso del procedimento, di aver provveduto ad eliminare i dati raccolti in occasione di tale iniziativa, compresi i file di back-up e di log e che pertanto, con riguardo ad esso, non si ritengono sussistenti i presupposti per l'adozione di provvedimenti in merito da parte dell'Autorità;

RITENUTO, con riferimento al XX “XX”, preso atto di quanto dichiarato da XX, di dover ordinare, ai sensi dell’art. 58, par. 2, lett. g), del Regolamento, alla stessa, nella sua qualità di titolare del trattamento, di dare conferma dell’avvenuta cancellazione di tutti dati personali raccolti con tale iniziativa al 31 maggio 2020;

CONSIDERATO, ai fini della valutazione della gravità della violazione, che:

- i dati personali oggetto di trattamento sono dati comuni;

- oltre alla segnalazione citata in premessa, non sono pervenuti all’Autorità ulteriori doglianze in merito ai fatti in esame;

- XX ha collaborato fattivamente con l’Autorità;

RITENUTO, pertanto, in relazione all’art. 83, par. 2, secondo periodo di dover ammonire XX, ai sensi dell’art. 58, par. 2, lett. b), del Regolamento. in merito alla necessità di osservare la normativa di riferimento in tema di protezione dei dati personali in occasione del trattamento di dati personali per finalità di propaganda elettorale e comunicazione politica;

RILEVATO che, in caso di inosservanza di quanto disposto dal Garante, può trovare applicazione la sanzione amministrativa di cui all’art. 83, par. 5, lett. e), del Regolamento;

RITENUTO che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal vice segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell’art. 57, par. 1 lett. f), del Regolamento, dichiara illecita la condotta tenuta dal XX come descritta nei termini di cui in motivazione, consistente nella violazione degli artt. 5, par. 1, lett. c), 6, par. 1, lett. a), 12 e 13 del Regolamento in relazione all’utilizzo dei dati personali degli aderenti al XX “XX”;

b) prende atto di quanto dichiarato dal titolare del trattamento con riguardo all'avvenuta eliminazione dei dati raccolti in occasione dell’iniziativa “XX” e ritiene pertanto che, con riguardo ad esso, non vi siano gli estremi per l'adozione di provvedimenti in merito da parte dell'Autorità;

c) ai sensi dell’art. 58, par. 2, lett. g), del Regolamento ordina al XX, nella sua qualità di titolare del trattamento di dare conferma dell’avvenuta cancellazione di tutti i dati personali degli aderenti al  XX “XX” al 31 maggio 2020;

d) ai sensi dell’art. 58, par. 2, lett. b), del Regolamento ammonisce XX, in merito alla necessità di osservare la normativa di riferimento in tema di protezione dei dati personali in occasione del trattamento di dati personali per finalità di propaganda elettorale e comunicazione politica.

Ai sensi dell’art.157 del Codice dispone che il XX comunichi all’Autorità, entro il termine di giorni 30 dalla notifica del presente provvedimento, l’avvenuto adempimento della prescrizione imposta e, al riguardo, si evidenzia che l’eventuale mancato riscontro alle richieste del Garante, formulate ai sensi dell’art. 157 del Codice, può comportare l’applicazione la sanzione amministrativa di cui all’art. 83, par. 5, lett. e), del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato, alternativamente, presso il tribunale del luogo ove risiede o ha sede il titolare del trattamento ovvero presso quello del luogo di residenza dell'interessato entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso ovvero di sessanta giorni, se il ricorrente risiede all’estero.

Roma, 1° ottobre  2020

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL VICE SEGRETARIO GENERALE
Filippi