VEDI ANCHE provvedimento del 30 gennaio 2025

[doc. web n. 10110018]

Provvedimento del 19 dicembre 2024

Registro dei provvedimenti
n. 823 del 19 dicembre 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. L’attività istruttoria effettuata dall’Autorità e i relativi esiti

In data 18 luglio 2023, è pervenuto all’Autorità un reclamo con il quale il signor XX ha lamentato di aver ricevuto al proprio indirizzo di posta elettronica numerose e-mail indesiderate da parte di Altroconsumo Edizioni S.r.l. (di seguito «Altroconsumo» e «Società»). In particolare, in base a quanto indicato in calce alle comunicazioni ricevute, la campagna promozionale risulterebbe essere stata commissionata da Altroconsumo e curata da soggetti terzi.

Le comunicazioni lamentate sarebbero proseguite nonostante i diversi tentativi di disiscrizione alle e-mail e anche a seguito delle assicurazioni fornite da Altroconsumo, l’8 maggio 2020, in risposta alla richiesta di opposizione all’ulteriore trattamento, nonché di cancellazione dei dati personali, formulata dall’interessato in data 16 marzo 2020. Nel riscontro dell’8 maggio 2020, Altroconsumo ha dichiarato di non essere il titolare del trattamento dei dati personali nell’ambito della comunicazione lamentata e di aver provveduto “a richiedere alla società, che ha effettuato il trattamento, la cancellazione dei […] dati” medesimi.

In data 18 ottobre 2023, perdurando la ricezione di e-mail indesiderate per conto della Società, il reclamante ha integrato l’originario reclamo, allegando copia delle ulteriori comunicazioni ricevute, e il 28 marzo 2024 ha prodotto le interlocuzioni intercorse con alcuni dei soggetti che avrebbero curato la campagna promozionale al fine di una ricognizione più completa sull’origine dei propri dati.

L’Autorità, nell’ambito dell’istruttoria preliminare volta a definire il reclamo in parola, ha formulato nei confronti di Altroconsumo una richiesta di informazioni, ai sensi dell’art. 157 del Codice (rif. prot. n. 0044296/24 del 9 aprile 2024). Nel riscontro del 9 maggio 2024, la Società ha ribadito di non ricoprire il ruolo di titolare del trattamento dei dati personali nell’ambito della campagna promozionale effettuata mediante il canale della e-mail. Ciò in quanto, per lo svolgimento di tale attività promozionale, Altroconsumo, per il tramite dei propri partner – responsabili del trattamento -, si avvale di un “network di affiliazione offerto da alcune società di advertising online”. Nello specifico, è stato chiarito che “l’attività di e-mail marketing effettuata attraverso il network di affiliazione, consiste nella promozione dei prodotti di Altroconsumo Edizioni (a titolo di mero esempio: abbonamento alle sue riviste, guide pratiche, gruppi di acquisto e così via) attraverso l’invio di e-mail pubblicitarie a liste di interessati la cui titolarità riposa in capo a società terze […] [definite Affiliati] con cui solo i partner hanno un contratto di servizi”.

La Società ha, quindi, rappresentato di commissionare la campagna promozionale ai propri partner, responsabili del trattamento, fornendo loro “tutte le informazioni commerciali e di prodotto” necessarie alla sua realizzazione; tali partner si impegnano a confezionare le informazioni commerciali, fornite da Altroconsumo, in un prodotto grafico finale che viene inviato agli Affiliati “affinché questi si occupino della materiale diffusione via mail alle liste di interessati da essi selezionati e trattati”.

In definitiva, nell’e-mail marketing, i partner svolgerebbero un’attività di intermediazione tra Altroconsumo e gli Affiliati; questi ultimi, in totale autonomia, stabiliscono “le modalità di raccolta dei dati personali, […] le modalità e la frequenza di invio [delle comunicazioni], senza che questi aspetti siano condivisi con Altroconsumo Edizioni o con i Partner. […] La titolarità dei dati personali sorge in capo ad Altroconsumo Edizioni solo nel momento in cui, in un’ottica di mera collaborazione e assistenza, la stessa viene coinvolta in una richiesta di esercizio dei diritti […]”.

La Società ha inoltre rappresentato di aver sottoscritto con i propri partner, responsabili del trattamento, dei “protocolli di qualità in relazione […] all’attività di e-mail marketing”. In particolare sono stati prodotti i protocolli sottoscritti con le società-partner XX e XX

“Tali protocolli di qualità – ha dichiarato la Società - impongono ai Partner di selezionare solo gli Affiliati che possono garantire affidabilità e qualità del servizio […], vigilare sul [loro] operato […] e fornire pronta assistenza ad Altroconsumo […] nel caso in cui un interessato si rivolga a lei per l’eventuale esercizio dei diritti […]”. Al riguardo, la Società ha precisato, in primo luogo, che le e-mail promozionali destinate agli interessati recano in calce “non solo le corrette informazioni sotto il profilo commerciale, ma anche tutti i riferimenti all’Affiliato titolare del trattamento dei dati personali, i contatti per esercitare i diritti […] nonché a disiscriversi dal mailing”; inoltre sono i partner a dialogare direttamente con gli Affiliati, in forza del citato rapporto contrattuale con gli stessi, e a chiedere loro “la cessazione dei trattamenti dei dati personali e [la] loro eliminazione”.

Con riguardo alle misure adottate per assicurare il diritto di opposizione dell’interessato, la Società ha rappresentato di aver ricevuto l’istanza del reclamante nel periodo della pandemia, precisamente il 16 marzo 2020, e di averla inoltrata al partner il successivo 18 marzo affinché quest’ultimo potesse segnalarla agli Affiliati per una sua completa evasione. In data 8 maggio 2020 Altroconsumo forniva riscontro al reclamante dichiarandosi estranea al trattamento dei dati per fini commerciali non essendone titolare.

A corredo del riscontro all’Autorità, Altroconsumo ha allegato la documentazione prodotta dai soggetti coinvolti nella campagna promozionale che comproverebbe il consenso alla comunicazione a terzi per scopi pubblicitari rilasciato dal reclamante.

Dall’analisi degli elementi fattuali e documentali forniti dalla Società nel riscontro del 9 maggio 2024, sono state rilevate le seguenti criticità.

1.1. Il ruolo delle parti nel trattamento e accountability del titolare

Avendo Altroconsumo in concreto determinato le finalità (promozionali) e le modalità del trattamento, esplicitate in “protocolli di qualità”, che i partner (nel ruolo di responsabili) avrebbero dovuto seguire per realizzare la campagna pubblicitaria, la Società stessa è stata qualificata, nell’ambito della presente istruttoria, titolare del trattamento dei dati personali (v. artt. 4, punto 7, e 24 del Regolamento). Gli Affiliati, invece, sono inquadrabili come “autonomi titolari” dal momento che la gestione del database - contenente le anagrafiche poi utilizzate per l’attività promozionale della Società/committente – unitamente alla raccolta dei dati e alla conservazione degli stessi, costituiscono operazioni di trattamento antecedenti alla campagna commerciale di Altroconsumo e, quindi, non direttamente connesse alla sua realizzazione.

In tale quadro, non è apparsa condivisibile l’estraneità invocata dalla Società rispetto al trattamento lamentato; ciò non soltanto perché le comunicazioni ricevute dal reclamante sono state effettuate in nome e nell’interesse di Altroconsumo (che, in concreto, ha determinato le finalità – promozionali - e le modalità stesse del trattamento) ma anche in ragione delle operazioni che, per il tramite dei partner, vengono effettuate dalla stessa sulle liste da contattare. Infatti, dall’analisi del “protocollo di reclutamento dei prospect” sottoscritto con il partner XX nel maggio 2020, è emerso che quest’ultimo, in qualità di responsabile del trattamento, è formalmente incaricato da Altroconsumo di selezionare gli Affiliati e di controllare il loro operato, compresa la verifica “che gli indirizzi e-mail degli interessati [destinatari della campagna pubblicitaria] rispettino […] criteri di serietà e attendibilità”; inoltre il partner è tenuto a inoltrare agli Affiliati una lista di anagrafiche, fornita da Altroconsumo, da escludere dai contatti promozionali; lista che è fatta oggetto di deduplica da parte degli Affiliati stessi. Infine è previsto che Altroconsumo “almeno una volta all’anno” esegua presso il responsabile XX controlli “sulla prova dei consensi al trattamento per finalità di marketing da parte di terzi”.

Alla luce di quanto sopra, è emerso un quadro di non adeguato controllo sulle liste utilizzate per l’iniziativa pubblicitaria di Altroconsumo dal momento che le attività di verifica in ordine all’affidabilità degli Affiliati e alla prova dei consensi rilasciati dagli interessati sono demandate interamente ai partner mentre alla Società residua la sola visione degli audit con cadenza annuale. Non sono emersi, di fatto, neppure controlli puntuali da parte del responsabile (partner) sull’operato degli Affiliati e sui connessi adempimenti dell’informativa e del consenso; tale negligenza può essere idonea a qualificare il trattamento in esame in violazione dei principi di liceità, corretta e trasparenza, di cui all’art. 5, par. 1, lett. a) del Regolamento.

Pertanto, considerata la qualifica di titolare in capo ad Altroconsumo, si rileva la mancata adozione, da parte della Società, di adeguate misure tecniche e organizzative volte a comprovare la conformità dei trattamenti alla normativa in materia di protezione dei dati personali, integrando la violazione degli artt. 5, par. 2, e 24 del Regolamento.

1.2. Esercizio dei diritti

La richiesta avanzata dal reclamante il 16 marzo 2020 è stata riscontrata dalla Società l’8 maggio 2020, quindi a distanza di due mesi dalla sua ricezione. Tale riscontro, pertanto, è risultato fornito in violazione del termine di trenta giorni previsto dall’art. 12, par. 3, del Regolamento, non rilevando, al riguardo, la mera segnalazione, pur tempestiva, dell’istanza al responsabile del trattamento (il 18 marzo 2020) ai fini di una sua evasione. Inoltre è emersa una gestione non adeguata delle istanze di esercizio dei diritti degli interessati, tanto da vanificare l’opposizione manifestata dal reclamante che, infatti, ha continuato a ricevere e-mail indesiderate per diversi anni.

Al riguardo, in via generale, si deve tener conto del fatto che “l’opposizione al trattamento presentata dall’interessato sarebbe vanificata [come difatti è avvenuto per il reclamante] in assenza di idonee procedure, poste in essere dal titolare del trattamento, volte a tenere traccia di tale opposizione (anche in caso di affidamento a terzi di parte del trattamento). […] È […] onere del titolare assicurare che i soggetti che hanno revocato il consenso, o hanno espresso uno specifico diniego, non siano più oggetto di attività promozionale per proprio conto” (v. provv. n. 143 del 9 luglio 2020, doc. web n. 9435753; e provv. n. 413 del 25 novembre 2021, doc. web n. 9737185, in www.gpdp.it).

Altroconsumo ha ribadito di non rivestire il ruolo di titolare nell’attività di e-mail marketing e, quindi, di non essere tenuta a riscontrare quanto richiesto dagli interessati. L’errata qualificazione di committente senza ruolo che Altroconsumo si è attribuita nel corso dell’istruttoria, unitamente alla mancata adozione di misure tecniche e organizzative idonee a recepire le richieste degli interessati, compresa la loro opposizione al trattamento, hanno comportato, quindi, la violazione degli artt. 5, par. 2, 12, parr. 1, 2 e 3, 21, par. 2, 24 e 25 del Regolamento.

1.3. Invio di comunicazioni promozionali in assenza di consenso

La ricezione di comunicazioni promozionali, peraltro anche a seguito dell’opposizione del reclamante, ha comportato un trattamento di dati personali in assenza di consenso, integrando, così, la violazione dell’art. 6, par. 1, lett. a) del Regolamento, nonché dell’art. 130, commi 1 e 2, del Codice.

2. Notifica delle presunte violazioni ai sensi dell’art. 166, comma 5, del Codice.

In base a quanto sopra evidenziato, l’Autorità ha ritenuto necessario, il 29 maggio 2024, contestare alla Società la presunta violazione delle seguenti disposizioni:

art. 5, par. 1, lett. a);

art. 5, par. 2;

art. 6, par. 1 lett. a);

art. 12, parr. 1, 2 e 3;

art. 21, par. 2;

art. 24;

art. 25;

e art. 130, commi 1 e 2, del Codice.

Con la medesima nota, che qui si intende integralmente richiamata, l’Autorità ha pertanto provveduto a comunicare l’avvio del procedimento per l’eventuale adozione dei provvedimenti di cui all’articolo 58, par. 2, del Regolamento e per l’eventuale applicazione delle sanzioni pecuniarie di cui all’art. 83, parr. 4 e 5, del Regolamento (nota rif. prot. n. 0065219/24 del 29 maggio 2024).

3. La difesa di Altroconsumo

Dopo una proroga di 15 giorni concessa in data 26 giugno 2024 ad Altroconsumo che ne ha fatto richiesta (rif. prot. n. 0078164/24), secondo quanto previsto dall’art. 166, comma 6, e dagli artt. 12 e 13 del regolamento n. 1/2019 del Garante (disponibile per la consultazione sul sito internet www.gpdp.it, doc. web n. 9107633), il 12 luglio 2024 la Società ha presentato una memoria difensiva con la quale - nel richiamare integralmente il contenuto del riscontro del 9 maggio 2024 alla richiesta di informazioni dell’Autorità in ordine alle “modalità con cui sono gestite le campagne di e-mail marketing volte all’acquisizione di nuovi abbonati”, nonché alla qualificazione dei ruoli nei “rapporti tra i diversi soggetti coinvolti” - ha evidenziato “alcuni elementi fattuali che appaiono rilevanti per la […] esposizione delle considerazioni difensive” e ha chiesto, in ragione di ciò, l’archiviazione del procedimento avviato a suo carico, ovvero, in via subordinata, la definizione dello stesso “senza l’irrogazione di alcuna sanzione pecuniaria”.

3.1. Con riferimento al punto 1.1. del presente provvedimento (Il ruolo delle parti nel trattamento e accountability del titolare), la Società ha preliminarmente ribadito che la scelta degli Affiliati è ad esclusivo appannaggio del partner; “nessun rapporto contrattuale viene quindi stabilito tra AC Edizioni e gli Affiliati attraverso [il] Partner, il quale agisce instaurando una autonoma relazione contrattuale con gli Affiliati senza ricevere alcuna autorizzazione o approvazione, preventiva o successiva. […] AC Edizioni si limita a richiedere ai Partner di avvalersi, ai fini dell’esecuzione dell’incarico ricevuto, di Affiliati che soddisfino determinati requisiti tecnici, qualitativi e di compliance; e ciò a tutela dell’immagine e della reputazione commerciale di AC Edizioni, considerato che le campagne promozionali erogate dagli Affiliati hanno ad oggetto prodotti e servizi di AC Edizioni e pertanto espongono l’immagine e i segni distintivi della società a un rischio di possibili danni”.

Altroconsumo ha altresì precisato che le campagne promozionali contestate dall’interessato fanno riferimento al periodo “che va da ottobre 2023 a marzo 2024”; “si tratta quindi di un periodo che si colloca molto dopo l’istanza del 16 marzo 2020 con cui il Reclamante esercitava il proprio diritto ex articolo 21 (2) del GDPR nei confronti di AC Edizioni e che veniva riscontrata da quest’ultima l’8 maggio 2020”. “[…] gli Affiliati coinvolti nell’erogazione delle campagne pubblicitarie nel periodo contestato” – ha affermato la Società – “appaiono essere XX (quest’ultima appare aver operato tramite i propri partner XX e XX) e XX”.

Tali Affiliati – ha continuato la Società – “assumono di aver inviato i messaggi all’indirizzo e-mail del Reclamante sulla base di autonomi consensi (alla ricezione di comunicazioni promozionali aventi oggetto prodotti e servizi di terzi) prestati successivamente all’opposizione” dal medesimo espressa “nel lontano 2020”. Ciò – ha evidenziato la Società - emergerebbe dalle interlocuzioni che il reclamante stesso avrebbe intrapreso con il partner XX che, nel suo riscontro, avrebbe indicato XX. come “titolare del trattamento” al quale l’interessato avrebbe prestato il proprio consenso per fini commerciali. Con riferimento, invece, a XX, quest’ultima “assume […] di aver ottenuto il consenso del Reclamante sul sito XX in data 02/07/2022 alle ore 13.28.”.

Pertanto, a detta della Società, l’interessato ha agito direttamente e “in modo indipendente” nei confronti degli Affiliati; tant’è che “il Reclamo è rivolto anche nei confronti di tali soggetti nella loro veste di titolari […]  e non di responsabili del trattamento per conto di AC Edizioni” la quale, in “tutti i messaggi promozionali inviati dagli Affiliati […] è stata correttamente individuata come mera committente”.

Sempre a detta della Società, ad Altroconsumo non può ricondursi la qualifica di titolare del trattamento non avendo la disponibilità dei dati utilizzati per la promozione dei propri prodotti e servizi e provvedendo a curare, per il tramite dei partner, esclusivamente l’aspetto grafico del messaggio commerciale. La campagna di marketing è “gestita in piena autonomia da un professionista terzo su un proprio database” (Affiliati). “Altroconsumo – ha continuato la Società – non ha alcun controllo sulle modalità di raccolta dei dati da parte degli Affiliati” che perseguono “proprie finalità commerciali […] in modo indipendente dall’inserzionista”. “Gli Affiliati – ha precisato ulteriormente la Società – autonomamente decidono di raccogliere i dati per proprie autonome finalità commerciali, e non su richiesta o indicazione dell’inserzionista. I dati non sono raccolti su richiesta di AC Edizioni né tantomeno sono raccolti allo scopo di veicolare le campagne marketing aventi ad oggetto i prodotti e servizi di AC Edizioni. […] Gli Affiliati stabiliscono in modo indipendente quali dati raccogliere, i siti internet e le altre modalità di raccolta […]. In conclusione, la mancata determinazione delle finalità e dei mezzi del trattamento da parte di AC Edizioni determina l’impossibilità di qualificare quest’ultima come titolare del trattamento ai sensi dell’articolo 4(1) (n.7)”.  

Inoltre, ad avviso della Società, “il tenore letterale [delle e-mail ricevute] [consente di] escludere qualsiasi possibilità di legittimo affidamento circa un preteso ruolo di AC Edizioni come titolare del trattamento” dal momento che tale qualificazione appare chiaramente attribuita a soggetti terzi (Affiliati), mentre la Società è indicata come committente del messaggio promozionale. “[…] In tale contesto – ha affermato Altroconsumo - non si può condividere il principio per cui il committente di una campagna di e-mail marketing andrebbe considerato come titolare del trattamento ancorché il messaggio pubblicitario identifichi in modo chiaro l’effettivo titolare del trattamento e quindi nessun legittimo affidamento può essersi generato nel destinatario della comunicazione circa il ruolo del committente. […] Proprio al fine di essere il più possibile trasparente verso gli utenti e di non ingenerare equivoci circa i ruoli, AC Edizioni ha preteso dai Partner che i messaggi promozionali indicassero anche il committente della campagna pubblicitaria, fatta salva la corretta e chiara individuazione del titolare del trattamento nell’Affiliato. Tutto ciò, però, non può trasformare AC Edizioni in un titolare del trattamento, con il risultato paradossale che se AC Edizioni avesse deciso di essere meno trasparente, omettendo di qualificarsi come committente, allora non sarebbe stata qualificabile come titolare del trattamento per non aver ingenerato un legittimo affidamento nel destinatario della comunicazione”.

Infine, la Società ha escluso un potere d’intervento sulle liste formate dagli Affiliati e ha precisato che l’attività di “deduplica”, prevista nel “protocollo di reclutamento dei prospect”, non contempla operazioni di incrocio di database e di accesso ai medesimi, ma consiste unicamente nell’inoltrare ai citati Affiliati le richieste di esercizio dei diritti indirizzate ad Altroconsumo al fine di una loro completa evasione. Ciò “in un’ottica di mera agevolazione del dialogo tra il consumatore e gli Affiliati al fine di una più efficace tutela del primo”. La “clausola del [citato] protocollo è male formulata non rispecchiando gli effettivi rapporti fra le parti. […] Allo stesso modo [il fatto che] AC Edizioni richieda che il Partner si avvalga solo di Affiliati in grado di soddisfare determinati requisiti qualitativi non mette AC Edizioni nella posizione di determinare le finalità e i mezzi del trattamento”; in particolare, la richiesta di utilizzare indirizzi e-mail “affidabili” costituisce, a detta della Società, un “requisito di natura tecnica e qualitativo che deve essere soddisfatto dagli Affiliati e che nulla ha a che vedere con i dati personali degli interessati. Anche in questo caso […] non si ravvede alcun potere di intervento sui dati da parte di AC Edizioni”.

3.2. Con riferimento al punto 1.2. del presente provvedimento (Esercizio dei diritti), la Società ha sostenuto di non poter essere ritenuta responsabile delle violazioni rilevate nell’atto di contestazione non avendo rivestito, nel trattamento in parola, il ruolo di titolare, come già rappresentato al precedente paragrafo. Quindi, a suo dire, non sarebbe stata tenuta a “dare riscontro entro un mese all’opposizione dell’interessato ex art. 21(2)” ma, allo stesso tempo, ha rappresentato di aver “assunto un atteggiamento proattivo per favorire l’esercizio dei diritti”, coinvolgendo il partner affinchè quest’ultimo si rivolgesse agli Affiliati per la soddisfazione delle istanze pervenute. Ciò si è verificato durante il periodo della pandemia in cui “sono stati sospesi, dal 23 febbraio 2020 al 15 aprile 2020, tutti i termini, ordinatori e perentori, dei procedimenti amministrativi (cfr. art. 103, comma 1, del decreto-legge 17 marzo 2020, n. 18, convertito con modificazioni dalla legge 24 aprile 2020, n. 27)”.
Ciò nonostante, Altroconsumo “si è attivata senza ritardo per chiedere, tramite il Partner, che i titolari del trattamento ottemperassero alla richiesta del Reclamante nei termini di legge”; infatti “a seguito della ricezione dell’istanza del Reclamante il 16 marzo 2020, la segnalazione al Partner è del 18 marzo 2020, con un conseguente lasso temporale di appena 48 ore in piena pandemia COVID”.

Nel richiamare un recente provvedimento dell’Autorità (provvedimento del 3 agosto 2023, n. 352, in www.gpdp.it, doc. web n. 9935519), Altroconsumo, rilevando delle analogie rispetto al caso di specie, ha sottolineato di aver agito, pur non rivestendo il ruolo di titolare del trattamento, “in modo diligente per segnalare la richiesta dell’interessato ai soggetti che erano nella posizione e avevano l’obbligo di darvi seguito”; il che avrebbe dovuto condurre ad una valutazione di archiviazione della sua posizione.

Inoltre, la Società ha rappresentato che le comunicazioni indesiderate lamentate dal reclamante “tra la fine del 2023 e l’inizio del 2024 appaiono […] come un caso […] isolato che trova la sua spiegazione negli specifici rapporti tra quest’ultimo e alcuni Affiliati e non come risultato fisiologico di un sistema farraginoso che non sarebbe in grado di assicurare il rispetto dei diritti degli interessati”, come invece rilevato dall’Autorità nell’atto di contestazione. Al riguardo, la Società ha precisato che le citate e-mail sono state inviate al reclamante sulla base di un suo espresso consenso “alla ricezione di comunicazioni marketing relative a prodotti e servizi di terzi” prestato agli Affiliati “su siti internet riconducibili a questi ultimi successivamente alla richiesta di opposizione presentata ad AC Edizioni a marzo 2020” (come nel caso del consenso rilasciato agli Affiliati XX. e XX, rispettivamente nelle date del 10 luglio 2023 e 2 luglio 2022).

3.3. Con riferimento al punto 1.3. del presente provvedimento (Invio di comunicazioni promozionali in assenza di consenso), la Società, nel rinviare alle argomentazioni di cui al precedente paragrafo, ha eccepito la ricostruzione fatta dall’Autorità in ordine alla ricezione di e-mail indesiderate a seguito del diniego opposto dal reclamante e, quindi, in assenza di un’espressa autorizzazione. Altroconsumo ha rappresentato che le citate e-mail promozionali sono state inviate “sulla base di nuovi consensi raccolti dopo il 2020, cioè dopo l’istanza presentata ad AC Edizioni”, come peraltro già comunicato all’interessato dal partner XX nel riscontro del 9 febbraio 2024 e del quale è stata fornita evidenza nell’atto di reclamo. Pertanto, secondo la Società, il quadro delineato dall’Autorità appare in contraddizione rispetto a quanto invece affermato dai titolari del trattamento (Affiliati) la cui condotta avrebbe necessitato di un approfondimento istruttorio.

4. Valutazioni di ordine giuridico dell’Autorità

Con riferimento ai profili fattuali sopra evidenziati, anche in base alle affermazioni della Società, di cui il dichiarante risponde ai sensi dell’art. 168 del Codice, si formulano le seguenti valutazioni di ordine giuridico.

4.1. Sulla titolarità del trattamento – accountability

La Società ha descritto la modalità di svolgimento delle campagne promozionali mediante il canale della e-mail, dichiarando di avvalersi, per la loro realizzazione, dei propri partner, nominati responsabili del trattamento, con i quali ha sottoscritto dei “protocolli di qualità”, allegandone copia. Tali partner, in base ai citati protocolli, si impegnano a selezionare sul mercato - secondo criteri “di affidabilità, professionalità e rispetto del GDPR” - i soggetti terzi (Affiliati) detentori di banche dati contenenti anagrafiche di interessati che, in occasione dell’iscrizione a siti internet o a concorsi a premi, avrebbero rilasciato il consenso alla comunicazione a terzi per finalità di marketing. Pertanto, secondo la Società, il titolare del trattamento è il soggetto che detiene i dati personali e, quindi, tale ruolo è riconducibile unicamente agli Affiliati che avrebbero provveduto alla materiale raccolta dei dati stessi. Ne consegue che Altroconsumo, non avendo “contezza o visibilità dei dati personali dell’e-mail marketing, che rimangono nella esclusiva disponibilità degli Affiliati”, non può essere qualificata come titolare del trattamento se non con riferimento alle istanze di esercizio dei diritti avanzate nei suoi confronti dagli interessati.

Al riguardo, si osserva che, come già affermato dal Garante in casi analoghi, “il committente di una campagna promozionale, indipendentemente dalla materiale apprensione dei dati, deve ritenersi titolare del trattamento avendo in concreto determinato le decisioni in ordine alle finalità e modalità del trattamento stesso” (v. provv. n. 437 del 26 ottobre 2017, doc. web n. 7320903; provv. n. 412 del 25 novembre 2021, doc. web n. 9736961; cit. provv. n. 413 del 25 novembre 2021, doc. web n. 9737185; in www.gpdp.it). È invece da considerarsi “responsabile” il soggetto che opera per conto del titolare, eseguendone le istruzioni anche con un certo grado di autonomia senza, tuttavia, poter esercitare alcuna facoltà in ordine alla scelta delle finalità del trattamento.

Nel caso di specie, in base agli elementi forniti, Altroconsumo è da ritenersi titolare avendo, in concreto, stabilito il motivo per cui è stato posto in essere il trattamento (la veicolazione dei messaggi pubblicitari dei propri prodotti e servizi), e avendo scelto i criteri dell’attività promozionale, formalizzati in “protocolli di qualità”, nonché il contenuto della comunicazione commerciale, confezionato poi dai partner in una veste grafica, con ciò definendo i mezzi essenziali del trattamento stesso (v. artt. 4, p. 7, e 24 del Regolamento). I partner, che avrebbero agito in via delegata per conto di Altroconsumo, sono inquadrabili come responsabili; mentre il ruolo rivestito dagli Affiliati è ascrivibile a quello di "autonomo titolare” relativamente alle operazioni di trattamento (raccolta e conservazione dei dati) effettuate in autonomia e in una fase precedente e del tutto indipendente dalla campagna promozionale pianificata dalla Società. In ragione di ciò, non appare imputabile agli Affiliati la responsabilità dei trattamenti in esame realizzati nell’interesse di Altroconsumo alla quale, dunque, in qualità di titolare, sono direttamente riconducibili le violazioni della normativa in materia di protezione dei dati personali.

Inoltre, si deve avere riguardo agli effetti prodotti sugli interessati dalla ricezione di comunicazioni promozionali. Nel caso specifico, sulla base di quanto rappresentato nel reclamo e dalle evidenze prodotte a corredo dello stesso, si è avuto l’invio di e-mail contenenti la promozione di servizi e prodotti di Altroconsumo indicata, in calce alle comunicazioni, come committente dell’iniziativa commerciale. Infatti, nei messaggi pubblicitari in parola, appare chiaro il ruolo rivestito da Altroconsumo rispetto ai soggetti terzi cui la Società stessa, per il tramite dei partner, si sarebbe affidata.

Anche se Altroconsumo avesse voluto rendere meno “trasparente” il messaggio pubblicitario, omettendo il suo ruolo di committente (come dichiarato nella memoria difensiva), il contenuto della comunicazione è risultato inequivocabilmente associato ad un’iniziativa promozionale della Società dal momento che sono stati reclamizzati i prodotti e i servizi della stessa.

Pertanto, una tale configurazione dei messaggi è evidentemente atta a ingenerare nel ricevente la convinzione di essere stato contattato da Altroconsumo Edizioni S.r.l. e, per tali ragioni, lo stesso reclamante si è rivolto in prima battuta alla Società, scrivendo all’indirizzo XX, sulla base di tale legittimo affidamento, escludendo quindi eventuali addebiti di responsabilità ad altri soggetti. Si deve richiamare, a tal proposito, quanto chiarito dal Garante con il provvedimento n. 230 del 15 giugno 2011 (in www.gpdp.it, doc. web n. 1821257) con specifico riguardo al fatto che “[…] i contatti a carattere promozionale sono effettuati in nome, comunque per conto e nell’interesse della società proponente; con l’effetto che negli interessati si ingenera un legittimo affidamento, dal momento che essi percepiscono di essere destinatari di iniziative pubblicitarie condotte direttamente dalla società per conto della quale viene formulata la proposta di vendita di prodotti o servizi”. Peraltro è la stessa Altroconsumo ad affermare nella memoria difensiva che “le campagne promozionali erogate dagli Affiliati hanno ad oggetto prodotti e servizi di AC Edizioni e pertanto espongono l’immagine e i segni distintivi della società a un rischio di possibili danni”. Del resto, se la realizzazione di una campagna promozionale può (auspicabilmente) apportare benefici in termini di incremento delle vendite, questa può anche comportare, se non correttamente eseguita, una lesione dei diritti delle persone nonché un danno proprio a quell’immagine aziendale che, invece, si voleva promuovere. Pertanto il committente di una campagna promozionale dovrebbe avere interesse a esercitare quelle attività di selezione e vigilanza proprie di chi opera come titolare del trattamento e che costituiscono per esso un obbligo (come previsto dall’art. 28 del Regolamento) ma allo stesso tempo anche una importante occasione di verificare la corretta esecuzione della commessa.

Alla luce di quanto sopra rappresentato, considerato il ruolo di titolare del trattamento in capo ad Altroconsumo, si ritiene sia emersa la mancata adozione, da parte della Società, di adeguate misure tecniche e organizzative disciplinate dall’art. 24 del Regolamento. In particolare, non risulta che Altroconsumo abbia esercitato un controllo puntuale e costante sui dati personali utilizzati, a suo nome e per suo conto, per la promozione dei propri prodotti. La selezione degli Affiliati, la verifica delle liste e della prova dei consensi rilasciati dagli interessati risultano essere attività interamente delegate al partner. Tali verifiche, limitate alla prova degli asseriti consensi, non sembrerebbero riguardare anche le informative rilasciate agli interessati, tant’è che tale inadempimento è idoneo ad inficiare la comprensione dei trattamenti concretamente effettuati e la corrispondenza con i consensi richiesti al fine di dare piena e coerente attuazione al principio della trasparenza che si pone quale fondamentale criterio di legittimità dell’attività promozionale (art. 5, par. 1, lett. a del Regolamento). Al riguardo, il Garante ha costantemente sottolineato che “E’ onere del titolare del trattamento avvalersi di responsabili che offrano sufficienti garanzie ma questo non basta a ridurre il grado di responsabilità in vigilando che il titolare deve costantemente esercitare nel corso delle attività di trattamento. E ciò è ancora più necessario quando l’attività comporti il coinvolgimento di soggetti terzi, in ragione della potenziale elusione delle norme di garanzia attraverso la ripartizione negoziale delle responsabilità” (v. cit. provv. n. 413 del 25 novembre 2021). Altroconsumo, su sua stessa ammissione, si limita a visionare “almeno una volta all’anno” gli audit redatti dal partner sui dati acquisiti dagli Affiliati senza verificare che tutte le fasi del trattamento dei dati personali avvengano in aderenza alle istruzioni impartite (culpa in vigilando). In aggiunta, si rappresenta che la previsione pattizia di clausole di manleva contenuta nel protocollo sottoscritto con il partner XX non è di alcun rilievo rispetto alle garanzie da prestare all’interessato nell’ambito del trattamento dei suoi dati personali ma ha valore solo con riguardo alla responsabilità contrattuale delle parti (v., sul punto, cit. provv. n. 413 del 25 novembre 2021).

Pertanto, la Società non ha comprovato di aver effettuato verifiche sui dati trattati, né quantificato le anagrafiche sulle quali il partner avrebbe svolto i controlli, né ancora indicato una percentuale di campionamento; peraltro, la verifica annuale da parte di Altroconsumo riservata ai soli audit del responsabile del trattamento non appare sufficiente a garantire un livello di tutela adeguato, riducendo il citato controllo quasi ad un mero formalismo. In altri termini, il trattamento dei dati personali effettuato dalla Società è risultato pienamente carente di presidi e di controlli in relazione all’intera filiera commerciale e gestionale (v., sul punto, anche provv. n. 204 dell’11 aprile 2024, doc. web n. 10008019, in www.gpdp.it).

Quanto sin qui descritto evidenzia, come già detto, un quadro di inadeguato controllo da parte di Altroconsumo nei trattamenti finalizzati alla realizzazione della campagna promozionale con conseguente incapacità di ottemperare all’obbligo di comprovare il rispetto delle norme in materia di protezione dei dati personali (accountability del titolare). Pertanto, si ritiene di confermare la violazione degli artt. 5, par. 2, e 24 del Regolamento.

4.2. Sull’esercizio dei diritti

Con riguardo al punto 3.2. del presente provvedimento e alla questione della contestata tardività del riscontro del titolare nel termine di trenta giorni, previsto dall’art. 12, par. 3, del Regolamento, rispetto alla quale si ritiene di poter tener conto dell’eccezione mossa dalla Società, si rappresenta che la risposta di Altroconsumo non è apparsa comunque idonea a soddisfare le richieste dell’interessato in ordine al trattamento dei suoi dati personali: a fronte della richiesta di accesso ai dati e di conoscere “quale sia la base del trattamento stesso” (v. istanza del 16 marzo 2020), Altroconsumo, con la citata comunicazione dell’8 maggio 2020, si è limitata a dichiarare la propria estraneità rispetto ai messaggi promozionali lamentati, affermando di non essere titolare del trattamento e attribuendo la responsabilità  della condotta, quindi, a una non meglio precisata società che avrebbe provveduto alla cancellazione dei dati medesimi (cit. “Abbiamo provveduto, tuttavia, a richiedere alla società, che ha effettuato il trattamento, la cancellazione dei suoi dati personali” – riscontro dell’8 maggio 2020).

Sarebbe spettato ad Altroconsumo, in qualità di titolare, dare seguito alle istanze degli interessati, dimostrando di esercitare il pieno controllo sui trattamenti realizzati nel suo interesse. Sotto questo profilo, le mere assicurazioni di Altroconsumo di comunicare la cancellazione dei dati al soggetto terzo che li avrebbe originariamente raccolti, così come rappresentato nel riscontro al reclamante dell’8 maggio 2020, non esaurisce gli obblighi del titolare di fornire agli interessati tutte le informazioni sul trattamento dei loro dati, dall’identificazione della società che avrebbe acquisito il consenso al marketing sino ai soggetti a cui i dati medesimi erano o sarebbero stati comunicati, nonché alle relative basi giuridiche di liceità (dandone documentata evidenza), oltre a garantire di aver adottato idonei accorgimenti per impedire ulteriori futuri trattamenti (ad esempio, mediante l’inserimento del nominativo in black list). Peraltro, in base alla previsione contenuta nell’art. 19 del Regolamento, oltre all’obbligo di notificare a soggetti terzi destinatari dei dati personali la richiesta di cancellazione avanzata dall’interessato, è onere del titolare comunicare a quest’ultimo “tali destinatari qualora [il medesimo] lo richieda”. Nel caso di specie, invece, la Società ha ritenuto di indirizzare la richiesta dell’interessato ai “soggetti [terzi] che erano nella posizione e avevano l’obbligo di darvi seguito” (v. memoria difensiva di Altroconsumo del 12 luglio 2024 pag. 19 punto 81). Pertanto, nell’impostazione di Altroconsumo, gli adempimenti informativi nei confronti degli interessati ricadrebbero sui citati soggetti terzi ai quali, in via del tutto eccezionale e per mero spirito di diligenza, la Società avrebbe indirizzato le relative richieste.

Infine, nel rinviare integralmente alle argomentazioni espresse al precedente punto (4.1.) in relazione al ruolo di titolare rivestito da Altroconsumo, non può considerarsi pertinente il richiamo al provvedimento del Garante del 3 agosto 2023, n. 352, in quanto nella fattispecie ivi esaminata viene in rilievo un diverso contesto di trattamenti riconducibili ad una molteplicità di committenti, non replicabile per il caso in questione. Con riguardo, invece, alla presunta carenza di accertamenti istruttori nei confronti degli Affiliati, eccepita dalla Società nella memoria difensiva, si deve osservare in primo luogo che l’Autorità, nell’esercizio dei compiti e dei poteri demandati dalla normativa in materia di trattamenti dei dati personali, impronta la propria azione ai principi di ragionevolezza, economicità, adeguatezza e imparzialità; ciò tenendo conto “della natura e della gravità degli illeciti […] del pregiudizio che essi possono comportare […] nonché delle risorse disponibili” (ai sensi dell’art. 3 del regolamento n. 1/2019 cit.). Rientra, pertanto, nell’esercizio del potere discrezionale la decisione di estendere la presente istruttoria ai numerosi soggetti (Affiliati) coinvolti, fermo restando che di tale attività l’Autorità non è tenuta a darne conto nel presente provvedimento. Ad ogni modo, un’eventuale autonoma responsabilità degli Affiliati, qualora risultasse accertata in relazione al ruolo ricoperto nel trattamento dei dati personali, non solleverebbe la Società dagli addebiti contestati con il procedimento in esame che, per le ragioni sopra esposte, si devono confermare.

Pertanto, si ritiene integrata la violazione degli artt. 5, par. 2, 12, parr. 1 e 2, 21, par. 2, 24 e 25 del Regolamento.

4.3. Sul consenso alla ricezione di comunicazioni promozionali

Con riguardo al profilo relativo all’assenza della base giuridica del consenso per l’invio di comunicazioni indesiderate di cui al punto 1.3. del presente provvedimento, si rappresenta preliminarmente che la condotta lamentata nel reclamo ha riguardato non soltanto le e-mail inviate dopo l’istanza di opposizione del reclamante del 16 marzo 2020, ma anche gli invii avvenuti precedentemente alla citata richiesta. Dall’analisi della documentazione in atti (v. e-mail allegate al reclamo del 18 luglio 2023 e alle integrazioni del 18 ottobre 2023 e 28 marzo 2024), è emerso, infatti, che l’interessato ha ricevuto due comunicazioni promozionali indesiderate commissionate da Altroconsumo l’8 aprile 2019 e il 9 marzo 2020 (come rappresentato nel reclamo) alle quali, anche all’esito di vani tentativi di disiscrizione, ne sono seguite altre nel periodo da luglio 2023 (e non ottobre 2023, come invece sostenuto dalla Società), sino a marzo 2024. Pertanto, l’interessato è stato destinatario di e-mail indesiderate già nel 2019, continuando a riceverne molte altre dopo cinque anni dalla prima comunicazione e a distanza di ben quattro anni dall’opposizione.  

Va inoltre osservato che il riscontro fornito all’Autorità ha riguardato unicamente i consensi asseritamente rilasciati dall’interessato successivamente all’opposizione del 16 marzo 2020, tali da giustificare gli ulteriori invii di comunicazioni indesiderate. Nulla è stato chiarito, né prodotto, in merito alle e-mail inviate precedentemente alla citata istanza di opposizione, in particolare nelle date dell’8 aprile 2019 e del 9 marzo 2020, ma, in relazione ad esse, la Società si è limitata a invocare un generico consenso al trattamento dei dati personali che l’interessato avrebbe fornito “all’interno di un sito web del fornitore del marketing indiretto” (v. e-mail del 12 maggio 2020 inviata da Altroconsumo al reclamante, allegata al riscontro all’Autorità del 9 maggio 2024), senza circostanziare l’avvenuta acquisizione (data e ora di registrazione al sito internet ed elementi identificativi del titolare; indirizzo IP; informativa resa; formule dei consensi richiesti e flag rilasciati in corrispondenza di essi). Ne consegue che, in assenza della documentazione comprovante l’acquisizione del consenso dell’interessato al trattamento dei suoi dati personali per finalità di marketing, tali comunicazioni non sono risultate supportate dalla necessaria base giuridica che ne autorizzasse l’invio.

Ciò doverosamente precisato, tenuto conto di un arco temporale più ampio rispetto a quello considerato dalla Società, da aprile 2019 a marzo 2024 sono risultate inviate e-mail pubblicitarie per conto di Altroconsumo da parte di diversi Affiliati coinvolti nell’erogazione delle campagne promozionali.

Con riferimento alle e-mail considerate dalla Società nell’odierno procedimento (ovvero quelle ricevute nel periodo da ottobre 2023 a marzo 2024), Altroconsumo ha rappresentato che l’invio di tali messaggi sarebbe stato giustificato dall’esistenza di autonomi consensi “(alla ricezione di comunicazioni promozionali aventi oggetto prodotti e servizi di terzi) prestati successivamente all’opposizione” dei quali ha prodotto evidenza soltanto a seguito dell’intervento dell’Autorità.

Da un’approfondita analisi della documentazione prodotta da Altroconsumo, sono state rilevate alcune criticità, di seguito riportate, in ordine agli asseriti consensi acquisiti, tali da inficiare la validità degli stessi.

4.3.1. Consensi acquisiti dall’Affiliato XX

Con riferimento all’Affiliato XX, dalla documentazione in atti, è emerso che il reclamante avrebbe fornito i dati personali in occasione della partecipazione al concorso a premi “Vinci l'iPhone 14 Pro Max oggi!” (di cui al link http://...) e, in tale circostanza, ne avrebbe autorizzato il trattamento per finalità di marketing e per la comunicazione a soggetti terzi per loro attività promozionali.  

Accedendo al link http://..., indicato nella documentazione prodotta ad Altroconsumo da XX, si rinvia al form on-line di partecipazione al citato concorso; in calce a tale form on-line è indicata la “data finale per partecipare” alla procedura concorsuale (31 dicembre 2024) e non invece la data in cui tale concorso a premi è stato bandito. Ciò non consente, quindi, di verificare se il citato sito internet e i testi dell’informativa e dei consensi prodotti in sede di riscontro fossero analoghi a quelli visualizzati dall’interessato al momento della raccolta on-line dei suoi dati personali; né è stato possibile per l’Ufficio visualizzare una versione del sito internet precedente o comunque adiacente alla data dell’asserita acquisizione del consenso (10 luglio 2023) dal momento che sul portale web.archive.org - che conserva le istantanee (snapshot) delle home page dei siti internet e della relativa strutturazione anche in epoca risalente – l’unica istantanea relativa al descritto concorso è risultata rinvenuta in data 9 febbraio 2024 e coincide con la versione prodotta dalla Società in sede di riscontro.

In assenza di una documentazione più puntuale e circostanziata, da una verifica del form on-line di partecipazione al concorso a premi, nella versione fornita dalla Società, si osserva che all’esito del conferimento dei dati da parte degli interessati, sono richieste diverse autorizzazioni nelle formulazioni che seguono:

consenso n. 1

consenso n. 2

consenso n. 3

Al riguardo, si deve osservare che i consensi sopra illustrati, benché facoltativi, non appaiono supportati dal requisito di specificità, come previsto dall’art. 4, p. 11, del Regolamento. Tali autorizzazioni, nelle formulazioni prospettate nel citato form on-line, mirano infatti ad accorpare, in un’unica soluzione, le distinte finalità di marketing del titolare e di comunicazione a terzi (c.d. “sponsor”) per loro attività promozionali che necessitano, invece, di due specifici consensi informati da parte degli interessati (ciò con particolare riguardo al “consenso n. 1” e al “consenso n. 2” riportati nella sopra prospettata figura). Gli “sponsor” sono elencati in una pagina dedicata alla quale si accede mediante apposito link; per ogni “sponsor” è riportata l’informativa privacy nella quale i medesimi sono indicati come titolari del trattamento. Pertanto, in assenza di una espressa qualificazione del ruolo degli “Sponsor” nel rapporto con XX, si può ritenere che il trattamento relativo al descritto concorso a premi comporti un passaggio di dati da un titolare-organizzatore della procedura concorsuale (XX) a un altro (“sponsor”).

Ciò precisato, con riferimento al “consenso n. 1” emerge il perseguimento della finalità promozionale sia da parte “dell’organizzatore” del concorso (che dovrebbe riferirsi all’Affiliato XX) sia degli “Sponsor” cui i dati raccolti potranno essere inoltrati; il “consenso n. 2”, invece, fa riferimento alle “finalità commerciali evidenziate nell’articolo 2 della Privacy Policy”, quali “marketing diretto” del titolare del concorso nonché la comunicazione a soggetti terzi (sponsor) affinché “anch’essi possano condurre un marketing diretto individuale […] attraverso i seguenti canali: e-mail, notifiche push, posta, telefono e messaggi di testo/sms […]”, assoggettando tali trattamenti sia al consenso degli interessati sia, erroneamente, alla base giuridica del contratto (di cui all’art. 6, par. 1, lett. b del Regolamento).

Relativamente alla comunicazione di dati a terzi per finalità di marketing, il Garante, nelle “Linee guida in materia di attività promozionale e contrasto allo spam” (provv. 4 luglio 2013, n. 330, doc. web n. 2542348), ha rilevato che “la comunicazione o cessione a terzi di dati personali per finalità di marketing non può fondarsi sull’acquisizione di un unico e generico consenso da parte degli interessati per siffatta finalità. Pertanto, chi, quale titolare del trattamento, intenda raccogliere i dati personali degli interessati anche per comunicarli (o cederli) a terzi per le loro finalità promozionali deve previamente rilasciare ai medesimi un’idonea informativa […]. Inoltre, occorre che il titolare acquisisca un consenso specifico per la comunicazione (e/o cessione) a terzi dei dati personali per fini promozionali, nonché distinto da quello richiesto dal medesimo titolare per svolgere esso stesso attività promozionale”.

Anche il “consenso n. 3” non risulta specifico poiché è teso a comunicare a soggetti terzi i dati raccolti mediante form on-line “per le finalità di cui all’articolo 1” dell’informativa che ricomprende sia la finalità contrattuale di partecipazione al concorso sia la profilazione. Infatti, in base a quanto rappresentato all’articolo 1 della citata informativa il cui link è riportato in calce al form on-line, i dati acquisiti per l’erogazione del servizio offerto (concorso a premi) potranno essere conservati “allo scopo di creare un profilo utente personale” per realizzare “un marketing ottimizzato in base agli interessi” espressi dall’interessato a conclusione della procedura di partecipazione all’estrazione a premi. Pertanto, anche in questo caso, la volontà dell’interessato appare notevolmente compromessa dal momento che la finalità “contrattuale” (partecipazione al concorso) risulta connessa a quella promozionale nonché di profilazione del titolare e dei soggetti terzi (sponsor) cui i dati saranno comunicati.

Alla luce di quanto sopra, dalla documentazione in atti, emerge che i citati consensi asseritamente acquisiti dal reclamante in occasione della sua partecipazione al descritto concorso a premi non possono considerarsi idonei in quanto non specifici, con inevitabili ricadute sulla legittimità dei trattamenti svolti dall’intera filiera; i dati testè acquisiti, proprio perché non supportati da un’idonea base giuridica, non sarebbero dovuti essere oggetto di trattamento per scopi commerciali, né, quindi, potevano essere utilizzati per lo svolgimento dell’attività promozionale di Altroconsumo, in aderenza alla previsione contenuta nell’art. 2-decies del Codice.

4.3.2. Consensi acquisiti dall’Affiliato XX

Con riferimento all’Affiliato XX, è emerso, in primo luogo, che la documentazione riportante i dettagli dei consensi asseritamente rilasciati dal reclamante non risulta idonea a certificare la volontà del medesimo al trattamento dei dati per scopi commerciali. Ciò in quanto tale documentazione non attiene a record direttamente estratti dai sistemi informatici aziendali dell’Affiliato ma consiste in una mera trasposizione in un formato editabile dei dati ivi contenuti. Nello specifico, Altroconsumo ha prodotto il riscontro che XX avrebbe fornito al reclamante in merito al trattamento dei suoi dati personali. Tale documentazione non può essere valutata sul piano probatorio in quanto non contiene le caratteristiche di oggettività, integrità e immodificabilità proprie di un “documento informatico”, essenziali per attestare pienamente l’espressione del consenso dell’interessato(1).  

Non sono state prodotte neppure le formule di richiesta del consenso e l’informativa resa all’interessato al momento della raccolta dei suoi dati personali, né, quindi, è stato possibile verificare se tali autorizzazioni rispettassero i requisiti di libertà e specificità (di cui all’art. 4, punto 11, del Regolamento), con inevitabili ricadute sulla legittimità anche dell’attività promozionale della Società stessa.

Si deve osservare, inoltre, che l’Ufficio, basandosi sulle informazioni riportate nel citato documento, ha effettuato l’accesso al sito internet https://... e all’informativa privacy, utilizzando i link ivi indicati. È emerso che tale sito internet, al quale l’interessato si sarebbe registrato conferendo i propri dati personali, non risulta riconducibile all’Affiliato XX, bensì a una società terza - XX - titolare del trattamento. Inoltre, in base all’informativa privacy rinvenibile nel form on-line (di cui al link https://...) i dati testè raccolti potranno essere comunicati alla società XX per proprie finalità promozionali (v. punto 5.3. della policy privacy “Comunicazione dei dati ad aziende terze”). Non si ravvisa alcun riferimento all’Affiliato XX, né a un suo ruolo nel trattamento, né ancora se tale Società sia destinataria dei dati conferiti dagli interessati mediante il sito internet  https://....

Nel caso di specie, peraltro, è da evidenziare che XX, nella comunicazione al reclamante del 23 aprile 2024, si è dichiarata titolare del trattamento, fornendo le informazioni sul consenso asseritamente acquisito e dimostrando, in tal modo, di essere in possesso dei dati dell’interessato. Dati che, quindi, sarebbero entrati nella disponibilità di XX tramite non meglio precisate modalità.

Alla luce di quanto sopra (con riferimento ai paragarafi 4.3.1.e 4.3.2), non potendo considerare adeguatamente documentati gli asseriti consensi rilasciati dall’interessato, si ritiene che le comunicazioni lamentate nel reclamo siano state inviate in assenza del necessario consenso e senza che la Società ne abbia verificato l’acquisizione. Si conferma, quindi, la violazione dell’art. 6, par. 1, lett. a) del Regolamento, nonché dell’art. 130, commi 1 e 2, del Codice.

5. Conclusioni

Per quanto sopra complessivamente esposto, si ritiene accertata la responsabilità di Altroconsumo in ordine alla violazione delle seguenti disposizioni:

artt. 5, par. 1, lett. a) e par. 2; 6, par. 1 lett. a); 12, parr. 1 e 2; 21, par. 2; 24 e 25;

art. 130, commi 1 e 2, del Codice.

Accertata l’illiceità delle sopra descritte condotte della Società, si rende necessario:

- ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, vietare ogni ulteriore trattamento con finalità promozionale e commerciale effettuato, per conto di Altroconsumo, da soggetti terzi mediante network di affiliazione senza verificare che le anagrafiche utilizzate per le comunicazioni pubblicitarie siano supportate da un consenso libero, specifico e informato degli interessati (artt. 6 e 7 del Regolamento e 130 del Codice);

- ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiungere alla Società, qualora intenda in futuro svolgere attività promozionale mediante network di affiliazione, di adottare idonee procedure volte a verificare costantemente, anche mediante adeguati controlli a campione, che i dati personali siano trattati nel pieno rispetto delle disposizioni in materia (acquisizione preventiva di un consenso libero, specifico, inequivocabile, documentato, oltre che informato, degli interessati per l’invio di comunicazioni commerciali) (artt. 6, 7 e 14 del Regolamento nonché 130 del Codice);

- ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiungere ad Altroconsumo di adottare misure tecniche e organizzative adeguate a facilitare l’esercizio dei diritti previsti dalla normativa in materia di protezione dei dati personali e di soddisfare, senza ingiustificato ritardo, le relative istanze, compreso il diritto di opposizione che può essere avanzato “in qualsiasi momento” dall’interessato (artt. 15, 17 e 21, par. 2, del Regolamento);

Infine, con riguardo ai trattamenti già realizzati e in considerazione delle violazioni sopra accertate, si ritiene sussistano i presupposti per l’applicazione di una sanzione amministrativa pecuniaria ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento.

6. Ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria

Le violazioni sopra indicate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Altroconsumo della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento (pagamento di una somma fino a euro 20.000.000,00 ovvero, per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore).

Per la determinazione dell’ammontare della sanzione, che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1), occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento.  

Quali circostanze aggravanti si ritiene di considerare:

1) la gravità delle violazioni rilevate riferite a condotte “di sistema” in quanto radicate nella procedura societaria, con particolare riferimento all’assenza di adeguate verifiche a campione in ordine ai consensi alla comunicazione a terzi per finalità di marketing (controlli svolti soltanto dopo l’intervento del Garante), nonché alla non adeguata gestione delle istanze degli interessati (art. 83, par. 2, lett. a del Regolamento);

2) la durata della violazione dal momento che l’invio di e-mail indesiderate, in assenza della base giuridica del consenso, è proseguito per diversi anni, nello specifico, dopo cinque anni dalla prima comunicazione e a distanza di quattro anni dall’opposizione del reclamante il quale, al fine di vedere cessata tale condotta, ha ritenuto necessario rivolgersi all’Autorità (art. 83, par. 2, lett. a del Regolamento);

3) il carattere negligente delle condotte posto che la presenza della Società nel mercato da molti anni avrebbe dovuto consentire alla medesima di acquisire un bagaglio sufficiente di esperienza e competenza per adottare scelte di fondo maggiormente aderenti al dettato normativo, anche in ragione del provvedimento sanzionatorio del quale Altroconsumo è stata destinataria nel 2022 (provv. n. 429 del 15 dicembre 2022, in www.gpdp.it, doc. web n. 9852290) (art. 83, par. 2, lett. b del Regolamento);

4) la complessiva valutazione sulla capacità economica di Altroconsumo, tenendo in considerazione l’ultimo fatturato societario disponibile (come risultante dal bilancio ordinario d’esercizio relativo all’anno 2023) (art. 83, par. 2, lett. k del Regolamento).

Quali elementi attenuanti, si ritiene di dover tener in conto:

1) delle categorie di dati personali oggetto violazione che ha riguardato solo dati anagrafici e gli indirizzi e-mail degli interessati (art. 83, par. 2, lett. g del Regolamento);

2) della cooperazione con questa Autorità di controllo nell’ambito dell’istruttoria preliminare e del conseguente procedimento (art. 83, par. 2, lett. f del Regolamento);

3) della circostanza che, nel precedente provvedimento sanzionatorio adottato dal Garante (provv. n. 429 del 15 dicembre 2022), Altroconsumo ha definito la controversia con il pagamento in misura ridotta, il che determina, ai sensi dell’art. 8-bis, comma 5, della legge n. 681/1989, la non applicabilità dell’aggravante di cui all’art. 58, par. 2, lett. e del Regolamento.

In base al complesso degli elementi sopra indicati, in applicazione dei richiamati principi di effettività, proporzionalità e dissuasività di cui all’art. 83, par. 1, del Regolamento, tenuto conto, altresì, del necessario bilanciamento fra diritti degli interessati e libertà di impresa, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società, si ritiene debba applicarsi a Altroconsumo la sanzione amministrativa del pagamento di una somma di euro 60.000,00 (sessantamila/00), pari a circa lo 0,3% della sanzione edittale massima.

Nel caso in argomento, si ritiene che debba applicarsi, altresì, la sanzione accessoria della pubblicazione nel sito internet del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e dall’art. 16 del Regolamento del Garante n. 1/2019.

In attuazione dei principi di cui all’art. 83 del Regolamento, l’irrogazione di tale sanzione accessoria appare proporzionata in ragione della gravità e del particolare disvalore della condotta oggetto di censura con specifico riferimento alla carenza di una procedura di verifica delle liste utilizzate da terzi per l’attività promozionale di prodotti e servizi di Altroconsumo. In aggiunta a ciò, la mancata adozione di interventi successivi mirati a rendere tutte le fasi del trattamento conformi alla normativa (dalla raccolta dei dati alla realizzazione di campagne promozionali) unitamente alla non adeguata gestione delle istanze di esercizio dei diritti degli interessati, denotano una colpevole e perdurante insensibilità al tema della protezione dei dati personali.

Si ricorda che ai sensi dell’art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto del trattamento è punito con la reclusione da tre mesi a due anni e che, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e) del Regolamento.

Ricorrono, infine, i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.

TUTTO CIÒ PREMESSO, IL GARANTE

a) ai sensi dell’art. 57, par. 1, lett. f) del Regolamento, dichiara illecito, nei termini di cui in motivazione, il trattamento effettuato da parte della società Altroconsumo Edizioni S.r.l., con sede in Milano, Via Valassina 22, P.IVA n. 12581280158;

b) ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, vieta ogni ulteriore trattamento con finalità promozionale e commerciale effettuato, per conto di Altroconsumo, da soggetti terzi mediante network di affiliazione senza verificare che le anagrafiche utilizzate per le comunicazioni pubblicitarie siano supportate da un consenso libero, specifico e informato degli interessati (artt. 6 e 7 del Regolamento e 130 del Codice);

c) ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiunge a Altroconsumo Edizioni S.r.l., qualora intenda in futuro svolgere attività promozionale mediante network di affiliazione, di adottare idonee procedure volte a verificare costantemente, anche mediante adeguati controlli a campione, che i dati personali siano trattati nel pieno rispetto delle disposizioni in materia (acquisizione preventiva di un consenso libero, specifico, inequivocabile, documentato, oltre che informato, degli interessati per l’invio di comunicazioni commerciali) (artt. 6, 7 e 14 del Regolamento nonché 130 del Codice);

d) ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiunge ad Altroconsumo di adottare misure tecniche e organizzative adeguate a facilitare l’esercizio dei diritti previsti dalla normativa in materia di protezione dei dati personali e di soddisfare, senza ingiustificato ritardo, le relative istanze, compreso il diritto di opposizione che può essere avanzato “in qualsiasi momento” dall’interessato (artt. 15, 17 e 21, par. 2, del Regolamento);

e) ai sensi dell’art. 157 del Codice, ingiunge alla Società di comunicare all’Autorità, nel termine di 30 giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alle misure imposte; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento, a Altroconsumo Edizioni S.r.l., in persona del suo legale rappresentante, di pagare la somma di euro 60.000,00 (sessantamila/00), pari a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 60.000,00 (sessantamila/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981;

DISPONE

a) ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero della presente ordinanza ingiunzione sul sito internet del Garante;

b) ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate;

c) la pubblicazione del presente provvedimento ai sensi degli artt. 154-bis del Codice e 37 del citato Regolamento n. 1/2019.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma,19 dicembre 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL VICE SEGRETARIO GENERALE
Filippi

______

1) Si richiamano le disposizioni, applicabili anche al settore privato, contenute nel Codice dell'Amministrazione Digitale (CAD-dLgs 82/2005) come integrate dalle “Linee guida sulla formazione, gestione e conservazione dei documenti informatici” adottate dall’Agid nel maggio 2021 (https://www.agid.gov.it/sites/agid/files/2024-05/linee_guida_sul_documento_informatico.pdf) in base alle quali “le caratteristiche di immodificabilità e di integrità sono determinate da una o più delle seguenti operazioni”, tra cui la “registrazione nei log di sistema dell’esito dell’operazione di formazione del documento informatico, compresa l’applicazione di misure per la protezione dell’integrità delle basi di dati e per la produzione e conservazione dei log di sistema; [nonché] produzione di una estrazione statica dei dati e il trasferimento della stessa nel sistema di conservazione” (v. punto 2.1.1. delle citate Linee guida – “Formazione del documento informatico”).