g-docweb-display Portlet

Biglietti on line: il consenso all'uso dei dati non deve mai essere condizionato - 5 marzo 2009 [1615731]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 1615731]

Biglietti on line: il consenso all´uso dei dati non deve mai essere condizionato - 5 marzo 2009

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Daniele De Paoli, segretario generale reggente;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito "Codice");

VISTA la nota del 15 gennaio 2008, con la quale, a seguito di una prima richiesta di informazioni formulata dall´Autorità in relazione ad una specifica segnalazione pervenuta all´Ufficio, TicketOne S.p.A. ha fatto pervenire proprie deduzioni in ordine ai trattamenti di dati personali effettuati nell´ambito del servizio di biglietteria messo a disposizione attraverso il sito www.ticketone.it;

VISTO il successivo accertamento ispettivo effettuato dal Nucleo speciale funzione pubblica e privacy della Guardia di finanza in data 13 novembre 2008 presso la sede legale di TicketOne S.p.A. (e il relativo verbale di operazioni compiute), volto a dare esecuzione alla richiesta di informazioni ex art. 157 del Codice, datata 8 ottobre 2008;

RILEVATO che dalle informazioni fornite nella predetta nota del 15 gennaio 2008 (punto 3.1), dagli elementi emersi nel corso del predetto accertamento ispettivo, nonché dagli ulteriori accertamenti svolti dall´Ufficio sul sito web sopraindicato, risulta che TicketOne S.p.A. effettua la raccolta, la conservazione e l´elaborazione dei dati personali dei clienti in relazione a diverse finalità;

RILEVATO, in particolare, dall´esame dei moduli di informativa utilizzati dalla società, che tali finalità consistono nella fornitura del servizio di commercio elettronico dei prodotti (lettera a); nella definizione del profilo commerciale dei clienti (lettera b); nella realizzazione di attività di marketing e promozionali proprie di TicketOne (lettera c); nello svolgimento di operazioni amministrativo-contabili, compresa l´eventuale trasmissione per posta elettronica di fatture commerciali (lettera d); nella realizzazione di attività di marketing e promozionali a favore di terzi (lettera e);

RILEVATO che, in relazione all´acquisizione del consenso al trattamento dei dati personali dei clienti (punto 3.3 della nota del 15 gennaio), TicketOne S.p.A. dichiara che il conferimento dello stesso è necessario per le finalità indicate alle lettere a), b), c) e d), non essendo possibile, in caso di rifiuto, erogare i servizi richiesti, mentre, viceversa, "non vi sarà alcuna conseguenza" in caso di rifiuto alla prestazione del consenso per lo scopo di cui alla lettera e);

RILEVATO che sul sito www.ticketone.it, nella pagina dedicata al conferimento dei dati personali, di seguito all´informativa ai sensi dell´art. 13 del Codice, in relazione alle finalità di cui alle lettere a), b), c) e d) sopra specificate, è presente un´unica casella per il consenso al trattamento dei dati personali, nella quale peraltro risulta già apposto l´apposito segno di "spunta"; rilevato, inoltre, che nella medesima pagina viene indicato come obbligatorio ai fini della registrazione e, quindi, della fornitura del servizio richiesto, anche il conferimento dell´indirizzo di posta elettronica del cliente;

VISTA la normativa in materia di protezione dei dati personali, la quale prevede che il titolare del trattamento possa prescindere dal richiedere il consenso rispetto ai trattamenti effettuati per eseguire obbligazioni derivanti da contratti di cui è parte l´interessato, consenso che è invece sollecitato nella modulistica presente on line (art. 24, comma 1, lett. b), del Codice);

VISTO l´art. 23, comma 3, del Codice, in forza del quale "il consenso è validamente prestato solo se è espresso liberamente e specificamente con riferimento ad un trattamento chiaramente individuato"; rilevato che nei modelli utilizzati da TicketOne S.p.A. la formula di consenso è viceversa generica, comprendendo, oltre a quello richiesto (non correttamente, come si è rilevato) per conferire i dati necessari per dare esecuzione al rapporto contrattuale, anche trattamenti per finalità (quali profilazione dei clienti e marketing) per le quali il consenso deve essere specificamente acquisito per legge;

CONSIDERATO che, in casi come quello in esame, come già rilevato da questa Autorità (Provv. 19 dicembre 2008, doc. web n. 1584213; Provv. 22 febbraio 2007, doc. web n. 1388590; Provv. 10 maggio 2006, doc. web n. 1298709; Provv. 3 novembre 2005, doc. web n. 1195215; Provv. 12 ottobre 2005, doc. web n. 1179604, in ), non può definirsi "libero", e risulta indebitamente necessitato, il consenso ad un ulteriore trattamento dei dati personali che l´interessato "debba" prestare (aderendo a un testo predisposto unilateralmente dalla controparte) quale condizione per conseguire una prestazione richiesta;

CONSIDERATO che, come pure già rilevato da questa Autorità (cfr. Provv. 24 febbraio 2005, punto 7, in , doc. web n. 1103045), gli interessati devono essere messi in grado di esprimere consapevolmente e liberamente le proprie scelte in ordine al trattamento dei dati che li riguardano, manifestando il proprio consenso per ciascuna distinta finalità perseguita dal titolare; considerato altresì che tale capacità di autodeterminazione non è assicurata quando si assoggetta la fruizione di beni e servizi alla preventiva autorizzazione a trattare i dati conferiti anche per finalità diverse, quali sono quelle di profilazione e promozionale;

RILEVATO che non risulta quindi conforme ai criteri di liceità e correttezza nel trattamento dei dati personali, nonché al principio di finalità la scelta di TicketOne S.p.A. di raccogliere un consenso per eseguire ordinarie obbligazioni contrattuali (art. 24, comma 1, lett. b), cit.) e collegarlo, altresì, a finalità ulteriori, quali quelle di profilazione della clientela e di marketing (art. 11, comma 1, lett. a) e b) e art. 23, comma 3, del Codice);

RILEVATA pertanto la necessità che TicketOne S.p.A. modifichi la modulistica utilizzata per rendere l´informativa ed acquisire il consenso, fornendo ai clienti la possibilità di prestare consensi differenziati in relazione alle distinte finalità sopra indicate;

RILEVATO che TicketOne S.p.A. ha dichiarato altresì di trattare, ai fini della erogazione del servizio di biglietteria on line "esclusivamente per i clienti che effettuano degli ordini", non solo dati necessari per l´esecuzione della prestazione, ma anche dati di traffico che vengono successivamente conservati, quali "l´indirizzo IP di provenienza, il tipo di browser, l´identificativo della sessione e altre" e che "tutti gli ordini vengono registrati e mantenuti nel database centrale, con gli ovvi riferimenti ai clienti e ai prodotti ordinati" (punto 2.3 della nota del 15 gennaio 2008);

RISERVATA, con autonomo procedimento, la verifica della conformità di tale trattamento di dati di traffico alle disposizioni vigenti in materia e, in particolare, al principio secondo il quale devono essere raccolti e conservati soltanto i dati di traffico telematico necessari e proporzionati ai fini della prestazione del servizio offerto (cfr. artt. 3 e 11 del Codice);

RILEVATO che il trattamento di dati personali che non risulta effettuato in modo lecito da parte di TicketOne S.p.A. ha carattere sistematico;

CONSIDERATO che il Garante, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, ha il compito di vietare anche d´ufficio il trattamento illecito o non corretto dei dati o di disporne il blocco e di adottare, altresì, gli altri provvedimenti previsti dalla disciplina applicabile al trattamento dei dati personali; considerato inoltre che il Garante, ai sensi dell´art. 154, comma 1, lett. c) del Codice ha il compito di prescrivere al titolare le misure opportune o necessarie per rendere il trattamento conforme alle disposizioni vigenti;

RILEVATA pertanto la necessità di adottare nei confronti di TicketOne S.p.A. un provvedimento di divieto del trattamento illecito di dati personali ai sensi dell´art. 154, comma 1, lett. d) del Codice correlato alla raccolta di dati personali della clientela in assenza di una chiara informativa e di richieste di consenso differenziato in relazione alle diverse finalità perseguite dalla società;

TENUTO CONTO che, ai sensi dell´art. 170 del Codice chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni e che, ai sensi dell´art. 162, comma 2-ter del Codice, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila euro a centottantamila euro;

CONSIDERATO che l´art. 11, comma 2, del Codice prevede che i dati personali trattati in violazione della disciplina rilevante in materia di dati personali non possono essere utilizzati;

VISTA la documentazione in atti;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Giuseppe Fortunato;

TUTTO CIÒ PREMESSO IL GARANTE:

a) vieta a TicketOne S.p.A., ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, l´ulteriore trattamento risultato illecito in atti, nonché di utilizzare le dichiarazioni di consenso al trattamento dei dati già formulate dagli interessati per finalità di definizione del profilo commerciale dei clienti e di comunicazione pubblicitaria o promozionale (art. 11, comma 2, del Codice), ferma restando l´utilizzabilità dei dati per finalità di fornitura dei servizi richiesti. Ciò, con effetto dalla data di notificazione del presente provvedimento presso la sede, residenza o domicilio risultanti dagli atti o comunque accertati dall´organo notificante;

b) prescrive alla predetta società, ai sensi dell´art. 154, comma 1, lett. c) del Codice, di adottare entro il 20 aprile 2009 le misure necessarie indicate nel presente provvedimento al fine di rendere il trattamento di dati personali conforme alle disposizioni vigenti e, in particolare, di:

1. modificare la modulistica utilizzata sul sito www.ticketone.it per rendere l´informativa ai clienti ed acquisirne il consenso, fornendo agli stessi la possibilità di prestare consensi differenziati in relazione alle distinte finalità sopra indicate;

2. trasmettere al Garante entro il medesimo termine del 20 aprile un esemplare della modulistica utilizzata per l´informativa e il consenso, riformulata in conformità alle indicazioni fornite con il presente provvedimento.

Roma, 5 marzo 2009

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE REGGENTE
De Paoli