Diritti interna

Doveri interna

ricerca avanzata

Campagne di marketing effettuate tramite numeri di cellulari e indirizzi di posta elettronica: vietata la comunicazione a terzi dei dati raccolti ...

[doc. web n. 1876435]

Campagne di marketing effettuate tramite numeri di cellulari e indirizzi di posta elettronica: vietata la comunicazione a terzi dei dati raccolti senza idonea informativa - 24 novembre 2011

Registro dei provvedimenti
n. 451 del 24 novembre 2011

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito "Codice");

VISTA la documentazione in atti;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

Relatore il dott. Mauro Paissan;

PREMESSO

L´Autorità ha svolto, a partire dal mese di maggio 2010, un ciclo di accertamenti ispettivi volti a verificare il rispetto della normativa in materia di protezione dei dati personali, con particolare riferimento alle campagne di marketing effettuate tramite numeri di cellulari (per l´invio di sms e mms) e indirizzi di posta elettronica (per l´invio di email pubblicitarie, cd. DEM).

Nell´ambito di tale attività, in data 23, 24 e 25 febbraio 2011 è stata oggetto di ispezione Aimon s.r.l. (di seguito "Aimon" o "società"), con sede legale a Mirano (VE), via Ballò, 41/A.

Aimon è un´azienda costituita come società a responsabilità limitata nell´anno 2009, che offre servizi basati sull´invio di messaggi ad utenze di telefonia mobile. In precedenza, le attività commerciali  iniziate nel 2000  venivano svolte da un´impresa individuale gestita dal medesimo titolare. La principale attività di Aimon consiste nell´offerta di servizi di invio di sms e mms per conto di aziende, privati e soggetti pubblici, per consentire loro di trasmettere comunicazioni a proprie liste di destinatari tramite una piattaforma informatica. Per poter usufruire di tali servizi, è necessario che l´utente si registri sul sito www.aimon.it e accetti le "Condizioni generali di contratto", nonché la "Normativa sulla privacy", ivi consultabili in apposite, distinte schermate (pop-up).

I form presenti sul sito, da compilare ai fini della registrazione, variano a seconda che l´utente intenda limitarsi a inviare messaggi gratuitamente mediante la piattaforma messa a disposizione dalla società o, piuttosto, acquistare i "pacchetti" di invio di sms sopra descritti. I soli dati richiesti al fine di inviare messaggi gratuitamente sono nome, cognome, indirizzo email e numero di telefono mobile, mentre, nella seconda ipotesi, è necessario inserire nell´apposito form anche altre informazioni, quali ragione sociale, tipo di azienda, partita iva (in caso di aziende), codice fiscale (in caso di privati), nonché la password da usare per il servizio.

I rappresentanti della società hanno dichiarato che il database contenente i dati degli iscritti è ospitato sui server di Ovus.it s.r.l., società di Bologna che fornisce ad Aimon anche altri servizi, relativi a componenti hardware e software, e che ha realizzato la piattaforma di invio dei messaggi. I rappresentanti hanno dichiarato altresì che i rapporti tra Aimon e Ovus.it non sono attualmente regolati da alcun accordo scritto, in quanto viene effettuato un ordine ed emessa una fattura per ogni singolo servizio (cfr. verbale del 23 febbraio 2011, pag. 2). Non risulta pertanto che Ovus.it sia mai stata designata responsabile del trattamento da parte di Aimon, la quale ha pertanto posto in essere una comunicazione a terzi di dati personali in assenza di una idonea informativa e del consenso, ove necessario.

Nel corso degli accertamenti si è verificato che, per perfezionare la registrazione, l´utente deve attendere una email e un sms di conferma: accedendo al sito tramite il link presente nella email, l´utente inserisce il codice inviatogli dal sistema al numero di cellulare che ha indicato all´atto della registrazione e, in tal modo, è abilitato all´accesso alla piattaforma di invio degli sms, nonché all´area web dedicata all´invio degli sms gratuiti.

I rappresentanti della società hanno dichiarato che i dati degli utenti che devono confermare la propria registrazione permangono nel sistema per dieci giorni circa, dopodiché vengono automaticamente eliminati se non interviene la conferma. Hanno inoltre dichiarato che, a seguito della conferma, l´account dell´utente rimane attivo per un anno e si rinnova di un ulteriore anno a seguito di ogni acquisto. Dagli accertamenti è emerso che gli iscritti sono in totale 15.000 circa, fra i quali soltanto 1.500 "paganti" (ossia utenti che hanno acquistato servizi) e 13.194 attivi, e che gli invii di sms effettuati tramite la piattaforma di Aimon variano da due a quattro milioni circa ogni mese.

Dagli accertamenti è emerso che nell´area di amministrazione del sito  alla quale accede esclusivamente il rappresentante legale della società, nonché unico amministratore del sito web  è presente una pagina denominata "elenco utenti", nella quale è possibile visualizzare, oltre ai nomi, agli indirizzi email e ai numeri di telefono mobile degli utenti, anche i loro indirizzi Ip e le password (che possono essere successivamente modificate) inserite dagli stessi all´atto della registrazione. Si è verificato inoltre che, "cliccando" sul nome di ciascun utente, è possibile visualizzare anche il dettaglio degli acquisti di sms effettuati (cfr. verbale del 24 febbraio 2011, pag. 2).

Ogni utente dispone poi nella propria area riservata di un archivio, nel quale può conservare il testo dei messaggi inviati con l´indicazione dei destinatari degli stessi e della data di invio. Dagli accertamenti è emerso che, in ogni caso, tali informazioni sulle comunicazioni realizzate dagli utenti sono presenti nell´archivio di Aimon, nonché sui sistemi della società Ovus.it; in particolare, la conservazione di tali dati da parte di Ovus.it si sarebbe resa necessaria, secondo quanto dichiarato dai rappresentanti di Aimon, a seguito di richieste della Polizia postale (cfr. verbale del 24 febbraio 2011, pag. 3).

Per quanto concerne i fornitori dei "pacchetti" di sms, ossia i soggetti ai quali Aimon si rivolge per l´acquisto del traffico di sms da inviare alle numerazioni indicate dai propri clienti,  i rappresentanti della società hanno dichiarato che Aimon si avvale per il 20% circa del fatturato di fornitori stranieri con sede all´interno dell´Unione europea. Dagli accertamenti è emerso, in particolare, che Aimon acquista in modalità prepagata grandi quantità di sms da fornitori, anche stranieri (spesso essi stessi clienti di Aimon) per rivenderli, a sua volta, a clienti stranieri che intendono inviare sms in Italia.

I rappresentanti della società hanno dichiarato che, di regola, in tali casi i rapporti sono improntati sulla correttezza degli adempimenti e sulla puntualità nei pagamenti, senza necessità di formalizzazione scritta degli accordi (cfr. verbale del 25 febbraio 2011, pag. 2). Nel corso degli accertamenti, sono stati comunque acquisiti, a titolo esemplificativo, i contratti stipulati da Aimon con le società Belgacom International Carrier Services SA (con sede in Belgio), CM Telecom BV (con sede in Olanda), Ericsson Telecomunicazioni S.p.A. e Edistar s.r.l. (entrambe con sede legale in Italia), anche se non risulta in nessun modo che tali fornitori, ai quali Aimon comunica i dati dei propri clienti al fine di consentire l´invio degli sms, siano mai stati designati responsabili del trattamento da parte della società. Aimon, quindi, anche in questo caso, effettua una comunicazione di dati a terzi in assenza di informativa e consenso, ove necessario.

Oltre alla fornitura dei servizi di invio di sms gratuiti e di invio di "pacchetti" di sms a pagamento, Aimon ha da poco avviato anche l´attività di "sms advertising", ossia di marketing tramite sms. Al riguardo, è emerso che la società non ha mai utilizzato i numeri di cellulare presenti nel proprio database e che, per tale attività, si avvale della collaborazione di R&D Communication s.r.l. di Verona (di seguito, "RDCom"). I rappresentanti della società hanno dichiarato che, per ogni ordine di invio di sms pubblicitari ricevuto, Aimon si rivolge a RDCom, la quale, a sua volta, non disponendo di un proprio database, utilizza –per quanto a conoscenza della società  quelli di Telecom Italia S.p.A., Vodafone Omnitel NV e H3G S.p.A. (cfr. verbale del 23 febbraio 2011, pag. 3).

L´attività viene gestita direttamente da RDCom, alla quale Aimon inoltra le richieste di preventivo che le giungono tramite l´apposita funzione presente sul sito. Dagli accertamenti è emerso che Aimon mette in contatto i potenziali clienti e RDCom senza che questa abbia mai visibilità dei dati dei clienti stessi, in nessuna delle diverse fasi dell´attività di sms advertising (cfr. verbale del 24 febbraio 2011, pag. 4).

Per quanto concerne l´attività di registrazione di nomi a dominio, anch´essa rientrante tra i servizi offerti da Aimon alla propria clientela, i rappresentanti della società hanno dichiarato che Aimon si avvale dei servizi della società REM Graphic s.r.l. di Ancona (di seguito, "REM"). Nel caso in cui un utente richieda la registrazione di un nome a dominio, Aimon raccoglie la documentazione necessaria e la trasmette a REM, che cura i relativi adempimenti. Tale attività ha carattere del tutto residuale per Aimon, alla quale si rivolgono, per la registrazione di nomi a dominio, circa due-tre clienti all´anno. In ogni caso, come dichiarato dai rappresentanti della società, la collaborazione con REM non è regolata da rapporti scritti (cfr. verbale del 25 febbraio 2011, pag. 3) e, quindi, anche in questo caso, Aimon effettua una comunicazione a terzi di dati personali in assenza di informativa e consenso.

In ragione di quanto sopra evidenziato con specifico riguardo all´attività svolta da Aimon nell´ambito delle campagne di marketing effettuate tramite numeri di cellulari (c.d. sms advertising), si rileva che essa non presenta aspetti di criticità dal punto di vista della normativa in materia di protezione dei dati personali.

Viceversa, con riferimento ai servizi di invio e ricezione degli sms sopra descritti, si evidenzia che la comunicazione, da parte di Aimon, dei dati personali dei propri clienti alle diverse società delle quali si avvale –Ovus.it per i server che ospitano il database; Belgacom International Carrier Services SA, CM Telecom BV, Ericsson Telecomunicazioni S.p.A. e Edistar s.r.l., nonché tutti gli altri fornitori per l´invio dei "pacchetti" di sms  risulta effettuata in violazione della normativa in materia di protezione dei dati personali.

Analoga situazione si rileva in merito all´attività di registrazione di nomi a dominio, nella quale, come si è visto, Aimon comunica i dati personali dei richiedenti a REM Graphic s.r.l. in assenza di informativa e consenso.

La comunicazione a terzi che viene realizzata nell´ambito di tali attività dovrebbe essere riportata chiaramente nell´informativa resa sul sito al momento della registrazione, eventualmente anche con l´indicazione delle categorie di destinatari dei dati (cfr. art. 13, comma 1, del Codice), e dovrebbe essere sottoposta al preventivo consenso degli interessati, laddove non sussista una delle esenzioni previste dall´art. 24 del Codice, come, ad esempio, nell´ipotesi in cui la comunicazione risulti necessaria per la fornitura del servizio oggetto del contratto (art. 24, comma 1, lett. c), del Codice).

Pertanto, con riferimento a tali trattamenti, si rileva che l´art. 11, comma 2, del Codice prevede che non possono essere utilizzati i dati personali trattati in violazione della disciplina rilevante in materia di dati personali. Il Garante, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, ha in tal caso il compito di vietare, anche d´ufficio, in tutto o in parte, il trattamento illecito o non corretto dei dati o di disporne il blocco e di adottare, altresì, gli altri provvedimenti previsti dalla disciplina applicabile al trattamento dei dati personali.

Si rileva, quindi, la necessità di adottare nei confronti di Aimon un provvedimento di divieto per aver comunicato i dati personali dei clienti in assenza di un´idonea informativa agli stessi ai sensi dell´art. 13 del Codice e senza aver acquisito uno specifico consenso, laddove necessario, ai sensi dell´art. 23 del Codice.

Il Garante, inoltre, ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice, ha il compito di prescrivere al titolare le misure opportune o necessarie per rendere il trattamento conforme alle disposizioni vigenti. Pertanto, si ritiene necessario adottare nei confronti di Aimon un provvedimento volto a prescrivere alla società le modifiche, da apportare ai form utilizzati per la registrazione al sito, opportune o necessarie per rendere il trattamento conforme alle disposizioni vigenti.

L´Autorità si riserva di verificare, con autonomo procedimento, la sussistenza dei presupposti per contestare le violazioni delle disposizioni di cui agli artt. 13, commi 1 e 23, del Codice e la conseguente applicazione delle sanzioni di cui agli artt. 161 e 162, comma 2-bis del Codice.

Per quanto concerne, poi, la conservazione degli indirizzi Ip degli utenti, delle password inserite in fase di registrazione al sito, nonché del testo dei messaggi inviati con l´indicazione dei destinatari degli stessi e della data di invio, si evidenzia che essa viola la normativa in materia di data retention, di cui all´art. 132 del Codice. Ciò, sia perché Aimon non può essere qualificata come fornitore di servizi di comunicazione elettronica  avvalendosi infatti dell´attività di fornitori terzi  sul quale grava l´obbligo di conservazione dei dati di traffico, sia per il fatto che dall´obbligo di conservazione, qualora questo fosse riconosciuto in capo ad Aimon, risulterebbero comunque esclusi i contenuti delle comunicazioni.

Pertanto, con riferimento a tali trattamenti, si ritiene necessario adottare nei confronti di Aimon un provvedimento volto a prescrivere alla società le misure opportune o necessarie per rendere il trattamento conforme alle disposizioni vigenti, con riserva di verificare, con autonomo procedimento, i presupposti per l´eventuale contestazione della violazione dell´art. 132, comma 1, del Codice, ai sensi dell´art. 162-bis del Codice.

Si evidenzia che, ai sensi dell´art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni e che, ai sensi dell´art. 162, comma 2-ter, del Codice, in caso di inosservanza del divieto, è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila a centottantamila euro.

PER QUESTI MOTIVI IL GARANTE

a) ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d) del Codice, rilevato che i dati personali di cui è stato accertato l´illecito trattamento non possono essere ulteriormente utilizzati (art. 11, comma 2, del Codice), vieta a Aimon s.r.l. di effettuare ulteriori trattamenti di dati personali consistenti nella comunicazione a terzi dei dati acquisiti nell´ambito dei diversi servizi offerti alla propria clientela senza aver fornito agli interessati un´idonea informativa ai sensi dell´art. 13, comma 1, del Codice e senza aver acquisito uno specifico consenso ai sensi dell´art. 23, del Codice;

b) ai sensi dell´art. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice, prescrive a Aimon s.r.l., di inserire nell´informativa presente nei form di raccolta dei dati necessari per la fornitura dei servizi offerti sul sito www.aimon.it la chiara indicazione dei soggetti (anche eventualmente per categorie) ai quali i dati raccolti possono essere comunicati (art. 13, comma 1, lett. d), del Codice), nonché di predisporre un modulo anche per la raccolta del consenso, salva la sussistenza di una delle ipotesi di esenzione dello stesso di cu all´art. 24 del Codice, dandone riscontro a questa Autorità entro e non oltre il termine di sessanta giorni dalla data di ricezione del presente provvedimento;

c) ai sensi dell´art. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice, prescrive a Aimon s.r.l., di procedere alla cancellazione, dandone riscontro a questa Autorità entro e non oltre il termine di sessanta giorni dalla data di ricezione del presente provvedimento, degli indirizzi Ip degli utenti, delle password dagli stessi inserite in fase di registrazione al sito, nonché del testo dei messaggi inviati con l´indicazione dei destinatari degli stessi e della data di invio.

Si ricorda che avverso il presente provvedimento è possibile, ai sensi dell´art. 152 del Codice, proporre opposizione con ricorso all´autorità giudiziaria ordinaria entro il termine di trenta giorni dalla data di comunicazione del medesimo provvedimento e che l´opposizione non sospende l´esecuzione del provvedimento (v. art. 152, comma 5 del Codice).

Roma, 24 novembre 2011

IL PRESIDENTE
Pizzetti

IL RELATORE
Paissan

IL SEGRETARIO GENERALE
De Paoli