Diritti interna

Doveri interna

ricerca avanzata

Trattamento di dati personali per finalità commerciali, di profilazione e di comunicazione a soggetti terzi - 13 maggio 2015 [4337465]

[doc. web n. 4337465]

Trattamento di dati personali per finalità commerciali, di profilazione e di comunicazione a soggetti terzi - 13 maggio 2015

Registro dei provvedimenti
n. 291 del 13 maggio 2015

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTI

gli articoli 11, 13, 23, 24, 130, 143, 144, 153 e 154, comma 1, lettere a), b) c) et d), del decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, da qui «Codice»);

gli articoli 9, 10, 11, 14 e 17 del Regolamento n. 1/2007 recante disposizioni in materia di Procedure interne all´autorità aventi rilevanza esterna, finalizzate allo svolgimento dei compiti demandati al Garante per la protezione dei dati personali (Provvedimento del Garante n. 65 del 14 dicembre 2007, da qui «Regolamento», pubblicato in Gazzetta Ufficiale 9 gennaio 2008, n. 7);
la documentazione in atti;

le osservazioni dell´Ufficio, formulate dal Segretario Generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATORE la dott.ssa Augusta Iannini;

RITENUTO IN FATTO

Il giorno 30 novembre 2014 è pervenuta a questa Autorità una segnalazione con la quale si rappresentava la possibile violazione della normativa in materia di protezione dei dati personali da parte della società XY S.P.A. Secondo quanto sostenuto con la suddetta segnalazione, la XY S.P.A. aveva predisposto, sul proprio sito Internet, una procedura per richiedere assistenza in linea (c.d. ticket) nell´ambito del servizio di posta elettronica certificata (PEC) "YY" fornito dalla stessa Società, il cui esito veniva subordinato al previo rilascio, da parte dell´utente, del consenso al trattamento dei dati personali per finalità di marketing.

A seguito di tale segnalazione l´Ufficio ha avviato un´istruttoria preliminare, verificando, tramite diverse simulazioni sul sito https://help.XY.it/contatti, se fosse possibile portare a termine la procedura di assistenza in linea oggetto della segnalazione senza prestare il consenso per il trattamento dei dati. Da tale verifica è emerso che, una volta forniti tutti i dati richiesti nel formulario telematico (c.d. form), non è possibile inviare il ticket senza aver prima spuntato la casellina «Autorizzo al trattamento dei miei dati personali». Qualora si tentasse di cliccare sul pulsante «Invia ticket» senza aver apposto la predetta spunta, infatti, apparirebbe, in una diversa finestra (c.d. pop-up), il messaggio «autorizza il trattamento dei dati personali», impedendo l´invio della richiesta di assistenza.

A seguito dei primi accertamenti preliminari svolti, l´Ufficio ha richiesto a XY S.P.A. elementi per una compiuta valutazione del caso, che ha fornito gli opportuni chiarimenti. Dall´esame dei documenti forniti si è potuto appurare, innanzitutto, che il contratto di attivazione del servizio di PEC YY prevede la prestazione, tramite apposizione di un segno di spunta a croce prestampato accanto alla voce «presta il con-senso» e la sottoscrizione del cliente con firma autografa, di un unico consenso tanto per il trattamento dei dati personali per finalità commerciali da parte della XY S.P.A., quanto  per le ulteriori finalità di trattamento dei dati «relative alla comunicazione ad altri soggetti che offrono beni o servizi con i quali XY abbia stipulato accordi commerciali, all´utilizzo per lo svolgimento di ricerche di mercato, per proposte commerciali su prodotti e servizi di XY e/o di terzi, per l´invio di materiali pubblicitario e per altre comunicazioni commerciali», senza peraltro specificare se le comunicazioni per finalità commerciali verranno inviate tramite sistemi automatizzati o non automatizzati.

Per quanto riguarda il form di richiesta assistenza, di cui è stata inviata l´immagine della relativa schermata in formato cartaceo, si osserva  che in esso si richiedeva, quale recapito di contatto, non solo l´indirizzo PEC e di posta elettronica semplice, ma anche il recapito telefonico, e che nella pertinente informativa per il trattamento dei dati personali fornita all´utente tramite link contenuto del form medesimo  non si specifica quali siano i recapiti di contatto che potranno essere utilizzati per lo svolgimento delle finalità indicate, precisando solamente che si tratta dei dati «raccolti direttamente al momento dell´inserimento degli stessi nella pagina WEB».

Nel riscontro fornito, inoltre, la XY S.P.A. ammetteva che l´esito del ticket fosse subordinato al previo rilascio, da parte dell´utente, del consenso al trattamento dei dati, sostenendo tuttavia che ciò non comportava  una violazione della normativa in materia di protezione dei dati personali, in quanto i dati forniti dagli interessati sarebbero stati usati esclusivamente per «quelle finalità necessarie a fornire un riscontro al servizio di assistenza richiesto, nonché [per] quelle finalità di marketing diretto per le quali non è necessario, ex art. 130, comma 4 del Codice, il consenso dell´interessato». Secondo quanto sostenuto dalla XY S.P.A., dunque, l´obbligo di spuntatura della casellina, presente all´interno del form di richiesta d´assistenza, con la quale l´utente autorizza al trattamento dei propri dati personali, sarebbe stato frutto di un mero «eccesso di zelo» da parte della Società.

CONSIDERATO IN DIRITTO

La questione riguarda la prestazione del consenso libero, informato e specifico per il trattamento dei dati personali a fini promozionali e/o di definizione del profilo degli utenti (c.d. "profilazione"), disciplinato dal Codice agli artt. 11, 13, 23, 24 e 130.

Sulla base di tali riferimenti normativi, questa Autorità ha più volte ribadito come non possano considerarsi legittimi i trattamenti dei dati personali quando, al momento della prestazione del consenso, gli interessati non siano stati posti in condizione tale da poter esprimere consapevolmente e liberamente le proprie scelte e le proprie determinazioni in merito (ex multis: provv. 22 febbraio 2007, doc. web n. 1388590; provv.  12 ot-tobre 2005, doc. web n.  1179604; provv.  3 novembre 2005, doc. web n. 1195215; provv. 10 maggio 2006, doc. web n.  1298709; provv. 15 luglio 2010, doc. web n. 1741998).

Questa Autorità peraltro, con orientamento costante e consolidato, ritiene che quando il titolare abbia richiesto un solo consenso (c.d. consenso unico) per una molteplicità di eterogenee finalità del trattamento, ovvero qualora la fornitura di un servizio venga subordinata alla obbligatoria prestazione del consenso al trattamento dei dati per fini promozionali o di profilazione (c.d. consenso obbligato), tale consenso non possa conside-rarsi liberamente e consapevolmente prestato (ex multis provv.  24 febbraio 2005, punto 7, doc. web n.  1103045; provv. 20 dicembre 2012, doc. web n. 2223607).

Quanto all´art. 130, comma 4, del Codice, invocato dalla XY S.P.A. a giustificazione della previsione di un consenso obbligato nel form di richiesta d´assistenza, esso consente, effettivamente, l´invio senza previo consenso di messaggi promozionali tramite sistemi automatizzati (c.d. soft spam). Tale possibilità tuttavia, come peraltro ribadito da questa Autorità al paragrafo 2.7 delle Linee guida in materia di attività promozionale e contrasto allo spam (Provvedimento del Garante n. 330 del 4 luglio 2013, da qui «Linee guida», pubblicato sulla Gazzetta Ufficiale n. 174 del 26 luglio 2013), è concessa solo a condizione: 1) che la modalità di trasmissione di tali messaggi sia la posta elettronica; 2) che le coordinate di posta elettronica siano quelle fornite dall´interessato al titolare nel contesto della vendita di un prodotto o di un servizio; 3) che si tratti di messaggi inviati a fini di vendita diretta di prodotti e/o servizi forniti dal titolare del trattamento, sempre che si tratti di servizi analoghi a quelli oggetto della vendita; 4) che l´interessato, «adeguatamente informato, non rifiuti tale uso inizialmente o in occasione di successive comunicazioni» e possa «opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente». Il trattamento dei dati ai fini del soft spam deve, dunque, poter garantire all´interessato le possibilità di rifiuto e di opposizione al trattamento dei dati previste dal Codice.

Per quanto riguarda la richiesta del consenso inserita da XY S.p.A. nel contratto per «richiesta di attivazione», questa risulta non conforme alla normativa sul trattamen-to dei dati personali, ed in particolar modo all´art. 23 del Codice, in quanto costringe l´interessato a prestare un unico consenso per una molteplicità di finalità di trattamento dei dati eterogenee tra loro.

Fermo restando che il trattamento effettuato per eseguire gli obblighi derivanti dal contratto può essere effettuato senza acquisire il consenso degli interessati (art. 24, comma 1, lett. b, del Codice), il trattamento dei dati per lo svolgimento d´indagini di mercato o per l´invio di comunicazioni promozionali da parte del titolare del trattamento, infatti, non può ricondursi né alla medesima finalità, né ad una finalità omogenea, rispetto al trattamento per la comunicazione ad altri soggetti autonomi titolari del trattamento, e nessuna di queste finalità rientra nell´ambito di applicazione dell´art. 24 o del comma 4 dell´art. 130 del Codice.

Va rilevato, inoltre, che l´informativa relativa alla richiesta di attivazione risulta non rispondente a quanto previsto dalle Linee guida, poiché non è specificato se le comunicazioni commerciali verranno effettuate tramite sistemi automatizzati o meno.

Risulta altresì non conforme alla normativa sul trattamento dei dati personali il consenso obbligato previsto nel form di richiesta d´assistenza, e tale risulterebbe anche a voler ammettere, puramente in ipotesi, che il trattamento dei dati cui tale consenso è finaliz-zato sia quello di cui all´art.130, comma 4, del Codice, in quanto non consente la possibi-lità di rifiutare la prestazione del consenso al trattamento dei dati personali. Deve tutta-via rilevarsi, a tal riguardo, che, in ogni caso, non si può ricondurre il trattamento dei dati personali per il quale si richiede il consenso nel form di richiesta d´assistenza alla previsione di cui all´art. 130, comma 4, del Codice, per le seguenti due ragioni: a) nella relativa informativa si afferma che i dati saranno trattati anche per finalità di profilazio-ne e di vendita («svolgimento attività di rilevazione del grado di soddisfazione della clientela, indagini di mercato e conseguenti attività di promozione») diverse od ulteriori rispetto a quelle previste dallo stesso comma 4; b) nella medesima informativa viene specificato che potranno essere usati tutti «i dati […] raccolti direttamente al momento dell´inserimento degli stessi nella pagina WEB» e non viene specificato, né è in alcun modo desumibile, che per lo svolgimento delle attività promozionali sarà usato come recapito esclusivamente la posta elettronica, posto che nel form viene richiesto all´interessato anche il numero di telefono quale recapito «di contatto». A ben vedere, anzi, non è neppure possibile stabilire se il trattamento dei dati in questione rientri, almeno parzialmente, nell´ambito di applicazione dell´art. 130 del Codice, posto che non è specificato nell´informativa se le comunicazioni commerciali verranno effettuate tramite sistemi automatizzati o meno, ciò che peraltro comporta, come già rilevato, il mancato rispetto di quanto previsto dalle Linee guida.

Infine, si osserva che nell´informativa relativa al form non si fa alcun cenno all´art. 130, comma 4, del Codice e si prevedono quali finalità del trattamento dei dati la fornitura di informazioni, l´adempimento degli obblighi previsti dalla legge, da regolamenti o dalla normativa comunitaria, lo svolgimento di attività di rilevazione del grado di soddisfazione delle clientela e di indagini di mercato e conseguenti attività di promozione e vendita di prodotti/servizi XY S.P.A. e delle altre Società partner della XY S.P.A. e l´invio di comunicazioni mirate riferite alla offerta commerciale o inviti ad eventi promozionali della XY S.P.A., senza specificare se tali comunicazioni verranno inviate tramite sistemi automatizzati o non automatizzati.

Questa Autorità si riserva, con autonomo procedimento, la verifica della sussistenza dei presupposti per la contestazione delle rilevate violazioni delle disposizioni del Codice e la conseguente applicazione delle relative sanzioni amministrative.

Si ricorda che, ai sensi dell´art. 170 del Codice chiunque, essendovi tenuto, non osser-va il presente provvedimento di divieto, come di seguito specificato, è punito con la reclusione da tre mesi a due anni, e che, ai sensi dell´art. 162, comma 2-ter, del Codice, in caso di inosservanza delle prescrizioni impartite a seguire con medesimo provvedimento, è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila a centottantamila euro.

TUTTO CIÒ PREMESSO IL GARANTE:

a) dichiara illecita la modalità di raccolta dei dati personali effettuata, per le ulteriori finalità commerciali, di profilazione e di comunicazione a soggetti terzi autonomi titolari del trattamento, da parte della XY S.P.A., con sede legale in Roma,  (RM), al momento della sottoscrizione del contratto relativo alla richiesta di attivazione del servizio "YY", poiché non conforme a quanto previsto dagli artt. 23 e 130 del Codice;

b) dichiara illecita la modalità di raccolta dei dati personali effettuata, per le ulteriori finalità commerciali, di profilazione e di comunicazione a soggetti terzi autonomi ti-tolari del trattamento, da parte della medesima Società al momento della compilazione del form di contatto per richiesta d´assistenza all´indirizzo internet https://help.XY.it/contatti, poiché non conforme a quanto previsto dagli artt. 23 e 130 del Codice;

c) vieta alla XY S.P.A., ai sensi degli artt. 143, comma 1, lett. c), 144 e 154, comma 1, lett. d), del Codice, l´ulteriore trattamento per le finalità suindicate dei dati perso-nali raccolti con le modalità sopra dichiarate illecite, finché tale Società non avrà provveduto, in conformità a quanto previsto dal Codice, ad acquisire il consenso degli interessati in modo tale che esso risulti espresso, libero, specifico ed adeguata-mente documentato ai sensi degli artt. 23 e 130 del Codice;

d) prescrive alla XY S.P.A., ai sensi degli artt. 143, comma 1, lett. b), 144 e 154, comma 1, lett. c), del Codice, di adottare, qualora intenda raccogliere dati personali degli interessati ed utilizzarli per finalità di definizione del profilo dell´utente e/o di promozione commerciale, le misure necessarie ed opportune al fine di rendere i trattamenti dei dati personali conformi alla normativa in materia e, in particolare:

1 per quanto riguarda il consenso per il trattamento dei dati personali richiesto nel contratto per l´attivazione dei servizi, che vengano acquisiti distinti consensi al trattamento dei dati personali per ciascuna distinta finalità eterogenea;

2 per quanto riguarda il form di contatto per richiesta d´assistenza, l´eliminazione di qualsivoglia meccanismo di subordinazione dell´esito della procedura alla prestazione di un consenso per il trattamento di dati personali a fini promozionali o di definizione del profilo dell´utente e, qualora si vogliano utilizzare i dati ottenuti per le comunicazioni di cui all´art. 130, comma 4, del Codice, l´adeguamento alle previsioni di quest´ultimo;

3 nell´informativa relativa al form, inserire un chiaro ed espresso riferimento all´art. 130, comma 4, del Codice ove si intenda trattare i dati ottenuti in conformità a tale disposizione, specificando, altresì, le diverse finalità che si intendono perseguire  e chiarendo se le comunicazioni di carattere promozionale verranno inviate tra-mite sistemi automatizzati o non automatizzati.

e) chiede a  XY S.P.A., ai sensi dell´art. 157 del Codice, di comunicare quali iniziative siano state intraprese al fine di dare attuazione al presente provvedimento; il riscontro dovrà essere adeguatamente documentato ed accompagnato da una dichiarazione del legale rappresentante della società, rilasciata ai sensi e per gli effetti dell´art. 168 del Codice, entro il termine di 60 giorni dalla data di ricezione del presente provvedimento.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 13 maggio 2015

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia