Diritti interna

Doveri interna

ricerca avanzata

Utilizzo per finalità promozionali, senza consenso e idonea informativa, dei dati rilasciati per l'iscrizione ad un portale web - 1° ottobre 2015 [4452896]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
4452896
Data:
01/10/15
Tipologia:
Prescrizioni e divieto del Garante

[doc. web n. 4452896]

Utilizzo per finalità promozionali, senza consenso e idonea informativa, dei dati rilasciati per l´iscrizione ad un portale web - 1° ottobre 2015

Registro dei provvedimenti
n. 508 del 1° ottobre 2015

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTI

gli articoli 11, 13, 23, 24, 130, 143, 144, 153 e 154, comma 1, lettere a), b) c) et d), del decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, da qui «Codice»);

gli articoli 9, 10, 11, 14 e 17 del Regolamento n. 1/2007 recante disposizioni in materia di Procedure interne all´autorità aventi rilevanza esterna, finalizzate allo svolgimento dei compiti demandati al Garante per la protezione dei dati personali (Provvedimento del Garante n. 65 del 14 dicembre 2007, da qui «Regolamento», pubblicato in Gazzetta Ufficiale 9 gennaio 2008, n. 7);
la documentazione in atti;

le osservazioni dell´Ufficio, formulate dal Segretario Generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATORE  la prof.ssa Licia Califano;

RITENUTO IN FATTO

Il 25 ottobre 2014 è pervenuta al Garante la segnalazione della signora XY che lamentava la ricezione di diversi messaggi promozionali tramite sms sulla propria utenza cellulare. Benché l´oggetto della promozione fosse sempre diverso, tutti i messaggi ricevuti contenevano il riferimento al sito web www.smspromo.it che, in base all´istruttoria condotta dall´ufficio, è risultato registrato da AMM S.p.A.

A seguito di una specifica richiesta di informazioni la AMM S.p.A. ha sostenuto che i messaggi promozionali erano stati da lei inviati per conto della Simplytec S.r.l. e che aveva acquisito i dati della signora XY dal portale lavoro.org, di proprietà della stessa Simplytec; la società ha specificato inoltre che la segnalante risultava iscritta a tale portale dal 2005 e che "gli utenti in fase di registrazione al portale accettano esplicitamente le policy di trattamento dati indicate in fase di registrazione" aggiungendo peraltro che "in seguito alla segnalazione, il profilo è stato disattivato e pertanto l´utente non potrà più accedere al portale lavoro.org e non riceverà più messaggi pubblicitari".

Il 17 febbraio 2015 l´ufficio ha effettuato degli accertamenti tramite accesso al portale lavoro.org per verificare le modalità di iscrizione ai servizi presenti nell´area «candidati» finalizzati alla ricerca di lavoro. Dall´accertamento è emerso che, per poter registrare il proprio profilo e inserire il curriculum vitae era necessario accettare in toto l´informativa in merito al trattamento dei dati personali accordando di conseguenza il proprio consenso al trattamento degli stessi per finalità promozionali; è emerso inoltre che una volta completato l´inserimento dei dati in uno specifico form, se si ometteva di spuntare la casella «accetto e approvo le disposizioni contenute nell´informativa sulla privacy» risultava impossibile effettuare la registrazione.

Nell´informativa pubblicata sul portale, la cui accettazione è risultata obbligatoria, veniva indicato che i dati conferiti in fase di registrazione potevano essere ceduti a terzi ed utilizzati anche per l´invio di informazioni commerciali senza peraltro specificare che tale invio sarebbe stato effettuato con modalità automatizzate; nella medesima informativa veniva indicata la Simplytec S.r.l. quale contatto di riferimento per l´esercizio dei diritti ex art. 7 del Codice ma non veniva specificato chi fosse il titolare del trattamento.

La Simplytec S.r.l., nel rispondere ad una richiesta di informazioni dell´Autorità, ha dichiarato che i messaggi erano stati inviati alla segnalante in conseguenza della sua iscrizione al portale lavoro.org e che, a seguito della segnalazione, il profilo era stato interamente disattivato.

L´ufficio ha effettuato due successivi accertamenti sul sito web il 7 luglio e l´8 settembre 2015, rilevando che nessuna modifica era stata apportata nelle modalità di acquisizione del consenso e nell´informativa.

CONSIDERATO IN DIRITTO

La questione riguarda la prestazione del consenso libero, informato e specifico per il trattamento dei dati personali a fini promozionali disciplinato dal Codice agli artt. 11, 13, 23, 24 e 130.

Sulla base di tali riferimenti normativi, questa Autorità ha più volte ribadito come non possano considerarsi legittimi i trattamenti dei dati personali quando, al momento della prestazione del consenso, gli interessati non siano stati posti in condizione tale da poter esprimere consapevolmente e liberamente le proprie scelte e le proprie determinazioni in merito.

Questa Autorità peraltro, con orientamento costante e consolidato, ritiene che qualora il titolare abbia richiesto un unico consenso per una molteplicità di eterogenee finalità del trattamento, ovvero qualora la fornitura di un servizio venga subordinata alla obbligatoria prestazione del consenso al trattamento dei dati per fini promozionali o di profilazione (c.d. consenso obbligato), tale consenso non possa considerarsi liberamente e consapevolmente prestato.

Nel caso di specie, per quanto riguarda le modalità di acquisizione del consenso al trattamento dei dati per finalità promozionali anche con modalità automatizzate, la procedura di registrazione posta in essere dalla Simplytec S.r.l. risulta non conforme alla normativa sul trattamento dei dati personali, ed in particolar modo agli artt. 23 e 130 del Codice, in quanto costringe l´interessato a prestare un unico consenso per una molteplicità di finalità di trattamento dei dati eterogenee tra loro tra le quali è ricompreso l´invio di sms promozionali.

Fermo restando che il trattamento effettuato per eseguire gli obblighi derivanti dal contratto può essere effettuato senza acquisire il consenso degli interessati (art. 24, comma 1, lett. b, del Codice), l´obbligo di accettazione delle condizioni indicate nell´informativa costituisce un´acquisizione del consenso non conforme alla norma in quanto lo stesso non sarebbe né libero, né specifico per le finalità promozionali.

Va rilevato, inoltre, che l´informativa pubblicata sul sito web non è conforme all´art. 13 del Codice, poiché non viene fatta menzione della natura obbligatoria o facoltativa del conferimento dei dati per le diverse finalità, ciò anche in relazione al menzionato obbligo di accettare integralmente i trattamenti di cui all´informativa per iscriversi al servizio. Inoltre non è individuato chiaramente chi sia il titolare del trattamento e non vengono correttamente specificate le modalità del trattamento (ad esempio, specificando se le comunicazioni commerciali verranno effettuate tramite sistemi automatizzati o meno); infine, non viene specificato che i dati possono essere trasmessi ad altro soggetto che li tratti per finalità diverse da quelle di servizio (come ad esempio AMM S.p.A.).

TUTTO CIÒ PREMESSO IL GARANTE:

a) dichiara illecito, poiché non conforme a quanto previsto dagli artt. 13, 23 e 130 del Codice, il trattamento di dati personali effettuato dalla Simplytec S.r.l. con sede legale in Arezzo, Via Pescaia 13, consistente nell´utilizzo per finalità promozionali dei dati rilasciati dagli interessati per l´iscrizione al portale lavoro.org senza la documentata acquisizione di un consenso libero e specifico degli stessi e sulla base di un´informativa inidonea;

b) vieta alla Simplytec S.r.l., ai sensi degli artt. 143, comma 1, lett. c), 144 e 154, comma 1, lett. d), del Codice, l´ulteriore trattamento per finalità promozionali dei dati personali sinora raccolti con le modalità dichiarate illecite, ferma restando la resa del servizio agli utenti registrati;

c) prescrive alla Simplytec S.r.l., ai sensi degli artt. 143, comma 1, lett. b), 144 e 154, comma 1, lett. c), del Codice, di adottare, qualora intenda raccogliere dati personali ed utilizzarli per finalità di promozione commerciale, le misure necessarie ed opportune al fine di rendere il trattamento conforme alla normativa in materia e, in particolare:

1 di eliminare qualsivoglia meccanismo di subordinazione dell´erogazione del servizio alla prestazione di un consenso per il trattamento di dati personali a fini promozionali;

2 di modificare l´informativa al fine di renderla conforme alle prescrizioni del Codice tenendo in considerazione quanto esposto in motivazione;

d) richiede a Simplytec S.r.l., ai sensi dell´art. 157 del Codice, di comunicare quali iniziative siano state intraprese al fine di dare attuazione al presente provvedimento e di fornire comunque riscontro entro 60 giorni dalla data di ricezione del presente provvedimento; il riscontro dovrà essere adeguatamente documentato ed accompagnato da una dichiarazione del legale rappresentante della società, rilasciata ai sensi e per gli effetti dell´art. 168 del Codice. Si ricorda che il mancato riscontro richiesto ai sensi dell´art. 157 del Codice è sanzionato dall´art. 164.

In caso di mancata osservanza del divieto sub b) è applicata, in sede amministrativa, la sanzione del pagamento di una somma da trentamila a centottantamila euro, ai sensi dell´art. 162, comma 2-ter del Codice. La mancata osservanza del predetto divieto è inoltre punita, ai sensi dell´art. 170 del Codice, con la reclusione da tre mesi a due anni.

In caso di mancata osservanza delle prescrizioni sub c) è invece applicata la sanzione amministrativa di cui al citato art. 162, comma 2-ter del Codice.

Resta salva la facoltà di questa Autorità di avviare un autonomo procedimento sanzionatorio nei confronti di Simplytec S.r.l. per le violazioni della normativa in materia di protezione dei dati personali rilevate.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 1 ottobre 2015

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia