Diritti interna

Doveri interna

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Ricezione di email promozionali indesiderate - 26 ottobre 2017 [7320903]

[doc. web n. 7320903]

Ricezione di email promozionali indesiderate - 26 ottobre 2017

Registro dei provvedimenti
n. 437 del 26 ottobre 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici, componente e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito "Codice");

VISTE le Linee guida in materia di attività promozionale e contrasto allo spam del 4 luglio 2013 (in www.garanteprivacy.it, doc. web n. 2542348), e già il provvedimento generale del 29 maggio 2003 in materia di spam (doc. web n. 29840);

VISTO il reclamo del 7 dicembre 2015 presentato ai sensi dell´art. 141, comma 1, lett. a), del Codice, da XX;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del Regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Augusta Iannini;

PREMESSO

1.1. Il reclamante lamentava la ricezione al proprio indirizzo di posta elettronica di un messaggio indesiderato a contenuto promozionale inviato il 9 settembre 2015 nell´interesse di Venchi s.p.a. e di non essere riuscito a bloccare la ricezione di ulteriori messaggi mediante gli appositi link posti in calce alle mail. Tali circostanze sono state segnalate dal reclamante alla Società (cfr. mail del 10 settembre 2015) con la richiesta di chiarimenti in merito alle modalità di acquisizione dei propri dati personali nonché del consenso informato (che si nega di aver prestato) alla ricezione delle newsletter.

1.2. Nel proprio riscontro (cfr. mail del 3 ottobre 2015) la Società dichiarava di non detenere l´indirizzo di posta elettronica dell´interessato nelle proprie banche dati e di aver affidato l´invio delle newsletter ad una società esterna che avrebbe a sua volta subappaltato il servizio ad altra società avente sede in Tunisia (YY s.a.r.l., a detta di Venchi titolare del trattamento).

In tal occasione Venchi rappresentava altresì che i dati personali del reclamante e il consenso al trattamento degli stessi per finalità di marketing sarebbero stati acquisiti all´atto della registrazione al portale ZZ. Circostanze disconosciute dal reclamante che dichiara di non aver mai frequentato detto sito web e rappresenta la non riconducibilità a sé dell´indirizzo IP indicato da Venchi come prova dell´avvenuta registrazione (cfr. reclamo, p. 1).

2. In riscontro alla richiesta di informazioni dell´Ufficio, Venchi – nel ribadire quanto già rappresentato al reclamante – ha precisato di aver affidato il servizio di gestione della propria comunicazione commerciale in relazione al canale e-commerce a XY s.r.l. (di seguito, XY), società che – pur essendo il proprio unico interlocutore – si è successivamente avvalsa di una catena di subappalti (cfr. comunicazione 22 gennaio 2016, p. 4 e contratti alla stessa allegati) in ragione dei quali il servizio di mail-marketing sarebbe infine stato effettuato nel proprio interesse dalla menzionata YY s.a.r.l., soggetto cui sarebbe riconducibile l´attività di raccolta dei dati personali e l´acquisizione del consenso per l´invio di comunicazioni promozionali.

Quanto a tale ultimo profilo, la Società, nel richiamare la documentazione acquisita da XY, ha ribadito che i dati del reclamante sarebbero stati tratti da un database alimentato dalle iscrizioni al portale ZZ, detenuto da YY s.a.r.l. (come detto, società che pure avrebbe provveduto all´invio delle mail a contenuto promozionale). Per comprovare l´iscrizione del reclamante in detto portale, la Società ha allegato la copia di una mail del 22 settembre 2015 inviata da un account @ZZ ad uno dei subfornitori nel quale vengono indicati data, ora e indirizzo IP relativi alla registrazione dell´indirizzo mail facente capo al reclamante al portale ZZ.

Infine, con riguardo alla specifica richiesta dell´Autorità di chiarire quanto indicato nel contenuto della mail promozionale oggetto di reclamo – essendo nella stessa indicato che l´interessato ha ricevuto «[…] questa mail in quanto iscritto al sito Venchi» – la Società ha dichiarato che tale informativa è stata inserita per un errore materiale nella redazione del messaggio (allegando il testo di ulteriori mail promozionali nel quale la dizione era assente).

3.1. Alla luce degli elementi acquisiti deve ritenersi che il descritto invio della comunicazione a contenuto promozionale nell´interesse di Venchi sia stato realizzato da parte di quest´ultima, destinataria del reclamo, nell´inosservanza delle disposizioni contenute nella disciplina di protezione dei dati personali.

3.2. A questo proposito, con riguardo all´invio della comunicazione a contenuto promozionale, in prima battuta deve ritenersi che Venchi sia co-titolare del trattamento, avendo la Società in concreto determinato, secondo quanto stabilito dal Codice (cfr. art. 4, comma 1, lett. f), «anche unitamente ad altro titolare» (nel caso di specie il detentore del database contenente anche l´indirizzo e-mail del reclamante nonché autore dell´invio delle comunicazioni promozionali), «le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati […]». Invio avvenuto, per il tramite della catena di (sub-)contratti, nei quali peraltro alcuna previsione si rinviene in relazione al trattamento dei dati riferiti ai destinatari delle mail promozionali.

In tal senso depone la circostanza secondo cui le decisioni concernenti il trattamento dei dati utilizzati nelle campagne di marketing materialmente inviati da altra società, peraltro nel caso di specie stabilita in un Paese terzo, sono state adottate, sulla base di una successione di accordi contrattuali "a cascata", attuativi del più ampio accordo stipulato con XY da Venchi che, in qualità di committente, si poneva come beneficiario delle campagne promozionali effettuate nel proprio interesse e a proprio nome. In tal modo la Società ha in concreto (co-)determinato le finalità del trattamento: come previsto dal menzionato art. 4, del Codice, essa ha infatti dato impulso all´invio delle comunicazioni a contenuto promozionale (nel caso di specie quelle oggetto del reclamo) e ha altresì individuato modalità e strumenti del trattamento in concreto effettuato (al riguardo v. anche Gruppo di lavoro articolo 29 per la protezione dei dati, WP 169, Parere 1/2010 sui concetti di "responsabile del trattamento" e "incaricato del trattamento adottato il 16 febbraio 2010, p. 8 ss., http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_it.pdf).

Ciò, senza peraltro che la Società risulti aver posto in essere alcuna preliminare verifica circa il rispetto delle condizioni previste dalla disciplina di protezione dei dati in relazione all´invio delle comunicazioni a contenuto promozionale (ivi comprese le modalità utilizzate dal partner contrattuale per acquisire il consenso degli interessati, oggetto di censura al punto successivo), né aver in alcun modo disciplinato contrattualmente il ruolo dei partner contrattuali chiamati ad effettuare l´invio delle comunicazioni promozionali. Condotta che, peraltro, si discosta da quanto indicato dal Garante nelle menzionate Linee Guida in materia di attività promozionale e contrasto allo spam, nelle quali si è ravvisata «la necessità che i soggetti promotori pongano in essere misure e procedure idonee a conoscere se l´agente, al quale è stato affidato il trattamento dati mediante modalità automatizzate a fini di marketing, eventualmente a sua volta si rivolga, per lo svolgimento del medesimo trattamento, a subagenti o altri terzi, nonché a verificare e garantire l´osservanza del Codice da parte di questi ultimi»  (p. 3).

Indice ulteriore della ritenuta co-titolarità nel trattamento in questione può poi desumersi dal contenuto della comunicazione commerciale, inequivocabilmente diretta a promuovere prodotti commercializzati dalla Società, e peraltro recante oltre al marchio  societario anche la locuzione «ricevi questa mail in quanto iscritto al sito Venchi» che, seppur frutto di errore (come dichiarato da Venchi), inequivocabilmente associa la ricezione del messaggio promozionale ad un´iniziativa della Società (circostanza peraltro reale, essendo la stessa riconducibile tra le prestazioni dedotte da Venchi in contratto).

3.3. Quanto al consenso che la Società afferma essere stato prestato dall´interessato per il tramite dell´allegata "iscrizione" dell´indirizzo di posta elettronica del reclamante nel portale ZZ ‒ come detto, circostanza peraltro espressamente negata dall´interessato ‒, gli elementi prodotti (vale a dire l´indirizzo IP registrato in fase di inserimento di raccolta dei dati personali) non consentono di affermare univocamente la riconducibilità di detto consenso all´interessato. Come già rappresentato dal Garante, è infatti necessario che il titolare del trattamento adotti misure idonee a dare prova di tale riconducibilità, fornendo elementi circostanziati tali da poter ritenere acquisito il consenso. In tale prospettiva, nel caso di specie non risulta essere stato adottato alcun sistema di verifica dell´effettiva riconducibilità al reclamante del consenso apparentemente prestato da chi avrebbe effettuato la registrazione dei dati nel menzionato sito web, ad esempio attraverso la modalità, diffusa nella prassi (v. ad es., provv. 30 maggio 2013, n. 270, doc. web n. 2603793), dell´invio di una apposita e-mail (cd. di conferma) all´indirizzo di posta elettronica utilizzato in fase di registrazione ovvero della conferma della volontà precedentemente manifestata "cliccando" su un apposito link (cfr. Linee guida in materia di attività promozionale e contrasto allo spam, punto 2.6.4; v. già provv. generale in materia di spam del 29 maggio 2003, doc. web n. 29840; in tal senso anche Articolo 29 - Gruppo di lavoro per la tutela dei dati personali, WP 90, Parere 5/2004 relativo alle comunicazioni indesiderate a fini di commercializzazione diretta ai sensi dell´articolo 13 della direttiva 2002/58/CE adottato il 27 febbraio 2004, p. 5, secondo il quale «sembra compatibile con la direttiva il metodo consistente nel fatto che un abbonato offra il suo consenso previo registrandosi in un sito web e successivamente sia sollecitato a confermare di essere stato lui la persona che ha effettuato la registrazione»). Misure che, senza comportare onerosi adempimenti (sia in capo al gestore del sito, sia all´interessato), possono assicurare, in ragione della segmentazione della procedura di manifestazione del consenso in due fasi distinte (cd. double opt-in), un maggior grado di certezza circa la genuinità della manifestazione del consenso da parte dell´interessato, consentendo così (in prima approssimazione) di prevenire che indirizzi e-mail inseriti da terzi o acquisiti aliunde all´insaputa e in assenza di autorizzazione alcuna da parte dell´interessato possano essere lecitamente utilizzati (nel caso di specie, per l´invio di comunicazioni promozionali).

4. L´Autorità si riserva di valutare, con autonomo procedimento, la sussistenza dei presupposti per contestare le violazioni amministrative concernenti l´invio della comunicazione a contenuto promozionale in assenza del necessario consenso del reclamante (artt. 130, commi 1 e 2; 162, comma 2 bis, del Codice).

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi degli artt. 143, comma 1, lett. b), e 154, comma 1, lett. c), del Codice:

1. dichiara illecito il trattamento dei dati personali consistente nell´invio di messaggi promozionali per posta elettronica effettuato per il tramite di propri partner contrattuali nei confronti del reclamante in assenza del consenso dell´interessato ai sensi dell´art. 130, commi 1 e 2, del Codice;

2. prescrive a Venchi s.p.a. l´adozione di idonee misure volte ad assicurare l´utilizzo, per le proprie campagne di marketing effettuate anche per il tramite di soggetti esterni, di dati personali relativi ad interessati che abbiano prestato il proprio idoneo consenso, anche attraverso l´adozione delle misure di cui al punto 3.3 in premessa.

Ai sensi degli artt. 152 del Codice e 10, d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 26 ottobre 2017

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia