Diritti interna

Doveri interna

ricerca avanzata

E-mail pubblicitarie indesiderate - 30 novembre 2017 [7522090]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
7522090
Data:
30/11/17
Argomenti:
E-mail promozionali , Spam
Tipologia:
Prescrizioni del Garante

[doc. web n. 7522090]

E-mail pubblicitarie indesiderate - 30 novembre 2017

Registro dei provvedimenti
n. 503 del 30 novembre 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTI il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito "Codice");

VISTE le "Linee guida in materia di attività promozionale e contrasto allo spam" del 4 luglio 2013, n. 330 (in www.garanteprivacy.it, doc. web n. 2542348) e già il provvedimento generale del 29 maggio 2003 in materia di spam (doc. web n. 29840);

VISTA le reiterate segnalazioni presentate, a far data dal 18 novembre 2014 e fino al 16 giugno 2016, da XX nei confronti di Consulman s.p.a. (di seguito "Società"), con sede legale in Torino, Corso Orbassano, n. 33, concernenti l´invio di comunicazioni promozionali indesiderate al proprio indirizzo di posta elettronica "...@tin.it";

VISTE le richieste di informazioni rivolte alla Società il 4 novembre 2015 e il 16 maggio 2016 nonché i verbali relativi alle operazioni compiute ai sensi dell´art. 157 dal Nucleo Speciale Privacy della G.d.F. nelle date del 25 e 26 gennaio 2017 presso la stessa;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del Regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Licia Califano;

PREMESSO

1. Con una prima comunicazione del 18 novembre 2014, il segnalante ha lamentato di essersi inutilmente opposto, con richiesta di cui all´art. 7 del Codice inviata in data 4 febbraio 2014 all´indirizzo info@e-formazione.net, facente capo a Consulman s.p.a., all´utilizzo dei dati a sé riferiti per finalità di marketing ‒ dopo aver ricevuto, il giorno precedente, una e-mail pubblicitaria indesiderata al proprio indirizzo di posta elettronica con la quale la Società (dall´indirizzo consulman@consulman.it) proponeva corsi a pagamento ‒, atteso che, ciononostante, ha continuato a ricevere numerose e-mail di natura promozionale, e segnatamente:

dapprima, in data 20 febbraio 2014, tramite il social network www.linkedin.com una e-mail pubblicitaria proponente corsi a pagamento da parte dell´allora responsabile area FAD e multimediale di Consulman che pure, a riscontro delle doglianze circa l´uso improprio del social network, si scusava con il segnalante per l´improprio invio, assicurando che ciò non si sarebbe ripetuto (cfr. nota 20 febbraio 2014, in atti);

quindi, ulteriori successive otto e-mail provenienti dalla Società con le quali si proponevano ulteriori corsi a pagamento (cfr. e-mail del 21/05/2014; 25/05/2014; 27/06/2014; 08/09/2014; 23/09/2014; 13/11/2014).

Con ulteriori comunicazioni indirizzate all´Autorità, il segnalante ha continuato a lamentare il persistente invio di molteplici comunicazioni promozionali mediante posta elettronica durante un ampio arco temporale, ribadendo sia l´assenza del proprio consenso originario al trattamento dei dati per finalità di marketing, sia la circostanza che il loro invio sarebbe avvenuto dopo la citata opposizione del 4 febbraio 2014 e nonostante le menzionate rassicurazioni del responsabile della Società.

2.1. A seguito del mancato riscontro alle richieste di informazioni formulate dall´Ufficio (il 4 novembre 2015 e il 16 maggio 2016), oltre che in ragione del persistente invio (segnalato, da ultimo, con nota del 16 giugno 2016) al segnalante delle menzionate comunicazioni promozionali anche in tempi successivi rispetto all´opposizione dallo stesso manifestata, sono stati effettuati accertamenti presso la Società mediante il Nucleo Speciale Privacy della Guardia di finanza nelle giornate del 25 e 26 gennaio 2017 al fine di verificare la liceità dei trattamenti di dati personali effettuati dalla Società per finalità di marketing.

2.2. In tale occasione la Società, nella persona del suo rappresentante legale, ha dichiarato, anche ai sensi dell´art. 168 del Codice (cfr. verbale 25 gennaio 2017, pp. 3, 4 e 5), che:

a. gli indirizzi di posta elettronica ai quali inviare comunicazioni promozionali relative a corsi di formazione sono raccolti, oltre che dai due siti web facenti capo alla Società (www.e-formazione.net e www.store.consulman.net), anche in Internet ovvero tramite i «social network professionali come ad es. Linkedin» o attingendo in rete ad «elenchi di varia natura: ad es. ordini professionali, […] altri elenchi di associazioni varie, ad es. CNI - Consiglio Nazionale Ingegneri o Asso Logistica», alimentando così il database della Società;

b. le succitate modalità di raccolta sono state utilizzate anche per l´indirizzo di posta elettronica del segnalante rispetto al quale la Società non è stata in grado di fornire elementi sul fatto «se sia stata fornita o meno, ed eventualmente con quali modalità, l´informativa privacy di cui all´art. 13 del Codice», né documentazione «idonea a dimostrare l´avvenuta acquisizione del consenso» da parte dello stesso. In ragione della presenza dei dati riferiti al segnalante in un file di back up (risalente all´8 luglio 2014: cfr. All. 4 al verbale cit.), rinvenuta nel corso delle verifiche, la Società ha ipotizzato che il proprio incaricato che il 20 febbraio 2014 aveva inviato al segnalante il menzionato riscontro all´esercizio del diritto di opposizione «di fatto non avrebbe effettuato la cancellazione dal database dei dati» relativi al segnalante, con la conseguenza dei persistenti invii;

c. per quanti si registrano sui siti web della Società, l´informativa è fornita mediante la privacy policy ivi pubblicata;

d.  ha attivato una procedura apposita per quanti intendano opporsi all´invio della propria newsletter o comunque esercitare i diritti di cui artt. 7 e ss. del Codice (designando a tal fine un proprio incaricato).

3.1. Considerato che l´indirizzo di posta elettronica del segnalante sia un "dato personale" ai sensi dell´art. 4, comma 1, lett. b), del Codice (cfr. in tal senso v. già, tra i più risalenti, provv.ti 25 giugno 2002, doc. web n. 29864; 24 giugno 2003, doc. web n. 1132562; 24 giugno 2003, doc. web n. 1140434; fra i più recenti, provv.ti 11 febbraio 2016, n. 49, doc. web n. 4885578; 10 marzo 2016, n. 110, doc. web n. 4988238), deve ritenersi che la Società abbia trattato i dati personali riferiti al segnalante in violazione della disciplina di protezione dei dati personali.

Ad integrare l´illiceità del trattamento dei dati personali in questione è, oltre alla violazione dei principi di correttezza e finalità del trattamento (di cui all´art. 11, comma 1, lett. a) e b), del Codice), l´assenza di consenso informato da parte del segnalante all´utilizzo dei dati a sé riferiti per finalità di marketing: tanto, sia in ragione della mancata prova circa la previa manifestazione di volontà del segnalante in relazione alla e-mail originariamente ricevuta (in violazione di quanto stabilito dagli artt. 13 e 130, commi 1 e 2, del Codice), sia in ragione del reiterato invio di e-mail a contenuto promozionale (peraltro proseguito anche nel corso dell´istruttoria nel corso della quale non sono state riscontrate le richieste formulate dall´Ufficio) anche in tempi successivi alla manifestazione da parte dello stesso dell´opposizione a tali trattamenti ai sensi dell´art. 7, comma 4, lett. b), del Codice (nello stesso senso cfr., tra i tanti, i provv.ti 13 maggio 2015, n. 291, doc. web n. 4337465; 25 settembre 2014, n. 427, doc. web n. 3457687; 9 gennaio 2014, n. 3, doc. web n. 2904350; 12 gennaio 2017, n. 4, doc. web n. 5986406; 24 maggio 2017, doc. web n. 6502780; 20 luglio 2017, n. 248, doc. web n. 6955363; nonché i già citati provvedimenti dell´11 febbraio e del 10 marzo 2016).

3.2. Peraltro la necessità del previo consenso informato dell´interessato sussiste anche quando i dati personali (come, nella fattispecie, l´indirizzo di posta elettronica del segnalante) siano rinvenibili in internet, in quanto l´agevole reperibilità degli stessi non ne autorizza il trattamento per qualsiasi scopo, ma soltanto per le specifiche finalità sottese alla loro pubblicazione (principio costantemente affermato dal Garante a partire dal provvedimento 11 gennaio 2001, doc. web n. 40823 e, quindi, con il provvedimento generale sullo spamming del 29 maggio 2003, doc. web n. 29840 e Linee Guida spam, par. 2.5; v. altresì provv. 6 ottobre 2016, n. 390, doc. web n. 5834805).

4. Né è sufficiente, ai fini di assicurare la liceità del trattamento, inserire un avviso all´interno del testo delle comunicazioni promozionali inviate diretto ai destinatari delle stesse concernente la possibilità di opporsi a ulteriori invii, come risulta aver fatto la Società anche nei riguardi del segnalante (cfr. e-mail allegate alle segnalazioni), atteso che tale accorgimento può giovare solo nell´ipotesi prevista dall´art. 130, comma 4, del Codice, fattispecie che non si attaglia al caso di specie, non risultando comprovato che il segnalante abbia acquistato prodotti o servizi della Società, né che quest´ultima gli abbia inviato e-mail promozionali aventi ad oggetto prodotti o servizi analoghi a quelli in precedenza forniti al medesimo.

5.1. Anche con riferimento ai dati personali raccolti dalla Società mediante social network, in particolare quelli presenti su Linkedin, deve essere ribadito che i messaggi promozionali inviati agli utenti dei social network, in linea generale, sono sottoposti alla disciplina del Codice, e, in particolare, agli artt. 3, 11, 13, 23 e 130 e che «l´invio di comunicazione promozionale riguardante un determinato marchio, prodotto o servizio, effettuato dall´impresa a cui fa riferimento la relativa pagina, può considerarsi lecita se dal contesto o dalle modalità di funzionamento del social network, anche sulla base delle informazioni fornite, può evincersi in modo inequivocabile che l´interessato abbia in tal modo voluto manifestare anche la volontà di fornire il proprio consenso alla ricezione di messaggi promozionali da parte di quella determinata impresa» (cfr. Linee guida 4 luglio 2013, cit., punto 6.1, dedicato al cd. social spam).

5.2. A questo riguardo merita ricordare che anche il Gruppo art. 29 ha espressamente escluso che il mero accesso ad un sito web, e non diversamente deve ritenersi la mera iscrizione ad un social network, per ciò solo comporti la legittimità del trattamento dei dati conferiti da parte di altri partecipanti alla medesima piattaforma ai fini dell´invio di informazioni commerciali. Esemplificando, il Gruppo art. 29 ha precisato che, nel caso di siti web aventi ad oggetto il gioco online, «l´accesso e la partecipazione al gioco non possono essere equiparati alla manifestazione inequivocabile del consenso al trattamento delle informazioni personali per finalità diverse dalla partecipazione al gioco. Il fatto che l´interessato partecipi al gioco non implica che egli intende acconsentire al trattamento dei suoi dati al di là di quanto necessario ai fini del gioco. Questo tipo di comportamento non costituisce una manifestazione inequivocabile della volontà dell´interessato ad accettare l´utilizzo dei suoi dati per finalità commerciali» (cfr. Gruppo di lavoro Articolo 29 per la protezione dei dati, WP 187, Parere 15/2011 sulla definizione di consenso, adottato il 13 luglio 2011, punto III.A.2, p. 27; riguardo alle medesime considerazioni, cfr. anche il menzionato provv. 11 febbraio 2016; provv. 21 settembre 2017, n. 378, doc. web n. 7221917).

6. Valutazione non diversa deve essere estesa anche al trattamento posto in essere dalla Società con riguardo ai dati relativi a persone fisiche altre rispetto al segnalante raccolti da elenchi di varia natura disponibili online, come nel caso di quelli riferiti ad ordini professionali o ad associazioni di categoria. Anche in tal caso, infatti, deve ritenersi che il trattamento sia stato effettuato in violazione del principio di correttezza e di finalità (art. 11, comma 1, lett. a) e b), del Codice e in assenza del consenso preventivo degli interessati richiesto dall´art. 130, commi 1 e 2, del Codice, oltre che in ragione della carenza dell´informativa da rendersi agli altri interessati ai sensi dell´art. 13, comma 4, del Codice.

Né rileva, in quanto non pertinente con riguardo all´avvenuta raccolta in rete e su social media dei dati di contatto degli interessati, il richiamo della Società all´informativa resa disponibile sui propri siti web (efficace nei soli confronti di quanti abbiano autorizzato il trattamento dei propri dati personali per il tramite dei menzionati siti web societari).

7. I fatti oggetto di segnalazione evidenziano poi come la Società non abbia dato riscontro all´esercizio dei diritti di cui all´art. 7 del Codice e non abbia tenuto in nessuna cale il diritto di opposizione fatto valere dall´interessato, con conseguente violazione dell´art. 7, comma 4, lett. b), del Codice. Tuttavia, in ragione delle misure che la Società ha dichiarato di avere posto in essere (cfr. sopra punto 2.2, lett. d), non si ritiene di dover inserire apposita prescrizione al riguardo nel presente provvedimento.

8. Alla luce degli elementi rappresentati, deve quindi essere vietato alla Società l´ulteriore trattamento per finalità di marketing dei dati personali trattati in violazione di legge (artt. 11, comma 1, lett. a) e b); 13, commi 1 e 4; 23 e 130, commi 1 e 2, del Codice) con riguardo sia al segnalante, sia ad altri soggetti i cui dati personali siano stati acquisiti con le modalità descritte nel presente provvedimento (cfr. punto 2.2).

9. L´Autorità si riserva di verificare, con autonomo procedimento, la sussistenza dei presupposti per contestare alla Società le violazioni amministrative concernenti i profili afferenti al mancato rilascio di un´inidonea informativa e alla mancata acquisizione del consenso per l´utilizzo dei dati per finalità di marketing (artt. 13, commi 1 e 4; 23 e 130, commi 1 e 2; nonché 161 e 162, comma 2 bis, del Codice).

TUTTO CIÒ PREMESSO IL GARANTE

1. ai sensi degli artt. 143, comma 1, lett. b) e c), 144 e 154, comma 1, lett. c) e d), del Codice, rilevato che i dati personali oggetto di trattamento in violazione di legge (artt. 11, comma 1, lett. a) e b); 13, commi 1 e 4, 23 e 130, commi 1 e 2, del Codice), non possono essere ulteriormente utilizzati (art. 11, comma 2, del Codice), vieta a Consulman s.p.a. l´ulteriore trattamento per finalità di marketing dei dati personali trattati con riguardo sia al segnalante, sia ad altri soggetti i cui dati personali siano stati acquisiti mediante le modalità descritte nel presente provvedimento;

2. ai sensi dell´art. 157 del Codice, invita la Società, entro 30 giorni dal ricevimento del presente provvedimento, a comunicare quali iniziative siano state intraprese al fine di dare attuazione al divieto di cui al punto 1, con l´avvertenza che il mancato riscontro alla presente richiesta è punito con la sanzione amministrativa di cui all´art. 164 del Codice.

Ai sensi degli artt. 152 del Codice e 10, d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 30 novembre 2017

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia