Diritti interna

Doveri interna

ricerca avanzata

Trattamento dei dati raccolti attraverso un pop up - 22 maggio 2018 [8995274]

VEDI ANCHE Newsletter del 21 giugno 2018

 

[doc. web n. 8995274]

Trattamento dei dati raccolti attraverso un pop up - 22 maggio 2018

Registro dei provvedimenti
n. 363 del 22 maggio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito “Codice”);

VISTE le "Linee guida in materia di attività promozionale e contrasto allo spam" del 4 luglio 2013 (in www.garanteprivacy.it, doc. web n. 2542348) e il provvedimento generale “Spamming. Regole per un corretto uso dei sistemi automatizzati e l'invio di comunicazioni elettroniche”) del 29 maggio 2003 (doc. web n. 29840);  

VISTE le segnalazioni formulate ai sensi dell’art. 141, comma 1, lett. b), del Codice, da XX, YY, ZZ, HH, WW, XY, WQ, riguardanti, a seconda dei casi:

- comunicazioni promozionali indesiderate ricevute da parte di Supermoney srl, ora divenuta Supermoney spa (di seguito indicata come “Supermoney” o “Società”), mediante telefono o posta elettronica; nonché

- telefonate promozionali indesiderate su utenze mobili effettuate per conto di note aziende dei settori energetico e delle telecomunicazioni, che avrebbero dichiarato di aver ricevuto i dati personali degli interessati da Supemoney; 

VISTE le risultanze dell’accertamento svoltosi presso la predetta Società nei giorni 11-13 luglio 2017 con l’ausilio del Nucleo Speciale Privacy della Guardia di finanza;

VISTE altresì le note inviate dalla Supermoney nel periodo compreso fra il 19 luglio e il 28 luglio 2017 a scioglimento delle riserve formulate nel corso degli accertamenti di cui sopra, nonché l’ulteriore nota inviata il 7 settembre 2017, con specifico riguardo alla segnalazione di ZZ;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

PREMESSO

1. L’Ufficio ha ricevuto alcune segnalazioni relative a sollecitazioni promozionali indesiderate che evidenziavano alcuni elementi convergenti; in particolare i sotto indicati esponenti hanno rappresentato:

- HH di aver ricevuto telefonate promozionali indesiderate da parte della Supermoney e di aver appreso, a seguito della richiesta presentata ai sensi degli artt. 7 ss. del Codice, che i suoi dati sarebbero stati acquisiti da una società terza avente sede negli USA;

- ZZ di aver ricevuto e-mail promozionali indesiderate da parte di Supermoney, che - in base a un riscontro dalla stessa fornitogli - avrebbe ricevuto i suoi dati dalla società estera INB lnformatik-und lndustrieberatung GmbH (di seguito indicata come “INB”);

- WW di aver ricevuto telefonate promozionali indesiderate relative a prodotti “Fastweb”;

- XX e WQ di aver ricevuto telefonate promozionali indesiderate relative a prodotti “Sky”;

- XY di aver ricevuto telefonate promozionali indesiderate tese a reclamizzare prodotti “Enel Energia”;

- YY di aver ricevuto sms promozionali indesiderati riguardanti prodotti di varie società.

Gli ultimi quattro segnalanti hanno inoltre rappresentato che - in base ai riscontri ricevuti – i loro dati personali sarebbero stati acquisiti da Supermoney che, nel caso di WQ (al pari di quanto risultato a ZZ) li avrebbe ottenuti dalla citata INB.

2.1. Muovendo da tali segnalazioni, l’Ufficio ha svolto una preliminare verifica in data 7 ottobre 2016 sul sito www.supermoney.eu, quale fonte di raccolta dei dati personali degli utenti, dalla quale è risultato che:

a) il sito in questione offriva un servizio di comparazione delle offerte disponibili per più settori merceologici (mutui, assicurazioni, luce, gas, telefonia) e proponeva, al momento dell’accesso:

- un “popup” con la seguente dicitura “Chiama il numero 0236571853 oppure inserisci i tuoi dati per essere contattato, gratis e senza impegno”; 

- alcune caselle di testo editabili con le richieste di “Nome e Cognome” e “Cellulare”, nonché

-  una casella di spunta con la seguente formula “Ho letto l’informativa privacy e acconsento al trattamento dei dati”;
in caso di compilazione delle caselle di testo, ma di mancata spunta del consenso, il sito non acquisiva i dati personali inseriti dall’interessato, segnalando tale mancanza e non consentendo all’interessato di procedere con la richiesta di essere contattato;

b) l’informativa, rilasciata in corrispondenza del form in questione, mediante un apposito link, recava il riferimento a diverse finalità di trattamento di dati tra le quali: l’invio di comunicazioni promozionali proprie e di soggetti terzi; la comunicazione dei dati a terzi (situati anche in paesi extra UE) per attività di marketing;

c) a fronte dell’informativa di cui sopra (con l’indicazione delle diverse citate finalità del trattamento), non veniva richiesto agli interessati un consenso specifico e differenziato.
2.2. Sulla base degli elementi sopra complessivamente esposti, considerate anche la varietà e la rilevanza dei settori merceologici curati dalla Società, nonché il fenomeno di circolazione dei dati emergente da alcune ulteriori segnalazioni, l’Autorità - avvalendosi della collaborazione del Nucleo Speciale Privacy - ha effettuato, nei giorni 11-13 luglio 2017, accertamenti presso la Società in questione al fine di verificare la liceità dei trattamenti di dati effettuati.

3.1. Nel corso delle verifiche, la Società ha dichiarato (v. verbale 11 luglio 2017, p. 5), con riferimento all’origine dei dati personali da essa trattati per finalità promozionali, che vi sono due distinte fonti di acquisizione:

a) il sito www.supermoney.eu tramite il quale viene offerto “il servizio di confronto e distribuzione di prodotti nei settori: assicurativo, finanziario, telefonico ed energetico”, e 

b) l’ “acquisizione a titolo oneroso di dati da società terze”. 

La Società ha inoltre rappresentato che il proprio complessivo data-base, implementato dalle predette modalità di raccolta, contiene 7.636.067 anagrafiche, delle quali 1.929.066 (“interne generate”, ossia acquisite direttamente mediante il citato sito web) e 5.707.001 (“esterne caricate”, cioè acquisite mediante acquisto di liste dalle società cedenti), precisando “che le anagrafiche dei soggetti ‘disponibili’ (ossia di coloro che non si sono disiscritti e ancora risultano con i consensi privacy, e quindi risultano legittimamente contattabili per finalità promozionali) sono 5.732.138 (di cui 1.322.610, … acquisite mediante il sito www.supermoney.eu e 4.409.528, … caricate da società cedenti)” (v. verbale 13 luglio, p. 1 e all.11 allo stesso).

3.2. Con riguardo all’acquisizione di dati personali mediante il menzionato sito web, è emerso (cfr. verbale 11 luglio 2017, pp. 3 e 4) che i form utilizzati dalla Società presentano l’informativa per il trattamento dei dati, con indicazione puntuale di: titolare, modalità, finalità, complessivo “perimetro” dei trattamenti (inclusi i terzi possibili destinatari dei dati raccolti), nonché dei diritti degli interessati; inoltre, tali form risultano provvisti della richiesta di consensi specifici e differenziati per le distinte finalità di marketing e di comunicazione a terzi.

Viceversa, sono risultate confermate le criticità già riscontrate dall’Ufficio relativamente al form di pop-up, che non prevede consensi distinti e differenziati  per i diversi trattamenti indicati nelle informative, ossia, invio di comunicazioni promozionali proprie o di soggetti terzi e comunicazione dei dati a terzi, situati anche in paesi extra UE, per attività di marketing.

La Società ha precisato che i dati raccolti tramite il suddetto pop-up (alla data dell’11 luglio 2017, risultanti 51.485: cfr. verbale 11 luglio 2017, p. 5) sono stati trattati unicamente per dare esecuzione alle richieste provenienti dagli interessati nell’ambito del serevizio offerto dalla società. 

3.3. Con specifico riferimento invece ai dati personali acquisiti dalle società terze cedenti  (5.707.001 anagrafiche), è risultato che la medesima Società fornisce un’informativa agli interessati per il trattamento dei dati - oltre che tramite il proprio sito web a coloro che vi accedono - al momento del contatto promozionale (con varie modalità: posta elettronica; sms; telefonata con operatore), comunicando, in linea generale, anche l’origine dei dati personali, la titolarità e la finalità del trattamento, già nell’ambito del testo promozionale (come per le “e-mail di benvenuto”) o comunque tramite il rinvio all’informativa integrale presente sul menzionato sito web (v. verbale 13 luglio, pp. 2 -3). 

Non risulta, invece, che la Società abbia provveduto alla richiesta di alcun consenso per il trattamento di  tali dati, limitandosi, secondo quanto dichiarato ai sensi e per gli effetti dell’art. 168 del Codice, a far affidamento sul fatto che le imprese cedenti abbiano provveduto ad acquisire direttamente loro stesse i necessari consensi, degli interessati, per il trattamento sia per le finalità promozionali, sia per la comunicazione/cessione a terzi (fra cui Supermoney). Peraltro, nei contratti stipulati con tali imprese viene espressamente inserita una clausola con la quale le stesse garantiscono di aver effettuato gli adempimenti previsti dalla normativa, compresi quelli relativi al consenso, con possibilità di rivalsa, ove emergano violazioni, nei loro confronti da parte di Supermoney. Inoltre, la Società ha dichiarato di chiedere “…alle società cedenti, talvolta alcune verifiche a campione riguardo alla precisa origine dei dati e ai consensi acquisiti direttamente dalle stesse società”, rappresentando di non disporre, tuttavia, “di elementi probatori tali da comprovare tali verifiche” (v. verbale 12 luglio, p.4; copie contratti – all. 2 dell’11 luglio e all. 5 del 12 luglio).

3.4. La Società ha poi dichiarato (cfr. verbali 12 luglio, p. 3; 13 luglio, pp. 3-5) di effettuare, oltre all’attività promozionale (con le varie modalità sopra indicate), anche attività di comunicazione/cessione dei dati raccolti mediante numerosi contratti (circa 200 fra il 1° gennaio 2015 e il giugno 2017, se si considerano i rinnovi e gli aggiornamenti contrattuali relativi a medesimi partner commerciali). Inoltre, la medesima risulta comunicare detti dati personali a soggetti terzi (call center) - appositamente nominati come responsabili del trattamento - per lo svolgimento dell’attività di telemarketing per conto di più committenti (cfr. verbali 12 e 13 luglio, cit.), fra i quali note società del settore telefonico ed energetico.

L’Autorità, in sede di accertamento per il tramite del citato Nucleo Speciale, al fine di verificare la correttezza del trattamento dei dati personali acquisiti da soggetti terzi, ha proceduto con la selezione di un campione casuale di 5 anagrafiche acquisite da ciascun soggetto cedente, richiedendo alla Società di produrre elementi specifici con riguardo all’origine dei dati e all’eventuale acquisizione del consenso informato degli interessati per il trattamento (cfr. verbale 11 luglio, p. 3).

In relazione a tale richiesta, per ciascuna impresa cedente, la Società ha fornito lo scambio di corrispondenza intercorso con la stessa relativamente alla richiesta di informazioni relativa agli interessati selezionati e, ove da queste forniti, la loro '“informativa privacy”, nonché i moduli relativi all'acquisizione dei consensi (cfr. note integrative del 25, 26 e 28 luglio scorso, cit.). 

Supermoney, in particolare,  ha evidenziato che “Dada Web e …. INB …. , nonostante le reiterate richieste di informazioni da parte di Supermoney, hanno prodotto limitati riscontri o alcun riscontro” relativamente ai cinque soggetti selezionati nelle liste da loro fornite, producendo –  con riguardo ai soggetti  già registrati nel proprio data-base - copia della suindicata e-mail di benvenuto (provvista della propria informativa) da essa inviata, subito dopo la ricezione dei relativi dati. 

Sulla base di quanto riferito e della documentazione complessivamente prodotta dalla Società, questa non risulta aver presentato elementi circostanziati riguardo al consenso al trattamento dei dati rilasciati ai soggetti: Dada Web LPP; INB; Net Plus srl., suoi  fornitori.

4. Anche con specifico riferimento alle segnalazioni indicate in premessa, sono stati richiesti alla Società elementi specifici con riguardo all’origine e all’eventuale acquisizione del consenso informato degli interessati (v. verbale 13 luglio, p. 2).

Supermoney, riservatasi di fornire le informazioni richieste (cfr. verbale del 13 luglio scorso, p. 6), ha infine fatto avere (v. riscontro integrativo 25 luglio, cit.):

- la stringa dal proprio data-base che include i dati relativi a ciascun segnalante (ivi inclusa data di registrazione e di cancellazione), evidenziando di aver sempre prontamente evaso le richieste di cancellazione;

- copia dell’e-mail di benvenuto (provvista di informativa) inviata al momento dell'acquisizione dei dati (da società terze in qualità di cedenti) e report relativo all'invio di tale comunicazione; 

- evidenza dell'attività promozionale realizzata dalla medesima Società nei confronti di ciascuno dei segnalanti;

- scambio di comunicazioni intervenuto tra essa e la cedente INB, ove quest’ultima ha dichiarato di non aver più a disposizione le informazioni relative alle modalità di acquisizione dei dati di alcuni segnalanti (WQ; XY; WW; ZZ; XX), avendoli cancellati  dai propri data-base.

La Società ha ammesso di aver contattato per finalità promozionali, a mezzo di posta elettronica, i segnalanti: XY, ZZ, XX, WW, HH, JJ e, a mezzo telefonico, YY, precisando, però, di non aver inviato loro alcun sms promozionale.

Con specifico riguardo alla segnalazione di XX, la Società ha inoltre dichiarato di aver fornito prontamente a Sky le informazioni necessarie (anche con riguardo alla “liberatoria” per il trattamento dei dati) per poter dare pronto riscontro all'interessato riguardo all'origine dei suoi dati, aggiungendo che gli stessi sono stati prontamente eliminati dal proprio data- base, a seguito della segnalazione ricevuta.

In relazione alla segnalazione di HH, la Società ha altresì fornito copia del riscontro ricevuto dall’impresa cedente, inclusi la privacy policy e i form utilizzati per l'acquisizione dei consensi dell’interessato distinti per le finalità di marketing e di cessione a terzi.

In relazione alla segnalazione di ZZ, Supermoney, con la nota del 7 settembre 2017, ha dichiarato di aver inviato all’interessato riscontro tramite lettera raccomandata - di cui tuttavia non ha conservato traccia nei propri archivi - secondo un formato standard normalmente utilizzato per dar riscontro in casi analoghi. Peraltro, secondo la Società, “la segnalazione ricevuta da Supermoney in copia alla richiesta di osservazioni …. conferma che … ZZ,.., ha ricevuto da parte di Supermoney l'email di benvenuto” e, a seguito della sua richiesta di informazioni, anche la comunicazione relativa all’esatta origine dei suoi dati (la suddetta "INB", che li avrebbe sucecssivamente ceduti a Supermoney in base ad espressa garanzia contrattuale di conformità alla normativa in materia).

Peraltro, come rappresentato dalla Società:

- l'acquisizione dei dati di ZZ, da parte di INB, è stata perfezionata in pari data rispetto all'invio da parte di Supermoney del proprio messaggio di benvenuto (con l’informativa per il trattamento);

- “gli scambi di comunicazioni che ZZ richiama nella propria segnalazione, intervenuti tra il medesimo e la INB nel corso del 2013, di per sé non escludono che successivamente al 2013 INB abbia ulteriormente acquisito i dati” del medesimo, fra i quali gli indirizzi ZQ@libero.it e QX@libero.it) e “abbia quindi ceduto gli stessi a Supermoney nel corso del 2015”, nell’ambito delle citate attività di compravendita. 

In relazione alla segnalazione di YY, la Società - nel rappresentare che i dati a questi relativi sono stati acquisiti direttamente tramite il proprio sito web - ha fornito, oltre alla documentazione già indicata, anche estratti delle fasi di sua registrazione al sito; la relativa privacy policy; nonché documentazione relativa al form di acquisizione dei consensi distinti per ciascuna finalità, precisando di aver svolto, nei confronti del medesimo, attività promozionale con contatto telefonico, e non anche e-mail marketing.

In sintesi, sulla base di quanto osservato e documentato, la Società non risulta aver presentato elementi circostanziati riguardo all’acquisizione del necessario consenso al trattamento dei dati dei segnalanti WQ, XY, WW, ZZ e XX) le cui anagrafiche sono state acquistate da INB.

5.1. Dovendo valutare sotto il profilo del rispetto della disciplina in materia di protezione dei dati personali da parte dei trattamenti di dati come sopra descritti, occorre procedere con considerazioni differenziate relativamente alle due citate modalità di raccolta utilizzate dalla Società (proprio sito web; acquisto di liste di anagrafiche da soggetti terzi) e ai trattamenti effettuati riguardo ai medesimi.

Con riguardo al sito web, alla luce della suindicata configurazione dell’informativa nonché della richiesta di distinti specifici consensi, può ritenersi che i form utilizzati dalla Società siano coerenti con la normativa in materia (nello specifico, gli artt. 13, 23 e 130 del Codice). Fa invece eccezione il form relativo al citato meccanismo di pop-up, in relazione al quale, come detto, il consenso alle attività promozionali non risulta liberamente esprimibile dagli utenti. 

Pertanto, nel prendere atto di quanto dichiarato dal rappresentante della Società, anche ai sensi e per gli effetti dell’art. 168 del Codice, in ordine all’asserito mancato utilizzo dei dati raccolti per finalità promozionali e le altre finalità indicate nell’informativa rilasciata a mezzo sito web - deve comunque ritenersi che, alla luce degli elementi in atti, il trattamento dei dati riferiti agli utenti raccolti, con la siffatta modalità, dalla Società sia avvenuto in modo illecito, per le ragioni di seguito evidenziate. 

Come costantemente osservato da questa Autorità, la capacità di autodeterminazione di utenti e contraenti (e quindi la libertà del consenso che questi sono chiamati a manifestare) non è assicurata quando si assoggetta, come nel caso di specie, la fruizione di un servizio ‒ per le quali peraltro la legge comunque non richiede l’acquisizione di consenso (cfr. art. 24, comma 1, lett. b), del Codice) ‒ alla contestuale autorizzazione a trattare i dati conferiti, ai fini di tale servizio, per finalità diverse. Ciò, con la conseguenza che i dati raccolti dal titolare per l'erogazione del servizio vengono di fatto piegati ad una finalità diversa da quella che ne ha giustificato la raccolta, in violazione, dunque - oltre che del principio del consenso di cui all’art. 23, commi 1 e 3, del Codice - dei principi di correttezza e finalità del trattamento dei dati personali sanciti dall’art. 11, comma 1, lett. a) e b), del Codice (v., tra i tanti, provv.ti 27 ottobre 2016, n. 439, doc. web n. 5687770; 10 marzo 2016, n. 110, doc. web n. 4988238; 11 febbraio 2016, n. 49, doc. web n. 4885578; e, tra i più risalenti, 15 luglio 2010, doc. web n. 1741998; 22 febbraio 2007, punto 4.2, doc. web n. 1388590, con ulteriore richiamo ai più risalenti provv.ti 10 maggio 2006, doc. web n. 1298709; 12 ottobre 2005, doc. web n. 1179604; 3 novembre 2005, doc. web n. 1195215; in particolare, con riguardo alla fornitura di beni o servizi subordinata alla necessaria autorizzazione al trattamento dei dati per fini promozionali (c.d. consenso obbligato), cfr. provv.ti 10 marzo 2016, cit.; 1° ottobre 2015, n. 508, doc. web n. 4452896; 20 dicembre 2012, doc. web n. 2223607; 24 febbraio 2005, punto 7, doc. web n. 1103045).

Considerato peraltro che la “raccolta” (al pari della conservazione) dei dati personali è in sé -a prescindere da eventuali ulteriori trattamenti- un'operazione di trattamento rilevante ai fini della normativa in materia e quindi protetta dalla medesima (v. art. 4, comma 1, lett. a. del Codice; in questo senso, v., fra agli altri: i provv.ti 27 ottobre 2016, cit.; 20 novembre 2014, doc web n. 3657934), le menzionate violazioni sono da ritenersi assorbenti rispetto all’ulteriore violazione ravvisabile, in capo alla Società, nella mancata acquisizione, al momento della raccolta, di un libero e specifico consenso degli utenti per l'invio di comunicazioni automatizzate a contenuto promozionale ai sensi dell'art. 130, commi 1 e 2, del Codice. 

È altresì opportuno ricordare che tali necessari requisiti del consenso sono evidenziati anche dalle menzionate Linee guida in materia di attività promozionale e contrasto allo spam del 4 luglio 2013, e sono stati sostanzialmente ribaditi dal Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (“regolamento generale sulla protezione dei dati”, in http://eur-lex.europa.eu/; v., in particolare: artt. 6 e 7 e i considerando 42 e 43). 

5.2. Per le ragioni sopra esposte, i dati personali raccolti mediante il detto pop-up - ai sensi dell’art. 11, comma 2, del Codice - non possono essere utilizzati per finalità diverse da quelle di esecuzione del servizio offerto dalla Società (comparazione delle offerte disponibili per più settori merceologici), ossia a fini di marketing o di comunicazione a terzi per finalità promozionali. Tale ulteriore utilizzo deve quindi essere vietato a Supermoney.

Laddove detta società, per il futuro, intenda procedere a tali ulteriori trattamenti, dovrà necessariamente riformulare il suesposto form di raccolta dei dati sul proprio sito web, affinché venga acquisito dalla clientela un consenso, oltre che informato, anche libero, specifico e chiaramente formulato con riferimento alle finalità promozionali e di comunicazione/cessione a terzi, nonché documentato.

5.3 Rispetto al trattamento effettuato (come sopra identificato) è applicabile la sanzione amministrativa (art. 162, comma 2-bis, del Codice) che, tuttavia, risulta già contestata dal Nucleo Speciale Privacy ed oblata dalla Società. 

6.1. Sotto un diverso profilo, è altresì emerso che nel medesimo data-base confluiscono, in aggiunta ai dati raccolti sul citato sito web, anche i dati personali acquisiti da parte di soggetti terzi cedenti liste di interessati -fra i quali alcuni segnalanti (in particolare: WQ; XY; WW; ZZ; XX, acquisiti da INB) e i 5 soggetti selezionati a campione fra le liste di dati comunicate alla Società da INB; Dada Web LPP e Net Plus srl- rispetto ai quali Supermoney, né in sede di accertamento in loco né successivamente, ha fornito elementi idonei a comprovare l'avvenuto rilascio del necessario consenso specifico per le distinte finalità di marketing e di comunicazione a terzi per analoghe finalità promozionali. 

Pertanto, anche in relazione alle siffatte attività di marketing e di comunicazione a terzi,  risultano violate le disposizioni sopra individuate (v.: artt. 11, comma 1, lett. a) e b); 23, commi 1 e  3; 130, commi 1 e 2, del Codice). Peraltro, si evidenzia come l'obbligo di acquisizione del preventivo specifico consenso per le finalità promozionali (e, s’intende, per le altre diverse finalità non meramente endo-contrattuali od amministrative) sia stato ribadito dal Garante in più provvedimenti, generali e specifici, anche recenti: cfr. provv. 27 ottobre 2016, doc. web n. 5687770 e, fra gli altri, anche provv.ti 24 febbraio 2005, punto 7, doc. web n. 1103045; 20 dicembre 2012, doc. web n. 2223607; 1° ottobre 2015, n. 508, doc. web n. 4452896; 10 marzo 2016,  n. 110, doc. web n. 4988238; 11 febbraio 2016, n. 49, doc. web n. 4885578); nonché, in termini più generali, anche nell’ambito delle citate Linee guida in materia di attività promozionale del 4 luglio 2013. Si evidenzia altresì che l’Autorità ha, ormai da lungo tempo, espressamente chiarito che l'acquirente di banche dati – quale risulta, nella fattispecie, Supermoney - deve verificare che “ciascun interessato abbia validamente acconsentito alla comunicazione del proprio indirizzo di posta elettronica ed al suo successivo utilizzo ai fini di invio di materiale pubblicitario”(cfr. par. 5, provv. gen 29 maggio 2003, cit.).

Si devono peraltro tener in debito conto, nella valutazione del rilevante impatto di tali attività di trattamento per il fondamentale diritto alla protezione dei dati, nonché per il connesso diritto alla tranquillità individuale (soprattutto, in considerazione del diffuso fenomeno del telemarketing indesiderato) degli interessati, sia la notevole mole dei dati personali trattati dalla Società (cfr. punto 3.3.) sia il rischio concreto che il vizio originario del consenso di una parte delle liste acquisite dalla Società da soggetti terzi si riverberi, in termini di illiceità, su ogni successiva attività di trattamento dei medesimi dati (quali l’eventuale invio di comunicazioni promozionali e/o l’eventuale ulteriore comunicazione/cessione a altri terzi per finalità  promozionali) effettuata da parte dei soggetti (cessionari), ai quali la Società li abbia comunicati o ceduti (per una fattispecie analoga, cfr. provv. 18 novembre 2015, doc. web n. 4487559).

6.2. Per tali suddette complessive ragioni, i dati personali -relativi ai segnalanti: WQ; XY; WW; ZZ; XX, acquisiti da INB; nonché ai soggetti selezionati a campione e agli altri eventuali interessati, le cui anagrafiche siano state acquisite da INB, Dada Web LPP e Net Plus srl, in assenza di un documentato consenso specifico per la finalità di marketing e per l’ulteriore distinta finalità di comunicazione/cessione a terzi per le loro finalità promozionali -, non possono, ai sensi dell’art. 11, comma 2, del Codice, essere ulteriormente trattati per tali finalità, e se ne deve quindi vietare alla medesima Società l’ulteriore trattamento (per le medesime finalità). 

Si deve inoltre prescrivere alla medesima Società di avvisare, i soggetti terzi ai quali ha comunicato/ceduto liste di dati personali (provenienti, come detto, da INB; Dada Web LPP e Net Plus srl) sprovvisti del necessario specifico consenso per le distinte finalità promozionali e di comunicazione a terzi per le loro analoghe finalità, che i medesimi dati non possono essere utilizzati in assenza del necessario consenso specifico, oltre che libero, informato e documentato, degli interessati (cfr., per una prescrizione analoga, provv. 18 novembre 2014, cit.).
6.3. Anche al siffatto trattamento (dei dati relativi ai segnalanti nonché degli interessati oggetto di verifica a campione, come sopra individuati), poiché risulta svolto in assenza del necessario e specifico consenso, è applicabile la sanzione amministrativa (162, comma 2-bis, Codice, che concerne la menzionata violazione degli artt. 23 e 130 del Codice); sanzione, che, tuttavia, risulta anch’essa già contestata dal Nucleo Speciale Privacy ed adempiuta dalla Società. 

6.4. In ragione di quanto sopra detto, l’Autorità - al fine di contrastare la circolazione e gli eventuali ulteriori trattamenti di dati personali in violazione della normativa in materia di protezione dei dati personali - si riserva di effettuare accertamenti istruttori anche nei confronti dei partner commerciali della Società.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi degli artt. 143, comma 1, lett. b) e c), 144 e 154, comma 1, lett. c) e d), del Codice, nei confronti di Supermoney Spa, 

a) vieta il trattamento, per finalità diverse da quelle di esecuzione del servizio, dei dati raccolti mediante pop-up sul proprio sito www.supermoney.eu (punto 5.2);

b) vieta il trattamento per finalità promozionali, nonché la comunicazione/cessione per analoghe finalità, dei dati personali relativi ai: segnalanti WQ; XY; WW; ZZ; XX; ai soggetti selezionati a campione nonché agli ulteriori interessati, le cui anagrafiche siano state acquisite da soggetti terzi (in particolare: INB;  Dada Web LPP e Net Plus srl), in assenza di un comprovato consenso libero e specifico per ciascuna di tali finalità (punti 6.2 e 6.3);

c) prescrive di avvisare i soggetti terzi ai quali siano stati eventualmente cedute liste di dati personali (acquisite direttamente mediante il sito di Supermoney o dasssss INB;  Dada Web LPP e Net Plus srl) sprovvisti del necessario specifico consenso di cui alla lettera b) - che tali dati non possono essere utilizzati per finalità promozionali (o per quella di comunicazione/cessione a terzi), in assenza dell’acquisizione di uno specifico consenso, libero, informato e documentato, degli interessati per ciascuna di tali finalità (punti 6.2 e 6.3);

d) prescrive, quale misura necessaria, nel caso in  cui la Società intenda effettuare in futuro  gli ulteriori trattamenti per le finalità sopra descritte, la riformulazione del form di raccolta dei dati mediante il menzionato pop-up affinché venga acquisito dagli utenti un consenso, oltre che informato e documentato per iscritto, anche libero, specifico e chiaramente formulato con riferimento alle finalità promozionali e alla prevista comunicazione a terzi (punto 5.2); 

e) invita a comunicare, entro 30 giorni dal ricevimento del presente provvedimento, ai sensi dell’art. 157 del Codice, quali iniziative siano state intraprese al fine di dare attuazione al presente provvedimento, con l’avvertenza che il mancato riscontro alla presente richiesta è punito con la sanzione amministrativa di cui all’art. 164 del Codice.

Si ricorda che, ai sensi dell’art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni; in ogni caso, è altresì applicata in sede amministrativa la sanzione del pagamento di una somma da trentamila a centottantamila euro ai sensi dell’art. 162, comma 2-ter del Codice.

Ai sensi degli artt. 152 del Codice e 10, d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 22 maggio 2018

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia