Diritti interna

Doveri interna

ricerca avanzata

Provvedimento del 12 giugno 2019 [9120218]

 

VEDI ANCHE: Newsletter del 21 giugno 2019

 

[doc. web n. 9120218]

Provvedimento del 12 giugno 2019

Registro dei provvedimenti
n. 130 del 12 giugno 2019

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito: “Regolamento UE”), applicabile dal 25 maggio 2018, in luogo dell’abrogata Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati;

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito “Codice”), modificato, a far data dal 19 settembre 2018, dal d.lgs. n. 101/2018, recante disposizioni per l'adeguamento della normativa nazionale alle disposizioni del Regolamento UE;

VISTI i provvedimenti del Garante a carattere generale del 4 luglio 2013, "Linee guida in materia di attività promozionale e contrasto allo spam" (in www.garanteprivacy.it, doc. web n. 2542348) e del 29 maggio 2003, “Spamming. Regole per un corretto uso dei sistemi automatizzati e l'invio di comunicazioni elettroniche” (doc. web n. 29840);

VISTA la segnalazione inviata all’Autorità il 23 agosto 2017 da XX ai sensi dell’art. 141, comma 1, lett. b), del Codice, relativamente alle modalità di raccolta dei dati personali effettuata sul sito www.pampers.it;

VISTE le risultanze dell’accertamento svoltosi presso la predetta Società nei giorni 5-8 marzo 2018, con l’ausilio del Nucleo Speciale Privacy della Guardia di Finanza;

VISTA altresì la documentazione integrativa inviata dalla Società il 22 marzo 2018, a scioglimento delle riserve formulate nel corso degli accertamenti di cui sopra;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Licia Califano;

PREMESSO

1. E’ pervenuta all’Autorità la segnalazione di XX, nella quale la medesima, con riferimento al servizio di registrazione al sito www.pampers.it, ha lamentato i due seguenti profili:

a) che il form relativo alla “Raccolta punti” richiedeva dati eccedenti e non pertinenti rispetto alla finalità di raccolta dei punti dei pannolini; 

b) che, per poter procedere con la registrazione al detto sito al fine di partecipare alla raccolta punti, era obbligatorio prestare il consenso anche per la finalità di ricezione di comunicazioni promozionali.

A seguito di una preliminare istruttoria svolta dall’Ufficio riguardo alle modalità di raccolta utilizzate sul sito in questione,  è risultato che, conformemente a quanto segnalato, in sede di registrazione venivano richiesti agli utenti vari dati personali (fra i quali; l’indirizzo fisico; l’indirizzo di posta elettronica; il numero di telefonia fissa e quello di telefonia mobile).

Inoltre, veniva richiesto di rilasciare due consensi mediante altrettante caselle:

i. uno “per finalità promozionali; di invio di newsletter; analisi statistiche; sondaggi d’opinione, con riguardo al marchio “Pampers”;

ii. l’altro per le medesime finalità di cui al punto 1., con riguardo ai diversi marchi “Lines”; “Linidor”;“Tampax”; “Ace”; “Infasil”.

Il primo era indistintamente riferito alle finalità (enucleabili come promozionali, sondaggistiche e statistiche) sopra indicate, al pari del secondo che doveva inoltre essere necessariamente selezionato, al fine di poter procedere con la registrazione al detto sito web.

2. Alla luce di quanto emerso, l’Autorità ha ravvisato la necessità di svolgere approfondimenti riguardo alle modalità di raccolta dei dati e agli ulteriori trattamenti effettuati dalla Società, anche in considerazione della possibile rilevanza sotto il profilo quantitativo dei trattamenti in parola, ed ha pertanto svolto, con l’ausilio del Nucleo Speciale Privacy, un accertamento, nei giorni 5-8 marzo 2018, presso la medesima.

Nel corso delle verifiche, la Società ha dichiarato, anche ai sensi dell’art. 168 del Codice (v. verbale 6 marzo 2018, p. 3) di raccogliere, nell’ambito della propria attività, i dati personali dei propri clienti/utenti mediante i siti web afferenti ad alcuni propri marchi (quali “Pampers”; “Lines”; “Ace”), per un totale di circa “1.600.000 record” (v. verbale 8 marzo 2018, p. 2).

Nell’ambito delle verifiche effettuate su tali siti web, con particolare riferimento al form relativo alla “Raccolta punti” del sito www.pampers.it, oggetto di segnalazione, dapprima sono state richieste specifiche informazioni riguardo alla tipologia di dati raccolti e alle relative finalità.

La Società al riguardo ha rappresentato che “solo in ambito Pampers, vengono trattati anche il nome ed il cognome del bambino e l’età. Il nome ed il cognome del bambino sono dati obbligatori, mentre la sua età è un dato facoltativo. Detti dati … vengono cancellati dopo 36 mesi dalla data di raccolta …, ed è legata ad eventuali iniziative promozionali legate al compleanno…… La raccolta del numero di utenza mobile serve per il funzionamento del meccanismo di autenticazione, e solamente in presenza di espresso consenso per l’invio di messaggi nei limiti delle preferenze impostate dall’interessato, nel suo pannello di controllo privacy” (v. verbale 6 marzo 2018, p.2).

Inoltre, sono state accertate e documentate le menzionate modalità di acquisizione dei due consensi richiesti in fase di registrazione al menzionato sito “Pampers” e, in particolare, la Società ha ammesso che detto form “prevede[va] l’obbligatorietà del consenso in relazione al secondo bottone”, ossia in relazione alla casella riguardante le finalità promozionali, di invio di newsletter, di analisi statistiche, di sondaggi d’opinione, con riguardo ai diversi marchi “Lines”; “Linidor”;“Tampax”; “Ace”; “Infasil” (v. verbale 7 marzo, cit., p. 2). 

Peraltro, è risultato che i dati in tal modo raccolti sono stati ulteriormente trattati, in particolare per lo svolgimento di attività promozionale mediante newsletter (esemplificando: “Dal gennaio 2017 ad oggi, per il brand Lines, sono state inviate 8 diverse newsletter all’intera popolazione presente nel database”, di cui alcune sono state fornite in copia dalla Società (all.14 al verbale del 7 marzo 2018), per un complessivo invio, in media, di circa duecentomila e-mail promozionali al mese (all.15 al citato verbale). Inoltre: "Dal gennaio 2017 ad oggi, per il brand Pampers, sono state effettuate 11 campagne diverse di newsletter a coloro che hanno manifestato il relativo consenso alla ricezione di campagne promozionali”, di cui alcune fornite in copia (v. all.14 al verbale cit.), unitamente al numero dei relativi destinatari, per un complessivo invio di circa un milione di e-mail promozionali sia nel 2017 sia nel 2018 (fino alla data dell’accertamento) (v. all. 16, verb. cit.).

La Società ha invece affermato di non aver mai svolto le altre attività, pur indicate nella citata formula di acquisizione del consenso (v. verbale 7 febbraio 2018, p. 2).

3. Venendo alla valutazione, sotto un profilo giuridico, dei trattamenti di dati come verificati, occorre tener conto anzitutto della normativa vigente alla data dell’accertamento, ossia il d.lgs. n. 196/2003 (“Codice”), nel testo vigente prima della applicabilità del Regolamento UE e delle modifiche apportate al medesimo Codice dal d. lgs. n. 101/2018.

Ciò precisato, con particolare riguardo al form “raccolta punti” del sito www.pampers.it, (v. sopra punto 1. lett. a), si rappresenta che, diversamente da quanto segnalato, la tipologia di dati raccolti – considerati i chiarimenti forniti dalla Società (con specifico riferimento alla utilità di siffatti dati per la gestione del programma nonché alla loro conservazione per un periodo limitato) - non è risultata in contrasto con i principi di finalità e proporzionalità del trattamento (v. art. 3-11 Codice, sostanzialmente ribaditi dall’art. 5 Regolamento UE).

Sono state ravvisate, invece, le due seguenti criticità con riferimento all’acquisizione dei consensi richiesti agli interessati per il trattamento dei loro dati (v. sopra punto 1, lett. b)):

1) il primo consenso richiesto per finalità promozionali, di invio di newsletter, analisi statistiche, sondaggi d’opinione, con riguardo al marchio “Pampers” è risultato accomunare indistintamente più diverse finalità, impedendo all’interessato di poter distinguere fra di esse e di fornire il proprio consenso libero e selettivo;

2) anche il secondo  consenso – ossia quello richiesto per le medesime finalità di cui al punto precedente, ma con riguardo ai diversi marchi “Lines”; “Linidor”; “Tampax”; “Ace” ed “Infasil” – è risultato affetto dal medesimo vizio del primo ed inoltre da selezionare obbligatoriamente per poter procedere con la registrazione al sito web in questione, e, quindi, anche per poter partecipare al programma di raccolta punti.

Deve pertanto ritenersi che, alla luce degli elementi in atti, il trattamento dei dati riferiti agli utenti, raccolti con le siffatte modalità, sia avvenuto in modo illecito, per le ragioni di seguito precisate.

Come costantemente osservato da questa Autorità, la capacità di autodeterminazione degli interessati (e quindi la libertà del consenso che questi sono chiamati a manifestare) non è assicurata né quando viene richiesto un unico consenso per più diverse finalità di trattamento, né quando si assoggetta, la fruizione di un servizio, qual è il programma di raccolta punti ‒ per le quali peraltro la legge comunque non richiede l’acquisizione di consenso (cfr. art. 24, comma 1, lett. b), del Codice, il cui disposto, ad oggi abrogato, può ritenersi sostanzialmente confermato dall’art. 6, par. 1, lett b), del Regolamento UE) ‒ alla previa autorizzazione a trattare i dati conferiti, ai fini di tale servizio, per finalità diverse, qual è quella promozionale o quella statistica. Ciò, con la conseguenza che i dati raccolti dal titolare per l'erogazione del servizio vengono di fatto piegati ad una finalità diversa da quella che ne ha giustificato la raccolta, in violazione, dunque - oltre che del principio del consenso di cui all’art. 23, commi 1 e 3, del Codice – anche dei principi di correttezza e finalità del trattamento dei dati personali già sanciti dall’art. 11, comma 1, lett. a) e b), del Codice e ribaditi dall’ art. 5, par. 1, lett. a) del Regolamento UE (tra i tanti, v.: provv.ti 27 ottobre 2016, n. 439, doc. web n. 5687770; 10 marzo 2016, n. 110, doc. web n. 4988238; 11 febbraio 2016, n. 49, doc. web n. 4885578; e, tra i più risalenti: provv.ti 15 luglio 2010, doc. web n. 1741998; 22 febbraio 2007, punto 4.2, doc. web n. 1388590, con ulteriore richiamo ai più risalenti provv.ti 10 maggio 2006, doc. web n. 1298709; 12 ottobre 2005, doc. web n. 1179604; 3 novembre 2005, doc. web n. 1195215; in particolare, con riguardo alla fornitura di beni o servizi subordinata alla necessaria autorizzazione al trattamento dei dati per fini promozionali - c.d. consenso obbligato; cfr. anche provv. ti 22 maggio 2018, doc. web n. 8995274; 10 marzo 2016, cit.; 1° ottobre 2015, n. 508, doc. web n. 4452896; 20 dicembre 2012, doc. web n. 2223607; 24 febbraio 2005, punto  7, doc. web n. 1103045).

Occorre poi ricordare che ogni trattamento che comporti l´identificabilità degli interessati necessita del loro consenso specifico, informato e distinto per ciascuna finalità (v. art. 23, comma 3, del previgente Codice; per il medesimo principio, v. già anche provv. gen. 24 febbraio 2005, doc. web n. 1103045, pur con specifico riferimento ai programmi di fidelizzazione; provv. 23 marzo 2011, doc. web 1807691).

Si deve peraltro considerare che la “raccolta” (al pari della “conservazione”) dei dati personali è in sé - a prescindere da eventuali ulteriori trattamenti (quale l’invio di comunicazioni per finalità promozionale, che peraltro risulta essere stato effettuato dalla Società nell’ambito delle proprie campagne di marketing) - un'operazione di trattamento rilevante ai fini della normativa in materia (v. art. 4, comma 1, lett. a. del previgente Codice; in questo senso, v., fra agli altri: i provv.ti 27 ottobre 2016, cit.; 20 novembre 2014, doc. web n. 3657934). Pertanto, i suindicati profili di illiceità sono da ritenersi assorbenti rispetto all’ulteriore violazione ravvisabile, in capo alla Società, nella mancata acquisizione, in sede di raccolta dei dati, di un libero e specifico consenso degli utenti per l'invio di comunicazioni automatizzate (quali le e-mail) a contenuto promozionale ai sensi degli artt. 23, comma 3, e 130, commi 1 e 2, del Codice.

È inoltre opportuno ricordare che tali necessari requisiti del consenso sono evidenziati anche dalle menzionate Linee guida in materia di attività promozionale e contrasto allo spam del 4 luglio 2013 e sono stati sostanzialmente ribaditi dal Regolamento UE (v., in particolare: artt. 6 e 7 e i considerando 40, 42 e 43), già vigente dal 25 maggio 2016 e pienamente operativo dal 25 maggio 2018.

4. E’ altresì emerso un ulteriore profilo di illecito trattamento. Infatti, la Società, secondo quanto accertato, ha ulteriormente trattato i dati raccolti mediante il citato sito www.pampers.it, senza aver acquisito il preventivo necessario specifico e libero consenso, e quindi in violazione delle menzionate disposizioni degli artt. 23 e 130 del Codice.

Peraltro, come sopra detto, risulta elevato il numero degli utenti registrati nonché quello dei destinatari di siffatte comunicazioni.

5. Per le predette ragioni, i dati personali raccolti con le modalità di cui sopra, non risultando assistiti da un consenso libero e specifico, oltre che informato e documentato, degli interessati non possono essere trattati e quindi l’Autorità ritiene di dover formulare un provvedimento di divieto.

Inoltre, risulta necessario ingiungere, ai sensi dell’art. 58, par. 2, lett. d), Regolamento UE, alla medesima Società - qualora intenda effettuare in futuro  trattamenti di dati personali per le finalità sopra descritte (promozionali e statistiche) e non abbia già autonomamente provveduto - di riformulare il suesposto form di raccolta dei dati sul proprio sito web, affinché venga acquisito dagli utenti un consenso, oltre che informato e documentato, anche libero, specifico e chiaramente formulato con riferimento a tali distinte finalità.

6. Rispetto ai trattamenti effettuati è applicabile la sanzione amministrativa (art. 162, comma 2-bis, del Codice previgente), che, tuttavia, risulta già contestata dal Nucleo Speciale Privacy ed oblata dalla Società.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità dei trattamenti nei termini sopra descritti, ai sensi dell’art.  58, par. 2, lett. d) e f) del Regolamento UE, nei confronti di Fater Spa:

a) vieta il trattamento, per finalità promozionali e statistiche, dei dati personali raccolti mediante il sito www.pampers.it, in assenza di un consenso, degli interessati, libero e specifico per tali distinte finalità, oltre che informato e documentato;

b) ingiunge - qualora la Società intenda effettuare trattamenti per le finalità sopra descritte (promozionali e statistiche) e non abbia già autonomamente provveduto - di riformulare il form di raccolta dei dati del sito www.pampers.it affinché venga acquisito dagli utenti un consenso, oltre che informato e documentato, anche libero, specifico e chiaramente formulato con riferimento a tali distinte finalità;

c) ai sensi dell’art. 157 del Codice, invita il titolare del trattamento a comunicare, entro trenta giorni dalla data di ricezione del presente provvedimento, idonea documentazione dalla quale si evincano le specifiche decisioni adottate in ordine, tenendo conto delle indicazioni fornite dall’Autorità. Si ricorda che il mancato riscontro alla predetta richiesta è punito con la sanzione amministrativa di cui agli artt. 166 del Codice e 83, par. 5, lett. e) del Regolamento.

Si ricorda che, ai sensi dell’art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni e che, in caso di inosservanza del medesimo provvedimento è altresì applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e), del Regolamento; inoltre, il mancato rispetto dell’ingiunzione impartita è sanzionata amministrativamente ai sensi dell’art. 83, par. 5, lett. e), Regolamento UE.

Ai sensi degli artt. 152 del Codice e 78 del Regolamento UE, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 12 giugno 2019

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia