Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Provvedimento del 15 ottobre 2020 [9486485]

[doc. web n. 9486485]

Provvedimento del 15 ottobre 2020

Registro dei provvedimenti
n. 181 del 15 ottobre 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito "Regolamento");

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito "Codice");

VISTI il reclamo pervenuto al Garante da parte del signor XX nei confronti di Carrefour Banque Succursale Italiana di Carrefour Banque SA, Società di diritto francese (di seguito indicata anche come "Carrefour" o "la Società");

VISTI gli esiti dell’accertamento ispettivo del 13 febbraio 2020 svolto presso la sede di Carrefour in Milano;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal vice segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

Con reclamo del 12 dicembre 2018, regolarizzato il 23 gennaio 2019, il signor XX ha lamentato la ricezione di un sms promozionale da parte di Carrefour e la ricezione di un riscontro inidoneo alla sua richiesta di esercizio dei diritti. In particolare, il reclamante ha lamentato di aver ricevuto dalla Società solo la dichiarazione che l’sms era stato inviato sulla base del consenso acquisito all’atto della sottoscrizione di un contratto nel 2007; tuttavia, dato il tempo trascorso, il reclamante ha richiesto anche la conferma della data di effettiva chiusura del rapporto contrattuale (avvenuta, a sua memoria, dieci anni prima della ricezione del messaggio) ritenendo tale informazione determinante per giudicare la sussistenza di una base giuridica ancora idonea.

A tale ulteriore richiesta non sarebbe tuttavia seguito il riscontro richiesto ma solo una ulteriore conferma della cancellazione dei dati. Pertanto, il signor XX, il 23 gennaio 2019, ha richiesto anche l’intervento dell’Arbitro bancario finanziario; tale procedimento si è chiuso a marzo 2019 con l’ottenimento delle informazioni richieste e l’accettazione da parte del reclamante di una proposta transattiva con espressa volontà di non rinunciare al procedimento avviato presso il Garante.

In particolare il reclamante ha chiesto al Garante di ingiungere al titolare del trattamento di soddisfare le richieste di esercizio dei diritti, vietare il trattamento e di rivolgere alla Società avvertimenti o ammonimenti in merito alle possibili violazioni riscontrate.

L’Ufficio, con nota del 26 settembre 2019 ha chiesto al titolare di fornire proprie osservazioni in merito a quanto rappresentato nel reclamo e se intendesse aderire alle richieste in esso contenute. In assenza di riscontro, il 12 novembre 2019, è stata inviata una successiva richiesta, formulata ai sensi dell’art. 157 del Codice.

Considerato il mancato riscontro alla prima richiesta di informazioni e stante la tardiva risposta alla richiesta del 12 novembre, è stato incaricato il Nucleo Speciale Privacy della Guardia di Finanza di acquisire tutte le necessarie informazioni.

2. ESITI DELL’ISTRUTTORIA

Nel corso dell’accertamento ispettivo, effettuato dal predetto Nucleo il 13 febbraio 2020, la Società ha rappresentato di non aver fornito riscontro alla prima richiesta di informazioni del Garante per impreviste problematiche interne di carattere organizzativo (improvvisa sostituzione della persona preposta alla gestione dei reclami) e di aver invece risposto tardivamente alla richiesta pervenuta ai sensi dell’art. 157 del Codice perché ritenuta ormai risolta la doglianza all’esito dell’accordo raggiunto innanzi all’Arbitro bancario finanziario.

Con riguardo invece a quanto contestato nel reclamo, la Società ha rappresentato che l’invio dell’sms è stato effettuato sulla base di un consenso acquisito nel 2007, all’atto della sottoscrizione di un contratto con la Carrefour Servizi Finanziari S.p.A., fusa per incorporazione con Carrefour Banque nell’ottobre 2011. Tale contratto è stato concluso il 30 novembre 2008.

Carrefour ha inoltre precisato di aver fornito tempestivo riscontro alla richiesta del signor XX del 18 luglio 2018 con mail del successivo 3 agosto, ove assicurava di aver recepito la volontà del reclamante di non ricevere ulteriori contatti promozionali e di aver provveduto a cancellare tutti i dati conservati per tali finalità. La stessa ha inoltre aggiunto di aver risposto anche alla successiva richiesta confermando la cancellazione dei dati.

Per documentare l’acquisizione del consenso, la Società ha fornito, in sede di accertamento ispettivo, una copia del contratto sottoscritto dal reclamante l’8 agosto 2007. In testa a tale contratto è presente uno spazio denominato "Manifestazione del consenso al trattamento dei dati personali" all’interno del quale è presente una dichiarazione di presa visione dell’informativa e una formula di dichiarazione di consenso relativa: I) all’eventuale comunicazione a terzi dei dati per attività di recupero crediti; II) all’effettuazione di ricerche di mercato; III) all’invio di comunicazioni promozionali anche con modalità automatizzate. La formulazione, pertanto, è unica per le diverse finalità di trattamento enunciate.

Inoltre, in calce al riquadro così predisposto è presente la firma del signor XX ma non risulta nessuna selezione delle caselle, pur presenti, "dò il consenso" e "nego il consenso".

Tale documentazione pertanto non può considerarsi idonea a comprovare l’acquisizione di un consenso libero e specifico per la ricezione di messaggi promozionali con modalità automatizzate. Ciò, sia in quanto la richiesta di consenso, così formulata, non prevede una distinzione per le singole finalità (alcune delle quali peraltro soggette a base giuridica diversa dal consenso) e, di conseguenza, non consente l’espressione di uno specifico consenso; sia in quanto la volontà dell’interessato non risulta espressa affatto, dal momento che, come detto, è presente solo una firma ma non una scelta esplicita tra consenso e diniego.

Carrefour ha infine aggiunto che "…dalla fine di ottobre 2018, data di cessazione della commercializzazione di prestiti personali e di carte di credito, la Società non effettua più campagne promozionali di propri prodotti via sms. Precedentemente tali attività venivano effettuate mediante estrapolazione dei dati personali dei soggetti contattabili direttamente dal … gestionale Powercard".

3.VALUTAZIONI DI ORDINE GIURIDICO

Con riferimento ai profili fattuali sopra evidenziati, anche in base alle affermazioni della Società di cui il dichiarante risponde ai sensi dell’art. 168 Codice, si formulano le seguenti valutazioni in relazione ai profili riguardanti la disciplina in materia di protezione dei dati personali.

3.1 Sull’idoneità del consenso acquisito per l’invio di comunicazioni promozionali.

Con il reclamo presentato al Garante, il signor XX ha lamentato di aver ricevuto un riscontro parziale perché mancante della comunicazione in merito alla data di chiusura del rapporto contrattuale, informazione da questi considerata indispensabile per valutare la sussistenza di un valido consenso al momento della ricezione del messaggio promozionale.

Si deve invece osservare che, contrariamente a quanto sostenuto e richiesto dal reclamante, il solo decorso del tempo non è un parametro sufficiente, di per sé, per valutare l’idoneità della base giuridica. Il consenso al trattamento dei dati personali per finalità promozionali, in quanto massima espressione dell’autodeterminazione dell’individuo, deve innanzitutto considerarsi scisso e non condizionato dall’esistenza o meno di un rapporto contrattuale e deve ritenersi valido, indipendentemente dal tempo trascorso, finché non venga revocato dall’interessato, a condizione che sia stato correttamente acquisito in origine e che sia ancora valido alla luce delle norme applicabili al momento del trattamento nonché dei tempi di conservazione stabiliti dal titolare, e indicati nell’informativa, nel rispetto dell’art. 5, par. 1, lett. e) del Regolamento.(1)

Ciò premesso, il lamentato invio del messaggio promozionale deve ritenersi privo di un’idonea base giuridica, non solo in quanto inviato a distanza di dieci anni, ma piuttosto in quanto mancante delle menzionate condizioni di validità.

Nella descritta formula di raccolta del consenso non è presente alcuna scelta, risultando vuote le caselle "dò il consenso" e "nego il consenso". Nella memoria difensiva del 18 maggio 2020, Carrefour nega ogni importanza alla mancata espressione di una scelta riconducendola probabilmente ad una "dimenticanza" del signor XX, sostenendo che anche nel successivo spazio dedicato ai prodotti assicurativi non risulta alcuna selezione eppure il contratto ha avuto effetto. Si deve tuttavia osservare che, dall’esame del contratto sottoscritto, i servizi assicurativi, in quanto accessori, non risultano acquistati e pertanto è plausibile che non sia stata compilata la relativa parte del formulario. La presunta analogia comunque non sarebbe applicabile al caso di specie, dato che il consenso al trattamento dei dati personali deve essere espresso mediante un’azione positiva inequivocabile e non può invece dedursi da fatti concludenti, come per i contratti.

Pertanto, l’acquisizione del consenso per finalità promozionali con tali modalità non poteva ritenersi idonea già nel 2007, all’epoca della sottoscrizione del contratto (essendo già vigente l’art. 130 del Codice) e di certo non risulta più conforme all’attuale quadro normativo. Richiamando il disposto dell’art. 7 del Regolamento, se il consenso è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso deve essere presentata in modo chiaramente distinguibile dalle altre materie. La formula utilizzata nel contratto sottoscritto dal signor XX, pur essendo denominata "Manifestazione del consenso al trattamento dei dati personali", contiene: a) una dichiarazione di presa visione dell’informativa; b) una formula di dichiarazione di consenso relativa all’eventuale comunicazione a terzi dei dati per attività di recupero crediti; c) una richiesta di consenso per l’invio di comunicazioni promozionali e per l’effettuazione di ricerche di mercato anche con modalità automatizzate. La formulazione, pertanto, è unica per le diverse finalità di trattamento enunciate e, di conseguenza, non consente l’espressione di un consenso specifico per ogni finalità.

Si dà atto che la Società ha dichiarato di aver interrotto l’attività promozionale via sms a partire da ottobre 2018, avendo cessato la commercializzazione di prodotti finanziari. Inoltre, si tiene conto del fatto che la condotta, peraltro sporadica (risulta agli atti un solo sms in dieci anni) e oggetto di un’unica doglianza, è stata posta in essere, e subito interrotta, in un periodo immediatamente successivo al 25 maggio 2018, data in cui ha iniziato ad avere piena efficacia il Regolamento.

Per tali ragioni, sebbene si ravvisi la violazione dell’art. 130, commi 1 e 2 del Codice in ragione dell’invio di un sms promozionale senza idoneo consenso, le richiamate circostanze inducono a qualificare il caso come violazione minore, ai sensi dell’art. 83, par. 2 e del considerando 148 del Regolamento, potendo soprassedere in tale sede dall’applicazione della relativa sanzione anche in virtù di quanto disposto dall’art. 22, comma 13 del d.lgs. 10 agosto 2018, n. 101.
Si rende tuttavia necessario vietare a Carrefour ogni eventuale ulteriore trattamento per finalità promozionali dei dati dei clienti raccolti con le modalità descritte.

3.2 Sull’adeguatezza del riscontro fornito all’esercizio del diritto di cui all’art. 15 dell’interessato.

Con mail del 18 luglio 2018, il reclamante ha segnalato a Carrefour la ricezione di un sms indesiderato ed ha contestualmente richiesto di ricevere chiarimenti in merito al consenso da lui prestato alla ricezione di messaggi promozionali, comprovati da eventuale pertinente documentazione; contestualmente, il reclamante ha richiesto al titolare di prendere atto anche della sua volontà di revocare tale consenso.

La risposta della società, inviata con mail del 3 agosto 2018, ha confermato il recepimento della revoca del consenso ma, con riguardo alle altre informazioni richieste, si è limitata a dichiarare che "il trattamento dei Suoi dati personali, conferiti al momento della richiesta di finanziamento, è effettuato lecitamente ai sensi del Regolamento UE n. 679/2016 (GDPR), previa sua autorizzazione, per l’instaurazione e l’esecuzione del contratto di finanziamento medesimo".

Il contenuto di tale riscontro non può considerarsi completo, in quanto privo della richiesta documentazione attestante l’acquisizione del consenso, documentazione che è stata successivamente esibita in sede di accertamento ispettivo.

Inoltre, le successive richieste del reclamante di conoscere la data di estinzione del rapporto contrattuale, non sono mai state riscontrate nel merito, limitandosi la Società a ribadire di aver cancellato i dati, finché questo non si è rivolto all’Arbitro bancario finanziario.

Nelle osservazioni prodotte in replica alla contestazione del Garante, la Società, evidenziando di aver risposto alla richiesta nel giro di pochi giorni, ha dichiarato di non aver inviato al reclamante la documentazione comprovante l’acquisizione del consenso perché aveva ritenuto che tale specifico aspetto della richiesta non avesse carattere perentorio, considerando invece esaustiva la risposta fornita unitamente alla conferma della tempestiva revoca del consenso. Difatti, le successive comunicazioni inviate dal signor XX non hanno più reclamato la prova del consenso, ma si sono concentrate sull’indicazione della data di chiusura del contratto, informazione che è stata da questi ottenuta a marzo 2019, all’esito del procedimento avviato presso l’Arbitro bancario finanziario.

Se per tali aspetti la condotta di Carrefour appare censurabile, alla luce di quanto disposto dagli artt. 12 e 15 del Regolamento, tuttavia, non si può non tener conto anche del comportamento del reclamante che ha richiesto al Garante l’avvio di un procedimento, ma non ha fornito i riscontri ottenuti, né all’atto della presentazione del reclamo, né in occasione dei successivi solleciti inviati all’Ufficio con cadenza mensile nonostante avesse, nelle more, ottenuto le informazioni richieste. Dal momento che l’intera doglianza è stata basata sul mancato ottenimento della data di chiusura del rapporto contrattuale, il raggiungimento di un’intesa presso l’Arbitro bancario finanziario avrebbe potuto considerarsi satisfattivo senza aggravare ulteriormente il procedimento, impregiudicate le eventuali valutazioni nel merito che in questa sede si accertano. Dalla documentazione acquisita in atti, invece, risulta che il reclamante ha accettato di chiudere il procedimento presso l’Arbitro bancario finanziario dichiarando espressamente di non voler rinunciare al procedimento instaurato presso il Garante, aggiungendo che "la rinuncia…non sarebbe a titolo gratuito".

Rideterminata in tale contesto la responsabilità del titolare del trattamento, tenuto conto della natura e della bassa gravità della violazione, si ritiene sufficiente ammonire Carrefour in merito alla necessità di fornire riscontri completi e puntuali alle richieste di esercizio dei diritti da parte degli interessati.

3.3 Sulla collaborazione prestata all’autorità di controllo.

All’esito dell’istruttoria sono stati mossi rilievi alla Società sul grado di cooperazione con l’Autorità, in ragione dei riscontri imprecisi e non tempestivi. Carrefour ha giustificato tali addebiti con motivazioni connesse ad emergenze organizzative e all’erronea valutazione del procedimento, stante il contestuale raggiungimento di un accordo con il reclamante presso l’Arbitro bancario finanziario che aveva ad oggetto la medesima doglianza presentata innanzi al Garante.

Tenuto conto di tali osservazioni alla luce delle considerazioni svolte al precedente punto 3.2 in merito al contegno delle parti, valutata la condotta principale come violazione minore, non si ritiene di dover ulteriormente provvedere sul punto, dovendo però avvertire Carrefour della necessità di valutare le proprie procedure organizzative al fine di garantire il monitoraggio delle comunicazioni e il tempestivo riscontro alle richieste provenienti dall’Autorità.

Si rileva che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Si ricorda che ai sensi dell’art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di limitazione definitiva del trattamento è punito con la reclusione da tre mesi a due anni e che, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e), del Regolamento.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara illecite le condotte descritte nei termini di cui in motivazione e adotta i seguenti provvedimenti correttivi nei confronti di Carrefour Banque, Succursale italiana di Carrefour Banque SA, con sede in via Caldera 21, Milano, C.F e P.IVA 07527770965:

a) ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, vieta ogni ulteriore trattamento per finalità promozionali dei dati dei clienti raccolti in assenza di un idoneo consenso;

b) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce sulla necessità di fornire riscontri completi e puntuali alle richieste di esercizio dei diritti degli interessati riconosciuti in materia di protezione dei dati personali come rappresentato in motivazione;

c) ai sensi dell’art. 58, par. 2, lett. a) avverte della necessità di valutare le procedure organizzative al fine di garantire il monitoraggio delle comunicazioni e il tempestivo riscontro alle richieste provenienti dall’Autorità;

d) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante;

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 15 ottobre 2020

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL VICE SEGRETARIO GENERALE
Filippi

 

 

(1) Cfr. EDPB Guidelines 05/2020 on consent under Regulation 2016/679, adottate il 4 maggio 2020, punto 110: "There is no specific time limit in the GDPR for how long consent will last. How long consent lasts will depend on the context, the scope of the original consent and the expectations of the data subject. If the processing operations change or evolve considerably then the original consent is no longer valid. If this is the case, then new consent needs to be obtained".