Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Trattamento di dati personali per finalità di marketing - 12 gennaio 2017 [5986406]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
5986406
Data:
12/01/17
Argomenti:
Comunicazioni indesiderate , Spam
Tipologia:
Prescrizioni e divieto del Garante

DOCUMENTI CITATI


VEDI ANCHE Newsletter del 17 febbraio 2017

 

[doc. web n. 5986406]

Trattamento di dati personali per finalità di marketing - 12 gennaio 2017

Registro dei provvedimenti
n. 4 del 12 gennaio 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito "Codice");

VISTE le "Linee guida in materia di attività promozionale e contrasto allo spam" del 4 luglio 2013 (in www.garanteprivacy.it, doc. web n. 2542348) e già il provvedimento generale del 29 maggio 2003 in materia di spam (doc. web n. 29840);

VISTI altresì il provvedimento del 20 settembre 2012 (doc. web n. 2094932), concernente l'applicabilità alle persone giuridiche del Codice in materia di protezione dei dati personali a seguito delle modifiche apportate dal d.l. n. 201/2011, nonché il provvedimento generale 19 gennaio 2011 (doc. web n. 1784528);

VISTA la segnalazione formulata ai sensi dell'art. 141, comma 1, lett. b), del Codice, da XY s.r.l., per conto proprio e delle due società controllate KW s.r.l. e XX s.r.l., nella quale si lamenta l'indebito invio di comunicazioni elettroniche indesiderate effettuato da Media Service Italia di Panepinto Cristiano;

VISTE le risultanze dell'accertamento svoltosi presso la Società nei giorni 8 e 9 marzo 2016 con l'ausilio del Nucleo Speciale Privacy della Guardia di finanza;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del Regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

PREMESSO

1.1. Muovendo dalla segnalazione di XY s.r.l., KW s.r.l. e XX s.r.l., secondo cui un proprio database contenente circa 2 milioni di utenti sarebbe stato indebitamente utilizzato da Media Service per l'invio massivo di comunicazioni a contenuto promozionale, l'Ufficio, avvalendosi del Nucleo Speciale Privacy, ha effettuato nei giorni 8 e 9 marzo 2016 accertamenti presso la Società segnalata al fine di verificare la liceità dei trattamenti di dati dalla stessa effettuati.

1.2. Nel corso delle verifiche, il rappresentante della Società, nel negare di aver effettuato il lamentato trattamento di dati, ha dichiarato, anche ai sensi dell'art. 168 del Codice (cfr. verbali 8 e 9 marzo 2016):

a. di non aver «mai posseduto il database, neanche parzialmente, a cui si fa riferimento nella segnalazione»;

b. di aver acquistato (producendo la relativa documentazione) da una società terza, cancellata dal registro delle imprese al tempo delle verifiche, un servizio di invio di email promozionali a scopo di test sul rendimento dell'attività di mailing, indicando come indirizzo mittente uno degli account di Media Service.

2. Alla luce delle dichiarazioni rese, e considerati gli elementi che è stato possibile acquisire nel corso delle verifiche svolte in loco, i fatti lamentati non sono risultati comprovati, sì che, in relazione ad essi, la segnalazione deve ritenersi infondata.

3.1. Nell'ambito dei più ampi accertamenti svolti, è stato tuttavia possibile appurare che Media Service raccoglie, grazie ad un «apposito form» presente nel sito web www.mediaserviceitalia.it, i dati di quanti intendono richiedere preventivi sui servizi resi dalla Società, consistenti nella «attività di costruzione e gestione di siti web, posizionamento all'interno dei motori di ricerca con prevalenza del motore Google, eventuali campagne pay per click, ossia vendita di spazi pubblicitari di Google ed eventuali attività di social media marketing […]» (cfr. citato verbale 8 marzo 2016).

Nel corso delle verifiche, in ragione del temporaneo mancato funzionamento del sito web, sono state esibite alla Società alcune stampe delle pagine web ‒ effettuate il 23 febbraio 2016 dal Nucleo Speciale Privacy in vista degli accertamenti ‒ concernenti: il menzionato modello (form) di raccolta dati predisposto per richiedere preventivi, avente ad oggetto, in particolare, generalità, numero di telefonia mobile e indirizzo di posta elettronica del richiedente; la pagina relativa all'area riservata; l'informativa privacy; i "Termini di Servizio". Documentazione che, riconosciutane la genuinità da parte della Società, è stata acquisita agli atti (cfr. verbale 8 marzo 2016, cit.).

3.2. È stato così possibile accertare, in relazione alla sezione relativa al trattamento dei dati dell'utenza denominata "Attività" (contenuta nel "Termini di Servizio"), che la Società:

a. ha predisposto un'unica opzione per la manifestazione del consenso degli interessati, da manifestarsi selezionando l'unica casella (box) predisposta in corrispondenza del menzionato form di raccolta dei dati e denominata "privacy", recante la seguente locuzione in lingua inglese: «I've read and understood the terms of service» (cfr. all. 3, al citato verbale dell'8 marzo 2016);

b. sulla base di tale unica manifestazione del consenso, tratta i dati della propria clientela, oltre che per la conclusione e l'esecuzione dei contratti stipulati (o per i quali viene richiesto un preventivo), anche per le seguenti finalità: «pubblicità via email o ricerche di mercato e sondaggi via email per i propri prodotti e servizi; […] newsletter […]» (v. all. 3 al citato verbale dell'8 marzo 2016). Secondo quanto dichiarato, i dati così raccolti si riferiscono, «nella quasi totalità dei casi», a «persone giuridiche», nonché ad altri «soggetti titolari di partita Iva», quali imprese individuali e liberi professionisti (v. verbale 8 marzo 2016, pp. 3 e 5, nonché all. 6 al medesimo verbale).

In proposito, il rappresentante della Società altresì ha dichiarato che «i trattamenti ivi indicati da effettuare senza ulteriore consenso, di fatto, non sono mai stati svolti» (cfr. verbale 9 marzo 2016, p. 2).

4.1. Nel prendere atto, anche ai sensi dell'art. 168 del Codice, di quanto dichiarato in ordine all'asserito effettivo utilizzo dei dati raccolti per finalità promozionali, deve comunque ritenersi che, alla luce degli elementi in atti, il trattamento dei dati riferiti alla clientela raccolti mediante il menzionato form sul sito web di Media Service in vista del perseguimento di finalità promozionali sia avvenuto in modo illecito, non risultando comprovato che, al momento della raccolta o successivamente, sia stato manifestato il libero e specifico consenso da parte dei clienti per l'invio di comunicazioni automatizzate a contenuto promozionale ai sensi dell'art. 130, commi 1 e 2, del Codice, disciplina che, richiedendo il previo consenso del «contraente o utente», trova applicazione sia alle persone giuridiche che alle persone fisiche (cfr. provvedimento 20 settembre 2012, doc. web n. 2094932; così pure le menzionate Linee guida in materia di attività promozionale e contrasto allo spam del 4 luglio 2013, punto 2.2). Ed invero, la capacità di autodeterminazione di utenti e contraenti (e quindi la libertà del consenso che sono chiamati a manifestare) non è assicurata quando si assoggetta, come nel caso di specie, la fruizione delle prestazioni dedotte nel contratto ‒ per le quali peraltro la legge comunque non richiede l'acquisizione di consenso (cfr. art. 24, comma 1, lett. b), del Codice) ‒ alla contestuale autorizzazione a trattare i dati conferiti per il medesimo servizio per una finalità diversa, qual è quella promozionale e pubblicitaria; con la conseguenza che i dati raccolti dal titolare (e conferiti dall'interessato) per l'esecuzione del rapporto contrattuale vengono di fatto piegati ad un utilizzo diverso dallo scopo che ne ha giustificato la raccolta, anche in violazione del principio di finalità (art. 11, comma 1, lett. b), del Codice) [tra i tanti, cfr. provv.ti 27 ottobre 2016, n. 439, doc. web n. 5687770; 10 marzo 2016, n. 110, doc. web n. 4988238; 11 febbraio 2016, n. 49, doc. web n. 4885578; e, tra i più risalenti, 15 luglio 2010, doc. web n. 1741998; 22 febbraio 2007, punto 4.2, doc. web n. 1388590, con ulteriore richiamo ai più risalenti provv.ti 10 maggio 2006, doc. web n. 1298709; 12 ottobre 2005, doc. web n. 1179604; 3 novembre 2005, doc. web n. 1195215; in particolare, con riguardo alla fornitura di beni o servizi subordinata alla necessaria autorizzazione al trattamento dei dati per fini promozionali (c.d. consenso obbligato), cfr. provv.ti 10 marzo 2016, cit.; 1° ottobre 2015, n. 508, doc. web n. 4452896; 20 dicembre 2012, doc. web n. 2223607; 24 febbraio 2005, punto 7, doc. web n. 1103045].

4.2. Per le ragioni sopra esposte, pur preso atto di quanto dichiarato dalla Società circa la mancata effettuazione di attività di natura promozionale con i dati raccolti mediante il menzionato form (punto 3.2), gli stessi non potranno essere utilizzati per finalità promozionali in assenza di un consenso liberamente manifestato (ai sensi dell'art. 130, commi 1 e 2, del Codice) e se ne deve quindi vietare a Media Service l'uso per tali finalità mediante l'utilizzo di sistemi automatizzati, con particolare riferimento alla posta elettronica.

Deve altresì essere prescritto a Media Service, quale misura necessaria, di riformulare il modello di raccolta dei dati sul proprio sito web, affinché venga acquisito dalla clientela un consenso, oltre che informato, anche libero, specifico e chiaramente formulato con riferimento alle finalità promozionali, nonché documentato per iscritto.

Rispetto al trattamento effettuato, l'Autorità si riserva di verificare, con autonomo procedimento, la sussistenza dei presupposti per contestare la violazione amministrativa concernente la mancata acquisizione di un consenso libero e specifico per l'utilizzo dei dati per finalità di marketing (artt. 130, commi 1 e 2; 162, comma 2-bis, del Codice).

5.1. Sotto un diverso profilo, è altresì risultato che, per l'acquisizione di nuovi clienti e la promozione dei servizi commercializzati, la Società, per il tramite dei propri dipendenti, contatta telefonicamente le utenze autonomamente reperite in internet (di regola nell'area "contatti" presente nei siti web) riferite a persone giuridiche come pure a professionisti e imprese individuali senza aver previamente acquisito il consenso dei destinatari delle comunicazioni telefoniche; solo «nel corso della telefonata, [infatti, la Società provvede] a richiedere [al potenziale cliente] se risulta o meno interessato ai […] servizi ed a ricevere un […] agente di vendita» (cfr. verbale 8 marzo 2016, p. 4).

5.2. Ancorché nel corso degli accertamenti la Società non sia stata in grado di identificare puntualmente né il numero né l'identità dei soggetti che ha dichiarato di aver contattato secondo tale modalità, deve tuttavia ritenersi che il trattamento di dati personali così effettuato (e la metodologia di contatto impiegata) in relazione a liberi professionisti ed imprese individuali ‒ soggetti ai quali continua a trovare integrale applicazione la disciplina di protezione dei dati personali (cfr. pareri 9 febbraio 2012, doc. web n. 1876517; 25 giugno 2015, doc. web n. 4169267, punto 2; provv.ti 8 ottobre 2015, n. 523, doc. web n. 4349760, punto 5; 23 ottobre 2014, doc. web n. 3676822; provv.ti 23 gennaio 2014, n. 30, doc. web n. 2927848; 21 marzo 2012, doc. web n. 1895176; 15 dicembre 2011, doc. web n. 1883880) ‒ non sia conforme alla disciplina di protezione dei dati personali. Ciò non solo perché non è risultato comprovato il previo consenso informato degli interessati (come richiesto dagli artt. 13 e 23, comma 3, del Codice) ma, più radicalmente, in considerazione del fatto che tale modalità di raccolta e successivo utilizzo dei dati si pone in violazione del principio di finalità (all'art. 11, comma 1, lett. b), del Codice).

Invero, la circostanza che le numerazioni telefoniche utilizzate siano di fatto conoscibili da una pluralità di soggetti in quanto presenti in Internet, non implica che le stesse possano essere legittimamente trattate per qualsivoglia finalità ‒ nel caso di specie, quella promozionale ‒ da parte di terzi (per analoghe valutazioni, riferite all'utilizzo di indirizzi di posta elettronica raccolti in Internet per finalità promozionale, v. già provv.ti 11 gennaio 2001, doc. web n. 40823; 5 dicembre 2003, doc. web n. 1053809; 15 gennaio 2004, doc. web n. 1086456). In tal senso, anche il provvedimento generale del 29 maggio 2003 (doc. web n. 29840) esclude, con riferimento a tali dati, il loro utilizzo per finalità promozionali quando siano conoscibili da chiunque "per mere circostanze di fatto", quali la loro reperibilità sui siti web, o tramite appositi software o mediante comuni motori di ricerca (al riguardo, v. altresì le citate Linee Guida in materia di spam del 2013, par. 2.5, nonchè il parere n. 1/2000 che il Gruppo europeo delle autorità garanti per la protezione dei dati ha adottato il 3 febbraio 2000 in tema di reti e di commercio elettronico, nel quale si pone in evidenza che il solo fatto della rinvenibilità di un indirizzo e-mail in uno spazio pubblico di Internet non comporta un uso libero dello stesso per mailing elettronico). Al contrario, deve ritenersi che le numerazioni telefoniche in parola, collocate nei siti web dei vari operatori economici oggetto dell'attività promozionale di Media Service (secondo le sopra descritte modalità), siano preordinate ad agevolare i soli "contatti" dei gestori dei rispettivi siti web con riguardo allo svolgimento delle rispettive attività professionali o imprenditoriali; la loro fattuale disponibilità non può invece giustificare (né consente di desumere) che soggetti terzi possano trasformare tali recapiti in un proprio veicolo pubblicitario (piegandone così la finalità originaria ad un uso diverso).

5.3. Per tali ragioni, si deve quindi vietare a Media Service il trattamento per finalità promozionali mediante contatto telefonico dei dati personali, con particolare riferimento alle numerazioni telefoniche relative a professionisti e imprese individuali presenti sui siti web facenti capo a detti soggetti.

L'Autorità si riserva di verificare, con autonomo procedimento, la sussistenza dei presupposti per contestare la violazione amministrativa concernente la mancata acquisizione del consenso informato per l'utilizzo dei dati per finalità di marketing (artt. 13 e 23, comma 3, nonché 161 e 162, comma 2-bis, del Codice).

6. Si ricorda che, ai sensi dell'art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni; in ogni caso, è altresì applicata in sede amministrativa la sanzione del pagamento di una somma da trentamila a centottantamila euro ai sensi dell'art. 162, comma 2-ter del Codice.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi degli artt. 143, comma 1, lett. b) e c), 144 e 154, comma 1, lett. c) e d), del Codice, nei confronti di Media Service Italia di Panepinto Cristiano:

1. vieta il trattamento per finalità promozionali dei dati riferiti alla clientela raccolti mediante il modello predisposto sul proprio sito web www.mediaserviceitalia.it (punto 4.2);

2. prescrive, quale misura necessaria, la riformulazione del modello di raccolta dei dati sul proprio sito web, affinché venga acquisito dalla clientela un consenso, oltre che informato, anche libero, specifico e chiaramente formulato con riferimento alle finalità promozionali, nonché documentato per iscritto (punto 4.2) ;

3. vieta il trattamento per finalità promozionali mediante contatto telefonico dei dati, con riferimento alle numerazioni telefoniche, relativi a liberi professionisti e imprese individuali presenti sui siti web facenti capo ai medesimi (punto 5.2);

4. invita a comunicare, entro 30 giorni dal ricevimento del presente provvedimento, ai sensi dell'art. 157 del Codice, quali iniziative siano state intraprese al fine di dare attuazione al presente provvedimento, con l'avvertenza che il mancato riscontro alla presente richiesta è punito con la sanzione amministrativa di cui all'art. 164 del Codice.

Ai sensi degli artt. 152 del Codice e 10, d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 12 gennaio 2017

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia