Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Ricezione di comunicazioni elettroniche a contenuto promozionale - 24 maggio 2017 [6502780]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
6502780
Data:
24/05/17
Argomenti:
Marketing , Comunicazioni indesiderate , E-mail promozionali
Tipologia:
Prescrizioni e divieto del Garante

DOCUMENTI CITATI


[doc. web n. 6502780]

Ricezione di comunicazioni elettroniche a contenuto promozionale - 24 maggio 2017

Registro dei provvedimenti
n. 248 del 24 maggio 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito "Codice");

VISTI le "Linee guida in materia di attività promozionale e contrasto allo spam" del 4 luglio 2013 (pubblicate in G.U. n. 174 del 26 luglio 2013 e in www.garanteprivacy.it, doc. web n. 2542348) nonché il provvedimento generale del 29 maggio 2003 volto a individuare corrette modalità di invio delle email a contenuto promozionale (doc. web n. 29840);

Visto quanto lamentato dal signor XX ai sensi dell'art. 141, comma 1, lett. b), del Codice in ordine alla reiterata ricezione di email indesiderate a contenuto promozionale da parte di Sipiss di Ferrari Giuseppe & C. s.n.c, anche in tempi successivi all'opposizione manifestata, il 23.8.2012, dal segnalante medesimo ai sensi degli artt. 7 ss. del Codice e rimasta priva di riscontro da parte della Società;

VISTE le richieste di informazioni rivolte alla Società e, in particolare, quella del 6 aprile 2016 e quella formulata ex art. 157 del Codice notificata, in data 27 luglio 2016, per il tramite del Nucleo Speciale Privacy della Guardia di Finanza nell'ambito delle verifiche effettuate presso la sede legale della stessa in Milano, Via Ciro Menotti n. 9, nonché i relativi riscontri forniti, rispettivamente, il 26 aprile 2016 e nelle giornate del 27 e 28 luglio 2016;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del Regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

PREMESSO

1.1. Il sig. XX ha lamentato la reiterata ricezione, a far data dal 20 agosto 2012, di comunicazioni elettroniche a contenuto promozionale da parte di Sipiss, nonostante l'assenza di ogni suo consenso al riguardo e l'espressa opposizione dallo stesso manifestata già il 23 agosto 2012, via mail [all'indirizzo segreteria@sipiss.it indicato nel testo delle comunicazioni ricevute], ai sensi dell'art. 7, comma 4, lett. b), del Codice e rimasta senza riscontro.

1.2. Considerata la reiterazione nell'invio di dette comunicazioni, l'Ufficio ha formulato una richiesta di informazioni nei confronti della Società in data 6 aprile 2016. In ragione della lacunosità del riscontro fornito da Sipiss in data 26 aprile u.s., sono stati effettuati, il 27 e 28 luglio 2016, accertamenti presso la sede della Società mediante il Nucleo Speciale Privacy della Guardia di finanza al fine di acquisire gli elementi informativi necessari a completare l'istruttoria avviata nonché verificare, più in generale, la liceità dei trattamenti effettuati.

2.1. In occasione delle verifiche condotte, la Società ha rappresentato, ai sensi dell'art. 168 del Codice, che i dati personali riferiti al segnalante (indirizzo mail) ‒ il quale non risulta esser stato cliente né "corsista" Sipiss (circostanza confermata dal segnalante nella comunicazione del 10 maggio 2016) ‒ sono stati ricavati dal sito XX ‒ gestito da altra società con la quale Sipiss collabora (fornendo articoli scientifici, divulgativi, atti di convegni ed iniziative analoghe) e contenente circa 1600 indirizzi di posta elettronica (tra i quali quello del segnalante) ‒ nel quale tali informazioni (unitamente ad altre di analoga natura) sono liberamente accessibili in quanto rese pubbliche alla sezione  "Utenti registrati" (cfr. verbale 28.7.2016, p. 2; verbale 27.7.2016, pp. 3 e 4 nonché all. 4 al medesimo). Sipiss li avrebbe quindi utilizzati nella convinzione che il consenso per l'invio di mail promozionali a tali soggetti (ivi compreso il segnalante) «fosse stato acquisito all'epoca dal gestore del sito in parola anche in ragione del fatto che i dati erano di libero accesso agli utenti web»  (cfr. verbale 28.7.2016, p. 2).

La Società ha inoltre dichiarato di aver contattato il segnalante al suo indirizzo di posta elettronica «in media una volta al mese» e che l'indirizzo di posta elettronica del segnalante non risulta presente nella black list generata automaticamente dalla piattaforma in uso (denominata mail-up) per il tramite della procedura di "disiscrizione" attivabile mediante il link presente in calce alle mail promozionali inviate.

La Società ‒ che ha precisato di non essere in grado di verificare l'eventuale ricezione all'indirizzo segreteria@sipiss.it di richieste di cancellazione o di richieste analoghe da parte del segnalante a causa del furto, denunciato in data 11 novembre 2015, di tutti i pc presenti in sede (cfr. verbale 28 luglio 2016, ibidem e copia della denuncia all'all. 11 al medesimo) ‒ solo a seguito della prima richiesta di informazioni inviata dall'Autorità, ha provveduto, in data 11 aprile 2016, ad inserire detto indirizzo manualmente nella predetta black list (documentando quanto asserito in occasione dell'accertamento in questione: cfr. verbale 28 luglio 2016, p. 3 e all. 10 allo stesso).

2.2. Con riferimento, più in generale, alle misure adottate per garantire l'esercizio da parte degli interessati dei diritti di cui agli artt. 7 ss. del Codice, la Società ha fatto riferimento (cfr. verbale 28 luglio 2016, p. 3 e 4) al testo dell'informativa sul trattamento dei dati presente sui propri siti web (www.sipiss.it e www.edizionifs.com), contenente l'indicazione di un indirizzo di posta elettronica(segreteria@sipiss.it), per l'invio delle richieste in questione, nonché al link collocato in calce alle email promozionali inviate, che consente ai destinatari di richiedere la cancellazione dalla mailing list ed essere esclusi dalla lista di distribuzione. 

2.3. Nel corso degli accertamenti è stato altresì rilevato che, con riferimento ai siti www.sipiss.it e www.edizionifs.com, vengono raccolti i dati personali degli utenti rilasciando un'informativa che non contiene alcun riferimento al possibile trattamento dei dati loro riferibili per finalità promozionali, nella fattispecie, mediante posta elettronica (cfr. testo informativo reso disponibile dalla Società; all. 5 al verbale del 28.7.2016).

Con limitato riferimento alla sezione "Cassa" del sito www.edizionifs.com, ove è presente il form di registrazione ai fini dell'acquisto online di testi, è altresì emerso che la Società ha raccolto il consenso degli utenti all'invio di una newsletter riguardante i propri prodotti mediante un box, denominato "Voglio ricevere aggiornamenti sui prodotti", «preselezionato ma liberamente deselezionabile». A quanti «in fase di registrazione per l'acquisto di testi, non hanno deselezionato il box» la Società ha inviato email promozionali, circoscritte a «libri del medesimo settore disciplinare» rispetto a quelli già acquistati dai destinatari (cfr. verbale del 27.7.2016, p. 3 e all. 3 allo stesso), con «cadenza settimanale per complessive quattro mail promozionali al mese» (cfr. verbale 28.7.2016, cit., p. 3), rilasciando, in calce alle stesse, un'ulteriore informativa per il trattamento dei dati personali.

In base a quanto dichiarato, "ogni invio raggiunge da un minimo di 300 ad un massimo di 5.000 soggetti" (cfr. verbale 28.7.2016, p. 3).

3.1. Sulla base di quanto accertato, si ritiene che il trattamento per finalità di marketing dei dati di contatto (e in particolare gli indirizzi di posta elettronica) ricavati dal menzionato portale XX (con il conseguente reiterato invio agli stessi di email promozionali) sia avvenuto in assenza del necessario consenso degli interessati, richiesto dall'art. 130, commi 1 e 2, del Codice, al trattamento dei dati personali loro riferibili per finalità di marketing. Non ha valore legittimante, infatti, la circostanza della fattuale disponibilità online dei dati così trattati. Come costantemente affermato dal Garante (v. già provv. 11 gennaio 2001, doc. web n. 40823), il requisito del consenso preventivo (oltre che, informato, libero e specifico) sussiste anche quando i dati personali (come, nella fattispecie, l'indirizzo di posta elettronica del segnalante) siano rinvenibili in internet, in quanto l'agevole reperibilità di tali dati non ne autorizza il trattamento per qualsiasi scopo, ma soltanto per le specifiche finalità sottese alla loro pubblicazione (in tal senso v. anche il provvedimento generale sullo spamming del 29 maggio 2003, doc. web n. 29840; Linee Guida in materia di attività promozionale del 4 luglio 2013, cit., par. 2.5; in tempi più recenti, provv. 6 ottobre 2016, n. 390, doc. web n. 5834805; v. altresì, parere n. 1/2000 del Gruppo europeo delle Autorità garanti per la protezione dei dati in tema di reti e di commercio elettronico, doc. web n. 434615, nel quale si pone in evidenza che il solo fatto della rinvenibilità di un indirizzo e-mail in uno spazio pubblico di Internet non legittima un uso libero dello stesso per mailing).

3.2. I dati personali raccolti con tali modalità  non possono quindi, ai sensi dell'art. 11, comma 2, del Codice, essere ulteriormente utilizzati per finalità promozionali e se ne deve vietare a Sipiss il trattamento ulteriore.

3.3. Con riguardo a tale violazione, poiché risulta già avviato dal Nucleo Speciale Privacy il procedimento sanzionatorio ai fini della contestazione in capo alla Società della sanzione amministrativa concernente la mancata acquisizione di un consenso libero e specifico per l'utilizzo dei dati per finalità di marketing (art. 162, comma 2-bis, del Codice), l'Autorità non provvederà ad avviare un ulteriore procedimento sanzionatorio, ferma restando la facoltà degli interessati di adire la competente autorità giudiziaria per far valere eventuali pretese di carattere risarcitorio.

4.1. Anche con riguardo al trattamento per finalità promozionali dei dati personali acquisiti mediante i siti www.sipiss.it e www.edizionifs.com (ed in particolare, con riguardo a quest'ultimo, alla sezione "Cassa": cfr. punto 2.3), deve ritenersi che lo stesso sia stato effettuato in violazione:

a. dell'art. 13 del Codice, atteso che l'informativa fornita dalla Società non menziona tra le finalità perseguite quella del marketing;

b. del principio di correttezza di cui all'art. 11, comma 1, lett. a), del Codice nonché dell'art. 130 del Codice, commi 1 e 2, del Codice, in quanto il box deputato ad accogliere la volontà degli interessati è risultato preselezionato (in tal senso, tra i tanti, cfr. provv. 20 novembre 2014, n. 532, doc. web n. 3657934; 9 ottobre 2014, n. 447, doc. web n. 3568046).

4.2. Peraltro, non rileva che le email promozionali siano state inviate, come affermato dalla Società, solo a clienti e abbiano avuto ad oggetto beni (libri) afferenti al medesimo settore disciplinare, atteso che, diversamente da quanto richiesto dall'art. 130, comma 4, del Codice e a tacere di quanto appena rilevato al punto 4.1, la Società non ha provveduto, nell'informativa resa al momento della registrazione ai siti web (v. il menzionato all. 5), a rendere edotti gli interessati di tale possibile utilizzo dei dati conferiti oltre che della possibilità di opporsi in ogni momento al trattamento (nel medesimo senso: provv. 13 maggio 2015 n. 291, doc. web n. 4337465; in merito  v. anche:  provv. ti 10 marzo 2016, n. 110, doc. web n. 4988238; provv. 6 ottobre 2016, cit.; 27 ottobre 2016, n. 439, doc. web n. 5687770; 11 febbraio 2016, n. 49, doc. web n. 4885578; 1° ottobre 2015, n. 508, doc. web n. 4452896; tra i più risalenti, 15 luglio 2010, doc. web n. 1741998; 22 febbraio 2007, punto 4.2, doc. web n. 1388590; 10 maggio 2006, doc. web n. 1298709; 12 ottobre 2005, doc. web n. 1179604; 3 novembre 2005, doc. web n. 1195215).

4.3. Alla luce di tali considerazioni, anche i dati personali raccolti con le menzionate modalità  non possono, quindi, ai sensi dell'art. 11, comma 2, del Codice, essere ulteriormente utilizzati per finalità promozionali e se ne deve vietare a Sipiss il trattamento ulteriore per le medesime finalità.

Alla medesima Società deve altresì essere prescritta l'adozione delle opportune misure tecnologiche affinché gli utenti del sito www.edizionifs.com vengano messi in condizione di manifestare liberamente (senza ricorrere ad opzioni preselezionate) il proprio consenso informato al trattamento dei dati personali per finalità di marketing.

4.4. L'Autorità si riserva di valutare, con autonomo procedimento, la sussistenza dei presupposti per contestare le violazioni amministrative concernenti la violazione degli artt. 13 e 130 del Codice (artt. 161 e 162, comma 2-bis del Codice).

5.1. Con riguardo ai fatti oggetto di segnalazione, nel prendere atto di alcune misure apparentemente già in uso relative alle richieste volte a far valere i diritti di cui all'art. 7 del Codice, si rileva, muovendo dal caso oggetto di segnalazione, che anche le modalità di riscontro  adottate dalla Società non risultano conformi alla disciplina di protezione dei dati personali. In particolare, al di là dei numerosi invii di comunicazioni promozionali succedutisi dal 2012 al 2016, non risulta comprovato che la Società abbia dato tempestivo riscontro alla richiesta concernente l'esercizio dei diritti (e tra questi l'esercizio del diritto di opposizione) fatta valere dal segnalante con la menzionata comunicazione di posta elettronica del 23 agosto 2012. Comunicazione che, al contrario, risulta ‒ in base a quanto allegato dal segnalante alla sua prima segnalazione ‒ essere pervenuta all'indirizzo segreteria@sipiss.it (recapito indicato, unitamente all'informativa, in calce alle comunicazioni della Società, con la seguente precisazione: «Per qualunque richiesta di informazioni non rispondere a questo messaggio, ma scrivici a segreteria@sipiss.it»).

5.2. Considerato che, ai sensi dell'art. 8, comma 1, del Codice, i diritti di cui all'art. 7 del Codice possono essere esercitati «con richiesta rivolta senza formalità al titolare o al responsabile, anche per il tramite di un incaricato […]» e che l'art. 9, comma 1, del Codice, prevede che «la richiesta rivolta al titolare o al responsabile può essere trasmessa anche mediante […] posta elettronica», il mancato riscontro, come pure il mancato tempestivo inserimento in black list dei dati riferiti al segnalante, si pone in violazione di legge.

5.3. All'interno della descritta cornice normativa devono pertanto inscriversi le modalità di riscontro all'esercizio dei diritti di cui all'art. 7 del Codice cui Sipiss deve conformarsi. In questa prospettiva la Società deve adottare le misure organizzative idonee ad assicurare la piena e tempestiva attuazione dei diritti degli interessati di cui agli artt. 7 ss. del Codice, ivi compreso il diritto di opposizione al trattamento per finalità di marketing di cui all'art. 7, comma 4, lett. b), del Codice (cfr., ad esempio, provv. 6 ottobre 2016, cit.).

6. Si ricorda che, ai sensi dell'art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni; in ogni caso, è altresì applicata in sede amministrativa la sanzione del pagamento di una somma da trentamila a centottantamila euro ai sensi dell'art. 162, comma 2-ter del Codice.

TUTTO CIÒ PREMESSO IL GARANTE

1. ai sensi degli artt. 143, comma 1, lett. b) e c), 144, 154, comma 1, lett. c) e d), del Codice, nei confronti di Sipiss:

a. vieta l'ulteriore trattamento per finalità di marketing dei dati personali ricavati dal sito XX nonché di quelli raccolti mediante i propri siti www.sipiss.it e www.edizionifs.com in assenza di un'idonea informativa ai sensi dell'art. 13 del Codice e, limitatamente al sito www.edizionifs.com, anche in assenza del consenso, liberamente manifestato dagli interessati al trattamento dei dati loro riferiti per finalità di marketing ai sensi dell'art. 130, commi 1 e 2, del Codice (punti 3.2 e 4.3);

b. prescrive l'adozione delle opportune misure tecnologiche affinché gli utenti del sito www.edizionifs.com vengano messi in condizione di manifestare liberamente il proprio consenso informato al trattamento dei dati personali a sé riferiti per finalità di marketing (punto 4.3);

c. prescrive altresì l'adozione delle opportune misure organizzative affinché venga assicurata la piena e tempestiva attuazione dei diritti degli interessati di cui agli artt. 7 ss. del Codice, ivi compreso il diritto di opposizione al trattamento per finalità di marketing di cui all'art. 7, comma 4, lett. b), del Codice (punto 5.3);

2. ai sensi dell'art. 157 del Codice, invita  Sipiss a comunicare entro 30 giorni dal ricevimento del presente provvedimento le iniziative intraprese al fine di dare attuazione al presente provvedimento e di fornire comunque riscontro adeguatamente documentato, con l'avvertenza che il mancato riscontro alla presente richiesta è punito con la sanzione amministrativa di cui all'art. 164 del Codice.

Ai sensi degli artt. 152 del Codice e 10, d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 24 maggio 2017

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia