Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Trattamento per finalità di marketing di dati personali raccolti mediante un sito web - 20 luglio 2017 [6955363]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
6955363
Data:
20/07/17
Argomenti:
Spam
Tipologia:
Prescrizioni e divieto del Garante

VEDI ANCHE NEWSLETTER DEL 12 OTTOBRE 2017

 

[doc. web n. 6955363]

Trattamento per finalità di marketing di dati personali raccolti mediante un sito web - 20 luglio 2017

Registro dei provvedimenti
n. 324 del 20 luglio 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito "Codice");

VISTI le "Linee guida in materia di attività promozionale e contrasto allo spam" del 4 luglio 2013 (pubblicate in G.U. n. 174 del 26 luglio 2013 e in www.garanteprivacy.it, doc. web n. 2542348) nonché il provvedimento generale del 29 maggio 2003 volto a individuare corrette modalità di invio delle email a contenuto promozionale (doc. web n. 29840);

VISTE le distinte segnalazioni di YY, ZZ e XX, formulate ai sensi dell'art. 141, comma 1, lett. b), del Codice relative alla ricezione di email a contenuto promozionale ‒ anche in tempi successivi rispetto all'esercizio del diritto di opposizione effettuata dai segnalanti ai sensi degli artt. 7 ss. del Codice, con l'eccezione di XX, che lamenta però il mancato funzionamento dell'indirizzo di posta elettronica (wweservicesitaly@legalmail.it) indicato nell'informativa sul trattamento dei dati personali presente sul sito web www.dalani.it ‒ da parte di WW E-Services  Italy s.r.l. (ora Dalani s.r.l., di seguito indicata come "la Società"), nonché l'ulteriore segnalazione del 22 giugno 2016 formulata da HH, con specifico riguardo alle modalità di acquisizione, da parte della medesima Società tramite il menzionato sito web, del consenso degli utenti al trattamento dei loro dati per finalità di marketing;

VISTI i riscontri forniti alle richieste di informazioni formulate nei confronti della medesima Società nonché gli esiti della verifica effettuata dal Nucleo Speciale Privacy della Guardia di finanza effettuata presso la sede legale della Società;

VISTE altresì le note integrative della Società del 12 agosto e del 12 ottobre 2016;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del Regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

PREMESSO

1.1. A seguito di segnalazioni pervenute in tempi diversi, nelle quali si lamentava la ricezione di email a contenuto promozionale anche in tempi successivi rispetto all'esercizio del diritto di opposizione nei confronti della Società, quest'ultima rappresentava, dando solo parziale riscontro alle richieste di informazioni formulate dall'Autorità, che, quanto alla segnalazione presentata da XX ‒ che aveva lamentato la ricezione di mail a contenuto promozionale contenente il marchio Dalani ‒, il suo indirizzo di posta elettronica, non risultando iscritto al sito della Società (www.dalani.it), non era stato inserito tra i destinatari di comunicazioni promozionali inviate direttamente dalla Società e che gli indirizzi dei due altri segnalanti (YY e ZZ), registrati invece nel medesimo sito, erano stati eliminati dalla mailing list (cfr. nota dell'11 febbraio 2016).

1.2. Considerata la parzialità del riscontro fornito rispetto alla richiesta di informazioni formulata dall'Ufficio ‒ con particolare riguardo alle modalità di acquisizione dei dati degli interessati nonché in relazione all'assolvimento degli adempimenti relativi all'informativa e all'acquisizione del previo consenso  al trattamento per finalità di marketing ‒, l'Autorità si è avvalsa del Nucleo Speciale Privacy della Guardia di finanza per verificare la liceità dei trattamenti effettuati.

2.1. In base alle dichiarazioni rese nel corso degli accertamenti in loco del 14 e 15 giugno 2016, della cui veridicità si può essere chiamati a rispondere ai sensi dell'art. 168 del Codice (cfr. verbale 15 giugno 2016, pp. 2 e 3), gli indirizzi di posta elettronica di YY e ZZ avrebbero formato oggetto di registrazione al sito www.dalani.it da parte degli interessati e sarebbero stati quindi destinatari della newsletter «fino alla richiesta di cancellazione», avvenuta, a mezzo telefono (per il primo) e a mezzo posta elettronica (per il secondo).

Con specifico riguardo all'indirizzo di posta di YY, la Società ha rappresentato la possibilità che il segnalante non avesse «correttamente completato la procedura di cancellazione predisposta online» e che comunque l'invio delle newsletter era stato interrotto «in tempo reale» a seguito della richiesta di cancellazione pervenutale direttamente, dandone contestuale riscontro al medesimo segnalante (v. verbale cit., ibid.).

Con specifico riferimento a XX, è stato invece dichiarato che l'interessato «non si è mai registrato al […] sito www.dalani.it […] e pertanto non è stato mai presente nel [...] database e non può essere stato destinatario di […] newsletter» e, tuttavia, il suo indirizzo di posta elettronica ‒ al pari degli indirizzi riferibili a ZZ ‒ risultava essere stato utilizzato da soggetti terzi, su incarico della capogruppo della Società, ai fini dell'invio di mail pubblicitarie, sulla base di un consenso, autonomamente acquisito da detti soggetti, al trattamento dei dati per finalità di marketing (cfr. verbale 15 giugno 2016, ibid.). Inoltre, a seguito di verifiche condotte dalla Società rispetto alla segnalazione di XX, «non risulta[va]no richieste di opposizione alla ricezione di comunicazioni promozionali pervenute direttamente» alla Società o ai citati partner commerciali.

2.2. Inoltre, relativamente, più in generale, alla questione dell'esercizio da parte degli interessati dei diritti di cui agli artt. 7 ss. del Codice, la Società ha rappresentato (cfr. verbale 15 giugno, pag. 4 e 5 nonché all. 10 allo stesso) che sono state predisposte più modalità per farlo valere, fra cui in particolare: il link per la cancellazione della mailing list, previsto nelle email promozionali inviate; la possibilità di modificare le opzioni di consenso all'invio della newsletter accedendo all'area personale ("Il mio Account") del menzionato sito web;  nonché l'indirizzo assistenza@dalani.it indicato sul sito web. 

2.3. Con riferimento, tuttavia, alle modalità di raccolta dei dati personali attraverso il form presente sul sito web www.dalani.it, è stato accertato ‒ sulla base delle dichiarazioni rese nonché delle risultanze della simulazione della procedura di registrazione al sito de quo effettuata nella medesima data (cfr. verbale del 14 giugno 2016, pp. 2-4 e all. 1 e 2 allo stesso) ‒ che, per "navigare" «in tutte le pagine del sito» (fatto salvo il libero accesso al servizio denominato "Magazine") e acquistare i prodotti reclamizzati dallo stesso, occorreva «necessariamente "flaggare" la casella posta in corrispondenza della voce "Accetto i Termini e Condizioni e la Privacy Policy"»; policy che, con riguardo alle finalità del trattamento dei dati raccolti, faceva espresso riferimento, oltre che alle «finalità direttamente connesse e strumentali all'attivazione e al funzionamento dei servizi offerti» dalla Società, anche alle finalità promozionali della medesima (circostanza peraltro oggetto di specifica segnalazione da parte di HH il 22 giugno 2016, di poco successiva all'accertamento in loco di cui sopra). In base a quanto dichiarato dalla Società, infatti, «nel caso non venga rilasciato detto consenso da parte dell'utente, lo stesso non potrà registrarsi al sito e quindi non potrà fruire delle funzionalità ivi presenti, ivi compreso l'acquisto di prodotti. A seguito del rilascio del citato consenso, l'utente accetta la Privacy Policy del sito e quindi sarà automaticamente inserito nella mailing-list di invio della newsletter» (cfr., per contenuti simili, anche verbale 15 giungo 2016, p. 4).

Inoltre, la Società, nell'evidenziare che «l'utente può in ogni successivo momento rinunciare al ricevimento della newsletter, attraverso un link presente già sulla prima e-mail di benvenuto, sia in ogni successiva newsletter, sia attraverso le funzionalità del sito previste nel pannello denominato Il mio account», ha altresì precisato che «non è prevista l'acquisizione di ulteriori e diversi consensi oltre quello specificato».

3.1. Le modalità del trattamento dei dati personali relativi agli utenti del sito web appena descritte ‒ con particolare riguardo alla necessitata manifestazione del consenso all'utilizzo del proprio indirizzo di posta elettronica già solo per poter navigare sul sito web della Società (cfr. punto 3) ‒ sotto più profili si pone in violazione della disciplina di protezione dei dati personali.

In primo luogo, in quanto la condotta realizzata si pone in violazione con i principi di:

a. minimizzazione dei dati personali e di necessità, di cui agli artt. 3 e 11, comma 1, lett. d), del Codice, atteso che il trattamento dell'informazione relativa all'indirizzo di posta elettronica non può ritenersi necessario per consentire la "navigazione" nel sito web e la conseguente visualizzazione delle proposte commerciali ivi contenute. Dati personali che, peraltro, neanche nel caso in cui l'utente effettui acquisti mediante il sito di e-commerce (salva che in concreto ne ricorra la necessità, da valutarsi caso per caso e considerato che né dagli atti, né dagli accertamenti ispettivi sono emersi elementi utili a giustificare tale trattamento) devono necessariamente formare oggetto di raccolta;

b. correttezza di cui all'art. 11, comma 1, lett. a), del Codice, atteso che la capacità di autodeterminazione degli utenti (e quindi la libertà del consenso che sono chiamati a manifestare) non è assicurata quando si assoggetta, come nel caso di specie, il mero accesso ad un sito di commercio elettronico (in sostanza, ad una "vetrina online") ‒ prima ancora che la fruizione di prestazioni dedotte in contratto ‒ alla contestuale autorizzazione a trattare i dati conferiti per una finalità diversa, qual è quella promozionale e pubblicitaria (tra i più recenti, cfr. provv.ti 27 ottobre 2016, n. 439, doc. web n. 5687770; 10 marzo 2016, n. 110, doc. web n. 4988238; 11 febbraio 2016, n. 49, doc. web n. 4885578; 15 luglio 2010, doc. web n. 1741998; 22 febbraio 2007, punto 4.2, doc. web n. 1388590, con ulteriore richiamo ai più risalenti provv.ti 10 maggio 2006, doc. web n. 1298709; 12 ottobre 2005, doc. web n. 1179604; 3 novembre 2005, doc. web n. 1195215; in particolare, con riguardo alla fornitura di beni o servizi subordinata alla necessaria autorizzazione al trattamento dei dati per fini promozionali, cfr. provv.ti 24 febbraio 2005, punto 7, doc. web n. 1103045; 20 dicembre 2012, doc. web n. 2223607; 1° ottobre 2015, n. 508, doc. web n. 4452896; provv. 10 marzo 2016, cit.).

3.2. La Società, inoltre, avendo raccolto tramite il sito web www.dalani.it un numero assai elevato di indirizzi email per finalità di marketing (cfr. comunicazione integrativa del 12 ottobre 2016), avrebbe dovuto richiedere, ai sensi dell'art. 130 del Codice, commi 1 e 2, un consenso rispetto a siffatto trattamento, che deve essere liberamente e specificamente espresso, e non secondo le modalità sopra descritte (cfr. "Linee guida in materia di attività promozionale e contrasto allo spam" del 4 luglio 2013, in particolare punto 2.6).
 

3.3. Né viene meno l'illiceità del trattamento per il solo fatto che nelle mail promozionali inviate sia presente un link per la cancellazione dalla newsletter, atteso che il consenso richiesto (salvo per le ipotesi di cui all'art. 130, comma 4, del Codice, che non ricorrono però nel caso di specie) deve essere legittimamente acquisito anteriormente all'invio delle comunicazioni promozionali  (cfr. Linee Guida 4 luglio 2013, punto 2.5; provv. 6 ottobre 2016, n. 390, doc. web n. 5834805).

4. Per le ragioni sopra esposte, ‒ pur preso atto di quanto dichiarato dalla Società con riferimento alle misure che (a seguito dell'accertamento) avrebbe adottato con riguardo alle modalità di acquisizione del consenso da parte degli utenti nonché alle modalità di gestione della propria attività promozionale (cfr. nota del 12 agosto 2016) ‒,  i dati personali raccolti con le modalità sopra indicate (cfr. punto 3.1), in base all'art. 11, comma 2, del Codice, non possono essere ulteriormente utilizzati per finalità promozionali in assenza di un consenso liberamente manifestato (ai sensi dell'art. 130, commi 1 e 2, del Codice) e se ne deve quindi vietare alla Società l'ulteriore uso per tali finalità.

5. Con particolare riguardo alla violazione di cui al punto 3.2 ‒ poiché risulta già avviato dal Nucleo Speciale Privacy il procedimento sanzionatorio ai fini della contestazione, in capo alla Società, della sanzione amministrativa concernente la mancata acquisizione di un consenso libero e specifico per l'utilizzo dei dati per finalità di marketing (ai sensi dell'art. 162, comma 2-bis, del Codice) ‒ l'Autorità non ritiene di avviare un ulteriore autonomo procedimento sanzionatorio.

6. Si ricorda che, ai sensi dell'art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni; in ogni caso, è altresì applicata in sede amministrativa la sanzione del pagamento di una somma da trentamila a centottantamila euro ai sensi dell'art. 162, comma 2-ter del Codice.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi degli artt. 143, comma 1, lett. b) e c), 144, 154, comma 1, lett. c) e d) del Codice, vieta a Dalani s.r.l. l'ulteriore trattamento per finalità di marketing dei dati personali raccolti mediante il sito www.dalani.it, in violazione dei principi di minimizzazione dei dati personali, necessità e correttezza di cui agli artt. 3 e 11, comma 1, lett. d) ed a), del Codice, nonché in assenza di un previo consenso manifestato liberamente e specificamente ai sensi dell'art. 130, commi 1 e 2, del Codice (punti 3.1 e 3.2).

Ai sensi degli artt. 152 del Codice e 10, d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 20 luglio 2017

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia