Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Provvedimento del 19 maggio 2020 [9443795]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
9443795
Data:
19/05/20
Argomenti:
Marketing , E-mail promozionali , Programmi di fidelizzazione
Tipologia:
Prescrizioni del Garante

[doc. web n. 9443795]

Provvedimento del 19 maggio 2020

Registro dei provvedimenti
n. 90 del 19 maggio 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il dott. Antonello Soro, presidente, la dott.ssa Augusta Iannini, vicepresidente, la prof.ssa Licia Califano e la dott.ssa Giovanna Bianchi Clerici, componenti e il dott. Giuseppe Busia, segretario generale;

VISTO il  Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, (di seguito “Codice”);

VISTO il reclamo presentato al Garante in data 18 luglio 2018, ai sensi dell’art. 77 del Regolamento, con il quale il sig. XX ha lamentato nei confronti di Alitalia – Società Aerea Italiana S.p.A. in amministrazione straordinaria (di seguito “Alitalia”) – una violazione della vigente disciplina in materia di protezione dei dati personali con riguardo alla ricezione di e-mail promozionali, successivamente al suo recesso dal programma fedeltà “Millemiglia” di Alitalia ed alla manifestata volontà di non ricevere ulteriori comunicazioni promozionali;

CONSIDERATO che l’interessato ha, in particolare, rappresentato che:

- in data 22 maggio 2018 richiedeva via mail al servizio clienti Alitalia di recedere dal “programma Millemiglia” e di non ricevere più comunicazioni commerciali da parte della società;

- di aver reiterato le proprie istanze il successivo 24 maggio, inoltrandole, come richiesto, alla specifica casella di posta elettronica privacy@alitalia.it;

- di aver, anche in data 7 giugno 2018, confermato la richiesta di cancellazione dei propri dati personali e di accesso alle informazioni ai sensi dell’art. 15, par. 1 del Regolamento e di aver ricevuto, il successivo 24 giugno, conferma dalla società di aver dato indicazione di provvedere alla cancellazione dal suddetto programma ed all’invio di comunicazioni commerciali;

- di aver ricevuto, in data 7 luglio 2018, un’ulteriore conferma via e-mail da parte di Alitalia dell’avvenuta cancellazione della tessera Millemiglia, nonché dell’esclusione del proprio indirizzo di posta elettronica dalla lista dei contatti commerciali;

- di aver, ciononostante, ricevuto sulla propria casella di posta elettronica, nei successivi giorni del 10, 14 e 18 luglio tre comunicazioni commerciali provenienti dall’indirizzo news@newsletter.alitalia.it;

VISTA la nota del 10 gennaio 2019 con la quale Alitalia ha dato riscontro alla richiesta di informazioni formulata dall’Autorità il 15 ottobre 2018 (nota prot. 30397/2018) e successivamente reiterata ai sensi dell’art. 157 del Codice il 21 dicembre 2018 (nota prot. 37625/18), ricostruendo la vicenda in esame nei seguenti termini:

- dopo una prima richiesta di chiarimenti, in data 20 maggio 2018, in ordine al proprio “profilo Millemiglia” e al numero di miglia accumulate, nonché di accredito di un bonus e dopo un primo riscontro, il successivo 22 maggio, da parte del call center Alitalia che illustrava le ragioni del diniego alla concessione del predetto bonus, il Sig. XX scriveva, in pari data, all’indirizzo relazioniclientela@alitalia.it, richiedendo di “recedere dall’operazione a premi denominata “Programma Millemiglia” (…) promossa da Alitalia Società Aerea Italiana S.p.A. in a.s. e Alitalia Loyalty S.p.A.”;

- dopo ulteriori contatti nel cui ambito venivano illustrate al cliente le modalità per “disiscriversi dal Programma” ed ottenere comunque conferma della volontà di recesso già manifestata, evidenziando il valore delle miglia accumulate e la perdita dei benefici derivanti dall’acquisito status di viaggiatore “Ulisse”, il 7 giugno 2018 il Sig. XX “confermava la sua volontà precedentemente espressa, richiedendo inoltre di esercitare il suo diritto di accesso ex art. 15 del Regolamento (UE) 2016/679 (…)”;

- il successivo 24 giugno 2018, “i Promotori davano conferma al Sig. XX di aver dato indicazione agli uffici competenti della volontà di recesso dal Programma e di provvedere inoltre alla cancellazione dall’invio delle comunicazioni commerciali”;

- con comunicazione del 7 luglio 2018 Alitalia dava altresì formale riscontro all’esercizio del diritto di accesso formulato dal XX;

- l’invio delle successive e-mail promozionali al reclamante, nonostante la cancellazione dal menzionato programma, sarebbe stato imputabile alla mancata espunzione del relativo nominativo anche dalla mailing list, per errore dovuto al “volume di richieste presentate ad Alitalia, la quale (…) versa in una particolare situazione di carenza di personale dovuto alla cassa integrazione ed alle altre misure relative alla amministrazione straordinaria”;

- peraltro, successivamente alle richieste avanzate nei confronti della società il reclamante (nelle date del 9 agosto, 5 settembre e 29 ottobre 2018) provvedeva, per il tramite di agenzie di viaggi, alla prenotazione di voli inserendo la tessera millemiglia;

PRESO ATTO che, nella predetta nota, la società ha anche illustrato le attività e le misure adottate per l’adeguamento al Regolamento, pur sottolineando lo stato di difficoltà in cui attualmente versa ed al quale sarebbero ascrivibili non solo i rallentamenti nello svolgimento delle attività ordinarie, ma anche il ricorso a procedure più articolate per le richieste di spesa per nuovi progetti o investimenti;

CONSIDERATO che, con successiva nota di replica del 21 gennaio 2019, il reclamante, pur ritenendo corretta la ricostruzione dei fatti, ha osservato che:

- “nonostante la conferma della cancellazione totale dei miei dati inviatami da Alitalia in data 24 giugno, ho continuato a ricevere email commerciali in aggiunta a quelle già allegate al mio reclamo del 18 luglio 2018”;

- ”tra il 21 luglio 2018 e il 9 gennaio 2019, mi sono pervenute ulteriori 37 comunicazioni commerciali di Alitalia”;

- “in data 10 gennaio 2019 (stessa data della lettera di riscontro di Alitalia a codesta Autorità) ricevo una email di conferma di iscrizione alla newsletter di Alitalia …”, precisando peraltro di non aver mai richiesto tale iscrizione;

VISTA la nota dell’Ufficio del 6 giugno 2019 (prot. n.19667/19) con la quale, ai sensi dell’art. 166, comma 5, del Codice, è stato comunicato ad Alitalia l’avvio del procedimento per l’eventuale adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento e notificate le presunte violazioni di legge, individuate, nel caso di specie, nell’invio di e-mail indesiderate di contenuto promozionale nonostante la richiesta di cancellazione dei dati dal programma di fidelizzazione Alitalia e la manifestata opposizione al trattamento dei dati da parte dell’interessato per finalità di marketing, espressamente recepita dalla società;

CONSIDERATA, difatti, l’assenza, per i descritti trattamenti, di un idoneo presupposto normativo, in violazione dell’art. 130 commi 1 e 2, del Codice e degli artt. 6 e 7 del Regolamento (UE) 2016/679, nonché il mancato rispetto dei principi di liceità e correttezza del trattamento, in violazione dell’art. 5, par. 1, lett. a) del Regolamento e la carenza delle misure tecnico-organizzative che il titolare avrebbe dovuto adottare nel rispetto del principio di responsabilizzazione (art. 5, par. 2 e art. 24 del Regolamento) e dei principi di privacy by design e privacy by default di cui all’art. 25 del Regolamento che devono orientarne le scelte;

VISTA la comunicazione del 5 luglio 2019 con cui Alitalia, ha dato riscontro alla predetta comunicazione dell’Ufficio precisando, nell’ambito delle proprie memorie difensive, che:

- “l’asserita violazione è consistita nell’invio per errore di alcune e-mail di carattere commerciale ad un singolo interessato, rispetto a un totale di 156 milioni di email inviate nel 2018 a oltre 7 milioni di iscritti alle newsletter di Alitalia, dopo che questi aveva espresso la sua volontà di non partecipare più al programma di fedeltà di Alitalia “MilleMiglia” e di non ricevere più le relative comunicazioni commerciali”;

- seppure tale invio possa essere risultato sgradito, “le doglianze del reclamante (per sua stessa esplicita ammissione) non sono state dettate da una percepita lesione del proprio diritto alla protezione dei dati personali, ma piuttosto da motivazioni ulteriori”, trattandosi solo di “uno strumento pretestuoso per “ottenere giustizia” e rivalersi sulla società per un presunto torto subito in conseguenza della cancellazione delle miglia accumulate durante i suoi viaggi”, come emerso nello scambio di comunicazioni intercorso tra le parti;

CONSIDERATO, altresì, che nella menzionata comunicazione Alitalia ha fornito tutti gli elementi utili alle valutazioni di cui all’art. 83 par. 2 del Regolamento evidenziando in particolare che:

- la violazione ha riguardato “un solo interessato con la ricezione in media di una sola e-mail a settimana, peraltro di carattere commerciale generico e non profilato”;

- l’invio della newsletter Alitalia al reclamante, nonostante la cancellazione dal programma di fidelizzazione, “è stato causato da un errore umano per via del disallineamento tra le azioni previste per rispondere alle richieste degli interessati clienti MilleMiglia” e che detto errore, non intenzionale, risulterebbe anche ascrivibile alle difficoltà di raccordo tra i vari dipartimenti interni a causa delle restrizioni connesse al regime di amministrazione straordinaria in cui versa la società;

- “terminato l’invio delle comunicazioni indesiderate, nessuna ulteriore conseguenza è stata patita dall’interessato”;

CONSIDERATO, peraltro, che nella nota tecnica allegata a detta comunicazione la società ha fornito la descrizione del processo utilizzato per l’invio di comunicazioni commerciali ai propri clienti/passeggeri, evidenziando in particolare che all’epoca dei fatti il database newletter Alitalia era gestito da Alitalia Loyalty e che il menzionato processo di disallineamento ha riguardato l’operazione di aggiornamento del profilo MilleMiglia (che normalmente prevede l’inserimento nel profilo personale dell’utente della dicitura “nomailing” laddove quest’ultimo  manifesti la volontà di non ricevere più comunicazioni commerciali) e l’operazione di cancellazione dell’iscrizione dalla newsletter mediante “unsubscribe”, determinando l’erroneo invio della newsletter Alitalia al reclamante;

CONSIDERATO, altresì, che nella medesima nota è stato evidenziato come, a seguito dell’esame dei log relativi all’invio delle ulteriori 37 comunicazioni al reclamante a causa dell’erronea rimozione del blocco, sia peraltro risultato che quest’ultimo, pur avendo aperto più volte le comunicazioni inviate, non avrebbe mai attivato la procedura “unsubscribe” attraverso il “link” presente nel corpo di tali comunicazioni;

RILEVATO che, con riguardo all’invio della newsletter del 10 gennaio 2019 la società ha precisato esservi stata una iscrizione volontaria da homepage (alle h. 12.40) di cui il reclamante ha ricevuto conferma e di aver, nella stessa giornata, provveduto “ad inibire l’indirizzo mail così come richiesto da Sig. XX”, inserendolo nella propria black list;

CONSIDERATO inoltre che, sulla base di quanto dichiarato nei propri scritti difensivi, la società ha provveduto, dalla predetta data del 10 gennaio 2019, a bloccare ogni tipo di comunicazione commerciale nei confronti del reclamante, ribadendo l’inserimento del relativo indirizzo di posta elettronica nella propria black list;

CONSIDERATO altresì che, nei medesimi scritti difensivi, la società ha dichiarato, anche ai fini delle valutazioni di cui al menzionato art. 83, par 2 del Regolamento:

- di aver già provveduto ad effettuare numerosi adempimenti che si pongono in linea con il nuovo assetto normativo;

- di aver già posto in essere un’articolata serie di accorgimenti rispetto al proprio modello organizzativo interno e di aver approvato e diffuso specifiche policy e procedure aziendali con riguardo, tra l’altro, all’esercizio dei diritti degli interessati, alla gestione dei data breach e della data retention, nonché alla gestione di e-mail sospette e di attacchi di social engineering;

- di aver anche predisposto una serie di procedure interne e tecnologiche per la verifica della sicurezza e valutazione dello specifico rischio privacy, oltre ad aver organizzato adeguati strumenti formativi del personale per i profili di cybersecurity, ed evidenziato le modalità di gestione della DPIA;

PRESO ATTO che la società ha dato inoltre assicurazione in merito all’ulteriore implementazione, nonché revisione ed aggiornamento con cadenza periodica, di altri adempimenti diretti ad incrementare la conformità e sicurezza dei propri trattamenti anche sotto il profilo dell’utilizzo delle dotazioni informatiche e delle risorse ICT aziendali;

PRESO ATTO, altresì, che tra detti adempimenti rientra anche, nell’ambito della gestione dell’esercizio dei diritti degli interessati, la predisposizione di un meccanismo di cancellazione automatica e puntuale dei dati sulla base della retention indicata nel registro per ciascun trattamento e la predisposizione di un’ulteriore, specifica, attività di formazione del personale;

CONSIDERATO che, a seguito della convocazione disposta per l’audizione ai sensi dell’art. 166, comma 6 del Codice, la società con nota del 13 febbraio 2020 ha comunicato di aver già rappresentato nei propri scritti difensivi le proprie controdeduzioni e le azioni di rimedio, nonché le misure tecnico-organizzative intraprese a seguito del reclamo;

RILEVATA, alla luce di quanto emerso, la fondatezza del reclamo presentato all’Autorità e l’illiceità dei trattamenti effettuati da Alitalia, in qualità di titolare del trattamento, stante la violazione delle disposizioni di cui agli artt. 130, commi 1 e 2 del Codice e 6 e 7 del Regolamento, nonché degli artt. 5, par. 1 lett. a) e par. 2, 24 e 25 del Regolamento;

PRESO ATTO, tuttavia, di quanto rappresentato da Alitalia nelle proprie memorie difensive e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”;

CONSIDERATO, in particolare, che il caso sottoposto all’esame dell’Autorità ha riguardato un solo interessato rispetto ad una platea di milioni di iscritti alla newsletter della società e che l’indebito invio di comunicazioni commerciali risulta essere stato causato da un episodio di temporaneo disallineamento tra le azioni aziendali ed imputabile ad errore umano involontario, connesso anche alle rappresentate difficoltà aziendali;

PRESO ATTO che la società ha provveduto a rimuovere definitivamente gli effetti pregiudizievoli della propria condotta, inibendo in maniera risolutiva ogni ulteriore invio di comunicazioni promozionali all’interessato ed inserendone il nominativo in black list e ritenuto, pertanto di non dover adottare specifici provvedimenti sul punto;

RITENUTO, invece, in considerazione di quanto sopra richiamato e anche alla luce dell’art. 83, par. 2 del Regolamento, di ammonire Alitalia Società Aerea italiana S.p.A. in amministrazione straordinaria, ai sensi dell’art. 58, par. 2 lett. b) del Regolamento affinché non si ripetano condotte analoghe a quelle effettuate in violazione delle norme sopra menzionate e i trattamenti sopra richiamati vengano effettuati nel pieno rispetto di quanto previsto dagli artt. 5, par. 2 e 24, del Regolamento, nonché dei principi di cui all’art. 25 del Regolamento, significando, altresì, che in difetto si rende applicabile la sanzione di cui all’art. 83, par.5 lett. b) del Regolamento;

RITENUTO, pertanto, di dover ingiungere ad Alitalia, ai sensi dell’art. 58, par. 2 lett. d) del Regolamento di provvedere alla definitiva e completa implementazione delle procedure e dei sistemi sopra descritti entro il termine di 30 giorni dalla notifica del presente provvedimento;

RITENUTO che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante;

RILEVATO che, in caso di inosservanza di quanto disposto dal Garante, può trovare applicazione la sanzione amministrativa di cui all’art. 83, par. 5, lett. e), del Regolamento:

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

TUTTO CIÒ PREMESSO

a) dichiara l’illiceità del trattamento di dati personali effettuato da Alitalia Società Aerea italiana S.p.A. in amministrazione straordinaria nei confronti del reclamante per violazione degli artt. 130, commi 1 e 2 del Codice, nonché agli artt. 5, par. 1, lett. a), 6 e 7 del Regolamento e, tuttavia, preso atto delle misure adottate per portare a soluzione quanto lamentato dal reclamante, ritiene che non vi siano i presupposti per l’adozione di specifici provvedimenti sul punto;

b) ammonisce comunque la Società, ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, affinché non si ripetano condotte analoghe a quelle qui accertate e i trattamenti in questione vengano effettuati nel pieno rispetto di quanto previsto dagli artt. 5, par. 2, e 24 del Regolamento, nonché dei principi di cui all’art. 25 del Regolamento;

c) ingiunge ad Alitalia, ai sensi dell’art. 58, par. 2, lett. d) di provvedere alla definitiva e completa implementazione delle procedure e dei sistemi interni di gestione relativi ai sopra richiamati trattamenti, come di ogni altra misura già in corso di realizzazione, entro il termine di 30 giorni dalla notifica del presente provvedimento;

d) richiede alla Società di comunicare le iniziative intraprese al fine di dare attuazione a quanto prescritto nel presente provvedimento e di fornire comunque adeguato riscontro, ai sensi dell’art. 157 del Codice, entro il termine di 40 giorni dalla notifica del presente provvedimento, evidenziando che l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento;

e) ritenuto che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato, alternativamente, presso il tribunale del luogo ove risiede o ha sede il titolare del trattamento ovvero presso quello del luogo di residenza dell'interessato entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.

Roma, 19 maggio 2020

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerico

IL SEGRETARIO GENERALE
Busia