Riferimenti normativi: art 11, comma 2, 23, 130 del Codice in materia di protezione dei dati.
Fatto
Il Garante per la protezione dei dati personali aveva ricevuto da parte di alcuni utenti di internet diverse lamentele circa il fatto di essere stati contattati da alcune società di servizi per fini di marketing.
In particolare, alcuni soggetti avevano segnalato di aver ricevuto telefonate ed email promozionali da parte del gestore di un sito internet, che offre ai suoi utenti un servizio di comparazione delle offerte per più settori merceologici, come ad esempio mutui, assicurazioni, luce, gas, telefonia ecc. Altri soggetti, invece, lamentavano di aver ricevuto telefonate ed sms promozionali relativi a prodotti di alcune società operanti in quei settori, ed in specie nel settore della telefonia e telecomunicazioni.
Alla luce della segnalazione ricevuta, il Garante aveva provveduto ad effettuare delle verifiche sul sito internet al fine di accertare l’eventuale violazione della normativa in materia di privacy, con particolare riferimento al trattamento dei dati personali per finalità di natura promozionale.
In detta occasione il Garante aveva avuto modo di osservare che il sito internet, al fine di meglio erogare il servizio offerto, consistente, come detto, nella comparazione di offerte presenti sul mercato su diversi prodotti, invitava l’utente internet a contattare un numero telefonico o ad inserire i propri dati personali per essere contattati gratis e senza impegno attraverso l’utilizzo di un “popup”. Per utilizzare quest’ultimo servizio era però necessario che l’utente, oltre ad inserire il proprio nome, cognome, e numero di telefono, desse anche il consenso al trattamento dei propri dati. Tale consenso era manifestato attraverso la spunta con un flag della relativa casella riportante la dicitura “ho letto l’informativa privacy e acconsento al trattamento dei dati”. Il mancato consenso al trattamento dei dati impediva all’utente di procedere con l’invio della richiesta di essere contattato.
In questa fase istruttoria la Società proprietaria del sito internet aveva fornito alcuni chiarimenti sulle origini e modalità di acquisizione dei dati personali da essa trattati per finalità di marketing, specificando che alcuni dati personali venivano raccolti direttamente dal sito web, mentre altri (la stragrande maggioranza) venivano acquistati da società terze. Limitatamente a questa ultima modalità di acquisizione dei dati la società non provvedeva a richiedere agli interessati il loro consenso al trattamento dei dati, sia per finalità di marketing che per la comunicazione e cessione a terzi, ritenendo che lo stesso fosse già stato acquisito dalla società cedente i dati.
La decisione del Garante
Al termine della sua istruttoria il Garante si è espresso sul trattamento dei dati personali operato dalla società proprietaria del sito web soffermandosi – per quanto qui di interesse- sull’utilizzo dei “popup” e sull’acquisizione dei dati da società terze.
In particolare, sul primo aspetto il Garante ha ravvisato la violazione della normativa in materia di privacy in ragione delle modalità di acquisizione del consenso. Questa, infatti, non appariva liberamente esprimibile essendo, invece, condizionata alla fruizione di un servizio. Come evidenziato sopra, l’utente, infatti, al fine di poter accedere al servizio offerto dallo stesso sito, ovvero quello di essere richiamato senza costi e senza impegno, era obbligato a prestare il proprio consenso al trattamento dei dati personali, in assenza di questo il sito impediva l’invio della richiesta di contatto.
Il garante, come più volte espressosi in precedenza, ha ribadito che la capacità di autodeterminazione degli utenti, e dunque la libertà del consenso che questi sono chiamati a dare, non è assicurata quando la funzione di un servizio è assoggettata al rilascio dell’autorizzazione a trattare i dati personali. Così facendo, nel caso di specie, la Società aveva acquisito dagli utenti un consenso non libero e non specifico per il trattamento dei dati ai fini di marketing. Per tale ragione il Garante ha ritenuto illecito il trattamento operato fino a quel momento dalla società (che – come detto – utilizzava i dati raccolti mediante il consenso condizionato per effettuare contatti dal contenuto promozionale) ed ha chiesto alla società di trattare i dati così raccolti solo per dare esecuzione al servizio erogato dalla stessa, vale a dire comparare i prezzi dei vari prodotti. Ha, poi, esplicitato, che laddove la società avesse intenzione di trattare i dati per altra finalità, come quella di marketing, essa dovrà necessariamente riformulare la richiesta di consenso, rendendolo libero, specifico e chiaro, cosi che gli utenti possano essere correttamente informati sulle finalità del trattamento ovverosia quello promozionale e di comunicazione a terzi.
In riferimento al secondo aspetto, vale a dire l’acquisizione dei dati da società terze cedenti, il Garante ha riscontrato che, anche in detta occasione, la società non aveva correttamente ottenuto il consenso da parte degli interessati al trattamento dei dati personali per finalità di marketing e di comunicazione ai terzi per analoghe finalità, affidandosi al fatto che la società cedente avesse correttamente ottenuto il consenso.
Il Garante richiamando precedenti provvedimenti ha ribadito che la società acquirente di dati personali deve verificare che ciascuno interessato abbia validamente prestato il proprio consenso all’utilizzo dei dati per finalità promozionali, per tale ragione nel caso di specie ha disposto che i dati così raccolti da parte della società non potessero essere ulteriormente raccolti.
Volume consigliato
La tutela della privacy in ambito sanitario
L’opera mira a fornire agli operatori del settore sanitario, pubblico e privato, gli strumenti per comprendere in modo chiaro e semplice la copiosa normativa relativa al trattamento dei dati sanitari, in modo che gli stessi possano adempiere con tranquillità agli obblighi su di loro gravanti, volti alla cura e alla protezione dei dati personali dei loro assistiti. In particolare, l’Autore, dopo aver illustrato le caratteristiche principali dei dati sanitari, necessarie per poter individuare quali informazioni rientrano in detta categoria, si dedica all’esame di tutte le disposizioni che incidono sul loro trattamento: dal codice privacy fino al GDPR, passando per le linee guida adottate dal Garante nel corso degli anni in tema di dossier sanitario, siti web dedicati alla salute, referti on-line, indagini di customer satisfaction nonché per la normativa in tema di fascicolo sanitario elettronico. Il trattamento dei dati in ambito sanitario, in considerazione della delicatezza delle informazioni che riguardano lo stato di salute degli interessati, è sempre stato estremamente pericoloso. L’opera si rende ancor più utile oggi, in un mondo in cui anche nell’ambito sanitario i dati personali assumono un’importanza fondamentale e vengono trattati attraverso diversi strumenti tecnologici ed elettronici, rientrando la protezione di tali dati tra i principali adempimenti che i professionisti e le strutture sanitarie debbono curare per poter fornire le proprie prestazioni senza preoccupazioni di incorrere in responsabilità.Pier Paolo Muià Si è laureato in Giurisprudenza presso l’Università degli Studi di Firenze. Esercita la professione di avvocato tra Firenze, Prato e Pistoia, occupandosi in particolare di responsabilità medica, diritto di internet, privacy e IP. È autore di numerose pubblicazioni sulle principali riviste giuridiche nazionali e collabora stabilmente con il portale giuridico Diritto.it. È stato relatore in diversi convegni, anche per ordini professionali medici.
Pier Paolo Muià | 2018
Scrivi un commento
Accedi per poter inserire un commento