Servizio condizionato al consenso, acquisizione dati illecita

Consenso necessario per poter fruire del servizio: acquisizione dati illecita anche se autorizzata

di Muia' Pier Paolo, Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio

Versione PDF del documento

Garante per la protezione dei dati personali: provvedimento n.363 del 22/05/2018

Riferimenti normativi: art 11, comma 2, 23, 130 del Codice in materia di protezione dei dati.

Fatto

Il Garante per la protezione dei dati personali aveva ricevuto da parte di alcuni utenti di internet diverse lamentele circa il fatto di essere stati contattati da alcune società di servizi per fini di marketing.

In particolare, alcuni soggetti avevano segnalato di aver ricevuto telefonate ed email promozionali da parte del gestore di un sito internet, che offre ai suoi utenti un servizio di comparazione delle offerte per più settori merceologici, come ad esempio mutui, assicurazioni, luce, gas, telefonia ecc. Altri soggetti, invece, lamentavano di aver ricevuto telefonate ed sms promozionali relativi a prodotti di alcune società operanti in quei settori, ed in specie nel settore della telefonia e telecomunicazioni.

Alla luce della segnalazione ricevuta, il Garante aveva provveduto ad effettuare delle verifiche sul sito internet al fine di accertare l’eventuale violazione della normativa in materia di privacy, con particolare riferimento al trattamento dei dati personali per finalità di natura promozionale.

In detta occasione il Garante aveva avuto modo di osservare che il sito internet, al fine di meglio erogare il servizio offerto, consistente, come detto, nella comparazione di offerte presenti sul mercato su diversi prodotti, invitava l’utente internet a contattare un numero telefonico o ad inserire i propri dati personali per essere contattati gratis e senza impegno attraverso l’utilizzo di un “popup”. Per utilizzare quest’ultimo servizio era però necessario che l’utente, oltre ad inserire il proprio nome, cognome, e numero di telefono, desse anche il consenso al trattamento dei propri dati. Tale consenso era manifestato attraverso la spunta con un flag della relativa casella riportante la dicitura “ho letto l’informativa privacy e acconsento al trattamento dei dati”. Il mancato consenso al trattamento dei dati impediva all’utente di procedere con l’invio della richiesta di essere contattato.

In questa fase istruttoria la Società proprietaria del sito internet aveva fornito alcuni chiarimenti sulle origini e modalità di acquisizione dei dati personali da essa trattati per finalità di marketing, specificando che alcuni dati personali venivano raccolti direttamente dal sito web, mentre altri (la stragrande maggioranza) venivano acquistati da società terze. Limitatamente a questa ultima modalità di acquisizione dei dati la società non provvedeva a richiedere agli interessati il loro consenso al trattamento dei dati, sia per finalità di marketing che per la comunicazione e cessione a terzi, ritenendo che lo stesso fosse già stato acquisito dalla società cedente i dati.

La decisione del Garante

Al termine della sua istruttoria il Garante si è espresso sul trattamento dei dati personali operato dalla società proprietaria del sito web soffermandosi – per quanto qui di interesse- sull’utilizzo dei “popup” e sull’acquisizione dei dati da società terze.

In particolare, sul primo aspetto il Garante ha ravvisato la violazione della normativa in materia di privacy in ragione delle modalità di acquisizione del consenso. Questa, infatti, non appariva liberamente esprimibile essendo, invece, condizionata alla fruizione di un servizio. Come evidenziato sopra, l’utente, infatti, al fine di poter accedere al servizio offerto dallo stesso sito, ovvero quello di essere richiamato senza costi e senza impegno, era obbligato a prestare il proprio consenso al trattamento dei dati personali, in assenza di questo il sito impediva l’invio della richiesta di contatto.

Il garante, come più volte espressosi in precedenza, ha ribadito che la capacità di autodeterminazione degli utenti, e dunque la libertà del consenso che questi sono chiamati a dare, non è assicurata quando la funzione di un servizio è assoggettata al rilascio dell’autorizzazione a trattare i dati personali. Così facendo, nel caso di specie, la Società aveva acquisito dagli utenti un consenso non libero e non specifico per il trattamento dei dati ai fini di marketing. Per tale ragione il Garante ha ritenuto illecito il trattamento operato fino a quel momento dalla società (che – come detto – utilizzava i dati raccolti mediante il consenso condizionato per effettuare contatti dal contenuto promozionale) ed ha chiesto alla società di trattare i dati così raccolti solo per dare esecuzione al servizio erogato dalla stessa, vale a dire comparare i prezzi dei vari prodotti. Ha, poi, esplicitato, che laddove la società avesse intenzione di trattare i dati per altra finalità, come quella di marketing, essa dovrà necessariamente riformulare la richiesta di consenso, rendendolo libero, specifico e chiaro, cosi che gli utenti possano essere correttamente informati sulle finalità del trattamento ovverosia quello promozionale e di comunicazione a terzi.

In riferimento al secondo aspetto, vale a dire l’acquisizione dei dati da società terze cedenti, il Garante ha riscontrato che, anche in detta occasione, la società non aveva correttamente ottenuto il consenso da parte degli interessati al trattamento dei dati personali per finalità di marketing e di comunicazione ai terzi per analoghe finalità, affidandosi al fatto che la società cedente avesse correttamente ottenuto il consenso.

Il Garante richiamando precedenti provvedimenti ha ribadito che la società acquirente di dati personali deve verificare che ciascuno interessato abbia validamente prestato il proprio consenso all’utilizzo dei dati per finalità promozionali, per tale ragione nel caso di specie ha disposto che i dati così raccolti da parte della società non potessero essere ulteriormente raccolti.

Volume consigliato

La tutela della privacy in ambito sanitario

La tutela della privacy in ambito sanitario

Pier Paolo Muià, 2018,

L’opera mira a fornire agli operatori del settore sanitario, pubblico e privato, gli strumenti per comprendere in modo chiaro e semplice la copiosa normativa relativa al trattamento dei dati sanitari, in modo che gli stessi possano adempiere con tranquillità agli obblighi su di loro...



Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

Muia' Pier Paolo

Muia' Pier Paolo

Co-founder dello Studio Legale "MMP Legal", svolge la professione di avvocato in Firenze, Prato e Pistoia, occupandosi in via principale con il suo staff di responsabilità professionale e civile; internet law, privacy e proprietà intellettuale nonchè diritto tributario. In particolare, svolge attività di assistenza e difesa sia di professionisti destinatari di richieste di risarcimento  danni per inadempimento professionale sia di soggetti danneggiati da sinsitri, soprattutto per malpractice medica; consulenza relativamente alla gestione e alla tutela dei dati personali in ogni area e settore di attività nonché assistenza e difesa, stragiudiziale e giudiziale, per quanto riguarda i contratti e i rapporti tramite internet ed in generale tutte le problematiche relative ai servizi on line ed ai correlati diritti; redazione di accordi di licenza e cessione di marchi, dei diritti di sfruttamento economico delle opere dell'ingegno, di know-how e di brevetti; difesa giudiziale per la tutela dei diritti d'autore e di brevetti, marchi e disegni, nonché avverso attività di concorrenza sleale; difesa e rappresentanza nei giudizi dinanzi alle commissioni tributarie. Per Diritto.it è Referente delle sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio. Pagina Facebook: https://www.facebook.com/studiolegalemasimuia/?ref=br_rs Pagina Instagram: https://www.instagram.com/mmp_studiolegale/


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it