Consenso privacy lecito solo se espresso per ogni specifica finalità di trattamento

Scarica PDF Stampa

Il consenso privacy è dato lecitamente solo se è espresso singolarmente per ogni specifica finalità di trattamento.

Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni: I ricorsi al Garante della privacy

Indice

1. I fatti

Il Garante per la protezione dei dati personali riceveva una segnalazione da parte di un utente di una società cooperativa che fornisce anche il servizio di telefonia mobile, nel quale l’utente sosteneva di aver ricevuto delle comunicazioni con finalità di marketing da parte della cooperativa e di aver quindi comunicato a quest’ultima mediante posta elettronica di opporsi al trattamento per finalità promozionali e di voler conoscere quali fossero i suoi dati personali in possesso della cooperativa. Il segnalante riferiva, altresì, che, a fronte della suddetta richiesta, la società si era limitata a comunicare di aver registrato la sua opposizione a ricevere le comunicazioni promozionali che pertanto egli aveva nuovamente richiesto di poter accedere ai propri dati personali e di ottenere la cancellazione, ma che la società aveva continuato a non rispondere ed anzi aveva inviato due ulteriori SMS promozionali.
Il garante aveva quindi inviato alla cooperativa una richiesta di informazioni e di documenti, alla quale la società aveva risposto sostenendo che il mancato riscontro all’esercizio del diritto di accesso e di cancellazione dei dati invocato dall’interessato era avvenuto a causa di un disguido interno per cui la richiesta dell’utente era stata considerata erroneamente evasa. In secondo luogo la società sosteneva di aver provveduto alla cancellazione dei dati dell’interessato e di aver anche fornito al medesimo bonus promozionale a causa delle problematiche lamentate.
Il garante aveva altresì proceduto ad effettuare un accertamento ispettivo presso la società, da cui erano emerse delle criticità in ordine al servizio di telefonia tramite le e-sim, alla raccolta di immagini e di altri dati personali durante fiere ed eventi organizzati dalla società e alla raccolta di dati sulle piattaforme social.
In particolare, per quanto riguarda il servizio di telefonia, era emerso che la società tratta numerosissimi dati, tra i quali quelli di traffico telefonico e telematico, di navigazione Internet, di posizione e geolocalizzazione, previo il consenso dell’interessato, con riferimento a numerose distinte finalità: finalità funzionali a ricerche di mercato, analisi economiche e statistiche, vendita diretta, commercializzazione, invio di materiale pubblicitario e promozionale nonché di aggiornamenti su iniziative ed offerte rivolte ai clienti; comunicazione a soggetti terzi facenti parte del sistema della cooperativa, per poter ricevere da tali terzi loro materiale pubblicitario e informazioni commerciali; comunicazione ad altri partner commerciali per poter ricevere da tali terzi loro materiale pubblicitario e informazioni commerciali; finalità di profilazione e relative ad analisi e identificazione di comportamenti, abitudini, preferenze e scelte di consumo e per la definizione di profili commerciali che permettono di offrire servizi migliori o offerte mirate e dedicate; comunicare detti dati a soggetti terzi facenti parte del sistema della cooperativa per loro finalità di profilazione; comunicare detti dati a soggetti terzi non facenti parte del sistema della cooperativa per loro finalità di profilazione.
Per quanto riguarda il trattamento dei dati personali raccolti in occasioni di eventi e fiere, è emerso che venivano raccolti dati quali fotografie, video e registrazioni audio e che la finalità della raccolta era quella di pubblicizzare l’evento, mentre il tempo di conservazione di detti dati era di cinque anni. Secondo il garante detto tempo di conservazione e eccedente rispetto alle finalità del trattamento, anche tenuto conto della notevole mole di dati raccolti e trattati nonché del fatto che secondo le regole del garante per i programmi di civilizzazione la conservazione dei dati dell’interessato per finalità promozionali e di profilazione può essere effettuata per un tempo massimo di 24 e 12 mesi.
Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni:

FORMATO CARTACEO

I ricorsi al Garante della privacy

Giunto alla seconda edizione, il volume affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali, alla luce delle recenti pronunce del Garante della privacy, nonché delle esigenze che nel tempo sono maturate e continuano a maturare, specialmente in ragione dell’utilizzo sempre maggiore della rete. L’opera si completa con una parte di formulario, disponibile online, contenente gli schemi degli atti da redigere per approntare la tutela dei diritti dinanzi all’Autorità competente. Un approfondimento è dedicato alle sanzioni del Garante, che stanno trovando in queste settimane le prime applicazioni, a seguito dell’entrata in vigore della nuova normativa. Michele Iaselli Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II, nonché Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore in numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.

Michele Iaselli | Maggioli Editore 2022

2. Consenso privacy e finalità di trattamento: la valutazione del Garante

Per quanto riguarda le contestazioni relative al trattamento dei dati degli utenti per il servizio di telefonia, il garante ha ritenuto che, seppur gli utenti avessero prestato il consenso al trattamento per le finalità sopradescritte, tale consenso non può ritenersi specifico e libero, in quanto è riferito ad una notevole e variegata massa di dati personali, peraltro decisamente rilevanti rispetto al diritto alla protezione dei dati (come quelli di traffico telefonico e telematico, di navigazione Internet, di posizione e geolocalizzazione).
Tra l’altro, secondo il garante, in violazione è ancora più rilevante nell’ipotesi in cui detti dati sono destinati a circolare al di fuori della sfera di gestione e di controllo della società, rientrando nella disponibilità di soggetti terzi che – perseguendo proprie finalità promozionali e di profilazione – sono da considerarsi titolari autonomi del trattamento e quindi legittimati a trattare i dati in questione in base a proprie finalità e modalità.
Il fatto che le finalità del trattamento fossero numerose e diverse tra di loro (cioè ricerche di mercato, analisi economiche statistiche, vendita diretta, commercializzazione, invio di materiale pubblicitario e promozionale, l’invio di aggiornamenti su iniziative e offerte ai clienti), determina e il titolare del trattamento non può richiedere un unico consenso per tutte le suddette finalità collettivamente considerate, dovendo invece predisporre un separato consenso per le peculiari attività di analisi economica e statistica.
Infine, il garante non ha ritenuto fondate le argomentazioni difensive della società per cui tutte le suddette finalità di raccolta dei dati sono inquadrabili all’interno di una più ampia categoria di attività di marketing diretto e comunicazione promozionale e commerciale.
Infatti, il concetto di marketing non può essere ampliato al punto tale da ricomprendervi anche le attività statistiche e di analisi economica, in quanto si tratta di attività peculiari strutturalmente diverse da quelle di promozione.
Per quanto concerne la contestazione relativa al fatto che la previsione di un tempo massimo di cinque anni per la conservazione dei dati raccolti in fiere ed eventi fosse eccessiva, il garante ha ritenuto di accogliere la difesa formulata dalla società, secondo cui il periodo di conservazione era stato determinato concordemente la il suddetto titolare e gli interessati mediante specifiche liberatorie da quest’ultimi sottoscritte.

3. La decisione del Garante

In considerazione di tutto quanto sopra, il garante ha ritenuto, da un lato, di dover ingiungere alla società di modificare la formula di acquisizione del consenso per l’attività di marketing, in modo da eliminare il riferimento alle attività statistiche ed economiche; dall’altro lato, di dover ingiungere alla società una sanzione la violazione della normativa in ordine alla raccolta del consenso nonché per non aver dato riscontro nella richiesta di accesso e di cancellazione dei dati formulata dal segnalante.
Invece, il garante ha ritenuto di poter archiviare la contestazione relativa al trattamento dei dati personali raccolti durante eventi e fiere, proprio in considerazione del fatto che si può mettere dell’autonomia contrattuale dei privati possa determinare la tempistica di conservazione dei dati diversamente da quella prevista dalla normativa privacy.
Per quanto concerne la quantificazione della sanzione amministrativa pecuniaria, il garante, tenuto conto del fatturato ricavato dall’ultimo bilancio della società e del conseguente massimo edittale della sanzione erogabile (pari ad oltre 28 milioni di euro), pur riconoscendo numerose circostanze attenuanti alla società ed una sola aggravante (relativa al numero di interessati coinvolti), ha inflitto la sanzione del pagamento di una somma di euro 90.000 (novantamila), in applicazione del principio di effettività, proporzionalità e dissuasività della sanzione.

Scrivi un commento

Accedi per poter inserire un commento