Garante per la protezione dei dati personali: provvedimento n. 133 del 20 giugno 2019
Riferimenti normativi: artt. 4, par. 1, punto 11, 6, par. 1, lett. a, e 7 del GDPR; art. 58, par. 2, lett. b), del GDPR; all’art. 5, par. 1 e 2, del GDPR artt. 12, par. 2 e 3; 21, par. 3, Regolamento UE.
Fatto
Una persona interessata al trattamento dei dati personali aveva indirizzato al Garante due segnalazioni relative al trattamento potenzialmente illegittimo dei propri dati posto in essere da una Società proprietaria di una catena di negozi specializzati nell’elettronica e negli elettrodomestici di consumo.
In particolare, l’interessata si era lamentata di aver ricevuto comunicazioni promozionali mediante posta elettronica – il cui indirizzo era stato registrato in occasione della sottoscrizione di due carte fedeltà riconducibili ad una Società, oggetto successivamente di un’operazione di re-branding – nonostante non avesse prestato il necessario consenso per tali finalità promozionali e nonostante la reiterata opposizione che era stata espressa dall’interessata, ai sensi dell’art 7 ss del Codice, sia contattando il servizio clienti e utilizzando la procedura di cancellazione dalla mailing list indicata nelle comunicazioni in questione, che accedendo al sito web della Società.
Successivamente a questa prima segnalazione, ne era pervenuta un’altra, da parte di un altro interessato, che lamentava di non esser riuscito a cancellare il proprio indirizzo dalla mailing list della Società, tramite la funzionalità di “unscribe”, e di aver provato a contattare, senza alcun esito, l’indirizzo internet della Società.
A fronte delle segnalazioni ricevute il Garante ha avviato un accertamento ispettivo al fine di accertare la liceità dei trattamenti di dati personali effettuati dalla Società.
Nel corso delle verifiche, il Garante aveva appurato che la Società interessata dall’accertamento raccoglieva i dati personali dei propri clienti: (i) mediante un modulo cartaceo compilato presso i propri punti vendita da coloro che richiedevano il rilascio di una fidelity card; (ii) mediante la compilazione di un form nella sezione “registrati” presente sul sito web della Società; (iii) attraverso l’app.
Con riferimento alla prima modalità di raccolta, ovverosia tramite il modulo cartaceo compilato dal cliente al momento della richiesta della fidelity card, era emerso che nei moduli riferiti al brand, che è stato successivamente incorporato in un unico marchio, il consenso al trattamento veniva acquisito con formula unica inclusiva sia delle finalità promozionali sia di quelle contrattuali e para-contrattuali.
Interpellata dal Garante la Società aveva fornito i propri chiarimenti in ordine al lamentato utilizzo illecito dei dati personali riferiti a due interessati. In particolare la Società aveva reso al Garante la spiegazione circa il motivo per cui nonostante l’opposizione al trattamento espressa da entrambi i segnalanti attraverso la richiesta di cancellazione dalla mailing-list, non era cessato l’invio di comunicazioni promozionali tramite e-mail. Il motivo, secondo al Società, era da ricondursi ai problemi riscontrati con l’avvio del nuovo sistema informatico di gestione dei dati, che aveva comportato un disallineamento temporaneo dei dati a sistema tale da impedire il blocco delle comunicazioni promozionali a coloro che per il periodo interessato avevano, appunto, provato a cancellarsi dalla mailing-list.
La decisione del Garante
Il Garante per il trattamento dei dati personali, valutate le risultanze istruttorie emerse dall’accertamento eseguito presso la Società, a cui era stato contestato da parte di due interessati un trattamento illecito dei propri dati personali, per aver essi ricevuto comunicazioni promozionali senza previo consenso, e nonostante la richiesta di cancellazione dalla mailing-list, ha ritenuto il trattamento oggetto di segnalazione effettivamente illecito perché avvenuto in assenza di un consenso libero, specifico e inequivocabile dell’interessato in relazione ad una o più specifiche finalità.
Il Garante si è espresso inizialmente in merito alla sottoscrizione dei moduli di attivazione della fidelity card, relativa al brand, poi fuso in un unico marchio. L’Autorità garante aveva riconosciuto, già in fase di accertamento, che il consenso acquisito mediante la sottoscrizione di quei moduli era stato raccolto con formula unica comprensiva anche del consenso per attività contrattuale e para-contrattuale, e per tale ragione non poteva essere inteso come liberamente espresso. Arrivato ad una tale conclusione il Garante, pur sapendo che tali dati non sono più oggetto di trattamento, ha comunque ritenuto opportuno ammonire la Società affinché non effettui alcun ulteriore trattamento di quei dati, essendo stati raccolti in assenza di un comprovato consenso libero e specifico per finalità promozionali.
La capacità di autodeterminazione degli interessati, e quindi la libertà del consenso che questi sono chiamati a manifestare, non è assicurata quando si assoggetta la fruizione di finalità contrattuali e para-contrattuali (quali, ad esempio la gestione di concorsi a premi e la rilevazione del grado di soddisfazione della clientela) alla contestuale autorizzazione a trattare i dati anche per finalità diverse, come quella promozionale. In questi casi i dati raccolti dal titolare per l’erogazione di alcuni servizi vengono di fatto piegati ad una finalità diversa, come l’invio di messaggi promozionali, da quella che ne ha giustificato la raccolta, in violazione del principio del consenso libero e specifico e dei principi di correttezza e finalità del trattamento dei dati personali.
In riferimento, invece, alla lamentata inefficacia dell’opposizione al trattamento eseguita dai due segnalanti, il Garante ha riscontrato alcune criticità nella gestione concreta del diritto di opposizione al trattamento per finalità promozionali, ordinando alla Società di intervenire sulle proprie procedure organizzative e operative al fine di garantire la corretta gestione dei diritti all’opposizione da parte degli interessati.
Il Garante ha ricordato che il titolare del trattamento dei dati personali è tenuto a predisporre le misure tecnico-organizzative volte a favorire l’esercizio dei diritti da parte dell’interessato, anche programmando adeguatamente i propri sistemi informatici al fine di poter verificare eventuali opposizioni o revoche del consenso da parte dei propri clienti. Il nuovo Regolamento europeo, proprio sull’argomento, ha introdotto una serie di principi ed obblighi che il titolare del trattamento è tenuto ad osservare al fine di garantire la corretta applicazione delle disposizioni in materia di protezione dei dati personali, quali il principio di responsabilizzazione e di privacy by design. Con il primo si richiede al titolare di render conto dei trattamenti di dati effettuati in base agli adempimenti di legge, con il secondo si richiede di progettare ed implementare i propri sistemi con misure tecniche ed organizzative “volte ad attuare in modo efficace i principi di protezione dei dati e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del regolamento e tutelare i diritti degli interessati.
Volume consigliato
Il nuovo codice della privacyIl 19 settembre 2018 è entrato in vigore il decreto legislativo n.101 che ha modificato profondamente il Codice privacy in modo da renderlo conforme alla disciplina prevista dal GDPR. Conseguentemente, da tale data, il Garante privacy, l’Autorità Giudiziaria e ogni pubblica amministrazione, ente o società, impresa o professionista sono tenuti a dare piena e integrale applicazione alla disciplina. Agile e completa, quest’opera fornisce a tutti gli operatori, pubblici e privati, gli strumenti per comprendere in modo chiaro e semplice le novitàintrodotte dal decreto attuativo, attraverso una lettura integrata con i relativi riferimenti alle disposizioni del GDPR, per consentire al Professionista di adempiere ai vari obblighi relativi alla protezione dei dati personali.Con un linguaggio semplice e chiaro, l’autore analizza i singoli articoli del decreto attuativo corredati da un primo commento esplicativo in combinato con l’esame delle disposizioni del codice privacy ancora in vigore, attraverso i necessari richiami alle disposizioni del GDPR che la nuova disciplina va ad attuare.PIER PAOLO MUIÀ Dopo aver conseguito la maturità classica, si è laureato in Giurisprudenza presso l’Università degli Studi di Firenze. Esercita la professione di avvocato tra Firenze, Prato e Pistoia, occupandosi in particolare di diritto di internet, pri- vacy e IP, nonché responsabilità medica. È autore di diverse monografie sulle materie di sua competenza nonché di numerose pubblicazioni sulle principali riviste giuridiche nazionali ed è referente di dette materie per il portale telematico giuridico Diritto.it. È stato relatore in diversi convegni. Pier Paolo Muià | 2019 Maggioli Editore 19.00 € 18.05 € |
Scrivi un commento
Accedi per poter inserire un commento