La libertà del consenso degli interessati non è assicurata quando si assoggetta la fruizione di finalità contrattuali e para-contrattuali alla contestuale autorizzazione a trattare i dati per finalità promozionali

La libertà del consenso degli interessati non è assicurata quando si assoggetta la fruizione di finalità contrattuali e para-contrattuali alla contestuale autorizzazione a trattare i dati per finalità promozionali

di Muia' Pier Paolo, Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio

Versione PDF del documento

 

Garante per la protezione dei dati personali: provvedimento n. 133 del 20 giugno 2019

Riferimenti normativi: artt. 4, par. 1, punto 11, 6, par. 1, lett. a, e 7 del GDPR; art. 58, par. 2, lett. b), del GDPR; all’art. 5, par. 1 e 2, del GDPR artt. 12, par. 2 e 3; 21, par. 3, Regolamento UE.

Fatto

Una persona interessata al trattamento dei dati personali aveva indirizzato al Garante due segnalazioni relative al trattamento potenzialmente illegittimo dei propri dati posto in essere da una Società proprietaria di una catena di negozi specializzati nell’elettronica e negli elettrodomestici di consumo.

In particolare, l’interessata si era lamentata di aver ricevuto comunicazioni promozionali mediante posta elettronica – il cui indirizzo era stato registrato in occasione della sottoscrizione di due carte fedeltà riconducibili ad una Società, oggetto successivamente di un’operazione di re-branding – nonostante non avesse prestato il necessario consenso per tali finalità promozionali e nonostante la reiterata opposizione che era stata espressa dall’interessata, ai sensi dell’art 7 ss del Codice, sia contattando il servizio clienti e utilizzando la procedura di cancellazione dalla mailing list indicata nelle comunicazioni in questione, che accedendo al sito web della Società.

Successivamente a questa prima segnalazione, ne era pervenuta un’altra, da parte di un altro interessato, che lamentava di non esser riuscito a cancellare il proprio indirizzo dalla mailing list della Società, tramite la funzionalità di “unscribe”, e di aver provato a contattare, senza alcun esito, l’indirizzo internet della Società.

A fronte delle segnalazioni ricevute il Garante ha avviato un accertamento ispettivo al fine di accertare la liceità dei trattamenti di dati personali effettuati dalla Società.

Nel corso delle verifiche, il Garante aveva appurato che la Società interessata dall’accertamento raccoglieva i dati personali dei propri clienti: (i) mediante un modulo cartaceo compilato presso i propri punti vendita da coloro che richiedevano il rilascio di una fidelity card; (ii) mediante la compilazione di un form nella sezione “registrati” presente sul sito web della Società; (iii) attraverso l’app.

Con riferimento alla prima modalità di raccolta, ovverosia tramite il modulo cartaceo compilato dal cliente al momento della richiesta della fidelity card, era emerso che nei moduli riferiti al brand, che è stato successivamente incorporato in un unico marchio, il consenso al trattamento veniva acquisito con formula unica inclusiva sia delle finalità promozionali sia di quelle contrattuali e para-contrattuali.

Interpellata dal Garante la Società aveva fornito i propri chiarimenti in ordine al lamentato utilizzo illecito dei dati personali riferiti a due interessati. In particolare la Società aveva reso al Garante la spiegazione circa il motivo per cui nonostante l’opposizione al trattamento espressa da entrambi i segnalanti attraverso la richiesta di cancellazione dalla mailing-list, non era cessato l’invio di comunicazioni promozionali tramite e-mail. Il motivo, secondo al Società, era da ricondursi ai problemi riscontrati con l’avvio del nuovo sistema informatico di gestione dei dati, che aveva comportato un disallineamento temporaneo dei dati a sistema tale da impedire il blocco delle comunicazioni promozionali a coloro che per il periodo interessato avevano, appunto, provato a cancellarsi dalla mailing-list.

La decisione del Garante

Il Garante per il trattamento dei dati personali, valutate le risultanze istruttorie emerse dall’accertamento eseguito presso la Società, a cui era stato contestato da parte di due interessati un trattamento illecito dei propri dati personali, per aver essi ricevuto comunicazioni promozionali senza previo consenso, e nonostante la richiesta di cancellazione dalla mailing-list, ha ritenuto il trattamento oggetto di segnalazione effettivamente illecito perché avvenuto in assenza di un consenso libero, specifico e inequivocabile dell’interessato in relazione ad una o più specifiche finalità.

Il Garante si è espresso inizialmente in merito alla sottoscrizione dei moduli di attivazione della fidelity card, relativa al brand, poi fuso in un unico marchio. L’Autorità garante aveva riconosciuto, già in fase di accertamento, che il consenso acquisito mediante la sottoscrizione di quei moduli era stato raccolto con formula unica comprensiva anche del consenso per attività contrattuale e para-contrattuale, e per tale ragione non poteva essere inteso come liberamente espresso. Arrivato ad una tale conclusione il Garante, pur sapendo che tali dati non sono più oggetto di trattamento, ha comunque ritenuto opportuno ammonire la Società affinché non effettui alcun ulteriore trattamento di quei dati, essendo stati raccolti in assenza di un comprovato consenso libero e specifico per finalità promozionali.

La capacità di autodeterminazione degli interessati, e quindi la libertà del consenso che questi sono chiamati a manifestare, non è assicurata quando si assoggetta la fruizione di finalità contrattuali e para-contrattuali (quali, ad esempio la gestione di concorsi a premi e la rilevazione del grado di soddisfazione della clientela) alla contestuale autorizzazione a trattare i dati anche per finalità diverse, come quella promozionale. In questi casi i dati raccolti dal titolare per l’erogazione di alcuni servizi vengono di fatto piegati ad una finalità diversa, come l’invio di messaggi promozionali, da quella che ne ha giustificato la raccolta, in violazione del principio del consenso libero e specifico e dei principi di correttezza e finalità del trattamento dei dati personali.

In riferimento, invece, alla lamentata inefficacia dell’opposizione al trattamento eseguita dai due segnalanti, il Garante ha riscontrato alcune criticità nella gestione concreta del diritto di opposizione al trattamento per finalità promozionali, ordinando alla Società di intervenire sulle proprie procedure organizzative e operative al fine di garantire la corretta gestione dei diritti all’opposizione da parte degli interessati.

Il Garante ha ricordato che il titolare del trattamento dei dati personali è tenuto a predisporre le misure tecnico-organizzative volte a favorire l’esercizio dei diritti da parte dell’interessato, anche programmando adeguatamente i propri sistemi informatici al fine di poter verificare eventuali opposizioni o revoche del consenso da parte dei propri clienti. Il nuovo Regolamento europeo, proprio sull’argomento, ha introdotto una serie di principi ed obblighi che il titolare del trattamento è tenuto ad osservare al fine di garantire la corretta applicazione delle disposizioni in materia di protezione dei dati personali, quali il principio di responsabilizzazione e di privacy by design. Con il primo si richiede al titolare di render conto dei trattamenti di dati effettuati in base agli adempimenti di legge, con il secondo si richiede di progettare ed implementare i propri sistemi con misure tecniche ed organizzative “volte ad attuare in modo efficace i principi di protezione dei dati e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del regolamento e tutelare i diritti degli interessati.

Volume consigliato

Il nuovo codice della privacy

Il nuovo codice della privacy

Pier Paolo Muià, 2019, Maggioli Editore

Il 19 settembre 2018 è entrato in vigore il decreto legislativo n.101 che ha modificato profondamente il Codice privacy in modo da renderlo conforme alla disciplina prevista dal GDPR. Conseguentemente, da tale data, il Garante privacy, l’Autorità Giudiziaria e ogni pubblica...



Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

Muia' Pier Paolo

Muia' Pier Paolo

Co-founder dello Studio Legale "MMP Legal", svolge la professione di avvocato in Firenze, Prato e Pistoia, occupandosi in via principale con il suo staff di responsabilità professionale e civile; internet law, privacy e proprietà intellettuale nonchè diritto tributario. In particolare, svolge attività di assistenza e difesa sia di professionisti destinatari di richieste di risarcimento  danni per inadempimento professionale sia di soggetti danneggiati da sinsitri, soprattutto per malpractice medica; consulenza relativamente alla gestione e alla tutela dei dati personali in ogni area e settore di attività nonché assistenza e difesa, stragiudiziale e giudiziale, per quanto riguarda i contratti e i rapporti tramite internet ed in generale tutte le problematiche relative ai servizi on line ed ai correlati diritti; redazione di accordi di licenza e cessione di marchi, dei diritti di sfruttamento economico delle opere dell'ingegno, di know-how e di brevetti; difesa giudiziale per la tutela dei diritti d'autore e di brevetti, marchi e disegni, nonché avverso attività di concorrenza sleale; difesa e rappresentanza nei giudizi dinanzi alle commissioni tributarie. Per Diritto.it è Referente delle sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio. Pagina Facebook: https://www.facebook.com/studiolegalemasimuia/?ref=br_rs Pagina Instagram: https://www.instagram.com/mmp_studiolegale/


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it