La libertà del consenso espresso dall'interessato

La libertà del consenso espresso dall’interessato è compromessa quando viene richiesto un unico consenso per più diverse finalità di trattamento

di Muia' Pier Paolo, Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio

Versione PDF del documento

Avv. Pier Paolo Muià – Dott.ssa Maria Muià

Garante per la protezione dei dati personali: provvedimento n. 130 del 12 giugno 2019

Riferimenti normativi: art. 23, comma 3, del Codice privacy, d.lgs. n. 196/2003

Fatto

A seguito di una segnalazione inoltrata da un soggetto privato, l’Autorità Garante per il trattamento dei dati personali ha avviato un accertamento nei confronti di una multinazionale che produce, tra gli altri prodotti di igiene intima, anche pannolini, per accertare la liceità del trattamento dei dati dei clienti che effettuavano la registrazione sul sito internet del marchio produttore dei pannolini.

In particolare, il soggetto interessato, in riferimento al servizio di registrazione, ha richiamato l’attenzione del Garante su due aspetti che secondo il proprio giudizio contrastavano con la normativa vigente in materia di trattamento dei dati personali.

In primo luogo, ha riferito che al momento della compilazione del form relativo alla raccolta punti venivano richiesti dei dati che, secondo il suo giudizio, erano eccedenti e non pertinenti le finalità di raccolta dei punti dei pannolini.

In secondo luogo, l’interessato ha riferito che per partecipare alla raccolta punti, e dunque per effettuare la registrazione al sito, era obbligatorio prestare il proprio consenso per il trattamento dei dati per finalità di ricezione di comunicazioni promozionali.

A fronte di una tale segnalazione, il Garante aveva avviato una istruttoria preliminare finalizzata ad apprendere le modalità di raccolta dei dati posta in essere dal sito. Da tale istruttoria era emerso che, proprio come segnalato dal reclamante, in sede di registrazione sul sito venivano richiesti agli utenti vari dati personali, tra cui l’indirizzo fisico di residenza, l’indirizzo di posta elettronica, il numero di telefonia fisso e mobile.

Il Garante, sempre nella fase preliminare dell’istruttoria, aveva inoltre appurato che sempre al momento della registrazione sul sito, veniva richiesto all’utente di rilasciare un consenso per finalità promozionali, sondaggistiche e statistiche, come invio di newsletter, analisi statistiche, sondaggi d’opinione, con riguardo al marchio produttore di pannolini. Ed un altro consenso, che doveva essere necessariamente dato al fine di procedere alla registrazione, per finalità promozionali, di invio di newsletter, analisi statistiche, sondaggi d’opinione, con riguardo ad altri marchi, sempre produttori di beni legati all’igiene personale.

Alla luce di quanto emerso da una preliminare fase istruttoria, l’Autorità ha incaricato il nucleo speciale privacy di effettuare degli approfondimenti relativi alle modalità di raccolta dei dati e degli ulteriori trattamenti effettuati dalla Società.

Nel corso delle verifiche, la Stessa, oltre ad aver dichiarato di raccogliere circa 1.600.000 dati personali relativi ai propri clienti mediante i siti web afferenti ad alcuni propri marchi, ha reso noto al Garante che solo sul sito web del marchio produttore dei pannolini vengono richiesti come dati obbligatori il nome ed il cognome del bambino, mentre resta un dato facoltativo l’età dello stesso.

La Società ha specificato che i dati riferiti ai minori vengono cancellati dopo 36 mesi dalla data di raccolta e la finalità della raccolta è legata ad eventuali iniziative promozionali legate al compleanno.

Con riferimento alla raccolta del numero di utenza mobile la Società ha spiegato che tale dato serve per il funzionamento del meccanismo di autenticazione, e per l’invio di messaggi nei limiti delle preferenze impostate dall’interessato, nel suo pannello di controllo privacy, e solo in presenza di espresso consenso in tal senso.

Con riguardo poi ai due aspetti lamentati dall’interessato, ovverosia le modalità di acquisizione dei due consensi richiesti in fase di registrazione al sito di pannolini, la Società ha ammesso che il form di registrazione prevedeva l’obbligatorietà del consenso in ordine alla casella riguardante le finalità promozionali, di invio di newsletter, di analisi statistiche, di sondaggi d’opinione, con riguardo ai diversi marchi produttori di beni relativi all’igiene intima.

La decisione del Garante

Il Garante valutato in primo luogo l’applicabilità al caso di specie delle norme contenute nel codice privacy (d.lgs. n. 196/2003 ), essendo l’accertamento avvenuto nel periodo di vigenza della normativa ante GDPR, si è espresso nel merito della vicenda segnalata, rilevando l’illiceità dei trattamenti posti in essere dalla Società e vietando la prosecuzione del trattamento per finalità promozionali e statistiche dei dati personali raccolti mediante il sito web di pannolini, in assenza di un consenso, degli interessati, libero e specifico per tali distinte finalità, oltre che informato e documentato.

Più precisamente, il Garante sia in ordine alla prima tipologia di consenso richiesto, ovverosia quello finalizzato al trattamento dei dati per finalità promozionali, statistiche e sondaggistiche da parte del marchio produttore dei pannolini, sia in riferimento al secondo consenso, ovverosia quello richiesto per le finalità promozionali, statistiche e sondaggistiche da parte di diversi marchi produttori di beni di igiene intima, ha evidenziato che tale consenso è risultato accomunare indistintamente più diverse finalità, impedendo all’interessato di poter distinguere fra di esse e di fornire il proprio consenso libero e selettivo.

Per tale ragione il Garante ha ritenuto che il trattamento dei dati riferiti agli utenti, raccolti con le modalità verificate durante la fase di accertamento, sia avvenuto in modo illecito.

Il Garante, richiamando sue precedenti pronunce, ha ribadito che la capacità di autodeterminazione degli interessati, e quindi la libertà del consenso che questi sono chiamati a manifestare, è compromessa quando viene richiesto un unico consenso per più diverse finalità di trattamento e quando si assoggetta, la fruizione di un servizio, qual è il programma di raccolta punti, alla previa autorizzazione a trattare i dati conferiti, ai fini di tale servizio, per finalità diverse, qual è quella promozionale o quella statistica. Ciò, con la conseguenza che i dati raccolti dal titolare per l’erogazione del servizio vengono di fatto piegati ad una finalità diversa da quella che ne ha giustificato la raccolta, in violazione anche dei principi di correttezza e finalità del trattamento dei dati personali.

Il Garante, poi, ha ricordato che ogni trattamento che comporti l´identificabilità degli interessati, necessita del loro consenso specifico, informato e distinto per ciascuna finalità.

E’ per queste ragioni che il Garante ha ritenuto che la Società abbia raccolto i dati personali dei clienti in modo illecito, perché avvenuto in assenza di un consenso libero e specifico, oltre che informato e documentato, dovendo la Società, qualora intenda effettuare in futuro trattamenti di dati personali per le finalità promozionali e statistiche provvedere a riformulare il form di raccolta dei dati sul proprio sito web, così che venga acquisito dagli utenti un consenso, oltre che informato e documentato, anche libero, specifico e chiaramente formulato con riferimento a tali distinte finalità.

Volume consigliato

Il nuovo codice della privacy

Il nuovo codice della privacy

Pier Paolo Muià, 2019, Maggioli Editore

Il 19 settembre 2018 è entrato in vigore il decreto legislativo n.101 che ha modificato profondamente il Codice privacy in modo da renderlo conforme alla disciplina prevista dal GDPR. Conseguentemente, da tale data, il Garante privacy, l’Autorità Giudiziaria e ogni pubblica...



Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

Muia' Pier Paolo

Muia' Pier Paolo

Co-founder dello Studio Legale "MMP Legal", svolge la professione di avvocato in Firenze, Prato e Pistoia, occupandosi in via principale con il suo staff di responsabilità professionale e civile; internet law, privacy e proprietà intellettuale nonchè diritto tributario. In particolare, svolge attività di assistenza e difesa sia di professionisti destinatari di richieste di risarcimento  danni per inadempimento professionale sia di soggetti danneggiati da sinsitri, soprattutto per malpractice medica; consulenza relativamente alla gestione e alla tutela dei dati personali in ogni area e settore di attività nonché assistenza e difesa, stragiudiziale e giudiziale, per quanto riguarda i contratti e i rapporti tramite internet ed in generale tutte le problematiche relative ai servizi on line ed ai correlati diritti; redazione di accordi di licenza e cessione di marchi, dei diritti di sfruttamento economico delle opere dell'ingegno, di know-how e di brevetti; difesa giudiziale per la tutela dei diritti d'autore e di brevetti, marchi e disegni, nonché avverso attività di concorrenza sleale; difesa e rappresentanza nei giudizi dinanzi alle commissioni tributarie. Per Diritto.it è Referente delle sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio. Pagina Facebook: https://www.facebook.com/studiolegalemasimuia/?ref=br_rs Pagina Instagram: https://www.instagram.com/mmp_studiolegale/


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it