Indice
>>>Provvedimento n. 306 del 15 settembre 2022<<<
1. I fatti
Un avvocato proponeva reclamo al Garante per la protezione dei dati personali nel quale evidenziava di aver ricevuto numerose email indesiderate da una società svizzera che eroga servizi di streaming TV di eventi sportivi, nonostante avesse richiesto più volte la cancellazione dei propri dati ed essersi opposto espressamente alla ricezione di newsletter. L’avvocato aggiungeva, inoltre, di non aver amai avuto alcun riscontro dal titolare del trattamento alle sue ripetute richieste di cancellazione e di non ricevere più newsletter.
Il titolare del trattamento, a fronte della richiesta di informazioni rivolta gli dal Garante, per il tramite del proprio rappresentante per l’Europa, rispondeva che per interrompere le comunicazioni il reclamante avrebbe dovuto cancellare la sua iscrizione dalla newsletter semplicemente cliccando su “cancella iscrizione” posta in fondo alle email ricevute.
Il Garante, ritenendo non soddisfacente la replica del titolare del trattamento, avviava formalmente un procedimento nei confronti di quest’ultimo contestandogli due distinte violazioni della normativa in materia di privacy:
- Il mancato riscontro all’interessato a fronte della sua richiesta di cancellazione dei dati trattati dal titolare;
- Il mancato recepimento dell’opposizione dell’interessato al trattamento dei dati per la ricezione di ulteriori newsletter.
Il Garante invitava quindi il titolare del trattamento a presentare eventuali memorie difensive.
Potrebbero interessarti anche
- Il Garante privacy sanziona Uber per il non corretto rilascio dell’informativa privacy e la mancata acquisizione del consenso degli interessati
- Invio di mail con informazioni su iniziativa legale altrui: interviene il Garante
- Pubblicazione piano ferie con indicazione 104: problemi di privacy
2. Le difese del titolare del trattamento
La società si è difesa sostenendo che il reclamante aveva sottoscritto due distinti abbonamenti: (i) un precedente abbonamento mensile, per il quale egli aveva utilizzato un primo indirizzo email; (ii) successivo un abbonamento annuale, per il quale egli aveva utilizzato un secondo e diverso indirizzo email. In entrambi i casi, il reclamante aveva acconsentito alla ricezione di messaggi promozionali.
Dopo che aveva cessato l’abbonamento mensile, il reclamante aveva richiesto al titolare del trattamento la cancellazione dei dati personali scrivendo però dal secondo indirizzo email (che non era riconducibile, per il titolare, al primo abbonamento che era stato interrotto, bensì era riconducibile al secondo abbonamento che era ancora in corso).
Successivamente il reclamante aveva scritto da un terzo indirizzo email, con cui aveva richiesto di non ricevere più alcuna comunicazione commerciale, senza però precisare a quali indirizzi email egli facesse riferimento.
Secondo il titolare del trattamento, le modalità utilizzate dal reclamante per chiedere la cancellazione dei dati personali e l’interruzione della ricezione di nuove newsletter rendeva impossibile per il titolare risalire all’identità del reclamante, in quanto per attivare gli abbonamenti la società chiedeva soltanto l’indirizzo email (e nessun altro dato).
In considerazione di ciò, il titolare del trattamento non aveva potuto comprendere che le diverse richieste provenissero dallo stesso interessato e quindi aveva potuto correttamente inserire il reclamante nella black list.
3. La decisione del Garante
Dall’istruttoria è emerso che il titolare del trattamento ha fornito al reclamante riscontri alle sue richieste di cancellazione, anche se non sono state fornite le copie di tali riscontri, in quanto è stato lo stesso reclamante – a depositare copiosa corrispondenza rivolta al titolare del trattamento all’interno della quale egli chiede al titolare del trattamento di “evitare di rispondere nuovamente per posta elettronica ordinaria”. In tal modo, secondo il Garante, è provato che il titolare ha effettivamente dato riscontro all’interessato alle sue richieste.
In secondo luogo, secondo il Garante, dall’istruttoria è altresì emerso che le richieste rivolte dall’interessato al titolare del trattamento sono state effettuate da indirizzi email diversi e che ciò ha reso difficile identificare l’interessato stesso ed inoltre sono state inviate a due indirizzi email della società che non corrispondono a quella indicata nell’informativa privacy.
Nonostante ciò, risulta che, a fronte della prima richiesta di non ricevere più newsletter da parte dell’interessato (cioè quella relativa all’abbonamento mensile), entro i 30 giorni successivi, l’interessato non ha più ricevuto alcuna email al suddetto indirizzo. Mentre la ricezione della newsletter è continuata soltanto al secondo indirizzo email (cioè quello relativo all’abbonamento annuale che era ancora in corso).
L’interessato ha quindi continuato ad inviare altre email al titolare del trattamento, con cui ha richiesto la cancellazione dei dati e l’eliminazione dalla newsletter, senza però indicare quale fosse l’indirizzo al quale egli continuava a ricevere email indesiderate.
In considerazione di quanto sopra, il Garante ha ritenuto che non sussiste la lamentata violazione del diritto di opposizione al trattamento.
Infatti, il titolare del trattamento non avrebbe potuto interrompere l’invio di email al secondo indirizzo email in quanto l’interessato non aveva mai indicato tale indirizzo come oggetto dell’opposizione.
Mentre con riferimento al primo indirizzo email, è stato accertato che la ricezione di email indesiderate è cessata entro i 30 giorni successivi dalla prima richiesta formulata dall’interessato: quindi entro i termini di legge.
Inoltre, il Garante ha ritenuto che non sussiste neanche la violazione all’obbligo di cancellazione dei dati dell’interessato.
Infatti, poiché i dati dell’interessato erano stati acquisiti dal titolare del trattamento nell’ambito di un rapporto contrattuale tra dette parti, attualmente l’interessato non può chiedere la cancellazione dei medesimi, in quanto il titolare è tenuto a conservarli finché ciò è necessario per adempiere agli obblighi di legge.
In conclusione, il Garante ha ritenuto che il titolare avrebbe però potuto essere più puntuale nel comunicare all’interessato le difficoltà che egli aveva incontrato nell’identificarlo e quindi avrebbe dovuto chiedere al medesimo ulteriori elementi per poterlo correttamente identificare. Secondo il Garante, infatti, anche se l’interessato ha errato nell’identificarsi o nell’individuare l’indirizzo email del titolare ove inviare le proprie richieste di esercizio dei diritti ai sensi del Regolamento europeo per la protezione dei dati personali (GDPR), è comunque onere del titolare adottare misure organizzative tali che possano permettergli di identificare le richieste che gli sono pervenute.
In considerazione di tutto quanto sopra, il Garante ha ritenuto di poter evitare l’applicazione di una sanzione di carattere pecuniario nei confronti del titolare del trattamento e di potergli invece rivolgere un semplice ammonimento (ritenuto comunque dal Garante una misura proporzionata e dissuasiva).
Volume consigliato
Il nuovo codice della privacy
Il 19 settembre 2018 è entrato in vigore il decreto legislativo n.101 che ha modificato profondamente il Codice privacy in modo da renderlo conforme alla disciplina prevista dal GDPR. Conseguentemente, da tale data, il Garante privacy, l’Autorità Giudiziaria e ogni pubblica amministrazione, ente o società, impresa o professionista sono tenuti a dare piena e integrale applicazione alla disciplina. Agile e completa, quest’opera fornisce a tutti gli operatori, pubblici e privati, gli strumenti per comprendere in modo chiaro e semplice le novitàintrodotte dal decreto attuativo, attraverso una lettura integrata con i relativi riferimenti alle disposizioni del GDPR, per consentire al Professionista di adempiere ai vari obblighi relativi alla protezione dei dati personali.Con un linguaggio semplice e chiaro, l’autore analizza i singoli articoli del decreto attuativo corredati da un primo commento esplicativo in combinato con l’esame delle disposizioni del codice privacy ancora in vigore, attraverso i necessari richiami alle disposizioni del GDPR che la nuova disciplina va ad attuare.PIER PAOLO MUIÀ Dopo aver conseguito la maturità classica, si è laureato in Giurisprudenza presso l’Università degli Studi di Firenze. Esercita la professione di avvocato tra Firenze, Prato e Pistoia, occupandosi in particolare di diritto di internet, pri- vacy e IP, nonché responsabilità medica. È autore di diverse monografie sulle materie di sua competenza nonché di numerose pubblicazioni sulle principali riviste giuridiche nazionali ed è referente di dette materie per il portale telematico giuridico Diritto.it. È stato relatore in diversi convegni.
Pier Paolo Muià | 2019 Maggioli Editore
Scrivi un commento
Accedi per poter inserire un commento