Fatto
Il garante per la protezione dei dati personali aveva ricevuto due reclami, da parte di due soggetti che si lamentavano di aver ricevuto diverse comunicazioni promozionali tramite email da parte della società OneDirect s.r.l. nonostante i medesimi avessero espresso tramite PEC la propria opposizione alla ricezione di comunicazioni pubblicitarie (in un caso anche tramite diffida da parte di un legale). In secondo luogo, i reclamanti avevano evidenziato di non aver avuto neanche la possibilità di interrompere la ricezione delle comunicazioni utilizzando l’apposito tasto di disiscrizione alla newsletter (il c.d. tasto “unscribe”) e di non aver ricevuto alcun riscontro dalla società nonostante avessero chiesto di poter esercitare i propri diritti previsti dal Regolamento europeo per la protezione dei dati personali (GDPR).
Il Garante privacy aveva quindi chiesto chiarimenti alla società e, non avendo ricevuto riscontro, aveva inviato la Guardia di Finanza per acquisire documenti e informazioni necessarie per la valutazione del caso.
Dagli accertamenti effettuati durante l’accesso della Guardia di finanza era emerso che:
- l’attività di marketing era stata affidata alla società capogruppo avente sede in Francia, che pertanto riveste la qualifica di responsabile del trattamento dei dati di cui la società italiana OneDirect è invece titolare;
- i dati di uno dei due reclamanti non erano presenti nei sistemi della società ed invece rispetto all’altro reclamante risultava annotato il suo rifiuto a ricevere comunicazioni e non risultava alcun invio di email verso il suo indirizzo nei tredici mesi precedenti;
- la OneDirect aveva richiesto ai reclamanti di inviare le email oggetto di contestazione (per poter verificare la provenienza e capire le modalità di invio) e nonostante l’invio delle medesime non aveva dato riscontro alla reclamante né risultava che la società avesse compiuto le verifiche promesse;
- la OneDirect aveva inviato un registro delle attività di trattamento redatto dalla capogruppo francese, ma non aveva un proprio registro dei trattamenti.
ISCRIVITI AL NOSTRO CORSO
La decisione del Garante
Il Garante privacy, dopo aver acquisito e valutato le argomentazioni difensive della società ha deciso di accogliere i reclami, ritenendo sussistenti diverse violazioni della normativa privacy da parte della OneDirect.
In primo luogo, il Garante ha evidenziato che la società ha inviato numerose email promozionali ai reclamanti senza che però sia stata in grado di dimostrare di aver acquisito un idoneo consenso degli interessati. Infatti, rispetto ad uno dei reclamanti era presente addirittura il suo rifiuto a ricevere dette comunicazioni, mentre rispetto all’altra reclamante non risultava presente alcun suo dato personale, ma la stessa ha dimostrato di aver ricevuto numerose email e anche di averle inviate alla OneDirect su richiesta di quest’ultima perché la società potesse effettuare le opportune verifiche (che però non sono state fatte).
In considerazione di ciò, il Garante ha ritenuto che la società abbia violato il GDPR e compiuto un trattamento illecito e conseguentemente ha ammonito la OneDirect e le ha ordinato di non utilizzare i dati personali dei reclamanti per finalità promozionali. Inoltre, il Garante ha ritenuto di applicare alla società anche una sanzione pecuniaria, in considerazione del fatto che la medesima non è stata in grado di effettuare un controllo circa l’invio dei propri messaggi promozionali.
Nel prendere la suddetta decisione, il Garante ha ritenuto di rigettare l’eccezione sollevata dalla OneDirect circa il fatto che l’indirizzo email utilizzato per l’invio dei messaggi in questione a uno dei reclamanti fosse non personale. Infatti, secondo il Garante l’art. 130 del Codice privacy tutela espressamente il contraente e quindi anche le persone giuridiche.
In secondo luogo, il Garante ha ritenuto che il comportamento della OneDirect di non dare riscontro alle richieste dei reclamanti di interrompere la ricezione delle comunicazioni indesiderate, configura altresì una violazione dei diritti riconosciuti all’interessato dalla normativa privacy.
Il Garante a tal proposito ha ritenuto di rigettare l’eccezione sollevata dalla società, secondo cui i reclamanti avrebbero potuto e dovuto esercitare i loro diritti attraverso il modulo presente al link contattaci del sito web www.onedirect.it, come indicato nell’informativa privacy pubblicata su detto sito web.
A tal proposito l’Autorità ha evidenziato che dal contenuto delle email indesiderate ricevute dai reclamanti è possibile ricavare soltanto le seguenti informazioni per contattare la società: denominazione sociale, numero di partita IVA, indirizzo fisico e numero di telefono e fax. Invece, non era contenuto alcun riferimento all’indirizzo del sito web menzionato dalla OneDirect, né tanto meno si accennava all’esistenza di detto sito. Inoltre, il testo “unscribe” contenuto nelle email indesiderate non era funzionante.
In considerazione della mancata indicazione – all’interno delle email indesiderate – delle modalità con cui i reclamanti avrebbero potuto contattare la società e del mancato funzionamento del tasto unscribe, il Garante ha ritenuto che i reclamanti hanno correttamente inviato le richieste di esercizio dei loro diritti attraverso la PEC ufficiale della società, come ricavabile dai pubblici registri inserendo la partita IVA e la denominazione societaria.
Pertanto, il Garante ha sanzionato la società con l’ammonimento circa la necessità di garantire agli interessati la conoscenza dei canali per contattare la società medesima e attraverso cui poter esercitare i diritti riconosciuti loro dalla normativa in materia di privacy.
In terzo luogo, il Garante ha inflitto una sanzione pecuniaria alla OneDirect in considerazione della riscontrata assenza del registro dei trattamenti, non essendo stata documentata da quest’ultima l’esistenza di detto registro. A tal proposito, il Garante ha ritenuto che non fosse sufficiente a superare detto addebito il fatto che la OneDirect avesse incaricato uno studio legale di adeguare i propri trattamenti di dati personali alla normativa vigente.
Infine, il Garante ha ritenuto altresì violata la normativa in materia di privacy per lo scarso grado di cooperazione avuto dalla società durante il procedimento: quest’ultima, infatti, non aveva dato riscontro alle richieste di informazioni del Garante e lo aveva costretto a inviare il Nucleo della Guardia di Finanza per acquisire dette informazioni.
Volume consigliato
I rischi nel trattamento dei dati – e-Book in pdf
L’ebook analizza gli aspetti pratici dell’attività di analisi dei rischi connessi al trattamento dei dati, partendo dal quadro normativo e fornendo risposte alle principali FAQ in materia di DPIA.Michele IaselliAvvocato, Funzionario del Ministero della Difesa, Docente a contratto di Informatica giuridica all’Università di Cassino e Collaboratore della cattedra di Informatica giuridica alla LUISS ed alla Federico II. Inoltre è Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore di numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di Privacy, Informatica giuridica e Diritto dell’informatica con le principali case editrici.
Michele Iaselli | 2021 Maggioli Editore
Scrivi un commento
Accedi per poter inserire un commento