La tutela della privacy nelle attività di marketing e promozionali
-
Upload
stefano-bendandi -
Category
Documents
-
view
943 -
download
2
description
Transcript of La tutela della privacy nelle attività di marketing e promozionali
La tutela dellaprivacy nelle
attività dimarketing e
promozionali
Stefano Bendandi
Sommario
Licenza....................................................................................................................1Note sull'autore......................................................................................................1Avvertenze...............................................................................................................1
Premessa..............................................................................................3
Capitolo 1..............................................................................................5La raccolta ed il trattamento dei dati....................................................................5L'informativa............................................................................................................6
Il consenso..............................................................................................................6
Le ipotesi di trattamento senza consenso..............................................................7
I diritti degli interessati e le modalità di esercizio....................................................9
Capitolo 2............................................................................................11Le comunicazioni elettroniche indesiderate.....................................................11La necessità del consenso specifico....................................................................11
Le comunicazioni mediante posta elettronica.......................................................12
Le comunicazioni mediante SMS ed MMS...........................................................14
Le comunicazioni mediante fax.............................................................................14
Il marketing telefonico o teleselling.......................................................................15La deroga nel marketing telefonico prevista dalla legge 14/2009..................................15
La comunicazione di servizi e prodotti analoghi...................................................17
Il marketing di prossimità ed il bluetooth advertising.....................................18L'acquisto di banche dati e le comunicazioni per conto di terzi....................19
Capitolo 3............................................................................................21Il marketing comportamentale............................................................................21L'analisi dei dati raccolti online.............................................................................21
Le carte fedeltà.....................................................................................................22
Capitolo 4............................................................................................25Il marketing geografico........................................................................................25I servizi basati sulla localizzazione....................................................................25
Appendice normativa.........................................................................29Decreto Legislativo 30 giugno 2003, n. 196 (Codice della privacy)...............................29
Art. 3 – Principio di necessità nel trattamento dei dati................................................29
Art. 4 – Definizioni......................................................................................................29
Art. 7 – Diritto di accesso ai dati personali ed altri diritti..............................................33
Sommario
Art. 8 – Esercizio dei diritti..........................................................................................34
Art. 9 – Modalità di esercizio.......................................................................................35
Art. 10 – Riscontro all'interessato...............................................................................35
Art. 11 – Modalità del trattamento e requisiti dei dati..................................................37
Art. 13 – Informativa...................................................................................................37
Art. 23 – Consenso....................................................................................................38
Art. 24 – Casi nei quali può essere effettuato il trattamento senza consenso............38
Art. 37 – Notificazione del trattamento........................................................................40
Art. 126 – Dati relativi all'ubicazione...........................................................................41
Art. 129 – Elenchi di abbonati.....................................................................................42
Art. 130 – Comunicazioni indesiderate ......................................................................42
Art. 161 – Omessa o inidonea informativa all'interessato...........................................43
Decreto legislativo 6 settembre 2005, n. 206 (Codice del consumo)............................44
Art. 58 – Limiti all'impiego di talune tecniche di comunicazione a distanza.................44
Autorità garante della privacy........................................................................................45
Provvedimento generale del 29 maggio 2003, Spamming: regole per un corretto invio
delle e-mail pubblicitarie.............................................................................................45
Provvedimento 10 giugno 2003, Sms promozionali o di vendita diretta: le regole per il
corretto uso................................................................................................................54
Provvedimento 24 febbraio 2005, Fidelity card e garanzie per i consumatori. Le
regole del Garante per i programmi di fidelizzazione..................................................60
Provvedimento 12 ottobre 2005, Informativa e consenso – Biglietti online e marketing:
indicazione del garante..............................................................................................68
Provvedimento 23 novembre 2006, Fax promozionali senza il preventivo consenso
dell'interessato...........................................................................................................73
Provvedimento 7 dicembre 2006, Raccolta di dati personali in strutture neonatali a fini
di marketing................................................................................................................76
Provvedimento 31 gennaio 2008, Divieto di invio di fax promozionali senza consenso.
92
Provvedimento del 12 marzo 2009 (G.U. 20 marzo 2009), Prescrizioni ai titolari di
banche dati costituite sulla base di elenchi telefonici formati prima del 1° agosto 2005
a seguito della deroga introdotta dall'art. 44 d.l. 207/2008.........................................95
La tutela della privacy nelle attività di marketing e promozionali
LicenzaQuest'opera deve ritenersi soggetta ai termini della licenza Creative
Commons Attribuzione-Non commerciale-Non opere derivate 2.5 Italia.Una sintesi delle condizioni e dei diritti attribuiti da tale licenza è disponi
bile all'indirizzo http://creativecommons.org/licenses/by-nc-nd/2.5/it/.La copia integrale della licenza è invece disponibile all'indirizzo
http://creativecommons.org/licenses/by-nc-nd/2.5/it/legalcode.
Note sull'autoreStefano Bendandi, iscritto all'ordine degli avvocati del Foro di Pescara,
è titolare di uno studio (http://www.stefanobendandi.com) che opera prevalentemente nel campo del diritto applicato alle nuove tecnologie, con particolare riferimento alle problematiche concernenti la tutela della privacy, la sicurezza informatica, le telecomunicazioni, il commercio elettronico, il marketing, il diritto d'autore e la proprietà intellettuale.
Docente ed autore di pubblicazioni, è blogger su IT & Dintorni dove cura in prima persona approfondimenti e riflessioni in materia di nuove tecnologie, diritto e cultura digitale.
E' membro di AIPSI (Ass. Italiana dei Professionisti di Sicurezza Informatica, Issa Italian Chapter) e delegato ANDIP (Ass. Nazionale per la Difesa della Privacy).
AvvertenzeI contenuti di questo e-book hanno un valore puramente informativo e
non possono essere equiparati ad una consulenza professionale né sostituirsi a quest'ultima, anche in considerazione della natura generale, e non specifica, delle problematiche assunte come riferimento ai fini della trattazione.
Pur avendo adottato la massima cautela e diligenza possibili nella raccolta e preparazione del materiale, l'autore non assume alcuna responsabilità, diretta od indiretta, per gli eventuali errori od omissioni o per l'utilizzo delle informazioni presenti in questo libro.
Pag. 1
La tutela della privacy nelle attività di marketing e promozionali
PremessaIl marketing rappresenta uno strumento fondamentale per lo sviluppo del
business di qualsiasi entità.Secondo la definizione fornita da Philip Kotler, uno dei massimi esperti
della materia, il marketing è un processo sociale e manageriale mediante il quale una persona od un gruppo ottiene ciò che costituisce oggetto dei propri bisogni e desideri, creando, offrendo e scambiando prodotti e valore con altri.
Il marketing, che può essere diretto ai consumatori finali (cd. marketing B2C) oppure alle imprese (cd. marketing B2B), si basa su una strategia a medio-lungo termine finalizzata al raggiungimento degli obiettivi definiti in un piano.
Di regola il complesso delle attività che ruota intorno a questa strategia richiede, per la loro stessa natura, un trattamento di dati personali da cui derivano, conseguentemente, delle problematiche di natura giuridica relative all'applicazione della disciplina di cui al Decreto Legislativo 30 giugno 2003, n. 196 (“Codice della privacy”).
Le questioni che si prospettano sono diverse ed interessano, non soltanto adempimenti di natura documentale o tecnico-operativa, ma anche alcuni vincoli di utilizzo delle tecnologie informatiche ed elettroniche le quali riescono ad attrarre, sempre più, l'attenzione dei potenziali utilizzatori, grazie ad una serie di innegabili vantaggi:
• facilità d'uso• immediatezza• possibilità di raggiungere un target vastissimo di soggetti• riduzione dei costi operativi
D'altra parte però gli stessi strumenti tecnologici si rivelano potenzialmente lesivi della sfera di riservatezza degli individui, ragion per cui sia il legislatore comunitario1 che quello italiano2 hanno fissato dei presupposti che ne rendono lecito l'uso, soprattutto se finalizzato ad azioni di comunicazione promozionale o di vendita diretta di beni o servizi.
Da tali premesse scaturisce pertanto lo scopo principale di questo ebook che è quello di analizzare i complessi rapporti esistenti tra la normativa posta a tutela dei dati personali e l'esecuzione di attività di marketing.
Non si tratta ovviamente, né vuole esserlo, di una trattazione esaustiva sull'argomento ma di un semplice vademecum preparato con l'intento di essere utile a tutti coloro che, per professione od interesse, si occupano della ma
1 Direttiva 2002/58/CE relativa al trattamento dei dati personali ed alla tutela della vita privata nel settore delle comunicazioni elettroniche.
2 Vedi art. 130 del d.lgs. 196/03, in appendice normativa, con il quale è stata data attuazione alle prescrizioni della direttiva 2002/58/CE citata
Pag. 3
La tutela della privacy nelle attività di marketing e promozionali
teria.Nelle intenzioni dell'autore questo ebook assume il significato di opera in
continua evoluzione per la quale sono sempre ben accetti, consigli, feedback e critiche che possono essere indirizzati al seguente indirizzo di posta elettronica [email protected]
Pag. 4
La tutela della privacy nelle attività di marketing e promozionali
Capitolo 1
La raccolta ed il trattamento dei datiLa pianificazione e la realizzazione di molte strategie di marketing, specie
se dirette, richiede la creazione di flussi informativi aventi per oggetto nuclei consistenti di dati strutturalmente organizzati (cd. base dati).
L'origine di questi dati può essere molto varia: può trattarsi di informazioni fornite spontaneamente dai soggetti interpellati, raccolte attraverso una rete di vendita o Internet, estratte da registri od elenchi pubblici, acquistate presso terzi e così via.
Nella maggior parte dei casi l'oggetto della conoscenza è costituito da dati cd. personali 3 concernenti attributi di natura sociale, anagrafica o di recapito oppure preferenze, abitudini di consumo, ecc....
Il testo unico sulla privacy attualmente vigente (D.Lgs. 196/03) subordina il trattamento4 dei dati delle persone fisiche, delle persone giuridiche, degli enti e delle associazioni, alla necessità di conoscerli 5 ed al rispetto di un impianto normativo la cui finalità è quella di garantire che gli stessi dati siano:
• trattati in modo lecito e secondo criteri di correttezza• raccolti e registrati per scopi determinati, espliciti e legittimi,
ed utilizzati in altre operazioni in termini compatibili con tali scopi;• esatti ed aggiornati;• pertinenti, completi e non eccedenti rispetto alle finalità del
trattamento;• conservati in una forma che consenta l'identificazione dell'interes
sato per un periodo di tempo non superiore a quello necessario alla realizzazione degli scopi per i quali sono trattati
L'inosservanza di uno o più di questi presupposti spesso comporta, quale conseguenza più immediata, l'impossibilità di utilizzare i dati, ferma restando l'eventuale responsabilità residua sia sotto il profilo civile (risarcimento dei danni) che penale (illeciti commessi).
Tenendo conto delle finalità di tutela della riservatezza che il legislatore italiano ha fatto proprie, sulla scorta di quello comunitario, è di fondamentale importanza che i soggetti interessati siano adeguatamente informati circa il trattamento dei propri dati (art. 13), prestino il loro libero consenso in relazio
3 La nozione di dato personale è contenuta nell'art. 4, comma 1, lett. b) d.lgs. 196/03, in appendice normativa
4 La nozione di “trattamento” fornita dall'art. 4, comma 1, lett. a) d.lgs. 196/03 è molto ampia e tale da abbracciare diverse modalità operative di gestione dei dati, attuate con o senza l'ausilio di strumenti elettronici.
5 E' il cd. principio di necessità sancito dall'art. 3 d.lgs. 196/03, in appendice normativa
Pag. 5
La tutela della privacy nelle attività di marketing e promozionali
ne alle finalità perseguite (art. 23) e siano messi in condizioni di poter esercitare, in qualsiasi momento, i propri diritti (art. 7).
L'informativaE' un adempimento che si ricollega con il diritto dell'interessato di cono
scere l'identità del titolare e degli altri soggetti che possono venire a conoscenza dei suoi dati e di poter valutare le modalità e le finalità del trattamento e le conseguenze di un suo eventuale consenso o rifiuto.
L'informativa può essere resa, in forma orale o scritta, al momento dell'acquisizione dei dati oppure della loro registrazione o comunicazione6, ma costituisce, comunque, un obbligo preventivo che anticipa il trattamento, a prescindere dal fatto che quest'ultimo richieda o meno il consenso dell'interessato o che i dati siano acquisiti su web7.
Inoltre, considerata l'importanza di tale comunicazione, l'art. 138 del d.lgs. 196/03 interviene anche per specificarne i contenuti, in relazione ai quali si pone il problema delle cd. clausole di stile.
Queste ultime consistono infatti in espressioni del tipo "I dati da lei forniti saranno trattati secondo quanto previsto dalla normativa..."e, in più occasioni, sono state ritenute illecite dal garante, soprattutto se prive delle informazioni basilari richieste dall'art. 13.
Anzi, a tale proposito, non va dimenticato che la mancanza della informativa o l'inadeguatezza del suo contenuto sono sanzionate nei termini dell'illecito amministrativo di “Omessa od inidonea informativa”, previsto e punito dall'art. 161 con pena pecuniaria9.
Il consensoIl consenso è il presupposto che legittima il trattamento dei dati personali.Esso assume la natura di autorizzazione e si presenta come manifesta
zione di un diritto del soggetto di determinare il destino dei dati concernenti la propria identità personale (cd. autodeterminazione informativa).
Il consenso può avere per oggetto un intero trattamento oppure una o più operazioni ad esso relative ma, per essere valido, deve rispettare i requisiti dettati dall'art. 23 del d.lgs. 196/03 10 concernenti:
6 A seconda che la raccolta avvenga o meno presso l'interessato (es. di raccolta indiretta è quella dell'acquisto presso terzi oppure della estrazione da elenchi o registri pubblici).
7 Cfr. per un caso reale Ordinanza/Ingiunzione del garante del 18 settembre 2008, su http://www.garanteprivacy.it/garante/doc.jsp?ID=1559382
8 In appendice normativa9 Recentemente, con la legge 27 febbraio 2009, n. 14 di conversione del D.L. 207/2008 l'entità della
sanzione è stata inasprita, passando da seimila a trentaseimila euro10 In appendice normativa
Pag. 6
La tutela della privacy nelle attività di marketing e promozionali
1. la libertà e la specificità2. la specificità della forma3. la chiarezza della formula e la sua stretta attinenza con l'informati
vaLa libertà implica che la manifestazione di consenso sia esente da qua
lunque pressione di natura fisica o psicologica.Nell'ambito dei condizionamenti psicologici inammissibili rientrano, peral
tro, tutte le ipotesi in cui il consenso risulta condizionato dall'accettazione di clausole che inducono uno squilibrio tra le parti o abbia il solo scopo di consentire l'accesso a particolari condizioni di natura contrattuale.
Analogamente si ravvisa una violazione del principio della libertà quando i dati raccolti per una determinata finalità, in relazione alla quale è stato manifestato un consenso, vengono utilizzati, in realtà, anche per scopi diversi, pure se esplicitati.
Nei casi in cui il trattamento persegue finalità differenti appare, dunque, opportuno acquisire e separare le manifestazioni di volontà in relazione a ciascuno scopo.
La specificità riguarda, invece, l'oggetto del consenso che deve essere riferito ad un determinato trattamento identificato nei suoi elementi costitutivi (categorie di dati, modalità, titolare/responsabile e finalità).
Tale requisito rende evidente l'importanza di adottare tecniche espressive chiare, prive di formulazioni superflue, ridondanti o generiche che aprono la strada a manifestazioni di volontà generalizzate, in quanto tali, invalide.
Dal punto di vista formale il consenso non richiede, con la sola eccezione dei dati sensibili, una manifestazione per iscritto, fermo restando, tuttavia, il ricorso alla documentazione scritta ai fini della sua prova.
Non dimentichiamo, infine, la necessità che il consenso sia “informato”, cioè preceduto da una informativa, chiara e corretta, che descriva in modo esauriente tutti gli elementi di cui all'art. 13 citato.
Peraltro mentre l'informativa, per la funzione che assolve, deve essere analitica, la manifestazione di consenso può anche essere elementare, purché organizzata sulla base di opzioni di tipo positivo attraverso le quali l'interessato sia messo in condizione di esprimere la propria volontà.
Le ipotesi di trattamento senza consensoL'art. 24 11 del d.lgs. 196/03 contiene l'intera casistica dei trattamenti con
siderati leciti pur in assenza di un consenso espresso da parte dell'interessato.
11 In appendice normativa
Pag. 7
La tutela della privacy nelle attività di marketing e promozionali
Si tratta di una serie di deroghe giustificabili sia in relazione alla provenienza delle informazioni che alle finalità od al contesto del trattamento stesso.
Tra le fattispecie previste, di particolare interesse, ai fini di questa trattazione, sono quelle di cui alle lettere b) e c) concernenti:
1. il trattamento necessario per adempiere agli obblighi derivanti da un contratto2. il trattamento di dati provenienti da pubblici registri, elenchi, atti o
documenti conoscibili da chiunqueNel primo caso la natura “indispensabile” del trattamento deve essere ri
collegata alle sole informazioni che siano realmente necessarie per eseguire gli obblighi contrattuali o per soddisfare, prima della conclusione, le specifiche richieste dell'interessato.
Questo di fatto esclude la possibilità di trattare i dati personali, raccolti per dare esecuzione ad un rapporto contrattuale, anche per ulteriori finalità, come, ad esempio, quelle di marketing o di promozione commerciale, salva la richiesta di uno specifico consenso.
Ne deriva, inoltre, che lo stesso trattamento deve considerarsi sottoposto ad un ben preciso vincolo temporale, per cui i dati non possono essere conservati per un periodo di tempo eccedente l'adempimento, salvo ulteriori obblighi imposti dalla legge.
Alcune considerazioni anche in merito alla seconda ipotesi: qui il requisito della conoscibilità può ritenersi soddisfatto soltanto in presenza di un vero e proprio regime giuridico di conoscibilità e non da una semplice conoscibilità, anche temporanea, dei dati.
Questo è il motivo per cui gli indirizzi di posta elettronica che compaiono all'interno delle pagine dei siti web o nei messaggi di un newsgroup non possono, di regola, ritenersi conoscibili da chiunque, essendo la loro natura pubblica strettamente connessa allo scopo cui è preordinata e non potendo estendersi al di là di questo.
D'altra parte l'ipotesi di trattamento libero dei dati estratti da fonti pubbliche è quella che più si presta a fraintendimenti, soprattutto con riferimento alle comunicazioni elettroniche indesiderate.
Nella pratica commerciale, infatti, si assiste molto spesso al tentativo di giustificare le comunicazioni di natura promozionale tramite email, fax, sms ed mms, in assenza di un preventivo consenso dell'interessato, proprio con la circostanza del reperimento dei relativi dati personali da albi od elenchi pubblici e, quindi, con la fattispecie di cui all'art. 24, lett. c) citato.
In realtà questa interpretazione non può essere accolta perché dimentica che i primi due commi dell'art. 130 del d.lgs. 196/03 richiedono, ai fini della li
Pag. 8
La tutela della privacy nelle attività di marketing e promozionali
ceità di queste forme di comunicazione, l'esistenza di un consenso specifico, non ammettendo altre eccezioni, se non quelle previste nei successivi commi 3 e 4 12.
I diritti degli interessati e le modalità di esercizioIn materia di diritti degli interessati il codice della privacy adotta, con gli
articoli da 7 a 10, un approccio orientato ad un bilanciamento tra contrapposti interessi: da una parte quelli del titolare e, dall'altra, quelli dei soggetti cui si riferiscono i dati.
Partendo proprio dalla disposizione dell'art. 7 13, i diritti degli interessati possono essere classificati nel seguente modo:
1. il diritto di venire a conoscenza dell'esistenza di dati2. il diritto di esercitare un controllo effettivo sull'insieme e sulla quali
tà dei propri dati personali3. il diritto di opporsi, in tutto od in parte, al trattamento dei propri dati
Gli elementi caratterizzanti del primo sono, da un lato, il potere di esercizio preventivo, indipendentemente da situazioni di effettivo pregiudizio, e, dall'altro, la tipologia delle informazioni che devono essere rese, specificate nel comma 2 della disposizione citata, insieme con la forma della loro comunicazione che deve essere tale da soddisfare, comunque, il requisito della comprensibilità.
Da questi presupposti scaturisce l'esigenza che l'interessato venga a conoscenza delle informazioni che lo riguardano nella loro interezza, considerato che tale conoscenza si pone in un ottica necessariamente funzionale rispetto all'esercizio dei diritti di cui al comma 3.
Questi ultimi ricomprendono la facoltà di ottenere l'aggiornamento, la correzione o l'integrazione dei dati, oppure la loro cancellazione, trasformazione in forma anonima od il blocco del trattamento attuato in violazione delle attuali disposizioni di legge, comprese quelle attinenti alla durata della conservazione.
Ultimo, ma non meno importante, è il diritto di opporsi al trattamento dei propri dati che si prospetta, però, differente a seconda delle finalità perseguite.
Infatti anche se nella maggior parte dei casi l'esercizio di questo diritto non è subordinato a situazioni di illiceità esso richiede, tuttavia, la sussistenza di motivi legittimi da identificarsi principalmente con quelli relativi alla tutela della dignità umana (art. 7, comma 4, lett. a).
12 Per una disamina più approfondita della tematica si consiglia di leggere il Capitolo 213 In appendice normativa
Pag. 9
La tutela della privacy nelle attività di marketing e promozionali
Al contrario, nell'ipotesi specifica di trattamento per scopi commerciali il requisito della legittimità dei motivi viene meno in quanto connaturato all'interesse ad opporsi al perseguimento di tali finalità attraverso i propri dati (art. 7, comma 4, lett. b).
In quest'ultimo caso il legislatore si è preoccupato di spostare il baricentro del bilanciamento di interessi in favore dei soggetti cui si riferiscono i dati, predisponendo una forma particolare di tutela di quello che viene, ormai, definito come il diritto "ad essere lasciati in pace”, alla luce delle sempre più invasive tecniche di promozione e di vendita diretta, favorite anche dal progresso tecnologico che interessa, soprattutto, il settore delle comunicazioni elettroniche.
Nelle intenzioni del legislatore le modalità di esercizio dei diritti devono essere ispirate ad ovvie esigenze di celerità.
Le singole richieste possono essere pertanto rivolte, senza alcuna formalità, al titolare od al responsabile, anche mediante un incaricato, e ad esse viene fornito un riscontro immediato ed idoneo (art. 8, comma 1).
Ciò vale, in particolar modo, per il diritto di accesso la cui finalità è quella di ottenere la conferma dell'esistenza dei dati personali: in questo caso specifico l'interessato può, infatti, proporre la sua richiesta in forma orale (art. 9, comma 1).
Il quadro si completa infine con le prescrizioni dell'art. 10 che individuano alcuni strumenti e misure per garantire l'esercizio effettivo dei diritti attraverso una maggiore comprensibilità dei dati di riscontro forniti.
Pag. 10
La tutela della privacy nelle attività di marketing e promozionali
Capitolo 2
Le comunicazioni elettroniche indesiderateCon tale termine si intendono generalmente le comunicazioni di natura
promozionale-commerciale, generate e diffuse attraverso gli strumenti elettronici (email, fax, cellulari, ecc...), ed inoltrate ad uno o più destinatari, senza che questi le abbiano richieste esplicitamente o abbiano fornito il proprio consenso (cd. spamming).
Data la natura potenzialmente molto invasiva degli strumenti utilizzati, il legislatore comunitario si è occupato della questione con la direttiva 2002/58, i cui dettami sono successivamente confluiti nel titolo X del codice della privacy ed, in particolare, nell'art. 130 intitolato proprio alle comunicazioni indesiderate.
La necessità del consenso specificoI primi due commi dell'articolo 130 14 subordinano al preventivo consenso
dell'interessato la possibilità di utilizzare i sistemi automatici di chiamata, senza l'intervento dell'operatore, e le comunicazioni elettroniche tramite fax, posta elettronica, SMS ed MMS, al fine dell'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.
Al di fuori delle ipotesi menzionate, invece, l'articolo 13 della direttiva 2002/58 ha consentito alle normative di recepimento, emanate dagli stati membri, di individuare gli strumenti più opportuni con i quali impedire tutte le altre forme di comunicazione non desiderate (ad esempio le chiamate vocali non automatizzate di telefonia fissa o mobile), scegliendo tra un sistema di "opt-in" oppure di "opt-out" 15.
Con riferimento a tale opzione il legislatore italiano si è espresso con il comma 3 dell'articolo 130, adottando un sistema di opt-in che richiede, in alternativa, l'esistenza di due condizioni:
1. un valido consenso da parte del soggetto interessato2. una delle fattispecie che, ai sensi dell'articolo 24 del codice della
privacy, permettono un trattamento dei dati personali anche senza consenso
La scelta di questo sistema è stata successivamente avvalorata anche nel diverso ambito della tutela dei consumatori il cui testo di riferimento è il cd. Codice del Consumo.
14 In appendice normativa15 Nel primo sistema la manifestazione di volontà ha una connotazione positiva (consenso) ed è
preventiva, mentre nel secondo essa è successiva ed assume una connotazione negativa (diniego).
Pag. 11
La tutela della privacy nelle attività di marketing e promozionali
In effetti l'art. 58, comma 1, del d.lgs. 206/05 16 limita l'utilizzo di alcune tecniche di comunicazione a distanza nei confronti dei consumatori stabilendo che: "L'impiego da parte di un professionista del telefono, della posta elettronica, di sistemi automatizzati di chiamata senza l'intervento di un operatore o di fax richiede il consenso preventivo del consumatore".
Contemporaneamente, però, il successivo comma 2 riconosce la validità di un sistema di opt-out, prevedendo che il professionista possa utilizzare tecniche di comunicazione differenti dal telefono, dalla posta elettronica, dal fax o dai sistemi automatizzati di chiamata, a meno che il consumatore non si dichiari esplicitamente contrario.
Questa divergenza potrebbe passare inosservata se non fosse per il fatto che alla disposizione citata viene riconosciuta una efficacia in deroga alle norme del codice della privacy 17.
Ovviamente la deroga di cui si parla deve intendersi con riferimento al principio del consenso, e non all'intero impianto normativo in materia di privacy, ma ciò appare sufficiente a creare una notevole confusione che, di certo, non agevola la comprensione di una tematica già di per sé complessa.
Tornando alla disposizione dell'art. 130, il comma 5 vieta qualsiasi forma di comunicazione effettuata camuffando o celando l'identità del mittente o senza fornire un idoneo recapito.
Lo scopo è quello di evitare il verificarsi di situazioni che possano comportare una elusione delle nome di legge concernenti l'esercizio dei diritti da parte degli interessati.
In materia di comunicazioni elettroniche indesiderate si è andata formando con il tempo una discreta giurisprudenza dell'autorità garante della privacy, chiamata spesso ad occuparsi del fenomeno.
I prossimi paragrafi sono destinati proprio ad illustrare gli orientamenti ormai consolidati in materia.
Le comunicazioni mediante posta elettronicaSulla base dei principi esaminati, lo svolgimento di attività promozionali o di commercializzazione diretta, attraverso il servizio di posta elettronica, deve ritenersi subordinato al consenso dell'interessato.
Il Garante della privacy ha ribadito che gli indirizzi di posta elettronica contengono dati personali, da trattare nel rispetto della normativa vigente, e che il consenso dell'interessato ha il valore di una autorizzazione, per cui l'eventuale silenzio va inteso come divieto e non come assenso tacito all'invio di
16 In appendice normativa17 In tal senso si esprime l'art. 19 bis del decreto legge 20 dicembre 2005 n. 273, convertito in legge 23
febbario 2006 n. 51
Pag. 12
La tutela della privacy nelle attività di marketing e promozionali
messaggi 18.Questa premessa è valida, inoltre, a prescindere dalla facilità con la qua
le sia possibile reperire un indirizzo di posta o dal fatto che esso sia stato pubblicato sulla rete Internet e, dunque, si applica in tutti i casi seguenti:
• indirizzi generati ed utilizzati automaticamente, mediante software, senza l'intervento di un operatore;• indirizzi degli utenti che prendono parte ad un gruppo di discussio
ne;• indirizzi compresi negli elenchi degli abbonati a particolari servizi;• indirizzi pubblicati in siti web da soggetti pubblici o privati;• indirizzi presenti nelle registrazioni dei nomi di dominio Internet;• qualsiasi altro indirizzo reperito, in qualunque modo, sulla rete In
ternet;Il consenso può essere prestato con ogni modalità idonea a renderlo una
libera manifestazione di volontà dell'interessato, collegata ad una specifica finalità ed espressa sulla base di una informativa idonea contenente le indicazioni richieste dall'art. 13.
Secondo una interpretazione del gruppo di lavoro sulla tutela dei dati personali, di cui all'articolo 29 della direttiva 95/46/CE, il riferimento all'esistenza di una specifica finalità comporta che l'eventuale autorizzazione sia accompagnata da una informazione sulla tipologia di prodotti o servizi per i quali si ritiene ammissibile l'invio di messaggi promozionali 19.
In presenza di tali requisiti il consenso può anche essere raccolto a voce, purché sia inequivocabile, e, comunque, venga successivamente documentato in modo scritto.
L'autorità garante ritiene illecita la prassi diffusa della richiesta di consenso attraverso una prima email, avente comunque un contenuto promozionale, od il riconoscimento al soggetto della sola facoltà di opt-out cioè, in pratica, l'onere di attivarsi per non ricevere più messaggi dello stesso tipo.
Sembra, invece, accolta con favore la prestazione del consenso attraverso una procedura di registrazione ad un sito web, purché seguita da un invito a confermare la registrazione.
In tale ultimo caso occorre che le applicazioni ed i sistemi, sui quali si basa il funzionamento del sito, siano progettati e configurati per permettere l'esercizio del diritto all'autodeterminazione informativa: questo si traduce nella necessità di predisporre opzioni di scelta di tipo positivo - ad esempio ca
18 Provvedimento generale del Garante del 29 maggio 2003. Spamming, regole per un corretto invio delle email pubblicitarie, in appendice normativa
19 Parere 5/2004 del gruppo di lavoro per la tutela dei dati personali relativo alle comunicazioni indesiderate ai fini di commercializzazione diretta
Pag. 13
La tutela della privacy nelle attività di marketing e promozionali
selle da selezionare piuttosto che già preselezionate - poiché, soltanto in questo modo, l'utente viene effettivamente messo nella condizione di esprimere liberamente la propria scelta in ordine alle finalità da perseguire 20.
Le comunicazioni mediante SMS ed MMSAnche per l'impiego dei sistemi di messaggistica breve (sms, mms) il ga
rante ritiene indispensabile il consenso dei destinatari quale condizione per un valido trattamento dei dati.
La casistica è molto ampia e ricomprende gli sms spediti da un fornitore di servizi di telefonia, per conto proprio o di terzi, quelli inviati da soggetti differenti ed, infine, il caso in cui i numeri telefonici siano generati ed utilizzati in modo automatico mediante software 21.
Partendo da una serie di reclami, l'autorità ha riaffermato che il consenso deve essere libero, non potendo ritenersi tale una manifestazione di volontà formatasi, esclusivamente o prevalentemente, sulla convinzione della sua necessità ai fini della stipula di un successivo contratto.
In tal caso il consenso viene, infatti, snaturato per il solo fatto che il soggetto "deve" prestarlo al fine di ottenere la prestazione desiderata, con l'ulteriore rischio che i dati raccolti siano successivamente trattati per uno scopo diverso da quello originariamente previsto 22.
Per le stesse ragioni si considerano illeciti sia l'inclusione, tra le clausole contrattuali, di una dichiarazione d'impegno alla ricezione di sms, sia il comportamento di uno dei contraenti diretto a fare credere che alcuni sms, aventi un contenuto tipicamente promozionale, siano in realtà dei semplici messaggi di servizio.
Le comunicazioni mediante faxQuanto sinora esposto, con riferimento alla necessità di un consenso de
gli interessati, vale anche per le trasmissioni a mezzo telefax23.Anzi, potremmo dire che il problema è quanto mai attuale ed urgente
considerata la grande diffusione di questo sistema, soprattutto nella fascia di utenza business, e l'erroneo convincimento che il suo utilizzo per finalità promozionali sia libero.
In più di uno dei casi portati all'attenzione del garante è stato confermato che la pubblicazione dei numeri di telefono in elenchi categorici od in pubblici
20 Cfr. Provvedimento del garante 12 ottobre 2005. Biglietti on line e marketing, in appendice normativa21 Cfr. Provvedimento generale del Garante del 10 giugno 2003. Linee guida sull'uso degli sms per scopi
promozionali e pubblicitari, in appendice normativa22 Cfr. Provvedimento del garante 12 ottobre 2005 cit.23 Cfr. Provvedimento del garante del 23 novembre 2006, Fax promozionali: vietato l'invio senza il
previsto consenso; Cfr. anche Provvedimento del 31 gennaio 2008, Divieto di invio di fax promozionali senza consenso, in appendice normativa
Pag. 14
La tutela della privacy nelle attività di marketing e promozionali
registri non implica automaticamente, né deve far presumere, il consenso alla ricezione di materiale di qualsiasi genere.
Questa interpretazione trova conferma anche nel secondo comma dell'art.12924, secondo il quale il trattamento dei dati inseriti negli elenchi degli abbonati ha la sola funzione di facilitare le comunicazioni interpersonali mentre, se realizzato per fini ulteriori, come quelli pubblicitari, promozionali o commerciali, richiede il consenso libero e preventivo degli interessati, documentato per iscritto e preceduto da idonea informativa.
Il marketing telefonico o telesellingAnche il teleselling, termine con il quale si intende la promozione o la
vendita diretta di prodotti o servizi attraverso lo strumento telefonico, si è guadagnato la recente attenzione dell'autorità garante intervenuta, con alcuni provvedimenti25, per vietare espressamente il trattamento dei dati effettuato in occasione di telefonate promozionali, senza lo specifico consenso da parte degli interessati e l'idonea informativa26.
Nel momento in cui si scrive c'è però da registrare una certa tendenza in atto a voler bilanciare i contrapposti interessi degli operatori commerciali e di marketing e le esigenze di riservatezza degli utenti con un impianto normativo meno rigoroso.
In tal senso si segnala un recente disegno di legge, di cui si è fatto portavoce l'Istituto Italiano Privacy27, che prevede proprio l'istituzione di un sistema di opt-out con riferimento al settore del direct marketing telefonico28.
La deroga nel marketing telefonico prevista dalla legge 14/2009Nel frattempo l'art. 44 della legge 27 febbraio 2009, n. 14, di conversione
del D.L. 30 dicembre 2008 (cd. mille-proroghe), ha introdotto nel nostro ordinamento giuridico una deroga parziale e temporanea all'applicazione di determinati istituti a tutela della riservatezza, prevedendo che: “I dati personali presenti nelle banche dati costituite sulla base di elenchi telefonici pubblici formati prima del 1° agosto 2005 sono lecitamente utilizzabili per fini promozionali sino al 31 dicembre 2009, anche in deroga agli articoli 13 e 23 del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, dai soli titolari del trattamento che hanno provveduto a costituire dette banche dati prima del 1° agosto 2005”.
24 In appendice normativa25 Stop alle telefonate indesiderate: il Garante impone a gestori e call center di interrompere
comportamenti illeciti, su http://www.garanteprivacy.it/garante/doc.jsp?ID=141277226 Cfr. anche Marketing telefonico: scattano i divieti del Garante alle telefonate indesiderate, su
http://www.garanteprivacy.it/garante/doc.jsp?ID=154408227 Con sito web all'indirizzo http://www.istitutoitalianoprivacy.org28 Cfr. per un primo commento Marketing telefonico e privacy: verso un sistema di opt-out ?, su
http://stefanobendandi.blogspot.com/2009/06/marketing-telefonico-e-privacy-verso-un.html
Pag. 15
La tutela della privacy nelle attività di marketing e promozionali
Il punto cruciale della disposizione, alla quale non sono state risparmiate critiche feroci da parte degli operatori del diritto e delle associazione di utenti, è quello che consente, anche in mancanza dell'informativa e del consenso dell'interessato, il trattamento per fini promozionali dei dati personali memorizzati in banche dati costituite, prima della data del 1° agosto 2005, sulla base di elenchi telefonici pubblici.
Si tratta, come è evidente, di una eccezione di ampia portata perché, non solo prescinde dal consenso dei singoli interessati, ma li priva anche della possibilità di venire a conoscenza di alcuni trattamenti di dati in essere.
In compenso, la deroga è circoscritta alle sole attività promozionali realizzate con il mezzo telefonico e di essa potranno beneficiare soltanto i titolari dei dati, con l'esclusione di qualsiasi altra ipotesi differente (es. acquisto di banche dati).
Anzi, proprio per sgombrare il campo da comportamenti poco chiari e da tentativi di applicazione estensiva della norma, il garante è successivamente intervenuto con un provvedimento29 per determinare i requisiti al cui soddisfacimento si intende subordinata la fruizione di questo particolare regime di esenzione.
Le misure a tal fine previste impongono ai titolari l'obbligo di: • documentare adeguatamente l'avvenuta costituzione della banca dati
prima del 1° agosto 2005, conservando la relativa documentazione presso la propria sede legale;
• trattare i dati presenti nelle banche dati in modo esclusivo, senza cederli, a qualsiasi titolo, a terzi;
• specificare, in occasione di ogni contatto telefonico, l'identificativo di chi tratta i dati, anche nel caso in cui questo operi per conto di terzi, e far presente agli interessati il loro diritto di opporsi ai sensi dell'art. 7 del codice;
• registrare contestualmente ogni eventuale opposizione al trattamento, con effetto immediato anche nei confronti dei terzi, e darne immediato riscontro all'interessato attraverso la comunicazione dell'identificativo dell'operatore o dell'operazione compiuta;
• utilizzare i dati personali presenti nelle banche dati per le sole finalità promozionali, non oltre il termine del 31 dicembre 200930;
• comunicare al Garante, entro quindici giorni dalla pubblicazione del provvedimento in G.U., avvenuta in data 20 marzo 2009, di essere in
29 Provvedimento del 12 marzo 2009, Prescrizioni ai titolari di banche dati costituite sulla base di elenchi telefonici formati prima del 1° agosto 2005 a seguito della deroga introdotta dall'art. 44 d.l. n. 207/2008 , in appendice normativa
30 E' esclusa la possibilità di rendere un'informativa agli interessati e richiedere il loro consenso per il trattamento dei dati da effettuare in data successiva al 31 dicembre 2009 per attività di carattere promozionale
Pag. 16
La tutela della privacy nelle attività di marketing e promozionali
possesso di banche dati costituite anteriormente al 1° agosto 2005 che si intendono utilizzare per attività promozionali fino al 31 dicembre 2009, chiarendo se il trattamento dei dati personali venga effettuato anche per conto di terzi;
La comunicazione di servizi e prodotti analoghiUn trattamento particolare viene riservato all'ipotesi delle comunicazioni
elettroniche si inseriscono nell'ambito di rapporti già instaurati con i clienti.A questo proposito il quarto comma dell'art. 130 prevede che: “Fatto sal
vo quanto previsto nel comma 1, se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall’interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell’interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l’interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. L’interessato, al momento della raccolta e in occasione dell’invio di ogni comunicazione effettuata per le finalità di cui al presente comma, è informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente”.
La norma introduce una eccezione al principio generale della richiesta di consenso fissandone, oltretutto, i requisiti per l'operatività:
1. il mezzo utilizzato identificabile nella posta elettronica, come si evince dal fatto che gli interessati devono avere fornito i propri recapiti elettronici in occasione di una precedente vendita2. l'oggetto dei messaggi costituito da una comunicazione concer
nente prodotti o servizi analoghi a quelli già forniti3. l'assenza di rifiuto da parte dei destinatari all'utilizzo dei propri re
capiti4. una informativa idonea riguardante la possibilità di opporsi al mo
mento iniziale della raccolta dei dati ed in occasione di ogni successiva comunicazione
Resta, invece, aperto il problema di stabilire quale sia la finestra temporale entro la quale si possa presumere come validamente prestato il consenso a ricevere ulteriori messaggi: si tratta di una questione che appare logico affrontare partendo dal presupposto della ragionevolezza del tempo intercorrente tra la precedente vendita ed il successivo invio dei messaggi.
Pag. 17
La tutela della privacy nelle attività di marketing e promozionali
Il marketing di prossimità ed il bluetooth advertisingIl marketing di prossimità è una tecnica che si avvale di strumenti e meto
di per creare un canale di comunicazione, di natura generalmente promozionale o informativa, con gli individui che si trovano in un area circoscritta (cinema, caffè, aree commerciali, fiere, aeroporti, ecc...) 31.
Siamo dinanzi ad un espressione di marketing territoriale, dove l'aggettivo territoriale va inteso nel senso che la comunicazione avviene sul territorio, ma senza un target predefinito.
Uno sviluppo particolare, rappresentato dal bluetooth marketing o advertising, si basa sulle reti bluetooth32 per inviare messaggi direttamente ai terminali mobili degli utenti (pda, smartphone, computer portatili, ecc...) all'interno di un area specifica.
Al di là delle considerazioni sulla reale efficacia di questi sistemi, essi pongono degli interrogativi derivanti dalla loro natura di potenziali sorgenti di comunicazioni indesiderate.
In rete non mancano interventi33 che spiegano le ragioni per le quali si ritiene che il bluetooth marketing non costituisca una forma di spam.
La questione, tuttavia, non sembra di così facile soluzione e le motivazioni riportate, seppure in parte condivisibili, non riguardano l'aspetto giuridico del fenomeno sul quale è opportuno, pertanto, soffermarsi.
Come già detto in precedenza, i primi due commi dell'art 130 del codice della privacy subordinano al preventivo consenso degli interessati la liceità delle comunicazioni effettuate con sistemi automatici di chiamata, posta elettronica, fax, messaggi sms, mms o di altro tipo per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.
Il primo dubbio, quindi, è se un sistema di comunicazione bluetooth, utilizzato per questi scopi, possa ricomprendersi in tale ambito di applicazione, quanto meno sotto un profilo di ipotetica assimilazione ai messaggi di "altro tipo", cui la disposizione fa esplicito riferimento.
Pur volendo escludere questa eventualità rimane il fatto che, ai sensi del comma terzo dell'art. 130, le comunicazioni inoltrate per le medesime finalità, ma con mezzi diversi, sono permesse sempre con il consenso del destinatario oppure se sussiste una delle fattispecie di trattamento dei dati personali senza consenso previste dall'art. 24.
31 Alfredo Martinelli, Definizione Marketing di prossimità, su http://www.alfredomartinelli.info/viewart.php?idart=80
32 Bluetooth su http://it.wikipedia.org/wiki/Bluetooth33 Alfredo Martinelli, Il marketing di prossimità non è spam, su
http://www.alfredomartinelli.info/viewart.php?idart=97
Pag. 18
La tutela della privacy nelle attività di marketing e promozionali
L'espressione "mezzi diversi da quelli indicati" sembrerebbe legittimare l'inclusione anche dei sistemi bluetooth lasciando, però, aperte altre due questioni.
La prima é: una comunicazione attraverso sistemi bluetooth comporta una qualche forma di trattamento di dati personali ?
La risposta potrebbe essere positiva se, tra i vari dati scambiati tra le periferiche durante la connessione, ve ne fosse qualcuno assimilabile ad un "dato personale", secondo l'ampia definizione che ne fornisce l'art. 4 del codice della privacy.
Senza entrare nei dettagli tecnici viene da pensare, innanzitutto, al nome identificativo del dispositivo oppure ad uno degli altri dati coinvolti nel flusso del protocollo di gestione delle connessioni (Link Manager Protocol).
Ed inoltre, può configurarsi come valido consenso l'eventuale risposta positiva del destinatario alla richiesta di accettazione del messaggio ?
Probabilmente sì, anche se ciò non fornisce una soluzione al problema della potenziale invasività della tecnologia (a quanti messaggi sarebbe necessario rispondere all'interno di un area commerciale di una certa grandezza ?)
Difficilmente, invece, si può parlare di consenso qualora i sistemi non siano configurati per richiedere una autorizzazione per ogni messaggio inviato, oppure ignorando gli eventuali rifiuti da parte dei destinatari.
Sulla problematica non sono intervenute, al momento in cui si scrive, pronunce da parte dell'autorità garante ma l'orientamento del gruppo di lavoro dei garanti europei è verso una maggiore protezione della privacy dei cittadini.
In un parere è stata infatti evidenziata l'opportunità di ampliare la definizione di sistemi di chiamata, contenuta nell'art. 13 della direttiva 2002/58/CE, in modo tale da ricomprendervi anche quei sistemi legati allo sviluppo tecnologico, tra i quali quelli basati sulla tecnologia bluetooth, il cui funzionamento è difficilmente equiparabile ad una chiamata sul terminale dell'utente, almeno nell'attuale impianto normativo.
L'acquisto di banche dati e le comunicazioni per conto di terzi
L'acquisto di banche dati da parte di terzi è una pratica ricorrente diretta a facilitare la realizzazione di molte attività tra cui quelle di marketing.
Tuttavia la semplice acquisizione di una banca dati non implica, di per sé, la possibilità di utilizzare i dati personali degli interessati, soprattutto per le finalità che stiamo trattando.
Pag. 19
La tutela della privacy nelle attività di marketing e promozionali
Sulla base della normativa vigente e dell'orientamento espresso dall'autorità garante34, l'acquirente deve comunque accertare che ogni interessato abbia validamente manifestato il consenso alla comunicazione dei propri dati ed al loro trattamento per l'invio di materiale pubblicitario o promozionale .
Inoltre, al momento della registrazione, l'acquirente deve inviare ai soggetti interessati l'informativa, di cui all'articolo 13, comprendente l'indicazione di un luogo fisico, e non soltanto elettronico, presso il quale è possibile esercitare i propri diritti.
In mancanza di tali adempimenti si incorre nell'impossibilità di utilizzare i dati acquisiti, ai sensi dell'art. 11, comma 2, oltre ad una eventuale responsabilità ai sensi dell'art. 15, comma 2.
Considerazioni analoghe valgono nell'ipotesi di comunicazioni effettuate, per conto di terzi, da società specializzate: anche queste società che si avvalgono, spesso, di banche dati proprietarie, sono, infatti, tenute a rispettare le disposizioni in materia di informativa e di consenso, soprattutto per ciò che riguarda l'eventuale comunicazione dei dati personali ai committenti medesimi e le inerenti finalità del trattamento.
34 Cfr. Provvedimento generale del Garante del 29 maggio 2003, cit.
Pag. 20
La tutela della privacy nelle attività di marketing e promozionali
Capitolo 3
Il marketing comportamentaleRientra nell'ambito delle nuove frontiere del marketing e si definisce com
portamentale poiché si avvale di una strategia pubblicitaria mirata, basata sulla creazione di messaggi personalizzati (targeting) a partire dal comportamento del singolo consumatore in un determinato contesto35.
L'efficacia della tecnica dipende da una analisi di dati storici, piuttosto che dalla semplice deduzione36, e necessita quindi di una mole di informazioni sufficiente a supportare questo tipo di approccio.
Queste informazioni che, a seconda dei casi, potrebbero avere anche natura personale sono acquisite da varie fonti, tra cui Internet che svolge il ruolo di principale strumento tecnologico per la ricostruzione delle attività svolte online.
Attraverso l'analisi all'utente viene dunque attribuito un determinato profilo, dal quale dipende la successiva personalizzazione della strategia promozionale.
Il marketing comportamentale combina i vantaggi del marketing diretto con quelli del marketing di massa in un mix che sembra promettere un elevato tasso di conversione o ritorno degli investimenti.
Al tempo stesso, però, le attività di raccolta e profilazione dei dati personali impongono l'adozione di opportune cautele e, quando effettuate con l'ausilio degli strumenti informatici, richiedono l'adempimento dell'obbligo della notificazione di cui all'art. 37 del d.lgs. 196/03 37.
L'analisi dei dati raccolti onlineGeneralmente prende in considerazione tre tipologie di azioni concernen
ti:• i siti o le pagine web visitate• le parole chiave utilizzate in una ricerca o le pagine lette• le visite effettuate in passatoMentre nel primo caso, il più tipico, i vari segmenti comportamentali sono
definiti tramite una aggregazione delle visite degli utenti verso siti con un contenuto specifico, nel secondo, invece, l'indagine parte dallo studio delle ricer
35 Federico Riva, Il marketing comportamentale nel world wide web, su http://www.businessonline.it/4/E-business/661/Il_marketing_comportamentale_nel_world_wide_web.html
36 In un processo tipicamente deduttivo si presume, ad esempio, che un utente sia interessato all'acquisto di musica se sta visitando il sito di un negozio online di musica
37 In appendice normativa
Pag. 21
La tutela della privacy nelle attività di marketing e promozionali
che effettuate con determinate parole chiave o dalla lettura delle pagine il cui contenuto risulta associato alle stesse keywords.
Nell'ultima ipotesi, infine, l'elemento prevalente è costituito da una storia delle visite ed, in particolare, delle azioni compiute da ogni singolo visitatore durante la propria esperienza di navigazione.
Ma come possono essere raccolti i dati su Internet ? Una delle tecniche più diffuse è quella dei cookies, piccoli file di testo, in
viati dai server web e memorizzati sul computer dell'utente, contenenti le informazioni più disparate (numero identificativo, pagine visitate, annunci consultati, ecc...).
Sebbene il meccanismo sia stato originariamente sviluppato per rendere più fruibile la navigazione in rete, esso si presta pure ad un utilizzo con finalità di profilazione.
In alcune circostanze i cookies possono concorrere a realizzare forme di trattamento dei dati personali.
Questo accade quando i dati in essi contenuti consentono l'identificazione di un soggetto, anche indirettamente, attraverso l'associazione con altri dati (nome utente, indirizzo email o anagrafico, ecc...).
L'acquisizione dei dati mediante cookies deve, quindi, ritenersi soggetta alle prescrizioni della legislazione sulla privacy, anche perchè avviene, spesso, con modalità automatiche ed invisibili38.
La conseguenza più immediata è che ai soggetti interessati deve essere reso noto, con una privacy policy, l'utilizzo dei cookies e deve essere fornita una informativa idonea contenente gli elementi previsti dall'art. 13 (tipologia dei dati, finalità della raccolta, modalità di trattamento, diritti, ecc....); inoltre ad ogni soggetto deve essere offerta la possibilità di scegliere se accettare o rifiutare i cookies.
Le medesime considerazioni valgono anche per altri stratagemmi che operano automaticamente (ad es. quelli basati sulle tecnologie javascript, java, ecc....), ovviamente nei limiti, appena indicati, in cui essi realizzano casi di trattamento dei dati personali.
Le carte fedeltàLe cd. carte fedeltà rientrano nel quadro generale delle iniziative di fide
lizzazione della clientela ma non è raro che vengano rilasciate anche con la finalità di raccogliere informazioni specifiche relative ai comportamenti di acquisto (volumi di spesa, tipologia di beni o servizi acquistati, frequenza, ecc...).
38 Vedi Raccomandazione 1/99 del gruppo di lavoro dell'art. 29 sul trattamento invisibile ed automatico dei dati personali su Internet effettuato da software ed hardware
Pag. 22
La tutela della privacy nelle attività di marketing e promozionali
La raccolta dei dati personali alla base di questo sistema rientra nelle previsioni del d.lgs. 196/03, tanto che il garante ha ritenuto di dover fare chiarezza in materia con il provvedimento generale del 24 febbraio 2005 39.
I punti salienti di questo provvedimento riguardano il rispetto dei principi di necessità e proporzionalità, la completezza della informativa, l'esigenza di un consenso libero e la fissazione di termini per la conservazione dei dati.
Necessità e proporzionalità implicano l'osservanza di presupposti differenti, a seconda delle finalità perseguite:
• fidelizzazione: i dati raccolti devono essere soltanto quelli che permettono di accedere ai vantaggi della carta (informazioni anagrafiche e sul volume globale di spesa progressivamente realizzato con l'esclusione, salvo casi particolari, dei dati di dettaglio aventi ad oggetto le tipologie di beni o servizi acquistati, ecc...)40
• profilazione: i dati devono avere, di regola, natura anonima o non identificativa ed essere privi di riferimenti che permettano di individuare gli interessati e le caratteristiche inerenti la loro sfera personale. Nei casi in cui ciò non sia praticabile, i dati personali, con l'esclusione di quelli sensibili, possono essere oggetto di trattamento in banche dati, purché separate da quelle utilizzate per altre finalità• marketing diretto: possono essere acquisiti solo i dati stretta
mente indispensabili per l'invio di materiale pubblicitario, le comunicazioni commerciali o la vendita diretta
L'informativa che precede ogni trattamento deve essere chiara e completa, identificando i soggetti ai quali i dati vengono eventualmente comunicati ed evidenziando le caratteristiche delle varie attività di profilazione e marketing diretto.
Mentre i dati richiesti per le singole iniziative di fidelizzazione non richiedono il consenso degli interessati, essendo funzionali all'adempimento di obblighi derivanti da un contratto 41, per tutte le altre finalità, invece, il consenso deve essere raccolto in modo distinto.
In ogni caso non sono lecite forme di condizionamento di alcun tipo, poste in essere subordinando, ad esempio, la fruizione dei vantaggi alla concessione dell'autorizzazione al trattamento dei propri dati per finalità di marketing 42.
39 In appendice normativa40 Cfr. provvedimento del garante del 28 maggio 2009, Fidelity card: prescrizioni su trattamento
eccedente di dati personali e informativa al cliente, su http://www.garanteprivacy.it/garante/doc.jsp?ID=1625257
41 Ipotesi che realizza una delle fattispecie di trattamento senza consenso, ai sensi dell'art. 24, in appendice normativa
42 Cfr. provvedimento del garante del 24 maggio 2006: profilazione e fidelizzazione nella grande distribuzione, su http://www.garanteprivacy.it/garante/doc.jsp?ID=1298784
Pag. 23
La tutela della privacy nelle attività di marketing e promozionali
Per quanto riguarda invece la conservazione, i dati personali relativi al dettaglio degli acquisti possono essere trattati, per finalità di profilazione o marketing, per un periodo di tempo non superiore, rispettivamente, a dodici o ventiquattro mesi decorrenti dalla data della registrazione.
Nel caso di eventi quali la scadenza, la restituzione della carta, ecc..., deve essere previsto un termine di conservazione non superiore ai tre mesi per le sole finalità amministrative.
Pag. 24
La tutela della privacy nelle attività di marketing e promozionali
Capitolo 4
Il marketing geograficoIl marketing geografico prevede l'impiego di sistemi che utilizzano infor
mazioni di natura geografica (Geographic Information System) nell'ambito del processo di pianificazione ed implementazione delle varie attività del marketing mix (prodotto, prezzo, promozione e posizionamento).
Si tratta in pratica di sistemi di business intelligence, espressione di un marketing di tipo territoriale, che guidano le scelte operative, permettendo di definire le azioni più appropriate in relazione al particolare ambito geografico in cui si trova od opera una determinata realtà.
Il risultato è dato da una ottimizzazione delle stesse attività e strategie, comprese quelle di natura promozionale, grazie anche alla scelta di forme di comunicazione più idonee per il contesto di riferimento.
I servizi basati sulla localizzazioneNell'ambito delle implicazioni pratiche del marketing geografico o territo
riale rientrano alcuni servizi accessibili attraverso dispositivi mobili (cellulari, smartphone o pda, computer portatili, ecc...).
Tali servizi denominati LBS, acronimo di Location Based Services, rappresentano il frutto dello sviluppo tecnologico nel settore delle comunicazioni mobili ed abbracciano tutte quelle applicazioni che sfruttano la capacità di determinare la posizione geografica di una periferica per fornire servizi di valore aggiunto (emergenza, navigazione su strada, informazioni turistiche, commerciali o meteorologiche, localizzazione di persone, ecc...).
Da un punto di vista tecnologico il funzionamento dei sistemi di localizzazione può essere incentrato sulla rete oppure esterno, a seconda che la sorgente delle informazioni rientri o meno sotto il controllo di un operatore di comunicazioni elettroniche.
Alla prima categoria appartengono le reti GSM/UMTS, mentre nel secondo gruppo rientrano la rete satellitare GPS (Global Positioning System), Galileo, i sistemi di posizionamento peer-to-peer o quelli basati su ponti radio o su reti wireless.
L'architettura complessiva prevede il coinvolgimento di tre entità: il fornitore dei servizi, l'utente e l'operatore delle comunicazioni: quest'ultimo, in particolare, agisce da intermediario trasmettendo i dati di localizzazione al fornitore dei servizi, il quale combina questi dati con quelli geografici per erogare quanto richiesto.
Pag. 25
La tutela della privacy nelle attività di marketing e promozionali
Dalla premessa si evince, quindi, che i dati relativi all'ubicazione43 hanno un ruolo fondamentale per il corretto funzionamento dell'intera architettura.
D'altra parte essi riguardano sempre una persona fisica, identificata od identificabile e, nella misura in cui consentono di determinarne il posizionamento, finiscono per acquisire anche un valore commerciale non trascurabile.
Per queste ragioni tutte le parti coinvolte, direttamente ed indirettamente, nella fornitura di un servizio a valore aggiunto basato su dati di ubicazione devono attenersi ai principi vigenti in materia di protezione dei dati personali.
Tali principi sono quelli dettati dall'art. 126 del d.lgs. 196/03 44: il primo comma subordina la possibilità del trattamento al fatto che le informazioni abbiano natura anonima oppure al preventivo consenso dell'utente o abbonato 45.
Prima della richiesta del consenso il soggetto che effettua la raccolta dei dati relativi all'ubicazione46 deve trasmettere all'interessato una informativa chiara, completa ed esaustiva su:1. tipologia di dati trattati2. finalità e durata del trattamento3. eventuale trasmissione dei dati a terzi fornitori di servizi a valore aggiunto4. identità del titolare, responsabile ed eventuale rappresentante5. diritti degli interessati previsti dall'art. 7, compreso il diritto di revocare il
proprio consenso in qualsiasi momento, e quello di richiedere, gratuitamente ed in modo agevole, l'interruzione temporanea del trattamento per ciascun collegamento alla rete o trasmissione di comunicazioni
Il consenso deve essere manifestato specificamente47 e devono essere adottate misure adeguate per accertare che la volontà sia espressa dalla persona cui effettivamente si riferiscono i dati.
Esso può comunque riguardare una singola operazione specifica oppure un trattamento su base continuativa.
Con riferimento a quest'ultima eventualità il gruppo di lavoro dell'art. 29 48 ha formulato alcune raccomandazioni, ritenendo che il fornitore dei servizi a
43 La definizione si ricava dall'art. 4, comma 2, lett. i) del codice della privacy, in appendice normativa44 In appendice normativa45 Anche se la norma non è molto chiara al riguardo si ritiene che il consenso debba essere quello della
persona cui si riferiscono i dati di ubicazione, cioè in pratica dell'utilizzatore dell'apparecchiatura terminale; Vedi il parere del 25 novembre 2005, adottato dal gruppo di lavoro dell'art. 29 e relativo all'uso dei dati di ubicazione al fine di fornire servizi a valore aggiunto, disponibile all'indirizzo http://www.europa.eu.int/comm/justice_home/fsj/privacy/docs/wpdocs/2005/wp115_it.pdf
46 Si tratta del fornitore dei servizi a valore aggiunto oppure, nel caso in cui il fornitore non sia in contatto diretta con l'interessato, l'operatore delle comunicazione elettroniche
47 Deve, perciò, escludersi che un valido consenso possa essere formulato in sede di accettazione delle condizioni generali del servizio di comunicazione elettronica
48 Cfr. parere del 25 novembre 2005, cit.
Pag. 26
La tutela della privacy nelle attività di marketing e promozionali
valore aggiunto debba:• confermare l'iscrizione al servizio inviando un messaggio al termi
nale dell'utente, dopo aver ricevuto il consenso, oppure chiedere conferma esplicita dell'iscrizione• comunicare, periodicamente, all'interessato la circostanza che il
suo terminale costituisce oggetto di localizzazione.Le caratteristiche dei dati trattati obbligano, inoltre, ad adottare misure di
sicurezza specifiche, sia dal punto di vista della conservazione, che per quanto concerne l'accesso.
La conservazione non può infatti estendersi oltre il termine per la fornitura del servizio: una volta che quest'ultimo è cessato i dati vanno cancellati, a meno che non siano necessari ai fini della fatturazione, oppure resi anonimi.
Sull'ultimo punto, invece, si pronuncia il comma 4 dell'art 126: l'accesso è consentito, previa identificazione e registrazione, alle sole persone che operano sotto l'autorità del soggetto fornitore del servizio, nella misura e per il tempo necessari.
Pag. 27
La tutela della privacy nelle attività di marketing e promozionali
Appendice normativaDecreto Legislativo 30 giugno 2003, n. 196 (Codice della privacy)
Art. 3 – Principio di necessità nel trattamento dei dati
Art. 4 – Definizioni1. Ai fini del presente codice si intende per:a) "trattamento", qualunque operazione o complesso di operazioni, effet
tuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati;
b) "dato personale", qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;
c) "dati identificativi", i dati personali che permettono l'identificazione diretta dell'interessato;
d) "dati sensibili", i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati,associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale;
e) "dati giudiziari", i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale;
f) "titolare", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza;
g) "responsabile", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali;
h) "incaricati", le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile;
Pag. 29
La tutela della privacy nelle attività di marketing e promozionali
i) "interessato", la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali;
l) "comunicazione", il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;
m) "diffusione", il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;
n) "dato anonimo", il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile;
o) "blocco", la conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento;
p) "banca di dati", qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti;
q) "Garante", l'autorità di cui all'articolo 153, istituita dalla legge 31 dicembre 1996, n 675.
2. Ai fini del presente codice si intende, inoltre, per:a) "comunicazione elettronica", ogni informazione scambiata o tra
smessa tra un numero finito di soggetti tramite un servizio di comunicazione elettronica accessibile al pubblico.
Sono escluse le informazioni trasmesse al pubblico tramite una rete di comunicazione elettronica, come parte di un servizio di radiodiffusione, salvo che le stesse informazioni siano collegate ad un abbonato o utente ricevente, identificato o identificabile;
b) "chiamata", la connessione istituita da un servizio telefonico accessibile al pubblico, che consente la comunicazione bidirezionale in tempo reale;
c) "reti di comunicazione elettronica", i sistemi di trasmissione, le apparecchiature di commutazione o di instradamento e altre risorse che consentono di trasmettere segnali via cavo, via radio, a mezzo di fibre ottiche o con altri mezzi elettromagnetici, incluse le reti satellitari, le reti terrestri mobili e fisse a commutazione di circuito e a commutazione di pacchetto, compresa Internet, le reti utilizzate per la diffusione circolare dei programmi sonori e televisivi, i sistemi per il trasporto della corrente elettrica, nella misura in cui sono utilizzati per trasmettere i segnali, le reti televisive via cavo, indipendentemente dal tipo di informazione trasportato;
d) "rete pubblica di comunicazioni", una rete di comunicazioni elettroniche utilizzata interamente o prevalentemente per fornire servizi di comunicazione elettronica accessibili al pubblico;
Pag. 30
La tutela della privacy nelle attività di marketing e promozionali
e) "servizio di comunicazione elettronica", i servizi consistenti esclusivamente o prevalentemente nella trasmissione di segnali su reti di comunicazioni elettroniche, compresi i servizi di telecomunicazioni e i servizi di trasmissione nelle reti utilizzate per la diffusione circolare radiotelevisiva, nei limiti previsti dall'articolo 2, lettera c), della direttiva 2002/21/CE del Parlamento europeo e del Consiglio, del 7marzo 2002;
f) "abbonato", qualunque persona fisica, persona giuridica, ente o associazione parte di un contratto con un fornitore di servizi di comunicazione elettronica accessibili al pubblico per la fornitura di tali servizi, o comunque destinatario di tali servizi tramite schede prepagate;
g) "utente", qualsiasi persona fisica che utilizza un servizio di comunicazione elettronica accessibile al pubblico, per motivi privati o commerciali, senza esservi necessariamente abbonata;
h) "dati relativi al traffico", qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione;
i) "dati relativi all'ubicazione", ogni dato trattato in una rete di comunicazione elettronica che indica la posizione geografica dell'apparecchiatura terminale dell'utente di un servizio di comunicazione elettronica accessibile al pubblico;
l) "servizio a valore aggiunto", il servizio che richiede il trattamento dei dati relativi al traffico o dei dati relativi all'ubicazione diversi dai dati relativi al traffico, oltre a quanto è necessario per la trasmissione di una comunicazione o della relativa fatturazione;
m) "posta elettronica", messaggi contenenti testi, voci, suoni o immagini trasmessi attraverso una rete pubblica di comunicazione, che possono essere archiviati in rete o nell'apparecchiatura terminale ricevente, fino a che il ricevente non ne ha preso conoscenza.
3. Ai fini del presente codice si intende, altresì, per:a) "misure minime", il complesso delle misure tecniche, informati
che, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti nell'articolo 31;
b) "strumenti elettronici", gli elaboratori, i programmi per elaboratori e qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento;
c) "autenticazione informatica", l'insieme degli strumenti elettronici e delle procedure per la verifica anche indiretta dell'identità;
d) "credenziali di autenticazione", i dati ed i dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati,
Pag. 31
La tutela della privacy nelle attività di marketing e promozionali
utilizzati per l'autenticazione informatica;e) "parola chiave", componente di una credenziale di autenticazione
associata ad una persona ed a questa nota, costituita da una sequenza di caratteri o altri dati in forma elettronica;
f) "profilo di autorizzazione", l'insieme delle informazioni, univocamente associate ad una persona, che consente di individuare a quali dati essa può accedere, nonché i trattamenti ad essa consentiti;
g) "sistema di autorizzazione", l'insieme degli strumenti e delle procedure che abilitano l'accesso ai dati e alle modalità di trattamento degli stessi, in funzione del profilo di autorizzazione del richiedente.
3. Ai fini del presente codice si intende, altresì, per:a) "misure minime", il complesso delle misure tecniche, informati
che, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti nell'articolo 31;
b) "strumenti elettronici", gli elaboratori, i programmi per elaboratori e qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento;
c) "autenticazione informatica", l'insieme degli strumenti elettronici e delle procedure per la verifica anche indiretta dell'identità;
d) "credenziali di autenticazione", i dati ed i dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per l'autenticazione informatica;
e) "parola chiave", componente di una credenziale di autenticazione associata ad una persona ed a questa nota, costituita da una sequenza di caratteri o altri dati in forma elettronica;
f) "profilo di autorizzazione", l'insieme delle informazioni, univocamente associate ad una persona, che consente di individuare a quali dati essa può accedere, nonché i trattamenti ad essa consentiti;
g) "sistema di autorizzazione", l'insieme degli strumenti e delle procedure che abilitano l'accesso ai dati e alle modalità di trattamento degli stessi, in funzione del profilo di autorizzazione del richiedente.
4. Ai fini del presente codice si intende per:a) "scopi storici", le finalità di studio, indagine, ricerca e documentazione
di figure, fatti e circostanze del passato;b) "scopi statistici", le finalità di indagine statistica o di produzione
di risultati statistici, anche a mezzo di sistemi informativi statistici;
Pag. 32
La tutela della privacy nelle attività di marketing e promozionali
c) "scopi scientifici", le finalità di studio e di indagine sistematica finalizzata allo sviluppo delle conoscenze scientifiche in uno specifico settore.
Art. 7 – Diritto di accesso ai dati personali ed altri diritti1. L'interessato ha diritto di ottenere la conferma dell'esistenza o meno
di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile.
2. L'interessato ha diritto di ottenere l'indicazione:a) dell'origine dei dati personali;b) delle finalità e modalità del trattamento;c) della logica applicata in caso di trattamento effettuato con l'ausi
lio di strumenti elettronici;d) degli estremi identificativi del titolare, dei responsabili e del rappresen
tante designato ai sensi dell'articolo 5, comma 2;e) dei soggetti o delle categorie di soggetti ai quali i dati personali
possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati.
3. L'interessato ha diritto di ottenere:a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'inte
grazione dei dati;b) la cancellazione, la trasformazione in forma anonima o il blocco
dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;
c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.
4. L'interessato ha diritto di opporsi, in tutto o in parte:a) per motivi legittimi al trattamento dei dati personali che lo ri
guardano, ancorché pertinenti allo scopo della raccolta;b) al trattamento di dati personali che lo riguardano a fini di invio di mate
riale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.
Pag. 33
La tutela della privacy nelle attività di marketing e promozionali
Art. 8 – Esercizio dei diritti1. I diritti di cui all'articolo 7 sono esercitati con richiesta rivolta senza
formalità al titolare o al responsabile, anche per il tramite di un incaricato, alla quale è fornito idoneo riscontro senza ritardo.
2. I diritti di cui all'articolo 7 non possono essere esercitati con richiesta al titolare o al responsabile o con ricorso ai sensi dell'articolo 145, se i trattamenti di dati personali sono effettuati:
a) in base alle disposizioni del decreto-legge 3 maggio 1991, n. 143, convertito, con modificazioni, dalla legge 5 luglio 1991, n. 197, e successive modificazioni, in materia di riciclaggio;
b) in base alle disposizioni del decreto-legge 31 dicembre 1991, n. 419, convertito, con modificazioni, dalla legge 18 febbraio 1992, n. 172, e successive modificazioni, in materia di sostegno alle vittime di richieste estorsive;
c) da Commissioni parlamentari d'inchiesta istituite ai sensi dell'articolo 82 della Costituzione;
d) da un soggetto pubblico, diverso dagli enti pubblici economici, in base ad espressa disposizione di legge, per esclusive finalità inerenti alla politica monetaria e valutaria, al sistema dei pagamenti, al controllo degli intermediari e dei mercati creditizi e finanziari, nonché alla tutela della loro stabilità;
e) ai sensi dell'articolo 24, comma 1, lettera f), limitatamente al periodo durante il quale potrebbe derivarne un pregiudizio effettivo e concreto per lo svolgimento delle investigazioni difensive o per l'esercizio del diritto in sede giudiziaria;
f) da fornitori di servizi di comunicazione elettronica accessibili al pubblico relativamente a comunicazioni telefoniche in entrata, salvo che possa derivarne un pregiudizio effettivo e concreto per lo svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397;
g) per ragioni di giustizia, presso uffici giudiziari di ogni ordine e grado o il Consiglio superiore della magistratura o altri organi di autogoverno o il Ministero della giustizia;
h) ai sensi dell'articolo 53, fermo restando quanto previsto dalla legge 1 aprile 1981, n. 121.
3. Il Garante, anche su segnalazione dell'interessato, nei casi di cui al comma 2, lettere a), b), d), e) ed f) provvede nei modi di cui agli articoli 157, 158 e 159 e, nei casi di cui alle lettere c), g) ed h) del medesimo comma, provvede nei modi di cui all'articolo 160.
4. L'esercizio dei diritti di cui all'articolo 7, quando non riguarda dati di carattere oggettivo, può avere luogo salvo che concerna la rettificazione o
Pag. 34
La tutela della privacy nelle attività di marketing e promozionali
l'integrazione di dati personali di tipo valutativo, relativi a giudizi, opinioni o ad altri apprezzamenti di tipo soggettivo, nonché l'indicazione di condotte da tenersi o di decisioni in via di assunzione da parte del titolare del trattamento.
Art. 9 – Modalità di esercizio1. La richiesta rivolta al titolare o al responsabile può essere trasmessa
anche mediante lettera raccomandata, telefax o posta elettronica. Il Garante può individuare altro idoneo sistema in riferimento a nuove soluzioni tecnologiche. Quando riguarda l'esercizio dei diritti di cui all'articolo 7, commi 1 e 2, la richiesta può essere formulata anche oralmente e in tal caso è annotata sinteticamente a cura dell'incaricato o del responsabile.
2. Nell'esercizio dei diritti di cui all'articolo 7 l'interessato può conferire, per iscritto, delega o procura a persone fisiche, enti, associazioni od organismi. L'interessato può, altresì, farsi assistere da una persona di fiducia.
3. I diritti di cui all'articolo 7 riferiti a dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell'interessato o per ragioni familiari meritevoli di protezione.
4. L'identità dell'interessato è verificata sulla base di idonei elementi di valutazione, anche mediante atti o documenti disponibili o esibizione o allegazione di copia di un documento di riconoscimento. La persona che agisce per conto dell'interessato esibisce o allega copia della procura, ovvero della delega sottoscritta in presenza di un incaricato o sottoscritta e presentata unitamente a copia fotostatica non autenticata di un documento di riconoscimento dell'interessato. Se l'interessato è una persona giuridica, un ente o un'associazione, la richiesta è avanzata dalla persona fisica legittimata in base ai rispettivi statuti od ordinamenti.
5. La richiesta di cui all'articolo 7, commi 1 e 2, è formulata liberamente e senza costrizioni e può essere rinnovata, salva l'esistenza di giustificati motivi, con intervallo non minore di novanta giorni.
Art. 10 – Riscontro all'interessato1. Per garantire l'effettivo esercizio dei diritti di cui all'articolo 7 il
titolare del trattamento è tenuto ad adottare idonee misure volte, in particolare:
a) ad agevolare l'accesso ai dati personali da parte dell'interessato, anche attraverso l'impiego di appositi programmi per elaboratore finalizzati ad un'accurata selezione dei dati che riguardano singoli interessati identificati o identificabili;
b) a semplificare le modalità e a ridurre i tempi per il riscontro al richiedente, anche nell'ambito di uffici o servizi preposti alle relazioni con il
Pag. 35
La tutela della privacy nelle attività di marketing e promozionali
pubblico.2. I dati sono estratti a cura del responsabile o degli incaricati e posso
no essere comunicati al richiedente anche oralmente, ovvero offerti in visione mediante strumenti elettronici, sempre che in tali casi la comprensione dei dati sia agevole, considerata anche la qualità e la quantità delle informazioni. Se vi è richiesta, si provvede alla trasposizione dei dati su supporto cartaceo o informatico, ovvero alla loro trasmissione per via telematica.
3. Salvo che la richiesta sia riferita ad un particolare trattamento o a specifici dati personali o categorie di dati personali, il riscontro all'interessato comprende tutti i dati personali che riguardano l'interessato comunque trattati dal titolare. Se la richiesta è rivolta ad un esercente una professione sanitaria o ad un organismo sanitario si osserva la disposizione di cui all'articolo 84, comma 1.
4. Quando l'estrazione dei dati risulta particolarmente difficoltosa il riscontro alla richiesta dell'interessato può avvenire anche attraverso l'esibizione o la consegna in copia di atti e documenti contenenti i dati personali richiesti.
5. Il diritto di ottenere la comunicazione in forma intelligibile dei dati non riguarda dati personali relativi a terzi, salvo che la scomposizione dei dati trattati o la privazione di alcuni elementi renda incomprensibili i dati personali relativi all'interessato.
6. La comunicazione dei dati è effettuata in forma intelligibile anche attraverso l'utilizzo di una grafia comprensibile. In caso di comunicazione di codici o sigle sono forniti, anche mediante gli incaricati, i parametri per la comprensione del relativo significato.
7. Quando, a seguito della richiesta di cui all'articolo 7, commi 1 e 2, lettere a), b) e c) non risulta confermata l'esistenza di dati che riguardano l'interessato, può essere chiesto un contributo spese non eccedente i costi effettivamente sopportati per la ricerca effettuata nel caso specifico.
8. Il contributo di cui al comma 7 non può comunque superare l'importo determinato dal Garante con provvedimento di carattere generale, che può individuarlo forfettariamente in relazione al caso in cui i dati sono trattati con strumenti elettronici e la risposta è fornita oralmente. Con il medesimo provvedimento il Garante può prevedere che il contributo possa essere chiesto quando i dati personali figurano su uno speciale supporto del quale è richiesta specificamente la riproduzione, oppure quando, presso uno o più titolari, si determina un notevole impiego di mezzi in relazione alla complessità o all'entità delle richieste ed è confermata l'esistenza di dati che riguardano l'interessato.
9. Il contributo di cui ai commi 7 e 8 è corrisposto anche mediante versamento postale o bancario, ovvero mediante carta di pagamento o di
Pag. 36
La tutela della privacy nelle attività di marketing e promozionali
credito, ove possibile all'atto della ricezione del riscontro e comunque non oltre quindici giorni da tale riscontro.
Art. 11 – Modalità del trattamento e requisiti dei dati1. I dati personali oggetto di trattamento sono:a) trattati in modo lecito e secondo correttezza;b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed
utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi;
c) esatti e, se necessario, aggiornati;d) pertinenti, completi e non eccedenti rispetto alle finalità per le
quali sono raccolti o successivamente trattati;e) conservati in una forma che consenta l'identificazione dell'interessato
per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.
2. I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati.
Art. 13 – Informativa1. L'interessato o la persona presso la quale sono raccolti i dati
personali sono previamente informati oralmente o per iscritto circa:a) le finalità e le modalità del trattamento cui sono destinati i dati;b) la natura obbligatoria o facoltativa del conferimento dei dati;c) le conseguenze di un eventuale rifiuto di rispondere;d) i soggetti o le categorie di soggetti ai quali i dati personali possono es
sere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi;
e) i diritti di cui all'articolo 7;f) gli estremi identificativi del titolare e, se designati, del rappresentante
nel territorio dello Stato ai sensi dell'articolo 5 e del responsabile. Quando il titolare ha designato più responsabili è indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l'elenco aggiornato dei responsabili. Quando è stato designato un responsabile per il riscontro all'interessato in caso di esercizio dei diritti di cui all'articolo 7, è indicato tale responsabile.
2. L'informativa di cui al comma 1 contiene anche gli elementi previsti da specifiche disposizioni del presente codice e può non comprendere gli elementi già noti alla persona che fornisce i dati o la cui conoscenza può ostacolare in concreto l'espletamento, da parte di un soggetto pubblico, di funzioni
Pag. 37
La tutela della privacy nelle attività di marketing e promozionali
ispettive o di controllo svolte per finalità di difesa o sicurezza dello Stato oppure di prevenzione, accertamento o repressione di reati.
3. Il Garante può individuare con proprio provvedimento modalità semplificate per l'informativa fornita in particolare da servizi telefonici di assistenza e informazione al pubblico.
4. Se i dati personali non sono raccolti presso l'interessato, l'informativa di cui al comma 1, comprensiva delle categorie di dati trattati, è data al medesimo interessato all'atto della registrazione dei dati o, quando è prevista la loro comunicazione, non oltre la prima comunicazione.
5. La disposizione di cui al comma 4 non si applica quando:a) i dati sono trattati in base ad un obbligo previsto dalla legge, da un re
golamento o dalla normativa comunitaria;b) i dati sono trattati ai fini dello svolgimento delle investigazioni
difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento;
c) l'informativa all'interessato comporta un impiego di mezzi che il Garante, prescrivendo eventuali misure appropriate, dichiari manifestamente sproporzionati rispetto al diritto tutelato, ovvero si riveli, a giudizio del Garante, impossibile.
Art. 23 – Consenso1. Il trattamento di dati personali da parte di privati o di enti pubblici eco
nomici è ammesso solo con il consenso espresso dell'interessato.2. Il consenso può riguardare l'intero trattamento ovvero una o più opera
zioni dello stesso.3. Il consenso è validamente prestato solo se è espresso libera
mente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all'interessato le informazioni di cui all'articolo 13.
4. Il consenso è manifestato in forma scritta quando il trattamento riguarda dati sensibili.
Art. 24 – Casi nei quali può essere effettuato il trattamento senza consenso
1. Il consenso non è richiesto, oltre che nei casi previsti nella Parte II, quando il trattamento:
Pag. 38
La tutela della privacy nelle attività di marketing e promozionali
a) è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria;
b) è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato;
c) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati;
d) riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della vigente normativa in materia di segreto aziendale e industriale;
e) è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo. Se la medesima finalità riguarda l'interessato e quest'ultimo non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di volere, il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l'interessato. Si applica la disposizione di cui all'articolo 82, comma 2;
f) con esclusione della diffusione, è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento, nel rispetto della vigente normativa in materia di segreto aziendale e industriale;
g) con esclusione della diffusione, è necessario, nei casi individuati dal Garante sulla base dei principi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, anche in riferimento all'attività di gruppi bancari e di società controllate o collegate, qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell'interessato;
h) con esclusione della comunicazione all'esterno e della diffusione, è effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, in riferimento a soggetti che hanno con essi contatti regolari o ad aderenti, per il perseguimento di scopi determinati e legittimi individuati dall'atto costitutivo, dallo statuto o dal contratto collettivo, e con modalità di utilizzo previste espressamente con determinazione resa nota agli interessati all'atto dell'informativa ai sensi dell'articolo 13;
i) è necessario, in conformità ai rispettivi codici di deontologia di cui all'allegato A), per esclusivi scopi scientifici o statistici, ovvero per esclusivi
Pag. 39
La tutela della privacy nelle attività di marketing e promozionali
scopi storici presso archivi privati dichiarati di notevole interesse storico ai sensi dell'articolo 6, comma 2, del decreto legislativo 29 ottobre 1999, n. 490, di approvazione del testo unico in materia di beni culturali e ambientali o, secondo quanto previsto dai medesimi codici, presso altri archivi privati.
Art. 37 – Notificazione del trattamento1. Il titolare notifica al Garante il trattamento di dati personali cui inten
de procedere, solo se il trattamento riguarda:a) dati genetici, biometrici o dati che indicano la posizione geografica di
persone od oggetti mediante una rete di comunicazione elettronica;b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini
di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria;
c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale;
d) dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti;
e) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie;
f) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.
1-bis. La notificazione relativa al trattamento dei dati di cui al comma 1 non è dovuta se relativa all'attività dei medici di famiglia e dei pediatri di libera scelta, in quanto tale funzione è tipica del loro rapporto professionale con il Servizio sanitario nazionale.
2. Il Garante può individuare altri trattamenti suscettibili di recare pregiudizio ai diritti e alle libertà dell'interessato, in ragione delle relative modalità o della natura dei dati personali, con proprio provvedimento adottato anche ai sensi dell'articolo 17. Con analogo provvedimento pubblicato sulla Gazzetta Ufficiale della Repubblica italiana il Garante può anche individuare, nell'ambito dei trattamenti di cui al comma 1,
Pag. 40
La tutela della privacy nelle attività di marketing e promozionali
eventuali trattamenti non suscettibili di recare detto pregiudizio e pertanto sottratti all'obbligo di notificazione.
3. La notificazione è effettuata con unico atto anche quando il trattamento comporta il trasferimento all'estero dei dati.
4. Il Garante inserisce le notificazioni ricevute in un registro dei trattamenti accessibile a chiunque e determina le modalità per la sua consultazione gratuita per via telematica, anche mediante convenzioni con soggetti pubblici o presso il proprio Ufficio. Le notizie accessibili tramite la consultazione del registro possono essere trattate per esclusive finalità di applicazione della disciplina in materia di protezione dei dati personali.
Art. 126 – Dati relativi all'ubicazione1. I dati relativi all'ubicazione diversi dai dati relativi al traffico, riferiti agli
utenti o agli abbonati di reti pubbliche di comunicazione o di servizi di comunicazione elettronica accessibili al pubblico, possono essere trattati solo se anonimi o se l'utente o l'abbonato ha manifestato previamente il proprio consenso, revocabile in ogni momento, e nella misura e per la durata necessari per la fornitura del servizio a valore aggiunto richiesto.
2. Il fornitore del servizio, prima di richiedere il consenso, informa gli utenti e gli abbonati sulla natura dei dati relativi all'ubicazione diversi dai dati relativi al traffico che saranno sottoposti al trattamento, sugli scopi e sulla durata di quest'ultimo, nonché sull'eventualità che i dati siano trasmessi ad un terzo per la prestazione del servizio a valore aggiunto.
3. L'utente e l'abbonato che manifestano il proprio consenso al trattamento dei dati relativi all'ubicazione, diversi dai dati relativi al traffico, conservano il diritto di richiedere, gratuitamente e mediante una funzione semplice, l'interruzione temporanea del trattamento di tali dati per ciascun collegamento alla rete o per ciascuna trasmissione di comunicazioni.
4. Il trattamento dei dati relativi all'ubicazione diversi dai dati relativi al traffico, ai sensi dei commi 1, 2 e 3, è consentito unicamente ad incaricati del trattamento che operano ai sensi dell'articolo 30, sono la diretta autorità del fornitore del servizio di comunicazione elettronica accessibile al pubblico o, a seconda dei casi, del fornitore della rete pubblica di comunicazioni o del terzo che fornisce il servizio a valore aggiunto. Il trattamento è limitato a quanto è strettamente necessario per la fornitura del servizio a valore aggiunto e deve assicurare l'identificazione dell'incaricato che accede ai dati anche mediante un'operazione di interrogazione automatizzata.
Pag. 41
La tutela della privacy nelle attività di marketing e promozionali
Art. 129 – Elenchi di abbonati1. Il Garante individua con proprio provvedimento, in cooperazione con
l'Autorità per le garanzie nelle comunicazioni ai sensi dell'articolo 154, comma 3, e in conformità alla normativa comunitaria, le modalità di inserimento e di successivo utilizzo dei dati personali relativi agli abbonati negli elenchi cartacei o elettronici a disposizione del pubblico, anche in riferimento ai dati già raccolti prima della data di entrata in vigore del presente codice.
2. Il provvedimento di cui al comma 1 individua idonee modalità per la manifestazione del consenso all 'inclusione negli elenchi e, rispettivamente, all'utilizzo dei dati per le finalità di cui all'articolo 7, comma 4, lettera b), in base al principio della massima semplificazione delle modalità di inclusione negli elenchi a fini di mera ricerca dell'abbonato per comunicazioni interpersonali, e del consenso specifico ed espresso qualora il trattamento esuli da tal i fini, nonché in tema di verifica, rettifica o cancellazione dei dati senza oneri.
Art. 130 – Comunicazioni indesiderate 1. L'uso di sistemi automatizzati di chiamata senza l'intervento di un
operatore per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso dell'interessato.
2. La disposizione di cui al comma 1 si applica anche alle comunicazioni elettroniche, effettuate per le finalità ivi indicate, mediante posta elettronica, telefax, messaggi del tipo Mms (Multimedia Messaging Service) o Sms (Short Message Service) o di altro tipo.
3. Fuori dei casi di cui ai commi 1 e 2, ulteriori comunicazioni per le finalità di cui ai medesimi commi effettuate con mezzi diversi da quelli ivi indicati, sono consentite ai sensi degli articoli 23 e 24.
4. Fatto salvo quanto previsto nel comma 1, se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall'interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell'interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l'interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. L'interessato, al momento della raccolta e in occasione dell'invio di ogni comunicazione effettuata per le finalità di cui al presente comma, è informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente.
5. É vietato in ogni caso l'invio di comunicazioni per le finalità di cui al comma 1 o, comunque, a scopo promozionale, effettuato camuffando o celando l'identità del mittente o senza fornire un idoneo recapito presso il
Pag. 42
La tutela della privacy nelle attività di marketing e promozionali
quale l'interessato possa esercitare i diritti di cui all'articolo 7.6. In caso di reiterata violazione delle disposizioni di cui al presen
te articolo il Garante può, provvedendo ai sensi dell'articolo 143, comma 1, lettera b), altresì prescrivere a fornitori di servizi di comunicazione elettronica di adottare procedure di filtraggio o altre misure praticabili relativamente alle coordinate di posta elettronica da cui sono stati inviate le comunicazioni.
Art. 161 – Omessa o inidonea informativa all'interessato1. La violazione delle disposizioni di cui all'articolo 13 è punita con la san
zione amministrativa del pagamento di una somma da tremila euro a diciottomila euro o, nei casi di dati sensibili o giudiziari o di trattamenti che presentano rischi specifici ai sensi dell'articolo 17 o, comunque, di maggiore rilevanza del pregiudizio per uno o più interessati, da cinquemila euro a trentamila euro. La somma può essere aumentata sino al triplo quando risulta inefficace in ragione delle condizioni economiche del contravventore.
Pag. 43
La tutela della privacy nelle attività di marketing e promozionali
Decreto legislativo 6 settembre 2005, n. 206 (Codice del consumo)
Art. 58 – Limiti all'impiego di talune tecniche di comunicazione a distanza1. L'impiego da parte di un professionista del telefono, della posta elet
tronica, di sistemi automatizzati di chiamata senza l'intervento di un operatore o di fax richiede il consenso preventivo del consumatore.
2. Tecniche di comunicazione a distanza diverse da quelle di cui al comma 1, qualora consentano una comunicazione individuale, possono essere impiegate dal professionista se il consumatore non si dichiara esplicitamente contrario 49.
49 Secondo l'art. 19-bis della legge 23 febbraio 2006, n. 51, di conversione del decreto legge 30 dicembre 2005, n. 273, il comma 2 dell'art. 58 del codice del consumo trova applicazione anche in deroga alle disposizioni del codice della privacy.
Pag. 44
La tutela della privacy nelle attività di marketing e promozionali
Autorità garante della privacy
Provvedimento generale del 29 maggio 2003, Spamming: regole per un corretto invio delle e-mail pubblicitarie
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALINella riunione odierna, in presenza del prof. Stefano Rodotà, presidente,
del prof. Giuseppe Santaniello, vice-presidente, del prof. Gaetano Rasi e del dr. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;
VISTI i reclami e le segnalazioni pervenuti all’Autorità circa l’indebito utilizzo della posta elettronica per finalità promozionali e pubblicitarie;
VISTE le decisioni già adottate dal Garante in materia e ritenuto necessario adottare un provvedimento di carattere generale sull’applicazione della disciplina in materia;
VISTI la legge 31 dicembre 1996, n. 675, il d.lg. 13 maggio 1998, n. 171 e le altre disposizioni applicabili;
VISTI gli atti d’ufficio;VISTE le osservazioni formulate dal segretario generale ai sensi del’art.
15 del regolamento del Garante n. 1/2000;RELATORE il dott. Mauro Paissan;
PREMESSO1. I DISAGI DI NUMEROSI UTENTI
Continuano a pervenire a questa Autorità diverse centinaia di reclami e segnalazioni da parte di utenti di reti telematiche e di associazioni per la tutela dei diritti di utenti e consumatori, che contestano la ricezione di messaggi di posta elettronica per scopi promozionali, pubblicitari, di informazione commerciale o di vendita diretta, inviati senza che gli interessati abbiano manifestato in precedenza il proprio consenso informato.
Numerosi interessati espongono anche ulteriori disagi derivanti dalla costante ripetizione di analoghi messaggi da parte di uno stesso mittente titolare del trattamento, dai vani tentativi esperiti per ottenere sia la cancellazione del proprio indirizzo di posta elettronica presso i mittenti, sia l’interruzione di altri messaggi. Altre segnalazioni riguardano gli inconvenienti che derivano dalla ricezione di e-mail anonime o prive dell’indicazione di un indirizzo, oppure delle coordinate veritiere di un reale mittente.
Nella prevalenza dei casi, agli interessati non è stato previamente richiesto, come dovuto, uno specifico consenso preceduto da un’idonea informativa che illustri adeguatamente le modalità e le caratteristiche dei messaggi.
Pag. 45
La tutela della privacy nelle attività di marketing e promozionali
In altri casi i messaggi sono inviati da imprese -anche in questo caso senza consenso- per promuovere, presso clienti, prodotti o servizi analoghi a quelli forniti in un rapporto contrattuale, oppure per offrire altri tipi di prodotti o servizi distribuiti anche da terzi.
Il Garante ha fornito assistenza a numerosi cittadini, indicando le opportune modalità di tutela; ha poi attivamente cooperato in sede comunitaria per l’adozione di decisioni comuni alle autorità di garanzia dei Paesi dell’Unione europea, pubblicate nel sito Internet di quest’ultima e in quello del Garante (www.garanteprivacy.it).
L’Autorità ha anche accolto numerosi ricorsi (art. 29 legge n. 675/1996), a seguito dei quali sono stati impartiti specifici divieti di trattamento dei dati. Sono stati altresì avviati i procedimenti per applicare le pertinenti sanzioni amministrative e sono stati trasmessi gli atti all’autorità giudiziaria penale nei casi in cui erano configurabili reati.
Con la collaborazione di forze di polizia, incaricate da questa Autorità di svolgere i necessari controlli e di dare esecuzione ai provvedimenti, sono stati eseguiti in loco, presso fornitori di servizi ed altri titolari di trattamento, vari provvedimenti di sospensione temporanea di ogni operazione illecita del trattamento dei dati personali da parte di società risultate responsabili di attività svolte in modo sistematico. Infine, sono stati eseguiti accertamenti presso altri fornitori di servizi di accesso ad Internet o ulteriori soggetti, per verificare la rispondenza dei trattamenti di dati alla normativa vigente.
A conclusione di queste attività, il Garante ravvisa la necessità di adottare un provvedimento di carattere generale per indicare le misure che gli operatori del settore devono adottare al fine di conformarsi alla disciplina generale sull’uso dei dati personali, specie nel settore delle comunicazioni (in particolare, alla legge 31 dicembre 1996, n. 675, al decreto legislativo 13 maggio 1998, n. 171 e al decreto legislativo 22 maggio 1999, n. 185). L’Autorità ritiene inoltre necessario inibire il trattamento illecito di dati risultante da altre segnalazioni il cui esame è stato riunito in un unico procedimento, in particolare di quelle relative a titolari di trattamento identificabili.2. INVIO LECITO DI POSTA ELETTRONICA PUBBLICITARIA
Gli indirizzi di posta elettronica recano dati di carattere personale da trattare nel rispetto della normativa in materia (art. 1, comma 1 lett. c), legge n. 675).
La loro utilizzazione per scopi promozionali e pubblicitari è possibile solo se il soggetto cui riferiscono i dati ha manifestato in precedenza un consenso libero, specifico e informato.
Il consenso è necessario anche quando gli indirizzi sono formati ed utilizzati automaticamente con un software senza l’intervento di un operatore, o in mancanza di una previa verifica della loro attuale attivazione o dell’identità del
Pag. 46
La tutela della privacy nelle attività di marketing e promozionali
destinatario del messaggio, e anche quando gli indirizzi non sono registrati dopo l’invio dei messaggi.
Questo assetto, basato su una scelta dell’interessato c.d. di opt-in, è stato ribadito nel 1998 (con il d.lg. n. 171) prima ancora che una recente direttiva comunitaria lo estendesse a tutti i Paesi dell’Unione europea (n. 2002/58/CE in fase di recepimento in Italia, pubblicata sulla G.U.C.E. n. L 201 del 31 luglio 2002).
Questa Autorità si è pronunciata più volte in materia ribadendo che la circostanza che gli indirizzi di posta elettronica possano essere reperiti con una certa facilità in Internet non comporta il diritto di utilizzarli liberamente per inviare messaggi pubblicitari (cfr., ra l’altro, la decisione dell’11 gennaio 2001 - in Bollettino del Garante n. 16).
In particolare, i dati dei singoli utenti che prendono parte a gruppi di discussione in Internet sono resi conoscibili in rete per le sole finalità di partecipazione ad una determinata discussione e non possono essere utilizzati per fini diversi qualora manchi un consenso specifico (art. 9, comma 1, lettere a) e b), legge n. 675).
Ad analoga conclusione deve pervenirsi per gli indirizzi di posta elettronica compresi nella lista “anagrafica” degli abbonati ad un Internet provider (qualora manchi, anche in questo caso, un consenso libero e specifico), oppure pubblicati su siti web di soggetti pubblici per fini istituzionali.
Tali considerazioni valgono anche con riferimento ai messaggi pubblicitari inviati a gestori di siti web -anche di soggetti privati- utilizzando gli indirizzi pubblicati sugli stessi siti, o che sono reperibili consultando gli elenchi dei soggetti che hanno registrato i nomi a dominio. In quest’ultimo caso, infatti, la conoscibilità in rete degli indirizzi è volta a identificare il soggetto che è o appare responsabile, sul piano tecnico o amministrativo, di un nome a dominio o di altre funzioni rispetto a servizi Internet (per la tutela di vari diritti sul piano civile e penale, anche ai sensi della legge n. 675) e non anche a rendere l’interessato disponibile all’invio di messaggi pubblicitari).
In tutti questi casi, l’utilizzo spesso massivo della posta elettronica comporta una lesione ingiustificata dei diritti dei destinatari, costretti ad impiegare diverso tempo per mantenere un collegamento e per ricevere, come pure per esaminare e selezionare, tra i diversi messaggi ricevuti, quelli attesi o ricevibili, nonché a sostenere i correlativi costi per il collegamento telefonico (incrementati anche da messaggi di dimensioni rilevanti che rallentano tali operazioni), oppure ad adottare “filtri”, a verificare più attentamente la presenza di virus, o a cancellare rapidamente materiali inadatti a minori specie in ambito domestico.
Il fenomeno interessa anche piccole e grandi imprese destinatarie di un elevato numero di messaggi, le quali devono farsi carico di misure interne e di costi anche organizzativi per contrastarlo.
Pag. 47
La tutela della privacy nelle attività di marketing e promozionali
Questo ingiustificato riversamento sugli utenti dei costi pubblicitari si verifica anche relativamente a messaggi inviati da singole persone fisiche che, in vari casi esaminati, non si limitano ad una comunicazione episodica, ma intraprendono una comunicazione sistematica per fini personali o, addirittura, una diffusione di dati cui è applicabile la disciplina in materia di protezione dei dati personali (art. 3 legge n. 675).3. IL QUADRO GIURIDICO SU INFORMATIVA E CONSENSO
La legge individua il contenuto dell’informativa agli interessati, nonché i casi in cui è necessario il consenso espresso dell’interessato o è possibile prescinderne (artt. 10, 11, 12 e 20 legge n. 675).
Al riguardo va nuovamente rilevato che non può farsi a meno del consenso ritenendo che i dati personali relativi all’indirizzo di posta elettronica –e all’indirizzo in particolare- siano “pubblici” in quanto conoscibili da chiunque.
Le disposizioni normative che si riferiscono a questo aspetto (artt. 12, comma 1, lett. c) e 20, comma 1, lett. b) legge cit.) sono infatti applicabili solo quando vi è un pubblico registro, elenco, atto o documento conoscibile da chiunque perché vi è una specifica disciplina che ne impone la conoscibilità indifferenziata da parte del pubblico, e non anche quando i dati personali sono conoscibili da chiunque per mere circostanze di fatto (si pensi, oltre ai casi già richiamati di raccolta su siti web o di messaggi trasmessi su newsgroup o su mailing list, agli indirizzi di posta elettronica raccolti in rete tramite appositi software o mediante comuni motori di ricerca).
Il principio del consenso è quindi già operante nel nostro ordinamento prima ancora di essere affermato senza eccezioni su scala europea, dalla menzionata direttiva n. 2002/58 in fase di recepimento, a tutta la posta elettronica comunque inviata per fini di commercializzazione diretta (si vedano in particolare l’art. 13 e il considerando n. 40).
Il quadro evidenziato trova conferma nella disciplina sulla protezione dei consumatori nei contratti a distanza che, in riferimento al rapporto sottostante ai fini del quale si procede al trattamento di dati personali, vieta ai fornitori l’impiego della posta elettronica in mancanza del consenso preventivo del consumatore, in relazione a determinati scopi tra i quali rientrano anche quelli pubblicitari (art. 10, comma 1, d.lg. 22 maggio 1999, n. 185).
Per gli aspetti relativi alla protezione dei dati personali non devono essere peraltro considerate le disposizioni del recente decreto legislativo 9 aprile 2003, n. 70, sul commercio elettronico, dichiarate in proposito espressamente inapplicabili (art. 1, comma 2, lett. b) d.lg. n. 70 cit.).
Il consenso, da documentare per iscritto, deve essere manifestato liberamente, in modo esplicito e in forma differenziata rispetto alle diverse finalità e alle categorie di servizi e prodotti offerti, prima dell’inoltro dei messaggi (art. 11 legge n. 675).
Pag. 48
La tutela della privacy nelle attività di marketing e promozionali
Tale disciplina non può essere elusa inviando una prima e-mail che, nel chiedere un consenso abbia comunque un contenuto promozionale oppure pubblicitario, oppure riconoscendo solo un diritto di tipo c.d. “opt-out” al fine di non ricevere più messaggi dello tesso tenore.
Al contrario, è opportuna e va incoraggiata la prassi di alcuni fornitori i quali, dopo aver ottenuto realmente un valido consenso dei destinatari, danno semplice conferma della sua manifestazione, attraverso un messaggio volto unicamente ad annunciare il successivo inoltro di materiale pubblicitario. Tale prassi, se utilizzata correttamente, consente tra l’altro di verificare l’effettiva corrispondenza dell’indirizzo di posta elettronica ai soggetti che avevano espresso il consenso, nonché di accertare il permanere di tale volontà.
L’insieme dei diritti riconosciuti dalla legge agli utenti determina, in caso di loro violazione, un trattamento illecito dei dati che:
• è già vietato direttamente dalla legge, senza che sia necessario adottare uno specifico provvedimento interdittivo del Garante dell’autorità giudiziaria;- determina, a seconda dei casi, l’applicazione di sanzioni amministrative pecuniarie, in particolare per• omessa informativa od omessa notificazione (artt. 10, 34 e 39 leg
ge n. 675; art. 12 d.lg. n. 185/1999);• comporta il rimborso delle spese e dei diritti relativi al procedimen
to attivato da un fondato ricorso al Garante, oppure da un’azione dinanzi al giudice civile, come pure il risarcimento dei danni, specie di tipo patrimoniale, che derivino dai fatti illeciti e siano comprovati dall’interessato in relazione ai disagi sopra illustrati;• rende applicabile anche una sanzione penale qualora il trattamen
to illecito dei dati sia effettuato al fine di trarne per sé o per altri un profitto o per arrecare ad altri un danno, con la pena accessoria della pubblicazione della sentenza di condanna (artt. 35e 38 legge n. 675).
4. MESSAGGI PUBBLICITARI A PROPRI CLIENTIPer effetto del recepimento della direttiva 2002/58/CE sarà peraltro pos
sibile integrare, nel prossimo futuro, la disciplina sopra illustrata, permettendo a talune società di far conoscere a propri clienti prodotti o servizi analoghi a quelli per i quali si è già stabilito un rapporto, con i medesimi clienti, di vendita di prodotti o servizi.
In tali casi, la società titolare del trattamento (dopo aver informato preventivamente e adeguatamente il cliente) potrà procedere all’invio del messaggio pubblicitario, offrendo però al cliente, in modo chiaro e distinto (sia al momento della raccolta dei suoi dati, sia in occasione di ciascun messaggio) il diritto di rifiutare sin dall’inizio tale uso dei dati o di obiettare, gratuitamente e in maniera agevole, anche successivamente (art. 13, par. 2, direttiva n.
Pag. 49
La tutela della privacy nelle attività di marketing e promozionali
2002/58/CE cit.)5. MESSAGGI PER CONTO TERZI E ACQUISTO DI BANCHE DATI
In alcuni casi portati all’attenzione del Garante, l’invio di messaggi pubblicitari era stato effettuato, per conto di terzi committenti, da società specializzate che utilizzano indirizzi di posta elettronica contenuti in proprie banche dati.
Tali società, da considerarsi “titolari” o contitolari del trattamento dei dati a seconda del rapporto che si instaura con il committente e delle modalità di concreta utilizzazione dei dati, sono tenute a rispettare le disposizioni in tema di informativa e specifico consenso, anche per quanto riguarda l’eventuale comunicazione di dati personali ai committenti medesimi e le relative finalità.
Ciò comporta un quadro di obblighi e possibili responsabilità anche penali che gli operatori devono verificare con attenzione, anche uando la società specializzata incaricata sia stabilita fuori dell’Unione europea.
Dall’esame dei reclami e delle segnalazioni pervenuti al Garante è risultato, altresì, che alcuni dei soggetti che hanno utilizzato la posta elettronica per l’invio di messaggi pubblicitari avevano acquisito da terzi le banche dati contenenti gli indirizzi dei destinatari. In questi casi, chi acquisisce la banca dati deve accertare che ciascun interessato abbia validamente acconsentito alla comunicazione del proprio indirizzo di posta elettronica ed al suo successivo utilizzo ai fini di invio di materiale pubblicitario; al momento in cui registra i dati deve poi inviare in ogni caso, a tutti gli interessati, un messaggio di informativa che precisi gli elementi indicati nell’art. 10 della legge n. 675, comprensivi di un riferimento di luogo -e non solo di posta elettronica- presso cui l’interessato possa esercitare i diritti riconosciuti dalla legge. 6. DIRITTI DEGLI INTERESSATI
Indipendentemente dal rapporto esistente tra i mittenti ed i destinatari dei messaggi, chi detiene i dati deve assicurare in ogni caso agli interessati la possibilità di far valere in ogni momento i diritti riconosciuti dalla legge, i quali sono spesso esercitati per conoscere da quale fonte sono stati tratti i dati, o per far interrompere gratuitamente la loro ulteriore utilizzazione ai fini commerciali-pubblicitari, oppure per far cancellare i dati trattati in violazione di legge (art. 13, comma 1, lett. e), della legge).
Nel sito Internet del Garante è riportato un modello-tipo per esercitare tali diritti in maniera agevole, gratuitamente e senza particolari formalità, anche verbalmente o mediante posta elettronica, dimostrando la propria identità (art. 17, comma 1, d.P.R. n. 501 del 31 marzo 1998). Tale modello è utilizzabile in luogo di altri reperibili in reti telematiche che non sono pienamente validi in quanto si riferiscono anche ad aspetti non riconosciuti dall’art. 13 della legge n. 675 (ad esempio, chiedono il rilascio di attestazioni o la copia di autorizzazioni non previste).
Pag. 50
La tutela della privacy nelle attività di marketing e promozionali
I diritti vanno esercitati sulla base di tale modello direttamente presso l’indirizzo conoscibile del titolare o del responsabile del trattamento, riservando solo ad un’eventuale momento successivo l’instaurazione di una procedura contenziosa dinanzi al Garante o all’autorità giudiziaria.
Anche ai fini dell’esercizio di tali diritti, deve ritenersi che l’invio anonimo di messaggi pubblicitari senza l’indicazione di un mittente identificabile concreti già oggi un trattamento illecito di dati personali, a prescindere da quanto dispone il citato d.lg. n. 70/2003 sul commercio elettronico (come si è visto, fuori della materia della protezione dei dati personali) e da quanto, in riferimento ai dati personali, sarà previsto con il recepimento della direttiva n. 2002/58/CE (la quale non consente l’invio di messaggi pubblicitari quando l’identità del mittente viene camuffata o addirittura celata e quando non viene fornito un indirizzo valido che consenta al destinatario di richiedere la cessazione delle comunicazioni: art. 13, par. 4, dir. cit.).
I mittenti dei messaggi devono quindi indicare già oggi, in modo chiaro, la fonte di provenienza del messaggio, nonché il soggetto e l’indirizzo –non solo di posta elettronica- presso cui i destinatari possono esercitare i propri diritti (si veda, in proposito, l’art. 10, comma 1, lett. f) della legge n. 675). Appare altresì conforme al principio di correttezza indicare nell’oggetto del messaggio la sua tipologia pubblicitaria-commerciale (art. 9, comma 1, lett. a), legge n. 675). 7. ELENCHI DI POSSIBILI DESTINATARI
L’eventuale elenco predisposto da operatori, contenente i nominativi dei soggetti che non hanno manifestato il consenso o che lo hanno revocato (c.d. black list) non può essere utilizzato per porre a carico degli interessati, anche indirettamente, un onere di iscrizione nell’elenco medesimo.
Come si è illustrato, il consenso ha un connotato autorizzatorio “positivo” in base al quale l’eventuale silenzio dell’interessato omporta il diniego del consenso eventualmente richiesto e non rileva come assenso tacito all’invio dei messaggi.
Consta peraltro che alcuni operatori intendono adottare la diversa prassi di redigere anche tramite siti web appositi elenchi di persone che hanno manifestato il consenso, distinti in base alle diverse categorie di messaggi commerciali-pubblicitari che gli interessati hanno acconsentito a ricevere. Tale prassi, se correttamente seguita, può rappresentare una misura utile, sul piano organizzativo, per garantire un più effettivo rispetto della volontà espressa dai singoli. A tale riguardo, costituirà una pratica utile quella di garantire agli interessati la possibilità di inserire direttamente il proprio nome nelle diverse liste o di cancellarlo dalle stesse, magari attraverso un’apposita pagina web, ferma restando l’esigenza di identificarli. 8. E-MAIL PROVENIENTI DALL’ESTERO
Pag. 51
La tutela della privacy nelle attività di marketing e promozionali
Ad alcuni messaggi, in quanto provenienti dall’estero, non è applicabile la legge italiana sulla protezione dei dati personali.
Ciò non comporta l’assoluta mancanza di rimedi o tutela, potendo l’utente chiedere una verifica da parte della competente autorità nazionale di protezione dei dati personali, ove istituita nel Paese eventualmente individuabile dal messaggio.
In altri casi, come quelli relativi alle leggi degli stati federali, l’invio di messaggi pubblicitari di posta elettronica può essere illecito in base alla legge di alcuni stati, per cui è parimenti possibile, per gli utenti, chiedere alle competenti autorità pubbliche degli stati di valutare la perseguibilità degli illeciti.
Va infine tenuto presente che alcune e-mail indesiderate possono essere lo strumento per commettere reati comuni (ad esempio di truffa) che devono considerarsi commessi nel territorio italiano quando, sebbene l’azione è avvenuta all’estero, l’evento-reato che ne deriva si è verificato in Italia.
Questa Autorità si riserva di valutare la posizione dei singoli fornitori di servizi i cui trattamenti sono stati oggetto di segnalazione, anche alla luce dell’ulteriore documentazione eventualmente pervenuta.
In questo quadro, con separati provvedimenti relativi all’esame dei singoli reclami e segnalazioni, si provvederà, oltre alle eventuali trasmissioni di atti all’autorità giudiziaria penale:
a) a contestare la violazione amministrativa relativa agli obblighi di informativa di cui all’art. 10 della legge 31 dicembre 1966, n. 675;b) ad avviare il procedimento per l’applicazione delle ulteriori sanzioni
amministrative previste dal d.lg. n. 185/1999;TUTTO CIÒ PREMESSO IL GARANTE
1. ai sensi dell’art. 31, comma 1, lett. l) della legge 31 dicembre 1996, n. 675, vieta l’ulteriore trattamento illecito di dati personali realizzato a scopi di invio di materiale pubblicitario o di vendita diretta, ovvero per il compimento di ricerche di mercato o di comunicazione commerciale interattiva, effettuato in violazione delle disposizioni sopra richiamate da parte dei soggetti cui si riferiscono le segnalazioni e i reclami pervenuti;2. ai sensi dell’art. 31, comma 1, lett. c) della legge 31 dicembre
1996, n. 675, segnala ai titolari del trattamento di cui agli atti del procedimento la necessità di conformare i trattamenti di dati personali ai principi richiamati nel presente provvedimento.
Roma, 29 maggio 2003
Pag. 52
La tutela della privacy nelle attività di marketing e promozionali
IL PRESIDENTERodotà
IL RELATOREPaissan
IL SEGRETARIO GENERALEButtarelli
Pag. 53
La tutela della privacy nelle attività di marketing e promozionali
Provvedimento 10 giugno 2003, Sms promozionali o di vendita diretta: le regole per il corretto uso
GARANTE PER LA PROTEZIONE DEI DATI PERSONALINella riunione odierna, in presenza del prof. Stefano Rodotà, presidente,
del prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;
VISTE le segnalazioni di utenti che lamentano la ricezione indesiderata di messaggi Sms su apparecchi di telefonia mobile per scopi pubblicitari, di informazione commerciale o di vendita diretta;
VISTI la legge 31 dicembre 1996, n. 675 e il decreto legislativo 13 maggio 1998, n. 171, e successive modificazioni ed integrazioni;
VISTI gli atti d’ufficio;VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai
sensi dell’art. 15 del regolamento del Garante n. 1/2000;RELATORE il dott. Mauro Paissan;
PREMESSO:1. SEGNALAZIONI E RECLAMI PERVENUTI
Questa Autorità ha ricevuto reclami e segnalazioni da abbonati a servizi di telefonia mobile e detentori di carte telefoniche (compresi enti, associazioni e persone giuridiche), relativi all’invio illecito, su propri apparecchi mobili, di brevi messaggi di testo del tipo Short message service (Sms) per scopi promozionali, pubblicitari, di informazione commerciale o di vendita diretta.
I casi rappresentati riguardano anche messaggi inviati da chi fornisce il servizio di telefonia mobile, su abbonamento o tramite carta telefonica prepagata, ed invia messaggi di vario tipo ai propri clienti, sia di servizio, sia di promozione di prodotti e servizi della stessa o di altre società.
Altri messaggi sono inviati da ulteriori soggetti che raccolgono in modo diverso i numeri telefonici dei destinatari dei messaggi, ad esempio da utenti e consumatori che richiedono un servizio o una newsletter tramite un sito web o che, al di fuori del settore delle comunicazioni, vengono inseriti in apposite banche dati. I numeri telefonici vengono utilizzati per pubblicizzare prodotti e servizi, propri o di terzi, spesso di tipo promozionale, ma in taluni casi anche per propaganda a favore di associazioni, candidati e forze politiche.
A seguito delle segnalazioni e dei reclami ricevuti, il Garante ritiene necessario adottare un provvedimento di carattere generale, indicando le modificazioni necessarie per conformare il trattamento di dati alla disciplina vigente.
Pag. 54
La tutela della privacy nelle attività di marketing e promozionali
L’utilizzo degli Sms per le predette finalità è un fenomeno che ha subito di recente notevole espansione anche in ragione della particolare rapidità ed efficacia con cui tale mezzo permette di comunicare in tempo reale con un numero elevato di interessati, ovunque essi si trovino, con una modalità che può essere invasiva e che impiega una serie di dati personali, tra cui il numero del telefono cellulare strettamente privato e la cui sfera di circolazione resterà rimessa all’interessato anche dopo la prevista formazione del nuovo elenco telefonico generale.
La capacità intrusiva dello strumento Sms emerge anche da altre circostanze legate ad esempio agli orari -a volte notturni - in cui tali messaggi sono inviati o ricevuti, nonché da altri disagi derivanti da afflussi consecutivi o da eventuali costi che, attualmente o in futuro, potrebbero derivare dalla loro ricezione, in ipotesi all’estero.
Ulteriori fattori di illiceità possono peraltro conseguire dall’alterazione, o dal camuffamento nel messaggio, dell’identità del mittente.
Questa Autorità ha fornito recentemente indicazioni con riferimento agli Sms inviati da enti ed uffici pubblici per finalità legate alla propria attività istituzionale (“Sms istituzionali”), evidenziando le cautele necessarie al fine di adeguarsi alla normativa sull’uso dei dati personali. Indicazioni, queste, alle quali si rinvia per quanto attiene a tale tipologia di messaggi (v. provvedimento del 15 maggio 2003, pubblicato sul sito web www.garanteprivacy.it).2. SMS INVIATI DA FORNITORI DI SERVIZI DI TELEFONIA MOBILE
Il nostro ordinamento assicura una chiara tutela a favore di abbonati e utenti di servizi di telefonia nei confronti delle predette forme di pubblicità e comunicazione, subordinandole al consenso preventivo, libero e informato dell’interessato.
Se gli Sms pubblicitari sono inviati direttamente da chi fornisce il servizio di telefonia mobile, il fornitore stesso - salva la commissione di un illecito che può avere rilevanza anche penale - può utilizzare il numero dell’utenza mobile a scopo commerciale solo se l’abbonato ha manifestato previamente il proprio consenso.
Il consenso occorre sia se il fornitore pubblicizza mediante Sms un “servizio” altrui, sia se lo stesso fornitore promuove un “servizio” della propria società (art. 4, comma 3, d.lg. n. 171/1998).
Il principio opera poi in relazione agli Sms inviati automaticamente dal fornitore ad un ampio numero di abbonati interessati, senza lo specifico intervento diretto di un proprio operatore, come pure per gli Sms inviati caso per caso a singoli abbonati o gruppi di essi.
Alla medesima conclusione deve giungersi rispetto agli Sms pubblicitari che il medesimo fornitore invii per promuovere un oggetto diverso da un “servizio” (in particolare, qualora pubblicizzi un “prodotto” proprio o altrui), oppure
Pag. 55
La tutela della privacy nelle attività di marketing e promozionali
quando si rivolga, con Sms commerciali o pubblicitari, ad utenze collegate a carte telefoniche prepagate: ciò, sia in ragione di quanto disposto dalla legge n. 675/1996 a proposito della raccolta e del successivo trattamento di dati personali (artt. 11 e 12), sia dell’ampia definizione di “abbonato” utilizzata dal legislatore (art. 1 d.lg. n. 171/1998).
In base all’indicata legislazione attualmente vigente, e in virtù del presupposto del consenso che va espresso liberamente (art. 11 cit.), il fornitore del servizio di telefonia mobile non può poi subordinare la stipula del relativo contratto, o l’attivazione della carta prepagata, alla necessaria prestazione di un consenso alla ricezione di messaggi pubblicitari.
Tale ricezione può derivare solo da una scelta dell’abbonato o dell’intestatario della carta, espressa liberamente. La scelta, anteriore all’invio dei messaggi, può intervenire anche telefonicamente, purché sia manifestata al fornitore in modo inequivoco e sia comunque da questi documentata per iscritto (conservando una dichiarazione dell’abbonato o dell’intestatario della carta, oppure trascrivendo la dichiarazione di questi ultimi).
È da ritenersi quindi illecito l’espediente basato sull’inserimento tra gli obblighi contrattuali di una dichiarazione standard di “impegno” al necessario invio di Sms pubblicitari, e alla loro corrispondente ricezione, in violazione di quanto appena richiamato.
È da ritenere parimenti illecito l’espediente volto ad eludere i predetti presupposti, basato sulla prospettazione di alcuni Sms pubblicitari da parte del fornitore come asseriti “messaggi di servizio” alla propria utenza.
È infatti ben diversa la situazione in cui il fornitore del servizio di telefonia mobile invii un Sms per rendere doverosamente o legittimamente noti alcuni eventi o novità legati strettamente e necessariamente al servizio prestato (ad esempio, funzionalità del servizio di assistenza o della segreteria telefonica, stato della ricezione dei messaggi o dei pagamenti, blocco della carta), dal caso in cui il messaggio Sms riguardi la vendita di apparecchi telefonici, oppure nuove offerte commerciali, servizi aggiuntivi legati alle modalità di gestione dei messaggi, all’offerta di loghi e suonerie, a talune convenzioni con altre società, a raccolte di punti o a concorsi a premio.
Tutto ciò assume ulteriore delicatezza se si pensa al fatto che alcuni Sms pubblicitari possono essere inviati - lecitamente o meno - sulla base di una previa verifica della localizzazione dell’apparecchio mobile, oppure della circostanza che l’utente abbia appena digitato determinati numeri o abbia richiesto per telefono un servizio.
È evidente la necessità di una verifica complessiva e immediata da parte dei fornitori su eventuali inosservanze di legge.
In questo quadro, particolari cautele dovranno essere adottate, anche sul piano della correttezza del trattamento dei dati personali, per garantire che gli
Pag. 56
La tutela della privacy nelle attività di marketing e promozionali
Sms pubblicitari non siano inviati arrecando disturbo agli interessati in ore notturne (art. 9, comma 1, lett. a), legge n. 675/1996).3. SMS INVIATI DA ALTRI SOGGETTI
Il principio del “consenso informato” opera anche nel diverso caso in cui gli Sms pubblicitari siano inviati da altri soggetti. Può trattarsi in particolare di ulteriori fornitori di servizi di comunicazione elettronica (es.: gestori di siti web che offrano la possibilità di disporre “gratuitamente” di una casella di posta elettronica o del servizio di invio “gratuito” di Sms tramite p.c.), come pure di soggetti che svolgono attività in altri campi, basate sulla formazione di banche dati di utenti e consumatori, raccolti ad esempio tramite coupon.
Tutti questi titolari del trattamento, sia nel caso di utilizzazione dei dati nel proprio esclusivo interesse, sia nel caso – in crescente sviluppo - di invio di Sms per conto terzi, possono inviare anch’essi Sms pubblicitari solo sulla base di una chiara, specifica e preventiva manifestazione di volontà degli interessati. Ciò anche nel caso in cui (come ribadito dal Garante anche nel citato provvedimento in materia di Sms per fini istituzionali), l’Sms venga inviato su richiesta di una pubblica amministrazione che, per divulgare messaggi ritenuti di pubblico interesse, si rivolga a una banca dati gestita da privati.
Sempre in riferimento a questi casi in cui coloro che inviano Sms pubblicitari non prestano direttamente il servizio di telefonia mobile legato all’apparecchio cellulare, è necessario rilevare la necessità che il consenso degli interessati sia “specifico” (art. 11 legge cit.).
La manifestazione di volontà deve evidenziare con chiarezza la tipologia degli Sms pubblicitari che possono essere inviati da chi ha raccolto il consenso, considerata la tipologia ampia di messaggi i quali possono essere talvolta riferiti ad eventi politici senza che l’interessato ne sia stato consapevole, essendo stato informato in modo generico e avendo sottoscritto una vaga dichiarazione di consenso.
In caso di prevista cessione di elenchi di numeri telefonici a terzi, finalizzata all’invio degli Sms pubblicitari da parte di questi ultimi, tale circostanza va esplicitata in origine agli interessati, e con precisione, evitando poi di adottare artifizi illeciti ed elusivi come quello della formale (ma sostanzialmente inesistente) designazione dei medesimi terzi quali asseriti “responsabili del trattamento” dei dati personali ai sensi dell’art. 8 della citata legge, specie nei casi in cui i terzi perseguano ben altre finalità.
La necessità di estendere la tutela degli interessati contro le descritte interferenze nella sfera privata va considerata, con riferimento al rapporto sottostante al trattamento dei dati personali, anche in base alla normativa sulla protezione dei consumatori nei contratti a distanza. Quest’ultima vieta infatti ai fornitori l’impiego di tecniche di comunicazione quale il telefono, la posta elettronica, il fax e altri sistemi automatizzati di chiamata senza l’intervento di un operatore, in mancanza del consenso preventivo del consumatore. Ciò nel
Pag. 57
La tutela della privacy nelle attività di marketing e promozionali
contesto del rapporto finalizzato alla conclusione del contratto tra fornitore e consumatore ed in relazione a determinati scopi tra i quali vi rientrano anche quelli pubblicitari (art. 10 d.lg. 2 maggio 1999, n. 185).
Un discorso a parte va formulato per il caso in cui gli Sms siano inviati da organismi politici o da terzi, a destinatari selezionati in ragione della loro adesione a determinate idee o formazioni politiche: in tal caso, infatti, oltre al consenso necessariamente scritto degli interessati, occorre verificare se il trattamento sia lecito in base alle autorizzazioni “generali” al trattamento dei dati sensibili rilasciate dal Garante (e pubblicate, oltre che nella Gazzetta ufficiale della Repubblica italiana, nel menzionato sito web dell’Autorità).4. GENERAZIONE CASUALE DI NUMERI TELEFONICI
Va altresì rilevato che i principi richiamati nel presente provvedimento trovano applicazione anche nei confronti dei soggetti che inviino Sms pubblicitari senza estrarre le utenze telefoniche da un’apposita banca dati, bensì sulla base di una composizione casuale o automatizzata di numeri che prescinda da una verifica della loro esistenza o attivazione.5. TUTELA DEI DIRITTI DEGLI INTERESSATI
Gli interessati possono esercitare tutti i diritti previsti dall’art. 13 della legge n. 675/1996 tra cui spicca il diritto di accedere ai dati trattati dal titolare, di conoscere l’origine dei dati, di chiederne la cancellazione in caso di illecito trattamento, ecc., anche rispetto agli Sms commerciali e pubblicitari, se del caso revocando il consenso già prestato od opponendosi gratuitamente, anche in parte, al trattamento dei dati personali per fini di informazione commerciale, di invio di materiale pubblicitario o di vendita diretta, ovvero per il compimento di ricerche di mercato o di comunicazione commerciale interattiva. L’esercizio di tali diritti, a seconda del genere di rapporto contrattuale, è consentito anche quando gli Sms siano inviati nel quadro della fornitura “gratuita” di servizi.
Alcune richieste come quelle di accesso ai dati personali o di conoscere come questi sono stati raccolti, possono essere rivolte senza particolari formalità, anche verbalmente, ad un servizio di call center documentando la propria identità (art. 17, commi 1 e 2, d.P.R. n. 501/1998). Per queste e per altre richieste si può consultare il fac-simile Formato PDF Formato Word riportati sul predetto sito web .6. CONSIDERAZIONI CONCLUSIVE
Sono in fase di definizione i singoli procedimenti per la contestazione di specifiche violazioni amministrative anche in materia di informativa, ove ne ricorrano i presupposti, e per trasmettere, se del caso, gli atti all’autorità giudiziaria penale, per la violazione dei richiamati obblighi in materia di informativa e consenso, in relazione a trattamenti illeciti di cui va altresì disposto, in questa sede, un generale divieto ai sensi della disposizione citata nel dispositivo
Pag. 58
La tutela della privacy nelle attività di marketing e promozionali
che segue.Il Garante si riserva di segnalare altri profili una volta completata, a breve
termine, l’attuazione della disciplina in itinere sulla formazione degli elenchi della telefonia mobile e per l’esercizio dei diritti degli interessati, nonché quando sarà recepita la direttiva n. 2002/58/CE del Parlamento europeo e del Consiglio, la quale si occupa specificamente degli Sms pubblicitari e interviene su altri aspetti relativi alle chiamate e alle comunicazioni, permettendo peraltro ad alcuni fornitori di adottare un sistema parzialmente diverso limitatamente all’offerta a propri clienti di prodotti o servizi analoghi a quelli già prestati.
Nel frattempo, tutti i titolari del trattamento interessati devono continuare ad attenersi ai principi richiamati nel presente provvedimento, il cui rispetto è doveroso anche alla luce delle sanzioni amministrative e penali in materia.
TUTTO CIÒ PREMESSO IL GARANTE:
a) ai sensi dell’art. 31, comma 1, lett. c) della legge 31 dicembre 1996, n. 675, segnala ai fornitori di servizi di telecomunicazione indicati in atti le modificazioni necessarie indicate in motivazione, al fine di conformare il trattamento dei dati personali ai principi richiamati nel presente provvedimento;
b) ai sensi dell’art. 31, comma 1, lett. l) della legge 31 dicembre 1996, n. 675, vieta ogni ulteriore trattamento illecito di dati personali realizzato ai fini di invio di Sms pubblicitari in violazione dei principi medesimi.
Roma, 10 giugno 2003
IL PRESIDENTERodotà
IL RELATOREPaissan
IL SEGRETARIO GENERALEButtarelli
Pag. 59
La tutela della privacy nelle attività di marketing e promozionali
Provvedimento 24 febbraio 2005, Fidelity card e garanzie per i consumatori. Le regole del Garante per i programmi di fidelizzazione
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALIIn data odierna, in presenza del prof. Stefano Rodotà, presidente, del
prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;
Esaminati i reclami e le segnalazioni pervenuti in ordine al trattamento di dati personali raccolti attraverso carte o tessere di "fidelizzazione";
Ritenuta la necessità di prescrivere alcune misure necessarie ed opportune al fine di rendere il trattamento conforme alle disposizioni vigenti (art. 154, comma 1, lett. c), del Codice in materia di protezione dei dati personali);
Vista la documentazione acquisita a seguito degli accertamenti avviati e della consultazione pubblica effettuata;
Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore il prof. Gaetano Rasi;PREMESSO
1. La "fidelizzazione" nell'ambito della grande distribuzioneIl Garante ha ricevuto reclami e segnalazioni su trattamenti di dati effet
tuati nell'ambito della crescente utilizzazione di carte o tessere di "fidelizzazione" volte a creare un rapporto duraturo con la clientela per acquisti e servizi.
Gli intestatari delle "carte" usufruiscono di alcuni vantaggi per effetto della titolarità della carta, oppure del genere o volume di spesa o delle prestazioni richieste (ad es., sconti per l'acquisto di prodotti; premi o bonus correlati; priorità; servizi accessori; facilitazioni di pagamento).
Le prescrizioni contenute nel presente provvedimento riguardano in termini generali tutti i tipi di "carte" nel settore della c.d. grande distribuzione, siano esse rilasciate o meno gratuitamente, su supporto cartaceo o elettronico, presso punti-vendita oppure on line, nominativamente ovvero assegnando un codice identificativo, accumulando o meno punti rapportati a spese e servizi.
Il fenomeno ha assunto ampia portata interessando, oltre alla commercializzazione di beni di consumo, la prestazione di servizi nei trasporti, nel credito, nella telefonia, nell'editoria, nel noleggio, ecc. I principi normativi richiamati in questa sede per la grande distribuzione hanno carattere generale e sono già applicabili in diversi ambiti.
Il Garante esamina in questa sede i profili di competenza rilevanti per il trattamento dei dati personali, senza valutare specificamente requisiti pre
Pag. 60
La tutela della privacy nelle attività di marketing e promozionali
scritti da leggi o regolamenti in altri ambiti (ad es., dal d.P.R. 26 ottobre 2001, n. 430, in materia di concorsi, operazioni a premio e manifestazioni di sorte).
Il rilascio delle carte (spesso preceduto dalla compilazione di un modulo di adesione e di un questionario), e la loro utilizzazione (che determina la registrazione di acquisti di beni e servizi), comportano un trattamento dei dati personali dei clienti e, a volte, dei loro familiari.
Accanto a dati anagrafici e recapiti anche di posta elettronica, sono spesso raccolte altre informazioni relative al cliente o a suoi familiari, non necessarie per attribuire i vantaggi collegati alla carta (titolo di studio, professione, interessi, abitudini, preferenze, modalità di acquisti, ecc.).
Tali informazioni vengono di frequente trattate unitariamente, per finalità diverse che richiedono quindi modalità differenziate; non di rado, è fornita solo un'informativa generica che descrive i trattamenti in modo non adeguatamente distinto.
Le analisi svolte sulle abitudini e scelte di consumo presentano rischi per gli interessati, anche quando i dati non sono comunicati a terzi.
Consumatori, relativi nuclei familiari ed altre persone da essi indicati, ricevendo i vantaggi legati alla fidelizzazione, sono monitorati in dettaglio nei loro comportamenti, vengono profilati anche all'interno di specifiche banche dati centrali o locali e fatti oggetto di raffronto con altri clienti, senza esserne peraltro consapevoli non avendo ricevuto un'adeguata informativa.
Si definiscono anche profili individuali o di gruppo (segmenti di clientela con caratteristiche omogenee, c.d. cluster), ovvero propensioni al consumo, senza che gli interessati vi abbiano potuto acconsentire sulla base di informazioni chiare e specifiche. L'acquisto di beni e di servizi può persino determinare, in talune circostanze particolari, la raccolta di dati di natura sensibile, il cui trattamento non è di regola consentito per le finalità in esame.
A ciò si aggiungono eventuali contatti diretti con la clientela per operazioni di marketing, comunicazioni commerciali o pubblicitarie, vendite dirette o per ricerche di mercato, effettuati da chi rilascia la carta o da terzi.
Attesa la crescente diffusione del fenomeno, e a garanzia degli interessati, il Garante prescrive ai titolari del trattamento di adottare alcune misure necessarie od opportune al fine di conformare i trattamenti alle vigenti disposizioni in materia di protezione dei dati personali (art. 154, comma 1, lett. c), del Codice).2. Necessità e proporzionalità
Le seguenti prescrizioni sono impartite tenendo conto delle distinzioni relative alle tre principali finalità indicate (fidelizzazione in senso stretto, realizzata attribuendo i vantaggi cui si è fatto cenno; profilazione mediante analisi di abitudini e scelte di consumo; marketing diretto), che rendono necessario diversificare le modalità del trattamento, in particolare per quanto riguarda le
Pag. 61
La tutela della privacy nelle attività di marketing e promozionali
tipologie di dati e la loro conservazione.I trattamenti devono svolgersi rispettando i principi di necessità, liceità,
correttezza, qualità dei dati e di proporzionalità (artt. 3 e 11 del Codice).In particolare:• in applicazione del principio di necessità (art. 3 del Codice), i sistemi
informativi e i programmi informatici devono essere configurati, già in origine, in modo da ridurre al minimo l'utilizzo di informazioni relative a clienti identificabili. Il trattamento di dati personali relativi a clienti non è lecito se le finalità del trattamento, in particolare di profilazione, possono essere perseguite con dati anonimi o solo indirettamente identificativi;• nel rispetto del principio di proporzionalità nel trattamento (art. 11,
comma 1, lett. d), del Codice), tutti i dati personali e le varie modalità del loro trattamento devono essere pertinenti e non eccedenti rispetto alle finalità perseguite.
Come premesso, l'utilizzazione di dati sensibili (art. 4, comma 1, lett. d), del Codice) non è di regola ammessa per alcuna delle finalità indicate, fatta salva l'ipotesi eccezionale nella quale il trattamento di dati sia realmente indispensabile in rapporto allo specifico bene o servizio richiesto e sia stato autorizzato dal Garante, oltre che acconsentito per iscritto dall'interessato. Ciò, vale anche per eventuali ricerche di mercato, sondaggi ed altre ricerche campionarie (cfr. aut. gen. del Garante n. 5/2004, in G.U. 14 agosto 2004, n. 190).
Vanno a questo punto indicate le modalità di attuazione di questi principi in rapporto alle diverse finalità.3. Finalità di "fidelizzazione" in senso stretto
Possono essere trattati esclusivamente i dati necessari per attribuire i vantaggi connessi all'utilizzo della carta.
Si tratta:• dei dati direttamente correlati all'identificazione dell'intestatario del
la carta, quali le informazioni anagrafiche;• dei dati eventualmente relativi al volume di spesa globale progres
sivamente realizzato (senza, cioè, riferimenti di dettaglio ai singoli prodotti), nella misura in cui sia realmente necessario trattarli -e in particolare conservarli- per attribuire i vantaggi medesimi, e per il tempo a ciò strettamente necessario. L'eventuale conservazione di dati di dettaglio relativi alle particolari tipologie di beni e servizi acquistati, o ai vantaggi conseguiti (punti, premi, bonus, ecc.), non è di regola necessaria specie se si persegue la sola finalità di "fidelizzazione"; nei casi particolari in cui essa è lecita, deve essere rispettato il principio di proporzionalità.
Pag. 62
La tutela della privacy nelle attività di marketing e promozionali
4. Finalità di "profilazione" della clientelaL'attività di profilazione riguardante singoli individui o gruppi può essere
svolta, in diversi casi, disponendo solo di dati anonimi o non identificativi (ad esempio, un codice numerico), senza una relazione tra i dati che permettono di individuare gli interessati e le indicazioni analitiche relative alla loro sfera personale (gusti, preferenze, abitudini, bisogni e scelte di consumo). Se la finalità può essere perseguita con tali modalità (specie per quanto riguarda la profilazione della clientela per categorie omogenee), non è lecito utilizzare -e tanto meno conservare- dati personali o identificativi.
Negli altri casi, le informazioni che si intende acquisire (sia all'atto dell'adesione del cliente all'iniziativa, sia per effetto dell'eventuale registrazione di singoli beni e servizi accessori), e le modalità del loro trattamento, devono essere pertinenti e non eccedenti rispetto alla tipologia dei beni commercializzati o dei servizi resi.
Il principio di proporzionalità va osservato anche per quanto riguarda l'eventuale intenzione di registrare le informazioni in banche di dati, tanto più se centrali. Inoltre, queste ultime non devono essere interconnesse -o fonte di intrecci e raffronti di dati- con quelle utilizzate per la fidelizzazione in senso stretto.
Per quanto concerne i dati sensibili va rilevato, oltre a quanto già richiamato, che non è lecito utilizzare a fine di profilazione dati idonei a rivelare la stato di salute e la vita sessuale (cfr. autorizzazioni generali del Garante nn. 2 e 5/2004, in G.U. 14 agosto 2004, n. 190).5. Finalità di "marketing" diretto
Possono essere raccolti ed utilizzati i dati pertinenti e non eccedenti per l'invio di materiale pubblicitario -anche attraverso riviste di settore- o di comunicazioni commerciali o per la vendita diretta. Si tratta, di regola, dei soli dati direttamente correlati all'identificazione dell'intestatario della carta o di suoi familiari, ovvero di persone da esso indicate. L'eventuale utilizzazione di dati personali derivanti dalla profilazione deve essere oggetto di un consenso differenziato dei diretti interessati.6. Informativa agli interessati
Prima del conferimento dei dati e del rilascio della carta deve essere fornita al cliente un'informativa chiara e completa, al fine di consentire un'adesione pienamente consapevole alle iniziative proposte.
Nel rispetto del principio di correttezza (art. 11, comma 1, lett. a), del Codice), non sono consentiti comportamenti suscettibili di incidere sulle scelte libere e consapevoli del cliente nell'adesione ai "programmi di fidelizzazione".
Nello svolgimento delle operazioni preordinate al rilascio della "carta", non è corretto indurre il cliente ad aderire al programma senza aver avuto le
Pag. 63
La tutela della privacy nelle attività di marketing e promozionali
spiegazioni e il tempo necessari per essere previamente informati e maturare un consenso consapevole riguardo ai dati da fornire, specie in ordine alla profilazione o al marketing (come potrebbe ad esempio accadere sollecitando una rapida sottoscrizione mentre il cliente è in fila alla cassa senza un esame preventivo di un'informativa).
L'informativa può utilizzare formule sintetiche e colloquiali, purché chiare e inequivoche; deve contenere comunque tutti gli elementi richiesti dal Codice (art. 13, comma 1).
Non sono consentiti generici rinvii a regolamenti di servizio non acclusi per le parti di riferimento. L'informativa inserita all'interno di moduli deve essere adeguatamente evidenziata e collocata in modo autonomo e unitario in un apposito riquadro, ed essere così agevolmente individuabile rispetto ad altre clausole del regolamento di servizio eventualmente riportato in calce o a margine.
In particolare, devono essere poste in distinta e specifica evidenza le caratteristiche dell'eventuale attività di profilazione e/o di marketing, come pure l'intenzione di cedere a terzi specificamente individuati i dati per finalità da indicare puntualmente.
Deve risultare parimenti chiara la circostanza che, per questi scopi, il conferimento dei dati e il consenso sono liberi e facoltativi rispetto alle ordinarie attività legate alla fidelizzazione in senso stretto.7. Adesione al "programma di fidelizzazione" e consenso al trattamento
Per ottenere la carta di fidelizzazione e fruire dei relativi vantaggi occorre di regola accettare condizioni generali di contratto predisposte dal titolare del trattamento (di regola, lo stesso emittente della "carta").
Poiché il trattamento di dati preordinato alla fidelizzazione in senso stretto è "necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato" non è corretto, in questo caso, sollecitare il consenso al trattamento dei dati (art. 24, comma 1, lett. b), del Codice).
Ogni altra finalità di trattamento (profilazione e ricerche di mercato da un lato; marketing dall'altro) che comporti l'identificabilità degli interessati necessita, invece, del loro consenso specifico, informato e distinto per ciascuna di esse (art. 23 del Codice). Il consenso deve essere quantomeno documentato per iscritto a cura del titolare del trattamento, ovvero reso necessariamente per iscritto dall'interessato nel caso di dati sensibili.
L'eventuale accettazione per iscritto delle clausole del regolamento di servizio deve essere distinta dalle formule utilizzate per ciascuna di queste due manifestazioni di libero consenso. L'adesione all'iniziativa di fidelizzazione non può essere condizionata alla manifestazione di tale consenso.
Non è quindi lecito raccogliere un consenso generale ricorrendo ad una generica dichiarazione, comprendendo anche i casi in cui il consenso non è
Pag. 64
La tutela della privacy nelle attività di marketing e promozionali
necessario o a prescindere dalle finalità perseguite.Per alcune forme di comunicazione mediante posta elettronica, fax, siste
mi automatizzati di chiamata e messaggi del tipo Mms o Sms o di altro tipo, la necessità del consenso deriva anche da apposite disposizioni in tema di comunicazioni indesiderate o di vendite a distanza, le quali prevedono, altresì, regole particolari per l'offerta di servizi analoghi tramite posta elettronica (art. 130 del Codice; art. 10 d.lg. n. 185/1999). E' opportuno che copia della documentazione attestante l'informativa fornita e il consenso eventualmente prestato sia rilasciata all'interessato, per consentirgli di verificare in ogni momento le proprie scelte e di modificarle.8. Tempi di conservazione
In applicazione del menzionato principio di proporzionalità, va prescritta ai titolari del trattamento l'identificazione di termini massimi di conservazione dei dati da osservare presso banche dati sia centrali, sia locali.
Tale identificazione va effettuata dopo aver esaminato la possibilità di raccogliere e conservare dati nei termini consentiti per ciascuna delle finalità sopradescritte, tenendo conto di eventuali scelte degli interessati sopravvenute.
Il principio da osservare è quello secondo cui i dati personali dei quali non è necessaria la conservazione in relazione agli scopi per i quali sono stati trattati devono essere cancellati o trasformati in forma anonima (art. 11, comma 1, lett. e), del Codice).
In ogni caso, i dati relativi al dettaglio degli acquisti con riferimento a clienti individuabili possono essere conservati per finalità di profilazione o di marketing per un periodo non superiore, rispettivamente, a dodici e a ventiquattro mesi dalla loro registrazione, salva la reale trasformazione in forma anonima che non permetta, anche indirettamente o collegando altre banche di dati, di identificare gli interessati. Eventuali intenzioni di trattare i dati oltre tali termini potranno essere attuate solo previa valutazione di questa Autorità ai sensi dell'art. 17 del Codice.
Nel caso di eventuale ritiro, disabilitazione per mancato utilizzo entro un determinato arco temporale, scadenza o restituzione della carta, deve essere individuato un termine di conservazione dei dati personali per esclusive finalità amministrative (e non anche di profilazione o di marketing), non superiore ad un trimestre (fatti salvi eventuali specifici obblighi di legge sulla conservazione di documentazione contabile). Occorre specificare questi aspetti nell'informativa e predisporre idonei meccanismi di cancellazione automatica dei dati anche da parte di terzi cui gli stessi siano stati eventualmente comunicati (specie per la profilazione o di marketing).9. Notificazione del trattamento e misure di sicurezza
Pag. 65
La tutela della privacy nelle attività di marketing e promozionali
Restano fermi, in aggiunta alle prescrizioni del presente provvedimento, gli obblighi che il Codice detta ai titolari del trattamento.
Ci si riferisce, in particolare: a) all'obbligo di notificazione al Garante dei trattamenti effettuati me
diante l'ausilio di strumenti elettronici volti a definire profili di consumatori o ad analizzarne abitudini e scelte in ordine ai prodotti acquistati (artt. 37, comma 1, lett. d), e 163 del Codice);
b) agli obblighi relativi all'adozione delle misure anche minime di sicurezza (artt. 31-35 e Allegato B) del Codice;
c) alla selezione dei soggetti che, in qualità di incaricati o responsabili del trattamento, sono autorizzati a compiere operazioni di trattamento sulla base dei compiti assegnati e delle istruzioni impartite (artt. 29 e 30 del Codice);
d) all'obbligo dei titolari del trattamento di adottare le misure necessarie per agevolare l'esercizio dei diritti degli interessati e il relativo riscontro tempestivo (art. 10, comma 1, del Codice), con particolare riferimento alle concrete notizie da fornire in caso di richiesta di spiegazioni sulle finalità e modalità del trattamento (art. 7, comma 2, lett. b)) o di opposizione al trattamento.
In questo quadro, è necessario che:1. i dati eventualmente trattati a fini di profilazione o di ricerche di
mercato siano conservati con adeguate modalità che portino a limitare l'ambito di circolazione dei dati allo stretto indispensabile, circoscrivendo qualitativamente e quantitativamente il numero di addetti aventi eventuale accesso alle informazioni;
2. sia escluso l'uso di sistemi e programmi che permettano, fuori dei casi consentiti, una ricostruzione organica di scelte, comportamenti e profili di interessati identificabili non soggetta alle previe valutazioni di questa Autorità ai sensi dell'art. 17 del Codice;
3. non si eludano, attraverso la preposizione di soggetti esterni quali responsabili del trattamento, le richiamate garanzie in tema di comunicazione e conservazione dei dati e di trasparenza nell'informativa riguardo alle finalità e ai soggetti che le perseguono;
4. si pongano a disposizione degli interessati, anche nell'informativa, specifici recapiti, anche di posta elettronica, per un agevole esercizio dei diritti.10. Informazioni al Garante
Ai sensi e per gli effetti di cui agli artt. 157, 164 e 168 del Codice, i titolari del trattamento indicati negli atti di procedimenti pendenti presso l'Ufficio sono invitati a confermare al Garante, entro e non oltre il 15 maggio 2005, che i
Pag. 66
La tutela della privacy nelle attività di marketing e promozionali
trattamenti di dati da essi effettuati sono conformi alle prescrizioni del presente provvedimento, indicando ogni informazione utile al riguardo ed allegando la pertinente documentazione.
TUTTO CIÒ PREMESSO, IL GARANTE prescrive ai titolari di trattamenti di dati personali oggetto del presente
provvedimento, ai sensi dell'art. 154, comma 1, lett. c), del Codice, di adottare le misure necessarie ed opportune ivi indicate al fine di rendere i trattamenti medesimi conformi alle disposizioni vigenti.
Roma, 24 febbraio 2005
IL PRESIDENTERodotà
IL RELATORERasi
IL SEGRETARIO GENERALEButtarelli
Pag. 67
La tutela della privacy nelle attività di marketing e promozionali
Provvedimento 12 ottobre 2005, Informativa e consenso – Biglietti online e marketing: indicazione del garante
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALINELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presi
dente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;
ESAMINATA la segnalazione presentata da Enrico Aliberti nei confronti di "Torino Organising Commitee XX Olympic Winter Games" (Toroc);
ESAMINATE le deduzioni svolte da Toroc nelle comunicazioni del 12 maggio 2005 e 22 settembre 2005;
VISTA la documentazione in atti;VISTO l'art. 154, comma 1, lett. b) e c), del Codice in materia di protezio
ne dei dati personali (d.lg. 30 giugno 2003, n. 196);VISTE le osservazioni dell'Ufficio formulate dal segretario generale ai
sensi dell'art. 15 del regolamento del Garante n. 1/2000;RELATORE il prof. Francesco Pizzetti;
PREMESSO1. Dopo aver prenotato l'acquisto di biglietti per assistere agli eventi "Gio
chi Torino 2006", il sig. Enrico Aliberti ha sottoposto all'attenzione del Garante la circostanza di aver dovuto prestare il proprio consenso al trattamento dei dati personali a sé riferiti, con un'unica dichiarazione atta non solo a renderne possibile l'utilizzazione ai fini dell'esecuzione del contratto (in particolare, l'acquisto e il recapito dei biglietti), ma altresì idonea ad autorizzare il perseguimento della diversa finalità di marketing.
A seguito di tale segnalazione questa Autorità ha svolto autonomi accertamenti ed ha richiesto ulteriori informazioni a "Torino Organising Commitee XX Olympic Winter Games" (Toroc) –operando detto soggetto in qualità di titolare del trattamento (sia con riguardo alla vendita operata grazie alla società Ticketone, sia rispetto a quella realizzata tramite il sito web all'indirizzo http://www.torino2006.org)– in relazione alle operazioni di trattamento svolte nell'ambito del servizio di biglietteria per la partecipazione agli eventi "Giochi Torino 2006", con particolare riferimento ai profili relativi all'acquisizione del consenso e all'informativa resa agli interessati.
2. Le risultanze istruttorie hanno confermato la qualità di titolare del trattamento in capo a Toroc per quanto attiene allo svolgimento dei servizi di biglietteria: ciò si evince dai modelli nei quali era resa l'informativa unitamente alla raccolta del consenso e non è contestato nelle comunicazioni del Toroc.
Pag. 68
La tutela della privacy nelle attività di marketing e promozionali
È altresì emerso che sia nei modelli utilizzati dalla società Ticketone, sia in quelli resi disponibili nel sito web sopra richiamato, viene richiesto il consenso dell'interessato per "l'adempimento della Sua richiesta scritta di prenotazione/acquisto dei biglietti relativi agli eventi previsti nell'ambito dei Giochi Torino 2006".
Inoltre, nel modello di raccolta del consenso utilizzato da Ticketone, alla formula appena indicata viene associata, sottoponendola ad un'unica accettazione da parte dell'interessato, anche l'autorizzazione al compimento di attività pubblicitarie o comunque promozionali da parte del Toroc. La relativa informativa, resa succintamente, può essere visionata nella sua versione integrale solo accedendo ad un testo disponibile on-line all'indirizzo web www.torino2006.org/tickets al quale è fatto espressamente rinvio nel modello utilizzato dal rivenditore (che peraltro "viene trattenuto presso il punto vendita").
In relazione, invece, al modello di raccolta dei dati presente nel sito web da compilarsi in occasione della prenotazione/acquisto del biglietto, gli accertamenti effettuati evidenziano la "preselezione" (che appare automaticamente in occasione della compilazione del form) delle caselle nelle quali viene reso il consenso non solo per l'esecuzione degli obblighi contrattuali, ma anche per finalità ulteriori e distinte rispetto a questa, ed in particolare per le finalità pubblicitarie o comunque promozionali.
In entrambi i modelli sopra richiamati è altresì prevista la possibilità di fare uso di particolari tecniche di comunicazione, quali la posta elettronica o l'utenza di telefonia mobile, ai fini di invio di materiale pubblicitario o promozionale da parte del Toroc (o di terzi).
3. Alla luce della documentazione acquisita e tenuto conto delle osservazioni formulate dal Toroc (nelle comunicazioni del 12 maggio 2005 e 22 settembre 2005), questa Autorità ravvisa taluni profili di violazione della disciplina vigente in relazione al trattamento dei dati personali effettuato nell'ambito del servizio di biglietteria e pertanto, ai sensi dell'art. 154, comma 1, lett. c), del Codice intende prescrivere con il presente provvedimento le misure necessarie al fine di rendere i trattamenti di seguito indicati conformi alle disposizioni contenute nel Codice.
In particolare, al di là della possibilità di prescindere dalla richiesta del consenso nella modellistica della quale Toroc si avvale per la "prenotazione/acquisto dei biglietti relativi agli eventi previsti nell'ambito dei Giochi Torino 2006" –atteso il contenuto dell'art. 24, comma 1, lett. b) del Codice–, profili di illiceità emergono, per ragioni diverse, rispetto alla formulazione del consenso e della connessa informativa (aspetti non di rado strettamente collegati, come pure si è evidenziato nel provvedimento a carattere generale del 13 gennaio 2000, in Boll. n. 11-12/2000, p. 39, 43, con riferimento all'effetto di un'informativa incompleta sul consenso).
Pag. 69
La tutela della privacy nelle attività di marketing e promozionali
3.1. Con specifico riguardo al modello di raccolta del consenso utilizzato da Ticketone, diversamente da quanto sostenuto dal Toroc –secondo cui "solo previa espressione di uno specifico consenso da parte [dell'utente] i dati potranno essere utilizzati per finalità di comunicazioni commerciali […]" (comunicazione del 12.5.05, p. 4; analogamente nella comunicazione del 22.9.05, p. 5, punto c)–, il consenso per il perseguimento di finalità di marketing non è distinto (come si è fatto rilevare sopra al punto 2) da quello (pur non necessario, come si è appena precisato) prestato per il conferimento dei dati necessari a dare esecuzione al rapporto contrattuale.
Ne deriva che l'autorizzazione al trattamento dei dati per finalità di marketing non soddisfa i requisiti posti dal legislatore, secondo il quale il "consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato" (art. 23, comma 3, del Codice): nel caso di specie, infatti, non può definirsi "libero", ma necessitato, il consenso al trattamento dei dati personali che l'interessato "deve" prestare (aderendo a un testo predisposto unilateralmente dalla controparte contrattuale) quale condizione per il conseguimento della prestazione richiesta. In tal modo, infatti, i dati personali, lecitamente raccolti dal titolare (e conferiti dall'interessato) per il perseguimento di una determinata finalità (l'esecuzione del rapporto contrattuale), vengono di fatto piegati ad un utilizzo diverso dallo scopo originario che ne aveva giustificato la raccolta, in violazione del principio di finalità (art. 11, comma 1, lett. b), del Codice).
A questo proposito merita rilevare in via incidentale che, nel corso del procedimento, Toroc ha rappresentato l'intenzione (chiaramente desumibile dall'affermazione riportata in calce all'allegato II, comunicazione Toroc del 12 maggio 2005) di apportare alcune modifiche al testo dell'informativa attualmente resa alla clientela, con l'inserimento della seguente frase: "Il mancato consenso al trattamento dei dati per fini commerciali o un rifiuto di rispondere non avrà alcuna conseguenza sul suo acquisto".
Con riguardo, poi, all'informativa resa, è altresì preferibile (come già sostenuto nel Provv. 13 gennaio 2000, in Boll. n. 11-12/2000, p. 42) che gli elementi della stessa compaiano in un unico contesto –salvo che, anche ai sensi e per gli effetti della disposizione contenuta nell'art. 13, comma 3 del Codice, esigenze di spazio consiglino o impongano di ricorrere a soluzioni alternative (quale, ad esempio, quella prefigurata dal Toroc di affiggerne il testo presso il punto vendita: cfr. allegato II, comunicazione 12 maggio 2005)– evitando, in armonia con il principio di correttezza (art. 11, comma 1, lett. a) del Codice), un'eccessiva frammentazione dei vari elementi della medesima, come attualmente risultanti dal descritto rinvio ad un testo presente all'indirizzo web www.torino2006.org/tickets.
Ulteriori profili di difformità rispetto alla disciplina di protezione dei dati personali emergono, poi, in relazione alla mancata informativa resa alla clientela circa la "natura obbligatoria o facoltativa del conferimento dei dati" (dovu
Pag. 70
La tutela della privacy nelle attività di marketing e promozionali
ta ai sensi dell'art. 13, comma 1, lett. b) del Codice), in grado di inficiare anche da questo punto di vista il consenso dell'interessato (per analogo rilievo v. già Provv. 28 maggio 1997, in Boll. 1/1997, p. 11, 12).
Affinché il trattamento di dati personali sia legittimo è quindi necessario –salvo che ricorrano le circostanze previste dall'art. 24 del Codice– che il consenso dell'interessato possa essere autonomamente prestato per ciascuna distinta finalità perseguita dal titolare del trattamento (come peraltro già affermato, con riguardo ai trattamenti di dati personali effettuati nell'ambito dei programmi di fidelizzazione, nel Provv. del 24 febbraio 2005, consultabile in http://www.garanteprivacy.it) e che l'informativa, resa in un unico contesto, contenga tutte le informazioni previste dall'art. 13 del Codice.
3.2. Con specifico riguardo al modello di raccolta del consenso reso disponibile sul sito web, per quanto (diversamente dal caso appena esaminato) siano chiaramente distinte le finalità per le quali il trattamento dei dati personali viene effettuato (segnatamente, quelle relative all'esecuzione del contratto e quelle relative alla finalità di marketing), il consenso dell'interessato non è prestato "liberamente", atteso che (come descritto sopra e confermato nel testo inviato dal Toroc nell'allegato 2, comunicazione del 22 settembre 2005) sono "preselezionate", anziché lasciate alla libera scelta dell'utente, le distinte opzioni relative al trattamento di dati personali connesse all'esecuzione del rapporto contrattuale e allo svolgimento di attività di comunicazione commerciale.
È dunque necessario che i sistemi informativi del sito web vengano configurati in modo da consentire all'interessato di esplicare pienamente il proprio diritto all'autodeterminazione informativa, prevedendo opzioni di tipo "positivo" (mediante l'inserimento di caselle da selezionare e non preselezionate su una delle possibili scelte), sì da consentire all'utente di esprimere liberamente la propria scelta in ordine alle finalità legittimamente perseguibili da parte del titolare del trattamento (cfr. pure Provv. 13 gennaio 2000, in Boll. n. 11-12/2000, p. 43).
3.3. Entrambi i modelli prevedono altresì, a vantaggio del Toroc, la possibilità di fare uso anche di particolari canali per veicolare le comunicazioni commerciali, quali la posta elettronica o l'utenza del telefono cellulare. Precisato che, qualora si intenda fare uso di tali forme di comunicazione –salvo quanto previsto all'art. 130, comma 4 del Codice, che contiene regole particolari per l'offerta di taluni servizi tramite posta elettronica– è posto in capo al titolare del trattamento l'obbligo di acquisire il preventivo consenso dell'interessato (artt. 130 del Codice e 10 d.lg. 22 maggio 1999, n. 185), il medesimo art. 130, comma 4, richiede che questi, al momento della raccolta dei dati (e in occasione dell'invio di ogni comunicazione effettuata per le menzionate finalità), sia "informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente". Tale avviso non ricorre nei modelli utilizzati dal Toroc: è dunque necessario che questi ultimi vengano integrati con
Pag. 71
La tutela della privacy nelle attività di marketing e promozionali
tale avvertenza.4. Anche con riguardo ai dati personali raccolti nel sito web www.tori
no2006.org, per una diversa finalità, vale a dire l'invio di una o più newsletter, l'informativa resa ("I dati saranno trattati secondo quanto previsto dalla legge 675/96 a tutela della riservatezza dei dati personali") evidenzia, sotto diversi aspetti, profonde carenze: al di là dell'erroneo riferimento alla disciplina di protezione dei dati personali ormai abrogata, la formulazione utilizzata si atteggia a mera clausola di stile nella quale larga parte delle informazioni richieste dall'art. 13 del Codice risultano mancanti (eccettuata la finalità del trattamento, consistente nell'invio della newsletter, che si evince indirettamente dal contesto nel quale i dati vengono raccolti).
Anche a questo proposito è infine necessario che l'informativa (e la relativa manifestazione di consenso dell'interessato) vengano integrate in conformità alla previsione contenuta nell'art. 13 del Codice.
PER QUESTI MOTIVI IL GARANTE:• prescrive al Toroc, ai sensi dell'art. 154, comma 1, lett. c), del Co
dice, di adottare le misure necessarie ed opportune indicate nel presente provvedimento al fine di rendere i trattamenti di dati personali conformi alle disposizioni vigenti, apportando le necessarie modifiche alla documentazione descritta e tenendo conto del fatto che, limitatamente al perseguimento delle finalità di comunicazione pubblicitaria o promozionale, non potranno essere utilizzate, ai sensi dell'art. 11, comma 2 del Codice, le dichiarazioni di consenso al trattamento dei dati già formulate dagli interessati, ferma restando, quindi, l'utilizzabilità dei dati per la finalità di acquisto e recapito dei biglietti;• prescrive, altresì, ai sensi degli artt. 154, comma 1, lett. c), e 157
del Codice di trasmettere al Garante un esemplare dei modelli riformulati in conformità delle predette prescrizioni entro il 30 novembre 2005.
Roma, 12 ottobre 2005IL PRESIDENTE
PizzettiIL RELATORE
PizzettiIL SEGRETARIO GENERALE
Buttarelli
Pag. 72
La tutela della privacy nelle attività di marketing e promozionali
Provvedimento 23 novembre 2006, Fax promozionali senza il preventivo consenso dell'interessato
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALINELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presi
dente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;
VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito "Codice");
VISTA la segnalazione del 13 settembre 2005, con la quale i signori Luigi Michelini, Luigi Compagnoni e Giuseppe Greco, in qualità di legali rappresentanti degli studi di consulenza per il trasporto Michelini s.r.l., Agenzia Credit e Agenzia Upam, hanno lamentato la ricezione di numerosi fax indesiderati provenienti dal consorzio I.S.A.Co., allegati alla segnalazione medesima;
RILEVATO dagli atti che il consorzio I.S.A.Co. pubblicizza in tali fax propri servizi e iniziative a studi di consulenza per il trasporto, e propone loro di associarsi al consorzio medesimo;
RILEVATO che allo stato non risulta (sia dalla segnalazione, sia dal riscontro che il consorzio ha fornito alle richieste degli interessati, nonché dalla nota del 17 gennaio 2006 che il consorzio stesso ha inviato all'Autorità in risposta ad una richiesta di elementi ai sensi dell'art. 157 del Codice) che l'inoltro dei reiterati messaggi promozionali mediante telefax sia basato sul previo consenso specifico dei relativi destinatari;
VISTA, altresì, l'ulteriore segnalazione del 27 ottobre 2006 con la quale i predetti signori Michelini e Compagnoni hanno lamentato nuovamente la ricezione di ulteriori fax promozionali da parte del consorzio I.S.A.Co. in data 17 ottobre 2006, aventi analogo contenuto promozionale;
RILEVATO che l'art. 130, comma 2, del Codice prescrive, per l'invio di materiale pubblicitario mediante telefax, l'acquisizione di un consenso informato, specifico e preventivo dell'interessato (v., in applicazione della medesima disposizione, i provvedimenti del Garante del 29 maggio 2003 -relativo allo spamming- e del 10 giugno 2003 -relativo agli sms promozionali- in www.garanteprivacy.it, doc. web. nn. 29840 e 29836);
CONSIDERATO che l'invio di messaggi promozionali mediante telefax senza il prescritto consenso configura, quindi, un trattamento illecito di dati;
CONSIDERATO che il Garante, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, ha il compito di vietare anche d'ufficio il trattamento illecito o non corretto dei dati o di disporne il blocco e di adottare, altresì, gli altri provvedimenti previsti dalla disciplina applicabile al trattamento dei dati personali;
Pag. 73
La tutela della privacy nelle attività di marketing e promozionali
RILEVATA la necessità di vietare il trattamento ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, considerato che l'invio di messaggi promozionali per mezzo del telefax in assenza del necessario consenso dei destinatari degli stessi risulta, dagli atti, reiterato dal consorzio I.S.A.Co., contrariamente a quanto dallo stesso dichiarato al Garante nella risposta alla menzionata richiesta di elementi ai sensi dell'art. 157 del Codice;
RISERVATA, con autonomo provvedimento, la contestazione in separata sede della violazione amministrativa concernente l'informativa agli interessati (artt. 13, comma 4 e 161 del Codice);
RISERVATA, altresì, l'adozione di ogni altro atto e provvedimento all'esito di ulteriori accertamenti preliminari;
TENUTO CONTO che, ai sensi dell'art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento è punito con la reclusione da tre mesi a due anni;
CONSIDERATO che l'art. 11, comma 2, del Codice prevede che i dati personali trattati in violazione della disciplina rilevante in materia di dati personali non possono essere utilizzati;
VISTA la documentazione in atti;VISTE le osservazioni dell'Ufficio, formulate dal segretario generale ai
sensi dell'art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;Relatore il dott. Giuseppe Chiaravalloti;
TUTTO CIÒ PREMESSO IL GARANTE: ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del
Codice, vieta il trattamento dei dati personali effettuato mediante utilizzo del telefax per inviare comunicazioni pubblicitarie senza il preventivo consenso specifico ed informato degli interessati, nei confronti del consorzio I.S.A.Co. e di ogni altro soggetto che, in sede di comunicazione del presente provvedimento e di correlati accertamenti preliminari risulti eventualmente titolare o contitolare del trattamento dei dati in questione. Ciò, con effetto dalla data di notificazione del presente atto presso la sede, residenza o domicilio risultanti dagli atti o comunque accertati dall'organo notificante.
Roma, 23 novembre 2006
IL PRESIDENTEPizzetti
IL RELATOREChiaravalloti
IL SEGRETARIO GENERALE
Pag. 74
La tutela della privacy nelle attività di marketing e promozionali
Buttarelli
Pag. 75
La tutela della privacy nelle attività di marketing e promozionali
Provvedimento 7 dicembre 2006, Raccolta di dati personali in strutture neonatali a fini di marketing
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALINELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presi
dente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;
VISTA la normativa comunitaria e nazionale in materia di protezione dei dati personali (Codice in materia di protezione dei dati personali approvato con d.lg. n. 30 giugno 1996, n. 196; direttiva comunitaria 95/46/Ce del 24 ottobre 1995), anche previgente (l. 31 dicembre 1996, n. 675; d.lg. 28 dicembre 2001, n. 467);
VISTE le segnalazioni dei coniugi YX relative all'utilizzo dei dati personali di uno di essi e dei figli neonati, al fine dell'invio di materiale editoriale da parte di Sfera Editore S.p.a.;
VISTI gli elementi acquisiti a seguito degli accertamenti avviati presso Sfera Editore S.p.a. e delle successive deduzioni formulate dalla stessa, nonché degli ulteriori accertamenti effettuati nei confronti dei c.d. "promotori" che collaborano con tale società;
VISTE le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
RELATORE il dott. Giuseppe Fortunato;PREMESSO
1. Raccolta di dati personali per finalità di marketing presso strutture sanitarie neonatali
1.1. Con nota inviata a Prenatal S.p.a. e Sfera Editore S.p.a. (di seguito, "Prenatal" e "Sfera"), e per conoscenza al Garante, YX ha contestato l'invio della pubblicazione "Nuova generazione" edita da Sfera (che invita a visitare il sito web dell'altra società), affermando che non era stato prestato alcun consenso alla società in ordine al trattamento dei dati dei componenti della propria famiglia. Contestualmente, il segnalante ha esercitato nei confronti delle menzionate società i diritti di cui all'art. 13 della legge n. 675/1996 chiedendo, in particolare, di conoscere la natura, la tipologia e l'origine dei dati raccolti, nonché la loro cancellazione.
In riscontro a tali richieste del 30 giugno 2000, le società hanno comunicato al segnalante (Sfera, con comunicazione del 27 luglio 2000; Prenatal, con nota del 9 agosto 2000), e per conoscenza al Garante, di aver detenuto nei propri data-base, e poi cancellato, i dati relativi alla sig.a YW, moglie del segnalante, e quelli del figlio YZ.
Pag. 76
La tutela della privacy nelle attività di marketing e promozionali
In presenza di ulteriori istanze del segnalante e della richiesta di informazioni dell'Autorità dell'11 aprile 2001 (ai sensi dell'art. 32, comma 1, l. n. 675/1996), con proprie comunicazioni dell'11 maggio 2001 e del 18 maggio 2001, Sfera dichiarava al Garante di aver:
a) cancellato i dati relativi alla sig.a YW e al figlio YZ, nato il YK, concernenti l'abbonamento gratuito alla rivista "Io e il mio bambino" edita da Sfera;
b) acquisito tali dati attraverso una cartolina postale ricevuta e registrata il 1° agosto 1999 (comunicata in copia all'Autorità), contenente un modello di informativa ai sensi dell'art. 10 della legge n. 675/1996 e una richiesta di consenso dell'interessato del seguente tenore: "se non desideri ricevere successivi invii di campioni gratuiti e di informazioni scientifiche o commerciali, contrassegna con X la casella";
c) comunicato i dati a Prenatal, quale inserzionista della rivista, nonché ad altre società designate quali responsabili del trattamento.
1.2. Il 18 gennaio 2002, in occasione della nascita del secondo figlio, i coniugi YX hanno segnalato al Garante di aver ricevuto ulteriore materiale editoriale proveniente da Sfera, rinnovando le proprie richieste volte a conoscere la natura, la tipologia e l'origine dei dati e chiedendone nuovamente la cancellazione.
Nella risposta del 29 gennaio 2002 inviata ai segnalanti e per conoscenza al Garante, Sfera dichiara di aver utilizzato per l'invio del materiale promozionale di cui sopra i dati precedentemente raccolti in quanto, "pur essendo stati cancellati, [i medesimi] sono presenti nel […] data base storico con l'annotazione della […] volontà [dei segnalanti] di non essere contattati".
Nella medesima comunicazione Sfera, con l'intento di giustificare il proprio comportamento, sosteneva che "la nascita di un figlio è un fatto inevitabilmente pubblico" e che a tale pubblicità contribuiscono gli stessi genitori che "annunciano l'evento ponendo un fiocco sulla porta di casa" o diffondono il nome del nato attraverso la stampa locale, asserendo così che, "salvo casi particolari, la nascita non è pertanto un dato personale sul quale possa presumersi una situazione di segretezza o di riservatezza tale da inibirne in modo assoluto la comunicazione e, addirittura, la diffusione". La società affermava di voler svolgere indagini più approfondite sull'invio del materiale non richiesto, ma l'esito di tali asseriti accertamenti non è stato comunicato al Garante.
1.3. Considerata l'inidoneità degli elementi forniti da Sfera in ordine alla liceità del trattamento, il Garante ha disposto, con deliberazione 24 giugno 2003, n. 13, ulteriori accertamenti ai sensi dell'art. 32, comma 2, della legge n. 675/1996 in ordine al trattamento effettuato da Sfera dei dati relativi a don
Pag. 77
La tutela della privacy nelle attività di marketing e promozionali
ne in stato di gravidanza e a puerpere, raccolti tramite coupon distribuiti all'interno di strutture sanitarie neonatali, la cui compilazione consente agli interessati di ricevere gratuitamente una rivista in abbonamento.
Tali accertamenti, effettuati presso gli uffici di Sfera in Milano e, successivamente, presso altri soggetti (Anna Guglielmi – Bari; Gianfranco Brescia – Foggia; Se.E.Con. s.c.a.r.l. – Alcamo (TP); Antonio Saglimbene – Siracusa; Giuseppe Carollo – Palermo; Paolo Milocco – Brindisi), individuati dalla società come "promotori" operanti su tutto il territorio nazionale per acquisire i dati personali di donne che frequentano strutture sanitarie neonatali o consultori, hanno riguardato:
a) le modalità di acquisizione dei dati da parte della società; b) le procedure attuate per verificare il rispetto delle norme sull'infor
mativa e la genuinità del consenso; c) il sistema di registrazione dei dati su supporti elettronici; d) le procedure previste per cancellare i dati e per rispettare l'opposi
zione al trattamento da parte degli interessati; e) la verifica della veridicità delle dichiarazioni rese da Sfera al Garan
te nell'ambito del procedimento instaurato a seguito delle segnalazioni dei coniugi YX.2. L'attività di Sfera
2.1. Nel corso delle verifiche è emerso che Sfera, società editoriale del gruppo "Rcs Media Group", svolge la propria attività mediante l'invio di riviste, pubblicazioni e prodotti destinati a neo-genitori.
Tale attività viene realizzata anche mediante le società controllate risultanti in atti e si articola sostanzialmente in tre fasi:
I) raccolta dei dati personali degli interessati; II) gestione del data-base nel quale i dati sono registrati; III) promozione del proprio materiale editoriale e di altri prodotti.2.2. Con riguardo alla prima di tali fasi è emerso che la fonte primaria di
raccolta dei dati da parte di Sfera consiste nella compilazione, per lo più ad opera di donne in stato di gravidanza o puerpere, di coupon resi disponibili presso strutture neonatali, consultori, studi ginecologici e pediatrici, farmacie e negozi per la prima infanzia.
Mediante i coupon viene chiesto agli interessati di conferire alcuni dati (in particolare, quelli anagrafici propri e dei figli, o relativi a recapiti, anche telefonici e di posta elettronica, o concernenti la professione) al fine di invio di materiale editoriale e/o di altri prodotti. Sfera cura la distribuzione dei coupon e la raccolta di quelli compilati, in larga misura tramite una rete di circa trenta "promotori" operanti per aree geografiche (con modalità descritte nei punti 3 e
Pag. 78
La tutela della privacy nelle attività di marketing e promozionali
4).2.3. I dati raccolti da Sfera confluiscono in tre data-base denominati: a) "prima infanzia", contenente i dati acquisiti mediante le procedure
appena descritte; b) "rivista Cipria", relativo a dati acquisiti attraverso coupon pubblicati
sulla omonima rivista; c) "vendite dirette", concernente i dati acquisiti sulla base di vendite di
rette.Nel data-base "prima infanzia" –rispetto al quale sono stati effettuati gli
accertamenti sopra menzionati, anche al fine di verificare la presenza di dati riferiti ai segnalanti– sono registrate le informazioni raccolte mediante la distribuzione dei coupon ad opera dei promotori; esso consta di circa 2.700.000 anagrafiche di soggetti i cui dati sono stati registrati a partire dall'anno 1992.3. Le attività svolte dai "promotori"
3.1. I "promotori" sono collaboratori professionali di Sfera legati alla società da un contratto che prevede una remunerazione in parte fissa e in parte legata al numero dei coupon compilati e delle strutture sanitarie contattate. Con riferimento ai compiti attribuiti da Sfera alla figura del "promotore", dai predetti accertamenti è emerso che le attività da questi poste in essere consistono:
• nell'individuazione, tra il personale operante presso le strutture sanitarie, di persone denominate "referenti";• nella consegna ai "referenti" di coupon con i quali gli interessati
(come detto, per lo più donne in stato di gravidanza e puerpere) possono richiedere l'abbonamento gratuito alla rivista "Io e il mio bambino";• nell'illustrazione ai "referenti" della condotta da tenere nei confronti
dei soggetti chiamati a compilare i coupon;• nel "vigilare per evitare, per quanto possibile, la compilazione delle
cartoline per la sottoscrizione di abbonamenti trimestrali gratuiti da parte di persone che vogliano approfittare delle offerte gratuite della società o vogliano effettuare scherzi a danni di inconsapevoli soggetti di loro conoscenza" (v. memoria integrativa contenente dichiarazioni spontanee di Sfera, dell'11 febbraio 2004, p. 3);• nella verifica in ordine alla corretta distribuzione, presso le struttu
re sanitarie di propria "competenza", del materiale sopra menzionato e dell'ulteriore materiale promozionale (ad esempio "cofanetti" e guide) distribuito direttamente da Sfera;
Pag. 79
La tutela della privacy nelle attività di marketing e promozionali
• nel ritiro delle cartoline compilate (di regola, il mese successivo alla loro distribuzione);• nella verifica della congruità del numero delle cartoline compilate
rispetto alla media mensile delle nascite nelle strutture neonatali;• nella compilazione (ed invio, unitamente alle cartoline raccolte) di
una scheda dedicata ad ogni struttura ospedaliera coinvolta (denominata "scheda di passaggio" nelle dichiarazioni rese dai "promotori"), suddivisa in due sezioni: l'una, pre-compilata da Sfera, contenente i dati relativi alla struttura sanitaria, al "promotore" e ai "referenti" della struttura medesima (comprendenti tipologicamente il primario e altro personale sanitario), un "campo note" con indicazioni per i promotori, un riquadro denominato "regali", con l'indicazione dei premi eventualmente richiesti dai "referenti" in relazione ai punti maturati dai medesimi (in ordine al funzionamento di tale sistema premiale, v. il punto 4.2.); tale sezione contiene altresì l'indicazione, per mese, del numero di cartoline raccolte, il numero di riviste e di "cofanetti" distribuiti, e l'indirizzo della struttura sanitaria presso la quale questi ultimi vengono spediti; la seconda sezione viene compilata direttamente dai "promotori" e riporta il numero delle cartoline, l'eventuale motivo del loro mancato ritiro, il nome del "referente" a cui queste ultime sono state consegnate, il numero delle riviste rilasciate e il totale delle nascite (per intervalli temporali), un campo libero per annotazioni, la data di passaggio e la sottoscrizione del "promotore";• nella consegna delle cartoline a Sfera, unitamente alla corrispon
dente scheda di passaggio.Dall'analisi dei compiti svolti (v., in tal senso, anche le dichiarazioni rese
da Paolo Milocco nel verbale in atti del 6 ottobre 2004, p. 2) emerge che il "promotore" non effettua alcuna attività di raccolta diretta dei dati, non avendo tra l'altro accesso ai reparti ospedalieri (e non potendo quindi interloquire con le persone ricoverate).
3.2. L'attività descritta al punto precedente è svolta dal "promotore" in virtù di un contratto di collaborazione professionale ai sensi dell'art. 2222 del codice civile stipulato con la società, il quale prevede che:
a) l'incarico è svolto in autonomia; b) il promotore non è assoggettato a vincoli di subordinazione nei con
fronti di Sfera, né è tenuto a rispettare direttive (fatta salva l'osservanza, con riguardo ai profili di protezione dei dati personali, delle "Linee guida che regolano la raccolta dei dati personali da parte della società Sfera Editore s.p.a.", allegate al contratto); il controllo da parte di Sfera riguarda il risultato finale;
c) in caso di necessità, il promotore può farsi sostituire da persone da lui designate, comunicandone il nominativo alla società;
Pag. 80
La tutela della privacy nelle attività di marketing e promozionali
d) con la sottoscrizione del contratto, il promotore "dichiara di essere informato delle modalità di trattamento dati delle potenziali lettrici delle pubblicazioni di Sfera che egli raccoglierà durante lo svolgimento della sua attività" e dichiara contestualmente "di accettare la nomina di incaricato del trattamento" (clausola 10 del modello di contratto di collaborazione professionale ex art. 2222 c.c. di Sfera, in atti).4. Il ruolo del personale ospedaliero
4.1. Come già accennato, gli accertamenti svolti hanno messo in evidenza che i "promotori", non avendo accesso ai reparti ospedalieri, né, più in generale, contatti diretti con gli interessati, non sono in grado di raccogliere da soli i dati per Sfera, la quale si avvale a tal fine di un anello di collegamento rappresentato dal personale ospedaliero.
Dalle dichiarazioni rese e dalla documentazione acquisita presso i "promotori" risulta che la messa a disposizione delle cartoline avviene da parte dei summenzionati "referenti", "reclutati" tra il personale medico e paramedico impiegato presso le strutture sanitarie di riferimento; questi ultimi provvedono alla raccolta e alla custodia dei coupon fino alla loro riconsegna al "promotore". Tale procedura –che evidenzia un ruolo attivo del personale sanitario nelle descritte operazioni di trattamento dei dati– risulta essere stata seguita abitualmente in luogo di altre possibili modalità curate direttamente da Sfera (invio dei coupon agli interessati mediante comunicazione postale della società –cfr. memoria integrativa di Sfera, cit., p. 3–; coinvolgimento diretto da parte di Sfera del personale sanitario).
Peraltro, il ruolo dei "referenti" ospedalieri non è limitato alla trasmissione dei coupon: agli stessi viene chiesto infatti di richiamare l'attenzione degli interessati sull'informativa resa da Sfera e di facilitarne la compilazione (cfr. memoria integrativa di Sfera, cit., p. 4; dichiarazioni rese da Paolo Milocco nel verbale del 6 ottobre 2004, p. 2).
4.2. L'attività dei "referenti" viene gratificata da Sfera con regali e altre utilità da destinarsi ai "referenti" medesimi o alle strutture presso cui essi operano (cfr. dichiarazioni contenute nei verbali in atti rese da Gianfranco Brescia il 6 ottobre 2004, p. 3; da Paolo Milocco il 6 ottobre 2004, p. 3; da Giuseppe Carollo l'8 ottobre 2004, p. 2; da Antonio Saglimbene l'8 ottobre 2004, p. 3; da Vincenzo Cottone, per Se.E.Con. s.c.a.r.l. di Trapani, l'8 ottobre 2004, p. 3; da Anna Guglielmi il 6 ottobre 2004, p. 3).
Regali e utilità vengono assegnati sulla base di un sistema a punti in virtù del quale a ciascun "referente" è attribuito un punto per ogni cartolina compilata. In base ai punti accumulati il "referente" può scegliere, utilizzando una modulistica predisposta da Sfera, premi compresi in un catalogo costantemente aggiornato dalla società.
La tipologia dei premi offerti è variegata, comprendendo oggetti di marca ad uso personale (collier d'oro, orologi, depilatori, macchine fotografiche digi
Pag. 81
La tutela della privacy nelle attività di marketing e promozionali
tali, telefoni cellulari, piastre arricciacapelli a vapore, beauty case ), domestico (copripiumone matrimoniale, friggitrici da cucina, bistecchiere grill con doppia piastra, folletto aspirabriciole, tostapane, tovaglie) o destinati al tempo libero (abbonamenti a riviste, apparecchiature di riproduzione musicale, televisori, borse da viaggio), peraltro di dubbia attinenza con i ruoli sanitari ricoperti.
È stato accertato, mediante annotazioni contenute nelle "schede di passaggio", che vengono talora richiesti beni non compresi nel catalogo (cfr. scheda di un ospedale acquisita negli accertamenti effettuati presso il sig. Saglimbene, nella quale si legge: "La professoressa XY contattata telefonicamente dice che per questo lavoro vuole almeno un'incubatrice, paragona questa attività di propaganda ad uno spot televisivo e ritiene giusto applicare le stesse tariffe"); altri, subordinano la propria collaborazione alla concessione di "spazi" su riviste (cfr. scheda di un ospedale acquisita negli accertamenti effettuati presso il sig. Carollo, nella quale si legge: "Il primario pediatria dottoressa VZ vieta qualsiasi tipo di promozione, salvo disponibilità da parte di Eurotrend a dedicarle uno spazio sulla rivista" e nella quale si legge, quale annotazione ulteriore, "Attenzione! L'incaricata collabora di nascosto" ).5. I coupon c.d. " non spontanei"
5.1. Nel corso delle verifiche Sfera ha dichiarato che "può accadere che il coupon non venga compilato direttamente dall'interessata, ma tramite la mediazione di persone operanti all'interno della struttura ospedaliera, le quali a titolo di cortesia e avendone informato l'interessata, provvedono a completare la cartolina" (memoria integrativa di Sfera, cit., p. 3).
Tali cartoline, prive di sottoscrizione (ed eventualmente del numero di telefono degli interessati), vengono contrassegnate dai promotori con la dizione "da verificare", oppure "non spontanee" (cfr. dichiarazioni di Anna Guglielmi, verbale 6 ottobre 2004, p. 3). Al riguardo, la società ha affermato che la classificazione delle cartoline come "non spontanee" (termine con il quale si qualificano "dati che sono il risultato di una mediazione, non pianificata, nella fase di compilazione della cartolina stessa") è attribuita non solo ai coupon "che presentano un'analoga grafia, ma anche alle cartoline incomplete, con dati mancanti o contraddittori" (memoria integrativa di Sfera, cit., p. 6).
In tale contesto, sembrerebbe doversi ricomprendere anche la cartolina (riprodotta in copia da Sfera) da cui sono stati ricavati i dati relativi a YW, priva anch'essa di sottoscrizione e del numero di telefono, che i segnalanti sostengono di non aver mai compilato (cfr. note del sig. YX del 28 agosto 2000 e del 16 gennaio 2002 inviate a Sfera e trasmesse per conoscenza a questa Autorità).
5.2. Presso i "promotori", per trovare un'ulteriore conferma della prassi sopra descritta e della circostanza che la stessa fosse nota a Sfera, sono stati successivamente acquisiti i seguenti documenti:
Pag. 82
La tutela della privacy nelle attività di marketing e promozionali
a) una missiva del 30 gennaio 2003 (prodotta nel corso dell'ispezione presso Gianfranco Brescia) a firma del responsabile dell'Area logistica di Sfera, sig. Maurizio Santandrea, che in un passo evidenzia che "alcuni ospedali […] consegnano cartoline non spontanee. Nell'ottimizzare la vostra raccolta e il vostro rendimento economico, abbiamo inserito nel pacco di questo mese la "dichiarazione informativa sulla privacy" che se compilata dall'incaricata permette alla cartolina non spontanea di acquisire gli stessi vantaggi di quella spontanea, ottimizzando così tempi e costi";
b) una nota a firma di Maurizio Santandrea e del coordinatore dell'area "Field" Antonio Saracino, in cui si ribadisce al "promotore" Brascia la possibilità di ricorrere all'informativa sottoscritta dai "referenti" ospedalieri per acquisire (in termini di incentivi e premi) gli stessi vantaggi delle cartoline spontanee anche da quelle non spontanee e si invia un prospetto degli enti che, "confrontati con l'aprile 2002, sono notevolmente calati nella raccolta delle cartoline". La missiva prosegue invitando il Brescia a riferire i motivi del decremento e a prospettare rimedi;
c) una terza missiva indirizzata al Brescia dall'Area logistica di Sfera, nella quale si evidenzia che le cartoline provenienti da taluni enti "ci risultano essere non spontanee" ed esorta il "promotore" a incentivare la distribuzione delle informative ai referenti "anche regalando dei punti piuttosto che dei regali";
d) in altra missiva, indirizzata anch'essa al Brescia da parte dell'Area logistica di Sfera, si affronta nuovamente la questione della "trasformazione" delle cartoline non spontanee tramite la sottoscrizione dell'informativa da parte dei "referenti" ospedalieri, osservando che "per questi enti c'è sempre il catalogo premi, l'articolo sulla rivista, qualche donazione, convegno, pertanto dia il massimo affinché possa convertirli".
Il fatto che la società sia a conoscenza che molti coupon non sono compilati dalle interessate risulta anche dall'analisi delle annotazioni (dal seguente tenore: "cartoline compilate dall'incaricata"; "cartoline compilate dall'ostetrica") riportate nel "campo note" di talune delle schede riassuntive in atti che, come detto, il "promotore" è tenuto ad inviare a Sfera.
5.3. Nel corso degli accertamenti, anche in relazione al rinvenimento negli archivi cartacei di Sfera di diverse cartoline provenienti dagli ospedali di Taranto e San Giuseppe di Nardò (in atti), apparentemente compilate da un unico soggetto (cfr. dichiarazione di Anna Guglielmi nel verbale del 6 ottobre 2004, p. 3), è stato chiesto al responsabile dell'Area logistica se la società avesse contestato ai "promotori" comportamenti irregolari in ordine al fenomeno delle cartoline c.d. non spontanee. Dalle dichiarazioni rese per conto della società è emerso che: "in ogni circostanza in cui la società abbia nutrito dubbi circa la spontaneità dell'acquisizione delle informazioni, ha proceduto a classificare le stesse con la sigla "NS" (…) e che non sono state fatte specifiche contestazioni ma che, comunque, a partire dal 2003, il contratto dei pro
Pag. 83
La tutela della privacy nelle attività di marketing e promozionali
motori è stato integrato con le linee-guida per il trattamento" (cfr. verbale del 22 dicembre 2003, p. 5).
La società ha precisato che "i dati definiti come non spontanei vengono trattati con cautele aggiuntive che portano a chiedere all'interessata di confermare il suo interesse a ricevere il materiale editoriale e, in caso di risposta negativa o anche semplicemente di mancata risposta la società, nel pieno rispetto del principio del consenso espresso dall'interessato su cui si fonda questa attività in base alla normativa, sospende precauzionalmente qualsiasi trattamento dei dati stessi" (memoria integrativa di Sfera, cit., p. 6; cfr. anche la nota di riscontro di Sfera del 18 maggio 2001, cit.).
6. Archiviazione e attività di tele-marketing per i dati contenuti nei coupon c.d. "non spontanei"
6.1. Sulla base di quanto dichiarato da Sfera in sede ispettiva, è emerso che i coupon, una volta riconsegnati dai "promotori", vengono affidati a Kalitype s.n.c. e D.S.Z. s.a.s. di Milano per le operazioni di data-entry nel data-base principale di Sfera.
A seguito di un esame sommario dei coupon così raccolti, volto a verificare la completezza dei dati, vengono registrati nel data-base soltanto i dati riportati nelle cartoline contenenti il numero telefonico e la sottoscrizione dell'interessato.
Le cartoline classificate come "non spontanee" sono invece trasmesse a Telecontatto S.p.a., che provvede a reperire i numeri telefonici degli interessati per rendere possibile la successiva attività di tele-marketing da parte di Sfera. A questo proposito Sfera ha dichiarato che al momento del contatto telefonico l'operatore incaricato "provvede ad acquisire il consenso al trattamento dei dati personali […] con lettura integrale, all'interessato, dell'informativa".7. Le istanze ex art. 7 del Codice e le verifiche in ordine a YW
Negli accertamenti presso Sfera si è anche verificato il trattamento dei dati personali relativi ai componenti della famiglia YX, in relazione alla procedura seguita per dare corso alle richieste di cancellazione dei dati relativi a coloro che revocano il consenso o che si oppongono al trattamento.
I predetti dati risultano presenti nel data-base sotto il nominativo della sig.a "YW" (sebbene il nominativo risulti errato, come evidenziato nel coupon a suo tempo esibito dalla società). In relazione a tale nominativo è presente un c.d. "vincolo di utilizzo" denominato "blocco permanente su richiesta persona". I dati della sig.a YW risultano essere stati acquisiti in due circostanze, "rispettivamente in data 2 agosto 1999, attraverso il coupon della rivista "Io & il mio bambino" […] e in data 1° giugno 2001, attraverso un coupon "Ospedali"" (cfr. verbale del 22 dicembre 2003, p. 5).
Pag. 84
La tutela della privacy nelle attività di marketing e promozionali
Con riguardo poi alle richieste di cancellazione dei dati o alle opposizioni al trattamento, la società ha dichiarato di aver modificato la relativa procedura (che in una prima fase prevedeva la estromissione del relativo record dal data-base) creando un'apposita black list formata dai nominativi e dai codici di avviamento postale di residenza degli interessati che non desiderano ricevere comunicazioni da Sfera.8. Trattamenti effettuati da Sfera e protezione dei dati: in particolare, la mancata designazione di responsabili e incaricati
8.1. La complessa vicenda descritta è di seguito esaminata per ciò che concerne la liceità e la correttezza del trattamento dei dati, profili questi di competenza del Garante.
Vanno preliminarmente qualificate dal punto di vista della protezione dei dati le attività svolte da "promotori" e "referenti" nell'interesse di Sfera, titolare del trattamento sopra descritto.
Dalla ricostruzione delle attività svolte e degli impegni contrattualmente assunti da soggetti esterni quali i "promotori", la figura di questi ultimi (che peraltro non sono sempre persone fisiche) non risulta qualificabile alla mera stregua di semplici "incaricati del trattamento".
Il grado di autonomia del "promotore" in ordine alle modalità da osservare nel trattamento dei dati, così come prefigurata dalle clausole contrattuali che regolano il rapporto di collaborazione coordinata e continuativa con la società, risulta infatti alquanto ampio ancorché all'interno delle direttive impartite da Sfera ("Sintesi delle linee guida che regolano la raccolta dei dati personali da parte della società Sfera Editore s.p.a.", allegata al contratto di collaborazione).
Va pertanto prescritto a Sfera, ai sensi dell'art. 154, comma 1, lett. c ), del Codice, di provvedere alla necessaria designazione dei promotori di cui intenda continuare ad avvalersi quali "responsabili", anziché "incaricati" del trattamento, in conformità a quanto previsto dagli artt. 4 e 29 del Codice.
8.2. Dagli atti non risulta che Sfera, pur sussistendone i presupposti e la necessità, abbia designato quale "responsabile del trattamento", salva la società Kalitype –la quale comunque non risulta aver provveduto a designare quali incaricati del relativo trattamento i propri dipendenti (cfr. verbale del 22 dicembre 2003, p. 4)– le società Telecontatto e D.S.Z., né tale designazione è stata a tutt'oggi comunicata al Garante.
Il trattamento dei dati presso tali società non risulta quindi dagli atti effettuato in conformità ai necessari requisiti di liceità (artt. 4, 30, 33 e All. B del Codice).
La prescrizione di cui al punto 8.1. va quindi impartita dal Garante anche in relazione all'attività di tali società, oltre alla trasmissione degli atti e di copia del presente provvedimento all'autorità giudiziaria per le valutazioni di compe
Pag. 85
La tutela della privacy nelle attività di marketing e promozionali
tenza in ordine alla non risultante adozione delle misure minime di sicurezza previste dal predetto All. B al Codice (art. 169 del Codice).
8.3. Sono emersi profili critici anche in relazione alla qualificazione, dal punto di vista della disciplina di protezione dei dati personali, dei comportamenti materiali posti in essere dai "referenti" che, a titolo diverso, hanno consentito (o tollerato) o, ancora, effettuato direttamente un'attività di distribuzione dei coupon e di loro raccolta e conservazione una volta compilati, con eventuale partecipazione diretta anche alla loro redazione, prestando assistenza agli interessati, o finanche sostituendosi (a loro insaputa) ai medesimi.
Queste attività, basate su una distribuzione alquanto capillare dei "referenti" nell'ambito delle strutture sanitarie interessate agli accertamenti, sono operazioni di trattamento di dati personali (art. 4, comma 1, lett. a ) del Codice).
L'attività dei "referenti", per le modalità attraverso le quali trova regolare attuazione, lungi dal caratterizzarsi per la saltuarietà e l'occasionalità dell'apporto fornito per il trattamento dei dati, denota infatti una continuità nell'impegno assunto dai "referenti" con i "promotori" (e la società), rappresentando un elemento indefettibile ed imprescindibile per la buona riuscita delle operazioni di raccolta dei dati finalizzate al marketing da parte di Sfera.
Né, tenendo conto dell'attribuzione dei benefici sopra descritti al punto 4.2., tale attività si caratterizza per disinteresse e spontaneità, come le dichiarazioni della società vorrebbero far intendere (cfr. memoria integrativa di Sfera, cit., p. 4, secondo cui le cartoline possono anche "essere raccolte con l'assistenza spontanea del personale ospedaliero […], che si premura di distribuire le cartoline. A tale riguardo va precisato […] che non è infrequente che lo stesso personale ospedaliero agevoli la diffusione del materiale distribuito e questo per un comprensibile elemento di carattere psicologico (risulta infatti moralmente gratificante consentire alla neo-mamma di ricevere gratuitamente materiale di pregio e di immediata utilità)".
Tali elementi, valutati nelle concrete modalità di svolgimento delle operazioni di raccolta, inducono a rinvenire nei "referenti" l'ultimo, ma vitale, anello della catena di cui Sfera si avvale per la raccolta (e, talora, la "generazione", nel caso delle c.d. cartoline non spontanee) delle informazioni personali.
I "referenti" non risultano aver assunto questo compito in termini leciti in rapporto alle funzioni che i medesimi possono svolgere nelle strutture pubbliche e private di appartenenza in corrispondenza dell'esecuzione della prestazione lavorativa (non constando, dagli atti acquisiti, che l'attività svolta per Sfera fosse prevista da convenzioni legittimamente sottoscritte dalle strutture sanitarie o consentita da atti autorizzativi interni).
Oltre agli altri aspetti di illiceità e non correttezza del trattamento legati a talune modalità di concreta informativa e compilazione dei coupon, non risulta altresì che i "referenti" abbiano trattato legittimamente i dati nella qualità di
Pag. 86
La tutela della privacy nelle attività di marketing e promozionali
"incaricati del trattamento" designati da Sfera o dai "promotori" (incarico di cui è peraltro difficile configurare la liceità alla luce della disciplina vigente e dell'anomalo sistema di collaborazione sinora instaurato, atteso che i "referenti" sono generalmente dipendenti o collaboratori delle strutture sanitarie presso le quali operano –e, quindi, già "incaricati" delle medesime– e che l'"incaricato del trattamento" può essere designato come tale solo se opera "sotto la diretta autorità del titolare o del responsabile": art. 30 del Codice).
Va pertanto vietato a Sfera, ai sensi degli artt. 143, comma 1, lett. c), 154, comma 1, lett. d), e 170 del Codice, di effettuare ulteriori operazioni di trattamento dei dati avvalendosi di "referenti" sprovvisti dei necessari presupposti di legittimazione al trattamento.
La comunicazione all'autorità giudiziaria di cui al punto 8.2. viene disposta dal Garante anche in relazione alla non risultante adozione delle predette misure minime di sicurezza concernenti la descritta attività dei "referenti".9. L'informativa e il consenso degli interessati
9.1. I coupon distribuiti dai promotori (di cui sono state acquisite alcune copie nel corso degli accertamenti) sono di tenore parzialmente diverso in relazione all'informativa e alla dichiarazione di consenso al trattamento da parte degli interessati riprodotte nei medesimi; contengono una sintetica informativa ai sensi dell'art. 10 della legge n. 675/1996 e un apposito spazio per raccogliere la manifestazione del consenso.
In taluni casi è previsto uno spazio per la sottoscrizione; in altri modelli, per esplicitare il consenso, è inserita solo una casella da barrare. A tale riguardo la società ha asserito che le differenze "nelle formule di informativa e consenso sono effetto di un processo in continuo divenire di adeguamento alle indicazioni provenienti dal Garante e di suggerimenti dei consulenti dell'azienda" (v. verbale del 22 dicembre 2003, p. 2).
9.2. Ciò premesso, i diversi modelli di informativa esaminati non contengono una specifica e distinta indicazione in ordine alle finalità perseguite (consistenti nell'utilizzo delle informazioni per l'invio dell'abbonamento gratuito alla rivista e nell'invio di altro materiale promozionale da parte della società o di terzi, anche appartenenti allo stesso gruppo societario) e alle relative modalità di trattamento dei dati. Né viene indicata la finalità di profilazione degli interessati, che è stata oggetto di notificazione al Garante da parte di Sfera.
I modelli, così come sono strutturati, non consentono agli interessati di comprendere quali siano le informazioni che gli stessi dovrebbero conferire ai fini dell'invio della rivista (tra i quali potrebbero ricomprendersi i dati identificativi e i recapiti) e quelle, facoltative, utilizzate dalla società per compiere altre attività (dati anagrafici propri e dei figli, sesso, professione, numeri telefonici e indirizzi di posta elettronica).
Pag. 87
La tutela della privacy nelle attività di marketing e promozionali
In alcuni casi non è prevista un'indicazione chiara delle categorie di soggetti cui i dati possono essere comunicati. In particolare, in uno dei modelli di informativa predisposto dalla società e acquisito agli atti, Sfera si limita ad operare un mero riferimento, per di più a titolo esemplificativo, a "gli inserzionisti di "Io & il mio bambino" ed altre aziende di primaria importanza". Nelle altre cartoline esaminate, invece (con cui sembrerebbero essere state sostituite a partire dal 2000 quelle appena descritte: v. la nota di riscontro di Sfera del 18 maggio 2001 alla richiesta di informazioni del Garante ex art. 32, comma 1, l. n. 675/1996), ai fini dell'individuazione delle categorie di soggetti cui i dati possono essere comunicati, si rinvia, più genericamente, ad un elenco aggiornato contenente tali indicazioni, che l'interessato può richiedere al responsabile del trattamento.
Oltre al divieto di cui al dispositivo per quanto riguarda i dati già trattati in modo illecito e non corretto, va pertanto prescritto a Sfera, ai sensi dell'art. 154, comma 1, lett. c), del Codice, di riformulare l'informativa inserita nei coupon, in conformità alla previsione ora contenuta nell'art. 13 del Codice e ai principi richiamati dal Garante in precedenti occasioni (Provv.24 febbraio 2005, punto 6, in www.garanteprivacy.it, doc. web n. 1109624; Provv.13 gennaio 2000, ivi, doc. web n. 42276), integrandola in maniera tale da rendere chiari e comprensibili tutti gli aspetti qualificanti del trattamento sopra rappresentati.
9.3. Con riguardo al profilo del consenso, le formule predisposte da Sfera risultano differenziate. Ricorrono, infatti, le seguenti locuzioni:
a) "Se non desideri ricevere successivi invii di campioni gratuiti e di informazioni scientifiche o commerciali, contrassegna con X la casella". A questo proposito deve rilevarsi che tale formula, strutturata mediante l'inserimento di una casella da barrare, non consente all'interessato di esplicare pienamente il proprio diritto all'autodeterminazione informativa, prevedendo solo un'opzione di tipo "negativo" (c.d. opt out) e non è quindi conforme ai requisiti già previsti dalla legge n. 675 e, ora, dal Codice (art. 23). Come già rilevato (cfr. Provv. 13 gennaio 2000, cit., p. 42), la manifestazione del consenso (o la sua documentazione) in forma negativa, ossia come mera possibilità di esprimere un dissenso o di barrare una casella per la rinuncia o l'opposizione ad ulteriori contatti o comunicazioni commerciali, anche se preceduta da una corretta informativa, si pone infatti in contrasto con quanto stabilito dal citato art. 23, comma 3, del Codice (già art. 11, comma 3, l. n. 675/1996), il quale presuppone che il medesimo, per essere valido, sia "espresso liberamente" e "in forma specifica";
b) "In mancanza del suo consenso l'Editore non potrà inviarle la rivista ed informarla sulle iniziative commerciali". Ponendo riguardo a tale formula, deve rilevarsi che il trattamento di dati preordinato all'invio della rivista è necessario, in base a quanto previsto nell'art. 24, comma 1, lett. b), del Codice (già art. 12, comma 1, lett. b), l. n. 675/1996), per eseguire obblighi derivanti
Pag. 88
La tutela della privacy nelle attività di marketing e promozionali
da un contratto del quale è parte l'interessato (ossia l'esecuzione del contratto gratuito di abbonamento). Non è quindi corretto da parte di Sfera sollecitare, come risulta avvenire nel caso di specie, il consenso a tale trattamento di dati (cfr. Provv. 24 febbraio 2005, cit., punto 7; Provv. 3 novembre 2005, in www.garanteprivacy.it, doc. web n. 1195215).
La raccolta dei dati degli interessati di cui al punto a) effettuata da parte di Sfera per compiere successive attività di marketing configura pertanto una violazione dei principi di liceità e correttezza ai sensi degli artt. 11, comma 1, lett. a ), e 23 del Codice. Ai sensi dell'art. 11, comma 2, del Codice i dati così raccolti sono inutilizzabili.
Oltre al divieto di cui al dispositivo per quanto riguarda i dati già trattati in modo illecito e non corretto, va prescritto a Sfera, ai sensi dell'art. 154, comma 1, lett. c), del Codice, di:
• definire, nei coupon utilizzati, un modello uniforme di raccolta del consenso utilizzando solo formule che permettano agli interessati di manifestare validamente la propria volontà in termini "positivi";
• richiedere tale consenso solo in ordine ad ogni altra finalità di trattamento differente da quella relativa all'invio della rivista (ossia, la finalità di profilazione e ricerche di mercato da un lato; e quella di marketing dall'altro);
• acquisire, in base a quanto prescritto nell'art. 23 del Codice, solo manifestazioni di consenso specifiche, informate e distinte per ciascuna delle finalità perseguite dalla società attraverso il trattamento dei dati raccolti con i predetti coupon (cfr. Provv. 24 febbraio 2005, cit., punto 7).
9.4. Con riferimento al trattamento dei dati effettuato mediante le c.d. cartoline "non spontanee" (descritto al punto 5) redatte in assenza della sottoscrizione degli interessati, e comunque della prova (resa anche in altra forma) che il consenso è stato previamente prestato dagli stessi per la cessione e la successiva utilizzazione di dati personali per finalità di marketing, ricorre anche in questo caso un'ipotesi di violazione dei principi di liceità e correttezza ai sensi degli artt. 11, comma 1, lett. a ), e 23 del Codice.
Le "cautele aggiuntive" cui fa riferimento Sfera e le "procedure di controllo" dalla medesima adottate (v. precedente punto 5.3.), consistenti nel contattare telefonicamente gli interessati (al fine di "chiedere di confermare il suo interesse a ricevere il materiale editoriale" e più in generale quelle descritte al punto 6), comportano la realizzazione di operazioni di trattamento che non possono ritenersi allo stato lecite, considerato che la raccolta dei dati da cui hanno avuto origine tali operazioni è avvenuta in contrasto con le previsioni normative sopra citate.
Pag. 89
La tutela della privacy nelle attività di marketing e promozionali
Anche sotto questo profilo, oltre a quanto già affermato nel punto 8.3. ed estendendo al punto in esame sia la prescrizione di cui al punto 9.3., sia il divieto di trattamento dei dati già trattati in modo illecito e non corretto, va rilevato, ai sensi dell'art. 11, comma 2, del Codice, che i dati trattati sono inutilizzabili.10. Procedure di cancellazione ed opposizione al trattamento
In ordine alle procedure adottate da Sfera per garantire un esatto adempimento alle istanze presentate dagli interessati ai sensi degli artt. 7 e 8 del Codice (cfr. punto 7), la società, in caso di opposizione al trattamento ai sensi dell'art. 7, comma 4, lett. b), del Codice, non è tenuta a cancellare i dati, essendo a tal fine sufficiente adottare un sistema (ad esempio mediante apposite black list ) che consenta di impedire l'ulteriore trattamento di tali dati per le finalità oggetto dell'opposizione (invio di materiale pubblicitario, vendita diretta, compimento di ricerche di mercato, comunicazione commerciale).
Al contrario, diversamente da quanto risulta effettuato da Sfera, la richiesta di cancellazione di dati dell'interessato comporta (quando sussistono i presupposti previsti nell'art. 7, comma 3, lett. b), del Codice, ossia la violazione di legge o l'esaurimento degli scopi per i quali sono stati raccolti) la necessaria eliminazione definitiva dei medesimi dal data-base ove sono custoditi, in maniera tale da escludere qualsiasi loro ulteriore trattamento, anche in forma di conservazione.
Anche tale profilo deve pertanto formare oggetto di prescrizione a Sfera per ulteriori trattamenti di dati, ai sensi del predetto art. 154, comma 1, lett. c ), del Codice, nonché di divieto del trattamento per ciò che concerne i dati già trattati in modo illecito e non corretto.
TUTTO CIÒ PREMESSO, IL GARANTE 1) vieta a Sfera Editore S.p.a., ai sensi dell'art. 154, comma 1, lett. d ),
del Codice, di proseguire il trattamento dei dati personali che sono stati già trattati in modo illecito e non corretto in violazione delle disposizioni e dei principi di cui ai punti 8, 9 e 10, a decorrere dalla data di ricezione del presente provvedimento;
2) prescrive a Sfera Editore S.p.a., ai sensi dell'art. 154, comma 1, lett. c ), del Codice, al fine di rendere il trattamento conforme alle disposizioni vigenti, di adottare per eventuali altri trattamenti leciti di dati, nei termini di cui in motivazione ed entro il 15 febbraio 2007, le misure necessarie per rispettare l'obbligo di:
a. designare quali responsabili del trattamento ai sensi dell'art. 29 del Codice i soggetti di cui la società si avvale per effettuare attività di gestione del data-base o per le attività di raccolta dei dati personali finalizzati allo svolgimento di attività di marketing svolta dalla medesima (punti 8.1. e 8.2.);
Pag. 90
La tutela della privacy nelle attività di marketing e promozionali
b. fornire un'idonea informativa agli interessati, completa di tutti gli elementi di cui all'art. 13 del Codice (punto 9.2.);
c. acquisire e trattare i dati degli interessati in base ad un consenso validamente prestato ai sensi dell'art. 23 del Codice (punto 9.3. e 9.4.);
d. adottare procedure idonee a garantire un esatto adempimento alle istanze rivolte dagli interessati in base agli artt. 7 e 8 del Codice (punto 10);
e. dare conferma al Garante, entro e non oltre la medesima data del 15 febbraio 2007, in ottemperanza alla presente statuizione adottata anche ai sensi e per gli effetti di cui agli artt. 157, 164 e 168 del Codice, che i trattamenti di dati da essa effettuati sono conformi alle prescrizioni del presente provvedimento, conformità che dovrà essere comprovata anche da ogni informazione e documento utili da allegare alla comunicazione all'Autorità;
3) dispone la trasmissione degli atti e di copia del presente provvedimento all'autorità giudiziaria per le valutazioni di competenza in ordine alla non risultante adozione delle misure minime di sicurezza previste dall'Allegato B al Codice (art. 169 del Codice) (punti 8.2. e 8.3.).
Roma, 7 dicembre 2006IL PRESIDENTE
PizzettiIL RELATORE
FortunatoIL SEGRETARIO GENERALE
Buttarelli
Pag. 91
La tutela della privacy nelle attività di marketing e promozionali
Provvedimento 31 gennaio 2008, Divieto di invio di fax promozionali senza consenso
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALINELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presi
dente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;
VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito "Codice");
VISTO il provvedimento del 14 luglio 2005 (in www.garanteprivacy.it, doc. web n. 1151640) con il quale questa Autorità ha individuato procedure semplificate per la formazione degli elenchi telefonici organizzati per categorie merceologiche/professionali (c.d. elenchi "categorici"), prescrivendo anche alcune misure che devono essere in riferimento alle modalità di acquisizione e inserimento dei dati personali e all'informativa agli interessati;
RILEVATO che il quadro semplificato per gli operatori emergente da tale provvedimento fa salve le peculiari garanzie operanti, anche nell'ambito degli elenchi categorici, per le comunicazioni di carattere commerciale effettuate ai sensi dell'art. 130 del Codice;
VISTA la segnalazione di Luigi Barzazi, in nome proprio e dello studio di consulenza Bls, del 21 febbraio 2007 con la quale è stata contestata la ricezione di e-mail e fax indesiderati inviati da Milano Meeting s.r.l. al fine di promuovere propri servizi;
RILEVATO che il segnalante ha lamentato anche che, malgrado i vari tentativi volti a esercitare il diritto di opposizione di cui all'art. 7 del Codice, sono pervenuti ulteriori messaggi indesiderati inviati tramite e-mail e telefax;
VISTA la nota inviata da Milano Meeting s.r.l.. in data 13 settembre 2007, a seguito di una specifica richiesta di informazioni dell'Autorità, con la quale la società ha affermato, riguardo alle modalità e forme di raccolta dei dati personali, che questi "provengono dal pubblico elenco organizzato per categorie (c.d. elenchi categorici)", "dal registro pubblico dell'Albo dell'Ordine dei commercialisti" e che essa non è in grado di riprodurre "il tabulato di conferma del preventivo contatto telefonico per l'invio";
RILEVATO che nella medesima nota la società ha dichiarato di richiedere il consenso "con e-mail preventive all'invio di messaggi di posta elettronica ovvero, nell'ipotesi di invio via fax, con preventiva conferma telefonica";
RILEVATO che l'art. 130, comma 2 del Codice prevede per l'invio di messaggi promozionali mediante posta elettronica e telefax il presupposto del preventivo consenso informato e specifico dell'interessato;
Pag. 92
La tutela della privacy nelle attività di marketing e promozionali
CONSIDERATO che tale garanzia non può essere elusa inviando una prima e-mail che, nel richiedere il consenso, abbia già un contenuto promozionale o pubblicitario (v. Provv. 29 maggio 2003, relativo allo spamming, in www.garanteprivacy.it doc. web n. 29840);
RILEVATO che dalla documentazione allo stato acquisita non risulta comprovato che, nel caso di specie, sia stato richiesto preliminarmente uno specifico consenso all'interessato per l'inoltro delle comunicazioni mediante telefax ed e-mail, necessario ai sensi del predetto art. 130 in ragione della specificità dei mezzi considerati;
CONSIDERATO che l'invio di materiale pubblicitario e di comunicazioni commerciali mediante e-mail e telefax effettuato da Milano Meeting s.r.l. senza il prescritto consenso configura quindi un trattamento illecito di dati (art. 130 Codice);
CONSIDERATO che il titolare del trattamento, è tenuto a predisporre idonee misure al fine di agevolare l'esercizio dei diritti di cui all'art. 7 del Codice da parte dell'interessato (art. 10, comma 1, del Codice);
RISERVATA, con autonomo provvedimento, la verifica dei presupposti per contestare la violazione amministrativa concernente l'inidonea informativa (artt. 13, comma 4 e 161 del Codice);
CONSIDERATO che il Garante, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, ha il compito di vietare anche d'ufficio il trattamento illecito o non corretto dei dati o di disporne il blocco e di adottare, altresì, gli altri provvedimenti previsti dalla disciplina applicabile al trattamento dei dati personali;
CONSIDERATO che il Garante, ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice ha il compito di prescrivere al titolare le misure opportune o necessarie per rendere il trattamento conforme alle disposizioni vigenti;
RILEVATO che il trattamento di dati personali che non risulta effettuato in modo lecito ha carattere sistematico;
RILEVATA la necessità di adottare nei confronti di Milano Meeting s.r.l. un provvedimento di divieto del trattamento illecito di dati personali ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d) del Codice correlato all'invio di materiale pubblicitario e di comunicazioni commerciali per mezzo di e-mail e telefax senza che risulti comprovato il necessario consenso preventivo, specifico e informato del destinatario;
TENUTO CONTO che, ai sensi dell'art. 170 del Codice chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni;
CONSIDERATO che l'art. 11, comma 2, del Codice prevede che i dati personali trattati in violazione della disciplina rilevante in materia di dati perso
Pag. 93
La tutela della privacy nelle attività di marketing e promozionali
nali non possono essere utilizzati;CONSIDERATO che resta impregiudicata la facoltà per gli interessati di
far valere i propri diritti in sede civile in relazione alla condotta accertata (cfr. anche art. 15 del Codice);
VISTA la documentazione in atti;VISTE le osservazioni dell'Ufficio, formulate dal segretario generale ai
sensi dell'art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;Relatore il prof. Francesco Pizzetti;
TUTTO CIÒ PREMESSO IL GARANTEa) ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del
Codice, vieta a Milano Meeting s.r.l. con sede legale in Milano, Via Cosimo del Fante 10 l'ulteriore trattamento illecito dei dati personali effettuato tramite l'utilizzo del telefax ed e-mail per l'invio di materiale pubblicitario e di comunicazioni commerciali senza che risulti comprovato un consenso preventivo, specifico e informato degli interessati;
b) ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice prescrive a Milano Meeting s.r.l. di predisporre le misure idonee al fine di rendere agevole ed effettivo l'esercizio dei diritti di cui all'art. 7 del Codice da parte degli interessati. Ciò, entro e non oltre il 28 febbraio 2008, dando documentato riscontro a questa Autorità entro lo stesso termine, ai sensi dell'art. 157 del Codice, circa l'avvenuto adempimento.
Roma, 31 gennaio 2008
IL PRESIDENTEPizzetti
IL RELATOREPizzetti
IL SEGRETARIO GENERALEButtarelli
Pag. 94
La tutela della privacy nelle attività di marketing e promozionali
Provvedimento del 12 marzo 2009 (G.U. 20 marzo 2009), Prescrizioni ai titolari di banche dati costituite sulla base di elenchi telefonici formati prima del 1° agosto 2005 a seguito della deroga introdotta dall'art. 44 d.l. 207/2008
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del cons. Filippo Patroni Griffi, segretario generale;
VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito "Codice");
VISTO l'art. 129, comma 2, del Codice che, in attuazione della disciplina comunitaria e, in particolare, della direttiva 2002/58/Ce, ha individuato nella "mera ricerca dell'abbonato per comunicazioni interpersonali" la finalità primaria degli elenchi telefonici realizzati in qualunque forma;
CONSIDERATO che tale disposizione ribadisce che il trattamento dei dati inseriti negli elenchi, se realizzato per fini ulteriori tra cui rientrano quelli pubblicitari, promozionali o commerciali, è lecito solo se è effettuato con il consenso espresso liberamente e specificamente dagli interessati, documentato per iscritto e previa informativa;
VISTO il provvedimento del 15 luglio 2004 (in www.garanteprivacy.it, doc. web n. 1032381) con il quale l'Autorità ha individuato le modalità di inserimento e di successivo utilizzo dei dati personali relativi agli abbonati e agli acquirenti del traffico prepagato negli elenchi telefonici "alfabetici" del servizio universale, realizzati in qualsiasi forma, in rapporto alle diverse finalità sopraindicate, anche in rapporto all'informativa;
VISTO il provvedimento del 14 luglio 2005 (in www.garanteprivacy.it, doc. web n. 1151640) con il quale l'Autorità ha individuato procedure semplificate per la redazione e l'utilizzo degli elenchi organizzati per categorie merceologiche/professionali (c.d. elenchi "categorici");
RILEVATO che la disciplina in materia di protezione dei dati personali prevede la possibilità di utilizzare, per attività di carattere promozionale, pubblicitario o commerciale, alcune categorie di dati e, in particolare: a) quelli presenti negli elenchi c.d. "alfabetici" per i quali l'interessato ha manifestato il proprio consenso (Provv. 15 luglio 2004 cit.); b) quelli presenti negli elenchi c.d. "categorici" (Provv. 14 luglio 2005 cit.); c) quelli presenti nelle banche dati costituite utilizzando anche dati estratti da elenchi telefonici formati precedentemente al 1° agosto 2005, sempre che il titolare del trattamento sia in grado di dimostrare di aver fornito effettivamente, prima di tale data, l'informativa agli interessati ai sensi dell'art. 13 del Codice;
Pag. 95
La tutela della privacy nelle attività di marketing e promozionali
RILEVATO che resta impregiudicato quanto previsto dall'art. 130 del Codice riguardo alle attività promozionali effettuate attraverso sistemi automatizzati di chiamata senza l'intervento di un operatore, per le quali è sempre necessario il consenso espresso dell'interessato;
VISTO l'art. 44, comma 1-bis del decreto legge 30 dicembre 2008, n. 207, convertito, con modificazioni, nella legge 27 febbraio 2009, n. 14 (in G.U. n. 28L del 28 febbraio 2009), che ha stabilito che i dati personali presenti nelle banche dati costituite sulla base di elenchi telefonici pubblici formati prima del 1° agosto 2005 sono lecitamente utilizzabili per fini promozionali sino al 31 dicembre 2009, anche in deroga agli articoli 13 e 23 del Codice, dai soli titolari del trattamento che hanno provveduto a costituire dette banche dati prima del 1° agosto 2005;
CONSIDERATO che la predetta previsione ha introdotto una deroga temporanea ai principi generali della vigente disciplina sopra richiamata che, in quanto tale, cessa alla scadenza del 31 dicembre 2009 e non istituisce, invece, un regime speciale applicabile anche successivamente a tale data;
CONSIDERATO che la deroga in questione è subordinata al contemporaneo verificarsi di due condizioni, ossia che le banche dati siano state costituite prima del 1° agosto 2005 e che i dati in esse presenti vengano utilizzati per finalità promozionali esclusivamente dagli stessi titolari che le hanno a suo tempo costituite;
CONSIDERATO che la stessa deroga ha posto quindi un vincolo di finalità e un vincolo di carattere temporale nell'utilizzo delle predette banche dati, rappresentato dallo svolgimento di attività di carattere promozionale sino al 31 dicembre 2009 e che, quindi, i dati personali presenti nelle predette banche dati non possono essere utilizzati, in vigenza del regime derogatorio, per finalità ulteriori e al di fuori dell'ambito temporale di operatività della deroga;
RITENUTO, pertanto, che rendere una informativa e acquisire un consenso, nel predetto periodo, finalizzati alla costituzione di una banca dati da utilizzare per attività promozionali anche in data successiva al 31 dicembre 2009, costituisce una attività ulteriore rispetto ai vincoli di finalità e di ordine temporale indicati nella norma derogatoria e transitoria;
CONSIDERATO, inoltre, che l'informativa, ove resa agli interessati nel corso del predetto periodo, non renderebbe lecita la costituzione di una banca dati utilizzabile per attività di carattere promozionale, come avveniva anteriormente al 1° agosto 2005;
CONSIDERATO, poi, in ragione del predetto vincolo di finalità introdotto per il periodo transitorio, che il consenso, anche laddove fosse acquisito in vigenza della deroga, non rileverebbe in alcun modo per lo svolgimento di attività promozionali o per lo svolgimento di altre attività per le quali è necessario acquisirlo, anche in data successiva al 31 dicembre 2009;
Pag. 96
La tutela della privacy nelle attività di marketing e promozionali
CONSIDERATO, dunque, che una banca dati potrebbe essere utilizzata per attività promozionali, successivamente al 31 dicembre 2009, solo se formata nel rispetto della disciplina ordinaria, atteso che la disciplina derogatoria e transitoria cessa alla predetta data e, come già rilevato, costituisce una deroga di carattere temporaneo alla disciplina generale e non istituisce un regime speciale applicabile anche successivamente alla scadenza indicata;
CONSIDERATO inoltre che, in ragione di quanto detto, i dati personali presenti nelle banche dati considerate dalla norma derogatoria e transitoria, non possono essere ceduti, a qualunque titolo, a terzi;
CONSIDERATO che, in relazione all'attuale utilizzo delle predette banche dati per finalità promozionali, resta comunque impregiudicata la disciplina generale prevista dal Codice e, in particolare, quella relativa ai diritti degli interessati; e che, pertanto, le predette banche dati non possono contenere i dati degli interessati che, nel corso del tempo, abbiano esercitato il diritto di opposizione ai sensi dell'art. 7 del Codice;
RITENUTA la necessità di prescrivere ai titolari del trattamento, ai sensi dell'art. 143, comma 1, lett. b) e art. 154, comma 1, lett. c) del Codice, le misure necessarie per rendere il trattamento conforme alle disposizioni vigenti, anche in considerazione delle recenti modifiche normative;
TENUTO CONTO che, ai sensi dell'art. 162, comma 2-ter del Codice, in caso di inosservanza del presente provvedimento prescrittivo, è applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila euro a centottantamila euro;
TENUTO CONTO, inoltre, che, ai sensi dell'art. 164-bis, comma 2, del Codice, in caso di più violazioni di un'unica o di più disposizioni relative a violazioni amministrative, commesse anche in tempi diversi in relazione a banche di dati di particolare rilevanza o dimensioni, si applica la sanzione amministrativa del pagamento di una somma da cinquantamila euro a trecentomila euro;
TENUTO CONTO, infine, che ai sensi dell'art. 168 del Codice, chiunque, in comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni;
VISTA la documentazione in atti;VISTE le osservazioni dell'Ufficio, formulate dal segretario generale ai
sensi dell'art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;
RELATORE il prof. Francesco Pizzetti;
Pag. 97
La tutela della privacy nelle attività di marketing e promozionali
TUTTO CIÒ PREMESSO IL GARANTEai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Co
dice, prescrive a tutti i titolari del trattamento che siano in possesso di banche dati costituite sulla base di elenchi telefonici pubblici formati prima del 1° agosto 2005 e che intendano utilizzarle per fini promozionali avvalendosi della deroga introdotta dalla legge 27 febbraio 2009, n. 14, le seguenti misure necessarie per rendere il trattamento conforme alle disposizioni vigenti:
a) documentare in modo adeguato l'avvenuta costituzione della banca dati prima del 1° agosto 2005 e conservare la relativa documentazione presso la sede legale del titolare;
b) trattare direttamente i dati personali presenti nelle banche dati oggetto del presente provvedimento, senza possibilità di cederli, a qualunque titolo, a terzi;
c) specificare, in occasione di ogni contatto con gli interessati, chi rivesta la qualifica di titolare del trattamento dei dati, anche nel caso in cui questi operi per conto di terzi e fare presente agli interessati stessi che hanno il diritto di opporsi ai sensi dell'art. 7 del Codice;
d) registrare in via immediata l'eventuale opposizione dell'interessato al trattamento dei suoi dati personali effettuato dal titolare (art. 7, comma 4, del Codice), con effetto anche nei confronti dei terzi per conto dei quali questo operi, anche qualora ciò avvenga telefonicamente, e fornire altresì all'interessato l'identificativo dell'operatore o dell'operazione compiuta;
e) utilizzare i dati personali presenti nelle banche dati di cui alla lett. a) esclusivamente per finalità promozionali e sino al 31 dicembre 2009, non potendo i titolari rendere un'informativa agli interessati e richiedere agli stessi un consenso per l'uso dei loro dati per attività di carattere promozionale da effettuare in data successiva al 31 dicembre 2009;
f) comunicare al Garante, entro quindici giorni dalla pubblicazione in Gazzetta Ufficiale del presente provvedimento, di essere in possesso di banche dati costituite anteriormente al 1° agosto 2005 che si intendono utilizzare per attività promozionali fino al 31 dicembre 2009, chiarendo se il trattamento dei dati personali venga effettuato anche per conto di terzi.
Si dispone la trasmissione di copia del presente provvedimento al Ministero della giustizia-Ufficio pubblicazione leggi e decreti, per la sua pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana.
Roma, 12 marzo 2009
IL PRESIDENTE
Pag. 98
La tutela della privacy nelle attività di marketing e promozionali
Pizzetti
IL RELATOREPizzetti
IL SEGRETARIO GENERALEPatroni Griffi
Pag. 99