Registro dei provvedimenti
n. 110 del 10 marzo 2016
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;
VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito "Codice");
VISTE le "Linee guida in materia di attività promozionale e contrasto allo spam" del 4 luglio 2013 (pubblicate in G.U. n. 174 del 26 luglio 2013 e in www.garanteprivacy.it, doc. web n. 2542348) nonché il provvedimento generale del 29 maggio 2003 volto a individuare corrette modalità di invio delle email a contenuto promozionale (doc. web n. 29840);
VISTA la segnalazione di XY formulata ai sensi dell'art. 141, comma 1, lett. b), del Codice;
VISTA la richiesta di informazioni rivolta a Doctorpoint s.r.l., con sede legale in via Ugo Foscolo 15, Borgomanero (NO), il 4 novembre 2015 ed il relativo riscontro del 5 novembre 2015;
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del Regolamento del Garante n. 1/2000;
Relatore la dott.ssa Giovanna Bianchi Clerici;
PREMESSO
1. Il segnalante ha lamentato la ricezione al proprio indirizzo di posta elettronica XY@tin.it, in data 2 dicembre 2014, di una "newsletter" a contenuto promozionale, avente ad oggetto offerte commerciali relative ad articoli medicali (allegata alla segnalazione), proveniente dall'indirizzo info@doctorpoint.it, facente capo a Doctorpoint s.r.l.; detta comunicazione gli sarebbe stata inviata, in assenza di suo previo consenso, dopo un acquisto effettuato online tramite il sito web di detta società.
Il giorno successivo all'esercizio da parte del segnalante del diritto ad ottenere la cancellazione dei dati personali a sé riferiti e all'opposizione al trattamento degli stessi per finalità promozionali la società provvedeva a dare riscontro al medesimo, rappresentando altresì che "l'accettazione al trattamento dei dati personali e l'autorizzazione alla ricezione della newsletter è pervenuta assieme ad un […] precedente ordine di materiale medico" (all. 2 alla segnalazione). Tale circostanza, a detta del segnalante, non corrisponderebbe al vero, in quanto, in occasione dell'ordine, non sarebbe stato fornito da parte sua alcun esplicito né specifico consenso al ricevimento di materiale pubblicitario (cfr. all. 3 alla segnalazione). A tale proposito, il segnalante ha altresì prodotto la formula di acquisizione del consenso utilizzata dalla società e il testo dell'informativa di cui all'art. 13 del Codice, nella quale (cfr. punto 1.d) si afferma che i dati personali dell'interessato possono essere utilizzati "solo previo esplicito consenso, per inviarLe comunicazioni commerciali. Nel caso non venga comunicato, questo si intende non concesso" (all. 4 alla segnalazione).
2. Rispetto alla richiesta di informazioni formulata dall'Ufficio, la società, con email del 5 novembre 2015, confermando di operare nel commercio di articoli medicali attraverso il web mediante il sito Internet www.doctorpoint.it, ha rappresentato che:
• la clientela viene preventivamente informata in merito al trattamento dei dati personali, facendo riferimento al documento "Informativa sulla Privacy" reperibile al link http://www.doctorpoint.it/privacy.aspx;
• il consenso al trattamento dei dati personali per finalità di marketing sarebbe stato manifestato dal segnalante in occasione dell'acquisto di un bene tramite il proprio sito web "accettando il consenso al trattamento dei dati (tranne il trattamento a favore di terzi)" essendo "il cliente […] obbligato a prendere visione ed accettare […] il consenso al trattamento dei dati" secondo il modello predisposto dalla società.
3. Nell'ambito dell'istruttoria preliminare, l'Ufficio ha altresì accertato, mediante accesso al sito web della Società (cfr. verbale del 23 febbraio 2016), che non è possibile procedere all'acquisto di beni tramite il sito web senza "cliccare" il link relativo ad un generico (in quanto non immediatamente riferibile alla finalità di marketing) consenso al "trattamento di dati personali". Non risulta inoltre possibile, procedendo all'acquisto, né selezionare uno specifico consenso per la finalità promozionale né opporsi fin dall'inizio al trattamento per tale finalità. Ciò, nonostante l'informativa fornita dalla società (al punto 2.b) assicuri, contrariamente a quanto in concreto accade, che "qualora l'acquirente non intenda prestare il proprio consenso al trattamento e alle finalità [di marketing], il suo rifiuto non determina alcuna conseguenza sull'acquisto".
4.1. Alla luce degli elementi complessivamente acquisiti, risulta che la società ha utilizzato, in qualità di titolare del trattamento, i dati personali del segnalante, tale dovendosi ritenere l'indirizzo di posta elettronica XY@tin.it (cfr. in tal senso v. già, tra i più risalenti, provv.ti 25 giugno 2002, doc. web n. 29864; 24 giugno 2003, doc. web n. 1132562; 24 giugno 2003, doc. web n. 1140434).
4.2. Il trattamento dei dati personali in questione, e segnatamente dell'indirizzo di posta elettronica, è avvenuto in modo illecito, non risultando comprovato che sia stato manifestato il libero consenso dell'interessato all'utilizzo dei dati personali per finalità promozionali (par. 4.3) nell'ambito di un trattamento che, nel suo complesso, non si ritiene conforme al principio di correttezza di cui all'art. 11, comma 1, lett. a), del Codice (par. 4.4).
4.3. In particolare, quanto al profilo della libertà del consenso manifestato dal segnalante, la stessa società dichiara nella propria comunicazione del 5 novembre 2015 che questi è stato obbligato a prestare il proprio consenso al trattamento dei suoi dati, anche per finalità di marketing (ancorché tale scopo non sia chiaramente enunciato nel campo denominato "Informazioni per l'interessato circa la raccolta dei dati" deputato all'acquisizione del consenso), al fine di consentire il completamento dell'acquisto a distanza del bene.
In merito, non può considerarsi legittimo il trattamento dei dati personali per le suddette finalità promozionali quando, al momento della manifestazione del consenso, l'interessato (come accaduto nel caso di specie) non sia stato posto in condizione di poter esprimere consapevolmente e liberamente le proprie scelte e le proprie determinazioni (tra i tanti cfr. provv.ti 15 luglio 2010, doc. web n. 1741998; 22 febbraio 2007, punto 4.2, doc. web n. 1388590, con ulteriore richiamo ai provv.ti 12 ottobre 2005, doc. web n. 1179604; 3 novembre 2005, doc. web n. 1195215; 10 maggio 2006, doc. web n. 1298709); nel caso in cui la fornitura di un bene o servizio venga subordinata alla obbligatoria prestazione del consenso al trattamento dei dati per fini promozionali (c.d. consenso obbligato), tale consenso non può infatti considerarsi liberamente prestato (cfr. provv.ti 24 febbraio 2005, punto 7, doc. web n. 1103045; 20 dicembre 2012, doc. web n. 2223607; 1° ottobre 2015, n. 508, doc. web n. 4452896).
4.4. Deve poi considerarsi che nel caso di specie, anche alla luce del menzionato principio di correttezza nel trattamento (art. 11, comma 1, lett. a), del Codice), il consenso (obbligatoriamente) prestato dal segnalante non può neanche ritenersi correttamente formato alla luce dell'informativa resa agli utenti del sito web (allegata alla nota del segnalante del 18 febbraio 2015).
Da un lato, in essa si legge che "qualora l'acquirente non intenda prestare il proprio consenso al trattamento e alle finalità indicate al paragrafo 1.d. [dedicato alla finalità di marketing], il suo rifiuto non determina alcuna conseguenza sull'acquisto; i dati forniti saranno utilizzati esclusivamente per le finalità […] strettamente inerenti alla vendita". Ciò però non corrisponde a quanto in concreto posto in essere dalla società (come dalla stessa dichiarato e verificato dall'Ufficio), attesa la evidenziata "obbligatorietà" del consenso per concludere il contratto.
Sotto un diverso profilo, l'informativa fornita dalla società presenta profili di inidoneità, non specificando le modalità di contatto per lo svolgimento di attività a contenuto promozionale: in particolare, essa non esplicita le specifiche modalità in concreto utilizzate dal titolare del trattamento (email, fax, sms, posta cartacea, telefono), in difformità da quanto previsto dall'art. 13, comma 1, lett. a), del Codice, che, fra gli elementi obbligatori dell'informativa, include anche "le modalità del trattamento cui sono destinati i dati" (cfr. al riguardo anche le Linee guida del Garante in materia di attività promozionale e contrasto allo spam, provv. 4 luglio 2013, n. 330, doc. web n. 2542348, par. 2.4).
4.5. Né, ancorché si tratti di profilo non sollevato dalla società, può ritenersi ricorrere nel caso in esame un trattamento legittimamente effettuato per finalità promozionali, pur in assenza del consenso dell'interessato, ai sensi dell'art. 130, comma 4, del Codice: in alcun modo risulta invero provato che il segnalante sia stato adeguatamente informato circa il fatto che le proprie coordinate di posta elettronica, fornite nel contesto della vendita, sarebbero state successivamente utilizzate per finalità di marketing (rispetto a beni o servizi analoghi) e messo in condizione di rifiutare tale uso, inizialmente o in occasione di successive comunicazioni. Al contrario, la società ha predisposto il sopra descritto meccanismo di consenso "obbligato" rispetto all'utilizzo dei dati per finalità di marketing.
4.6. Per le ragioni sopra esposte, nei confronti di Doctorpoint s.r.l., si deve:
a. vietare l'ulteriore trattamento per finalità di marketing dei dati personali raccolti in assenza di un'informativa idonea ai sensi dell'art. 13, comma 1, lett. a), del Codice e di un consenso legittimamente manifestato ai sensi dell'art. 130, commi 1 e 2, del Codice, con obbligo di mera conservazione dei dati registrati ai soli fini di consentire l'attività di accertamento da parte della competente autorità e la tutela dei diritti degli interessati;
b. salvo quanto previsto dall'art. 130, comma 4, del Codice, prescrivere, quali misure necessarie:
i. la riformulazione del form con il quale viene acquisito il consenso da parte degli interessati in modo che risulti chiaro che lo stesso è riferito alla finalità di marketing;
ii. l'integrazione del testo con il quale viene fornita l'informativa agli interessati, specificando le modalità utilizzate per il contatto promozionale;
iii. l'adozione degli opportuni accorgimenti tecnologici affinché la manifestazione del consenso al trattamento per finalità di marketing da parte degli interessati non sia condizione necessaria ai fini del perfezionamento dell'acquisto di beni e servizi tramite il sito web della società.
L'Autorità si riserva di verificare, con autonomo procedimento, la sussistenza dei presupposti per contestare le violazioni amministrative concernenti i profili afferenti all'inidonea informativa e al consenso per l'utilizzo dei dati per finalità di marketing (artt. 13, comma 1, lett. a), 130, commi 1 e 2 nonché 161 e 162, comma 2 bis, del Codice).
5. Si ricorda che, ai sensi dell'art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni. Inoltre, in caso di inosservanza di provvedimenti di divieto o di prescrizione di misure necessarie, ai sensi dell'art. 162, comma 2-ter, del Codice, è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila a centottantamila euro.
TUTTO CIÒ PREMESSO IL GARANTE
ai sensi degli artt. 143, comma 1, lett. b) e c), 144 e 154, comma 1, lett. c) e d), del Codice, rilevato che i dati personali di cui è stato accertato l'illecito trattamento non possono essere ulteriormente utilizzati (art. 11, comma 2, del Codice),
a. vieta a Doctorpoint s.r.l. l'ulteriore trattamento per finalità di marketing dei dati personali raccolti in assenza di un'informativa idonea ai sensi dell'art. 13, comma 1, lett. a), del Codice e di un consenso legittimamente manifestato ai sensi dell'art. 130, commi 1 e 2, del Codice, con obbligo di mera conservazione dei dati registrati ai soli fini di consentire l'attività di accertamento da parte della competente autorità e la tutela dei diritti degli interessati;
b. salvo quanto previsto dall'art. 130, comma 4, del Codice, prescrive alla medesima società quali misure necessarie:
i. la riformulazione del form con il quale viene acquisito il consenso da parte degli interessati in modo che risulti chiaro che lo stesso è riferito alla finalità di marketing;
ii. l'integrazione del testo con il quale viene fornita l'informativa agli interessati, specificando le modalità utilizzate per il contatto promozionale;
iii. l'adozione delle opportune misure tecnologiche affinché la manifestazione del consenso da parte degli interessati al trattamento dei dati per finalità di marketing non sia condizione necessaria ai fini del perfezionamento dell'acquisto di beni e servizi tramite il sito web della società.
c. ai sensi dell'art. 157 del Codice, invita altresì Doctorpoint s.r.l., entro 60 giorni dal ricevimento del presente provvedimento, di comunicare quali iniziative siano state intraprese al fine di dare attuazione al presente provvedimento e di fornire comunque riscontro, con l'avvertenza che il mancato riscontro alla presente richiesta è punito con la sanzione amministrativa di cui all'art. 164 del Codice.
Ai sensi degli artt. 152 del Codice e 10, d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.
Roma, 10 marzo 2016
IL PRESIDENTE
Soro
IL RELATORE
Bianchi Clerici
IL SEGRETARIO GENERALE
Busia