Registro dei provvedimenti
n. 378 del 21 settembre 2017
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;
VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito "Codice");
VISTI le "Linee guida in materia di attività promozionale e contrasto allo spam" del 4 luglio 2013 (pubblicate in G.U. n. 174 del 26 luglio 2013 e in www.garanteprivacy.it, doc. web n. 2542348) nonché il provvedimento generale del 29 maggio 2003 volto a individuare corrette modalità di invio delle email a contenuto promozionale (doc. web n. 29840);
VISTA la segnalazione formulata da Fideuram-Intesa Sanpaolo Private Banking (di seguito indicata come "Fideuram"), nella quale è stato lamentato l'invio di numerose comunicazioni promozionali da parte di PromoBulls s.r.l. (di seguito indicata anche come "la Società") agli indirizzi di posta elettronica di alcuni promotori finanziari Fideuram;
VISTI gli esiti degli accertamenti ispettivi effettuati in data 14 e 15 dicembre 2016 per il tramite del Nucleo Speciale Privacy della Guardia di finanza presso la sede legale della Società in Pescara nonché la nota integrativa inviata dalla medesima Società il 23 dicembre 2016;
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del Regolamento del Garante n. 1/2000;
RELATORE il dott. Antonello Soro;
PREMESSO
1.1. Fideuram ha segnalato l'invio, sin dai primi mesi del 2015, di numerose comunicazioni promozionali da parte di PromoBulls s.r.l. concernenti i servizi offerti dalla società mediante invio di e-mail agli indirizzi di posta elettronica di alcuni suoi promotori finanziari, in assenza del necessario consenso di cui all'art. 130 del Codice per la finalità di marketing nonché dell'informativa ai sensi dell'art. 13 del Codice. La Società lamenta altresì l'inosservanza delle indicazioni fornite dal Garante con le menzionate Linee guida del 4 luglio 2013 (con specifico riferimento al cd. social marketing).
Secondo quanto rappresentato, nel riscontrare le lamentele di Fideuram, la Società avrebbe eccepito la conformità della propria condotta alla normativa vigente, sull'assunto che i dati personali in questione sarebbero stati raccolti, ed il consenso acquisito, in occasione della partecipazione dei promotori ad incontri di natura professionale (quali fiere, seminari etc.) nonché su social network (quale Linkedin), sì che ciò avrebbe comportato la legittimità dell'invio dei messaggi promozionali.
In base a quanto lamentato, tuttavia, i promotori Fideuram non avrebbero fornito alcun consenso al trattamento per finalità di marketing; gli stessi avrebbero altresì negato di aver seguito sui social network le pagine relative a Promobulls e, più in generale, di aver utilizzato il proprio l'indirizzo di posta elettronica aziendale per l'iscrizione a piattaforme social.
2.1. Considerato il lamentato reiterato invio delle comunicazioni promozionali nonché il tenore delle comunicazioni inviate, per verificare la liceità dei trattamenti effettuati si è proceduto, nei giorni 14 e 15 dicembre u.s., ad effettuare accertamenti presso la sede di Promobulls mediante il Nucleo Speciale Privacy della Guardia di finanza.
2.2. Con riferimento all'origine degli indirizzi di posta elettronica trattati per finalità di marketing, è stato rappresentato che l'attività promozionale (anche in relazione alla fattispecie in esame) viene effettuata:
a. per lo più «tramite l'invio di email a consulenti finanziari che, a vario modo, interagiscono con la Società; nello specifico, detta interazione avviene tramite contatti diretti, presi in occasione di fiere e/o eventi inerenti al settore finanziario, con lo scambio di bigliettini da visita ovvero mediante instaurazione di rapporti su social network come Linkedin e Facebook; detti contatti vengono caricati all'interno della piattaforma [fornita da un soggetto terzo] nella quale vengono […] caricate [dalla Società] anche le altre informazioni acquisite dall'albo pubblico di categoria, presente sul sito web www.organismocf.it» (cfr. verbali 14 dicembre 2016, pp. 2, 3 e 5; 15 dicembre 2016, p. 3);
b. agli indirizzi di posta elettronica acquisiti tramite il proprio sito www.promobulls.com (mediante il form "contatti");
c. ad indirizzi di posta elettronica creati manualmente dalla Società «abbinando il nome e cognome del promotore all'account standard (nome dominio) di posta elettronica dell'Istituto di credito di riferimento» (cfr. verbale 15 dic. 2016, cit., ibid.).
2.3. Con riguardo alle modalità seguite per rendere l'informativa agli interessati e per acquisirne il consenso al trattamento, nel caso di specie per finalità promozionali, la Società ha rappresentato (verbali 14 e 15 dicembre, cit., ibid.) che:
• «oltre a quanto direttamente manifestato […] in occasione dello scambio dei contatti, l'interessato viene invitato espressamente a visitare il […] sito internet [della Società], sul quale è presente l'informativa sulla privacy […]»;
• il consenso al trattamento dei dati per finalità di marketing sarebbe «stato espresso con le suddette modalità di interazione diretta tra la Società e gli interessati; [….] la costante interazione sia via email sia attraverso social network [così come] [….] la ricezione da parte di molti dei destinatari di parole di assenso, elogio, richieste di chiarimenti [.] avrebbe legittimato la Società ad] inviare alcune comunicazioni commerciali/informative»; con specifico riferimento alla raccolta dei dati degli utenti sul [menzionato sito web] non viene acquisito un consenso specifico per l'attività di marketing, per le ragioni di cui sopra, ma è prevista l'accettazione obbligatoria dell'informativa [mediante la spunta del box "ho letto e accettato l'informativa sulla privacy"], nella quale si fa riferimento anche all'attività di marketing svolta, esclusivamente, nei confronti dei clienti e non anche dei meri utenti» (cfr. anche verbale 14 dicembre 2016, p. 4, nonché all. 2 al medesimo);
• «in ogni caso, in ogni email è presente il link "cancella iscrizione/unsubscribe" per la disiscrizione dal servizio di mailing list» (cfr. copia delle e-mail allegate alla segnalazione di Fideuram: all. 5-6-7; verbale 14 dicembre 2016, ibid.; all. 4 al verbale del 15 dicembre 2016, cit.).
2.4. In occasione delle suindicate verifiche, è altresì emerso che:
• «le email oggetto della segnalazione sono state inviate sia a promotori Fideuram che ad altri promotori finanziari» (cfr. verbale 14 dic. cit., p.3);
• a far data dal 27 agosto 2015 la Società risulta aver inviato, nell'ambito di più campagne promozionali, complessivamente circa 100.000 email (cfr. verbale 14 dic. cit., p. 5);
2.5. Con riferimento alle misure adottate per garantire l'esercizio da parte degli interessati dei diritti di cui agli artt. 7 ss. del Codice, la Società ha fatto riferimento (cfr. cit. verbale 14 dic. 2016, p. 3 e 4) al testo dell'informativa sul trattamento dei dati presente sul proprio sito www.promobulls.it, contenente l'indicazione di un indirizzo per l'invio delle richieste in questione, nonché al link collocato in calce alle email promozionali inviate, che consente ai destinatari di richiedere la cancellazione dalla mailing list ed essere esclusi dalla lista di distribuzione, tramite l'inserimento in apposita black list. Quest'ultima, contenente 9.285 destinatari cancellatisi alla data delle verifiche, è risultata includere anche i dati di due promotori Fideuram (XX e XX, ed in particolare di quest'ultimo che ha direttamente esercitato il diritto di opposizione nei confronti della Società: cfr. verbale 14 dicembre, p. 5 nonché all. 4 allo stesso).
3.1. Alla luce degli elementi complessivamente acquisiti (e sopra sintetizzati), risulta che, quanto alle operazioni di trattamento effettuate, la Società ha utilizzato, in qualità di titolare del trattamento, i dati personali degli interessati (e tra questi le mail aziendali dei promotori Fideuram), tali dovendosi ritenere gli indirizzi di posta elettronica (cfr. in tal senso v. già, tra i più risalenti, provv.ti 25 giugno 2002, doc. web n. 29864; 24 giugno 2003, doc. web n. 1132562; 24 giugno 2003, doc. web n. 1140434; da ultimo punto 2.1, provv. 6 ottobre 2016, n. 390, doc. web n. doc. web n. 5834805; provv. 11 febbraio 2016, n. 49, doc. web n. 4885578), peraltro talora formati dalla stessa Società secondo le modalità sopra descritte al punto 2.2.c.
3.2. Sulla base di quanto accertato, deve ritenersi che il trattamento per finalità di marketing dei dati di contatto (e in particolare gli indirizzi di posta elettronica) ricavati con le sopra menzionate modalità (cfr. punto 2.2), sia avvenuto in violazione dei principi di correttezza e finalità del trattamento di cui all'art. 11, comma 1, lett. a) e b), del Codice; inoltre, il trattamento dei dati personali loro riferibili per finalità di marketing è avvenuto in assenza del consenso preventivo, informato, libero e documentato per iscritto degli interessati, in violazione degli artt. 13, commi 1 e 4, nonché 23 e 130, commi 1 e 2, del Codice.
Invero, come già chiarito dal Garante, «i messaggi promozionali inviati agli utenti dei social network, in linea generale, sono sottoposti alla disciplina del Codice, e, in particolare, agli artt. 3, 11, 13, 23 e 130»; peraltro, «l'invio di comunicazione promozionale riguardante un determinato marchio, prodotto o servizio, effettuato dall'impresa a cui fa riferimento la relativa pagina, può considerarsi lecita se dal contesto o dalle modalità di funzionamento del social network, anche sulla base delle informazioni fornite, può evincersi in modo inequivocabile che l'interessato abbia in tal modo voluto manifestare anche la volontà di fornire il proprio consenso alla ricezione di messaggi promozionali da parte di quella determinata impresa» (cfr. Linee guida 4 luglio 2013, cit., punto 6.1, "Il social spam").
3.3. Quanto all'assolvimento degli obblighi di cui all'art. 13 del Codice, la Società non ha comprovato in alcun modo, fatta eccezione per gli interessati i cui dati personali siano stati acquisiti nell'ambito del menzionato form "contatti":
a. di aver reso l'informativa agli interessati, né in relazione a quanti (peraltro non precisati) sono entrati in relazione con la stessa nell'ambito delle menzionate occasioni (ferie; seminari; eventi …), né in relazione a coloro (essi pure non meglio identificati) i cui dati sarebbero stati acquisiti in rete (cfr. punto 2.1);
b. il contenuto dell'informativa asseritamente fornita a detti soggetti.
3.4.1. Del pari, la Società non ha fornito prova alcuna del consenso preventivo, libero e specifico al trattamento dei dati personali per finalità promozionali da parte degli interessati richiesto dagli artt. 23 e 130, commi 1 e 2, del Codice.
Né trova alcun conforto nella legge l'assunto della Società secondo il quale la mera iscrizione ad un social network implica un consenso all'utilizzo di tali dati personali per finalità di marketing, finalità peraltro non compatibile (art. 11, comma 1, lett. b), del Codice) con le ragioni sottese alle rete sociali, anche professionali, finalizzate alla condivisione di informazioni e idee nonché allo sviluppo di contatti professionali, ma non preordinate a facilitare la commercializzazione di prodotti e servizi nei confronti di quanti alle stesse partecipano (cfr. già Linee Guida 4 luglio 2013, cit., ibid.).
3.4.2. Peraltro, anche il Gruppo art. 29 ha espressamente escluso che il mero accesso ad un sito web, e non diversamente deve ritenersi la mera iscrizione ad un social network, per ciò solo comporti la legittimità del trattamento dei dati conferiti da parte di altri partecipanti alla medesima piattaforma ai fini dell'invio di informazioni commerciali. Esemplificando, il Gruppo art. 29 ha precisato che, nel caso di siti web aventi ad oggetto il gioco on-line, «l'accesso e la partecipazione al gioco non possono essere equiparati alla manifestazione inequivocabile del consenso al trattamento delle informazioni personali per finalità diverse dalla partecipazione al gioco. Il fatto che l'interessato partecipi al gioco non implica che egli intende acconsentire al trattamento dei suoi dati al di là di quanto necessario ai fini del gioco. Questo tipo di comportamento non costituisce una manifestazione inequivocabile della volontà dell'interessato ad accettare l'utilizzo dei suoi dati per finalità commerciali» (cfr. Gruppo di lavoro Articolo 29 per la protezione dei dati, WP 187, Parere 15/2011 sulla definizione di consenso, adottato il 13 luglio 2011, punto III.A.2., p. 27).
3.4.3. Non diversamente, con riguardo ai dati reperiti sul sito www.organismocf.it (v. punto 2.2.a) per le menzionate finalità promozionali, si ribadisce che non ha valore legittimante la circostanza della disponibilità online dei dati così trattati. Come costantemente affermato dal Garante (v. già provv. 11 gennaio 2001, doc. web n. 40823), il requisito del consenso (informato e documentato per iscritto, oltre che libero e specifico) sussiste anche quando i dati personali (come, nella fattispecie, gli indirizzi di posta elettronica) siano rinvenibili in internet, in quanto l'agevole reperibilità di tali dati non ne autorizza il trattamento per qualsiasi scopo, ma soltanto per le specifiche finalità sottese alla loro pubblicazione (in tal senso v. anche il provvedimento generale sullo spamming del 29 maggio 2003, doc. web n. 29840; Linee Guida in materia di attività promozionale del 4 luglio 2013, cit., par. 2.5; in tempi più recenti, provv. 6 ottobre 2016, cit.; provv. 24 maggio 2017, n. 248, doc. web n. 6502780; v. altresì, parere n. 1/2000 del Gruppo europeo delle Autorità garanti per la protezione dei dati in tema di reti e di commercio elettronico, doc. web n. 434615, nel quale si pone in evidenza che il solo fatto della rinvenibilità di un indirizzo e-mail in uno spazio pubblico di Internet non legittima un uso libero dello stesso per mailing).
3.4.4. Alla luce delle considerazioni sopra illustrate, non può ritenersi lecita la creazione manuale di dati di contatto attraverso l'abbinamento delle generalità del promotore (come di un qualunque altro interessato) al nome di dominio di posta elettronica dell'istituto di riferimento bancario (o altra impresa) per il medesimo promotore (interessato). Ciò, in quanto anche in tal caso, proprio per la intrinseca modalità di trattamento dei dati dei soggetti che siano stati destinatari di comunicazioni promozionali, il titolare non può aver provveduto alla previa acquisizione del relativo consenso informato, così integrando la violazione dei citati artt. 11, 13, 23 e 130, commi 1 e 2, del Codice.
3.4.5. Con specifico riferimento ai dati personali raccolti dalla Società tramite il proprio sito web, come già detto al punto 3.2, viene in rilievo, oltre alla mancanza del consenso degli interessati (artt. 23 e 130 del Codice), anche la violazione del principio di correttezza di cui all'art. 11, comma 1, lett. a), del Codice, atteso che la capacità di autodeterminazione degli utenti (e quindi la libertà del consenso che sono invitati a manifestare) non è assicurata quando si assoggetta, come nel caso di specie, il mero contatto per richiedere informazioni ‒ prima ancora che la fruizione di prestazioni dedotte in contratto ‒ alla contestuale autorizzazione a trattare i dati conferiti per una finalità diversa, qual è quella promozionale e pubblicitaria (tra i più recenti, cfr. provv.ti 27 ottobre 2016, n. 439, doc. web n. 5687770; 10 marzo 2016, n. 110, doc. web n. 4988238; 11 febbraio 2016, n. 49, doc. web n. 4885578; 15 luglio 2010, doc. web n. 1741998; 22 febbraio 2007, punto 4.2, doc. web n. 1388590, con ulteriore richiamo ai più risalenti provv.ti 10 maggio 2006, doc. web n. 1298709; 12 ottobre 2005, doc. web n. 1179604; 3 novembre 2005, doc. web n. 1195215; in particolare, con riguardo alla fornitura di beni o servizi subordinata alla necessaria autorizzazione al trattamento dei dati per fini promozionali, cfr. provv.ti 24 febbraio 2005, punto 7, doc. web n. 1103045; 20 dicembre 2012, doc. web n. 2223607; 1° ottobre 2015, n. 508, doc. web n. 4452896; provv. 10 marzo 2016, cit.).
3.4.6. Peraltro, considerato che il consenso in questione deve essere preventivo, resta illecito l'invio di comunicazioni promozionali che (come nel caso di specie) contengano l'avviso della possibilità di opporsi a ulteriori invii mediante apposito link per la cancellazione dalla newsletter; tale misura trova infatti applicazione solo nella diversa ipotesi, la cui sussistenza non è stata provata nel caso di specie, in cui i destinatari delle comunicazioni promozionali siano già clienti della Società e le comunicazioni promozionali abbiano ad oggetto prodotti o servizi analoghi a quelli in precedenza acquistati dai medesimi (cfr. art. 130, comma 4, del Codice e Linee Guida 4 luglio 2013, cit., punto 2.5; provv. 6 ottobre 2016, n. 390, cit.).
3.5. In ragione dei profili di illiceità sopra evidenziati, concernenti sia le modalità di raccolta dei dati che quelle inerenti al successivo invio delle comunicazioni aventi contenuto promozionale, deve ritenersi che, ai sensi dell'art. 11, comma 2, del Codice, i dati personali riferiti agli interessati oggetto del presente provvedimento non possono essere utilizzati per finalità promozionali e se ne deve vietare alla Società il trattamento ulteriore.
Va inoltre prescritto alla Società, quale misura necessaria, di riformulare il form con il quale viene acquisito il consenso da parte degli interessati in modo che risulti chiaro che lo stesso è riferito alla finalità di marketing.
4. Salva l'avvenuta contestazione concernente la mancata acquisizione di un consenso libero e specifico per l'utilizzo dei dati per finalità di marketing (art. 162, comma 2-bis, del Codice), l'Autorità si riserva di contestare, con autonomo procedimento, la violazione dell'art. 13 del Codice, ai sensi dell'art. 161 del Codice.
TUTTO CIÒ PREMESSO IL GARANTE
1. ai sensi degli artt. 143, comma 1, lett. b) e c), 144 e 154, comma 1, lett. c) e d), del Codice, rilevato che i dati personali di cui è stato accertato l'illecito trattamento non possono essere ulteriormente utilizzati (art. 11, comma 2, del Codice):
a. vieta a Promobulls s.r.l. l'ulteriore trattamento per finalità di marketing degli indirizzi di posta elettronica ricavati con le modalità di cui al punto 2.2, in violazione dei principi di correttezza e finalità (art. 11, comma 1, lett. a) e b), del Codice) nonché in assenza del necessario e documentato consenso informato degli interessati al trattamento dei dati personali loro riferibili per finalità di marketing (artt. 13, 23 e 130, commi 1 e 2, del Codice);
b. prescrive alla medesima Società, quale misura necessaria, la riformulazione del form con il quale viene acquisito il consenso da parte degli interessati in modo che risulti chiaro che lo stesso è riferito alla finalità di marketing;
2. ai sensi dell'art. 157 del Codice, invita altresì Promobulls s.r.l., entro 30 giorni dal ricevimento del presente provvedimento, di comunicare quali iniziative siano state intraprese al fine di dare attuazione al presente provvedimento e di fornire comunque riscontro, con l'avvertenza che il mancato riscontro alla presente richiesta è punito con la sanzione amministrativa di cui all'art. 164 del Codice.
Ai sensi degli artt. 152 del Codice e 10, d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.
Roma, 21 settembre 2017
IL PRESIDENTE
Soro
IL RELATORE
Soro
IL SEGRETARIO GENERALE
Busia