Registro dei provvedimenti
n. 447 del 9 ottobre 2014
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano, componente e del dott. Giuseppe Busia, segretario generale;
VISTI gli artt. 41 della Costituzione e 16 della Carta dei diritti fondamentali dell'Unione Europea, riguardo alla libertà d'impresa e di iniziativa economica;
VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito «Codice»), e in particolare le disposizioni di cui agli artt. 4, comma 1, lett. a); 11, comma 2; 13, commi 1 e 2; 23, comma 3; 130, commi 1 e 2;
VISTE le "Linee guida in materia di attività promozionale e contrasto allo spam" del 4 luglio 2013 (pubblicate in G.U. n. 174 del 26 luglio 2013 e in www.garanteprivacy.it, doc. web n. 2542348);
TENUTO CONTO che l'Ufficio di questa Autorità, a seguito di una segnalazione riguardante comunicazioni promozionali indesiderate avente ad oggetto offerte di preventivo relative a prestiti personali, ha avviato un'istruttoria preliminare nell'ambito della quale ha effettuato un accertamento sul sito www.esitoprestiti.it, che, secondo quanto emerso, sarebbe stato utilizzato dal segnalante per inoltrare una richiesta di preventivo;
CONSIDERATO che, nell'occasione, in particolare dall'analisi del form di raccolta dei dati degli utenti presente sul detto sito, emergeva che, a fronte di più finalità indicate nell'informativa ex art. 13 del Codice, veniva acquisito un unico e generico consenso al trattamento dei dati e che peraltro la relativa casella risultava preselezionata;
CONSIDERATO che il 28 e 29 maggio u.s. questa Autorità, con l'ausilio del Nucleo Speciale Privacy della Guardia di Finanza, ha condotto un accertamento ex art. 157 del Codice presso la sede operativa di Grant Change s.r.l., in via Milano n. 6, Nichelino (TO), risultante, a quella data, quale titolare del sito www.esitoprestitit.it, al fine di verificare la liceità del trattamento dei dati personali effettuati dalla medesima, anche alla luce delle recenti Linee guida sopra citate;
CONSIDERATA peraltro l'esigenza di garantire l'effettiva tutela del diritto alla protezione dei dati personali dell'interessato-consumatore, al quale venga richiesto di rilasciare a soggetti intermediari o altri professionisti operanti nel settore del credito i propri dati personali nel delicato momento della ricerca di possibili fonti di finanziamento, come ad esempio: prestiti personali, cessioni del quinto, consolidamenti di debiti, tanto più tenuto conto dell'attuale situazione di grave crisi socioeconomica;
RILEVATO che in occasione dell'accertamento di cui sopra (cfr. relativo verbale del 28 maggio u.s.) è emerso che Grant Change s.r.l., in qualità di titolare del trattamento, tramite il sito www.esitoprestiti.it di sua proprietà, raccoglie i "dati personali di utenti interessati a richiedere preventivi di prestiti personali (es. cessione del quinto, consolidamento debiti, ecc.)" e che "tali dati vengono successivamente comunicati agli intermediari abilitati all'erogazione del prestito (agenti, mediatori o istituti bancari), che successivamente contatteranno l'utente per fornire il preventivo richiesto, mediante i dati di contatto rilasciati dal cliente nel form di registrazione (numero di telefono e/o email)";
CONSIDERATO che, relativamente a tale raccolta di dati personali, è stato rilevato che la società, nell'informativa rilasciata alla data dell'accertamento, dichiara di raccogliere, in qualità di titolare del trattamento, i dati degli utenti (e in particolare, nome, cognome, provincia di residenza, indirizzo di posta elettronica e recapito di telefonia mobile) per perseguire varie finalità, ulteriori e diverse dal servizio di inoltro della richiesta di preventivo agli intermediari abilitati (nonché dall'esecuzione degli adempimenti di legge), e in particolare: "…. fornire agli iscritti che hanno inserito il loro indirizzo di posta elettronica materiale a carattere formativo e/o informativo (newsletter);…. elaborare studi e ricerche statistiche e di mercato; … inviare materiale pubblicitario e/o informativo relativo a nuove offerte di prodotti e servizi di Grant Change S.r.l e/o di soggetti terzi con i quali Grant Change s.r.l. abbia stipulato accordi commerciali e/o di marketing; …. verificare il livello di soddisfazione degli utenti e per ogni atti¬vità di fidelizzazione dei clienti; … finalizzare attività di vendita di prodotti e servizi di Grant Change S.r.l. e/o di soggetti terzi con i quali Grant Change S.r.l. abbia stipulato accordi commerciali e/o di marketing; … inviare comunicazioni e/o informazioni commerciali di prodotti e servizi di Grant Change S.r.l. e/o di soggetti terzi con i quali Grant Change S.r.l. abbia stipulato accordi commerciali e/o di marketing";
CONSIDERATO che la società ha dichiarato (cfr. citato verbale del 28 maggio u. s.) che al momento "i dati personali degli utenti vengono raccolti solo per la mera conservazione temporanea e per la loro comunicazione ai vari intermediari abilitati (attualmente solo Stimata s. p. a.), quale agente in attività finanziaria"; e che ciascuna di tali attività (conservazione e comunicazione dei dati) costituisce trattamento di dati personali rilevante ai fini del Codice (cfr. in particolare art. 4, comma 1, lett. a) e delle tutele da esso previste;
RILEVATO, tuttavia, che nell'informativa di cui sopra, in contrasto con il testo dell'art. 13, comma 1, del Codice nonché con la ratio stessa della norma di garantire un'informazione dell'interessato chiara, precisa e trasparente, non risulta alcun riferimento alle due sopra citate attività di trattamento pur effettuate dalla società, e che comunque tali attività, dalle informazioni rilevabili sul predetto sito, non sono chiaramente riconducibili alla titolarità della società, né quindi possono ritenersi "elementi già noti agli interessati" (e che pertanto non risulta applicabile la norma semplificatoria dell'art. 13, comma 2, del Codice); e che, nell'informativa, altresì non risultano indicati: la natura obbligatoria o meno del conferimento dei dati da parte degli utenti alla società, né le modalità con cui eventualmente quest'ultima intenda eventualmente effettuare l'attività promozionale comunque indicata nell'informativa, né i singoli soggetti terzi o le categorie merceologiche di appartenenza di quest'ultimi, in nome e/o per conto dei quali intenda eventualmente inviare le loro comunicazioni promozionali, né peraltro è chiaro se la società intenda in futuro comunicare i dati raccolti a soggetti terzi perché possano svolgere le loro attività promozionali;
RILEVATO che l'informativa resa dalla società sul sito www.esitoprestiti.it è quindi inidonea e pertanto ritenuto necessario che la società la modifichi specificando e integrando gli elementi sopra indicati, al fine di consapevolizzare il più possibile gli interessati sui diversi trattamenti dei loro dati personali, che la medesima società già effettua o intenda effettuare, in conformità all'art. 13 del Codice;
CONSIDERATO che il form di raccolta dei dati prevede l'acquisizione di un unico e indistinto consenso, peraltro con il relativo flag già inserito, degli utenti a fronte delle più eterogenee finalità dichiarate nell'informativa e diverse dalla finalità di erogazione del servizio di inoltro della richiesta di preventivo agli intermediari abilitati;
CONSIDERATO peraltro che, in un'ottica di necessario bilanciamento fra il diritto alla protezione dei dati personali degli utenti e il diritto alla libera iniziativa economica della società, nonché di opportuna semplificazione dell'adempimento, in capo alla società, dell'obbligo di acquisizione del consenso degli utenti di seguito dettagliato, tali finalità possono essere raggruppate in due diverse categorie e individuate più sinteticamente come: invio di newsletter informative e comunicazioni promozionali per conto proprio e/o per conto terzi; attività statistiche, attività di verifica del livello di soddisfazione degli utenti e di fidelizzazione;
CONSIDERATO che, coerentemente con quanto sopra osservato, la medesima società ha dichiarato (v. verbale del 28 maggio u.s.) che: "Il consenso al trattamento dei dati nei confronti della Grant Change da parte degli interessati viene raccolto attraverso il box già prefleggato, con possibilità di deselezionarlo, presente in calce al form di raccolta e posto a fianco della dicitura ‘Ho letto l'informativa e autorizzo Grant Change S.r.l. al trattamento dei miei dati'.", e che peraltro dall'informativa risulta che, compilando e inviando il modulo, l'interessato accetta il trattamento dei propri dati per tutte le finalità indicate, nessuna esclusa;
CONSIDERATO peraltro che, come accertato dall'Ufficio mediante un ulteriore accesso diretto al sito in questione in data 19 settembre u.s., risulta di fatto obbligatorio, per l'utente che voglia procedere con l'invio della richiesta di preventivo, l'inserimento nel relativo form di alcuni dati personali (in particolare, oltre al nome e cognome, il numero di telefonia mobile) che, tenuto conto delle finalità di trattamento espressamente dichiarate nell'informativa, la società si riserva di utilizzare anche per l'attività di vendita di prodotti e servizi propri e/o di soggetti terzi;
VISTO il disposto dell'art. 23, comma 3, e dell'art. 130, commi 1 e 2, del Codice, secondo cui, di regola (fatte salve limitate eccezioni previste dall'ordinamento vigente, come quella relativa al registro delle opposizioni per il telemarketing effettuato mediante operatore o il c.d. "soft spam", di cui all'art. 130, comma 4, del Codice), il trattamento di dati personali da parte dei privati per finalità promozionali, o comunque diverse da quella di erogazione del servizio (o altra finalità di tipo contrattuale), è ammesso solo dopo la previa acquisizione di un consenso dell'interessato espresso, libero, informato e specifico, con riferimento a trattamenti chiaramente individuati e documentato per iscritto, come ribadito dalle citate "Linee guida in materia di attività promozionale e contrasto allo spam";
CONSIDERATO inoltre che, come già rilevato da questa Autorità (provv. 22 febbraio 2007, doc. web n. 1388590; provv. 12 ottobre 2005, doc. web n. 1179604; provv. 3 novembre 2005, doc. web n. 1195215; provv. 10 maggio 2006, doc. web n. 1298709; provv. 15 luglio 2010, doc. web n. 1741998) gli interessati devono essere messi in grado di esprimere consapevolmente e liberamente le proprie scelte in ordine al trattamento dei dati che li riguardano, manifestando il proprio libero consenso per ciascuna distinta finalità perseguita dal titolare (cfr. provv. 24 febbraio 2005, punto 7, doc. web n. 1103045; provv. 20 dicembre 2012, doc. web n. 2223607) e che pertanto il titolare non può chiedere un unico consenso per più eterogenee finalità di trattamento, tantomeno già preselezionato, anche se deselezionabile successivamente dall'utente;
RILEVATO quindi che sia l'invio di newsletter informative e comunicazioni promozionali per conto proprio e/o per conto terzi, anche qualora, come nel caso di specie, sia gratuitamente effettuato dal titolare, sia le attività statistica, di verifica del livello di soddisfazione degli utenti e di fidelizzazione, sia anche l'eventuale comunicazione dei dati raccolti a soggetti terzi per le loro finalità promozionali, necessitano di un previo distinto consenso espresso, libero, specifico e documentato per iscritto;
CONSIDERATO pertanto che le attività di trattamento dei dati, come sopra individuate, effettuate dalla società senza il relativo consenso espresso, libero, specifico e documentato per iscritto, costituiscono un trattamento illecito di dati e che, ai sensi dell'art. 11, comma 2, del Codice, i dati personali trattati in violazione della disciplina rilevante in materia di dati personali non possono essere utilizzati;
CONSIDERATO peraltro che, in occasione del citato successivo accertamento effettuato d'ufficio sul sito www.esitoprestiti.it il 19 settembre u.s., è emerso che nel detto form risulta inserito un consenso specifico per le finalità promozionali che parrebbe riferito all'attività di trattamento di Stimata S.p.a. (come si è detto sopra, destinataria dei dati personali raccolti sul sito in questione), mentre Grant Change s.r.l. continua a dichiarare, nell'informativa rilasciata, di raccogliere i dati personali degli utenti per più diverse finalità e ad acquisire un unico indistinto consenso preselezionato per le proprie attività di trattamento di dati;
CONSIDERATO che, come dichiarato dalla medesima società, attraverso il sito predetto ogni giorno vengono veicolate, in media, circa 400 richieste di preventivi (cfr. verbale del 28 maggio u.s.), e che i trattamenti posti in essere dalla società, tenuto conto anche della quantità rilevante di dati trattati, presentano carattere sistematico;
CONSIDERATO che il Garante, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, ha il compito di vietare anche d'ufficio il trattamento illecito o non corretto dei dati o di disporne il blocco e di adottare altresì gli altri provvedimenti previsti dalla disciplina applicabile al trattamento dei dati personali;
RILEVATA la necessità di adottare nei confronti di Grant Change s.r.l., ai sensi degli artt. 143, comma 1, lett. c), 144 e 154, comma 1, lett. d) del Codice, un provvedimento di divieto del trattamento dei dati personali degli utenti raccolti sul sito www.esitoprestiti.it per le attività di conservazione temporanea e di comunicazione dei medesimi a Stimata S.p.a., senza aver rilasciato un'idonea informativa ex art. 13 del Codice; nonché del trattamento dei medesimi dati per le due ulteriori distinte finalità indicate nell'informativa come sopra raggruppate ed individuate (l'invio di newsletter informative e comunicazioni promozionali per conto proprio e/o per conto terzi; le attività statistiche, di verifica del livello di soddisfazione degli utenti e di fidelizzazione), senza aver provveduto alla previa acquisizione del necessario consenso espresso, libero, specifico e documentato per iscritto degli interessati ex art. 23, comma 3, del Codice;
RITENUTO necessario altresì, ai sensi degli artt. 143, comma 1, lett. b), 144 e 154, comma 1, lett. c) del Codice, adottare nei confronti di Grant Change s.r.l. un provvedimento prescrittivo volto a rendere conformi alla normativa in materia di protezione dei dati personali i trattamenti dei dati raccolti sul sito www.esitoprestitit.it o con qualunque altro strumento che la società eventualmente deciderà di utilizzare;
TENUTO CONTO che, ai sensi dell'art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni; che, ai sensi dell'art. 162, comma 2-ter del Codice, in caso di inosservanza del predetto divieto o delle prescrizioni impartite con il medesimo provvedimento, in ogni caso, è altresì applicata in sede amministrativa la sanzione del pagamento di una somma da trentamila a centottantamila euro;
RILEVATA la sussistenza dei presupposti per contestare a Grant Change s.r.l. le violazioni amministrative di competenza di questa Autorità, con particolare riguardo al rilascio di un'informativa inidonea agli utenti nonché alla mancata acquisizione di un consenso specifico dei medesimi per le eterogenee finalità sopra indicate, e pertanto ritenuto necessario avviare un autonomo procedimento sanzionatorio nei confronti della medesima società in relazione ai profili sopra citati;
RISERVATA la facoltà dell'Autorità di condurre un'apposita istruttoria anche relativamente ai trattamenti effettuati dagli intermediari ai quali vengono comunicati i dati personali raccolti sul sito www.esitoprestiti.it;
RILEVATO che resta impregiudicata la facoltà per gli interessati di far valere i propri diritti in sede civile in relazione alla condotta accertata (cfr. anche art. 15 del Codice), con specifico riguardo agli eventuali profili di danno;
VISTA la documentazione in atti;
VISTE le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;
RELATORE la dott.ssa Augusta Iannini;
TUTTO CIÒ PREMESSO IL GARANTE:
a) dichiara illecito il suindicato trattamento di dati effettuato da Grant Change s.r.l., con sede legale in Milano, Via Pisani n. 6, dei dati personali degli utenti raccolti sul sito www.esitoprestiti.it, senza aver rilasciato un'idonea informativa ex art. 13 del Codice;
b) vieta a Grant Change s.r.l., ai sensi degli artt. 143, comma 1, lett. c), 144 e 154, comma 1, lett. d), del Codice, l'ulteriore trattamento dei dati personali di cui sopra, nonché l'eventuale trattamento dei medesimi dati per le ulteriori distinte finalità indicate nell'informativa come sopra raggruppate ed individuate (invio di newsletter informative e comunicazioni promozionali per conto proprio e/o per conto terzi; nonché attività statistiche, di verifica del livello di soddisfazione degli utenti e di fidelizzazione), senza aver provveduto alla previa acquisizione del necessario consenso espresso, libero, specifico e documentato per iscritto degli interessati ex art. 23 e 130 del Codice;
c) prescrive a Grant Change s.r.l., ai sensi degli artt. 143, comma 1, lett. b), 144 e 154, comma 1, lett. c), del Codice, di adottare le misure necessarie e opportune al fine di rendere i trattamenti dei dati personali conformi alle disposizioni del Codice, dandone -entro e non oltre il termine di sessanta giorni dalla data di ricezione del presente provvedimento- riscontro documentato a questa Autorità comprovante l'avvenuto adeguamento, accompagnato da una dichiarazione del legale rappresentante della società, rilasciata ai sensi e per gli effetti dell'art. 168 del Codice; in particolare, prescrive:
1. di modificare e integrare l'informativa resa ex art. 13 del Codice, avvisando gli utenti che i dati raccolti dalla società verranno conservati temporaneamente dalla società e poi comunicati agli intermediari abilitati ai fini della ricezione dei preventivi richiesti; specificando: la natura obbligatoria o meno del conferimento dei dati da parte degli utenti, le modalità (tradizionali come telefonate con operatore e/o posta cartacea; automatizzate, come posta elettronica, fax, sms), con cui eventualmente intenda in futuro effettuare l'attività promozionale per conto proprio e/o di soggetti terzi, i singoli soggetti terzi o le categorie merceologiche di appartenenza di quest'ultimi, in nome e/o per conto quali intenda eventualmente inviare le loro comunicazioni promozionali; nonché chiarendo se la società intenda comunicare i dati raccolti a soggetti terzi perché possano svolgere le loro attività promozionale e, in tal caso, specificarne almeno le categorie merceologiche di appartenenza, conformemente a quanto previsto dalle citate Linee Guida del 4 luglio 2013;
2. qualora la società intenda proseguire a raccogliere dati personali, mediante il sito www.esitoprestiti.it o qualunque altro strumento deciderà eventualmente di utilizzare, per finalità ulteriori e diverse da quella di erogazione del servizio di inoltro agli intermediari abilitati delle richieste di preventivi da parte degli utenti, modificare la formula di acquisizione del consenso al trattamento dei dati raccolti, richiedendo agli interessati, ex art. 23 e 130 del Codice, un consenso espresso, preventivo, libero, informato, documentato per iscritto e specifico per ciascuna finalità diversa dall'erogazione del servizio.
Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.
Roma, 9 ottobre 2014
IL PRESIDENTE
Soro
IL RELATORE
Iannini
IL SEGRETARIO GENERALE
Busia
[fonte Garante Privacy]