Registro dei provvedimenti
n. 439 del 27 ottobre 2016
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;
VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito "Codice");
VISTE le "Linee guida in materia di attività promozionale e contrasto allo spam" del 4 luglio 2013 (pubblicate in G.U. n. 174 del 26 luglio 2013 e in www.garanteprivacy.it, doc. web n. 2542348) nonché il provvedimento generale del 29 maggio 2003 volto a individuare corrette modalità di invio delle email a contenuto promozionale (doc. web n. 29840);
VISTE le distinte segnalazioni dei signori XY e KW formulate ai sensi dell'art. 141, comma 1, lett. b), del Codice;
VISTA la richiesta di informazioni notificata ai sensi dell'art. 157 del Codice per il tramite del Nucleo Speciale Privacy della Guardia di finanza ad Alma Energy Trading s.r.l. il 3 febbraio u.s. nell'ambito della verifica effettuata presso la sua sede legale e operativa in Via Fieno 1, ed il relativo riscontro fornito in pari data e il 4 febbraio, nonché il 18 e 19 febbraio u.s., a scioglimento delle riserve formulate nella citata occasione;
VISTE altresì le richieste di informazioni rivolte, a fini di integrazione dell'istruttoria avviata, ad Alma Energy il 22 settembre u.s., nonché il 29 aprile u.s. a Linea Più s.p.a. (avente sede legale in Pavia, Via Donegani n. 21), e i relativi riscontri, rispettivamente, del 28 settembre e del 16 maggio u.s.;
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del Regolamento del Garante n. 1/2000;
RELATORE il dott. Antonello Soro;
PREMESSO
1. I segnalanti hanno lamentato che, in sede di registrazione al sito www.almaenergia.com, al fine di poter usufruire di alcuni servizi erogati da Alma Energy Trading s.r.l. (di seguito "Alma"), risultava necessario manifestare il consenso al trattamento dei dati per finalità promozionali; tale manifestazione di volontà, unica ed onnicomprensiva, riguardava, secondo quanto segnalato, sia il trattamento dei dati per le menzionate finalità promozionali, sia per quelle connesse all'esecuzione del contratto.
2.1. A seguito dell'istruttoria preliminare condotta dall'Ufficio, il suddetto sito è risultato essere nella titolarità di Alma, presso la quale, in data 3 e 4 febbraio 2016, sono state effettuate verifiche per il tramite del Nucleo Speciale Privacy della Guardia di finanza.
In tale occasione la Società ha dichiarato di occuparsi di vendita di gas e di aver trattato a far data dal 2014 i dati di circa 27.000 utenze civili (comprendenti persone fisiche), in larghissima parte acquisiti a seguito di un'iniziativa denominata "ABBASSA LA BOLLETTA".
Dal 1° luglio 2015, a seguito di cessione di ramo d'azienda, tali utenze sono state cedute a Linea Più s.p.a. (di seguito "Linea") che, in base a quanto rappresentato, per effetto di tale vicenda, è divenuta titolare del trattamento dei dati personali in questione.
2.2. Nell'ambito delle verifiche, in particolare mediante l'accesso al sito web della società (www.almaenergia.com) e con l'effettuazione di una simulazione di registrazione al servizio ivi fornito denominato "Sportello on line" (cfr. verbale del 4 febbraio 2016, p. 3 e all. 1 allo stesso), è emerso che, con riguardo a «tutti i clienti non possessori di partita iva» che volessero usufruire di alcuni servizi online (poter gestire la propria scheda anagrafica; inserire l'autolettura del contatore del gas; visualizzare gli andamenti dei propri consumi; gestire le proprie fatture), la procedura prevedeva la raccolta di alcuni dati personali: tra questi, l'indirizzo email (da indicare obbligatoriamente per la registrazione) e i numeri di telefonia fissa e mobile (richiesti invece facoltativamente).
Nell'informativa (resa nell'ambito di un documento denominato "Trattamento dei dati personali") si avvisavano gli interessati che «i dati […] potranno essere utilizzati da Alma […] per la stipulazione e la gestione del contratto di erogazione dei Servizi indicati al punto 1 delle condizioni generali di contratto e per tutte le conseguenti operazioni di Suo interesse» (afferenti alla sfera contrattuale), nonché «al fine di inviarLe periodicamente messaggi contenenti pubblicità, materiale pubblicitario, annunci interni, iniziative promozionali, comunicazioni commerciali» (cfr. all. 1 al verbale del 4 febbraio 2016).
A fronte delle diverse finalità così identificate, non veniva però richiesto nel sito web uno specifico consenso per il trattamento dei dati raccolti per finalità promozionali; era invece possibile manifestare un unico consenso onnicomprensivo ("accetto"/"non accetto") in relazione ai diversi trattamenti descritti nell'informativa.
2.3. Analogamente a quanto previsto nell'informativa, anche nelle "Condizioni generali dei servizi offerti tramite il portale on line" (precisamente al punto 5, "Avvisi e messaggi promozionali (newsletter)"; v. anche all. 1 sopra citato), si rappresenta che «con la sottoscrizione ed accettazione del presente accordo, l'Utente esprime il proprio libero e incondizionato consenso a ricevere messaggi di posta elettronica contenenti pubblicità, materiale promozionale, annunci interni, iniziative promozionali, comunicazioni commerciali da Alma Energy Trading s.r.l.», richiedendo agli interessati di manifestare un unico consenso sia in relazione all'accettazione delle menzionate condizioni contrattuali (fra cui i Servizi di cui sopra si è detto), sia per il trattamento dei dati personali egli stessi riferiti per finalità promozionali.
2.4. La Società, in occasione dell'accertamento in loco di cui sopra (v. cit. verbale 4 febbraio 2016, ibid.), ha fatto presente che, «in virtù del passaggio dei clienti da Alma a Linea, dal 1° luglio (2015) non è più possibile effettuare la registrazione al servizio in questione. Tuttavia, ai vecchi clienti ed agli attuali nostri otto clienti, è data la possibilità di poter ancora accedere al proprio account, fermo restando l'impossibilità di usufruire di particolari funzioni quali l'autolettura del contatore ecc.».
La Società ha altresì dichiarato che non sarebbe stata mai effettuata alcuna «attività promozionale ovvero [l'invio] di newsletter» ed ha altresì evidenziato che, a seguito del passaggio dei propri clienti a Linea Più s.p.a., essa conserva i dati in questione «ai fini degli obblighi fiscali nonché al fine di collaborare con il personale di Linea in occasione di richieste da parte degli interessati, riguardanti periodi di fatturazione riferiti al periodo in cui questi erano nostri clienti», in esecuzione del contratto di servizio stipulato con Linea, e in particolare per «consentire a quest'ultima il caricamento nei propri sistemi di tutti i dati personali dei clienti riferiti alla fornitura di gas nonché al rapporto contrattuale» (cfr. copia del "contratto di appalto di servizi finali", pervenuta il 18 febbraio 2016).
3.1. Alla luce degli elementi complessivamente acquisiti, , il trattamento dei dati dei clienti che si sono registrati al suddetto portale, anteriormente alla cessione del ramo di azienda, è avvenuto in modo illecito, non risultando comprovato che, al momento della raccolta o successivamente in altra sede, sia stato manifestato il libero e specifico consenso degli interessati per l'invio di comunicazioni promozionali a mezzo di posta elettronica ai sensi dell'art. 130 del Codice, commi 1 e 2, e della non conformità al principio di correttezza di cui all'art. 11, comma 1, lett. a), del Codice. Ed invero, la capacità di autodeterminazione degli utenti (e quindi la libertà del consenso che sono chiamati a manifestare) non è assicurata quando si assoggetta, come nel caso di specie, la fruizione delle prestazioni dedotte nel contratto alla contestuale autorizzazione a trattare i dati conferiti per il medesimo servizio per una finalità diversa, qual è quella promozionale e pubblicitaria; con la conseguenza che i dati personali raccolti dal titolare (e conferiti dall'interessato) per l'esecuzione del rapporto contrattuale vengono di fatto piegati ad un utilizzo diverso dallo scopo che ne ha giustificato la raccolta, in violazione del principio di finalità (art. 11, comma 1, lett. b), del Codice) (tra i tanti, cfr. provv.ti 10 marzo 2016, n. 110, doc. web n. 4988238; 11 febbraio 2016, n. 49, doc. web n. 4885578; 15 luglio 2010, doc. web n. 1741998; 22 febbraio 2007, punto 4.2, doc. web n. 1388590, con ulteriore richiamo ai più risalenti provv.ti 10 maggio 2006, doc. web n. 1298709; 12 ottobre 2005, doc. web n. 1179604; 3 novembre 2005, doc. web n. 1195215; in particolare, con riguardo alla fornitura di beni o servizi subordinata alla necessaria autorizzazione al trattamento dei dati per fini promozionali (c.d. consenso obbligato), cfr. provv.ti 24 febbraio 2005, punto 7, doc. web n. 1103045; 20 dicembre 2012, doc. web n. 2223607; 1° ottobre 2015, n. 508, doc. web n. 4452896; provv. 10 marzo 2016, cit.).
3.2. Per le ragioni sopra esposte, preso atto di quanto dichiarato dalla Società circa la mancata effettuazione in concreto sino ad oggi di attività di natura promozionale con i dati degli interessati, si deve vietare ad Alma il trattamento dei dati personali raccolti mediante lo "Sportello on line" del sito www.almaenergia.com per finalità di marketing in assenza di un consenso liberamente manifestato ai sensi dell'art. 130, commi 1 e 2, del Codice.
L'Autorità si riserva di verificare, con autonomo procedimento, la sussistenza dei presupposti per contestare la violazione amministrativa concernente la mancata acquisizione di un consenso libero e specifico per l'utilizzo dei dati per finalità di marketing (art. 130, commi 1 e 2; 162, comma 2 bis, del Codice).
4.1. Sotto un diverso profilo, Linea, società resasi cessionaria del ramo d'azienda è in ragione di ciò, subentrata nella titolarità dei «contratti di somministrazione di gas metano ai clienti domestici ed a piccole partite Iva, vigenti alla data del 1 luglio 2015». In tale qualità Linea ha rappresentato che (cfr. nota del 16 maggio 2016):
a. «la cessione del ramo d'azienda ha determinato il trasferimento di dati personali fra distinti titolari del trattamento [ma poiché] Alma non effettua trattamenti per conto di Linea non si è resa necessaria la nomina della prima quale responsabile del trattamento di Linea, secondo il disposto dell'art. 29 del codice privacy»;
b. con riguardo all'obbligo di informativa di cui all'art. 13, comma 4, del Codice, «stante l'elevata mole dei rapporti in cui Linea è subentrata ex lege […] [n]on è stato possibile rendere l'informativa a tutti gli interessati in forma individuale e, comunque, anche qualora ciò fosse astrattamente realizzabile, ne sarebbe disceso un impiego di mezzi manifestamente sproporzionato ‒ anche per costi e oneri ‒ rispetto al diritto tutelato. Pertanto, anche alla luce di analoghi precedenti […] (v. provv. del 5/7/2012, doc web n. 1913790 e del 18/12/2014, doc. web. n. 3716039) si è proceduto secondo una modalità alternativa e semplificata rendendo l'informativa agli interessati da parte di Linea tramite pubblicazione sul proprio sito web […]»;
c. con riguardo alle misure adottate per verificare la validità del consenso acquisito dalla clientela oggetto di cessione al trattamento dei rispettivi dati personali per finalità promozionali (artt. 23 e 130 del Codice), «Linea Più è pervenuta alla determinazione di non effettuare tale tipo di trattamento non potendo garantire con assoluta certezza che i consensi richiesti per tale finalità fossero tutti effettivamente rilasciati e validi»;
d. riguardo all'eventuale adozione di misure volte ad acquisire il consenso della clientela al trattamento per finalità promozionali, «i dati personali in questione non sono stati utilizzati per finalità promozionali […] con l'unica eccezione di quelle situazioni in cui per volture di nuovi contratti, vi sia stata la possibilità da parte di Linea Più di richiedere ed ottenere uno specifico consenso per attività promozionale».
4.2. In base agli elementi complessivamente acquisiti, deve ritenersi che Linea, a far data dal 1° luglio 2015, abbia acquisito il ruolo di titolare del trattamento dei dati oggetto della cessione di ramo d'azienda (in tal senso v. anche il contratto di Appalto di Servizi di cui sopra, con scadenza fissata al 30 giugno 2016, in particolare punti 2 e 3 riguardo agli specifici servizi concordati per conto di Linea e alle modalità di svolgimento degli stessi, con poteri, di Linea, di controllo e verifica anche in loco e con il contestuale obbligo di regolare aggiornamento e previsione di penali a carico di Alma).
Linea, pertanto, ai sensi dell'art. 29 del Codice, avrebbe dovuto designare Alma, in relazione all'esecuzione delle prestazioni rese nel suo interesse e analiticamente individuate nel contratto di appalto di servizi, quale responsabile del trattamento dei dati di cui è divenuta titolare in virtù della cessione del ramo d'azienda, adempimento che però non risulta essere stato posto in essere.
4.3. Linea, in qualità di titolare, non risulta inoltre aver adempiuto all'obbligo di informativa di cui all'art. 13, comma 4, del Codice, in base al quale «se i dati personali non sono raccolti presso l'interessato, l'informativa di cui al comma 1, comprensiva delle categorie di dati trattati, è data al medesimo interessato all'atto della registrazione dei dati o, quando è prevista la loro comunicazione, non oltre la prima comunicazione» (cfr. in merito anche le citate Linee guida del 4 luglio 2013, par. 2.4).
Al riguardo non è conforme alla legge la condotta in concreto tenuta da Linea che, sull'assunto unilaterale che non sarebbe stato possibile rendere l'informativa in forma individuale agli interessati perché «ne sarebbe disceso un impiego di mezzi manifestamente sproporzionato ‒ anche per costi e oneri ‒ rispetto al diritto tutelato», si è autonomamente determinata a procedere alla pubblicazione sul proprio sito web di una pagina dedicata ai "clienti ex Alma".
Tale modalità, se del caso, avrebbe eventualmente dovuto essere stabilita dal Garante, come previsto dall'art. 13, comma 5, lett. c), del Codice, previamente adito, quale misura appropriata, ad esito di un'apposita valutazione sull'impossibilità (o eccessiva onerosità) in concreto dell'adempimento dell'obbligo informativo in forma individuale.
In questa prospettiva, risulta allora inappropriato il riferimento effettuato dalla medesima Società ad alcuni provvedimenti di questa Autorità in materia di esenzione dall'obbligo informativo, poiché le misure in concreto adottate per rendere l'informativa sono state conseguenti ad apposite istanze al Garante e dallo stesso individuate.
4.4. Riservata pertanto la valutazione, mediante autonomo procedimento, della sussistenza dei presupposti per contestare la violazione amministrativa concernente l'inosservanza dell'art. 13, commi, 4 e 5, del Codice, si ritiene necessario prescrivere a Linea, ai sensi dell'art. 13, comma 5, lett. c), del Codice, quale misura congrua e proporzionata per la tutela del diritto alla protezione dei dati degli interessati, di fornire direttamente ai soggetti ceduti gli elementi contenuti nell'art. 13, commi 1 e 2, del Codice, alla prima occasione utile di contatto, successiva all'adozione del presente provvedimento, ad esempio nell'ambito delle comunicazioni connesse all'attività di fatturazione (analogamente, cfr., fra gli altri: provv.ti 18 dicembre 2014 n. 606, doc. web n. 3716039; 18 gennaio 2007, doc. web n. 1392461).
4.5. Riguardo al diverso profilo della verifica della validità dei consensi per finalità promozionali dei dati della clientela oggetto di cessione, Linea con specifiche dichiarazioni contenute nella nota del 16 maggio 2016, di cui l'autore risponde ai sensi dell'art. 168 del Codice (Falsità nelle dichiarazioni e notificazioni al Garante) ha affermato di essere "entrata nella determinazione di utilizzare [i dati personali oggetto della cessione del ramo di azienda] per i soli fini di esecuzione dei contratti di somministrazione e per la conseguente finalità amministrativo-contabile".
Resta inteso che, con riferimento a specifiche situazioni in cui la società abbia adottato autonome iniziative per richiedere ed ottenere uno specifico consenso ai clienti per attività promozionale, il loro trattamento presuppone comunque che siano state rese agli stessi idonee informative ai sensi dell'art. 13 del Codice.
TUTTO CIÒ PREMESSO IL GARANTE
ai sensi degli artt. 143, comma 1, lett. b) e c), 144, 154, comma 1, lett. c) e d) del Codice, rilevato che i dati personali di cui è stato accertato l'illecito trattamento non possono essere utilizzati per finalità promozionali (art. 11, comma 2, del Codice):
a. vieta ad Alma Energy Trading s.r.l. il trattamento per finalità di marketing dei dati personali riferiti alla clientela – di cui è ancora in possesso - e raccolti mediante il sito www.almaenergia.com, in assenza di un consenso liberamente manifestato ai sensi dell'art. 130, commi 1 e 2, del Codice (punto 3.2);
b. prescrive a Linea Più s.p.a. di fornire direttamente ai soggetti acquisiti da Alma gli elementi contenuti nell'art. 13, commi 1 e 2, del Codice, alla prima occasione utile di contatto (punto 4.4) successivamente alla ricezione del presente provvedimento.
Ai sensi degli artt. 152 del Codice e 10, d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.
Roma, 27 ottobre 2016
IL PRESIDENTE
Soro
IL RELATORE
Soro
IL SEGRETARIO GENERALE
Busia