Privacy - Garante per la protezione dei dati personali: limiti al trattamento dei dati personali per finalità di marketing
L’operatore telefonico che fornisce all’interessato informazioni vaghe o false circa l’origine dei propri dati personali viola il principio di correttezza nel trattamento e, in generale, la disciplina di protezione dei dati personali non consentendo l’esercizio dei poteri di controllo attribuito all’interessato ai sensi degli articoli 7 e seguenti del Codice Privacy.
Premessa
Il diritto alla protezione dei dati personali è un diritto fondamentale tutelato dall’articolo 2 della Costituzione e dall’articolo 8 della Carta dei diritti fondamentali dell’Unione Europea che garantisce all’interessato il potere di esercitare attivamente un controllo inerente la gestione dei propri dati e l’utilizzo di quest’ultimi da parte dei terzi.
L’interessato, cui appartengono tutte le facoltà enunciate all’articolo 7 del Decreto Legislativo n. 196/2003 (“Codice Privacy”), può opporsi al trattamento dei propri dati personali a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale, rivolgendo una richiesta, anche senza particolari requisiti formali, al titolare o al responsabile del trattamento.
Con specifico riferimento alle chiamate promozionali indesiderate con operatore si ricorda che l’interessato, oltre a chiedere al proprio gestore telefonico di rimuovere la propria utenza se pubblicata negli elenchi telefonici, può in alternativa iscriversi al Registro Pubblico delle Opposizioni affinché la propria utenza non sia utilizzabile a fini promozionali, seppur presente negli elenchi telefonici. Soltanto l’acquisizione del consenso dell’interessato presso altre liste esonera l’operatore dalla consultazione del Registro delle Opposizioni, che dunque potrà ugualmente contattare l’utente salvo revoca di quest’ultimo rivolta al titolare del trattamento.
Fatto
Tizio e Caio segnalavano all’Autorità Garante di aver ricevuto delle telefonate promozionali indesiderate sulle proprie utenze mobili da parte della società I.S. Caio, in particolare, nel corso della chiamata chiedeva all’operatrice informazioni sulla provenienza dei propri dati personali la quale rispondeva che il suo numero di cellulare poteva essere stato acquisito in seguito all’attivazione di una carta fedeltà o alla registrazione presso un sito web.
I.S. svolgeva attività promozionale, mediante il proprio sito web ed operazioni di telemarketing, nell’interesse della società MMC che si occupava della gestione amministrativa di servizi odontoiatrici forniti nei propri studi professionali.
Sul sito internet di I.S. gli utenti potevano iscriversi indicando i propri dati personali e fornendo il consenso al trattamento di questi ultimi al fine di essere ricontattati per programmare la visita medica e ricevere newsletter ma le caselle destinate ad accogliere la manifestazione del consenso risultavano preselezionate e nell’informativa resa ai sensi dell’articolo 13 del Codice Privacy veniva indicata la società I.S. come unico titolare del trattamento a cui inviare le richieste di cui all’articolo 7 del Codice Privacy. Successivamente e contrariamente a tale evidenza veniva prodotto un documento, recante l’intestazione di entrambe le società ma non presente sul sito web, in cui si dichiarava che per l’esercizio dei diritti di cui all’articolo 7 del Codice Privacy l’interessato poteva inviare la propria richiesta a MMC.
Circa l’attività di telemarketing, che su dichiarazione di I.S. si era svolta nel periodo fra gennaio e marzo 2017 limitatamente ad un campione di numerazioni residenziali tratte da elenchi telefonici pubblici, si rilevava che essa veniva posta in essere mediante sistemi informativi dove vi era una risorsa della rete locale che conteneva numerosi file con le utenze telefoniche fisse e mobili. In seguito al rinvenimento, la società ammetteva di aver ricevuto dalla succursale di Sempronio, sulla base di accordi contrattuali, una lista autorizzata delle numerazioni telefoniche sia fisse che mobili di circa un milione di utenti che aveva utilizzato per effettuare le chiamate promozionale fra gennaio e marzo 2017. In relazione a tali numerazioni però I.S. non provava di aver fatto le necessarie verifiche tramite il Registro pubblico delle opposizioni, essendosi limitata ad acquisire la lista con i dati senza accertarsi della regolare acquisizione del consenso informato degli interessati.
Ulteriori verifiche avevano fatto emergere che accedendo ai sistemi informativi di MMC si trovava un server che conteneva una cartella con elenchi di numerazioni telefoniche associate ad anagrafiche esattamente corrispondenti a quelle presenti sul sistema di I.S.. Sul punto il rappresentante legale della MMC dichiarava che il server di I.S. veniva normalmente utilizzato da I.S. ma che l’accesso era consentito anche agli incaricati della MMC sulla base di una politica aziendale di condivisione tra le due Società.
MMC e I.S. dichiaravano inoltre che con cadenza semestrale venivano svolte delle riunioni di strategia marketing per coordinare le campagne di telemarketing nei confronti degli utenti censiti dalla società di Sempronio.
In conclusione si accertava che le due Società adottavano congiuntamente decisioni concernenti il trattamento dei dati nelle varie campagne di marketing e che, oltre ad utilizzare le stesse risorse tecno-organizzative, avevano accesso agli stessi dati personali degli utenti tramite il medesimo server.
Decisione del Garante Privacy
Secondo il Garante i trattamenti effettuati per finalità di telemarketing da parte delle due Società sono stati realizzati nell’inosservanza delle disposizioni contenute nella disciplina di protezione dei dati personali. In questa attività infatti le due Società, operando di fatto come co-titolari del trattamento ai sensi dell’articolo 4, comma 1, lettera f), hanno trattato illecitamente i dati raccolti in quanto essi non sono mai stati oggetto di verifica presso il Registro pubblico delle opposizioni ai sensi dell’articolo 130, commi 3-bis, del Codice Privacy e dell’articolo 5 del Decreto del Presidente della Repubblica n. 178/2010 né è stata provata l’esistenza di alcuna base giuridica per il loro utilizzo per la menzionata finalità. Il Garante, pertanto, ha vietato l’ulteriore trattamento per finalità di marketing dei dati personali degli utenti.
Per quanto concerne il trattamento dei dati personali effettuati mediante il sito web di I.S. sono stati ravvisati diversi profili di illeceità.
Da un lato si è appurato che l’informativa resa ai sensi dell’articolo 13 del Codice Privacy, oltre ad essere contraddittoria rispetto alla documentazione prodotta da I.S., è carente dell’indicazione dell’ambito di circolazione dei dati e pertanto il Garante ha prescritto la riformulazione del modello di informativa, con la chiara indicazione dell’ambito di circolazione, del rapporto di co-titolarità dei trattamenti e del soggetto cui indirizzare le istanze volte ad esercitare i diritti di cui all’articolo 7 del Codice.
Dall’altro lato, è considerata illecita la previsione di un unico consenso generico e preselezionato per il trattamento dei dati che vengono inseriti dagli utenti rispetto a tutte le finalità richiamate nell’informativa. E in particolare mentre viene richiesto un consenso ultroneo per il perseguimento delle finalità strettamente connesse all’erogazione del servizio, manca invece la possibilità di manifestare liberamente il consenso per le finalità di invio di newsletter a contenuto promozionale. Per queste ragioni il Garante ha prescritto l’adozione delle misure tecnologiche affinché gli utenti del sito della società vengano messi in condizione di manifestare liberamente il proprio consenso informato.
Infine il Garante ha imposto la predisposizione delle idonee misure tecno-organizzative volte ad agevolare l’accesso ai dati personali da parte dell’interessato e a semplificare le modalità e ridurre i tempi per il riscontro al richiedente, avendo giudicato inidoneo il riscontro fornito dall’operatrice telefonica che aveva risposto vagamente a Caio circa la provenienza dei dati e aveva fornito informazioni non veritiere così da privare l’interessato della facoltà di esercitare pienamente e tempestivamente i diritti di cui agli articoli 7 e seguenti del Codice Privacy e violando in particolare il principio di correttezza nel trattamento ai sensi dell’articolo 11, comma 1, lettera a) del Codice.
(Garante per la protezione dei dati personali, provvedimento del 15 giugno 2017 n. 268)
